Behaviorální analýza provozu sítě (internet uplink) UP



Podobné dokumenty
Praktické úlohy- zaměření specializace

13. Sítě WAN. Rozlehlé sítě WAN. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme rozlehlé sítě typu WAN. Doba nutná k nastudování

Inovace výuky prostřednictvím šablon pro SŠ

Server. Software serveru. Služby serveru

PRŮZKUM PRODEJE INJEKČNÍHO MATERIÁLU. v lékárnách ORP Zlín, ORP Vizovice a ORP Otrokovice

Data v počítači EIS MIS TPS. Informační systémy 2. Spojení: jan.skrbek@tul.cz tel.: Konzultace: úterý

Seminář Označení CE vám otevře evropský trh! Vnímání označení CE ze strany Hospodářské komory ČR. František Holec viceprezident

Technologie VoIP. Od historie po současnost

Dřevoobráběcí stroje. Quality Guide. Vyhodnocení nástrojů

Pardubický kraj Komenského náměstí 125, Pardubice SPŠE a VOŠ Pardubice-rekonstrukce elektroinstalace a pomocných slaboproudých sítí

Kontaktní centrum PLUS Ztracená Kroměříž tel.:

Vyvažování tuhého rotoru v jedné rovině přístrojem Adash Vibrio

Integrovaný informační systém v kontrole mléčné užitkovosti krav ve Velké Británii Ing. Pavel Bucek, Českomoravská společnost chovatelů, a.s.

Útoky DoS a DDoS. Přehled napadení. Projektování distribuovaných systémů Ing. Jiří ledvina, CSc. Lokální útoky. Vzdálené útoky

Č E S K Á Š K O L N Í I N S P E K C E. Čj.: / Oblastní pracoviště č. 9 INSPEKČNÍ ZPRÁVA. Základní škola Vítězná - Kocléřov,

Generátor sítového provozu

INFORMAČNÍ SYSTÉM O AREÁLU

MOBILNÍ KOMUNIKACE STRUKTURA GSM SÍTĚ

Hodnotící standard. A. Kritéria a způsoby hodnocení. Administrativní a organizační zajištění. Dílčí kvalifikace DK 1

MAGIS ve strojírenské firmě Strojírna Vehovský s.r.o.

DATOVÉ SCHRÁNKY. Seminární práce z předmětu Information and communication policy

Co najdete v ASPI? (pro uživatele SVI FSE UJEP)

Analýza postavení cestovního ruchu v naší ekonomice

STANOVISKO č. STAN/1/2006 ze dne

Cvičná firma: studijní opora. Brno: Tribun EU 2014, s

Centrum pro flexibilní zpracování plechových polotovarů (II)

Technická specifikace požadovaného řešení

ICT plán ZŠ praktické Bochov na rok 2009

MV ČR, Odbor egovernmentu. Webové stránky veřejné správy - minimalizace jejich zranitelnosti a podpora bezpečnostních prvků

KOMISE EVROPSKÝCH SPOLEČENSTVÍ

8. Přílohy. CO2 chladiče - zde jde o tři hlavní druhy aparátů

Kabeláž třídy Mission Critical Network - MCN

M. Balíková, R. Záhořík, NK ČR 1

MATERIÁL PRO JEDNÁNÍ ZASTUPITELSTVA MĚSTA PÍSKU DNE

VÝZVA K PODÁNÍ NABÍDKY. Stavební úpravy turistické ubytovny TJ Valašské Meziříčí dokončení rekonstrukce

Digitální panelový měřicí přístroj MDM40

Sada nástrojů pro technická opatření pro použití partnerstvím SPIN. Hydraulické nastavení topných systémů

ZADÁVACÍ DOKUMENTACE. Pořízení a provoz konsolidované IT infrastruktury

Městský kamerový systém

Střední škola pedagogická, hotelnictví a služeb, Litoměříce, příspěvková organizace

Odůvodnění veřejné zakázky dle 156 VZ009/2013 Modulační procesory

účetních informací státu při přenosu účetního záznamu,

-1- N á v r h ČÁST PRVNÍ OBECNÁ USTANOVENÍ. 1 Předmět úpravy

Kvalifika ní dokumentace k ve ejné zakázce malého rozsahu

Online manuál pro řadu AR-M230/M270 Tisková sít'ová řešení

Popis systému DATmoCONTROL - systém dálkového přepínání odbočky předřadníku svítidel

Budování aplikačních rozhraní pro obousměrnou komunikaci mezi ERMS a jejich vztah k Národnímu standardu pro komunikaci mezi ERMS.

Obchodní podmínky pro spolupráci se společností Iweol EU s.r.o.

MIKROREGION NETOLICE DÍVČICE ČÍČENICE TÝN NAD VLTAVOU

SPECIFIKACE SLUŽEB AC VYŠKOV

Dešťová voda, sběr, využívání - přehled techniky 1/8 listů

Tekla Structures Multi-user Mode

Modul Řízení objednávek.

Manažerské koučování/mentoring pro zaměstnance SZIF

Projekt: Inovace oboru Mechatronik pro Zlínský kraj Registrační číslo: CZ.1.07/1.1.08/

Windows 7 kompletní příručka. Bohdan Cafourek. Vydala Grada Publishing a.s. U Průhonu 22, Praha 7 jako svou publikaci

SAFETICA 7 DATA LOSS PREVENTION

TRANSPORTY ODŘEZKŮ BUSCH

Projekt: Inovace oboru Mechatronik pro Zlínský kraj Registrační číslo: CZ.1.07/1.1.08/

Set-top box Motorola VIP-1003

Centrum polymerních materiálů a technologií Otty Wichterle realizace stavební části

112 LINKA TÍSŇOVÝCH VOLÁNÍ

Metodická pomůcka pro hodnotitele

B. INFORMAČNÍ SPOLEČNOST

Využití interaktivní tabule ve výuce

Evidence čerpacích stanic pohonných hmot. Zpráva o aktualizaci a stavu Evidence čerpacích stanic pohonných hmot v ČR k

Zadávací dokumentace

Standard č.9 Personální a organizační zajištění sociální služby

Zadání. Založení projektu

KVALIFIKAČNÍ DOKUMENTACE k veřejné zakázce zadávané podle zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů

TEPELNÁ ČERPADLA ALTERNATIVNÍ ZDROJE TEPLA

Informace o naší organizaci

Česká školní inspekce Středočeský inspektorát INSPEKČNÍ ZPRÁVA. Č. j. ČŠIS-2460/10-S. Želivského 805, Kolín IV

Příloha č. 3 VÝKONOVÉ UKAZATELE

19 Jednočipové mikropočítače

VERZE: 01 DATUM: 05/2014

SC 61 detektor kovů baterie 9V (PP3) dobíjecí NI Mh baterie (volitelné příslušenství) nabíječka (volitelné příslušenství)

Svážíme bioodpad z obce Veselý Žďár malé komunální vozidlo s hákovým nosičem, kontejnery a sítě na kontejnery

O firmě. Šokery. Šokery IS 186. Veškerá zobrazení v katalogu jsou pouze ilustrační

Podrobný postup pro vygenerování a zaslání Žádosti o podporu a příloh OPR přes Portál farmáře

HD satelitní přijímač Optimum SLOTH Combo

METODIKA PRO NÁVRH TEPELNÉHO ČERPADLA SYSTÉMU VZDUCH-VODA

Těhotenský test pro zrakově postižené Tereza Hyková

PŘÍLOHA 1.3 SMLOUVY O PŘÍSTUPU K VEŘEJNÉ PEVNÉ KOMUNIKAČNÍ SÍTI PŘÍSTUP K ŠIROKOPÁSMOVÝM SLUŽBÁM

Vlastnosti: Příklad použití.

Příznivé teploty pro vaše plasty

statutární město Děčín podlimitní veřejná zakázka na služby: Tlumočení a překlady dokumentů

Zadávání tiskových zakázek prostřednictvím JDF a Adobe Acrobat Professional

METODY SKUPINOVÉ SP I.

ÚZEMNÍ PLÁN OBCE Rapšach

Pro účely vymezení předmětu veřejné zakázky a stanovení zadávacích podmínek touto zadávací dokumentací zadavatel vymezil následující pojmy takto:

ČÁST PÁTÁ POZEMKY V KATASTRU NEMOVITOSTÍ

Federální shromáždění Československé socialistické republiky II. v. o. Stanovisko vlády ČSSR

biowaba-kompakt-1-stv-uvc

STUDNY a jejich právní náležitosti.

ZPRÁVA O PRŮBĚHU ŘEŠENÍ PROJEKTU

POZMĚŇOVACÍ NÁVRHY 12-21

A. PODÍL JEDNOTLIVÝCH DRUHŮ DOPRAVY NA DĚLBĚ PŘEPRAVNÍ PRÁCE A VLIV DÉLKY VYKONANÉ CESTY NA POUŽITÍ DOPRAVNÍHO PROSTŘEDKU

Dokončení přesídlení Přesídlení krajanů z Kazachstánu v roce 2007

Transkript:

Behaviorální analýza provozu sítě (internet uplink) UP Úvod Většina informací v dnešní době se přenáší nebo je dostupná prostřednictvím datových sítí. Tyto se tak stávají kritickým místem, se kterým bývá spojeno množství problémů, převážně bezpečnostního charakteru. Tyto incidenty jsou v současné době na UP řešeny pomocí intrusion protection systému TippingPoint. Jeho statistiky však neumožňují poskytnout informace o tom, kdo komunikoval s kým, jak dlouho, často, kolik bylo přeneseno dat apod. Tyto informace jsou však nezbytné pro řešení komplikovanějších incidentů na síti, plánování kapacit linek nebo monitorování uživatelů popř. služeb. Vlastní implementace Došlo k vybudování infrastruktury na bázi řešení Invea FlowMon, která monitoruje datový provoz internetové přípojky a následně provádí behaviorální analýzu provozu sítě nad uloženými flow daty. Systém umožňuje dohledání směrem do historie (cca 1 rok). Obr. 1: Zapojení zařízení pro sběr a analýzu provozu

V případě srovnání kvality dat generovaných hardwareovou flow sondou Invea versus sflow daty směrovače, je možno na základě níže uvedených grafů konstatovat, že sonda Invea generuje výrazně kvalitnější rovinu záznamu než vlastní směrovač a je proto doporučována i nadále k praktickému použití: Údaje ze sondy jsou označeny jako p3001, sflow ze směrovače je jako p3005.

Konkrétní výstupy Tato kapitola sumarizuje celkové charakteristiky provozu v monitorované síti ve vybraných časových úsecích v době implementace jakožto příklad náhledu na to, co mimo jiné tento způsob dokáže přinést bezpečnostním administrátorům. Jedná se o přehled poskytovaných a využívaných služeb a statistiku zatížení sítě jednotlivými IP adresami z hlediska objemu přenášených dat a počtu spojení.rovněž jsou uvedeny zjištěné provozní a bezpečnostní problémy a obecné anomálie provozu datové sítě. Hlavní důraz je kladen na odhalení útoků a nežádoucích aktivit na datové síti, které mohou znamenat infikované zařízení nebo úmysl uživatele. Využívané a poskytované služby Naprostou většinu provozu, cca 93%, tvoří běžný webový provoz (TCP/80). Zabezpečený webový provoz (TCP/443) tvoří 2,4%. Komunikace webových Flash aplikací s Macromedia Flash komunikačním serverem (TCP/1935) spotřebovává 2,1%. Ostatní služby jsou zastoupeny minimálně a dohromady tvoří přibližně 2,5% celkové zátěže. Statistika objemu přenášených dat Výše uvedená tabulka shrnuje IP adresy, které se nejvíce podílely na datových přenosech v monitorované síti. Poměr mezi celkovým příchozím a odchozím provozem je cca 4:1 ve prospěch příchozího. TOP 10 IP adres je původcem 13% celkového objemu provozu. Přestože se jedná o relativně malé číslo, jsou přenosy prvních 10 IP adres v kontextu celého měřeného segmentu adresního prostoru UP (65 536 adres) nezanedbatelné. Na síti jsou nejvíce aktivní servery poskytující služby. TOP 10 IP adres má opačný poměr příchozího a odchozího provozu než zbytek sítě, který je převážně složený z klientských stanic.

Statistika počtu spojení Výše uvedená tabulka shrnuje IP adresy, které v monitorované síti vygenerovaly největší počet spojení. Top 10 adres je původcem 16% všech uskutečněných spojení v monitorované síti. IP adresy 158.194.108.164, 158.194.244.2 uskutečnily velký počet spojení, jelikož se jedná o DNS servery monitorované sítě. Útoky Po dobu monitoringu bylo detekováno několik pokusů o získání neoprávněného přístupu ke službě SSH, tzv. slovníkový útok. Většina útoků, až na pár výjimek, byla neúspěšných a typicky jim předcházelo masivní skenování sítě. Následující tabulka shrnuje potenciálně úspěšné útoky na SSH službu. Nežádoucí aktivity Mezi běžné nežádoucí aktivity řadíme útoky typu denial of service nebo skenování portů. Vzhledem k otevřenosti sítě jsou zajímavé pouze aktivity, které mají původ v monitorované

síti. Během vybraného vzorku monitorování sítě proběhlo několik potenciálních skenování s původem ve vnitřní síti. Jednalo se většinou o chaotické skenování, které je charakteristické rychlým navazováním krátkých spojení na náhodné cíle a porty. Nemusí se proto jednat přímo o skenování sítě, ale je to signál podezřelé aktivity jako například používání p2p. Tabulka vpravo zobrazuje TOP 10 IP adres, na které mohl být v době monitorování sítě prováděn DoS/DDoS útok. Kromě DoS útoků se na monitorované síti objevily také událostí HTTP Flood signalizující vysokou frekvenci požadavků na HTTP server. Pravděpodobně se jednalo pouze o zvýšené využívání služby. Nestandardní komunikace Mezi nestandardní síťovou komunikaci řadíme např. vysokou variabilitu v počtu cílových IP adres a cílových portů v krátkém časovém období nebo komunikaci s IP adresami, které se nacházejí na renomovaných černých listinách.

Využití internetové přípojky Nalezená anomálie provozu V průběhu monitorování sítě byly zachyceny dva skokové nárůsty datových toků.

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář