Jak v síti detekovat infikovaná Windows

[JardaP .]

IMHO tohle není nezbytně nutné pro provoz sítě a bral bych to jako šmírování, ne jako oprávněnou snahu správce sítě.

Jak jinak chcete zjistit, ze nejaky pocitac vam v siti kazdou hodinu nakomunikuje X gigabajtu kazdou hodinu nekam do Ciny nebo do jineho mista, kam komunikovat nema? Budete instalovat X-Server na gateway, abyste si mohl Wireshark pustit rovnou tam a ta data potom neulozit?

Nebo proste nechate viry na vasi siti radit po libosti, az vas ISP ustrihne za zasilani spamu a budete na vsech moznych blacklistech? Antivirus vas casto nevytrhne. Videl jsem na usenetu viry, vzdycky jsem si je stahnul a zkusil, co na ne antivirus. Byly pripady, kdy to trvalo nekolik mesicu, nez zacaly byt detekovany. V takovych pripadech vam pomuze jen Wireshark, nasledne odpojeni pocitace a asi reinstalace a nakopani uzivatele do zakonceni zaziaciho traktu.

Monitorovani provozu site neni potreba? Proc se tedy nekdo s temi monitorovacimi nastroji pise? Site neni treba monitorovat v idealnim svete, kde neni malware a vsechno funguje, jak ma. To by ale ani nebylo treba spravcu siti, protoze by v praci nemeli do ceho pichnout a mohli by tak akorat strykovat fusekle, aby se nenudili.

[Reklama]

[Mirek Prýmek]

Obávám se, že tady je potřeba začít od "manažerských keců" a oblíbených bonmotů

Bonmot 1: bezpečnost není otázka technologie, ale procesů

Kdo má právo definovat, co uživatele můžou a co ne? Kdo má právo definovat povinnou konfiguraci stanic?

Pokud nikdo ("Já na svém PC antivir nechci, protože na nebezpečné stránky nelezu"), tak bych od takové sítě raději dal ruce pryč, protože taková síť se prostě bezpečně spravovat nedá a až dojde k incidentu (jakože k němu v takovém prostředí dřív nebo později dojde), tak si všechno vyžere admin - nejen v podobě toho, že je za vola, ale i v podobě zbytečně vynaložené práce...

Člověk by se měl vyvarovat situací, kdy je činěn zodpovědným za něco, o čem nerozhoduje...

Možná víc než přemýšlet o honeypotu by pomohlo dát si kafe s člověkem, který má v daném prostředí autoritu (ředitel, majitel, manažer, místní demiurg a vysvětlit mu, že bez explicitní bezpečnostní politiky to nepůjde. Pokud se mu dají správné argumenty ("Za takovou síť neumím převzít odpovědnost. Až přijdete o ta data, na kterých se pracovalo poslední půlrok, nechoďte za mnou, já jsem vás varoval") a není úplně vymaštěnej, tak to pochopí a podpoří. Až je politika na světě, můžeš se už tvářit jenom jako její realizátor, což Ti značně usnadní pozici ("sorry, Franto, z vyšších míst bylo rozhodnuto, že antivir bude na každém počítači. Pokud máš námitky, mám Ti domluvit schůzku s panem ředitelem?")

Bonmot 2: standardní bezpečenostní postup je "allow, deny" - tj. co není povoleno, to je zakázáno

Sice Ti přidá práci definovat povolovací pravidla (Franta chce rádio, Pepa ICQ), ale budeš přesně vědět, co je povolená komunikace, a tu nepovolenou bude daleko snadnější detekovat. (tím netvrdím, že nepovolená nemůže používat povolený kanál...)

Míra aplikace tohodle pravidla záleží samozřejmě na tom, o jakou síť jde. ISP by třeba komunikaci ve svém zájmu moc omezovat neměl

[David Strejc]

Bezpecnost jak tu nekdo napsal je o pomeru pohodli / zabezpeceni.
Pravidla jako - nenastavujte firewall dokud pocitac neni zamceny v trezoru a klice od nej ma jen reditel a tak dale, to je samozrejme pravda.

Jako ISP mame UPC. Tam jde vsechno, ale 2x nas urizli za rozesilani spamu. Protoze se virus proste dostane pres antiviry a "nevybydli" ho uz nikdy nikdo - reinstall jedine. Nic jineho neni.

Cili monitoring mi prijde jako docela rozumne a nenasilne reseni. Staci monitoring trafficu.
Hledal jsem, jestli neexistuje pro Munin nejaky plugin, ktery by pres pfctl umel rovnou monitorovat jednotlive IP, abych to nemusel rucne nastavovat (cim min rucni prace, tim je prace presnejsi a bezproblemovejsi ne?).

Pokud mate nejaka how-to nebo jakekoli dalsi informace, budu moc rad, kdyz poslete nejake linky.

Myslim, ze by to mohlo par adminum pomoct a omezovani Windows je prece dokonala zabava ne?

Jen se netesim, az mi tu zacnou behat, ze jim nejde hrat WoW a tak dale. Jsme mala firma s 25 - 30 Wydlous a mladi kluci chteji hrat online. Taky poslouchat radio a ICQ a tak dale.

Jinak s tim zakazanym trafficem na SMTP - mam to tak a je to jako pojistka, protoze se pak nehodlam zase dohadovat s UPC, ze uz nemame vira ;o)

S http a https bych tady mohl nasadit squida, ale jsme webari, takze jakakoli proxy je jen o jeden uzel vetsi zabava s debugovanim cehokoli (protoze weby vyvijime venku - je to tak pohodlnejsi).

Jinak super diskuze ;o)

[Fantomas]

Mirek Prymek, slusnej nazor, slusnej oddil. Jinak behani zamestnancu pro povoleni portu muzes omezit tim, ze si vyvesis na dvere cedulku, ze v kazde aplikaci pro sitovou komunikaci maji pouzit port 80, z 90% to urcite zabere :-) Mozna nejake hry budou potrebovat svuj specialni port, ale kdo ma cas v praci hrat hry (vyjma samotnych autoru her)? SMTP je bohuzel jeste stale problem, ale staci na nem zkazat relay a na gateway/firewall povolit jenom konkretni mail servery, ty nejvetsi problemy s rozesilanim se tim vyresi. Pokud ale potrebujes vseho schopny monitoring a kontrolu, pak muzes zakoupit nejake komercni reseni (Barracuda apod.), zalezi jak moc se s tim chces pachtit.

[JardaP .]

"Za takovou síť neumím převzít odpovědnost. Až přijdete o ta data, na kterých se pracovalo poslední půlrok, nechoďte za mnou, já jsem vás varoval"

Tohle se radsi sdeluje minimalne e-mailem, ktery si pak vytisknete i shlavickami, tez pak pripadne odpovedi. Pokud bezpecnostni politiku zamitnou, tak az to praskne, stejne to treba radsi hodi na vas.

Ovsem, pokud mate povinny antivirus i na kavovaru, stejne jeste nejste za vodou. Sam jsem se presvedcil na vlastni oci, ze nektere breberky jsou antiviry detekovany se zpozdenim i nekolik tydnu az mesicu, coz je na dve veci. Zkuste si obcas neco poslat na http://www.virustotal.com/ a uvidite. Je tam nejakych 40 antiviraku a obcas nektere veci jsou detekovany treba jenom peti z nich, pricemz to nejsou vzdy ty same. A vsechny antiviraky nasadit nemuzete. Cili monitorovani neni zbytecne.

Sice Ti přidá práci definovat povolovací pravidla (Franta chce rádio, Pepa ICQ), ale budeš přesně vědět, co je povolená komunikace, a tu nepovolenou bude daleko snadnější detekovat. (tím netvrdím, že nepovolená nemůže používat povolený kanál...)

Nevim, jestli si firmy rochni v placeni pripojky na radio pro Frantu, ale Pepu s ICQ bych poslal do zakonceni zazivaciho traktu, pokud mi neprinese bumazku podepsanou nejakym dostatecne velkym zviretem. A jak sam pisete, malware muze s klidem komunikovat po povolenem kanalu. Kdyz pojede treba po portu 80, dozvite se o tom nejspis jenom tak, ze vam bude divne, proc vam uzivatel nejakeho pocitace nadela gigabajty provozu na server v Brazilii. Cili zase monitoring.

[Reklama]

[Mirek Prýmek]

Cili monitoring mi prijde jako docela rozumne a nenasilne reseni. Staci monitoring trafficu.
Hledal jsem, jestli neexistuje pro Munin nejaky plugin, ktery by pres pfctl umel rovnou monitorovat jednotlive IP, abych to nemusel rucne nastavovat (cim min rucni prace, tim je prace presnejsi a bezproblemovejsi ne?).

Je otázka, co se vlastně má monitoringem dosáhnout (a už jsme zase u té politiky

Pokud se má omezit riziko rozesílání spamu, můžou být jiná řešení daleko účinnější - např. mít vlastní SMTP server a politiku, která říká, že veškerá pošta chodí přes něj. Někdo bude možná brblat, že chce používat v práci i doma ten samý SMTP server, ale to je právě otázka toho, jestli existuje autorita, která řekne, že dostat se na blacklist je tak velká zhouba, že převýší i to, že Lojza bude muset přepínat SMTP server když přijde do práce...

Pokud autorita rozhodne, že takhle ne a že se bude dělat monitoring, tak pak bude (imho!)  potřeba řešit spoustu problémů, namátkou:
1. jak monitorovat všechna spojení (nebude to zpomalovat připojení?)
2. kam logy ukládat (nebude jich moc? budou se archivovat?)
3. čím logy analyzovat (jak se pozná "už nějak podezřele moc spojení"?)
4. jak reagovat, když "už je spojení nějak moc"? (odstřihnout konkrétní stroj od netu? Ručně nebo automaticky? Kdo to bude dělat?)
5. kdo, jak a jak často bude dělat testy, že všechno skutečně funguje jak má, abysme věděli, že se na blacklist skutečně nedostaneme?
atd. atd.

Nicméně bych se zaměřil hlavně na to, že se bere jako (vysoce?) pravděpodobný stav, že někdo z uživatelů má na stroji bota... To mi nepřijde jako úplně dobrá výchozí pozice pro vymýšlení bezpečnostní strategie

Myslim, ze by to mohlo par adminum pomoct a omezovani Windows je prece dokonala zabava ne?

Pro mě není žádný kontakt s Windows zábava, natož dokonalá

Jen se netesim, az mi tu zacnou behat, ze jim nejde hrat WoW a tak dale. Jsme mala firma s 25 - 30 Wydlous a mladi kluci chteji hrat online. Taky poslouchat radio a ICQ a tak dale.

No jasně, bude to trochu bolet, ale zas na druhou stranu se to nebude zas až tak strašně měnit - jakmile se to odladí, není potřeba to řešit...

[Mirek Prýmek]

Kdyz pojede treba po portu 80, dozvite se o tom nejspis jenom tak, ze vam bude divne, proc vam uzivatel nejakeho pocitace nadela gigabajty provozu na server v Brazilii. Cili zase monitoring.

Co znamená "pojede na portu 80"?

Pokud chce posílat spam (což je tady zdá se mi hlavní téma), tak se musí připojit na XYZ:25, což se dá zakázat poměrně snadno.

Pokud by mělo jít o to, zakázat řízení bota, tak to je víceméně neproveditelné, protože je-li povolena nějaká komunikace uživateli (např. čtení webu), malware velmi lehce použije stejný kanál. Jenže čtení webu zas může probíhat přes proxy a to už je "aplikační firewall", takže jsme na jiné úrovni detekce než s pouhým monitoringem IP adres a portů spojení...

Nicméně i tak komunikaci s botem může člověk v dané situaci třeba klidně hodit za hlavu a zaměřit se spíš na to, aby se 1) bot do počítače vůbec nedostal 2) aby byl na počítači včas detekován (whitlist běžících procesů apod.) 3) aby stejně nic moc nemohl i když se tam dostane

[David Strejc]

Jak rikam - a rikali to tu i jini - je to o politice.

A protoze si tu muzu na siti delat co chci ;o)) - hlavni slovo o tom mam nastesti ja - tak je tu trosku priskrtim.

Uvidime.

Uz jsem tu mel docela striktni politiku co se tyce komunikace ven.

Vsechno mi chodi pres muj SMTP server (a to jeste musim monitorovat ten, protoze taky odesila dalsi veci nez jen maily z kancelare a obcas "crack" nejkeho webu zpusobil masivni spamovani ...).

Proste a jednoduse to tu jen nasadim (mozna i se squidem) - monitorovat traffic zkusim pres pfctl a jako vysledek chci proste a jednoduse mit vetsi kontrolu nad trafficem.

Kontrolvanych botu se asi obavam nejvic - pres 80tku bez squida a i s nim to muze prochazet.

Jak jsem rikal - nejsme banka. Jsme webari - parkrat uz nas museli ustrihnout kvuli odesilani spamu z windows (2x) a parkrat mi "crackli" joomlu a ted i smarty (stilhli poslat 300k zprav - docela jim to slo od ruky - z localhostu to nemam na webserverech omezene).

Cili jsem se opet poucil - musim to udelat lepe. Omezit a omezit a omezit. A az si nekdo bude stezovat, tak mu to radsi povolim, nez aby se takovehle situace opakovaly.

S tema wydlema jsem to samozrejme myslel tak, ze bych je nejradsi zapichnul vsechny do hnoje a tam je nechal vonet. Od tech dob, co pouzivam BSD mi wydle fakt nevoni. A to uz je 6 let.

[_r3450n_]

Co ti proboha udelal ten hnuj, ze ho chces takhle mucit? 

[David Strejc]

No obcas to na vesnici pachne skoro stejne jako registry windows.
Takze chapu, ze se pak wydlema prehazuje hnuj.

Ale je pravda, ze hnuj je uzitecny - rostou po nem kyticky. Po windows tak maximalne vstavaji vlasy hruzou.

[JardaP .]

Kdyz pojede treba po portu 80, dozvite se o tom nejspis jenom tak, ze vam bude divne, proc vam uzivatel nejakeho pocitace nadela gigabajty provozu na server v Brazilii. Cili zase monitoring.

Co znamená "pojede na portu 80"?

Pokud chce posílat spam (což je tady zdá se mi hlavní téma), tak se musí připojit na XYZ:25, což se dá zakázat poměrně snadno.

Pokud by mělo jít o to, zakázat řízení bota, .....

Tak asi SMTP provoz ne, ale malware muze delat kdeco. Ostatne zakazat provoz na SMTP ven je to nejjednodussii, co se da udelat.

Jiz jsem rikal, ze jsem videl takle na jedne domaci siti, jak pocitac s Widlemi nakomunikoval tusim 8GB za par hodin na nejaky server veteranu polske armady. Majitel tvrdil, ze o tom serveu v zivote neslysel. Co to bylo za provoz, to nevim. Ukazal jsem majiteli, ze zaplacene Gigabajty od ISP mu nekrade soused pres WiFi, ale nejaky previt v jeho stroji. On to pak nejak vypucoval a bylo. Treba mu ten previt vynasel data nebo na tom mel sdileni detske pornografie. V obou pripadech je lepsi na to prijit co nejdrive. A nikdo nerika, ze musite monitorovat furt a vsechno. Muzete se obcas, namatkove, podivat na situaci.

[David Strejc]

Ja si to proste predstavuju jako grafy Muninu (nebo Cacti).

Kdy kazda IP ma vlastni graf a na tom jsou rozdelene trafficy podle portu. A jedou tam normalni ploty (grafy).

Kdyz se na to jednou za tri dny podivam a uvidim, ze tam narostl traffic na portu a jede porad a nikdy tam nebyl a nema tam co delat - tak tusim a cucham, ze tam je nejaky zaskodnik.

Tak si predstavuju, ze to tady naimplementuju.

Nepocitam s tim, ze bych chytal viry "on-the-virus-fly" ;o)

[ubuntak]

pokud grafy tak doporucuju cacti jak pises. Zavest do iptable MANGLE pravidla pro pocitani prenesenych bytu z kazde IP. A to na povolene porty. Treba port 25 na spam(i kdyz zastavam nazor ze ti co sou u me na lokalni siti odesilaji prez muj smtp a tudiz mam odesilani zablokovane jen na muj smtp server a tim se eliminuje 99.9% spam robotu, dale na posfixu omezit pocet odeslane posty za sekundu) dale 445 a 135 na MS shit a pak jedno pravidlo na porty 1024-65535 v tomto rozsahu nema nic co delat pripadne port 80 atd.. Pak z techto dat generovat bud sam grafy pomoci rrdtool a nebo to naprat do cacti. Ale na toto se da napsat v phpku na par radek script.

[David Strejc]

)))

Bohuzel iptables nevedu ;o)) Vedu pf (packet filter). Iptables mi moc nevyhovujou, maji fakt brutalni konfiguracni syntaxi ;o)

Cacti jsem nepouzival - pouzivam Munin, ktery mi vyhovuje a fungoval out of the box. A nepotrebuje MySQL a tak dale ;o)

Mmmmm cucham velkou praci - ale ... kdyz se zadari, tak napisu nejake how to - bohuzel to bude na FBSD, protoze linux nepouzivam. Ale principy budou stejne. Pokusim se tady z toho threadu udelat co nejlepsi implementaci odvsiveni site jednou pro vzdy ;o)))

Windows dokoran 4 ever ;o)

[JardaP .]

Mimochodem, spoustu peknych grafu umi udelat i ntop. Ma vlastni web server, kam se lze pripojit na dalku z browseru a brouzdat se grafy. Akorat, ze ntop byl povazovan za bezpecnostni cunarnu. Duvody presne neznam, cili by bylo nutno trochu zagooglovat. Co treba neni moc dobre je to, ze k prihlaseni na ntop se posila heslo a uzivatel nezabezpecene pres http (i kdyz s tim mozna uz neco udelali). Takze, pokud to neni dost koser, muselo by se to trochu protunelovat. Vyhoda ntopu je, ze je dost jednoduche ho rozbehnout. Nejvetsi problem bylo najit nejakou hashovaci funkci, ktera vygeneruje hash, ktery se do konfiguraku musel napchat rucne.