Thursday, October 23, 2008

Windows Syslog Agents Plus Splunk

I've been mulling strategies for putting Windows Event Logs into Splunk. Several options exist.

  1. Deploy Splunk in forwarding mode on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows system.

  2. Deploy a Syslog agent on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows system.

  3. Deploy OSSEC on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows system and sending OSSEC output to Splunk.

  4. Deploy Windows Log Parser to send events via Syslog on a periodic basis.

  5. Retrieve Windows Event Logs periodically using WMIC.

  6. Retrieve Windows Event Logs using anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r application, like LogLogic Lasso or DAD.


I'd done number 2 before using NTSyslog, so I decided to see what might be newer as far as deploying Syslog agents on Windows goes.

I installed DataGram SyslogAgent, a free Syslog agent onto a Windows XP VM.



It was very easy to set up. I pointed it toward a free Splunk instance running on my laptop and got results like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following.



I noticed some odd characters inserted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log messages, but nothing too extraordinary.

Next I tried cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r modern free Syslog agent for Windows, SNARE. Development seems very active. I configured it to point to my Splunk server.



Next I checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Splunk server for results.



As you can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 messages appear to be formatted a little better (i.e., no weird characters).

I was able to find logon messages recorded at different times by different Syslog agents. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following screen capture, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top message is from SNARE and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom is from SyslogAgent.



I think if I decide to use a Syslog agent on Windows, I'll spend more time validating SNARE.

CWSandbox Offers Pcaps

Thanks to Thorsten Holz for pointing out that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest online CWSandbox provides network traffic in Libpcap format for recently submitted malware samples.

I decided to give this feature a try, so I searched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Spam folder for one of my Gmail accounts. I found a suitable "Watch yourserlf in this video man)" email from 10 hours ago and followed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link. I was quickly reminded by Firefox 3 that visiting this site was a Bad Idea.



It took me a little while to navigate past my NoScript and Firefox 3 warnings to get to a point where I could actually hurt myself.



After downloading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "viewer.exe" file, I uploaded it to CWSandbox. That site told me:

The sample you have submitted has already been analysed. Please see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample detail page for furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information.

If you visit that page you'll find a PCAP link.

I took a quick look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file with Argus and filtered out port 1900 traffic.

$ argus -r analysis_612050.pcap -w analysis_612050.pcap.arg

$ ra -n -r analysis_612050.pcap.arg - not port 1900
23:23:57.745266 e igmp 10.1.7.2 -> 0.0.0.1 2 108 INT
23:23:59.079832 e tcp 74.213.167.192.80 10.1.7.2.1361 2 114 RST
23:23:59.735571 e tcp 10.1.7.2.1037 -> 79.135.167.18.80 78 67219 RST
23:23:59.757777 e tcp 10.1.7.2.1038 -> 79.135.167.18.80 116 101525 RST
23:24:00.103663 e tcp 74.213.167.192.80 10.1.7.2.56963 2 319 RST
23:24:08.147828 e tcp 74.213.167.192.80 10.1.7.2.26155 2 319 RST
23:24:13.463815 e tcp 74.213.167.192.80 10.1.7.2.54775 4 427 RST
23:24:16.556555 e tcp 66.232.105.102.80 10.1.7.2.35029 3 168 RST
23:24:18.791427 e tcp 74.213.167.192.80 10.1.7.2.33765 5 481 RST
23:24:26.456790 e udp 10.1.7.2.61548 <-> 10.1.7.1.53 2 250 CON
23:24:26.458842 e tcp 10.1.7.2.1042 -> 91.203.93.49.80 26 17295 FIN
23:24:26.600712 e tcp 10.1.7.2.1044 -> 91.203.93.49.80 10 1544 FIN
23:24:26.743598 e tcp 10.1.7.2.1045 -> 91.203.93.49.80 10 2099 FIN
23:24:26.854732 e tcp 10.1.7.2.1046 -> 91.203.93.49.80 10 1284 FIN
23:24:26.965697 e tcp 10.1.7.2.1047 -> 91.203.93.49.80 10 1545 FIN
23:24:27.070573 e tcp 10.1.7.2.1048 -> 91.203.93.49.80 14 6828 FIN
23:24:27.180786 e tcp 10.1.7.2.1049 -> 91.203.93.49.80 26 18334 FIN
23:24:27.310872 e tcp 10.1.7.2.1050 -> 91.203.93.49.80 12 4822 FIN
23:24:27.422057 e tcp 10.1.7.2.1051 -> 91.203.93.49.80 14 7415 FIN
23:24:27.527325 e tcp 10.1.7.2.1052 -> 91.203.93.49.80 11 3078 FIN

Here's a list of HTTP requests as filtered by Tshark.

$ tshark -n -r analysis_612050.pcap -R 'http.request == true and tcp.dstport != 1900'
11 2.097490 10.1.7.2 -> 79.135.167.18 HTTP GET /scan.exe HTTP/1.1
12 2.097563 10.1.7.2 -> 79.135.167.18 HTTP GET /cgi-bin/index.cgi?test7 HTTP/1.1
29 2.212609 10.1.7.2 -> 79.135.167.18 HTTP GET /g.exe\330 HTTP/1.1
36 2.266404 10.1.7.2 -> 79.135.167.18 HTTP GET /l.exe HTTP/1.1
119 2.475539 10.1.7.2 -> 79.135.167.18 HTTP GET /g.exe\330 HTTP/1.1
186 3.308669 10.1.7.2 -> 79.135.167.18 HTTP GET /g.exe\330 HTTP/1.1
188 3.390001 10.1.7.2 -> 79.135.167.18 HTTP GET /g.exe\330 HTTP/1.1
230 28.765013 10.1.7.2 -> 91.203.93.49 HTTP GET /bild15_biz.php?NN=a119 HTTP/1.1
256 28.906713 10.1.7.2 -> 91.203.93.49 HTTP GET /adult.txt HTTP/1.1
266 29.049951 10.1.7.2 -> 91.203.93.49 HTTP GET /pharma.txt HTTP/1.1
276 29.160854 10.1.7.2 -> 91.203.93.49 HTTP GET /finance.txt HTTP/1.1
286 29.271530 10.1.7.2 -> 91.203.93.49 HTTP GET /ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.txt HTTP/1.1
296 29.376465 10.1.7.2 -> 91.203.93.49 HTTP GET /promo/aol.com-error.html HTTP/1.1
310 29.486416 10.1.7.2 -> 91.203.93.49 HTTP GET /promo/gmail.com-error.html HTTP/1.1
336 29.616847 10.1.7.2 -> 91.203.93.49 HTTP GET /promo/google.com-error.html HTTP/1.1
348 29.727475 10.1.7.2 -> 91.203.93.49 HTTP GET /promo/live.com-error.html HTTP/1.1
362 29.832947 10.1.7.2 -> 91.203.93.49 HTTP GET /promo/search.yahoo.com-error.html HTTP/1.1

Kudos to CWSandbox for adding this capability.

Wednesday, October 22, 2008

What To Do on Windows

Often when I teach classes where students attain shell access to a Windows target, students ask "now what?" I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post Command-Line Kung Fu by SynJunkie to be a great overview of common tasks using tools available within cmd.exe. It's nothing new, but I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author did a good job outlining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 options and showing what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y look like in his lab.

Monday, October 20, 2008

Trying Firefox with CMU Perspectives

The October issue of Information Security Magazine brought CMU's Perspectives Firefox plug-in to my attention. By now most of us are annoyed when we visit a Web site like OpenRCE.org that presents a self-signed SSL certification. Assuming we trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site, we manually add an exception and waste a few seconds of our lives. I probably wouldn't follow this process for my online bank, but for a site like OpenRCE.org it seems like overkill.

Leveraging history appears to be one answer to this problem. That's what Perspectives does. As stated in this CMU article:

Perspectives employs a set of friendly sites, or "notaries," that can aid in aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticating websites for financial services, online retailers and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r transactions requiring secure communications.

By independently querying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desired target site, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notaries can check whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r each is receiving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication information, called a digital certificate, in response. If one or more notaries report aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication information that is different than that received by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r notaries, a user would have reason to suspect that an attacker has compromised cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 connection...

"When Firefox users click on a website that uses a self-signed certificate, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y get a security error message that leaves many people bewildered," [author[ Andersen said. Once Perspectives has been installed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser, however, it can automatically override cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security error page without disturbing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site appears legitimate.

The system also can detect if one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certificate authorities may have been tricked into aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticating a bogus website and warn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Firefox user that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site is suspicious.


That sounds pretty cool. I installed Perspectives and revisited OpenRCE.org. This time I sailed right through to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main page. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshot you can see Perspectives bypassed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Firefox warning.



I can manually review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notary server results to see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir decision.



One note: I collected traffic during this event and noticed Perspectives use UDP:

08:20:43.900355 IP 192.168.2.103.60739 > 216.139.253.36.15217: UDP, length 32
08:20:43.900408 IP 192.168.2.103.60739 > 66.232.160.65.15217: UDP, length 32
08:20:43.900432 IP 192.168.2.103.60739 > 209.200.18.252.15217: UDP, length 32
08:20:43.900456 IP 192.168.2.103.60739 > 128.2.185.85.15217: UDP, length 32
08:20:44.015193 IP 209.200.18.252.15217 > 192.168.2.103.60739: UDP, length 233
08:20:44.033771 IP 216.139.253.36.15217 > 192.168.2.103.60739: UDP, length 233
08:20:44.034334 IP 128.2.185.85.15217 > 192.168.2.103.60739: UDP, length 233
08:20:44.044537 IP 66.232.160.65.15217 > 192.168.2.103.60739: UDP, length 233

Here's one exchange in detail:

08:20:43.900355 IP 192.168.2.103.60739 > 216.139.253.36.15217: UDP, length 32
0x0000: 4500 003c 0000 4000 4011 a1f1 c0a8 0267 E..<..@.@......g
0x0010: d88b fd24 ed43 3b71 0028 31c5 0101 0020 ...$.C;q.(1.....
0x0020: 0009 0016 0000 7777 772e 6f70 656e 7263 ......www.openrc
0x0030: 652e 6f72 673a 3434 332c 3200 e.org:443,2.
08:20:44.033771 IP 216.139.253.36.15217 > 192.168.2.103.60739: UDP, length 233
0x0000: 4520 0105 3d1c 0000 2e11 b5ec d88b fd24 E...=..........$
0x0010: c0a8 0267 3b71 ed43 00f1 3200 0103 00e9 ...g;q.C..2.....
0x0020: 0009 0016 00ac 7777 772e 6f70 656e 7263 ......www.openrc
0x0030: 652e 6f72 673a 3434 332c 3200 0001 0010 e.org:443,2.....
0x0040: 036d c8b9 0d28 09dc d349 cc79 7885 fa9a .m...(...I.yx...
0x0050: 6e48 bef4 d548 fc34 3b00 93f9 2c6a e349 nH...H.4;...,j.I
0x0060: d1c8 555b 4a66 7123 0057 79ee a19b 5250 ..U[Jfq#.Wy...RP
0x0070: 4d44 5ce2 811d 3092 93d4 382a be6d a596 MD\...0...8*.m..
0x0080: 53be c708 e235 b791 c358 921e 85f5 31ee S....5...X....1.
0x0090: c4e6 d938 bc52 9251 3675 0ba1 04cb 7c48 ...8.R.Q6u....|H
0x00a0: a667 c9af 3893 3f24 9c55 97f7 ffe7 5e48 .g..8.?$.U....^H
0x00b0: ce7e ea16 42df c532 4b5c 07f1 0ea1 6d0d .~..B..2K\....m.
0x00c0: ebf4 0a77 a318 5e3e 301e c6c5 16ff 7e9e ...w..^>0.....~.
0x00d0: 164e d4e8 89b3 952f 0ff1 b207 c973 a8e3 .N...../.....s..
0x00e0: f757 0c4a 1b8c a768 6601 b0bf 8f0a 7f84 .W.J...hf.......
0x00f0: 8218 6dc5 7a62 c4b4 cfae 4154 a51d 13cc ..m.zb....AT....
0x0100: 4520 7c1a 68 E.|.h

You can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fingerprint 6D:C8:B9:0D:28:09:DC:D3:49:CC:79:78:85:FA:9A:6E if you look close enough. I'm not sure how I feel about UDP for this system. I'd have to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system more closely (maybe even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code) to determine if UDP is "reliable" enough.

This approach is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of security. Training cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user is never 100% effective, so why not try ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r methods? We already benefit from this approach if we use systems like Gmail. If enough ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r users mark en email cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y receive as spam, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of us are far less likely to ever see it. We have to move beyond thinking about point defense and turn towards collaborative defense based on monitoring, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wisdom of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crowd, and reputation.

It's important to remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem this approach is trying to solve. The classic case is detecting and avoiding a man-in-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-middle attack against SSL while browsing at an Internet cafe. This approach will not help if someone creates a Web site advertising "avoid foreclosure!" if you visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir SSL-enabled site and enter your credit card details.

Thoughts on 2008 SANS Forensics and IR Summit

Last week I attended at spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2008 SANS WhatWorks in Incident Response and Forensic Solutions Summit organized by Rob Lee. The last SANS event I attended was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 SANS Log Management Summit. I found this IR and forensics event much more valuable, and I'll share a few key points from several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talks.

  • Steve Shirley from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD Cyber Crime Center (DC3) said "Security dollars are not fun dollars." In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, what CIO/CTO wants to spend money on security when he/she could buy iPhones?

  • Rob Lee noted than an Incident Response Team (IRT) needs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 independence to take actions during an emergency. I've called this authority cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to declare a "Network State of Emergency" (NSOE). When certain preconditions are met, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IRT can ask a business owner to declare a NSOE, just like a state governor can declare a state of emergency during a forest fire or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r natural disaster. The IRT can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n exercise predefined powers (like host containment, memory acquisition, live response, etc.), acting under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business owner's authority without coordinating in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment with IT or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r parties. Rob also mentioned that SleuthKit 3 would arrive soon; it was released yesterday. Rob shared cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that sharing IR information resembles cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full disclosure debate.

  • Mike Poor from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newly renamed InGuardians provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following advice when asked "what logs should we collect?" He responded: "Collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs to tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story you want to tell." I thought this was a great response. Some enterprises don't want to tell a story. Some only know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle, by virtue of being in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 midst of an intrusion. Those who collect data that validates a successful resolution of an intrusion can tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story. Those with mature visibility and detection initiatives can tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story as well. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, during lunch Mike suggested I read Ed Skoudis' WMIC articles to understand Windows Management Instrumentation Commands.

  • Aaron Walters from Volatile Systems and Matt Shannon from F-Response announced that F-Response 2.0.3 can remotely acquire memory on target systems. Aaron mentioned that intruders have dynamically injected malicious code into processes, like Web servers, to offer one-time-use URLs that don't exist on disk. Aaron also noted cases where a system reports it is patched, but because of a driver conflict cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is really running vulnerable software. Aaron provided a short demo of Voltage, a commercial enterprise product for investigations. Aaron used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MIT Simile Timeline application to outline time series data visually.

  • Harlan Carvey cited Nick Petroni while defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection of memory on targets: "collecting memory now lets us answer new questions later." He said he sometimes arrives at a client site where all victim systems have been reinstalled and no logs are kept, yet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer wants to know what happened.

  • Ovie Carroll, now Director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cybercrime Lab at U.S. Department of Justice Computer Crime and Intellectual Property Section, said he has been briefing judges on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to collect volatile data during investigations. He said DoJ has to be ready to answer a defense attorney who says "by pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug on my client's computer, you destroyed exculpatory evidence!" Ovie emphasized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of developing an investigative mindset in analysts, not simply concentrating on "data extraction." After his presentations we discussed how future investigations may have very little to do with individual PCs, since most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interesting evidence might reside on provider applications and networks.

  • Mike Cloppert ruffled a few feacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs (justifiably so) by stating "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced persistent threat has rendered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 classical IR model obsolete." In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, persistent threats make it difficult to start over when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no end. Mike emphasized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for "indicator management" and that "intelligence drives response." I agree; without having investigative leads, identifying intruders can be very difficult.

  • Eoghan Casey and Chris Daywalt warned of early containment and remediation during an incident. Do we want to disrupt an intruder or eject him?

I believe my keynote on day 2 went well. Rob stated he plans to hold a second conference in July near Washington, DC next year, so I look forward to attending it.

Hop-by-Hop Encryption: Needed?

Mike Fratto's article New Protocols Secure Layer 2 caught my attention:

[T]wo protocols -- IEEE 802.1AE-2006, Media Access Control Security, known as MACsec; and an update to 802.1X called 802.1X-REV -- will help secure Layer 2 traffic on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire... 802.1AE ensures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity and privacy of data between peers at Layer 2. The enhancements in 802.1X-REV automate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication and key management requirements for 802.1AE.

802.1AE protects data in transit on a hop-by-hop basis... ensuring that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frames are not altered between Layer 2 devices such as switches, routers, and hosts.


I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram explains 802.1AE well, and Mike notes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems with this approach:

The default encryption algorithm, AES-GCM, will require a hardware upgrade in network infrastructure and host network interface cards...

[A]ny products that transparently process network traffic, like load balancers, traffic shapers, and network analyzers, will be blind to 802.1AE-protected traffic.


That's a significant problem in my opinion. Already I hear from network administrators who complain about IPSec because it renders cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same tools and techniques useless.

The diagram shows that a network analyzer attached to a SPAN port avoids cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blind spots introduced by 802.1AE. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r approach would be to introduce a 802.1AE-aware network tap. I do not believe anything like that exists yet, but I would like to see vendors offer this feature.

It appears 802.1AE might defeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old school layer 2 hacking that continues to surface on modern networks. We'll see how it performs in real life.

The encryption mechanics deserve some attention:

802.1AE is only half cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story, however, because it deals only with encryption and integrity -- both of which require keys. 802.1X-REV provides key management--creation, distribution, deletion, and renewal of encryption keys...

Many organizations' physical wiring has one physical LAN port per desk or cubicle, and 802.1X on a wired network was originally designed to be deployed on a one-host-per-port basis. However, it's now common for sites to have multiple hosts per port...

802.1X-REV addresses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues by allowing multiple hosts to aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticate on a port.

But aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticating multiple hosts isn't enough. If a workstation is connected to a VoIP phone and was properly aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticated, someone could simply clone cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workstation's MAC address and connect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network through that VoIP phone. The bogus workstation would have network access until 802.1X required a reaucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication.

Pairing 802.1X-REV with a workstation NIC that supports 802.1AE enables multiple hosts to be aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticated simultaneously, and each host can have its own encrypted session. More important, bogus workstations can't simply plug in, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impersonators won't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encryption keys and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore can't communicate with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 switch.


That last point is significant. I have not personally configured port-based security in production, but I do wonder how people using port-based security handle situations like this. A related issue involves virtual machines sharing a NIC, connected to one physical switch port. Is it acceptable to manually configure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right number of MAC addresses for that port?

Friday, October 17, 2008

BGPMon.net Watches BGP Announcements for Free

Thanks to Jeremy Stretch's blog for pointing me to BGPMon.net, a free route monitoring service. This looks like a bare bones, free alternative to Renesys, my favorite commercial vendor in this space.

I created an account at BGPMon.net and decided to watch for route advertisements for Autonomous System (AS) 80, which corresponds to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 3.0.0.0/8 network my company operates. The idea is that if anyone decides to advertise more specific routes for portions of that net block, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data provided to BGPMon.net by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Réseaux IP Européens (RIPE) Routing Information Service (RIS) notices cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advertisements, I will get an email.

I noticed that RIPE RIS provides dashboards for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 3.0.0.0/8 prefix or AS 80 with interesting data.