IPFIXCOL MODULÁRNÍ KOLEKTOR SÍŤOVÝCH TOKŮ. Lukáš Huták CESNET. 4. listopad 2018 OpenAlt, Brno

Podobné dokumenty
Petr Velan. Monitorování sítě pomocí flow case studies

Network Measurements Analysis (Nemea)

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Kybernetické hrozby - existuje komplexní řešení?

Monitorování datových sítí: Dnes

Monitorování a bezpečnostní analýza

Flow monitoring a NBA

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Sledování sítě pomocí G3

Nasazení a využití měřících bodů ve VI CESNET

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Sledování provozu sítě

FlowMon Monitoring IP provozu

Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow

BEZPEČNOSTNÍ MONITORING SÍTĚ

SÍŤOVÁ INFRASTRUKTURA MONITORING

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Jak využít NetFlow pro detekci incidentů?

FlowMon. Představení FlowMon verze 7.0. Petr Špringl, Jan Pazdera, Pavel Minařík,

Co vše přináší viditelnost do počítačové sítě?

Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích

Technologie Cisco Flexible Netflow - možnosti monitorování uživatelem definovaných atributů provozu a jejich následná prezentace.

FlowMon novinky. Představení FlowMon verze 5.0. Petr Špringl

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Monitoring sítě. CESNET Day Universita Karlova, Tomáš Košňar CESNET z. s. p. o.

Flow Monitoring & NBA. Pavel Minařík

On-line datový list MEAC SYSTÉMY CEMS

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Inteligentní NetFlow analyzátor

Bezpečnostní monitoring sítě

Co se skrývá v datovém provozu?

Ondřej Caletka. 23. května 2014

Firewall, IDS a jak dále?

Implementace a monitoring IPv6 v e-infrastruktuře CESNET

Distribuovaný kolektor záznamů o IP tocích: návrh a první experiment

Kybernetické hrozby jak detekovat?

Ověření technologie Traffic-Flow na platformě Mikrotik a NetFlow na platformě Cisco

Strategie sdružení CESNET v oblasti bezpečnosti

Detektor anomálií DNS provozu

Multimediální služby v taktických IP sítích

Datasys ELISA. Log management řízený Zabbixem. Lukáš Malý, DiS. IT konzultant bezpečnost a monitoring.

Bezpečnost síťové části e-infrastruktury CESNET

Load Balancer. RNDr. Václav Petříček. Lukáš Hlůže Václav Nidrle Přemysl Volf Stanislav Živný

Multimédia. Jan Růžička Konference CESNET 2019

Sledování IP provozu sítě

Firewall, IDS a jak dále?

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

FAKULTA INFORMAČNÍCH TECHNOLOGIÍ

FlowMon Vaše síť pod kontrolou!

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Koncept. Centrálního monitoringu a IP správy sítě

DETEKCE APLIKACÍ PRO EFEKTIVNÍ SPRÁVU SÍTĚ POMOCÍ APPFLOW

FlowMon Vaše síť pod kontrolou

Flow monitoring a NBA

Č.j. MV /VZ-2014 V Praze 24. dubna 2015

FlowMon Vaše síť pod kontrolou!

Základní principy obrany sítě

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

FlowMon chytré české řešení pro bezpečnostní a provozní monitoring sítí. Jiří Tobola, Petr Špringl, INVEA-TECH

I/O a SCADA systémy. iologik I/O Servery. iologik iologik 2000

1. Popis navrhovaných technologií

Koncept BYOD. Jak řešit systémově? Petr Špringl

ZADÁNÍ DIPLOMOVÉ PRÁCE

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

Zkušenosti z nasazení a provozu systémů SIEM

Seznámení s Quidy. vstupní a výstupní moduly řízené z PC. 2. srpna 2007 w w w. p a p o u c h. c o m

EXTRAKT z mezinárodní normy

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Technologická centra obcí ZKUŠENOSTI HOSTOVÁNÍ ŘEŠENÍ SPISOVÉ SLUŽBY

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

Téma 3 - řešení s obrázky

Záznam dat Úvod Záznam dat zahrnuje tři základní funkce: Záznam dat v prostředí třídy Záznam dat s MINDSTORMS NXT

BeeSIP ANEB BEZPEČNOST SILNIČNÍHO PROVOZU V IP TELEFONII


Č.j. MV /VZ-2014 V Praze 22. dubna 2015

DETEKCE PEER-TO-PEER KOMUNIKACE

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

}w!"#$%&'()+,-./012345<ya

ZADÁNÍ DIPLOMOVÉ PRÁCE

Projekt SABU. Sdílení a analýza bezpečnostních událostí

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

BEZPEČNOST. Andrea Kropáčová CESNET Praha

P2P komunikace I/O modulů řady E1200 I/O moduly s komunikací přes mobilní telefonní sítě

Profilová část maturitní zkoušky 2013/2014

Moderní privátní cloud pro město na platformě OpenStack a Kubernetes

Bezpečná a efektivní IT infrastruktura

Platforma.NET 11.NET Framework 11 Visual Basic.NET Základní principy a syntaxe 13

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Flow monitoring a NBA

Seminář o bezpečnosti sítí a služeb

Transkript:

IPFIXCOL MODULÁRNÍ KOLEKTOR SÍŤOVÝCH TOKŮ Lukáš Huták CESNET 4. listopad 2018 OpenAlt, Brno

CESNET VE ZKRATCE Zájmové sdružení Členové (26 univerzit + AV ČR) Připojeno ~ 300 menších organizací (školy, úřady, ) Činnost Rozvoj a provoz sítě národního výzkumu a vzdělávání Podpora vzdělávání, kultury, atd. a mnohem více na cesnet.cz

INFRASTRUKTURA MONITOROVÁNÍ TOKŮ

MONITOROVÁNÍ TOKŮ (ZÍSKÁNÍ ZÁZNAMŮ) SRC IP:Port DST IP:Port Proto Start TS Duration Pkts Bytes

MONITOROVÁNÍ TOKŮ (ZÍSKÁNÍ ZÁZNAMŮ) SRC IP:Port DST IP:Port Proto Start TS Duration Pkts Bytes A.A.A.A:65345 B.B.B.B:80 TCP 13:14:46.597 0.0 1 40

MONITOROVÁNÍ TOKŮ (ZÍSKÁNÍ ZÁZNAMŮ) SRC IP:Port DST IP:Port Proto Start TS Duration Pkts Bytes A.A.A.A:65345 B.B.B.B:80 TCP 13:14:46.597 0.0 1 40 B.B.B.B:80 A.A.A.A:65345 TCP 13:14:46.773 0.0 1 40

MONITOROVÁNÍ TOKŮ (ZÍSKÁNÍ ZÁZNAMŮ) SRC IP:Port DST IP:Port Proto Start TS Duration Pkts Bytes A.A.A.A:65345 B.B.B.B:80 TCP 13:14:46.597 5.489 6 945 B.B.B.B:80 A.A.A.A:65345 TCP 13:14:46.773 5.499 7 625

VSUVKA O FORMÁTU IPFIX Zachycené zprávy jsou naformátovány do podoby IPFIX a odeslány na kolektor Binární; nástupce NetFlow Formát záznamů je definován pomocí tzv. šablon (každý exportér může monitorovat různé vlastnosti provozu) Podpora proprietárních položek (Cisco, NetScaler, ) Řetězce variabilní délky, biflow, strukturované typy Zajímavost: lze zneužít i pro jiné přenosy (např. naměřené teploty z IoT senzoru)

MONITOROVÁNÍ TOKŮ (SBĚR ZÁZNAMŮ) Kolektor IPFIXcol

MONITOROVÁNÍ TOKŮ (SBĚR ZÁZNAMŮ) Kolektor IPFIXcol

IPFIXCOL ANEB KDYŽ KOLEKTOR TAK MODULÁRNĚ Kolektor IPFIXcol MODULÁRNÍ Poskládej si, co potřebuješ Vstupní/vnitřní/výstupní parametrizovatelné moduly Např. různé výstupní formáty (JSON, FastBit, UniRec, atd.) PARALELNÍ DESIGN Výkon na prvním místě Máme mnoho toků a v budoucnu jich bude ještě více Dostupný na github.com/cesnet/ipfixcol2 Již druhá generace postupný převod a modernizace modulů

Kolektor IPFIXcol USE CASE: STREAMOVÁ ANALÝZA TOKŮ

USE CASE: STREAMOVÁ ANALÝZA TOKŮ Kolektor IPFIXcol HostStats DDoS detektor detekované incidenty záznamy toků (UniRec) Bruteforce detektor VPort-scan detektor Amplification det. Nemea

USE CASE: STREAMOVÁ ANALÝZA TOKŮ Kolektor IPFIXcol HostStats DDoS detektor detekované incidenty Honeypoty, IDS/IPS, jiné zdroje událostí záznamy toků (UniRec) Bruteforce detektor VPort-scan detektor Amplification det. Nemea správci sítí

USE CASE: MANUÁLNÍ ANALÝZA TOKŮ Kolektor IPFIXcol Uložiště Administrátor záznamy toků (nfdump formát) Filtrovací/agregační dotazy *Do budoucna vlastní formát podporující nové schopnosti IPFIX formátu

USE CASE: VIZUALIZACE A DETEKCE ANOMÁLIÍ Kolektor IPFIXcol Apache Spark (streamová analýza) záznamy toků (JSON) Apache Kafka Elastic Stack + GUI (dotazování a vizualizace)

USE CASE: VIZUALIZACE A DETEKCE ANOMÁLIÍ Kolektor IPFIXcol Apache Spark (streamová analýza) záznamy toků (JSON) Apache Kafka Elastic Stack + GUI (dotazování a vizualizace)

ARCHITEKTURA KOLEKTORU

ARCHITEKTURA KOLEKTORU

ARCHITEKTURA KOLEKTORU TCP UDP SCTP Anonymizace RRD statistiky Profiler JSON Nfdump formát UniRec a jiné

PARALELIZACE Jednosměrná datová pipeline (se signalizačními zprávami) co instance modulu, to samostatné vlákno komplikovanější udržování stavových informací Mezi instancemi jsou kruhové buffery pro předávání IPFIX zpráv se záznamy vylepšený design buffer se synchronizačním blokem (> 30x rychlejší než naivní řešení)

PARALELIZACE Jednosměrná datová pipeline (se signalizačními zprávami) co instance modulu, to samostatné vlákno komplikovanější udržování stavových informací Mezi instancemi jsou kruhové buffery pro předávání IPFIX zpráv se záznamy vylepšený design buffer se synchronizačním blokem (> 30x rychlejší než naivní řešení)

PROČ VYZKOUŠET IPFIXCOL Rychlost (na běžném HW) 1 000 000 záznamů/s do JSONu 1 500 000 záznamů/s do nfdump souboru Snadno rozšiřitelná podpora privátních položek různých výrobců sond/exportérů (dneska lze ocenit zejména při konverzi do JSONu...) Nově podpora Biflow (obousměrné toky lepší analýza do budoucna)

PROČ VYZKOUŠET IPFIXCOL Rychlost (na běžném HW) 1 000 000 záznamů/s do JSONu 1 500 000 záznamů/s do nfdump souboru Snadno rozšiřitelná podpora privátních položek různých výrobců sond/exportérů (dneska lze ocenit zejména při konverzi do JSONu...) Nově podpora Biflow (obousměrné toky lepší analýza do budoucna) Heartbleed (chyba v knihovně OpenSSL) - Do sondy přidán vlastní plugin - IPFIXcol přeposílal do systému Nemea a speciální modul detekoval incidenty - ~ 7 dní od objevení chyby

VYZKOUŠEJTE SI Máte malou síť nebo vás zajímá, s kým dlouhodobě komunikuje vaše PC? Softwarový exportér yaf (tools.netsa.cert.org/yaf/) yaf --in <síť. rozhraní> --live pcap --out 127.0.0.1 --ipfix tcp --idle-timeout 30 --active-timeout 300 ipfixcol2 (ukázková konfigurace dostupná na GitHubu) github.com/cesnet/ipfixcol2 Vstupní TCP modul Výstupní JSON modul do souboru yaf TCP vstup Preprocesor + výstupní mgr. JSON výstup

SPOLUPRÁCE Zaujaly Vás aktivity nebo projekty? Přidejte se k nám https://www.cesnet.cz/sdruzeni/kariera/ Spolupráce se studenty BP, DP Dotazy: lukas.hutak@cesnet.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář