» »

Univerza v Mariboru tarča kibernetskega napada

1 2
3
4

socialec ::

No, nisem vključen v to ampak iz vzporedne dejavnosti s podobnimi težavami.

Noben profesionalec ne more svetovati rešitve, če inputi manjkjo, članek ne postreže s podrobnostmi...
Znanje je zagotovo poslovna skrivnost, kaj drugega pa bi naj bilo poslovna skrivnost?
Mogoče sama situacija niti ni bila predvidena, da je rešljiva in je tole inside job?

Če bi tule napisal po točkah pravočasno - koliko bi sploh bilo upoštevano?

Ales ::

Malo je nenavadno, da še ni zahteve po "odkupnini", če to drži. Ker bi to posledično pomenilo, da je napad drugače motiviran.

Seveda pa so to vse špekulacije, ker nimamo dejanskih informacij. Glede na to, da je sigurno preiskava v teku, je to tudi pričakovano... kar pa seveda ne pomeni, da ne moremo biti radovedni in pri vsem skupaj pač malo špekulirati...

pegasus ::

misek je izjavil:

Tukaj na forumu je bilo kar nekaj komentarjev znalcev, ki stvari povedo samo na pol. Če jih zares dobro poznajo, naj kar le-ti podrobneje predstavijo kako bi rešitve morale delovati v praksi. Zgleda so to poslovne skrivnosti.
Vsa poanta informacijskih rešitev je, da so *prilagojene* specifičnim zahtevam organizacije. Obstaja sicer nek presek, kjer se najdejo skupne točke, a te niso pravilo, samo priporočilo. Microsoft s svojo standardizacijo poslovnih okolij omogoča avtomatizacijo vdiranj vanje, zato je največji korak, ki ga lahko narediš za varnost ta, da nisi standarden. To seveda prinese ceno v smislu potrebe po ljudeh, ki vejo kaj delajo, potrebuješ tudi procese ohranjanja institucionalnega znanja, ampak kar sem do sedaj uspel videti, je ta cena vedno precej manjša kot cena pobiranja po enem takem neljubem dogodku. Ko na koncu potegneš črto, je vprašanje organizacije ITja stvar kulture podjetja oz. okolja, v katerem deluje.

kanarin ::

Torej definitivna rešitev zate je poenostavljeno rečeno "stran od Microsofta" ? Verjetno boš tudi trdil da je to v praksi enostavno izvedljivo ? Kako se je že zaključil tisti famozni projekt uvedbe odprtokodnih sistemov (linux) v javno upravo ?

Ales ::

kanarin je izjavil:

Torej definitivna rešitev zate je poenostavljeno rečeno "stran od Microsofta" ? Verjetno boš tudi trdil da je to v praksi enostavno izvedljivo ? Kako se je že zaključil tisti famozni projekt uvedbe odprtokodnih sistemov (linux) v javno upravo ?

Ponekod še traja oz. je bil izpeljan, drugje so lobiji uspešno zarili svoje kremplje v ubežne sužnje.

Ne vem, kak je bil sistem Univerze v Mariboru, kar se tiče varnostnih kopij in nasploh zasnove. Morda kdo v tej temi ve in lahko napiše. Brez podatkov se je v kontekstu tega težko pogovarjati.

pegasus ::

kanarin je izjavil:

Torej definitivna rešitev zate je poenostavljeno rečeno "stran od Microsofta" ?
Ne, poenostavljeno rečeno je zame rešitev multikulti. Stran od monokultur. Vidiš, kakšno sranje delajo. Obstajajo samo zato, ker je ljudem v njih bolj udobno.

AngelOfDeath ::

bbbbbb2015 je izjavil:

ferdov je izjavil:

Praktično vsi boljši backupi imajo feature retention lock ravno za primer ransomware napadov. Samo postaviti je treba pravila.


To niti nima kaj dosti veze z backupi in njihovo konfiguracijo.
Backup server bi moral biti v drugem segmentu mreže, lahko tudi virtualne, saj vmes je lahko virtualni požarni zid. Tako da fizično to sploh nič ne stane, niti ne predstavlja (resnega) bremena za nek esxi.

Moral bi imeti drugega administratorja (login), ter biti v drugi windows domeni.

Ker če ransomware "preskoči" na drug server (ker je admin isti), ti fajle povozi. Ponavadi so to virtualni trakovi na velikih diskih, oz. D2D2T.

Če ti pa backup fajle povozi (kriptira), nimaš nič. Vseeno, kako imaš retention konfiguriran, ker nimaš fajlov, ki so virtualni trakovi.

Če pa nimaš niti (zunanjih, fizičnih) trakov, pa nimaš povsem nič.

Četudi nimaš D2D2T ali nočeš imeti, lahko narediš letni ali polletni backup na nek trak. Ali BR ali nek eksterni medij pač. To skoraj ne stane nič in četudi je to 10 starih DAT trakov, kar stane malenkost, če niti tega nimajo, potem...

Da ne govorim, da niso prakticirali disaster recovery ali imeli sekundarni računski center.

Zimonem je izjavil:

Točno to, če kot študent ne zgrunta ne bo nikoli.


Študentje se učijo na faksu. To frazo ne gre razumeti dobesedno. Ni faks ali univerza kot nek poskusni zajec, če crkne, pač yebiga. Če pa ne crkne, pa so se študentje nekaj naučili.

Univerza dobi denar, tudi za IT in to ne malo denarja.


Pri vseh kodiranjih podatkov podjetij kjer sem bil poleg je zadeva potekala na podoben način.
Prišli so v sistem (Nezavarovani RDP, uporabnikov računalnik...) in iz njega bruteforcali geslo za admina. Ko so to imeli so en čas (par dni, teden, itd...) spremljali da so videli kako cel sistem deluje. Nato so čez vikend izvedli napad. Kriptiranje podatkov in uničili backup. Vse kar je bilo nastavljeno po "predpisih in pravilih stroke" je šlo papa. Vdrli so tudi v tape knjižnjico in pognali uničenje vseh kaset z backupi.

Ker pa jaz zadev pri 200+ strankah nisem imel nastavljenih po "predpisih in pravilih stroke". So pri "meni" v najslabšem primeru uničili 1 kaseto v knjižnjici ter pogon.

Stranke so se v nekaterih primerih odločale za plačilo saj je bilo tako precej ceneje in hitreje vzpostaviti sistem nazaj v delujoče stanje.
Poleg tega so ti "hekerji" poslali celoten dokumentarec kako so prišli not in kaj so delali.

Cena odklepa je bila pa manjša kot mesečna plača administratorjev tam.

Vem pa točno kako je potekalo ker sem mel iz določenih razlogov vse loge konstantno backupirane in sem lahko videl kaj delajo in kje.
Žal jaz logov nisem gledal če imajo "varnostne težave" ampak sem gledal
kje so bili vzroki za težave z "backupi".

To sem začel spremljati šele po teh dogodkih čeprav to ni bilo moje delo.

In ja ko si redno spremljal te loge si lahko marsikaj preprečil...
edit: Slovnica

Glugy ::

OracleDev je izjavil:

Bile so varnostne kopije, zdaj pac niso več. Ni ti treba secirat vsake besede, ce bi bil pameten bi vedel kaj je blo mišljeno s tem.


Če se prek istega sistema, istega vira okužbe uniči kopijo to pač ni varnostna kopija. Varnostne kopije se da naredit, ta kopija ni bila varnostna. Ja razumem da je bilo mišljeno kot kvazi varnostna kopija ampak to ni to no. Sej je tud teb jasno da to ni to.
Ni važno kaj je v teoriji, važno je kaj je v praksi. Severna Koreja je tud v teoriji demokratična ker se sama tako imenuje, pa to še ne pomen da je to res.

Zgodovina sprememb…

  • spremenilo: Glugy ()

AngelOfDeath ::

tony1 je izjavil:

"Backup server bi moral biti v drugem segmentu mreže, lahko tudi virtualne, saj vmes je lahko virtualni požarni zid. Tako da fizično to sploh nič ne stane, niti ne predstavlja (resnega) bremena za nek esxi."

Tudi to je lahko nevarno, ker je ESXi zluknjan ko ementaler, vedno znova se v njem najde katastrofalne luknje, updejta se ga pa ne, ker nimajo znanja in izkušenj, kako to gre, pa še sistem je "prepomemben". In ti uletijo not in na nivoju ESXija zakriptirajo vse...

Dejansko je stvar tako huda, da je čas, da se naredi novo verzijo CVIja, in ljudem, ki kaj znajo da poslanske plače. Zunanje izvajalce pa pošlje kamor sonce ne posije...

Admin dostop do bekap sistema (ne samo enega, kot so se lepo naučili na LL) bi moral biti ločen na določeno delovno postajo, ki sploh ne bi bila v mreži. Časi, ko sta bila kišta in monitor omembe draga stvar so že dolgo mimo.


Ko sem bil še tu poleg je bil ta Esx-i brezplačen
Sedaj pa ugani česa v brezplačni različici ni bilo in je bilo navoljo samo če si
zadevo kupil/dokupil.
Nekaj zelo pomembnega za backupiranje...
edit: Slovnica

Daniel ::

V glavnem, računalniške vede študirajte na UNI-LJ. Da ne bomo prišli nazaj do dejstva, da tisti, ki ne ve kako nekaj narediti, to uči.

Zgodovina sprememb…

  • spremenil: Daniel ()

pegasus ::

misek je izjavil:

Tukaj na forumu je bilo kar nekaj komentarjev znalcev, ki stvari povedo samo na pol.
Also, v javnost ne greš razlagat, kako imaš zastavljen multi-layer defence v globino v svojem okolju. To je tako, kot da bi napadalcem razkril svoje obrambne načrte. Obstajajo dobre prakse na to temo, ki si jih z zanimanjem prebereš in prilagodiš za svoje potrebe in scenarije.

JeBelaCesta ::

ali pa tudi ne ;-)
https://www.uni-lj.si/novice/2023-07-21...

Daniel je izjavil:

V glavnem, računalniške vede študirajte na UNI-LJ. Da ne bomo prišli nazaj do dejstva, da tisti, ki ne ve kako nekaj narediti, to uči.
lep pozdrav iz višav ;-)

Zgodovina sprememb…

sbawe64 ::

pegasus je izjavil:

misek je izjavil:

Tukaj na forumu je bilo kar nekaj komentarjev znalcev, ki stvari povedo samo na pol.
Also, v javnost ne greš razlagat, kako imaš zastavljen multi-layer defence v globino v svojem okolju. To je tako, kot da bi napadalcem razkril svoje obrambne načrte. Obstajajo dobre prakse na to temo, ki si jih z zanimanjem prebereš in prilagodiš za svoje potrebe in scenarije.

Security through obscurity se ponavadi ne obnese.
2020 is new 1984
Corona World order

Saul Goodman ::

sbawe64 je izjavil:

pegasus je izjavil:

misek je izjavil:

Tukaj na forumu je bilo kar nekaj komentarjev znalcev, ki stvari povedo samo na pol.
Also, v javnost ne greš razlagat, kako imaš zastavljen multi-layer defence v globino v svojem okolju. To je tako, kot da bi napadalcem razkril svoje obrambne načrte. Obstajajo dobre prakse na to temo, ki si jih z zanimanjem prebereš in prilagodiš za svoje potrebe in scenarije.

Security through obscurity se ponavadi ne obnese.


lol, ne vem če razumeš pomen tega reka. security through obscurity bolje opiše situacijo, ko skrivaš ssh port na 2222 namesto na default 22, še vedno pa uporabljaš password login in imaš omogočeno ssh prijavo z root accountom.

ne pa v primerih, kot je informacijsko varnostna politika, lol. valda se take zadeve skriva. javno razkrivat blueprinte tvoje informacijske infrastrukture _je debilno_.

bbbbbb2015 ::

sbawe64 je izjavil:

pegasus je izjavil:

misek je izjavil:

Tukaj na forumu je bilo kar nekaj komentarjev znalcev, ki stvari povedo samo na pol.
Also, v javnost ne greš razlagat, kako imaš zastavljen multi-layer defence v globino v svojem okolju. To je tako, kot da bi napadalcem razkril svoje obrambne načrte. Obstajajo dobre prakse na to temo, ki si jih z zanimanjem prebereš in prilagodiš za svoje potrebe in scenarije.

Security through obscurity se ponavadi ne obnese.


Security through obscurity je danes samo še mitologija.

To je bilo aktualno bolj v dnevih, ko je recimo remote sistem imel na ttyS0 priklopljen modem, pa če si se konektal na pravo telefonsko, ter nastavil prave hitrosti, si dobil prompt od sistema.

Tudi A5/1 šifrirni algoritem je bil znan že na začetku, da ni najbolj varen, to je bilo mišljeno bolj "export grade". Zato so ga skrivali, ne da bi šlo za neko napako.

Gre se za to, kot je nekdo že prej povedal, koliko nivojev varnosti imaš, kako imaš varnostne kopije organizirane, kako imaš definirano "business continuity", torej če eden ali pomemben del sistemov izpade, kako naprej.

To se praviloma ne govori, ker to že samo po sebi pomeni, da če nekdo to ugotovi, je že to samo šibka točka.

Recimo za največji rop diamantov v Amsterdamu je bil ključ od trezorja dve pisarni naprej, v predalu. Sicer pod enostavnim alarmom, ki pa je bil nevtraliziran.

Se mi pa zdi, da so na Univerzi v Mariboru izgubili precej, če ne celo vse. To praktično ni možno restavrirati nazaj v nulo, kar bo pomenilo trajno škodo za vse, univerzo v MB, študente in tudi diplomante. Če bodo osebni podatki še razkriti preko darkweba, pa to pomeni še dodatno škodo in še kakšna tožba lahko pade.

miroB ::

Za tiste ki kritizirate Feri: rcum!=feri. Nasprotno, fantje na feriju so jih leta opozarjali, da sistem ni vredu nastavljen, ampak, zakaj je tako ostalo, pa....

MrStein ::

Ales je izjavil:

Zimonem je izjavil:

Razen če plačajo. Samo če plačajo, potem jih čaka pa druga palica. Vrač, ki je zadolžen za informatko, bo sigurno letel.

Če plačajo ali ne bo vrač letel. Med drugim predavajo na univerzi tudi informacijsko varnost. tukaj potem ni problem sam vrač, ampak tudi predavatelji.

Taka situacija ni od včeraj in tole je ogromna blamaža za stroko, verjetno tudi širše, ne le na sami Univerzi v Mariboru. Sploh če je situacija dejansko bila že dolgo znana, pa so bili vsi tiho. In če so tiho o težavah tudi drugje.

Če bodo hoteli dregniti v to, bi moralo iti kot domine, tudi za nazaj in tudi širše.

V najslabšem primeru, najslabšem tudi z vidika, da bi se kaj sistemsko spremenilo, bosta nastradala samo kak grešni kozel ali dva.

Kaj misliš, da se bo zgodilo?

Namig: kaj se je zgodilo pri aferi "parkirišče" ?

Točno tako: pometano pod preprogo
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

joez7 ::

Zadeve večidel že delajo. V ponedeljek verjetno vse. Majo pa srečo, da so vmes še prazniki. Do naslednjega tedna je kar čas. Se pa bojo kaj naučili iz tega.
Sem mali provokator, po potrebi diktator, dvomim v vse in nič ne vem.

DamijanD ::

AngelOfDeath; kot laika na tem področju me zanima ko omenjaš loge: kdo producira te loge? kaj se ponavadi vidi iz teh zapisov?

Kr3n ::

c3p0 ::

Glugy je izjavil:

OracleDev je izjavil:

Bile so varnostne kopije, zdaj pac niso več. Ni ti treba secirat vsake besede, ce bi bil pameten bi vedel kaj je blo mišljeno s tem.


Če se prek istega sistema, istega vira okužbe uniči kopijo to pač ni varnostna kopija. Varnostne kopije se da naredit, ta kopija ni bila varnostna. Ja razumem da je bilo mišljeno kot kvazi varnostna kopija ampak to ni to no. Sej je tud teb jasno da to ni to.
Ni važno kaj je v teoriji, važno je kaj je v praksi. Severna Koreja je tud v teoriji demokratična ker se sama tako imenuje, pa to še ne pomen da je to res.


Marsikje ne ločijo niti med varnostnim kopiranjem in arhiviranjem. Zanje je vse isto, morda celo nepotrebno. Dokler se ne zgodi. No, za UM že vemo, da kljub zelo pametnim profesorjem, ne vejo kaj je arhiviranje, kaj šele offsite cold storage.

EDIT: če bo jutri/naslednji teden že vse delovalo, potem nek arhiv očitno je bil in so krožile napačne info o enkripciji vseh varnostnih kopij.

Zgodovina sprememb…

  • spremenil: c3p0 ()

misek ::

joez7 je izjavil:

Zadeve večidel že delajo.
A to je inside informacija?

joez7 ::

Žal ne (inside info). To je informacija uporabnika. Tamala se je lahko ponovno prijavila v spletno učilnico. Bojo že porihtali, sam čas rabijo. Rane pa bojo ostale in se celile, ponavadi pol leta do leto. Bo pa trdi nauk.
Sem mali provokator, po potrebi diktator, dvomim v vse in nič ne vem.

Zgodovina sprememb…

  • spremenil: joez7 ()

Excavator ::

joez7 je izjavil:

Žal ne (inside info). To je informacija uporabnika. Tamala se je lahko ponovno prijavila v spletno učilnico. Bojo že porihtali, sam čas rabijo. Rane pa bojo ostale in se celile, ponavadi pol leta do leto. Bo pa trdi nauk.


Hm, sem mislil da UM splošno uporablja estudij.um.si - meni tole še ne deluje. Npr. fe.um.si je up, ampak tole je hosted nekje pri Hetzner-ju, ne v MB.

joez7 ::

Verjetno urejajo po segmentih. Da spravijo vse v tipitopi pa čas...
Sem mali provokator, po potrebi diktator, dvomim v vse in nič ne vem.

tony1 ::

kanarin je izjavil:

Po mojem je v javnem interesu, da se razkrije kakšno backup rešitev oz arhitekturo uporablja UM. To da kriptovirus zaklene žive podatke še razumem, da pa zaklene tudi backupe (varnostne kopije!) pa je dejansko nesprejemljivo ! Ker predvidevam, da podobne rešitev uporablja še kdo - pa bi take informacije zelo koristile za informacijo kaj je dejansko slaba praksa pri izvajanju varnostnih kopij.

Ne glede na to ali se uporabljajo oz izvajajo offiste kopije zaščit (LTO kasete) bi moralo biti obvezno vklopljeno onemogočanje spreminjanje backupov tudi na živih oz online sistemih. Torej zagotovljena bi morala biti "immutability" funkcionalnost oz "retention lock" - saj v tem primeru niti backup administrator ne more posegati v backupe. Predvidevam, da kaj takega backup sistem UM ni zagotavljal ?


V javni upravi sta ponavadi dve možnosti: ali imajo najdražji sistem na trgu ali pa sploh ničesar nimajo. Tukaj sicer sploh ni problem v imenu vendorja sistema, problem je, da je bil ta skonfiguriran brez, da bi bil zraven en sam sekjuritaš. Po sistemu "nisem jaz policaj tlele!"

kanarin je izjavil:

Torej definitivna rešitev zate je poenostavljeno rečeno "stran od Microsofta" ? Verjetno boš tudi trdil da je to v praksi enostavno izvedljivo ? Kako se je že zaključil tisti famozni projekt uvedbe odprtokodnih sistemov (linux) v javno upravo ?


Neko ministrstvo še vedno uspešno fura odprtokodni office, so pa dovolj politično pametno zastavili boj z lobiji, da ta teče na winsih :)

Daniel je izjavil:

V glavnem, računalniške vede študirajte na UNI-LJ. Da ne bomo prišli nazaj do dejstva, da tisti, ki ne ve kako nekaj narediti, to uči.


Zadnji stavek običajno še kako drži. Predvidevam pa, da tako kot na UL tudi na UM ni zraven kaj dosti predavateljev. To so običajno neki vrtički, ki jih absolutistično (pardon, "avtonomno", ja) komandira en sam človek... Zdaj, če je neskončno moder, so lahko stvari v redu narejene, če se je tja pririnil po vezah (za kaj drugega ni bil) in ga je počakalo Petrovo načelo, potem pa... Imamo, kar imamo.

Če so res lahko že kaj restavrirali je to super...

Zgodovina sprememb…

  • spremenil: tony1 ()

tony1 ::

Kr3n je izjavil:

Izvorni problemi

https://www.uni-mb.org/?UM=saj_ni_res_p...


Citriram z linka:
" Sam sem ga imel priložnost spoznati in delati z njim približno pol leta. Gre za neverjetno nesposobnega človeka (ni mi jasno kje je Golob študiral informatiko, kajti pri njemu je na vsakem koraku vidno pomanjkanje osnovnega znanja informatike...), organizacijske sposobnosti ima na nivoju osnovnošolca, toda ima predvsem en izjemen "talent". Imenovan Spletkarstvo." :))

Potem pa mine 15 let in se nekje mora kaj poznati :|

AngelOfDeath ::

DamijanD je izjavil:

AngelOfDeath; kot laika na tem področju me zanima ko omenjaš loge: kdo producira te loge? kaj se ponavadi vidi iz teh zapisov?


Iz logov se vidi vse. Dobesedno. Ponavadi do sekunde natancno.
Ze windowsi sami pisejo ogromno logov. Potem pa se vecina programov, ki jih namestis.
Tisto kar ni pa si sam vklopis.

Zame nekaj najboljšega kar obstaja. Ker brez "logov" bi zapravil ogromno časa da bi prišel do resničnega problema in ne samo posledic.
edit: Slovnica

miroB ::

Sicer govorim na pamet, ampak. To da določene storitve že delajo, bi rekel da je posledica tega, da so mogoče nekateri imeli svoje varnostne kopije, mimo centralnega sistema...
Drugače bi to že bila novica v javnosti...:))

c3p0 ::

Ali hostano drugje, nepovezano s tem sistemom.

DamijanD ::

AngelOfDeath je izjavil:

DamijanD je izjavil:

AngelOfDeath; kot laika na tem področju me zanima ko omenjaš loge: kdo producira te loge? kaj se ponavadi vidi iz teh zapisov?


Iz logov se vidi vse. Dobesedno. Ponavadi do sekunde natancno.
Ze windowsi sami pisejo ogromno logov. Potem pa se vecina programov, ki jih namestis.
Tisto kar ni pa si sam vklopis.

Zame nekaj najboljšega kar obstaja. Ker brez "logov" bi zapravil ogromno časa da bi prišel do resničnega problema in ne samo posledic.

A ok. Sem mislil, da boš rekel nekaj v tem smislu - "resni" switchi logirajo to in to itd. Torej, da gledaš loge mrežne opreme, ki je v domačem okolju niti nimamo.

bbbbbb2015 ::

DamijanD je izjavil:

AngelOfDeath je izjavil:

DamijanD je izjavil:

AngelOfDeath; kot laika na tem področju me zanima ko omenjaš loge: kdo producira te loge? kaj se ponavadi vidi iz teh zapisov?


Iz logov se vidi vse. Dobesedno. Ponavadi do sekunde natancno.
Ze windowsi sami pisejo ogromno logov. Potem pa se vecina programov, ki jih namestis.
Tisto kar ni pa si sam vklopis.

Zame nekaj najboljšega kar obstaja. Ker brez "logov" bi zapravil ogromno časa da bi prišel do resničnega problema in ne samo posledic.

A ok. Sem mislil, da boš rekel nekaj v tem smislu - "resni" switchi logirajo to in to itd. Torej, da gledaš loge mrežne opreme, ki je v domačem okolju niti nimamo.


Profesionalna omrežna oprema ima malo do skoraj nič logov. Mogoče, da port gre gor ali dol, da je kakšna run-time napaka pa tako. To ti govori nekdo (jaz), kjer naša poslovna mreža ima 28 ethernt switchev, v glavnem Cisco.
Logi kot taki pa ti tudi ne pomagajo kaj dosti, če gledaš samo loge.

ARNES je prakticiral access-liste na ruterjih, ter eventuelne loge na Syslog serverjih. Posledica je bila, da je že en majhen vdor ali nemarna raba zabasala Cisco router do daske (CPU). Mi več Cisco routerjev nimamo več, ampak samo virtualne routerje VyOS. Vse Cisco routerje smo preprosto dali v pokoj. Mogoče ima to Cisco danes drugače rešeno, ampak vsaj na stikalih - nima.

Če veš, da se je nekaj zgodilo ob točno določenem času, potem gledaš loge.
Za en profesionalen sistem, ki ga mi vzdržujemo, nastane za 2GB logov na *DAN*. Če ne veš točno, kaj iščeš, praktično ne vidiš vzorca.

Loge je seveda možno procesirati, kot prvič, imamo pa tudi IDS (Intrusion Detection System) na mreži in DPI (Deep Packet Inspection) na požarnem zidu.

Ko ta dva javita napako, oz. opozorilo, je to nekaj kar je treba nujno pogledati.

Se pravi, kombinacija procesorja logov, IDS in DPI ti javi alarm.

Zgodovina sprememb…

bbbbbb2015 ::

c3p0 je izjavil:

Ali hostano drugje, nepovezano s tem sistemom.


Moj sorodnik študira na FERI in je rekel (as of petek ob 14h), da jim ne dela nič. Ne učilnica, ne wifi, ne vaje, erf, niti v indeks ne more vpogledati ocene. Nič od nič. Predavatelj ima nek provizorični server nekje drugje, da jim vrti slajde v PDFju. En drug profesor jim govori na pamet, bolj kot neke vrste talk-show, ker nima niti enega slajda. Tretji profesor jim je vrtel slajde od drugega predmeta in se skušal navezovati na tekoči predmet. Seveda na nekem provizoričnem serverju, ne vem, če si je sam kaj zrihtal, pač nek HTTPS server zunaj.

Niso jim dali vaj, ker v bistvu jim ne morejo dati vaj.

FYI: Vaje/izpitne naloge so zelo skrbno skrivali, da ja ne bi kdo kaj si skopiral (in popoldne vadil). To je sicer potem tako, da praktično nimajo nekih starih izpitnih nalog, da bi lahko nekaj malo na svojo roko preizkusili, kako so pripravljeni.

Zdaj je to FERIju butnilo nazaj v faco.

Sorodnik je tudi študiral (in doštudiral) dodiplomski na FRI v Ljubljani, tam so sicer tudi nekako poskušali skrivati, ampak ne do te mere, stari izpiti so se vedno nekje našli, če drugače ne, kot posnetki ekranov. Imeli so tudi neke skripte, PDFje, v grobem, četudi Interneta niso imeli, so imeli svoje laptope s PDFji. Na FERI so bili vse odvisni od nekih online učilnic. To so zdaj na FERI dobili nazaj v obraz nenormalno. Mogoče ne sami radi. Mogoče jim je UM hostala nekaj, oni so to rabili, zdaj pa je vse dol.

Zgodovina sprememb…

AngelOfDeath ::

DamijanD je izjavil:

AngelOfDeath je izjavil:

DamijanD je izjavil:

AngelOfDeath; kot laika na tem področju me zanima ko omenjaš loge: kdo producira te loge? kaj se ponavadi vidi iz teh zapisov?


Iz logov se vidi vse. Dobesedno. Ponavadi do sekunde natancno.
Ze windowsi sami pisejo ogromno logov. Potem pa se vecina programov, ki jih namestis.
Tisto kar ni pa si sam vklopis.

Zame nekaj najboljšega kar obstaja. Ker brez "logov" bi zapravil ogromno časa da bi prišel do resničnega problema in ne samo posledic.

A ok. Sem mislil, da boš rekel nekaj v tem smislu - "resni" switchi logirajo to in to itd. Torej, da gledaš loge mrežne opreme, ki je v domačem okolju niti nimamo.


Zal se z mrezno opremo nisem prevec ubadal - samo osnove.
Saj sem imel 5m od mene cca 5 ljudi, ki so se ukvarjali izključno z omrežji.

Načeloma za vse loge nastaviš da ti sporoči samo kaj te zanima in se tako izogneš gledanju vseh zadev.
edit: Slovnica

bm1973 ::

bbbbbb2015 je izjavil:

DamijanD je izjavil:

AngelOfDeath je izjavil:

DamijanD je izjavil:

AngelOfDeath; kot laika na tem področju me zanima ko omenjaš loge: kdo producira te loge? kaj se ponavadi vidi iz teh zapisov?


Iz logov se vidi vse. Dobesedno. Ponavadi do sekunde natancno.
Ze windowsi sami pisejo ogromno logov. Potem pa se vecina programov, ki jih namestis.
Tisto kar ni pa si sam vklopis.

Zame nekaj najboljšega kar obstaja. Ker brez "logov" bi zapravil ogromno časa da bi prišel do resničnega problema in ne samo posledic.

A ok. Sem mislil, da boš rekel nekaj v tem smislu - "resni" switchi logirajo to in to itd. Torej, da gledaš loge mrežne opreme, ki je v domačem okolju niti nimamo.


Profesionalna omrežna oprema ima malo do skoraj nič logov. Mogoče, da port gre gor ali dol, da je kakšna run-time napaka pa tako. To ti govori nekdo (jaz), kjer naša poslovna mreža ima 28 ethernt switchev, v glavnem Cisco.
Logi kot taki pa ti tudi ne pomagajo kaj dosti, če gledaš samo loge.

ARNES je prakticiral access-liste na ruterjih, ter eventuelne loge na Syslog serverjih. Posledica je bila, da je že en majhen vdor ali nemarna raba zabasala Cisco router do daske (CPU). Mi več Cisco routerjev nimamo več, ampak samo virtualne routerje VyOS. Vse Cisco routerje smo preprosto dali v pokoj. Mogoče ima to Cisco danes drugače rešeno, ampak vsaj na stikalih - nima.

Če veš, da se je nekaj zgodilo ob točno določenem času, potem gledaš loge.
Za en profesionalen sistem, ki ga mi vzdržujemo, nastane za 2GB logov na *DAN*. Če ne veš točno, kaj iščeš, praktično ne vidiš vzorca.

Loge je seveda možno procesirati, kot prvič, imamo pa tudi IDS (Intrusion Detection System) na mreži in DPI (Deep Packet Inspection) na požarnem zidu.

Ko ta dva javita napako, oz. opozorilo, je to nekaj kar je treba nujno pogledati.

Se pravi, kombinacija procesorja logov, IDS in DPI ti javi alarm.

Loge se da tako nakonfigurirati do te mere zabašejo sistem, da ti praktično ustavijo delovanje sistema... Sploh Java debug logi >:D. Cisco tudi. Ciscota si včasih preprosto sesul s tem, da si na managed mreži naredil loopback, switchi pa brez STP na klient portih zaradi hitrejšega priklopa. Je bil 6500 tako zabasan s paketi, da ni delalo nič...

Zbiranje logov je pač v neki profesionalni firmi nujno, z namenskim serverjem ala ElasticSearch ali kaj podobnega. Sploh na področju varnosti, da lahko beležiš prijave, ipd... Zdaj, ali interna ekipa zna to določit ali pa sploh pogledat, je pa drugo vprašanje... Ali celo, če zunanji izvajalec zna še kaj več narediti, kot je default inštalacija in konfiguracija. Namreč, te zadeve so žive in naj bi non stop nekdo dodajal, razvijal in celo odstranjeval security incidente.

Dejstvo pa je, da cel kup sistemov laufa brez tega, ker zadaj en operation inženir ob napakah pač pogleda lokalne loge in takoj ve, kaj mora narediti. V 99% primerih... Seveda to lahko furaš, dokler ti ta inženir ne spizdi. Potem se to znanje izgubi, in rabiš plačati res enega dobrega inženirja (spt), da se hitro uvede in začne reševati tickete.

Vmes pa pač kaos... Ampak to so dela za 100 EUR/uro, in to v Sloveniji nihče ne plača, pa folk pač spizdi v tujino. In dobiš lokalnega dobavitelja, s certifikat inženirjem, ki nima pojma iz prakse.

Ko sem bil na razgovoru na ARNESu, ki naj bi skrbel za akademsko mrežo, sem dobil občutek, da so tam podedovana delovna mesta. Nekaj delajo, večina delo, ki bi ga lahko avtomatizirali ali pa bi ga delal vendor namesto njih, ampak dobil sem pa občutek, da jih najbolj boli izguba vpliva na akademskem omrežju. Pač vrtičkanje brez neke perspektive...

nokken ::

bm1973 je izjavil:


Loge se da tako nakonfigurirati do te mere zabašejo sistem, da ti praktično ustavijo delovanje sistema... Sploh Java debug logi >:D. Cisco tudi. Ciscota si včasih preprosto sesul s tem, da si na managed mreži naredil loopback, switchi pa brez STP na klient portih zaradi hitrejšega priklopa. Je bil 6500 tako zabasan s paketi, da ni delalo nič...

To ni problem Ciscota ampak tistega, ki ga je tako skonfiguriral. Tocno se ve kje se uporablja portfast in ce ga nekdo ne zna postaviti izkljucno na pravi port to ni problem naprave pac pa "strokovnjaka", ki je to naredil. In c6500 ni bil tako zabasan s paketi, pac pa je pometal STP dol zaradi loopa in zaradi tega ni nic delalo. Precej standardna stvar na vsaki napravi, ki uporablja spanning tree, ne glede na proizvajalca.

bbbbbb2015 ::

nokken je izjavil:

bm1973 je izjavil:


Loge se da tako nakonfigurirati do te mere zabašejo sistem, da ti praktično ustavijo delovanje sistema... Sploh Java debug logi >:D. Cisco tudi. Ciscota si včasih preprosto sesul s tem, da si na managed mreži naredil loopback, switchi pa brez STP na klient portih zaradi hitrejšega priklopa. Je bil 6500 tako zabasan s paketi, da ni delalo nič...

To ni problem Ciscota ampak tistega, ki ga je tako skonfiguriral. Tocno se ve kje se uporablja portfast in ce ga nekdo ne zna postaviti izkljucno na pravi port to ni problem naprave pac pa "strokovnjaka", ki je to naredil. In c6500 ni bil tako zabasan s paketi, pac pa je pometal STP dol zaradi loopa in zaradi tega ni nic delalo. Precej standardna stvar na vsaki napravi, ki uporablja spanning tree, ne glede na proizvajalca.


Ne, pa Cisco je zelo občutljiv za logiranje. Že če si kršitve access-list logiral. Imel si Cisco router, ki je dobro delal par let, tudi na ethernet portih (100Mbit ali celo Gbit). Potem pa daš eno logiranje, zaradi tehnoloških/poslovnmih potreb in gre CPU na 90%. In promet na ethernetu naraste na 50% in je CPU zabit.

Na Cisco switchih (Catalystih) ni toliko logiranja, to sploh ni problem. Razen če poskušaš na podsegmentu narediti kakšno rutanje ali kaj, kar mi ne delamo.

Točno zato smo mi dali ven vse Ciscote interno. In laufamo VyOS routerje (kar ima sicer svoj nabor problemov), ampak VyOS rabi CPU od hosta, lahko imaš tudi več jeder alociranih in dejansko še nisem naletel na primer, ko VyOS (bivša VyattaOS) ne bi delal.

nokken ::

No ja meni osebno logiranje na Ciscotu se nikoli ni obremenilo, kaj sele sesulo skatle. Celo pri raznih predpotopnih c1000/1600/2500 pred 20+ leti se je dalo te stvari precej dobro resiti s pravimi nastavitvami.

tony1 ::

Cisco je cela desetletja krasno živel od routerjev na osnovi biznisa: imamo enoten softver (IOS) in vsako štengo bolj zmogljivih routerjev prodajamo precej dražje.

Ampak to ni bilo dovolj, CPUji so bili vedno podhranjeni, ker so namensko delo deli ASIC. Ampak vklop debugiranja je pa šel vedno na CPU, ki je to komaj zmogel. In kasneje s firewalli je bilo isto. Kar je slabo, ker ko rabim debug, ga rabim, ker moram neko pizdarijo raziskati in ne zato, da še pazim zraven, da ne bom razsul mašine v produkciji. Klinc gleda tako opremo, firewall se da kupiti za manj denarja, kjer te vklop debuga ne bo nikoli zajebal.

Še en tak primer je bil flash (sicer zgledno zanesljiv, a počasen) v Cisco routerjih: pisanje vanj je vedno trajalo par sekund. Ko sem pred 15imi leti prvič videl Foundryjevo stikalo, ki je konfig v flash zapisalo v trenutku sem mislil, da je nekaj narobe :-D

AngelOfDeath je izjavil:

DamijanD je izjavil:

AngelOfDeath; kot laika na tem področju me zanima ko omenjaš loge: kdo producira te loge? kaj se ponavadi vidi iz teh zapisov?


Iz logov se vidi vse. Dobesedno. Ponavadi do sekunde natancno.
Ze windowsi sami pisejo ogromno logov. Potem pa se vecina programov, ki jih namestis.
Tisto kar ni pa si sam vklopis.

Zame nekaj najboljšega kar obstaja. Ker brez "logov" bi zapravil ogromno časa da bi prišel do resničnega problema in ne samo posledic.


S kakšnim orodjem jih potem parsaš in pregleduješ?

Zgodovina sprememb…

  • spremenil: tony1 ()

miroB ::

No, če smo že na off topic glede logiranja. Jaz sem pred leti, ko sem bil še network admin, glede tega najrajši imel mikrotike. Za firmo z cca 500 pcji, 10 offsite lokacijami in cca 15 serverji je bil dovolj en ccr1009 in dude server na virtualki z dovolj velikim storage. Glede nivoja podrobnosti, kar si lahko logiral, pa je meja samo domišljija. Od logiranja samo ip headerjev, do calea. Poguglajte, MikroTik calea...:))

Zgodovina sprememb…

  • spremenilo: miroB ()

AngelOfDeath ::

tony1 je izjavil:

Cisco je cela desetletja krasno živel od routerjev na osnovi biznisa: imamo enoten softver (IOS) in vsako štengo bolj zmogljivih routerjev prodajamo precej dražje.

Ampak to ni bilo dovolj, CPUji so bili vedno podhranjeni, ker so namensko delo deli ASIC. Ampak vklop debugiranja je pa šel vedno na CPU, ki je to komaj zmogel. In kasneje s firewalli je bilo isto. Kar je slabo, ker ko rabim debug, ga rabim, ker moram neko pizdarijo raziskati in ne zato, da še pazim zraven, da ne bom razsul mašine v produkciji. Klinc gleda tako opremo, firewall se da kupiti za manj denarja, kjer te vklop debuga ne bo nikoli zajebal.

Še en tak primer je bil flash (sicer zgledno zanesljiv, a počasen) v Cisco routerjih: pisanje vanj je vedno trajalo par sekund. Ko sem pred 15imi leti prvič videl Foundryjevo stikalo, ki je konfig v flash zapisalo v trenutku sem mislil, da je nekaj narobe :-D

AngelOfDeath je izjavil:

DamijanD je izjavil:

AngelOfDeath; kot laika na tem področju me zanima ko omenjaš loge: kdo producira te loge? kaj se ponavadi vidi iz teh zapisov?


Iz logov se vidi vse. Dobesedno. Ponavadi do sekunde natancno.
Ze windowsi sami pisejo ogromno logov. Potem pa se vecina programov, ki jih namestis.
Tisto kar ni pa si sam vklopis.

Zame nekaj najboljšega kar obstaja. Ker brez "logov" bi zapravil ogromno časa da bi prišel do resničnega problema in ne samo posledic.


S kakšnim orodjem jih potem parsaš in pregleduješ?


Jaz sem si v vecini primerov kar v event viewerju nastavil "filtre" kaj mi naj prikazuje.
edit: Slovnica

bm1973 ::

tony1 je izjavil:


S kakšnim orodjem jih potem parsaš in pregleduješ?

Softwara za to je malo morje...

Za pregledovat dovolj, da bi pa znali kako korelacijo "root cause" narediti, pa jih ni veliko...

AngelOfDeath ::

bm1973 je izjavil:

tony1 je izjavil:


S kakšnim orodjem jih potem parsaš in pregleduješ?

Softwara za to je malo morje...

Za pregledovat dovolj, da bi pa znali kako korelacijo "root cause" narediti, pa jih ni veliko...



Ogromno jih je vendar so bili zame neuporabni. Zato sem se menil z programerjem in bi me en tak program prisel cca 3-5k €

Zato sem imel reseno da se zadeve posiljajo na dolocen email na katerem pa so bili filtri in mape. Da mi je avtomatsko sortiralo zadeve po mapah. Dokaj preprosta a zelo ucinkovita zadeva.

Marsikaj bi se dalo tu narest samo rabis cas in denar zato (: A na dolgi rok prihranis ogromno denarja.
edit: Slovnica

bm1973 ::

AngelOfDeath je izjavil:


Ogromno jih je vendar so bili zame neuporabni. Zato sem se menil z programerjem in bi me en tak program prisel cca 3-5k €

Neuporabni so ker jih nisi pravilno skonfiguriral... Taki softverri na načeloma samo frameworki, če pa so že narejene korelacije, gredo pa cene v multi 10k cifre, tudi multi 100k, če je res velik sistem...

Tak program 3-5k EUR? Ne me zafrkavat, kaj misliš, da ti bo samo inštaliral ElasticSearch in skonfiguriral agente ?!?!?!

Mislim, da ne razumeš kak biznis je to... Sicer pa skoraj nihče v Sloveniji ne...

AngelOfDeath ::

bm1973 je izjavil:

AngelOfDeath je izjavil:


Ogromno jih je vendar so bili zame neuporabni. Zato sem se menil z programerjem in bi me en tak program prisel cca 3-5k €

Neuporabni so ker jih nisi pravilno skonfiguriral... Taki softverri na načeloma samo frameworki, če pa so že narejene korelacije, gredo pa cene v multi 10k cifre, tudi multi 100k, če je res velik sistem...

Tak program 3-5k EUR? Ne me zafrkavat, kaj misliš, da ti bo samo inštaliral ElasticSearch in skonfiguriral agente ?!?!?!

Mislim, da ne razumeš kak biznis je to... Sicer pa skoraj nihče v Sloveniji ne...



Sem si vzel čas za konfiguriranje. Žal niti niso imeli vseh opcij, ki bi jih rabil.

Nekaj je da programiraš in delaš program v resnici pa se ne spoznaš kaj bi vse rabil not.

Jaz sem po drugi strani natančno vedel kaj rabim in kaj je pomembno.

Meni se je zdelo 3-5k za to kar sem rabil kar dosti. Nisem pa programer.
edit: Slovnica

Saul Goodman ::

AngelOfDeath je izjavil:

bm1973 je izjavil:

AngelOfDeath je izjavil:


Ogromno jih je vendar so bili zame neuporabni. Zato sem se menil z programerjem in bi me en tak program prisel cca 3-5k €

Neuporabni so ker jih nisi pravilno skonfiguriral... Taki softverri na načeloma samo frameworki, če pa so že narejene korelacije, gredo pa cene v multi 10k cifre, tudi multi 100k, če je res velik sistem...

Tak program 3-5k EUR? Ne me zafrkavat, kaj misliš, da ti bo samo inštaliral ElasticSearch in skonfiguriral agente ?!?!?!

Mislim, da ne razumeš kak biznis je to... Sicer pa skoraj nihče v Sloveniji ne...



Sem si vzel čas za konfiguriranje. Žal niti niso imeli vseh opcij, ki bi jih rabil.

Nekaj je da programiraš in delaš program v resnici pa se ne spoznaš kaj bi vse rabil not.

Jaz sem po drugi strani natančno vedel kaj rabim in kaj je pomembno.

Meni se je zdelo 3-5k za to kar sem rabil kar dosti. Nisem pa programer.


po napisanem sodeč bo vsak razumel da bluziš. sorry.

bm1973 ::

AngelOfDeath je izjavil:


Sem si vzel čas za konfiguriranje. Žal niti niso imeli vseh opcij, ki bi jih rabil.

Nekaj je da programiraš in delaš program v resnici pa se ne spoznaš kaj bi vse rabil not.

Jaz sem po drugi strani natančno vedel kaj rabim in kaj je pomembno.

Meni se je zdelo 3-5k za to kar sem rabil kar dosti. Nisem pa programer.

Ker ne znaš programirati, ti je večina opcij nedostopna. Žal tako je pri teh softverih.

Brez znanja programiranja se lahko samo pritožuješ, da je softver zanič. Sam ponavadi je uporabnik.

Za dobrega inženirja na OSS in logging področju je 3k plača tedenska... Če je dovolj...

Tody ::

bm1973 je izjavil:




Za dobrega inženirja na OSS in logging področju je 3k plača tedenska... Če je dovolj...


Pa smo spet tam, koliko slo firm oz organizaciji si lahko to privošči oz dejansko ima delo za takega človeka? Če ni 3k na teden pol pa bolje nič?

bemfa ::

150k/leto za logiranje prometa? :D

miroB ::

bemfa je izjavil:

150k/leto za logiranje prometa? :D

Zakaj pa ne? V firmah, kjer je proračun za it 10 in več mio EUR, je to sitnica...:O
1 2
3
4


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Na mariborski univerzi počasi vzpostavljajo informacijski sistem

Oddelek: Novice / Varnost
468148 (1318) Legon
»

Po 48 urah na Univerzi v Mariboru še vedno informacijski mrk (strani: 1 2 3 )

Oddelek: Novice / Varnost
11515508 (1338) Legon
»

Prvi računalniki v Sloveniji, 16a.del - ARNES in internet v Sloveniji

Oddelek: Novice / Računalniški muzej
244302 (2928) Argonavt
»

Cloud za maso userjev brez štrikanja

Oddelek: Omrežja in internet
252579 (1930) Master_Yoda

Več podobnih tem