Monitorování sítě se strojem času

Podobné dokumenty
Behaviorální analýza provozu sítě (internet uplink) UP

1. TECHNICKÉ POŽADAVKY PRODUKTŮ VEMA Klasifikace konfigurací z hlediska podpory... 7

DVR Uživatelský manuál. Uživatelský manuál DVR

HDCVI DVR Uživatelský manuál. Uživatelský manuál záznamové zařízení Dahua & BCS HDCVI

Generátor sítového provozu

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.


RUČNÍ SCANNER. Uživatelský Manuál

Jan Březina. Technical University of Liberec. 17. března 2015

Toshiba představuje řadu pevných disků CANVIOs větší kapacitou

Praktické úlohy- zaměření specializace

PODPORA KRAJSKÉHO AKČNÍHO PLÁNOVÁNÍ

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Network Measurements Analysis (Nemea)

Server. Software serveru. Služby serveru

MĚŘENÍ NÁKLADŮ, VÝKONNOSTI

BIOS (BASIC INPUT-OUTPUT SYSTEM)

ÚVOD DO INFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE

Inovace výuky prostřednictvím šablon pro SŠ

Nabíjení proběhlo cca 25x. Jednotlivé průběhy při nabíjení se shodují. Dominantní vyšší harmonické proudu v průběhu nabíjení jsou, viz obr. 13.

Návod k obsluze CC&C WA-6212-V2

část A) 1) Město Nové Město na Moravě

Nasazení a využití měřících bodů ve VI CESNET

Provozování volných INSPIRE služeb výzvy a překážky. Jiří Poláček

Martina Bábíčková, Ph.D

Nemocnice a centra zobrazovacích metod d v ují systém m Rimage pro publikování disk s informacemi o pacientech, které mohou zachránit život

Mobilní monitorovací centrum MMC

SAFETICA 7 DATA LOSS PREVENTION

KOUKAAM a.s. U Vinných sklepů Praha 9

PROJEKT BAKALÁŘSKÉ PRÁCE

Pokyny k instalaci FRIATRACE Verze 5.3

Představte si Záznam v reálném čase při plném rozlišení

Minix NEO X6. Uživatelská příručka CZ

Technická specifikace vymezené části 1 SERVER

Podniková norma PRE a PREdi ROZPOJOVACÍ A JISTÍCÍ SKŘÍŇ PLASTOVÁ SR322, SR422, SR622, SR722, SR822, SD622, SD722, SD822

Cílovou skupinou vzdělávacích aktivit jsou zaměstnanci společnosti TES VSETÍN s.r.o.

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

Dopady rozhodnutí Úřadu pro ochranu osobních údajů

software Manual Net Configuration Tool

Střední škola pedagogická, hotelnictví a služeb, Litoměříce, příspěvková organizace

Střední průmyslová škola a Vyšší odborná škola technická Brno, Sokolská 1. Podpora digitalizace a využití ICT na SPŠ CZ.1.07/1.5.00/34.

Partnerství. HSG mobilní sterilizátory střední velikosti s předběžným a následným vakuem. Economic Line

Zadávací dokumentace. Příloha

Disaster recovery, zálohování dat a efektivní využití cloudových služeb

Technologie VoIP. Od historie po současnost

Jak rozvíjet ehealth v Česku. Ing. Zdeněk Vitásek, MBA, ředitel OOIS ZPŠ Mladá Boleslav, předseda sekce informatiků SZP ČR

VY_52_INOVACE_2NOV70. Autor: Mgr. Jakub Novák. Datum: Ročník: 8. a 9.

BEZPEČNOSTNÍ MONITORING SÍTĚ

KX-TDA verze Rozšiřte kapacitu a schopnosti Vašeho systému KX-TDA povýšením na verzi 2.02.

Návod ke stažení a instalaci bodů zájmu do navigace TomTom řady Via a Go100x

Úvod do programování a práce s počítačem

Online manuál pro řadu AR-M230/M270 Tisková sít'ová řešení

Počáteční nastavení aplikace WiFiS

AMU1 Monitorování bezpečného života letounu (RYCHLÝ PŘEHLED)

Špičkový diktafon nejkvalitnější možný záznam v PCM kvalitě

Název zakázky: SESTAVY PRO PROFESIONÁLNÍ ANALÝZU SPORTOVNÍHO VÝKONU V REÁLNÉM ČASE

Střední škola pedagogická, hotelnictví a služeb, Litoměříce, příspěvková organizace

Postup šetření pro rok Ministerstvo pro místní rozvoj Odbor veřejného investování

Hardware Martina Miškeříková

Druhá mocnina. Druhá odmocnina Druhá odmocnina. Předpoklady: V této hodině jsou kalkulačky zakázány.

Prosím, dodržujte následující bezpečnostní opatření, aby nedošlo k poškození nebo ztrátě dat způsobené nesprávným provozem.


Digitální panelový měřicí přístroj MDM40

FC2020 Ústředna požární signalizace

VÝZVA A ZADÁVACÍ DOKUMENTACE

Hodinky s kamerou. Návod k použití. Hlavní výhody produktu: Kvalitní provedení IR přisvícení Funkce diktafonu.

SIMATIC WinCC V7.2. Novinky. Nur für internen Gebrauch / Siemens AG Alle Rechte vorbehalten.

Příručka pro uživatele ČSOB InternetBanking 24 a ČSOB BusinessBanking 24 Online s čipovou kartou v operačním systému Mac OS X

ORIENTACE V ZÁSAHOVÉM OBVODU JEDNOTKY

Karel Johanovský Michal Bílek. Operační paměť

Nabídka telekomunikačních služeb

Přednáška - Základy PC. Ing. Michaela Mudrochová Algoritmus individuálního vzdělávání CZ.1.07/3.1.00/

Operační systém. Mgr. Renáta Rellová. Pracovní list. Výukový materiál zpracován v rámci projektu EU peníze školám

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Vysokorychlostní sítě 2004 Praktická aplikace přenosu hlasu v IP sítích

Informační a komunikační technologie. 1.4 Data, informace, komprimace

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Téma: Zemní práce III POS 1

Hodnotící standard. A. Kritéria a způsoby hodnocení. Administrativní a organizační zajištění. Dílčí kvalifikace DK 1

VZDUCHOVÉ TEPELNÉ ČERPADLO A SOLÁRNÍ TERMICKÉ KOLEKTORY. JH SOLAR, s r.o.

Karty externích médií

Střední škola pedagogická, hotelnictví a služeb, Litoměříce, příspěvková organizace

Návod na stažení a instalaci programu Statistica ze síťové jednotky. Návod na prodloužení programu Statistica. Upgrade z verze ENG 12.

Bezpečná výměna dat. Petr Dolejší Project manager, Solution consultant

Virtualizace koncových stanic Položka Požadováno Nabídka, konkrétní hodnota

OBSAH IDENTIFIKAČNÍHO LISTU NEBEZPEČNÉHO ODPADU

Rikomagic MK36S Windows 10

Aktualizace softwaru Uživatelská příručka

Pokusy s kolem na hřídeli (experimenty s výpočty)

Shrnutí. Funkce. Pro komunikaci s ostatními zařízeními lze využít 1x port Ethernet, 1x sériové rozhraní RS485.

NÁVRHOVÝ PROGRAM VÝMĚNÍKŮ TEPLA FIRMY SECESPOL CAIRO PŘÍRUČKA UŽIVATELE

ČKS-44.konference. Ing. Jiří N O V O T N Ý CDV. Tel.: jiri.novotny@cdv.cz

Technická specifikace

Výrazy lze též zavést v nečíselných oborech, pak konstanty označuji jeden určitý prvek a obor proměnné není množina čísel.

Upgrade ze systému Windows Vista na systém Windows 7

IP telefon Linksys SPA-921 (SIP) Stručný průvodce instalací a konfigurací

1. Požadavky na provoz aplikací IISPP

MATERIÁL PRO JEDNÁNÍ RADY MĚSTA PÍSKU DNE

Zadávací dokumentace

Transkript:

Tomáš Čejka cejkat@cesnet.cz Monitorování sítě se strojem času Internet a Technologie 31. 05. 2016

Úvod & Motivace Monitorování založené na síťových tocích Nutné zejména na vysokorychlostních sítích (objem dat) Bezpečnostní analýza, provozní měření, účtování,... Nedostatky Agregované záznamy o tocích nedostačují pro: forenzní analýzu hledání vzorů škodlivého provozu pro vylepšení detekce ověření správnosti detekce důkazní materiál Naše cíle Automatický záchyt provozu (na základě zpětné vazby) Krátkodobý záchyt paketů Dohromady: stroj času kombinace paketového a tokového monitorování Tomáš Čejka Monitorování sítě se strojem času 31. 05. 2016 1 / 16

Záznamy o tocích (Flow Records) Vysvětlení Tok je identifikován zdrojovými a cílovými adresami a porty, protokolem, časem. Tok obsahuje informace o objemu dat: # bajtů, # paketů. Podle potřeby je možné přidat i další informace. Reprezentace záznamů o tocích NetFlow (existuje několik verzí) IPFIX Tomáš Čejka Monitorování sítě se strojem času 31. 05. 2016 2 / 16

Běžná monitorovací sonda ETHERNET 3 2 1 Výpočet toků Tomáš Čejka Monitorování sítě se strojem času 31. 05. 2016 3 / 16

Software Defined Monitoring (SDM) ETHERNET 2 1 1 1 1 Výpočet toků Výpočet toků FPGA karta s SDM Tomáš Čejka Monitorování sítě se strojem času 31. 05. 2016 4 / 16

Využití detekce: Infrastruktura SDM zpětné vazby ETHERNET Toky Monitorovací sonda (s SDM) RAW data Analýza a detekce poplach Sběr důkazního materiálu Tomáš Čejka Monitorování sítě se strojem času 31. 05. 2016 5 / 16

Živý záchyt po detekci ETHERNET Výpočet Flow Computation toků Výpočet toků FPGA karta s SDM Živý záchyt Jak se podívat na pakety z minulosti? Když je detekce rychlá, stačí spustit záchyt...? Tomáš Čejka Monitorování sítě se strojem času 31. 05. 2016 6 / 16

Time Machine od Kornexl & Paxson Clever Caveman Approach Publikováno v: Kornexl, Stefan, et al. "Building a time machine for efficient recording and retrieval of high-volume network traffic."proceedings of the 5th ACM SIGCOMM conference on Internet Measurement. USENIX Association, 2005. Ukládání paketů na pevné disky Dlouhodobé ukládání Clever = jen některé pakety, začátky toků (které obsahují hlavičky) Tomáš Čejka Monitorování sítě se strojem času 31. 05. 2016 7 / 16

Náš stroj času v SDM Princip našeho řešení (pro 80 100 Gb/s) Ukládání paketů v operační paměti (kvůli rychlosti) Naimplementovaný softwarový kruhový buffer Ukládá se prvních n paketů každého toku na co nejdelší dobu (stará data se přepisují) Po detekci se začne zachytávat provoz podezřelé IP navíc máme historická data z kruhového bufferu = můžeme se podívat do minulosti! Tomáš Čejka Monitorování sítě se strojem času 31. 05. 2016 8 / 16

Náš stroj času v SDM ETHERNET Výpočet toků Výpočet toků FPGA karta s SDM Živý záchyt Kruhový buffer Stroj času Tomáš Čejka Monitorování sítě se strojem času 31. 05. 2016 9 / 16

Co už jsme testovali Detekce síťových skenů Komunikační tunely přes DNS Hádání vytáčecího schématu SIP Pomocí SDM se strojem času můžeme získat důkazní materiál pro bezpečnostní týmy a ověřit detekované události. Tomáš Čejka Monitorování sítě se strojem času 31. 05. 2016 10 / 16

Velikost toku je n paketů dost? 100 90 80 70 Flows [%] 60 50 40 HTTP HTTPS 30 DNS SMTP 20 SSH SIP 10 others all 0 1 10 100 Flow size [packets] Tomáš Čejka Monitorování sítě se strojem času 31. 05. 2016 11 / 16

Uložené/přeskočené pakety 100 90 80 70 Packets [%] 60 50 40 HTTP HTTPS 30 DNS SMTP 20 SSH SIP 10 others all 0 0 5 10 15 20 25 30 35 40 45 50 Decision threshold [packets] Tomáš Čejka Monitorování sítě se strojem času 31. 05. 2016 12 / 16

Statistiky 24 CPU jader 64 GB RAM 80 Gb/s COMBO karta (podporující SDM) Použijeme-li 8 GB paměti, na 80 Gb/s lince, a budeme-li ukládat prvních 20 paketů každého toku, můžeme uložit kolem 15 min provozu Pozn.: délka historie závisí na objemu a rozložení provozu Tomáš Čejka Monitorování sítě se strojem času 31. 05. 2016 13 / 16

Délka historie Tomáš Čejka Monitorování sítě se strojem času 31. 05. 2016 14 / 16

Závěr Umíme monitorovat 100 Gb/s, stroj času byl testován na 80 Gb/s. Detekce používá (rozšířené) záznamy o tocích Prezentovaný systém poskytuje: záznamy o tocích zachycený plný provoz detekované IP (živý záchyt) historii před detekcí: začátky toků detekované IP Tomáš Čejka Monitorování sítě se strojem času 31. 05. 2016 15 / 16

Děkuji za pozornost Pozvánka na Demo Tomáš Čejka Monitorování sítě se strojem času 31. 05. 2016 16 / 16

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář