Merken

Zero-cost security monitoring

Zitierlink des Filmsegments
Embed Code

Automatisierte Medienanalyse

Beta
Erkannte Entitäten
Sprachtranskript
also mein Name ist verstorben war ich bin und konnte dieser
Vortrag ist
jetzt auf dem zu sehen sie Ökosiegel dem Monitoring soll nur er und kommt von der 2 Jahre in Fidschi unterrichtet in welches das bezichtigt und ich hatte keinen Unterschied dass nur hergekommen war also für die ist die Pazifik bis in den Tod ja ich bin Autor des Nagels Finger Kochbuches Mitautoren ich bin eigentlich immer heimlich Forschung im Bereich Intros mit hektischen und nutzte dafür maschinelle maschinelle Lernen Algorithmen und ich habe 5 Jahre öffentlichen Dienst gearbeitet als Netzwerkadministrator quasi als Brücken Zeit um meine Promotion damals zu finanzieren nahm ich das sehr viel mit naja auseinandergesetzt hat meiner Erfahrung hat in meinem Buch auch auf und schon zusammengepackt eine Baustelle die ich nie richtig abgeschlossen hat ist dass sich hier die Monitoring dagegen sind bisher in meiner Arbeit genau sagen also alles worum es in diesem Vorschlag nicht geht weil es ist immer irgendwie Sonne sondern zu Erwartungshaltung die ich am Ende nicht erfüllen können Sie diesem Vorschlag geht es nicht darum dass er das dieser Vortrag wird
euer Netz nicht sicher machen also ganz kurz auf den Verbrauch bedeute auf Englisch spricht jemand nicht Deutsch ändern wir
müssen Arzt wegen der schon so alt in Englisch als so weit geführt werden das ist ja eigentlich schon sollte es nur so das als an Englisch aber darum geht es in die Top und schafft ist jedoch keine wollte also es es geht jedenfalls nicht darum wer soll das
Netz wirklich sicherer sei nach dem Vortrag Intrusion Detection Monitoring wird nicht sichtbar sein und das ist jetzt keine Lösung ich für irgendwas Anbieter gebe ich Ideen und würde ganz gerne von euch auch den zurück bekommen dass
meine Idee ähnliche Vorfälle helfen Euch dabei Eure Monitoringsysteme so zu erweitern dass ihr die Möglichkeit hat sicherheitsrelevante Vorfälle zu entdecken und zwar das gleiche was ich nur mit dem intoniert Action System machen wo ich Eigenschaften eines Netzes ein Lernalgorithmus damit trainieren und der probiert Populationen beispielsweise zwischen Netzwerkverkehr unter bestimmten an der Tür herzustellen das Gleiche wie sind dazu als Menschen auch fähig dazu müssen wir die Daten also die Information aber visualisieren und ich habe ein paar Sachen rausgesucht die eigentlich auch zur normalen Monitoring dazugehören die erst wenn man diese visuell darstellt hatte man einen Vertrag hat eine bessere Chance zu erkennen wenn man ein Problem hat nicht nur Netzwerkprobleme oder oder oder dessen Dienst ausfällt sondern vielleicht auch ein Sicherheitsproblem von sich sagen Experten einholen kann und sagen ich habe das mal genau an ich habe kein Problem ich weiß aber nicht genau was ich die Ideen und es gibt viele viele Lücken und hier und über einige bin ich mir bewusst herkömmlichen separaten Vortrag über alles andere weiß ich vielleicht nicht ich würde darum bitten mir Feedback zu
geben über Email oder über über über die Webseite zum Buch oder über Twitter oder die erst vor wenigen Jahren konnten wir hier und da würde ich mich freuen wenn nicht nur um ,komma so ich fange mal ganz gern
an mit einer Geschichte also wie gesagt ich habe Arbeit als Wissenschaft ein Ausflug quasi in in eine Funktion Stelle gemacht und war mal selber Netzwerk-Administrator haben großes Netz gebaut Umstellung und von dem alten ATM-Netz auf mit 10 Gigabit Architektur mit einer 200 GB Chor und dem größten Fass wohl viele Gebäude 1 2 5 Millionen Euro so und da war damals die Anforderungen Jan Sicherheit Firewall alles total wichtig machen Sie mal nach und da waren wir es von 300 Tausend Euro das Verhältnis zu sehen und am Ende nachdem die fast gefertigt war war das Budget Tausend 30 Tausend und am Ende war die
Antwort klingt das nicht irgendwie auch so gehen nicht so und so kann er hat diese die mit dem sie Rohkost zitiert die Monitoring also das war jetzt zu mindestens 1 1 Energie aus oder später ist in das System am Laufen und die Idee war naja wenn man von Studenten haben die sich das angucken können die ganzen tollen Drachen den kann man das vielleicht so aus war das die 1. irgendwie versteht was uns in der normalerweise los ist was er unter Dienst normalerweise los ist und auch wenn Anomalien entstehen die nicht darauf hinweisen dass der Dienst nicht mehr funktioniert sondern darauf hinweisen dass dieser Dienst anderweitige Probleme hat dann können die damit identifiziert und das ist die die Idee wurde nicht in ich bin dann irgendwann zu Ende aber die Idee bleibt hat also um hier Monitoring ich nehme an dass alle von euch plumpe Art von Monitoringsystemen benutzen also einmal aus ist in der Rolle eines dieser zahlreichen Forts ist das richtig wer benutzt denn hier keinen Monitor ist es ok also im Endeffekt ist er einer selber und auch die Forts die nach Ansicht bewiesen relativ langen Zeitraum das gibt den großen Nutzergruppe Wohngemeinschaft es gibt unendlich viele Plug-ins einige die man benutzen kann und andere die man nicht benutzen sollte und wie die in ein angesehener und ein eigenes System lässt sich sehr sehr stark den Bedürfnissen anpassen wenn man eine bestimmte Umgebung hat und ja des Grafen ist möglich und es lässt sich auch ein bisschen Eigenliebe mit sowas wie eine Festung für zusammenbauen was in den bestimmten Bedürfnissen ab wie gerecht werde ich so es gibt der Grundannahme die ich gerne auch voll definieren würde man muss wissen man es nicht in der Lage das eigene System oder das des Netzes ein betreut sicher zu bekommen das ist wird immer unsicher sein aber sehr halt machen können die können Aspekte beobachten die auf ein ein ein ein Problem hinweisen das heißt also wir können nicht also wirklich keine Redundanzen einen waren wir sehr stark zwischen ausfallen dass anderes wird aktiv wird wenn wir das nicht überwachen und dass der Weg das wird jetzt aktiv ist dann werden wir wieder 1. Probleme mit Kriegen und wir werden weiter unten sind und leider dass das Backup gerät Mmm Mmm historisch und wie auch schon um die genutzt oder wenn wir das nicht überwachen haben betreten habe das Problem trotz der also selbst ermittelt und tanzen und wenn sie gilt ist es genauso alles dem Markt nicht gedeckt sein oder zusammenbricht es gibt ein Prozess der dahin führt und da können wir frühzeitig und wichtige Hinweise nach Hinweisen suchen also und früh zu erkennen wenn irgendwas schief läuft dann ganz wichtig sind historische Daten zum eine ganz wichtig für meine Ohren Moreton Monitoringsystem betreibt wirklich auch Grafen Grafen was irgendwie geht und ganz ganz wichtig Logdaten wegfahren das heißt alle Geräte die man überwacht die jedoch Block Daten auf zentralen Luchse aber die in in und in Verbindung mit den mit den mit denen mit denen er mit dem Performance-Daten sind laut Daten super hilfreich und gut als Resultat hätte ich ganz gerne oder ich habe die 1. Vorschläge ich hab etwa 30 mögliche Szenarien die man Monitoren kann die ich der Meinung bin dass die Helfer um Sicherheitsprobleme zu identifizieren ich habe das auf 10 Sachen reduziert nehmen neben Standardtext die man sowieso machen soll und das was ihn gleich noch einmal zusammen also ich glaub ich brauch ich nicht erklären wie man so ein Monitoringsystem aufgebaut das sowieso
alles schon hatte die relevanten Punkte sind dann vielleicht noch ja genau der wär erfährt ein größeres Netz ohne Manager mit ist also keinen authentisch
ist hat der Autor der also ein Produktions Netz wird in dem Bereich sei ich war 20 30 Rechner nicht visualisiert sondern tatsächlich eine eine Reihe von separaten wissen in sich einfach vor 5 Uhr Struktur davon mindestens 3 4 zwischen und noch etwas
stärker mit redundanten Chor ist was ich schon so wässrig und größeres Netz gehen würde aber was ich mit auch während meiner ist ist ein wirklicher entweder wenn es sich leisten kann Nachrichten separates wieder haben was nicht geroutet wird wo ich den Netzwerkverkehr durch Leid das heißt wenn ich zu am WE konfigurieren werden sollte vielleicht nicht über mein mein normales Nutzern jetzt machen gerade wenn einige Leute meinen immer noch das Hotel hätten und dass dieses dieses Auto Netz also idealerweise separat es wird billiger aber es wird schon werden wir so was unter einfach sei bereit das Management über fahren und dann kann man im Endeffekt ist das Monitoring auch über dieses arbeiten jetzt fahren abgesehen von der beliebt Schecks also natürlich wenig prüfen möchte ob ein bestimmter Dienste oder oder sind der Rechner für den Nutzer erreichbar ist und ob ich es nicht übers Internet zu machen das ist keine gute Idee war aber durchaus und wie alles was geht alle Abfragen die nicht unbedingt Nutzer seitlich durchgeführt werden über das was auf dem Spiel zu machen dann auf jeden Fall nehmen neben dem Erwerb die und die Standardtext und ich hat die auch gleich ,komma zusammengeführt Performance-Daten hab schon erwähnt aber genau und er sich für die Updates wie sich die Updates automatisiert 1 fährt auf seinen Systemen wie zumeist unter die während eines der Welt oder und so oder halt unter unter Windows meinetwegen auch solche benutzen muss es ist relativ einfach zu prüfen ob Soundcheck durchgelaufen ist oder einfach auch mal zu prüfen braucht das System jetzt hier gut so und es ist ganz einfach würde ich wirklich zuraten das zu machen der automatisiert Updates macht Sicherheitsupdates aber nie prüft ob die tatsächlich durchlaufen ist Problem also das gilt übrigens auch irgendwie für 5 Firmware von und welchen sollte man ganz einfach eine Blacklist am muss gucken gibt es und in sicherheitsrelevanten Vorfälle was der führende angeht also automatisch im Netz durch probieren ob ich nicht gerade und der Firmware drauf habe als meine oder in der ich nicht die ich gar nicht am Laufen haben nach einem automatisch Alarm bekommt und dann halt auch die Firma zu sprechen und werde können ganz wichtig wenn man zwar immer hat würd ich sehr empfehlen immer ein stabiles zu haben und einen Test mit dem Ende des Tests mit den neuen Features wenn Abschnittes automatisch in's stabile Image gebootet wird man damals Monitoring betreiben ergänzen 1. dass sie das System ist der es nicht für Sicherheit gebaut worden also einen Nagel aus lässt sich ziemlich schnell angreifen so Ordinarius Derivate sofern sie nicht irgendwie gecodet wurden die würde sie empfehlen den eigenen Monitoring Server zu fahren also eigene Hardware ist muss ja keine besonders aufwendige Hardware sein darauf zu 8. dass der der in der Lage ist es sicher dass es nicht allzu gut läuft und dass das System nicht über über http erreichbar sondern nur https und und viele andere .punkt Probleme auch angehen aber ich würde es auf die 3 Sachen begeistern kann man sich gut merken diese 3 Sachen meines 8. sind an sind am wichtigsten ist normal .punkt auch globale sprechen und das hat an idealerweise ist das System nur übers Meer erreichbar über das weltweite Netz aber es ist ja nicht nur um das also andere Sicherheitsprobleme
klar so war wie schon erwähnt so bald wie möglich irgendwie Plug-ins auf Band irgendwie waren es geht mit denen also bitte Erreichbarkeit Checks nicht ich wird dazu anraten keine Meinung Plug-ins zunehmend außer man hat selber kompiliert natürlich
eine ist wesentlich schneller als ein Mann den geht hat aber ich meine wäre würde aufgrund der produktivste war irgend einer ausführt und genau das passiert und wie die Leute einladen sich irgendwie bei Monitoring Plug-ins irgendwelche bei wurde einmal gucken funktioniert das ja das ist das es sich ja nicht irgendwie eine gute Idee geht deswegen irgendwie Plug-ins ankucken ganze gibt das kann man so lesen wie es halt Cecco oder so was halt kombinieren kann das in diesem
Fall es zu mindestens mal reinschauen oder zum 1. und Kollegen fragen ob ob ob wir das irgendwie nachvollziehen kann was einem Platten gemacht also Remote Access tirolischen also lokale also klagte sie lokal ausgeführt werden müssen weil sie mich ein externer interner Dienst geprüft wird wo das ist oder es ist in der System ist das lokale Plug-in Trägern muss aber ich 2 weiteres Mechanismen und Finale einmal über Essen 1. MTV 3 Jahre unter Windows gibt es nicht ja Pediküre steht unter Windows 2012 aber zumindestens wenn man nicht wenn man wenn man halt mit den Unix-Systemen oder in einem anständigen ist wie umgehen muss und sollte es endlich voran möglich sein und den Check-in Checker es 1 wie ich Zeit später noch wie man Plug-ins damit ausfüllen kann ist relativ einfach und das Gleiche gilt auch mit SSH den Schlüssel bilden was mit dem Chor dem Kommando verknüpft ist wohl die Parameter mit drin sind und denen einfach der Verbindung zum Zielserver aufbauen oder nur genau wieder der eine SSH Verbindung bis 1 ausgeführt wird und eine Rückgabe wieder zurückkommen was des Nagers aus werden kann und es gibt auch in der EG also in der NAP unterstützt SSL ist ist aber kaputt das heißt man ahnt es es gibt ein festes Zertifikate drehen nennen will es es unmöglich es gibt seit Jahren einen Patch dafür die aber nicht im nicht eingepflegt wurde ich bin gar nicht auf dem neuesten Stand aber Energie wird als nicht sicher jetzt erstmal setzen und Energie wenn es irgendwie möglich ist nur über das europäische Netz machen einen noch schlimmer ist es wenn es kleiner und es einem P v 1 Katastrophe 2 C lass ich lässt sich zumindestens und die einschränken von wem er vorher der T-Com und welche oral dies also so Triumvirat gelaufen werden kann habe ich auch total
aufgehört es sind wir vor 3 das kann er keine konfigurieren viel zu schwierig also also es mit viele Leser oder sowas nicht also das grüne ist es
den TV 3 durchgestrichen ist der S 1 auf 2 Paar das heißt es ist die einzige Modifikation mussten Nutzer kreieren ich muss ich muss da was das Recht setzen und ich muss definieren was dieser Nutzer darf nämlich dass es der Benutzer heißt es in der Erde nur lesend zugreifen und die Verschlüsselung ist klar aber alle es mit einer mit dem jeweils der gleichen Art ist der Aufruf der ist es ein bisschen länger als wenn es seine Ehefrau 2 war als mit
drin ist und was sie auf beide auf erstellt und unter anderem der Transport und wie Algorithmus gewesen wäre aber das ist das ist eine Welt die einfach so nehmen wir also
und man kann auch beides aktiv lassen kann sowohl wir mittendrin in der definitiv verlassen als auf den 1. Blick 3 Abenden geht halt beides sowohl 2 C als auch auf 3 und Plug-ins über SA-MP auszuführen kann man mit dem externen Kommandanten Kommando definieren in der SNP die Konfiguration des Ziels da wurde der darauf läuft und kann halt auf dem Plug-in verweisen das ausgeführt werden sollen und dieses Blatt keine Mitchell erst einen Weg über die passende O'Reilly aufgerufen werden und die können die relativ leicht bekommen ich habe den Urlaub
gemacht wo ich die Stelle mit Objekt Objekt aber ist es genau ein Objekt definiert worden da ist der der Abfahrt zum zum Eindringen in den Chat ab und das
was Teil der Monitore Plug-ins oder die nicht kann man aber sagen ist dass es unter den habe ich die verschiedenen Ausgaben werden zurückkommen wollen auch von von politischer gehabt und wir können Abfrage dieser alten ID kriegen wir den aktuellen Ausgabe wird aber das gerade ausgeführt ist der Rechner Ausgaben den wir abfragen können wir direkt ins nahe der Islam so
einige Empfehlungen war zuerst einen geht also wenn immer es eine TV 3 Anwälte 2 zu 1 bevorzugen das beides Autos beim Fahren also ich würde wieder 2 Ziele noch 1 1 1 1 1 0 zu 1 zwar mit dem Bus kombiniert ist wenig wird sehr davon abraten immer so sowas wie Public oder ließ mich oder besonders einzusetzen sondern halt nicht so wichtig ist ,komma nicht Stück zu setzen dass man mit gibt das sich automatisch ausprobieren kann dann kann man das bis jetzt Zugriffs Interface und wie einschränken auf dem schon das Netz aus einer bestimmten in einer Cafe angelegt ist das machen ich und andere ist und in dem man sie einfach die wir jetzt haben dass dies das ist die IP-Adresse der Interface Karte Einträge und dann lässt sich unter also unter V 3 lassen sich keine Einschränkungen beziehungsweise das ab abfragen Rechners machen weil davon ausgegangen wurde nämlich machen und für das ist mit der Verschlüsselung sicher genug ist aber und das zeigt wie man eine IP-Adresse und auch den Roadie deshalb wie also den Bereich wo eine Anfrage von einem bestimmten Rechner möglich ist und wie anstrengend das lässt sich auch relativ leicht machen indem man quasi in der Union und man definiert eine der beiden Regionen ich die Artikel mit dem Namen dahinter Gewinn nicht komplett ist und hat die IP-Adresse des Monitorings was und dann kann man die Uhr O'Reilly der spezifische die hinsetzen oder alt und entsprechend stark für die Romane Anfrage und ermöglichen so mit SSH wie
das ein bisschen anders aber am Ende für genauso einfach nicht Zeugen Schlüssel ohne ohne Pass weiß ist und dann schreibe ich vor den Delegierten die
Definition Kommando in dem Fall ist so ist das hat es in der 1. Ausgabe ich es ist ist dann noch ein paar Meter wo ich quasi Möglichkeiten einschränke die mit denen ,komma werden können dann kommt der Schlüssel ist derzeit werthaltig rausgeschnitten Unternehmen der Welt ist der schnelle wurde für von den Alliierten wurde und wenn ich jetzt
in der Kopie den Schlüssel war sie auch das in den habe ich auf das Zielsystem was sich überwachen möchte auf die natürlich das Kommando der ihr vorhanden sein muss das heißt es jetzt wieder in Fahrt Plug-in drin was ausgeführt werden soll und wenn ich jetzt ohne klare Verstöße mit mit dem entsprechend an diejenigen die der müsste dann eigentlich erst als ich so war heißt es jetzt hier und wie weit muss sich entsprechend was ich glaube ich ertragen habe bezahlt kommt direkt als Ausgabe ist die Ausgabe dieses Kommando solle das heißt man kann auch über eine 1. drastische den Emotionen Kommando und wie ausführen und wer von euch hätte jetzt das Argument dass es hat so viele Ressourcen verbraucht also SSH Multiplexing kann man sich angucken kann eine Verbindung haben zum Zielrechner alle bei der weiteren zwischen dem WDR durch durch die Multiplexing Verbindung verfehlte entsteht immer komplett weg und dann war ich es ja das ist nicht auf dem Rechner ist so normal zu Energie in Panfilo also nicht auf inhaltliche verlassen und also
SSL aktivieren gut und schön ist aber nicht sicher es wenn mir es möglich mit mit der ist es dasselbe Fermentation unter von Check in Check der weg sie ist aber kaputt das Missverstand habe es gibt jetzt dafür seit 2012 und der ist bis jetzt noch nicht ob ich würde empfehlen den man des
lässt sich der Zugriff auch auf der Erde auf dem Monitor ich selber und die einschränken dass es in der Energie kommt und oder halt 1
x innerhalb der Dekonzentration wenn man den Zauber den Großstadt eine Anfrage läuft dann rot ,komma anders da gibt es im Endeffekt bei den Monitoren Plug-ins nur 2. ist der Zug jeweils einer noch in anderen steckt man die ausführt dann über sudo definieren das habe ich jetzt hier nicht aufgeschrieben aber ich bin keine Webseite wo ich ich noch ein Auto dazu verfasst habe es alle Kommandos die Root-Rechte benutzen und für dich und für die so super Variante und mir nicht es so sos so alle die zunehmend dann haben alle es lassen sich Kommandos als alias definieren unter NAP unter dem alias lassen sich denn alle Parameter mitgeben die mit dem Kommandos verknüpft sind und dann kann man zusätzliche Parameter von der Energie E komplett streichen unter Linux ist der Parameter dunkel NAP und unter eines kleinen +plus +plus ist die Windows-Variante ist es also verlor angemessen allerorten ist die Kennwörter sich weiter also verlor gemeint ist es relevante um alle Argumente zu unterbinden und quasi alle Texte alias laufen laufen zu lassen und Mehr Sicherheit das ist das man Sonderzeichen und hieraus so jetzt was sollte
man immer Monitor also das 1. Mal in meinem Empfehlung also ich würde gegenüber Check als die machen generell dann
wirklich des Ports zum 1. diese Pegida relativ einfach UDP klappt untereinander ist nicht wirklich gut ist das Holz auf Verfügbarkeit überwachen gehen derzeit Bandbreite da für die nächsten Tage sich genutzt wird steht also das alles ist möglich sagte sie von aus der man von uns und kommen die schon bisschen veralteter gibt es der gefixt der Fassung von von Michael Friedrich einer der ist in der Entwickler findet man aufgeht und der Vorteil ist also das sind diese diese Checks lassen sich alle auf Windows und Unix an wenn das heißt wenn man ja das Band fährt kann man 2 C fahren übers Arbeitsplätze alle Systeme an sowohl Windows als auch Unix mit dem Abfahren was und wie von Vorteil ist um Kraft zu bekommen die vergleichsweise sind also Netzwerk Bandbreite dann CDU Lot und ein Rahmen und Z
Bandes Festplatten Auslastung dann Prozesse also 40 hält sie davon ab was man für ein Zielsystem hat man einen Apache-Webserver hat oder aus der Datenbank natürlich muss man wissen wie viel Prozess ist jetzt noch mal auf meinen wenig Apache-Webserver kein 4 normal sein 8 normal sein man guckt sich nur weil am Ende kann man das entsprechend wie die Verfahrenseinstellung zu sehen ob man ob man da ein Problem hat oder hängende Prozesse die dann auf 2 auf offenen auf versuchten Exploit und wie Ameisen aus oder auch auf Zombie Prozesse checken das was ganz einfaches und den Exploit schief läuft bis beschieden wurde stand das 1 entsteht und den kann man damit sie unternahmen Sicherheitsupdates die von Totschlag hat es gibt check Ziel war das war Suse Check Updates ist und hält und alle erst ab der jetzt findet man bei eines kleinen +plus +plus ist ein kleines Skript was auf Windows Windows-Updates checkt 1 +plus +plus enstand was los ist in Essen in der WG eine so also was das noch der gesagt hatte in der Sammlung angefangen von von einer möglichen Klage 7 anfangen kann die darüber hinausgehen und 10 ausgesucht ich würde mich freuen wenn ich das war ich ein bisschen viel bekommen wenn der andere Sachen die er so in die Richtung gehen oder sagte der Checkliste blöd ist die überhaupt nichts würde ich gerne von euch haben wir erfahren dass es das ist offensichtlich hier ist wenn ich die die die Ideen die Standarddienste Monitor sehe ich sowas sieht aus ist es nicht erst dann wenn der Dienst nicht mehr geht dann ist sie das Last steigt auf dem Laufenden auf den offenen
offenen Netzwerk in der Datenbank was die Erreichbarkeit angeht ich wenn ich in Pink mache die Lage die Latenzen gehen hoch versicherte hatte Vorlaufzeit die ich ohne das Monitoring ich hätte aber die natürlich und schon durch sowas wie den ging schon mal so ein bisschen da ist aber ist es das haben wir relativ schnell und dann
gibt es Grund von 1. hat Passwort gesehen da gibt es in ganz ein also ich kann man sagen also es ist was aber warum nur mit Passwort können die Nutzer dann nicht irgendwie einfach einen Schlüssel generieren und einen ,komma Schüsse
und Passwort machen und dann haben wir den ganzen DoS-Angriffe nicht mehr so in der Art sind ja nicht mehr so ein Problem ist einfach so also es gibt ja diese diese Fehde zu beenden Skripte da kann eine ganze Menge erreichen wenn man dann zusätzlich die Zahlen und die Zahl der der Einträge in der in den in den in den auf in den in den ausschließlichen Lok falls irgendwie Monitor hat dann sieht man wenn ich also gleich mal etwas komplexere Angriffe gefahren werden das heißt wenn jemand mit mit vielen All-IP also schafft ein Feld für Ben vorbeizukommen hat nicht viele Einträge in meinem Block falls und wenn sich hier habe ich jemanden der nicht vielleicht noch viel mehr auf dem Kieker hat irgendwie als als andere und welche ist nach Last und der hat einmal die Ressourcen und häufig die IP-Adressen Zuwächse irgendwelche Mechanismen und an einem anderen Sohn Ben vorbeizukommen also einfach locker Aktivität man mit viel mehr man kann überhaupt locker locker Aktivität irgendwie Grafen und man sieht mit zunehmender Anzahl von Einträgen in den Sachverhalt dass man vielleicht irgendwas hatten wir mal angucken könnte was möglicherweise auf dem Markt ist also dann ist es gängige Aktivitäten also ich bin eigentlich jemand der denkt dass es gelingen kann und also ich meine sehr die Umschau das ist ein bisschen so Herr und es ist allerdings so dass man sogar einen eines aber ist aber es ist also der Vorlauf ist immer so der Vorlauf bis ist es kann jetzt irgend einer sein der sich jetzt auch umschauen ist ja ok aber oder es kann auch ein Vorlauf für Angriff seien und der Kunde kann er wie ein halbes Jahr später kommen den von ihm eine ganz andere die Daten wenn einfach mal eingesammelt wenn annehmen dass es wieder macht die Sache auch nicht so es gibt es gibt einfach gibt die Ports entstehen die es ermöglichen die die Bibel ist gern Aktivität auf auf einem niedrigen Level runter zu drücken und dann lassen sich jetzt auch mit dem mit dem Monitoring relativ einfache Regeln machen was man weiß aha dann draußen bekomme ich die ganze Zeit auf wenn von ihnen als einer macht und wie den Krieg der Band 1 auf die Finger oder ist wenn es jetzt um die eineinhalb Buchhaltung ist der das macht ist augenscheinlich nicht er selber so und man anders als internes geringer Aktivität ist es eigentlich dass man darauf 8. muss man was machen kann und wo man sich auch ein Alarm schlagen lassen kann also Web-Server kommen ,komma
ist hab wie schon gesagt und wie die Prozesse bei denen zu überwachen das ist individuell für jeden Webserver wie für Prozesse da laufen und mit der Zeit lässt sich dann relativ kleines Fenster setzen was so normal ist dann Modifikationen von sowas wie der ATX Testdateien einfach Kugeln ändert sich die Checksumme ganz einfach steckt und dann weiß man auch ob da jemand modifiziert verzeichnet zumal und Website die fressen ist ja auch ganz einfach einfach die Ausgabe einfach die Webseite
abfragen sich Schlüsselwort aus von der man hofft dass es ein Teil der Veränderung sein könnte nur aus der Sicht von jemand aus dem eigenen die paar modifiziert ist relativ einfach überhaupt 1. H e
s s e Checks würd ich sehr empfehlen also prüfen ob Webseiten Entwickler in Text und Bild zurückgeben wenn es sich machen sollten gucken ob die Zertifikate gültig sind überhaupt Zertifikate als nicht Alarm schalten 3 Monate bevor das Zertifikat abläuft nach es ist total einfach und es hilft eigentlich irgendwas zu ändern ich einen Zettel der vor einem Monitor klebt und und dann um eine Woche vor der totalen Stress eine Entschuldigung ich habe nicht ganz verstanden also es geht um und schickt den schon gibt es die dem in den Dom vor vielen vielen Dank es ist er selbst auch okay aber ok also es ist noch kein fertiger Texte Programm für nutzen aber super dann verschicken abgezogen und der hat so mir dann irgendwann keines der Zertifikate selber prüfen Medizincheck SSL sehr Check würde es bei den Monitoren Plug-ins also womit ich meine Diener des Plug-ins sag ich aber nicht mehr Monitoren und dann kann man natürlich am Wege auch auf bekannte Sicherheitslücken checken zum 1. Mal ist es recht hilfreich hat jemand den Stecker Rapid gemacht haben dann kann man sich relativ einfach sich und Schlägereien setzen Infrastruktur durch Prüfungen den Leuten und auf die Füße treten als müsste ich meine man hat dem Problem noch einen formalen wieder entfernen werden entsprechen ungefähr umgestellt sind also nicht auf Dauer laufen lassen es macht keinen Sinn mehr macht einmal in diese Lücke einmal und wie löst man kann sie auch Text zusammensetzen wenn man weiß man hat jetzt eine unverzerrte Mailingliste gelesen die Versionen von Apache erhalten Sicherheitsprobleme gucken ob die Version irgendwo läuft nach einfach Version steht auf Programme machen sich selber eine kleine kleine Tabelle machen und prüfen ob das ob ob ob diese Version die man erfährt und wie wir die Blacklists sondern arbeiten ist es vielleicht nicht so den es Gesundheit man kann und wie relativ einfach mit Scheck DNS Auflösung prüfe man kann gucken ob der eigene DNS-Server ist und wie der antwortet auf der und auch der ostdeutschen würde ich sehr empfehlen diesen Schecks zu machen ich habe das selber mindestens schon einmal erlebt und wie das das auf auf andere DNS-Server umgeleitet oder sich in einer so dann also ich habe eine gute Lösung für diesen Nische gefunden also im Endeffekt wenn ich dann irgendwo meinen jetzt was ich betreue Wette auf die denn die gehen meistens irgendwie ist inzwischen auch im Klopfzeichen verbunden wie das heißt die wirklich die ganze Zeit offen sein aber ich kann zumindest das Gruppen wie die ich Dienste an die nicht überwachen also die jetzt oder die Umwelt beim Update von und System was ich da habe und wie erfahren wir nun das eigene Netz die Ganzheit des IP relativ einfach irgendwie in den trotz gehen dass wir ziemlich großen Aufwand verbunden kann man vielleicht einmal die Woche Netzanbindung durchlaufen lassen wenn man nicht um das Erzeugen besteht darin aber also so richtig zufrieden bin ich mit der Lösung ich da könnt ihr Ideen gebrauchen und wie wie man quasi auf interne Dienste die man nicht nicht überwacht prüfen kann er aber in dem moderaten Zeitfenster ja ich habe ja noch ja ja ja also aus der Richtung Mehr erledigt ist dies aber laufen meistens durch und er hat ja ja ja ja ja und dann auch noch den einen oder anderen ja auch ok und diese war dann wird er ja auch das kann man machen wir ab ab ab ab ab mit Email-Siegel und zwar ich glaube der der der interessanteste checkt also ich weiß viele von euch haben wir aber bestimmt auch noch irgendwelche wird die Email haben Sie ab und zu mal benutzt sondern wir so was ja und dann wir einmal prüfen diese großen Anbieter gar nicht ob es oft wenn es drauf sind sondern irgendwie warten so bis irgendeiner sich beschwert habe es ein bisschen Eindruck an ich glaube den Sinn sie sind Ratschläge es ist Blacklist zu überprüfen und dann bin ich oben Ihnen also gerade für für für kleinere Leute die ihre sag ich mal kleineren melden so erfahren und wie führen würden diese Mitarbeiter handelte es ist glaube ich ganz relevante vorgelegt zu checken und die andere natürlich die IBM-Manager länger wenn nichts wenn wir über einen der Region ziemlich schlank werden und dann kann ich aber genauer zu gucken ob es jetzt eine von mir ist und wie er das Sekretariat ist sich entschieden haben und die deutschlandweit und für Emails Emails verschicken oder ob es sich um die interne Maschine ist am wie die das Email-System für Missbrauch oder ich vielleicht eine Sicherheitslücke habe verdächtigt der CP Gesundheit ich weiß nicht also ist das Problem dass in der im Internet den 2. Azubis aber da ist wirklich immer noch als relevant ein sind es sei sei denn man kann sich Switches leisten die das unterbinden soll ich in meines Erachtens nicht erst wird schwer das leistet und letztlich auch relativ leichter Check von dem Umsätzen von eine Anfrage ins Netz schickt und guckt irgendwie ob er vielleicht doch einmal auch dann noch ein Drucker antwortet und der Meinung ist und auch Adressen zu verteilen und zu sitzen oder Sicherheit es geht bei den etwas teureren Switch haben viele von den Geräten
haben sowas wie nie Intrusion-Detection-Systeme da drin das heißt es würden Sicherheitsalarm daher wollte ich manch eine Lampe dran angezeigt wird Sicherheitsprobleme was ich mir das vorstelle und der gesamten Gruppe und wie kann man die die Treue zu
kaufen die das irgendwie alles von der Oberfläche die auch genauso nur mit diesen Geräten funktionieren diese dieser Alarm Werte lassen sich aus den meisten zwischen und drohte ihr SMP auslesen also ein wenig mit versorgen von Switch Hersteller oder Routerhersteller und gucken ob ich Sprecher Alan werde darin finden also aber man kann ja zum Beispiel Tieren die Zahl der MAC-Adressen in die einen Port zugelassen werden oder wie auf das wechseln darf und der Alarm der
generiert wird der gelaufen und oftmals so lange bis Haltung bei der pro ausgeschaltet wird und dann kann man an ihren aber sehr sinnvoll und wieder ein paar Stunden Zeit zu haben um da um zu sehen ob es einfach nur jemand Einwände virtualisierte Umgebungen auf seinem Laptop hat was halt diese MAC-Adressen und erzeugt oder ob ich der Verzicht mit Perspektive 2. Infrastruktur habe die ihn nicht haben kann soll man keine Promiscuous Mode prüfen das kann die meisten zwitschern machen ob ob der Netzwerkkarten in den in den in den Selfie-Modus geschaltet worden sind halte ich für sehr sinnvoll ist und wie viel Kleinarbeit für meist nach 2 der Text muss das auf dem auf dem auf dem Host gemacht werden und die haben auch direkt im Park auf den Switch selber und es sind meldet aber dass sie guckt hat keine auf den auf die die oder vor einer MAC-Adresse ekstatischen und wie erwähnt das dann auf dem Loch ist es gibt es gibt es gibt Jack lockt das kommen mit denen mit denen einer Monitoren Plug-ins mit es gibt aber auch um die Check falls ist ein separates Plug-in ist es von Lausanne muss ich mal überlegen genau und das ist ziemlich komplex also damit lassen sich auch damit lassen sich komplexe Meldungen aus den Logs auslesen und interpretieren ich finde dass die vorhandene Dokumentation rechtlich zwar ausführlich ist aber nicht wirklich hilfreich was ich hier ansehen würde ist eine Liste von von von sinnvollen checkt Blocks war also würden sich rückwärts der zusammen die auf der Webseite von Lausanne angucken ist er es ist im Netz Spezifisches gibt es bestimmte Locks nachdem man manuell so Blogeinträge lacht immer wenn man Probleme hat Manuel sucht einen Weg das lässt sich automatisieren Mitch Mitchell Blockfreiheit falls ich würde das in vielen Fällen aber wie gesagt habe ich keine spezielle Beispiele an denen wir aber eine Rückmeldung und der letzte Punkt womit ich sie nicht posieren gemacht habe und die Firmwareversion Weg zu zum Monitor das hab ich ja schon erwähnt und die meisten Geräte haben lassen sich mit 2 Firmen beladen und dass man eine eine eine eine Blacklist beziehungsweise eine so weit lässt und wie betreibt mit mit mit Firmware-Version die auf den eigenen Hof den eigenen Netzwerkinfrastruktur ok ich hab das meiste was ich hier vorgetragen habe ihn auszusagen kleinen Rezepten in in meinem
Buch ich hab eine Seite dazu von Info und dadurch dass das Buch inzwischen also das ist das Mark ihres ist wegen der Kochbuch das aber erschienen dass es bald Autos könnte das
heißt am Wege oder lieber erfreulicherweise nicht genug um den Autoren die Möglichkeit zu geben auch Weg die Rezepte und viel zu publizieren und es wäre sukzessive Monolog Info machen alles was ich hier erwähnt habe und großer Teil davon ist ein Rezept enthalten ich geschrieben habe und die wirklich im Lauf der nächsten Woche und die online stellen können ich dann auch für Unterlagen und wie das vielleicht helfen könnte und Konfiguration nachzuvollziehen ich vorgeschlagen habe wie gesagt ich würde mich über möglichst viele Rückmeldungen freuen wenn ein wenig Pop Plug-ins geschickt bekomme ich guck mir gerne an ich überarbeite die gerne Autoren einverstanden sind will ich auch gerne wieder kann der Autor ich würde es unterstützen dass es dann wieder nach kompliziert ok danke
Software
Brücke <Graphentheorie>
Algorithmus
Inverter <Schaltung>
Algorithmische Lerntheorie
Computeranimation
Inverter <Schaltung>
Enhanced IDE
Computeranimation
Expertensystem
Numerisches Gitter
Dienst <Informatik>
Population <Informatik>
Ähnlichkeitsgeometrie
Information
Inverter <Schaltung>
Programmierumgebung
Computeranimation
Twitter <Softwareplattform>
Firewall
Web-Seite
E-Mail
Computeranimation
Mathematische Größe
Formation <Mathematik>
Server
t-Test
Sicherungskopie
Plug in
p-Block
Computeranimation
Programmfehler
Graph
Numerisches Gitter
Zeitraum
Dienst <Informatik>
Energie
Internetdienst
Programmierumgebung
Softwaretest
Formation <Mathematik>
Server
Internet
Hardware
Produktion <Informatik>
Reihe
Abfrage
Update
Computeranimation
TOUR <Programm>
Graph
Dienst <Informatik>
Rechenbuch
Eigenwert
Firmware
Server
GNU <Software>
Internetdienst
Systems <München>
Programmierumgebung
WINDOWS <Programm>
Formation <Mathematik>
Plug in
Programmierumgebung
Computeranimation
Parametersystem
INGA <Programm>
Digitales Zertifikat
Remote Access
Stellenring
Träger
Plug in
Computeranimation
Zeichenkette
LINUX
Patch <Software>
Dienst <Informatik>
Energie
SSH
WINDOWS <Programm>
Zeichenkette
LINUX
Algorithmus
Chiffrierung
Modifikation <Mathematik>
Computeranimation
Zeichenkette
LINUX
Code
Chatten <Kommunikation>
Plug in
Lead
Konfigurationsraum
Nabel <Mathematik>
Computeranimation
Formation <Mathematik>
Datenbus
Constraint <Künstliche Intelligenz>
Datensichtgerät
Abfrage
Monitoring <Informatik>
ACCESS <Programm>
Plug in
Lead
Netzadresse
Nabel <Mathematik>
Computeranimation
Chiffrierung
Rechenbuch
Schnittmenge
Zugriff
Agent <Informatik>
Meter
Computeranimation
Energie
Rechenbuch
make
Konfigurationsraum
Machsches Prinzip
ACCESS <Programm>
Plug in
Computeranimation
Inverser Limes
Parametersystem
Datensichtgerät
make
Konfigurationsraum
Plug in
ACCESS <Programm>
Web-Seite
Computeranimation
Inverser Limes
LINUX
Energie
Zugriff
Sonderzeichen
UDP <Protokoll>
Kraft
Verfügbarkeit
UNIX
Formation <Mathematik>
Befehlsprozessor
Dienst <Informatik>
Softwareentwickler
Systems <München>
Computeranimation
WINDOWS <Programm>
Machsches Prinzip
Datenbank
Formation <Mathematik>
Detektion
Dienst <Informatik>
Update
Exploit
Checkliste
Computeranimation
HOL
Richtung
Graph
Dienst <Informatik>
DOS
Prozess <Informatik>
Last
Festplatte
RAM
Passwort
Befehlsprozessor
Programmierumgebung
WINDOWS <Programm>
DoS-Attacke
USB <Schnittstelle>
Formation <Mathematik>
Detektion
p-Block
Großrechner
Kryptoanalyse
Netzadresse
Zahl
Computeranimation
HOL
Graph
DOS
Menge
Last
Skript <Programm>
Passwort
Passwort
p-Block
Zeichenkette
Mustersprache
Server
WEB
Prozess <Informatik>
Web Site
Web-Seite
Apache <Programm>
Computeranimation
Sechs
Router
Server
Datensichtgerät
Programm
Extrempunkt
Web-Seite
E-Mail
Netzadresse
Computeranimation
Richtung
Graph
RAPiD <Programm>
Version <Informatik>
Switch <Kommunikationstechnik>
Softwareentwickler
E-Mail
Internet
Digitales Zertifikat
Tabelle
Konfigurationsraum
ARP
Firmware
Mailing-Liste
Plug in
LAMP <Programmpaket>
Apache <Programm>
PICA <Bibliotheksinformationssystem>
Erzeugende
Dynamic Host Configuration Protocol
Dienst <Informatik>
Lag
Softwareschwachstelle
Internetdienst
Version <Informatik>
Programmierumgebung
Router
Server
Punkt
Datensichtgerät
Konfigurationsraum
ARP
Firmware
Plug in
p-Block
Web-Seite
Zahl
Computeranimation
Großrechner
Logarithmus
Notebook-Computer
Multi-Tier-Architektur
Version <Informatik>
Switch <Kommunikationstechnik>
Programmierumgebung
Rückkopplung
Point of sale
Plug in
Outlook
Konfigurationsraum
Computeranimation
Software
Outlook
Computeranimation

Metadaten

Formale Metadaten

Titel Zero-cost security monitoring
Untertitel with Icinga
Serientitel FrOSCon 2014
Teil 23
Anzahl der Teile 59
Autor Staudemeyer, Ralf C.
Lizenz CC-Namensnennung - keine kommerzielle Nutzung 2.0 Deutschland:
Sie dürfen das Werk bzw. den Inhalt zu jedem legalen und nicht-kommerziellen Zweck nutzen, verändern und in unveränderter oder veränderter Form vervielfältigen, verbreiten und öffentlich zugänglich machen, sofern Sie den Namen des Autors/Rechteinhabers in der von ihm festgelegten Weise nennen.
DOI 10.5446/20994
Herausgeber Free and Open Source software Conference (FrOSCon) e.V.
Erscheinungsjahr 2014
Sprache Deutsch
Produktionsort Sankt Augustin

Inhaltliche Metadaten

Fachgebiet Informatik
Abstract Open source monitoring solutions like Icinga cover most of the network administrators monitoring needs. These systems are highly customisable with various add-ons and plugins proven in years of application. In this talk we share a selection ideas for monitoring security relevant activity and events with Icinga. This includes reminding on outstanding maintenance operations, detecting anomalous activity, monitoring (and control) of brute force attacks running, and most certainly the security of Web, DNS, Email and DHCP-services in general. Given an existing Icinga monitoring system (like we documented in our 'Nagios/Icinga Kochbuch' recently published by O'Reilly) and not the resources to setup a proper security monitoring solution (like it is unfortunately under normal circumstances the case); why not at least improve network security by adding few more plugins? Following the presentation there will be a discussion were we will encourage interested individuals to propose (or even contribute) security relevant checks missing. The most interesting contributions might get implemented, documented and published. Resulting plugins will be made freely available.

Ähnliche Filme

Loading...