BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

Podobné dokumenty
Architektura připojení pro kritické sítě a služby

Architektura připojení pro kritické sítě a služby

SÍŤOVÁ INFRASTRUKTURA MONITORING

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Bezpečnostní monitoring sítě

Pravidla pro připojení do projektu FENIX

Sledování sítě pomocí G3

PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

Strategie sdružení CESNET v oblasti bezpečnosti

Technická analýza kyberútoků z března 2013

Sledování IP provozu sítě

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

Propojujeme nejen český internet. Martin Semrád. #InstallFest Praha,

Flow Monitoring & NBA. Pavel Minařík

Implementace a monitoring IPv6 v e-infrastruktuře CESNET

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Bezpečnost síťové části e-infrastruktury CESNET

Evoluce RTBH v NIX.CZ. Petr Jiran NIX.CZ IT17 Praha

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

DoS útoky v síti CESNET2

Monitoring sítě a síťová obrana

Flow monitoring a NBA

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Rozvoj IPv6 v České republice. Daniel Suchý NIX.CZ, z.s.p.o.

Sledování provozu sítě

Seminář o bezpečnosti sítí a služeb

Služby e-infrastruktury CESNET

Koncept. Centrálního monitoringu a IP správy sítě

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

Detekce volumetrických útoků a jejich mi4gace v ISP

Provozně-bezpečnostní monitoring datové infrastruktury

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

Virtualizace síťových prvků

Projekt Turris. Proč a jak? Ondřej Filip ondrej.filip@nic.cz Bedřich Košata bedrich.kosata@nic.cz / IT13.2

Monitoring sítě. CESNET Day Universita Karlova, Tomáš Košňar CESNET z. s. p. o.

Václav Bartoš. Meeting projektu SABU , Vranovská ves

FlowMon Monitoring IP provozu

CESNET & Bezpečnost. CESNET, z. s. p. o. Služby e-infrastruktury CESNET

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

Monitoring provozu poskytovatelů internetu

FlowMon Vaše síť pod kontrolou

Přechod na virtuální infrastrukturu

Není cloud jako cloud, rozhodujte se podle bezpečnosti

IPv6 v CESNETu a v prostředí akademických sítí

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Bezpečnost aktivně. štěstí přeje připraveným

Co se skrývá v datovém provozu?

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Zákon o kybernetické bezpečnosti: kdo je připraven?

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE INTEGROVANÝCH PROJEKTŮ ITI

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Co znamená IPv6 pro podnikovou informatiku.

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Inteligentní NetFlow analyzátor

Monitorování datových sítí: Dnes

Překlad jmen, instalace AD. Šimon Suchomel

Č.j. MV /VZ-2014 V Praze 22. dubna 2015

Load Balancer. RNDr. Václav Petříček. Lukáš Hlůže Václav Nidrle Přemysl Volf Stanislav Živný

BEZPEČNOST. Andrea Kropáčová CESNET Praha

IPFIXCOL MODULÁRNÍ KOLEKTOR SÍŤOVÝCH TOKŮ. Lukáš Huták CESNET. 4. listopad 2018 OpenAlt, Brno

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

Přehled služeb CMS. Centrální místo služeb (CMS)

Budování sítě v datových centrech

CESNET, jeho e-infrastruktura a služby

Bezpečný router pro domácí uživatele. Bedřich Košata

Projekty a služby sdružení CESNET v oblasti bezpečnosti

Jak využít NetFlow pro detekci incidentů?

Network Measurements Analysis (Nemea)

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

Standard vnitřní konektivity (dle přílohy č. 9 Specifických pravidel pro žadatele a příjemce v rámci výzvy č. 47 IROP)

Vyberte takový SIEM, který Vám skutečně pomůže. Robert Šefr

Budování sítě v datových centrech

WrapSix aneb nebojme se NAT64. Michal Zima.

Zkušenosti s budováním základního registru obyvatel

Řešení jádra sítě ISP na otevřených technologiích

1. Aplikační architektura

České dráhy, a.s. - RFI (Request for Information) Sítě LAN/WAN (Local Area Network)/(Wide Area Network)

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

PDV /2018 Detekce selhání

Měření návštěvnosti v Národním parku České Švýcarsko

FlowMon novinky. Představení FlowMon verze 5.0. Petr Špringl

FlowMon Vaše síť pod kontrolou!

Datové centrum pro potřeby moderního města. Koncepce, stav projektu, budoucí rozvoj B.Brablc, 06/16/09

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Nadpis 1 - Nadpis Security 2

Nedávné útoky hackerů a ochrana Internetu v České republice. Andrea Kropáčová / andrea@csirt.cz

Sledování výkonu aplikací?

Transkript:

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP Tomáš Košňar CESNET 6. 2. 2018 Seminář o bezpečnosti sítí a služeb

NOVINKY Z MONITORINGU novinky v systému FTAS, krajský FTAS co se objevilo v provozu

FTAS REPUTAČNÍ DB FTAS systém pro systematické souvislé zpracování, uchování a zpřístupnění informací o síťovém provozu

FTAS REPUTAČNÍ DB Reputační DB - statistické zpracování detekovaných anomálií možnost konfigurace nezávislých datových sad (podle účelu - např. pro páteřní síť, pro síť uživatele, pro typ anomálie apod.) navázání 1-N detektorů ke konkrétní datové sadě přístup a vizualizace stejným způsobem jako u ostatních datových objektů

FTAS REPUTAČNÍ DB ukázka udp amplifikace vůči konkrétním IP (samostatný záznam) provázání s notifikacemi záznamy možno z DB administrativně vyjmout (false positive)

FTAS REPUTAČNÍ DB ukázka amplifikace vůči cílovým IP (agregát podle cíle) automatický policing proti UDP amplifikaci na hraně páteře

FTAS REPUTAČNÍ DB ukázka TCP syn/scan (agregát podle detektoru) ad-hoc blokace na základě notifikace detektoru a analýzy

FTAS REPUTAČNÍ DB ukázka TCP syn/scan (agregát podle GeoIP)

FTAS ROZŠÍŘENÍ VIZUALIZACE požadavky na analýzu trendů charakteru provozu apod. bars lines lines+points points value prev curr avg curr avg %

FTAS ROZŠÍŘENÍ VIZUALIZACE požadavky na analýzu trendů struktury provozu apod.

CO SE OBJEVILO V PROVOZU udp/ldap amplifikace partner (cíl útoku) výzva konkrétním sítím (zdroje odrazu) ukázka - provoz na udp/389 do sítě uživatele (tzn. na zesilující IP)

CO SE OBJEVILO V PROVOZU udp/ldap amplifikace ukázka zesílený (cca 17x) provoz z udp/389 z nalezených IP zobecněno na celý AS, řešeno individuálně zapomenuté otevřené porty :-(

CO SE OBJEVILO V PROVOZU IP adresy na prodej přístup prostřednictvím RDP tcp/3389 ověření věrohodnosti získaných informací ukázka - odchozí provoz z IP adres směrem z AS, port tcp/3389

CO SE OBJEVILO V PROVOZU ukázka rozšíření o cílovou IP adresu nejvýznamnější a nejméně významný zdroj z předchozí ukázky pro odhad relevance výsledků

KRAJSKÝ FTAS FTAS jako služba pro e-infrastrukturu CESNET pro uživatele (někteří - samostatná instalace systému) výzkum, vývoj, vzdělávání, zdravotnictví, ISP, IXP, samospráva, státní správa podpora pro správu sítě a služeb, systematická analýza provozu, řešení povinností dle ZEK, ZKB (provozní informace, detekce,..), naplnění podmínek pro členství ve FENIX (NIX.CZ) apod. 2016: výzva IROP, MMR Infrastruktura středních a vyšších odborných škol - v IT oblasti důraz na bezpečnost mj. povinnosti uchování provozních dat, překladových informací atd.. cíl: nízkonákladové a nezatěžující (pro personál škol) řešení, širší využití a spolupráce v rámci regionu

KRAJSKÝ FTAS Krajský FTAS služby více subjektům (krajské sítě + školy) v rámci jedné instance systému odborný personál kraje správa, konfigurace znalý uživatel personál školy nastavení exportu provozních dat

ARCHITEKTURA PŘIPOJENÍ PRO KRITICKÉ SLUŽBY...o čem stojí za to přemýšlet?

ARCHITEKTURA PŘIPOJENÍ PRO KRITICKÉ SLUŽBY..k zamyšlení neexistuje univerzální řešení pro všechny případy!!! umělý a zjednodušený případ vč. vymyšlených čísel (kompilát zkušeností z praxe) služba v síti instituce, DNS také,...(pomineme HA zapojení), 1 GE síť péče zpravidla soustředěna především na koncovou aplikaci (front-end, UI, testy výkonu apod.)

ARCHITEKTURA PŘIPOJENÍ PRO KRITICKÉ SLUŽBY..posuzujme komplexně celý síťový set-up posílení/odlehčení potenciálně nejslabších článků řetězu rozložení potenciální zátěže v extrémních situacích mezi prvky reálně potřebná vs. limitní kapacita/průchodnost/výkon komunikační schéma (služby, protokoly, porty, enkapsulace) analýza testovacího, produkčního provozu kdo neměří, nic neví... 30M 500M 350M 1G 1G 1G

ARCHITEKTURA PŘIPOJENÍ PRO KRITICKÉ SLUŽBY naměřená data vztahujeme ke znalosti provozu a limitů prvků příklad potřebná kapacita v síťovém řetězci (ve směru ke službě) produkčně (~1 hodnota 5 min. průměr) cca 150+26 Mb/s (do limitu pro službu) bude při 50% pravidlu stačit FW s průchodností 350Mb/s (pozn: délka paketů!!)?..a jak je to s např. TCP sessions (v případě TCP) kolik FW umí a kolik potřebujeme atd.? 350M celkový provoz služba

ARCHITEKTURA PŘIPOJENÍ PRO KRITICKÉ SLUŽBY provoz ke službě - produkční vs detailní měření (1 hodnota = průměr za 1s) vybraný interval odpovídá předpokladu - jsme na cca 2 násobku bit-rate pkt.-length

ARCHITEKTURA PŘIPOJENÍ PRO KRITICKÉ SLUŽBY celkový provoz - produkční vs detailní měření (1 hodnota = průměr za 1s) cca 7 násobek - 460M..? bit-rate pkt.-length

ARCHITEKTURA PŘIPOJENÍ PRO KRITICKÉ SLUŽBY provoz ke službě atd. dále detailní analýzy porty, protokoly, vazby na IP...

ARCHITEKTURA PŘIPOJENÍ PRO KRITICKÉ SLUŽBY shrnutí, doporučení znalost charakteru a objemu provozu analýza každého podstatného článku řetězu nominální vs. potřebný výkon (odvozováno od limitů aplikace/služby) souvisle monitorujeme strategie regulace provozu (abychom udrželi soustavu provozuschopnou a v extrému byly postupně regulovány části provozu podle našich priorit) spolupráce s ISP zabránit zahlcení přípojky, zabránit přetížení hraničního prvku (případně dalších), parametrická regulace provozu revize architektury sítě např. vysunuté DNS, jak s balancery apod. vyčlenění infrastruktury pro službu jasně definovaný provozní profil, více volné kapacity, více flexibility... začít řešit včas!!!

ARCHITEKTURA PŘIPOJENÍ PRO KRITICKÉ SLUŽBY příklad - spekulativní úprava síťové architektury pozn.: stále umělý případ vč. vymyšlených čísel varianta s oddělením infrastruktury pro službu, předsunutím DNS, vyjádřením potřebného a nominálního výkonu 30M 350M 30M 1G DNS 30M 500M 1G 1G 1G 1G 30M 350M 1G 1G 350M

FENIX OSTROVNÍ REŽIM...co by se fakticky stalo po překlopení do ostrovního režimu?..zeptal se kolega

FENIX OSTROVNÍ REŽIM FENIX projekt vznikl na půdě NIX.CZ v roce 2013 (reakce na DoS útoky) umožnit dostupnost internetových služeb v rámci zapojených subjektů i v případech extrémních útoků autonomní řízení a rozhodování - členové projektu technické podmínky mj.: organizační podmínky mj.: redundantní přípojky do nejméně aktivní člen NIX.CZ dvou uzlů NIX.CZ, IPv4 a IPv6 24/7 dohledové středisko DNSSEC podepsané domény zapojen v systému RTBH filteringu CERT/CSIRT tým s patřičným statusem použití FENIX Route Serveru BCP38, monitoring provozu a toků vnitřní procesy pro řešení incidentů systém na detekci a eliminaci ampl. reakční čas do 30 minut útoků

FENIX OSTROVNÍ REŽIM FENIX - členové zakládající: Active24, CESNET, CZ.NIC, Dial Telecom, NIX.CZ, O2 Czech rep., Seznam.cz aktuálně 20 členů 1. 2. 2018 - Master Internet, s.r.o. https://fe.nix.cz/

FENIX OSTROVNÍ REŽIM připojení k infrastruktuře NIX.CZ

FENIX OSTROVNÍ REŽIM peering pozn.: do FENIXu propagovány pouze ty prefixy, které splňují podmínky

FENIX OSTROVNÍ REŽIM útok přes síť uživatele NIX.CZ, který není součástí FENIX

FENIX OSTROVNÍ REŽIM překlopení do ostrovního režimu odpojení od veřejné infrastruktury pro peering

FENIX OSTROVNÍ REŽIM útok přes síť člena FENIX v ostrovním režimu nižší pravděpodobnost závazné standardy a opatření technická organizační

FENIX OSTROVNÍ REŽIM útok přes síť člena FENIX v ostrovním režimu snazší eliminace předpokládaná efektivní spolupráce last-resort pomocí povinných RS

FENIX OSTROVNÍ REŽIM dostupnost českých služeb českým uživatelům i v extrémních situacích pomocí FENIX

FENIX dostupnost českých služeb českým uživatelům i v extrémních situacích pomocí FENIX

DĚKUJI ZA POZORNOST DOTAZY?

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář