网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


谁动了我的防火墙(安全日志分析简单应用案例)

2013-04-29 21:01 推荐: 浏览: 423 views 字号:

摘要: 本文来自华安论坛,作为日志分析的一个案例,比较有代表性,游侠转载过来分享之。 ★作者: odyssey 谁动了我的防火墙(安全日志分析简单应用案例) 国庆假期归来,相信大家在这几天感触颇深,尤其是回家和亲人团聚以后。虽然比不上元旦、春节,但相信很多人也许和我一...

本文来自华安论坛,作为日志分析的一个案例,比较有代表性,游侠转载过来分享之。

★作者: odyssey 谁动了我的防火墙(安全日志分析简单应用案例)

国庆假期归来,相信大家在这几天感触颇深,尤其是回家和亲人团聚以后。虽然比不上元旦、春节,但相信很多人也许和我一样,即将或是计划开始新的挑战。刚回公司事情不太多,奉献一篇小文章供大家参考。希望能抛砖引玉,让在日志分析和取证分析方面有更多实战经验的专家们也参与进来。

这个案例其实比较简单,就是今年5月份我上班收到部门领导的邮件,让查一下为什么公司办公网的防火墙重启,确认一下原因。下面是我当时在同事配合下进行分析后,回复领导邮件的摘选内容(敏感信息已经处理,部分原始日志的字段信息删除或处理):

a、 首先登录XX防火墙,发现设备上最新的日志是5月2日23点27分,因此推测缺少之前的日志是由于设备重启所致。

b、 然后登录部门日志服务器,将该防火墙从23点至23点35分所有的日志导出来。发现缺少23:27:17至23:30:02之间的日志,因此进一步确认防火墙大概在23点27分重启。

c、 接着查看离23点27分最近的配置日志,发现有如下2条日志:

xxxisg1000: netscreen device_id=isg1000 [root]system-information-00767: environment variable last_reset changed to 2012-05-02 23:26:24 by xxxx. (2012-05-02 23:26:24),"02 May 2012, 23:27:00"

xxxxisg1000: netscreen device_id=isg1000 [root]system-information-00767: system configuration saved by xxxxx via web from host 192.168.60.8 to 192.168.100.1:9988 by xxxx. (2012-05-02 23:25:47),"02 May 2012, 23:26:23"

从上面我们推测是管理员保存配置,可能无意设置参数“last_reset”为“23:26:24”导致防火墙重启。

d、 通过查看60.8的操作系统日志,发现22点50多分左右有人通过VPN远程登录该服务器,接着查看动态密钥系统的用户登录日志,那会部门只有X工您登录了公司的VPN。

★作者: odyssey

最后的分析结果也很搞笑,就是当初给我发邮件的领导晚上登录防火墙进行配置修改,可能无意导致设备重启所致。这个案例分析涉及到防火墙、操作系统和动态密钥系统Radius认证服务器共3个设备/应用的日志。

★作者: klompe

恭喜你通过了领导的考验

★作者: staryang01

通过了考验,另外,你们的变更管理怎么做的啊,没记录吗?

★作者: odyssey

klompe 写道:

恭喜你通过了领导的考验

呵呵,多谢。不过这也算是领导临时分配的一个小任务而已,算不上考验 。只是想把当时分析的过程和思路简单的与大家共享一下,希望能有更多的人参与到日志管理和分析这个领域。

★作者: odyssey

staryang01 写道:

通过了考验,另外,你们的变更管理怎么做的啊,没记录吗?

变更管理这块要做好还是比较难的,要真正落实、个人认为必须在IT管理成熟度比较高的环境中才能实现(这里的管理成熟度属于“软件”,“硬件”是必须配备相应的制度、流程和人员)。

至于当时公司的情况,一方面公司业务发展迅速并且变化快,很难做到每个细小的管理都记录,至多是线上的ACL策略变更、堡垒机权限变更会走OA流程并记录;一方面很多操作都是部门领导及下属完成,大家共享帐号。尤其是领导操作的情况下做详细的变更记录就比较难落实了。

所以变更管理的细粒度一定要和企业的IT成熟度匹配就好,否则要么粗枝大叶、遗留下重大风险,要么过于繁琐,导致无法真正“落地”,长久下去也变成一纸空文。

★作者: lzlwilling

非常清楚思路,确实是不错的,

应不限于日志分析的简单结果;

为何是在假期而且深夜时登陆Firewall修改配置?值得深思

为何是领导级人物进行配置修改?

为何会重启设备?是无意的技术操守失误所致,还是……

相关控制措施呢?影响业务?是否按安全事件进行处理?绩效考核?

★作者: RayWang

klompe 写道:

恭喜你通过了领导的考验

俺咋觉得是没通过领导的考验尼?

领导真不知道是Y自己偷偷摸摸改配置改出毛病把防火墙弄重启了?得替领导排忧解难,而且不能把自己搁进去。谁知道Y是得到了谁的授权偷偷摸摸干啥来着,得站对了队……

要换俺,俺就这么着:首先,不能邮件回他,得找Y当面汇报:领导你Y看啊,这些是俺从日志里抓到的信息,不同系统的日志汇总出来,显示x月x日x点x分有人以领导您的账号登录VPN,取得的IP是xxx,然后这个IP以管理员权限登录防火墙,并做了这些配置修改。其中这条配置会直接导致防火墙重启。有几种可能性:领导改配置的时候不小心,领导的vpn账号被冒用且防火墙管理员口令泄漏,或者不排除juniper设备软件bug……领导您的判断是?俺是否需要正式回复邮件解释?如果需要,按哪个结论写?

是啊,变更管理和配置管理咋整的?领导咋有设备操作权限啊?俺们这边是,领导有权限审批谁能掌握管理员权限,但是领导无权限登录任何一台设备。SOD的考虑。

★作者: phoenix--

RayWang 写道:

klompe 写道:

恭喜你通过了领导的考验

俺咋觉得是没通过领导的考验尼?

领导真不知道是Y自己偷偷摸摸改配置改出毛病把防火墙弄重启了?得替领导排忧解难,而且不能把自己搁进去。谁知道Y是得到了谁的授权偷偷摸摸干啥来着,得站对了队……

要换俺,俺就这么着:首先,不能邮件回他,得找Y当面汇报:领导你Y看啊,这些是俺从日志里抓到的信息,不同系统的日志汇总出来,显示x月x日x点x分有人以领导您的账号登录VPN,取得的IP是xxx,然后这个IP以管理员权限登录防火墙,并做了这些配置修改。其中这条配置会直接导致防火墙重启。有几种可能性:领导改配置的时候不小心,领导的vpn账号被冒用且防火墙管理员口令泄漏,或者不排除juniper设备软件bug……领导您的判断是?俺是否需要正式回复邮件解释?如果需要,按哪个结论写?

是啊,变更管理和配置管理咋整的?领导咋有设备操作权限啊?俺们这边是,领导有权限审批谁能掌握管理员权限,但是领导无权限登录任何一台设备。SOD的考虑。

非常认同领导无权登录具体设备。权限分离啊

★作者: odyssey

呵呵,针对大家的疑问我再补充几点说明,也是怪我之前没有讲清楚的地方。

1、还是再说明下,这只是领导临时交代的一个任务,无所谓“考验”啥的。只是公司办公网防火墙一旦重启,与线上IDC防火墙的VPN隧道就会断,可能导致影响业务,所以领导要确定下原因。

2、我们部门领导(即当时的部门经理,现在部门老总)当年也是从乙方安全公司出来的,走上管理岗位后对于技术也没有放弃。很多技术实施和方案设计都是亲力亲为(这也是受限于公司没有专门负责安全的岗位)。而且一方面他本人也在属于工作中事无巨细类型的、做事认真;一方面他性格也属于十分认真、追求完美类型的,而且任何时候都是对事不对人的(毕竟私企这点没有国企那么厉害)。所以也无所谓“占队”之说,并且当时领导一周都在外面,所以我就以邮件方式沟通和汇报。

3、关于SOD这块确实应该是审批人和执行人分开,但是如第2点说明,鉴于公司的客观情况,虽然公司部门有网络管理和服务器管理员,但是部门经理还是会参与部分实际管理工作。因为一旦发生一些意外情况,比如晚上网络发生问题经常是部门领导来亲自解决和跟进,其它业务部门的大领导发现IT系统出现问题通常也会第一时间联系部门领导。所以他有时会自己来分析问题并解决,不一定会再联系并安排下属来负责,特别是在问题比较紧急的情况下。

当然关于这种情况有利有弊,领导也意识到这个问题,在他提拨到老总职位后也在有意识地锻炼下属全权负责某个事情的能力。

4、最后做一点技术上说明,因为拨入VPN使用的动态口令牌的双因子认证,所以其他人使用领导帐号的可能性几乎为零。所以虽然当时防火墙登录日志的帐户是公用的,但是结合动态密钥系统的日志可以分析出当时确实是领导使用超级帐户登录的防火墙。

★作者: staryang01

odyssey兄弟的工作环境和工作氛围不错。

★作者: depth

大家说的都很好,谈下偶的看法,当然是没说过的,这个直接反应了很重要的几点:

1 last_reset 这条log,不同厂商如果做format一定不一样,因为呢,写rule的人水平不一,理解不同,标准啊……

2 集中的日志管理是多么重要啊

3 很多log的分析,其实根本不需要多么多么花哨的关联,这个last_reset呢,就这一个条件,足够了。其实不管任何时间,这都是一个很需要关注的event,工作要做到实处和恰当处,需要有人沉下心来做,看着简单,真要做起来,其实很难

4 再一个呢,这是不是和我说的敏捷能扯上淡啊,速度啊,敏捷其实哪里都需要

5 最后一个呢,真心的,odyssey的工作做的很不错

★作者: odyssey

depth 写道:

大家说的都很好,谈下偶的看法,当然是没说过的,这个直接反应了很重要的几点:

1 last_reset 这条log,不同厂商如果做format一定不一样,因为呢,写rule的人水平不一,理解不同,标准啊……

2 集中的日志管理是多么重要啊

3 很多log的分析,其实根本不需要多么多么花哨的关联,这个last_reset呢,就这一个条件,足够了。其实不管任何时间,这都是一个很需要关注的event,工作要做到实处和恰当处,需要有人沉下心来做,看着简单,真要做起来,其实很难

4 再一个呢,这是不是和我说的敏捷能扯上淡啊,速度啊,敏捷其实哪里都需要

5 最后一个呢,真心的,odyssey的工作做的很不错

呵呵,老兄你过奖了。不过还是大家一起搞过日志管理和soc这块,一下就看到“last_reset”这个关键信息了,嘿嘿。

★作者: lzlwilling

技术出身走向管理应该放下技术具体操作工作,否则很难到位;

因为平时不常操作,不熟悉操作细节而生疏的,突然进行紧急操作会出错误或意外概率很大的,也许是这次事件原因(估计)。很多公司IT领导是没有具体操作权的;

如通过堡垒机进行运维,事后审计就更加直接回放该领导当时操作细节情况;

另外岗位职责坚持要SOD,是公认的基本要求。

★作者: byteea

RayWang 写道:

klompe 写道:

恭喜你通过了领导的考验

俺咋觉得是没通过领导的考验尼?

领导真不知道是Y自己偷偷摸摸改配置改出毛病把防火墙弄重启了?得替领导排忧解难,而且不能把自己搁进去。谁知道Y是得到了谁的授权偷偷摸摸干啥来着,得站对了队……

要换俺,俺就这么着:首先,不能邮件回他,得找Y当面汇报:领导你Y看啊,这些是俺从日志里抓到的信息,不同系统的日志汇总出来,显示x月x日x点x分有人以领导您的账号登录VPN,取得的IP是xxx,然后这个IP以管理员权限登录防火墙,并做了这些配置修改。其中这条配置会直接导致防火墙重启。有几种可能性:领导改配置的时候不小心,领导的vpn账号被冒用且防火墙管理员口令泄漏,或者不排除juniper设备软件bug……领导您的判断是?俺是否需要正式回复邮件解释?如果需要,按哪个结论写?

是啊,变更管理和配置管理咋整的?领导咋有设备操作权限啊?俺们这边是,领导有权限审批谁能掌握管理员权限,但是领导无权限登录任何一台设备。SOD的考虑。

哈哈 如履初六之薄冰

不过口头汇报先于书面汇报确实要好些

★作者: depth

byteea 写道:

RayWang 写道:

klompe 写道:

恭喜你通过了领导的考验

俺咋觉得是没通过领导的考验尼?

领导真不知道是Y自己偷偷摸摸改配置改出毛病把防火墙弄重启了?得替领导排忧解难,而且不能把自己搁进去。谁知道Y是得到了谁的授权偷偷摸摸干啥来着,得站对了队……

要换俺,俺就这么着:首先,不能邮件回他,得找Y当面汇报:领导你Y看啊,这些是俺从日志里抓到的信息,不同系统的日志汇总出来,显示x月x日x点x分有人以领导您的账号登录VPN,取得的IP是xxx,然后这个IP以管理员权限登录防火墙,并做了这些配置修改。其中这条配置会直接导致防火墙重启。有几种可能性:领导改配置的时候不小心,领导的vpn账号被冒用且防火墙管理员口令泄漏,或者不排除juniper设备软件bug……领导您的判断是?俺是否需要正式回复邮件解释?如果需要,按哪个结论写?

是啊,变更管理和配置管理咋整的?领导咋有设备操作权限啊?俺们这边是,领导有权限审批谁能掌握管理员权限,但是领导无权限登录任何一台设备。SOD的考虑。

哈哈 如履初六之薄冰

不过口头汇报先于书面汇报确实要好些

哈哈,是不是玩易经的人不少啊?

★作者: Leander

请教下LZ用的是什么日志管理系统?

★作者: odyssey

Leander 写道:

请教下LZ用的是什么日志管理系统?

用的是国外软件公司GFI的eventlog,当初前公司部门领导让我在几个免费/共享日志管理软件中选一个,当时我测试下觉得它还不错。简单、实用,告警也支持中文(印象中我测试过是这样)。就是其自带的mysql数据库稳定性不好,建议外挂MSSQL,其实日志也没有放在数据库中,可能只是存放索引文件的地方。原始日志还是特殊压缩后放到某个文件夹下了。如果只是收集日志,查询日志、生成告警,该软件还是简单实用的。

★作者: wzknet

eventlog能做到日志分析吗?

★作者: Simba

depth 写道:

byteea 写道:

klompe 写道:

恭喜你通过了领导的考验

……

哈哈 如履初六之薄冰

不过口头汇报先于书面汇报确实要好些

哈哈,是不是玩易经的人不少啊?

每天晚上睡觉前,老婆拿饼干诱惑小娃跟读易经,多少天下来,乾卦第一 乾上乾下 我也很熟悉了,哈哈

★作者: depth

我最近也在读易传,小娃读这个有点早吧,不如读弟子规一类

★作者: perlish

发现的好,以后再次出现时如何告警?

★作者: odyssey

perlish 写道:

发现的好,以后再次出现时如何告警?

可以用“reset”这样的关键字,或是日志ID进行告警定制。如果是按照arcsight这类厂商的思路,这种事件是“操作类别”等于“重启”。当然这需要开发人员对日志进行解析,明白原设备厂商的描述信息到底是什么意思。

★作者: truebyte

RayWang 写道:

klompe 写道:

恭喜你通过了领导的考验

俺咋觉得是没通过领导的考验尼?

领导真不知道是Y自己偷偷摸摸改配置改出毛病把防火墙弄重启了?得替领导排忧解难,而且不能把自己搁进去。谁知道Y是得到了谁的授权偷偷摸摸干啥来着,得站对了队……

要换俺,俺就这么着:首先,不能邮件回他,得找Y当面汇报:领导你Y看啊,这些是俺从日志里抓到的信息,不同系统的日志汇总出来,显示x月x日x点x分有人以领导您的账号登录VPN,取得的IP是xxx,然后这个IP以管理员权限登录防火墙,并做了这些配置修改。其中这条配置会直接导致防火墙重启。有几种可能性:领导改配置的时候不小心,领导的vpn账号被冒用且防火墙管理员口令泄漏,或者不排除juniper设备软件bug……领导您的判断是?俺是否需要正式回复邮件解释?如果需要,按哪个结论写?

是啊,变更管理和配置管理咋整的?领导咋有设备操作权限啊?俺们这边是,领导有权限审批谁能掌握管理员权限,但是领导无权限登录任何一台设备。SOD的考虑。

老油条啊,不过这个是一个很保护自己,保护自己工作的处理方法。有时候,工作中不仅仅是技术的事情,也有这些人际什么的。

★作者: 网路游侠

还是得用日志管理,给防火墙做个告警规则,添加个关键字“reset”,有则报警:

邮件、SNMP Trap、SYSLOG、短信等

这样就比较省事了,出了问题可以立刻发现

同时建议把业务系统、服务器的日志也接过来,一起分析就更省事了

下图是游侠公司的“日志管理综合审计系统”的截图

20130304182655

除了可以接收本案例中的防火墙、VPN、服务器日志,还可以同时实现IPS/IDS、中间件、路由器、交换机的日志分析,以及实现数据库审计、网络安全审计等功能。

有兴趣的可以联系游侠:55984512_at_qq.com

联系站长租广告位!

中国首席信息安全官