Bezpečnostní monitoring sítě

Podobné dokumenty
Sledování sítě pomocí G3

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

SÍŤOVÁ INFRASTRUKTURA MONITORING

Sledování provozu sítě

Monitoring sítě. CESNET Day Universita Karlova, Tomáš Košňar CESNET z. s. p. o.

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

Architektura připojení pro kritické sítě a služby

Architektura připojení pro kritické sítě a služby

Implementace a monitoring IPv6 v e-infrastruktuře CESNET

Sledování IP provozu sítě

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Flow Monitoring & NBA. Pavel Minařík

Monitorování datových sítí: Dnes

Bezpečnost síťové části e-infrastruktury CESNET

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Flow monitoring a NBA

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Monitoring sítě a síťová obrana

Flow monitoring a NBA

Technická analýza kyberútoků z března 2013

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Strategie sdružení CESNET v oblasti bezpečnosti

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

FlowMon Vaše síť pod kontrolou

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

FlowMon Monitoring IP provozu

Jak využít NetFlow pro detekci incidentů?

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Koncept centrálního monitoringu a IP správy sítě

Praktické ukázky, případové studie, řešení požadavků ZoKB

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Seminář o bezpečnosti sítí a služeb

BEZPEČNOSTNÍ MONITORING SÍTĚ

IPFIXCOL MODULÁRNÍ KOLEKTOR SÍŤOVÝCH TOKŮ. Lukáš Huták CESNET. 4. listopad 2018 OpenAlt, Brno

Network Measurements Analysis (Nemea)

Co se skrývá v datovém provozu?

Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích

FlowMon Vaše síť pod kontrolou!

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Kybernetické hrozby - existuje komplexní řešení?

Detekce volumetrických útoků a jejich mi4gace v ISP

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

FlowMon novinky. Představení FlowMon verze 5.0. Petr Špringl

Bezpečnost aktivně. štěstí přeje připraveným

Flow monitoring a NBA

PDV /2018 Detekce selhání

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

Systém detekce a pokročilé analýzy KBU napříč státní správou

IT v průmyslu MES systémy Leoš Hons. Bezpečnost v oblasti MES systémů - kde začít?

Firewall, IDS a jak dále?

Ověření možností generování provozu na platformě MikroTik + srovnání s Cisco a Open Source řešeními

Sledování výkonu aplikací?

Nasazení a využití měřících bodů ve VI CESNET

Co vše přináší viditelnost do počítačové sítě?

Aktivní bezpečnost sítě

Obrana sítě - základní principy

Koncept. Centrálního monitoringu a IP správy sítě

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

FlowMon. Představení FlowMon verze 7.0. Petr Špringl, Jan Pazdera, Pavel Minařík,

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Kybernetické hrozby jak detekovat?

MONITOROVÁNÍ. Jan Prášek

Projekty a služby sdružení CESNET v oblasti bezpečnosti

Systém monitorování rozvaděčů- RAMOS

FlowMon Vaše síť pod kontrolou!

Monitorování a bezpečnostní analýza

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Y36PSI QoS Jiří Smítka. Jan Kubr - 8_rizeni_toku Jan Kubr 1/23

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP

CESNET Day. Bezpečnost

Koncept BYOD. Jak řešit systémově? Petr Špringl

Č.j. MV /VZ-2014 V Praze 22. dubna 2015

Firewall, IDS a jak dále?

Petr Velan. Monitorování sítě pomocí flow case studies

IDS systémy a honeypoty. Jan Mach CESNET, z. s. p. o.

Behaviorální analýza provozu sítě (internet uplink) UP

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Analýza protokolů rodiny TCP/IP, NAT

DoS útoky v síti CESNET2

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o

Multimédia. Jan Růžička Konference CESNET 2019

Monitoring provozu poskytovatelů internetu

Vývoj SW pro mobilní zařízení s ios. Petr Hruška, Skymia s.r.o. Teorie a praxe IP telefonie,

Technická specifikace zařízení

Load Balancer. RNDr. Václav Petříček. Lukáš Hlůže Václav Nidrle Přemysl Volf Stanislav Živný

Elektronická provozní dokumentace (epd) případová studie MPSV

Inovace bakalářského studijního oboru Aplikovaná chemie

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

Nasazení jednotné správy identit a řízení přístupu na Masarykově univerzitě s využitím systému Perun. Slávek Licehammer

Měření a vyhodnocování kvality elektrické energie zdroj úspor podniku. Ing. Jaroslav Smetana. Blue Panther s.r.o.

Správa sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow

Transkript:

Tomáš Košňar CESNET 26. 4. 2018 Seminář Proaktivní Bezpečnost

..co si pod tím představit?..v principu každý systematický monitoring s vyhodnocením výstupů ve vztahu ke stabilitě a bezpečnosti.. systematicky monitorujeme, ukládáme data a když něco nechodí tak očekáváme, že nalezneme proč a odkud a jak to bylo způsobeno systematicky monitorujeme, vyhodnocujeme, ukládáme a aktivně vyhodnocujeme a informujeme o překročení nastavených limitů, nedostatku zdrojů, anomálních situacích atd...

v jakém stavu je infrastruktura? stav, chybovost, míra využití zdrojů, trendy,.. periodický sběr dat z prvků infrastruktury SNMP (request-response) v budoucnosti telemetrie (push/pull) k dispozici volně dostupné nástroje..nagios/icinga, MRTG, Cacti, rozsah nejlépe plošně/komplexně..nebo alespoň to důležité ošetření SNMP přístupu!!! ošetření rozsahu dostupných informací M M

v jakém stavu je infrastruktura? ukázky z in-house vyvíjeného systému G3 plošné sledování celé infrastruktury, nízké nároky na konfguraci monitoring hybridního prostředí (vrstvy, výrobci) + další metody sběru dat variabilní vizualizace interaktivní UI browser strukturou měřených zařízení, vyhledávací aparát + variabilní vizualizace on-the-fy vizualizace anomálií notifkace potenciálně problémových stavů vyhodnocení údajů v okamžiku měření, porovnání s nastavenými limity notifkace v případě překročení nastavených limitů reporting ex-post zpracování a vizualizace naměřených dat

ukázka vypovídací hodnoty informací získaných měřením na bázi SNMP (..a zpracovaných)

ukázka vypovídací hodnoty informací získaných měřením na bázi SNMP (..a zpracovaných)

ukázka vypovídací hodnoty informací získaných měřením na bázi SNMP (..a zpracovaných)

ukázka vypovídací hodnoty informací získaných měřením na bázi SNMP (..a zpracovaných)

ukázka - ověření funkce automatické obrany sítě proti amplifkačním útokům

ukázka - ex-post vizualizace identifkovaného problému (G3 reporting)

ukázka - vizualizace aktuálních anomálií (G3 události)

ukázka - ex-post notifkace anomálních stavů (G3 reporting)

co a kudy po infratruktuře teče? kdo/co stojí za konkrétním datovým přenosem? umíme detekovat provozní anomálie/útoky? umíme analyzovat provoz, vysledovat trendy v provozu? provoz v infrastruktuře

využití provozních informací na bázi toků údaje vybrané z hlaviček protokolů (v místě pozorování síťové prvky, sondy), identifkátory toku (protokol, IP adresy, porty (vč. překladu), MAC, VLAN, VRFid, AP, směr, stav doručení,...) objemové, časové informace (počet Bytů, paketů, časy počátku a konce toku) atributy toku (TCP vlaječky, ToS bity) informace dočasně uchované v místě vzniku a aktualizované údaji z dalších paketů stejného toku (mají stejné identifkátory toku) agregovaná informace o provozu po expiraci odeslané do míst zpracování (tzv. kolektory) zdroje informací síťové prvky, specializované HW sondy, SW k dispozici volně dostupné nástroje (nejen jako kolektory, ale i jako zdroje dat)) NTop, NFsen/NFdump, Flow-Scan, Flow-tools,... SoftFlowd

využití provozních informací na bázi toků při nastavování verze 9 nebo vyšší, je-li k dispozici prozkoumat možnosti nastavení template pozor na stejné template pro v4/v6 v některých implementacích rozumná frekvence exportu template pro bezpečnostní účely (nejen) nastavit krátké timeout hodnoty máme-li sflow i to může být použitelné (zpravidla vysoká úroveň vzorkování; pouze vzorky paketů, ne provozní záznam) existují knihovny na parsing sflow provozní informace parsingem přiloženého paketu

ukázky z in-house vyvíjeného systému FTAS podpora správy sítě, statistické vyhodnocení provozu, analytická činnost, bezpečnostní monitoring, legislativní povinnosti (ZKB, ZEK), požadavky nových uživatelů

vypovídací hodnota fow dat běžný záznam ze směrovače

vypovídací hodnota fow dat z překladového prvku (v závislosti na implementaci i MAC adresy)

vypovídací hodnota fow dat - L2 fow a fow z bezdrátové infrastruktury

jak může vypadat rozhraní pro vyhledávání provozu (FTAS UI)

ukázky vizualizací informací o provozu (FTAS UI)

statistické vyhodnocení provozu (FTAS reporting)

bezpečnostní statistické ex-post vyhodnocení provozu (FTAS reporting) - typicky 1x za 24h (za minulý den) - limity si modifikuje uživatel

on-the-fy detekce anomálií vybočení provozu z běžných limitů limity na základě periodického samoučení vs. explicitně na základě znalosti prostředí malé vs. rozsáhlé sítě, koncové vs.páteřní, (ne)deterministický provoz, plošná vs. cílená detekce v našem prostředí v případě FTAS systému limity stanoveny explicitně vždy pro konkrétní detektor nad konkrétním provozem a vyhodnocení má charakter porovnání s konkrétním provozem potřeba univerzálního fungování rozsáhlá infrastruktura, nedeterministický provoz, plošná detekce možnost minimalizovat a efektivně korigovat false-positives

on-the-fy detekce anomálií příklady co v této naší perspektivě není provozně běžné? IP adresy, které posílají 1000+/s TCP SYN only paketů déle než např. 30 vteřin když na cílovou IP adresu teče déle než např. 40 vteřin po UDP z jednoho nebo více portů z množiny 0,19,53,123,161,389 provoz o objemu větším než 100Mb/s v paketech delších než 1400B na server, který jsme postavili pro konkrétní funkci a skupinu uživatelů s předpokladem cca X požadavků/minutu, přichází za stejnou dobu 100x X požadavků

ukázka konfgurace detektoru - FTAS detektory nejsou v systému hard-coded, konfgurují se podle potřeb (v novém release jsou příklady součástí konfiguračního manuálu) základní interval vyhodnocení co detekujeme - zdroje nebo cíle umělá fragmentace toku extrapolace hodnot (sampling) podmínka notifkace doba trvání a míra pokrytí intervalu frekvence notifikace základní limity detektoru - volitelná soustava podmínek pro počet toků a kombinace rozsahů bitové rychlosti, paketové rychlosti, paketové délky a trvání toku white-list...konfgurovat lze samostatně i konkrétní limity pro konkrétní IP související fltr provozu

ukázka notifkace detektoru - FTAS

ukázka statistického vyhodnocení detekovaných událostí - FTAS

ukázka statistického vyhodnocení detekovaných událostí - FTAS denní agregáty počtu událostí, podle Geo-lokace (pozn.: místo registrace zdrojové adresy nemusí korespondovat s uživatelem ani fyzickým umístěním)

Shrnutí systematický monitoring máme infrastrukturu pod kontrolou víme jak optimalizovat nastavení, jaké zdroje posílit ušetříme množství času (~ nákladů) při řešení provozních problémů dokážeme efektivněji reagovat a čelit anomáliím/hrozbám/útokům běžný monitoring infrastruktury a jejího provozu vůbec nemusí být drahý gramotný personál zvládne zázraky s open-source nebo relativně jednoduchými nástroji v opačném případě nepomůže sebelepší nástroj investice do lidí (+know-how) je lepší ;-) pro běžné potřeby je koncept SNMP (telemetrie v budoucnosti) + Flow-based monitoringu vyhovující většině provozních situací..a když už to nestačí, tak musíme mít 100% obraz provozu a být schopni ho vyčlenit/analyzovat na wire-speed vč. payloadu viz. další část bloku

Shrnutí Relevance systematického monitoringu sítě ISP pro uživatele závisí na detailu, monitoringu u ISP a významu/rozsahu uživatelské sítě a... typ monitoringu kde ISP ve své síti monitoruje jaké informace má o síti uživatele detailní monitoring vnější perimetr uplink ISP bez informací o vnitřním provozu a provozu končícím v sítích ISP fow monitoring všude vnější perimetr downlink uživatele uplink ISP bez informací o vnitřním provozu + bez provozu končícího v sítích ISP monitoring infrastruktury plošně downlink uživatele žádné informace o své infrastruktuře uživatel si sám nic nemonitoruje.

Děkuji za pozornost...

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář