BEZPEČNOSTNÍ MONITORING SÍTĚ Tomáš Čejka CESNET, z.s.p.o. 26. 4. 2018, Seminář Proaktivní bezpečnost, Praha
Nedostatky NetFlow infrastruktury Často se používají vzorkovaná data (nepřesnost) Řada bezpečnostních hrozeb není detekovatelná (chybí detaily) Zatížení směrovačů (možný vliv na propustnost) 2/12
Pokročilejší monitorování pomocí IPFIX Doplněk infrastruktury nad NetFlow ze směrovačů Pasivní monitorování, dedikovaná zařízení Použití IPFIX (standardizovaný formát+protokol) Rozšiřitelnost o vlastní políčka (L7 informace) možnost pokročilejší detekce Služba na pozadí pro naše uživatele/připojené organizace Vyvíjíme a provozujeme sadu nástrojů: Monitorovací sondy Kolektor IPFIX dat (IPFIXcol) Detekční systém (NEMEA) 3/12
Detekční systém NEMEA Modulární, snadno za běhu rozšiřitelný Navrženo pro proudové zpracování flow dat Podpora rozšiřujících IPFIX políček (L7 informace) open source: https://github.com/cesnet/nemea 4/12
Příklady detekce Útoky proti SIP zařízením (hádání hesla, skenování) "Category": [ "Attempt.Login"], "Description": "SIP BruteForce login attempt, user account: 6796@84.22.xx.xx" Komunikace s podezřelými adresami (potenciální C&C servery/botnety) "Category": [ "Intrusion.Botnet"], "Description": "147.32.xx.xx connected to 157.7.xx.xx which is on Zeus blacklist." 5/12
Příklady detekce Testování/skenování HTTP zranitelností (LFI) 2018-03-12T17:00, 195.93.xx.xx, 185.35.xx.xx, "Mozilla 5.0", "mapa.dopravniinfo.cz", "", "/default.aspx?lt=php://filter/convert.base64- encode/resource=/etc/passwd" 2018-04-23T09:54, 185.89.xx.xx, 185.245.xx.xx, "", "www.kraj-lbc.cz", "", "/cgi-bin/php?-dallow_url_include%3don+dauto_prepend_file%3dphp://input" 6/12
Příklady detekce Šíření masových zpráv přes SMTP Amplifikační útoky (a běžný podezřelý provoz detekovatelný v základních NetFlow datech) 7/12
Vývoj HW pro vysokorychlostní sítě Vyvíjeno sdružením CESNET Speciální síťová karta s FPGA Zpracování provozu na 10/100/200 Gb/s linkách HW akcelerace flow monitorování Možnost filtrace provozu https://www.liberouter.org/combo-200g2ql/ 8/12
Obrana proti DDoS Obrana další využití FPGA karty Možnost přesměrovat útok na DDoS Mitigation Device (DMD) a tam jej vyčistit Využití HW akcelerace: online analýza provozu, heuristiky výběru škodlivých paketů k zahození https://www.liberouter.org/technologies/ddos-protector/ 9/12
Jak to celé zapadá? Backbone Routers TimeMachine (Evidence Capture) HoneyPots NetFlow Shadow Servers NIX Evidence Storage GÉANT Shodan / Censys FTAS Reports for users Other IDS Whois / RIRs UniRec IPFIX DNS Blacklists AMSIX IPFIXcol NEMEA (IDS) PassiveDNS PIONEER Detection of Suspicious Entity Groups SANET Alert Storage GUI (alerts, flow data, statistics) ACONET (Distributed) Flow Storage Scrubbing Center for Czech NREN Botnet DB DDoS DDoS Traffic Cleaned traffic TI Sparkle Monitoring Probes HW Acceleration using FPGA Security Tools in CESNET2 Czech National Research and Education Network 10/12
Shrnutí Dobré pokrytí infrastruktury monitorovacími sondami = lepší přehled o provozu a potenciálních hrozbách Jedna úroveň detailu nestačí Obranné nástroje mohou informace z monitorovacích systému využívat 11/12
Děkuji za pozornost. Kontakt: cejkat@cesnet.cz Twitter: @tomcejka, @liberouter, @CESNET_CERTS Zajímavé odkazy: https://liberouter.org https://cesnet.cz