Forside Profil IT sikkerhed Søgemaskineoptimering Reference Ressourcer

Midlertidige links: vidensbank

Baselining

en forudsætning for meget

Både politiet og de militære efterretningstjenester arbejder med begrebet ”normalbilledet”. Det handler om, at hvis man ved hvordan det skal se ud når alting er normalt, når der er fred og ingen fare, så kan man også se når der er noget der ikke er som det skal være. Begrebet anvendes både når vi taler om enkeltperson og helt op til når man i efterretningstjenesterne kikker på hele nationer og overnationale organisationer som FN og EU.

Når vi taler IT sikkerhed kaldes begrebet baselining og det handler om præcist det samme som når man danner et normalbillede, nemlig at dokumenterer hvordan tingene ser ud når alt er som det skal være, for at kunne opdage når der er noget galt samt for at kunne sige noget om hvad der er galt. Det er klart at meget af denne baselining skal foretages før systemerne tages i brug, men taler vi f.eks. netværk og servere, så er der også en del af baseliningen der først kan gøres ved normaldrift. Det der her er tale om er f.eks. trafikbelastning og mønstre, server belastning og andre deciderede drift relaterede ting.

Fordelen ved standardisering

Hvis du kan standardiserer dine ting har du en stor fordel, både i forbindelse med udarbejdelse af baseliningen, under administration og daglig drift og når der sker et eller andet, der kræver undersøgelse af maskinen. Hvis du baserer så store dele af installationen som muligt på images, så kan du nøjes med at lave en baselining på imaget, og så tilføje tillæg til de, forhåbentlig få maskiner, der er anderledes.

Kan du ikke bruge images, f.eks. fordi dine maskiner er uens, så images ikke kan køre, så gør i stedet det at du installerer dem ens, med de samme program pakker og på den samme måde. Hvis du kan køre tingene scripted, så de virkelig bliver ens, er det en stor fordel, og husk at dokumenter hvordan du installerer dem, jo bedre dokumentation jo lettere bliver det for dig i længden.

Installation af den enkelte maskine

Allerede under og lige efter installationen er der ting der bør tilføjes baseliningen, det er naturligvis klart at man altid bør hardne maskinerne og da en hardnet maskine kun har et minimum af brugere oprettet, et minimum af services kørende osv. osv. er en hardnet maskine også lettere at baseline

Hvilke programmer installeres. Programnavn, Version, Build, datoer for oprettet, ændret, åbnet og andre relevante filoplysninger
Hvilke updates gennemføres, Updatenavn, version, build datoer for oprettet, ændret, åbnet og andre relevante filoplysninger
Størrelser på udvalgte biblioteker og filer samt dokumentation af satte NTFS rettigheder. Se under afsnitter om tripwire længere nede.
Oprettede brugere og rettigheder for disse
Lokale sikkerhedspolitikker hvad der er sat
Hvilke services er startet, hvad er status og starttype og hvem er de logget på som
Hvilke processer køre når maskinen er startet op og brugeren er logget på ude at have startet programmer
Hvilke processer køre når brugeren anvender sine programmer og hvilke processer hænger sammen med hvilke programmer
Hvilke porte lytter maskinen på. Netstat
Hvilke filer der er åbne med værktøjer LSOF og de andre oplysninger dette værktøj kan leverer.
Gennemfør en scan med værktøjet Hijackthis, så du senere har grundlag til at fjerne spy- og malware fra maskinen.
Andre specielle ting som er specifikt for din virksomhed.

Før log over ændringer

Hvis du har gjort dig umage med at lave en ordentlig dokumentation, så vil du hurtigt finde ud af at det også er nødvendigt at dokumenterer når der sker ændringer. Ofte sker der et eller andet der virker mistænkeligt, og den store undersøgelse sættes i værk, blot for at kunne konstaterer at hele miseren skyldes at en eller anden har gjort et eller andet ved systemet, og glemt alt om det igen. Hvis du laver en procedure om at dokumenterer alle ændringer, store som små, midlertidige som permanente og gør noget for at det bliver overholdt, så vil du spare dig selv og IT folkene for mange spildte arbejdstimer og du vil meget hurtigere kunne identificerer problemer og deres løsning.

Opdater din baselining efter opdateringer

Husk at en hver update, service pack eller hotfix kan og vil medføre ændringer i det du baseliner. Det kommer måske nye filer med nye versionsnumre, builds mm, der kommer måske andre filer der nu skal dokumenteres, services ændre status eller kukkes helt, ligesom nye kan opstå. Dokumenter tingene igennem.

Dokumenter registreringsdatabasen.

Registreringsdatabasen er kritisk på et Windows system, der er faktisk tale om den centrale del af systemer, hvor alle settings findes. Mange undgår at rode med registreringsdatabasen fordi man kan lave ubodelig skade hvis man får sat noget forkert. Snakker vi baselining er det forholdsvis let, idet du ikke behøver ar rode i databasen, du kan nøjes med at eksporterer den til en fil, så du har noget at sammenligne med i fremtiden. Du eksporterer registreringsdatabasen til en fil ved at åbne registreringseditoren (Start – Kør – Regedit) hvorefter du eksporterer til en .reg fil (Filer – Eksporter). Navngiv filen med datoen og hvilken maskintype den hører til.

Når du vil sammenligne baseline registreringsdatabasen med en nye fil, så kan du anvende Microsoft Word til dette. Du starter med at åbne baseline .reg filen i Word. Du skal ikke blive forbavset over at den sikkert fylder mange tusinde sider, det betyder intet. Herefter bruger du Funktioner – Sammenlign og Flet dokument og peget på den nye .reg fil. Du vil nu kunne hoppe fra forskel til forskel via Korrektur linealen og knapperne næste og forrige.

Overvåg via tripwire

Tripwire er et Host Based Intrusion Detection system, der virker ved at holde øje med filer. Tripwire gør det at den tager en MD5 hashværdi af udvalgde filer og fil attributter (flag) og giver så alarmer hvis noget ændres. Det er klart at man ikke skal overvåge filer der hele tiden ændre sig, da man så hele tiden vil få alarmer der viser sig ikke at være noget som helst. Man skal overvåge udvalgte kritiske filer, som typisk vil blive ændret af en hacker og især hvis der indlæses et Rootkit. Der er her tale om de filer der typisk vil blive brugt til at finde hackeren. Følgende filer bør som minimum overvåges

C:\WINDOWS\system32\arp.exe:
C:\WINDOWS\system32\at.exe:
C:\WINDOWS\system32\attrib.exe:
C:\WINDOWS\system32\cacls.exe:
C:\WINDOWS\system32\cmd.exe:
C:\WINDOWS\system32\dcpromo.exe:
C:\WINDOWS\system32\debug.exe:
C:\WINDOWS\system32\edit.com:
C:\WINDOWS\system32\edlin.exe:
C:\WINDOWS\system32\finger.exe:
C:\WINDOWS\system32\ftp.exe:
C:\WINDOWS\system32\gpupdate.exe:
C:\WINDOWS\system32\ipconfig.exe:
C:\WINDOWS\system32\nbtstat.exe:
C:\WINDOWS\system32\net.exe:
C:\WINDOWS\system32\net1.exe:
C:\WINDOWS\system32\netstat.exe:
C:\WINDOWS\system32\nslookup.exe:
C:\WINDOWS\system32\ping.exe:
C:\WINDOWS\system32\rcp.exe:
C:\WINDOWS\system32\regedt32.exe:
C:\WINDOWS\system32\regsvr32.exe:
C:\WINDOWS\system32\rexec.exe:
C:\WINDOWS\system32\route.exe:
C:\WINDOWS\system32\rsh.exe:
C:\WINDOWS\system32\runonce.exe:
C:\WINDOWS\system32\secedit.exe:
C:\WINDOWS\system32\syskey.exe:
C:\WINDOWS\system32\telnet.exe:
C:\WINDOWS\system32\tftp.exe:
C:\WINDOWS\system32\tlntsvr.exe:
C:\WINDOWS\system32\tlntsess.exe:
C:\WINDOWS\system32\tlntadmn.exe:
C:\WINDOWS\system32\tlntsvrp.dll:
C:\WINDOWS\system32\tracert.exe:
C:\WINDOWS\system32\xcopy.exe:

Disse filer er også interessante for en hacker

C:\WINDOWS\system32\config\APPEVENT.EVT:
C:\WINDOWS\system32\config\SECEVENT.EVT:
C:\WINDOWS\system32\config\SYSEVENT.EVT:
C:\WINDOWS\system32\config\DNSEVENT.EVT:
C:\WINDOWS\system32\config\NTDS.EVT:
C:\WINDOWS\system32\config\NTFRS.EVT

Ligesom der sagtens kan være andre filer der er interessante, så kan det også være at der er en eller flere af ovennævnte filer som du ikke har på dit system. Enten fordi du ikke har installeret dem, eller fordi listen her stammer fra en serverinstallation..

Baselining af netværksforhold

Baselining af de ting der foregår i et netværk er mindre præcise og overskuelige end når vi taler om maskinting, der typisk kan listes og sammenlignes. Der er dog alligevel ting der bør gøres for at have et sammenligningsgrundlag.

IP adresser.

Lav en liste over IP adresser i netværket, gerne opdelt på segmenter. Dette er selvfølgelig lettest hvis man anvender faste IP adresser, men kan også gøres med DHCP. Det er en stor sikkerhedsmæssig fordel hvis IP scoopet passer præcist til antallet af maskiner så der ikke kan sættes nye maskiner på uden at en administrator har været med på det.

MAC adresser.

I gamle dage var MAC adresser hardcodet/brændt ind i netkortene og kunne ikke ændres, i dag kan de tildeles dynamisk på mange netkort og også ændres af brugeren. Med Værktøjet ArpWatch kan du holde øje med MAC adresser og tildeling af IP adresser og dermed lave en baselining af det fysiske lag på dit netværk. Lad ArpWatch køre et par dage i nettet, husk at placerer maskinen med ArpWatch rigtigt hvis du har switchet net så du fanger det hele.

TCP/IP

Her er vi ude i noget af det mindre præcise. Med programmet TCPDump (WINDump hvis vi taler windows) og WireShark oven på som grafisk flade, kan du sniffe alt trafik til en fil og så efterbehandle filen. Hvis man sniffer over en periode, kan man lave statestik over hvor meget af trafikken der f.eks. er web (port 80) trafik, hvor meget der er mail (portene 25 og 110) trafik osv. Jo mere detaljeret man kan lave sin statestik, jo mere brugbar bliver den når der skal sammenlignes.

Husk at foretage snifningerne hen over året så du får sæson betonede svingninger med, f.eks. kan du opdage store ændringer i trafik billedet omkring års afslutning, jul og ferie perioder. Husk også at trafikbilledet ændre sig over tid. Med nye muligheder og programmer stiger og falder forskellige protokoller.

Network Monitor.

Med de fleste Network Monitorer er vi på applikationslaget. En del af disse bruger SNMP protokollen til at gøre deres ting. Sådanne monitorer intelligent placeret på netværkets enheder kan også sige en del om tilstanden af netværket og også give muligheder for at opdage monkey business. Microsoft har lavet et værktøj der hedder Microsoft Operations Manager (MOM) der i denne sammenhæng ser spændende ud, men mindre kan også gøre det.

Foretag evt. tests i et virtuelt miljø.

Hvis du vil hjælpe dig selv, så foretager du altid test, inden du ruller ting og sager ud i dit produktions miljø. Udrulning af en utestet service pack kan potentielt lamme et netværk i længere perioder og kræve meget tidskrævende role back arbejde når tingende i yderste konsekvens skal re-installeres manuelt.

Et virtuelt miljø med f.eks. VMWare er en stor fordel når man skal teste og tit vil du med et sådant virtuelt miljø kunne have baseliningen klar inden du ruller tingende ud.

Opbevaring af Baselining dokumentationen.

Baselining dokumentation bør ikke kun opbevares på elektronisk form. Forestil dig at en hacker har ødelagt hele dit system og dermed også afskåret dig fra at få fat i dokumentationen eller at du er oppe mod en rigtig dygtig hacker der har rettet i din baselining. Sidste situation er nok ikke så sandsynlig, men alligevel. Det er lidt ligesom den gamle historie med virksomheden der havde lavet en meget grundig Disaster Recovery planning, som de havde stående i mapper overalt i virksomheden. Da bygningerne så brændte ned til grunden, havde de planer for hvad de skulle gøre, desværre var alle planerne brændt med bygningen fordi ingen havde tænkt på at opbevarer dem et andet sted også.

Kontakt Os

Bufferzone.DK
C.F:Richsvej 90
2000 Frederiksberg
Denmark

e-mail
info@bufferzone.dk

Zones

- GraficZone
- ScriptZone
- LinkZone
- BannerZone

FocusZones

- webpromotion
- søgemaskineoptimering
- søgemaskinepositionering
- Søgemaskine
markedsføring
- google
- SEO
- Hacking
-Google