Petr Velan. Monitorování sítě pomocí flow case studies

Podobné dokumenty
Nasazení a využití měřících bodů ve VI CESNET

IPFIXCOL MODULÁRNÍ KOLEKTOR SÍŤOVÝCH TOKŮ. Lukáš Huták CESNET. 4. listopad 2018 OpenAlt, Brno

Tomáš Čejka Monitorování sítě pomocí flow. case studies

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Network Measurements Analysis (Nemea)

Monitorování sítě pomocí OpenWrt

Flow Monitoring & NBA. Pavel Minařík

Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

BEZPEČNOSTNÍ MONITORING SÍTĚ

Inteligentní NetFlow analyzátor

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Flow monitoring a NBA

Monitorování a bezpečnostní analýza

Technologie Cisco Flexible Netflow - možnosti monitorování uživatelem definovaných atributů provozu a jejich následná prezentace.

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

FlowMon. Představení FlowMon verze 7.0. Petr Špringl, Jan Pazdera, Pavel Minařík,

Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

FlowMon Monitoring IP provozu

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Koncept centrálního monitoringu a IP správy sítě

Flow monitoring a NBA

Seminář pro správce univerzitních sí4

Č.j. MV /VZ-2014 V Praze 22. dubna 2015

Principy a použití dohledových systémů

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Monitorování datových sítí: Dnes

FlowMon Vaše síť pod kontrolou!

Projekt JetConf REST API pro vzdálenou správu

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Strategie sdružení CESNET v oblasti bezpečnosti

Sledování provozu sítě

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Ověření technologie Traffic-Flow na platformě Mikrotik a NetFlow na platformě Cisco

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Load Balancer. RNDr. Václav Petříček. Lukáš Hlůže Václav Nidrle Přemysl Volf Stanislav Živný

Možnosti sběru infromací ze směrovačů Cisco pomocí NetFlow

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Aktivní bezpečnost sítě

Demo: Multipath TCP. 5. října 2013

Kybernetické hrozby - existuje komplexní řešení?

FlowMon Vaše síť pod kontrolou!

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

FlowMon Vaše síť pod kontrolou

ARCHITEKTURA PROGRAMOVÉHO VYBAVENÍ MO- NITOROVACÍ SONDY NA BÁZI TOKŮ

Správa sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Firewall, IDS a jak dále?

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Detekce volumetrických útoků a jejich mi4gace v ISP

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

Implementace a monitoring IPv6 v e-infrastruktuře CESNET

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Jak využít NetFlow pro detekci incidentů?

Č.j. MV /VZ-2014 V Praze 24. dubna 2015

Firewall, IDS a jak dále?

Téma bakalářských a diplomových prací 2014/2015 řešených při

Knot DNS Knot Resolver

Václav Bartoš. Meeting projektu SABU , Vranovská ves

Firewally a iptables. Přednáška číslo 12

SÍŤOVÁ INFRASTRUKTURA MONITORING

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Použití analyzátoru paketů bezdrátových sítí Wireshark

BEZPEČNOST. Andrea Kropáčová CESNET Praha

DoS útoky v síti CESNET2

Kybernetické hrozby jak detekovat?

Bezpečnostní monitoring sítě

Seminář o bezpečnosti sítí a služeb

Monitoring sítě. CESNET Day Universita Karlova, Tomáš Košňar CESNET z. s. p. o.

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Business Edition, ESET Remote Administrator

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Řešení ochrany databázových dat

Semestrální projekt do předmětu SPS

Linux na desktopu Pro Běžně Frustrované Uživatele

Telekomunikační sítě Protokolové modely

PB169 Operační systémy a sítě

Operační systémy 2. Firewally, NFS Přednáška číslo 7b

Koncept BYOD. Jak řešit systémově? Petr Špringl

Využití systému Dynamips a jeho nástaveb pro experimenty se síťovými technologiemi Petr Grygárek

Jak se měří Internet

Co vše přináší viditelnost do počítačové sítě?

Základní principy obrany sítě

Projekt Turris. Proč a jak? Ondřej Filip ondrej.filip@nic.cz Bedřich Košata bedrich.kosata@nic.cz / IT13.2

IPv6 Autokonfigurace a falešné směrovače

Administrace Unixu (Nastavení firewallu)

Analyzátor bezdrátových sítí

Obsah PODĚKOVÁNÍ...11

Koncept. Centrálního monitoringu a IP správy sítě

PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

Budování sítě v datových centrech

Transkript:

Petr Velan petr.velan@cesnet.cz Monitorování sítě pomocí flow case studies OpenAlt 2017

Úvod Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 1 / 31

Základní koncept Co je to flow monitoring? Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 2 / 31

Základní koncept Co je to flow monitoring? Metoda monitorování sítě Sledují se celá spojení (toky), ne jednotlivé pakety Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 2 / 31

Základní koncept Co je to flow monitoring? Metoda monitorování sítě Sledují se celá spojení (toky), ne jednotlivé pakety Výhody proti deep packet inspection (DPI): Agregace na toky šetří výkon a prostor při ukládání Rozdělení rolí na sondy (tvorba toků) a kolektory (zpracování) Vhodné pro velké a vysokorychlostní sítě Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 2 / 31

Troška historie... První zmínka o flow v RFC 1272 (1991) vydaném IETF Internet Accounting WG V letech 1996 2000 Realtime Traffic Flow Measurement (RTFM) WG vydala několik RFC popisující architekturu měřícího systému pro flow V roce 1996 Cisco patentovalo NetFlow, první verze dostupná pro veřejnost kolem roku 2002 bylo NetFlow v5. NetFlow v5 bylo brzo nahrazeno NetFlow v9, které se často používá doposud V roce 2001 vytvořena IP Flow Information export (IPFIX) WG, v roce 2013 publikován IPFIX standard. Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 3 / 31

Architektura měření flow Internet TAP Probe Router Collector SPAN port Probe Internal Network Packets Flow Records Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 4 / 31

Jak se tvoří toky definice An IP Flow, also called a Flow, is defined as a set of IP packets passing an Observation Point in the network during a certain time interval. All packets that belong to a particular Flow have a set of common properties derived from the data contained in the packet and from the packet treatment at the Observation Point. (Cisco Systems NetFlow Services Export Version 9) Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 5 / 31

Jak se tvoří toky ukázka Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 6 / 31

Jak se tvoří toky ukázka SRC and DST IP addr SRC and DST port Protocol number Lifetime Number of packets Sum of bytes TCP flags Others Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 6 / 31

Jak se tvoří toky ukázka HTTP Request FROM 172.16.96.48:15094 TO 209.85.135.147:80 SRC and DST IP addr SRC and DST port Protocol number Lifetime Number of packets Sum of bytes TCP flags Others Flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Flags Packets Bytes 09:41:21.763 0.101 TCP 172.16.96.48:15094 -> 209.85.135.147:80.AP.SF 4 715 Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 6 / 31

Jak se tvoří toky ukázka HTTP Request FROM 172.16.96.48:15094 TO 209.85.135.147:80 HTTP Response FROM 209.85.135.147:80 TO 172.16.96.48:15094 SRC and DST IP addr SRC and DST port Protocol number Lifetime Number of packets Sum of bytes TCP flags Others Flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Flags Packets Bytes 09:41:21.763 0.101 TCP 172.16.96.48:15094 -> 209.85.135.147:80.AP.SF 4 715 09:41:21.893 0.031 TCP 209.85.135.147:80 -> 172.16.96.48:15094.AP.SF 4 1594 Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 6 / 31

Jak se tvoří toky konfigurace Klíčové položky Sada vlastností paketů, které mají všechny pakety v jednom toku společné Typicky: src IP, dst IP, src port, dst port, L4 protokol Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 7 / 31

Jak se tvoří toky konfigurace Klíčové položky Sada vlastností paketů, které mají všechny pakety v jednom toku společné Typicky: src IP, dst IP, src port, dst port, L4 protokol Expirace toků aktivní timeout neaktivní (idle) timeout přirozená expirace (konec TCP spojení) Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 7 / 31

Jak se tvoří toky konfigurace Klíčové položky Sada vlastností paketů, které mají všechny pakety v jednom toku společné Typicky: src IP, dst IP, src port, dst port, L4 protokol Expirace toků aktivní timeout neaktivní (idle) timeout přirozená expirace (konec TCP spojení) Exportní protokol IPFIX, NetFlow v9, NetFlow v5 Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 7 / 31

Využití toků Uchování historie komunikace Pro ISP nařizuje zákon Užitečné pro dohledávání incidentů Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 8 / 31

Využití toků Uchování historie komunikace Pro ISP nařizuje zákon Užitečné pro dohledávání incidentů Detekce útoků Realtime (skoro) detekce útoků Automatická reakce (nastavení firewallu) Sdílení informací Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 8 / 31

Využití toků Uchování historie komunikace Pro ISP nařizuje zákon Užitečné pro dohledávání incidentů Detekce útoků Realtime (skoro) detekce útoků Automatická reakce (nastavení firewallu) Sdílení informací Statistiky a grafy Sledování objemu provozu Sledování rozvoje IPv6 Sledování využití IP adres v síti Geolokace Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 8 / 31

Uchování historie komunikace Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 9 / 31

Ukládání toků Základní funkce kolektoru Uchování údajů o elektronické komunikaci u nás upravuje Zákon č. 127/2005 Sb. Databáze vs specializované úložiště Jaký software použít: nfdump (NfSen GUI), SiLK, IPFIXcol + Fastbit, SecurityCloud (IPFIXcol + libnf + GUI) MySQL, PostgreSQL, Elasticsearch,... Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 10 / 31

SecurityCloud Vyvíjeno na CESNETu v rámci projektu TAČR https://github.com/cesnet/securitycloud/wiki Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 11 / 31

SecurityCloud Ukázka Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 12 / 31

Detekce útoků Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 13 / 31

Typy zpracování flow dat Batch Data se nejprve uloží, zpracovávají se později Nevýhody jsou: větší delay, zatížení disku NfSen 5 minutová okna Vlastní skripty v cronu Stream Data se zpracovávají tak, jak přicházejí Nevýhodou je nutnost držet více dat v paměti NEMEA, Stream4Flow Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 14 / 31

NEMEA http://nemea.liberouter.org/ Vyvíjeno na CESNETu Sada modulů s vlastním komunikačním rozhraním Každý modul vykonává jednu činnost (detekci, výpočet statistik, logování) Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 15 / 31

Stream4Flow https://stream4flow.ics.muni.cz Vyvíjeno na Masarykově Univerzitě Distribuovaný systém pro zpracování flow Postaveno nad Apache Spark Moduly pro zpracování v Python Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 16 / 31

Statistiky a grafy Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 17 / 31

Z čeho generovat pěkné obrázky Skripty nad offline daty Munin IPv6 statistiky tunelovaného provozu NfSen + MaxMind databáze On-demand geolokace a zobrazení na mapě SURFmap Elasticsearch + Kibana Grafy v Kibaně nad daty Flow do Elasticsearch lze ukládat pomocí Logstash Pro konverzi do JSON lze využít IPFIXcol Použito i ve Stream4Flow Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 18 / 31

Nasazení v praxi Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 21 / 31

All-in-One: STaaS Security Tools as a Service (STaaS) https://github.com/cesnet/staas Virtuální stroj / možnost instalace na fyzický stroj Sada nástrojů: Flow exporter (flow_meter, po instalaci vypnutý) Flow collector (IPFIXcol, primární zdroj dat, ukládání flow dat) stream-wise IDS (NEMEA) Warden klient Nagios (NRPE pluginy) Munin GUI pro zobrazení/vyhledávání flow dat GUI pro zobrazení lokálně detekovaných událostí Let s Encrypt certifikát (pro veřejné adresy s DNS) Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 22 / 31

STaaS trochu podrobněji Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 23 / 31

SecurityCloud Ukázka Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 24 / 31

Instalace nástrojů evoluce 1 Sestavení ze zdrojových kódů (GitHub) 2 RPM balíky (Fedora COPR) 3 Vagrant / Packer + bash 4 Ansible (instalace z RPM) 5 Vagrant + Ansible Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 25 / 31

STaaS Instalace strojů pomocí Ansible/Vagrant Základní použití je popsáno v README.md Pouze pro podporovaný OS (CentOS 7) Demo stroj lze nahodit pomocí vagrant up Stroj lze dále spravovat přímo přes Ansible: ansible-playbook -i inventory/hosts site.yml \ --tags install Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 26 / 31

STaaS Tvorba vlastního stroje Lze vyjít z ukázky staas-vagrant Je potřeba připravit nastavení proměnných pro stroj (host_vars) Možnost upravit konfigurační soubory, které se kopírují na stroj (host_files) Je potřeba přidat stroj do inventáře pro ansible. Volbou skupin v inventáři lze ovlivnit, jaké služby se budou instalovat. Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 27 / 31

flow_meter: Export z PC nebo OpenWrt směrovače flow_meter (zmíněný na LD2016) Flow export ze SOHO routerů v IPFIX formátu (https://github.com/cesnet/nemea-openwrt) Nasazeno u nás v kanceláři :-) Testováno na: TP-Link WRT1043ND, TP-Link Archer C7, NEXX, CZ.NIC Turris, CZ.NIC Turris Omnia Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 28 / 31

Další použití flow_meter exportéru samostatná sonda + analyzátor, možnost ukládání/zpracovávání provozu přímo na sondě možný zdroj informací pro PassiveDNS export flow včetně MAC export flow včetně L7 rozšíření Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 29 / 31

Závěr Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 30 / 31

Kontakty E-Mail: petr.velan@cesnet.cz Mailinglist: nemea@cesnet.cz Přihlášení: https://random.cesnet.cz/mailman/listinfo/nemea Web: http://nemea.liberouter.org Git: https://github.com/cesnet/nemea, https://github.com/cesnet/staas Twitter: @liberouter, @NEMEA_System Petr Velan Monitorování sítě pomocí flow OpenAlt 2017 31 / 31

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář