Architektura připojení pro kritické sítě a služby

Podobné dokumenty
Architektura připojení pro kritické sítě a služby

SÍŤOVÁ INFRASTRUKTURA MONITORING

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

DoS útoky v síti CESNET2

Sledování provozu sítě

Detekce volumetrických útoků a jejich mi4gace v ISP

Technická analýza kyberútoků z března 2013

Bezpečnostní monitoring sítě

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Strategie sdružení CESNET v oblasti bezpečnosti

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Flow Monitoring & NBA. Pavel Minařík

Monitoring sítě a síťová obrana

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Koncept centrálního monitoringu a IP správy sítě

Network Measurements Analysis (Nemea)

Sledování sítě pomocí G3

Sledování výkonu aplikací?

Implementace a monitoring IPv6 v e-infrastruktuře CESNET

Ověřování vybraných parametrů datových sítí ve vztahu k NGA sítím - připravované metodické postupy ČTÚ

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Aktivní prvky: brány a směrovače. směrovače

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Bezpečnost síťové části e-infrastruktury CESNET

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP

Monitoring provozu poskytovatelů internetu

Koncept. Centrálního monitoringu a IP správy sítě

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Kybernetické hrozby - existuje komplexní řešení?

PB169 Operační systémy a sítě

Jak využít NetFlow pro detekci incidentů?

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Flow monitoring a NBA

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

WORKSHOP. Základní principy Metodiky pro měření a vyhodnocení datových parametrů pevných komunikačních sítí. Pavel Zahradník

Monitoring sítě. CESNET Day Universita Karlova, Tomáš Košňar CESNET z. s. p. o.

BEZPEČNOSTNÍ MONITORING SÍTĚ

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Seminář pro správce univerzitních sí4

Seminář o bezpečnosti sítí a služeb

Řešení jádra sítě ISP na otevřených technologiích

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Služba ComSource Hybrid AntiDDoS aneb Pračka v Cloudu ISPA Forum 2015

Projekty a služby sdružení CESNET v oblasti bezpečnosti

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Budování sítě v datových centrech

Monitorování datových sítí: Dnes

GSD, mapování, postup při kontrolách ve spektru Metodika pro měření a vyhodnocení datových parametrů sítí elektronických komunikací

Budování sítě v datových centrech

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Datové služby. Písemná zpráva zadavatele

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Sledování IP provozu sítě

Co znamená IPv6 pro podnikovou informatiku.

Evoluce RTBH v NIX.CZ. Petr Jiran NIX.CZ IT17 Praha

Aktuální otázky provozu datových skladů PAVEL HNÍK

FlowMon Monitoring IP provozu

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

APKT měření NGA sítí a EuroDOCSIS 3.0

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Služby e-infrastruktury CESNET

12. Bezpečnost počítačových sítí

Co vše přináší viditelnost do počítačové sítě?

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

CESNET a akademická sféra , Josef Baloun, Systémový inženýr

Routování směrovač. směrovač

Definice pojmů a přehled rozsahu služby

Podmínky integrace větrné energie do energetiky ČR 4. Vetrna energie v CR 2008

Provozně-bezpečnostní monitoring datové infrastruktury

Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Multimediální služby v taktických IP sítích

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

Základy počítačových sítí Model počítačové sítě, protokoly

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií

Flow monitoring a NBA

Univerzita Jana Evangelisty Purkyně Automatizace Téma: Datová komunikace. Osnova přednášky

Zajištění rozvoje komunikační a systémové infrastruktury MPSV_I.

FlowGuard 2.0. Whitepaper

Pravidla pro připojení do projektu FENIX

Sdílené služby egov ČR 2016 a CMS 2.0. Ondřej Felix MV ČR Telč 2016

Řízení toku v přístupových bodech

Bezpečnostní projekt Případová studie

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Technická specifikace zařízení

Střední škola pedagogická, hotelnictví a služeb, Litoměříce, příspěvková organizace

Koncepce CMS 2.0. JUDr. Petr Solský, Česká pošta, s. p., Odštěpný závod ICT služby Ing. Ondřej Felix CSc, Ministerstvo vnitra ČR

Firewally a iptables. Přednáška číslo 12

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

Transkript:

Architektura připojení pro kritické sítě a služby Tomáš Košňar CESNET 26. 4. 2018 Seminář Proaktivní Bezpečnost

..k zamyšlení neexistuje univerzální řešení pro všechny případy..k motivaci stabilita a spolehlivost služeb má klíč ve vychytaných a ošetřených detailech znalý a kvalitní personál těžko nahradíme úspěšným tendrem nebo dobrou smlouvou.. ;-).. opakování je matka moudrosti

modelový příklad péče zpravidla soustředěna na vlastní aplikaci řetězec typických článků řetězu na cestě ke službě výkon front-end, funkce UI, testy výkonu apod. posuzovat komplexně celý síťový set-up k/od služby aby se to pokud možno nikde neucpávalo (nedocházely zdroje)..a když zdroje docházejí, regulujme řízeně strategie ( čeho se budu postupně vzdávat ) Tier-1 IXP rozložme strategicky zátěž pro případ extrémních situacích mezi dílčí prvky +případně posilme příliš slabé (relativně) články řetězu ISP router FW balanc. služba

kapacita, zdroje potřebná vs. dostupná kapacita v jednotlivých částech řetězce v běžném stavu Tier-1 IXP ISP router FW 10% vs 70% pásmo bezpečné regulace flexibilita balanc. služba

kapacita, zdroje bez regulace v extrémním stavu data zahazována nahodile, neřízeně, služba zpravidla nedostupná??? Tier-1 IXP ISP router FW balanc. služba

kapacita, zdroje částečná regulace v extrémním stavu realizace na jednom článku ISP zabránil ucpání přípojky, ale z pohledu FW stejný stav jako v předchozím případě?? Tier-1 IXP ISP router FW balanc. služba

kapacita, zdroje řízená regulace v extrémním stavu - realizace na řetězu prvků Tier-1 IXP ISP data zahazována podle připravené strategie rozložení zátěže regulace mezi prvky řetězu udržení požadavků pod limity zdrojů router FW balanc. služba

typická slabá místa specializované prvky FW, balancery,.. složitá logika, uchování stavových informací apod. velké nároky na vnitřní zdroje reálná průchodnost závislá na struktuře provozu objem provozu velikost paketů transportní protokoly ~ počet TCP session aplikační protokoly monitoring pomůže nalézt slabá místa, ověřovat jaký je poměr dostupných a potřebných zdrojů podmínka dobrého nastavení a optimalizace celé soustavy bez komplexních informací s odpovídající vypovídací hodnotou pouze tápeme

odpovídající měření použitelné výsledky monitoringu reálně potřebná přenosová kapacita vliv parametrů měření linkové měření vs. flow-based měření, vliv časového kroku měření 24 hodin po 6 minutách 1 hodina po 1 minutě 1 hodina po 6 minutách

odpovídající měření použitelné výsledky monitoringu typický síťařský limit 50% funguje pro rozsáhlé sítě s vysokou mírou agregace provozu samostatná/izolovaná koncová síť/aplikace v mikro perspektivě potenciálně větší oscilace 2 minuty po 1 vteřině 1 hodina po 1 minutě

odpovídající měření použitelné výsledky monitoringu rychlost přenosu je konstantní měříme objem přenesených dat (počet a velikost paketů) mezi dvěma po sobě jdoucími odečty 0.2/s čas X čas X+30s shluk na trase nevadí ale u obslužného systému může být problém rychlost obsluhy např. 1 za 5s poslední čeká ~20 s na obsloužení

odpovídající měření použitelné výsledky monitoringu monitoring infrastruktury ukázka indikace problému (i bez saturace)??? Tier-1 IXP ISP router FW balanc. služba

odpovídající měření použitelné výsledky monitoringu četnost a průměrná délka paketů např. limity FW závislé na délce paketů, transportu (TCP vs. UDP), počtu TCP sessions v případě TCP

odpovídající měření použitelné výsledky monitoringu struktura provozu protokoly, čísla portů, objemy v ustáleném stavu znalost chování služby, komunikace s podpůrnými službami optimalizace nastavení

topologie Tier-1 IXP vliv okolí, sdílení zdrojů služba v koncové síti organizace, všechny instance FW sdílí stejné HW zdroje (pomíjím HA) ISP router FW balanc. služba

topologie Tier-1 IXP zmenšení vlivu okolí a sdílení zdrojů, oddělené linky, FW na oddělených HW zdrojích ISP router FW balanc. služba

topologie Tier-1 IXP zmenšení vlivu okolí a sdílení zdrojů, oddělené hraniční prvky ISP (nemusí jít o odlišné ISP) ISP router FW balanc. služba

topologie Tier-1 IXP minimalizace vlivu okolí, oddělené zdroje ISP router FW balanc. služba

topologie Tier-1 IXP minimalizace vlivu okolí, samostatná síť pro službu ISP router FW balanc. služba

závislosti na dalších službách vazby na další služby... IdM, PKI... a DNS viz. další část bloku..?? Tier-1 IXP ISP router FW balanc. služba

možná opatření Tier-1 IXP ISP router FW balanc. služba..předchozí články řetězu se pokusí zajistit, aby se na vstupu následujících neobjevilo víc požadavků než kolik tam máme zdrojů.. filtrace provozu na cíle/zdroje filtrace provozu na cíle/zdroje rate limit policy rate limit policy selektivně/plošně selektivně zahození/označení plošně zahození čištění provozu RTBH filtrace provozu inteligentní vyvážení provozu ke službě on-host FW

příklad nastavení našeho prostředí v roli ISP souvislý monitoring stavu a využití celé sítě, souvislý monitoring IP provozu (na bázi toků, možnost analýzy plného provozu) kontrola zdrojových IP adres eliminace podvržení zdrojových IP adres v provozu RTBH jako služba pro uživatele (BGP připojené sítě) zahození nežádoucího provozu v předchozí (naší) síti

příklad nastavení našeho prostředí v roli ISP automatická rate-limit policy na perimetru sítě obrana (především) proti amplifikačním DDoS útokům

příklad nastavení našeho prostředí v roli ISP selektivní čištění provozu detekovaných anomálií selektivní přesměrování provozu pomocí BGP FlowSpec vyčištění provozu na čističce vhodnou strategií monitorovací systémy detekované události správa sítě

příklad nastavení našeho prostředí v roli ISP selektivní čištění provozu jako služba pro uživatele konec 2018 anomálie pod rozlišovací schopností páteřního provozu, uživatel si řídí sám ukázka UI pro nastavení

příklad nastavení našeho prostředí v roli ISP selektivní čištění provozu jako služba pro uživatele ukázka dashboard

shrnutí řešme vždy komplexně vytvořme si podmínky (viz. architektura sítě + sdílení zdrojů) pro možnost samostatného ošetření jednotlivých služeb (ne vše najednou) ke službě pouštějme pouze provoz, který je jí relevantní regulace provozu strategie co a jak budu postupně zahazovat analýza provozu služby znalost charakteru provozu stanovení priorit provozu + rozložení úkolů mezi články soustavy implementace + ověření funkce (testy) v případě útoků..to už musí být nakonfigurované a odzkoušené!!! věnujeme se tomu, co jsme nedokázali predikovat po skončení útoku vyhodnotíme efektivitu implementované strategie optimalizace/modifikace příprava nového set-upu služby znalost provozu + monitoring stávajícího set-upu redesign architektury+volba vhodných prvků (prognóza zdrojů, které budeme potřebovat na konci plánované životnosti daného celku * bezpečnostní koeficient) implementace provoz + monitoring... spolupráce s ISP začít včas!!!

Děkuji za pozornost...

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář