Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow

Transkript

1 Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow Pavel Čeleda et al. Masarykova univerzita Ústav výpočetní techniky II. konference ČIMIB května 2009, Praha Část I Sledování a analýza provozu v počítačových sítích Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 2 / 23

2 Jak dobře znáte svoji síť? Víte o tom, co se děje ve Vaší síti? Jste si jistí bezpečností Vaší sítě? Znáte kritická místa Vaší sítě? Vypořádáváte se s problémy ve Vaší síti? A nebo Vám v síti řádí neznámí skřítci? Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 3 / 23 Máte vše pod kontrolou? LAN Internet Firewall Ale co se děje zde? AV ochrana hraniční směrovač LAN AV ochrana AV ochrana LAN Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 4 / 23

3 Monitorování toků Poskytuje informace o tom kdo, s kým a jak dlouho komunikoval, kolik přenesl dat a jaký protokol použil. Vychází z principů technologie NetFlow v5/v9 a IETF IPFIX. Umožňuje dlouhodobě sledovat síťový provoz v reálném čase. Detailní pohled do sítě na základě NetFlow dat. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 5 / 23 Princip monitorování toků HTTP požadavek od :15094 pro :80 chci na HTTP odpověď od :80 pro :15094 WWW prohlížeč WWW server zdrojová a cílová IP adresa zdrojový a cílový port číslo protokolu doba trvání počet paketů suma bajtů TCP příznaky,... Flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Flags Packets Bytes 09:41: TCP : > :80.AP.SF :41: TCP :80 -> :15094.AP.SF Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 6 / 23

4 Dostupná řešení pro monitorování toků Směrovače CISCO, Juniper, Enterasys,... Zaneprázdněny směrováním, monitorování toků jako doplněk. Monitorování toků není implementované ve všech modelech. Fixní umístění, možný cíl útoků. Často nezbytné vzorkování, omezené pokročilé technologie. SW NetFlow Sondy nprobe, fprobe, softflowd,... Založeno na běžném HW PC a běžných síťových kartách. Limitovaný výkon (PCAP, PCI-X) a problémy stability. Vyžaduje expertní úpravy a nastavení měřicího systému. Zaplňují mezeru kde potřebujeme monitorovat a není čím. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 7 / 23 Část II Sonda alternativní způsob získávání NetFlow dat Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 8 / 23

5 Systém pro sledování síťového provozu Internet sonda LAN TAP SPAN SPAN sonda TAP sonda LAN LAN Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 9 / 23 Architektura systému sonda detekce SPAMu http WWW sonda sonda NetFlow v5/v9 NfSen NetFlow kolektor detekce červů/virů detekce bezpeč. incidentů mail mail OTRS mailbox vytváření NetFlow dat sběr NetFlow dat analýza NetFlow dat reportování incidentů Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 10 / 23

6 Historie řešení Základní výzkum proběhl v rámci aktivity Programovatelný hardware sdružení CESNET ve spolupráci s VUT a MU. Projekt EU FP6 GÉANT2 vznik GN2 Security Toolset, který tvoří sonda a kolektor NfSen. Technologický transfer do společnosti INVEA-TECH a.s návrh sondy COMBO6+MTX COMBO6+SFP COMBO6X+SFPRO COMBO6X+SFPRO COMBO6X+XFP Flexible 2008 Technologický transfer Spin-Off INVEA-TECH a.s. SW a HW sondy Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 11 / 23 Sonda Mobilní síťové zařízení bez nutné fixní pozice v síti. Nezávislost na používané síťové infrastruktuře. Založeno na Linuxu, neomezené množství chytrých rozšíření. Pasivní sledování síťového provozu za všech okolností. Splňuje standardy - NetFlow v5/9 a IPFIX. Současný export dat na více kolektorů. Bezpečná vzdálená konfigurace přes web nebo SSH. Optický TAP Sonda karta COMBO6X Kolektor Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 12 / 23

7 Část III Použití NetFlow v praxi Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 13 / 23 Jak používáme NetFlow na Masarykově univerzitě Oddělení bezpečnosti počítačové sítě - CSIRT MU Sledování dodržování bezpečnostních politik. Dohledávání bezpečnostních incidentů. Detekce virů a červů v síti MU. Monitorování a detekce slovníkových útoků na SSH. Monitorování ového provozu (SPAM). Monitorování provozu přicházajícího na honeypoty. Nebezpečnostní využití NetFlow dat Statistiky objemů přenášených dat v síti MU. Monitorování přístupu k elektronickým zdrojům. Podpora pro výzkum a vývoj v oblasti počítačových sítí. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 14 / 23

8 Sledování dodržování bezpečnostních politik Každý den po půlnoci vyhodnocujeme provoz z předchozího dne. Každý stroj v sítí MU musí mít reverzní DNS záznam Patří k dobrým mravům (definováno v RFC). IP bez záznamu může ukazovat na zapomenutý stroj a nedbalost správců. Mail ze sítě MU lze odesílat jen přes vybrané SMTP servery Prevence spamu. Sledování objemových anomálií v provozu. Zachycení neúspěšných spammerů a chyb v konfiguraci. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 15 / 23 Odhalování a prokazování bezpečnostních incidentů Inteligentní útoky proti SSH serverům Napadení desítek strojů SSH trojanem. Nezbytná kontrola všech strojů zda byly napadeny. Na síťové úrovni pomohla analýza odchozího provozu. NetFlow data ukázala další napadené stroje. V případě velkého množství toků napomůže vizualizace pomocí nástroje MyNetScope. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 16 / 23

9 Detekce virů a červů v síti MU - I Viry a červy se snaží šířit dál skenují další stroje v síti. Chceme ochránit především svoji síť, kterou máme pod kontrolou. Jak funguje detekce? Každých 5 minut procházíme NetFlow data z vnitřních sond. Hledáme počítače, které skenují vybrané síťové porty. Každý počítač v síti MU patří do určitého segmentu, za který je někdo zodpovědný. Mailovací robot zašle správci/studentovi upozornění. V případě adres přidělených studentům dojde k zablokování přístupu na 14 dní nebo do vyřešení problému. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 17 / 23 Detekce virů a červů v síti MU II Zkušenosti z provozu V ostrém provozu měsíc. Celkem odesláno přes 80 upozornění. Zejména na šíření červu Conficker. Nalezeny nové, dosud neznámé formy virů. Kladná odezva správců žádný falešný poplach. Chladnější odezva studentů, ale čistší síť. Automatizované upozorňování šetří čas bezp. analytikům. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 18 / 23

10 CAMNEP Network Intrusion Detection System NetFlow data z hardwarově akcelerovaných sond. Autonomní detekce a vizualizace anomálií. Řešitelé ČVUT a MU - zdroj financování U.S. ARMY. Vznik spin-off společnosti Cognitive Security s.r.o. na ČVUT. Histogram detekovaných anomálií. Vizualizace nástrojem NFVis - Mycroft Mind, a.s. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 19 / 23 CYBER Grant Ministerstva obrany ČR Detekce slovníkových útoků na SSH (MyNetScope). Vytváření profilů důležitých strojů MU. Detekce infiltrace cizího zařízení v síti (detekce NAT). Integrace různých bezpečnostních vrstev se systémy typu CS-MARS a Enterasys DSCC. Root Victim IP address Victim level Store: vaac Attacker IP address, tsla test Attacker level Store: aaac, tsla, Darr, Parr, Barr Flow duration out of bounds Flow duration in bounds Operations: SUCC Duration level Packets out of bounds Packets in bounds Operations: SUCC Bytes out of bounds Packets level Bytes in bounds Operations: SUCC Bytes level Operations: Aup, Bup Detekce slovníkových útoků dynamický rozhodovací strom. Počet strojů za NATem. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 20 / 23

11 Část IV Závěr Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 21 / 23 Závěr Proč je monitorování toků důležité? Sítě jsou složité a jsou vystaveny poruchám a útokům. Je těžké porozumět sítím bez jejich sledování. Závislost všeho na IT technologiích (síti). aneb cesta od výzkumu až po komerční řešení Systém je prověřen rutinním nasazením ve velkých sítích. Užitečnost (přidaná hodnota) je v ucelenosti celého řešení. Pokračující výzkum a rozvoj technologie v ČR. Jsme otevřeni spolupráci v oblasti sítí a bezpečnosti. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 22 / 23

12 Děkuji za pozornost Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow Pavel Čeleda et al. Masarykova univerzita Ústav výpočetní techniky Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 23 / 23