Turris:Sentinel. Nový systém pro sběr dat. Robin Obůrka

Podobné dokumenty
Analýza nákazy v domácí síti. Robin Obůrka

Projekt JetConf REST API pro vzdálenou správu

Informační systém ozdravných pobytů zdravotní pojišťovny

Firewally a iptables. Přednáška číslo 12

Projekt Turris. Proč a jak? Ondřej Filip ondrej.filip@nic.cz Bedřich Košata bedrich.kosata@nic.cz / IT13.2

JIHOMORAVSKÝ KRAJ Žerotínovo nám. 3/5, Brno

TwinCAT IoT Řešení pro průmysl 4.0

New Automation Technology. Beckhoff I/O. Průmyslová PC. Beckhoff Image 1

w w w. u l t i m u m t e c h n o l o g i e s. c z Infrastructure-as-a-Service na platformě OpenStack

MBI - technologická realizace modelu

Technologie Java Enterprise Edition. Přemek Brada, KIV ZČU

Technologie ve službách online komunikace

JAK NA PAPERLESS. Petr Dolejší Senior Solution Consultant

EDITOR VODOPRÁVNÍ EVIDENCE (verze 4.0) Odbor státní správy ve vodním hospodářství a správy povodí Ministerstvo zemědělství

Instalace SQL 2008 R2 na Windows 7 (64bit)

ODŮVODNĚNÍ VEŘEJNÉ ZAKÁZKY

Michal Andrejčák, Klub uživatelů ŘS MicroSCADA, Hotel Omnia Janské Lázně, SDM600 Stručný popis a reference.

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

PDV /2018 Detekce selhání

Budování sítě v datových centrech

Sdílení zdravotnické dokumentace v souladu s GDPR

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Java Message Service (JMS) Martin Ptáček, KOMIX s.r.o.

Budování sítě v datových centrech

Inovace bakalářského studijního oboru Aplikovaná chemie

Zajištění rozvoje komunikační a systémové infrastruktury MPSV_I.

Ing. Michal Martin. MQTT na zařízeních Weintek

EMBARCADERO DATASNAP. OBSAH Úvod... 2 DataSnap a DBExpress... 2 Serverová část... 2 VCL Klient... 6 Nasazení... 7

Komunikace systémů pomocí Hradec Králové

UAI/612 - Cloudová Řešení. Technologie

SOAP & REST služby. Rozdíly, architektury, použití

Komunikace s automaty MICROPEL. správa systému lokální a vzdálený přístup do systému vizualizace, umístění souborů vizualizace

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Sledování sítě pomocí G3

ŠKOLSKÝ PORTÁL Pardubického kraje

Firewall. DMZ Server

DATA ULOŽENÁ NA VĚČNÉ ČASY. (ICZ DESA / Microsoft Azure) Mikulov Michal Matoušek (ICZ) / Václav Koudele (Microsoft)

Jak nastavit 2SMS a SMS2 na bráně 2N VoiceBlue Next

GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula

Operační systémy 2. Firewally, NFS Přednáška číslo 7b

Směrování VoIP provozu v datových sítích

Management sítí OSI management framework SNMP Komerční diagnostické nástroje Opensource diagnostické nástroje

Nasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce

INSTALACE SOFTWARE A AKTIVACE PRODUKTU NÁVOD

ISPOP. Integrovaný systém plnění ohlašovacích povinností v oblasti životního prostředí. Ondřej Kupča

WORKSHOP oboru Jaderná energetika

Sdílené služby egov ČR 2016 a CMS 2.0. Ondřej Felix MV ČR Telč 2016

Téma 3 - řešení s obrázky

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Jednotlivé hovory lze ukládat nekomprimované ve formátu wav. Dále pak lze ukládat hovory ve formátu mp3 s libovolným bitrate a také jako text.

Knot DNS Knot Resolver

Novinky v IBM Notes a Domino. CubeTeam Dan Vrána

Zpracování dat v AVG backendech. Antonín Karásek Jarek Jarcec Čecho

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY

Úvod. Petr Aubrecht (CA) Martin Ptáček (Wincor Nixdorf) Je 10 typů lidí: ti, kteří znají binární kód, a ti, kteří ne.

Úvod - Podniková informační bezpečnost PS1-2

Koncept centrálního monitoringu a IP správy sítě

Enterprise Java (BI-EJA) Technologie programování v jazyku Java (X36TJV)

Webový knihovní systém. Ing. Jiří Šilha, LANius s.r.o.

Případová studie: Adresářové řešení pro webhosting pomocí ApacheDS. Lukáš Jelínek

Zajištění komplexních sluţeb pro provoz systémové infrastruktury OSMS ZADÁVACÍ DOKUMENTACE

Jak se měří síťové toky? A k čemu to je? Martin Žádník

LINUX - INSTALACE & KONFIGURACE

Koncepce CMS 2.0. JUDr. Petr Solský, Česká pošta, s. p., Odštěpný závod ICT služby Ing. Ondřej Felix CSc, Ministerstvo vnitra ČR

Platební systém XPAY [

Tisková řešení. EIP přidaná hodnota, kterou přidáte Vy sami. Září Aleš Povolný, Xerox CZ

Koláčky, sezení. Martin Klíma

Stěhování aplikací. Michal Tomek, Sales Manager

PB169 Operační systémy a sítě

Wonderware Historian 10.0

ATEUS - OMEGA Komunikační řešení pro malé a střední firmy

Microsoft Windows Server System

Cloud Computing pro státní správu v praxi. Martin Vondrouš - Software602, a.s. Pavel Kovář - T-Systems Czech Republic a.s.

SIP Session Initiation Protocol

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

Projekt NUŠL a další projekty v ČR

Wonderware Historian. Příklady vícevrstvých architektur. Jiří Nikl, Tomáš Mandys Pantek (CS) s.r.o.

ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH. Tomáš Vaněk ICT Security Consultant

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

ilé aspekty distribuovaných objektových systémů

Inovace bakalářského studijního oboru Aplikovaná chemie

INSPIRE konference Inspirujme se otevřeností. GIS Jihomoravského kraje blíž uživateli

Network Measurements Analysis (Nemea)

UniSPIS Oboustranné rozhraní RŽP na e-spis

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

Systémová administrace portálu Liferay

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS V PRAXI. Jan Tejchman Business Consultant

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií


Představuje. Technický Informační Systém nové generace

WrapSix aneb nebojme se NAT64. Michal Zima.

MASSIV. Middleware pro tvorbu online her

Výzva k podání nabídky na dodávku: Software pro projekt Udržitelnost hospodaření v Krajině

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Komunikace mezi uživateli: možnost posílání dat na velké vzdálenosti

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

UŽIVATELSKÁ PŘÍRUČKA PRO HOMEBANKING PPF banky a.s.

CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY

Příklad aplikace Klient/Server s Boss/Worker modelem (informativní)

Transkript:

Turris:Sentinel Nový systém pro sběr dat Robin Obůrka robin.oburka@nic.cz 16.11.2018

Projekt Turris a sběr dat Je s námi již od začátku Turris je původně výzkumný projekt Modré routery (Turris 1.0, Turris 1.1) rozdávané proti nájemní smlouvě Dostupný i v Turris Omnia / MOX Výstupy Greylist dynamický firewall Statistiky úlovky Nebylo o nás moc slyšet Aktuální systém mele z posledního Náhrada starého systému za nový ucollect Sentinel

ucollect Ze všeho nejdříve Původně výzkumný projekt pro malý počet zařízení Řešení psané Na daný počet zařízení S danými výhledy a plány Nevyužívané funkce omezují škálovatelnost Špatná rozhodnutí Klient-server řešení Data ve velmi stresované databázi

ucollect

ucollect 2 úzká hrdla Klientský protokol Zbytečně složitý (nevyužívané možnosti) Vázaný na jedno-instanční server Nereálný přepis po přepisu protokolu nic nezbude Centrální DB Za hranicí životnosti Už nelze škálovat pomocí HW Nelze přidávat další analýzy a klienty

Vize nového systému Základní motto: Připravit se na cokoliv Vše musí být škálovatelné dalším HW a dalšími instancemi Vše maximálně zjednodušit Zahodit nevyužívané funkce v návrhu Využít maximum existujících technologií Použít best practices, učit se, bavit se s lidmi co řeší podobné problémy

Sentinel Celým jménem Turris:Sentinel Microservice architektura Použití message queue technologií Metoda skládačky Nano-, piko-,

Sentinel použité technologie MQTT pro ingress dat Standardní řešení daného problému Broker (aktuálně Mosquitto) Publish/Subscribe Přihlášení pomocí klientského certifikátu, šifrování Automatizovaná CA pro ověření klienta Prozatím jeden uzel Existuje spousta SW s podporou clusteringu

Sentinel použité technologie ZMQ uvnitř sítě Jiný přístup Brokerless TCP na steroidech Komunikační patterny - PUB/SUB, PUSH/PULL, REQ/REP, Funkcí zadarmo v rámci vhodně zvoleného patternu V některých věcech náročnější Nevhodné použití pro uzly, které nemám pod správou Zabezpečení není moc elegantní Aplikace postrádá spoustu informací Občas musí něco hlídat aplikační protokol

Sentinel náš standard SN framework Trochu atypická knihovna Požírá trochu více z prostředí než je zvykem tj. I věci, které obvykle náleží aplikaci Samotný box poskytuje pouze logiku Fungující krabičky i v rozmezí 10, 20 řádků Dominuje PUSH/PULL pattern Load-balancing zadarmo Alespoň nějaké garance doručení Proudové zpracování Z DB ideálně vůbec nečíst Vše co potřebujeme dělat za běhu

Sentinel náš standard Jednoduchost Máme i velmi naivní boxy Některé funkce vznikají poskládáním vhodných boxů za sebe Routing zpráv podle msg type Hierarchický identifikátor zprávy Ansible Centrální správa nastavení Protipól SN Systemd Myslíme si o něm své, ale celkem dobrý pomocník

Sentinel architektura Intenzivní vývoj (dokončujeme stage 1) 3 základní části Certifikátor Automatizovaná CA Klient žádá o certifikát Ověříme klienta Náš router ATSHA204A Nebo jinak (komu chceme dát přístup) Cesta k otevření i jiným architekturám Vystavíme certifikát

Sentinel architektura Pipelines Samotné proudové zpracování dat Pro každý typ dat jedna pipeline Činnosti Příjem Validace Obohacení Distribuce analýzám Archivace

Sentinel architektura DynFW První a zatím jediná analýza Sběr informací z mnoha zdrojů Přiřazování skóre zlým IP adresám Každý typ příchozích dat má jinou váhu Po překročení limitu jde adresa do blacklistu Fáze ladění koleček Vše realtime včetně publikace dat Viz ukázka schématu a komentář k němu

DynFW vyzkoušejte si! https://gitlab.labs.nic.cz/turris/sentinel/dynfw-example-client/ Bacha na Sice realtime, ale aktuálně pouze 2 zdroje dat: Minipoty malý počet klientů (testujte!) HaaS čteme jednou za půl hodiny DynFW neopakuje eventy 1 uživatel může 1 adresu nahlásit v rámci 1 analýzy pouze jednou Svoji aktivitu uvidíte pouze jednou jedinkrát za časový úsek ano, je to opravdu feature, nemáme to rozbité Prosím, čtěte README, kde je popsán protokol, jak se má klient správně chovat

Co můžete testovat Sentinel a DynFW na routeru https://forum.turris.cz/t/trying-new-data-collecting-systemsentinel/8637 DynFW v RPM pro vaši distribuci https://software.opensuse.org/download.html? project=home:-miska-&package=sentinel-dynfw-client Jak zabalit klienta pro vaši distribuci https://build.opensuse.org/package/show/home:- miska-/sentinel-dynfw-client

Děkuji za pozornost Robin Obůrka robin.oburka@nic.cz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář