Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow

Podobné dokumenty
Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Monitorování datových sítí: Dnes

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Nasazení a využití měřících bodů ve VI CESNET

Flow Monitoring & NBA. Pavel Minařík

Flow monitoring a NBA

Jak se měří síťové toky? A k čemu to je? Martin Žádník

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

FlowMon Monitoring IP provozu

FlowMon Vaše síť pod kontrolou

Využití monitorování toků v sít ové

FlowMon chytré české řešení pro bezpečnostní a provozní monitoring sítí. Jiří Tobola, Petr Špringl, INVEA-TECH

Firewall, IDS a jak dále?

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Petr Velan. Monitorování sítě pomocí flow case studies

Kybernetické hrozby - existuje komplexní řešení?

IPFIXCOL MODULÁRNÍ KOLEKTOR SÍŤOVÝCH TOKŮ. Lukáš Huták CESNET. 4. listopad 2018 OpenAlt, Brno

Firewall, IDS a jak dále?

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

Koncept. Centrálního monitoringu a IP správy sítě

FlowMon Vaše síť pod kontrolou!

Flow monitoring a NBA

FlowMon Vaše síť pod kontrolou!

FlowMon Vaše síť pod kontrolou!

Co se skrývá v datovém provozu?

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Výzkum v oblasti kybernetické bezpečnosti

Network Measurements Analysis (Nemea)

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Flow monitoring a NBA

Seminář pro správce univerzitních sí4

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Koncept centrálního monitoringu a IP správy sítě

Jak využít NetFlow pro detekci incidentů?

Kybernetické hrozby jak detekovat?

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR

SÍŤOVÁ INFRASTRUKTURA MONITORING

PB169 Operační systémy a sítě

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

FlowMon ADS praktické aplikace a případové studie. Pavel Minařík INVEA-TECH, a.s.

Koncept BYOD. Jak řešit systémově? Petr Špringl

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Co vše přináší viditelnost do počítačové sítě?

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

IPv6 v CESNETu a v prostředí akademických sítí

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Inteligentní NetFlow analyzátor

Multimediální služby v taktických IP sítích

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

Technologie Cisco Flexible Netflow - možnosti monitorování uživatelem definovaných atributů provozu a jejich následná prezentace.

BEZPEČNOSTNÍ MONITORING SÍTĚ

Detekce volumetrických útoků a jejich mi4gace v ISP

Proč, kde a jak nasazovat flow monitoring a behaviorální analýzu

Implementace a monitoring IPv6 v e-infrastruktuře CESNET

Ověření technologie Traffic-Flow na platformě Mikrotik a NetFlow na platformě Cisco

Provozně-bezpečnostní monitoring datové infrastruktury

Sledování provozu sítě

Strategie sdružení CESNET v oblasti bezpečnosti

FlowMon. Představení FlowMon verze 7.0. Petr Špringl, Jan Pazdera, Pavel Minařík,

Č.j. MV /VZ-2014 V Praze 24. dubna 2015

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Nejlepší přítel správce sítě! Řešení bezpečnosti Vaší sítě v Cloudu. Pavel Minařík CTO, AdvaICT,a.s.

Budování sítě v datových centrech

Aktivní bezpečnost sítě

Monitorování a bezpečnostní analýza

Obrana sítě - základní principy

Firewally a iptables. Přednáška číslo 12

Zabezpečení v síti IP

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Monitoring sítě. CESNET Day Universita Karlova, Tomáš Košňar CESNET z. s. p. o.

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Behaviorální analýza provozu sítě (internet uplink) UP

Technické aspekty zákona o kybernetické bezpečnosti

Výzva k podání nabídky na veřejnou zakázku malého rozsahu na dodávku

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Bezpečnostní projekt Případová studie

Management sítí OSI management framework SNMP Komerční diagnostické nástroje Opensource diagnostické nástroje

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

FR CESNET Závěrečná zpráva

Přepínaný Ethernet. Virtuální sítě.

Y36SPS Bezpečnostní architektura PS

Citidea monitorovací a řídicí centrála pro smart řešení

Uživatel počítačové sítě

Zákon o kybernetické bezpečnosti: kdo je připraven?

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Bezpečnostní monitoring sítě

Nejzajímavější bezpečnostní incidenty CSIRT.CZ. Pavel Bašta

Budování sítě v datových centrech

Y36SPS Bezpečnostní architektura PS

Transkript:

Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow Pavel Čeleda et al. Masarykova univerzita Ústav výpočetní techniky II. konference ČIMIB - 20. května 2009, Praha Část I Sledování a analýza provozu v počítačových sítích Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 2 / 23

Jak dobře znáte svoji síť? Víte o tom, co se děje ve Vaší síti? Jste si jistí bezpečností Vaší sítě? Znáte kritická místa Vaší sítě? Vypořádáváte se s problémy ve Vaší síti? A nebo Vám v síti řádí neznámí skřítci? Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 3 / 23 Máte vše pod kontrolou? LAN Internet Firewall Ale co se děje zde? AV ochrana hraniční směrovač LAN AV ochrana AV ochrana LAN Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 4 / 23

Monitorování toků Poskytuje informace o tom kdo, s kým a jak dlouho komunikoval, kolik přenesl dat a jaký protokol použil. Vychází z principů technologie NetFlow v5/v9 a IETF IPFIX. Umožňuje dlouhodobě sledovat síťový provoz v reálném čase. Detailní pohled do sítě na základě NetFlow dat. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 5 / 23 Princip monitorování toků HTTP požadavek od 172.16.96.48:15094 pro 209.85.135.147:80 chci na www.google.cz HTTP odpověď od 209.85.135.147:80 pro 172.16.96.48:15094 WWW prohlížeč WWW server zdrojová a cílová IP adresa zdrojový a cílový port číslo protokolu doba trvání počet paketů suma bajtů TCP příznaky,... Flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Flags Packets Bytes 09:41:21.763 0.101 TCP 172.16.96.48:15094 -> 209.85.135.147:80.AP.SF 4 715 09:41:21.893 0.031 TCP 209.85.135.147:80 -> 172.16.96.48:15094.AP.SF 4 1594 Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 6 / 23

Dostupná řešení pro monitorování toků Směrovače CISCO, Juniper, Enterasys,... Zaneprázdněny směrováním, monitorování toků jako doplněk. Monitorování toků není implementované ve všech modelech. Fixní umístění, možný cíl útoků. Často nezbytné vzorkování, omezené pokročilé technologie. SW NetFlow Sondy nprobe, fprobe, softflowd,... Založeno na běžném HW PC a běžných síťových kartách. Limitovaný výkon (PCAP, PCI-X) a problémy stability. Vyžaduje expertní úpravy a nastavení měřicího systému. Zaplňují mezeru kde potřebujeme monitorovat a není čím. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 7 / 23 Část II Sonda alternativní způsob získávání NetFlow dat Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 8 / 23

Systém pro sledování síťového provozu Internet sonda LAN TAP SPAN SPAN sonda TAP sonda LAN LAN Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 9 / 23 Architektura systému sonda detekce SPAMu http WWW sonda sonda NetFlow v5/v9 NfSen NetFlow kolektor detekce červů/virů detekce bezpeč. incidentů mail mail OTRS mailbox vytváření NetFlow dat sběr NetFlow dat analýza NetFlow dat reportování incidentů Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 10 / 23

Historie řešení Základní výzkum proběhl v rámci aktivity Programovatelný hardware sdružení CESNET ve spolupráci s VUT a MU. Projekt EU FP6 GÉANT2 vznik GN2 Security Toolset, který tvoří sonda a kolektor NfSen. Technologický transfer do společnosti INVEA-TECH a.s. 2004 2005 2006 2007 2008 návrh sondy COMBO6+MTX COMBO6+SFP COMBO6X+SFPRO COMBO6X+SFPRO COMBO6X+XFP Flexible 2008 Technologický transfer Spin-Off INVEA-TECH a.s. SW a HW sondy Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 11 / 23 Sonda Mobilní síťové zařízení bez nutné fixní pozice v síti. Nezávislost na používané síťové infrastruktuře. Založeno na Linuxu, neomezené množství chytrých rozšíření. Pasivní sledování síťového provozu za všech okolností. Splňuje standardy - NetFlow v5/9 a IPFIX. Současný export dat na více kolektorů. Bezpečná vzdálená konfigurace přes web nebo SSH. Optický TAP Sonda karta COMBO6X Kolektor Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 12 / 23

Část III Použití NetFlow v praxi Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 13 / 23 Jak používáme NetFlow na Masarykově univerzitě Oddělení bezpečnosti počítačové sítě - CSIRT MU Sledování dodržování bezpečnostních politik. Dohledávání bezpečnostních incidentů. Detekce virů a červů v síti MU. Monitorování a detekce slovníkových útoků na SSH. Monitorování e-mailového provozu (SPAM). Monitorování provozu přicházajícího na honeypoty. Nebezpečnostní využití NetFlow dat Statistiky objemů přenášených dat v síti MU. Monitorování přístupu k elektronickým zdrojům. Podpora pro výzkum a vývoj v oblasti počítačových sítí. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 14 / 23

Sledování dodržování bezpečnostních politik Každý den po půlnoci vyhodnocujeme provoz z předchozího dne. Každý stroj v sítí MU musí mít reverzní DNS záznam Patří k dobrým mravům (definováno v RFC). IP bez záznamu může ukazovat na zapomenutý stroj a nedbalost správců. Mail ze sítě MU lze odesílat jen přes vybrané SMTP servery Prevence spamu. Sledování objemových anomálií v provozu. Zachycení neúspěšných spammerů a chyb v konfiguraci. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 15 / 23 Odhalování a prokazování bezpečnostních incidentů Inteligentní útoky proti SSH serverům Napadení desítek strojů SSH trojanem. Nezbytná kontrola všech strojů zda byly napadeny. Na síťové úrovni pomohla analýza odchozího provozu. NetFlow data ukázala další napadené stroje. V případě velkého množství toků napomůže vizualizace pomocí nástroje MyNetScope. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 16 / 23

Detekce virů a červů v síti MU - I Viry a červy se snaží šířit dál skenují další stroje v síti. Chceme ochránit především svoji síť, kterou máme pod kontrolou. Jak funguje detekce? Každých 5 minut procházíme NetFlow data z vnitřních sond. Hledáme počítače, které skenují vybrané síťové porty. Každý počítač v síti MU patří do určitého segmentu, za který je někdo zodpovědný. Mailovací robot zašle správci/studentovi upozornění. V případě adres přidělených studentům dojde k zablokování přístupu na 14 dní nebo do vyřešení problému. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 17 / 23 Detekce virů a červů v síti MU II Zkušenosti z provozu V ostrém provozu měsíc. Celkem odesláno přes 80 upozornění. Zejména na šíření červu Conficker. Nalezeny nové, dosud neznámé formy virů. Kladná odezva správců žádný falešný poplach. Chladnější odezva studentů, ale čistší síť. Automatizované upozorňování šetří čas bezp. analytikům. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 18 / 23

CAMNEP Network Intrusion Detection System NetFlow data z hardwarově akcelerovaných sond. Autonomní detekce a vizualizace anomálií. Řešitelé ČVUT a MU - zdroj financování U.S. ARMY. Vznik spin-off společnosti Cognitive Security s.r.o. na ČVUT. Histogram detekovaných anomálií. Vizualizace nástrojem NFVis - Mycroft Mind, a.s. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 19 / 23 CYBER Grant Ministerstva obrany ČR Detekce slovníkových útoků na SSH (MyNetScope). Vytváření profilů důležitých strojů MU. Detekce infiltrace cizího zařízení v síti (detekce NAT). Integrace různých bezpečnostních vrstev se systémy typu CS-MARS a Enterasys DSCC. Root Victim IP address Victim level Store: vaac Attacker IP address, tsla test Attacker level Store: aaac, tsla, Darr, Parr, Barr Flow duration out of bounds Flow duration in bounds Operations: SUCC Duration level Packets out of bounds Packets in bounds Operations: SUCC Bytes out of bounds Packets level Bytes in bounds Operations: SUCC Bytes level Operations: Aup, Bup Detekce slovníkových útoků dynamický rozhodovací strom. Počet strojů za NATem. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 20 / 23

Část IV Závěr Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 21 / 23 Závěr Proč je monitorování toků důležité? Sítě jsou složité a jsou vystaveny poruchám a útokům. Je těžké porozumět sítím bez jejich sledování. Závislost všeho na IT technologiích (síti). aneb cesta od výzkumu až po komerční řešení Systém je prověřen rutinním nasazením ve velkých sítích. Užitečnost (přidaná hodnota) je v ucelenosti celého řešení. Pokračující výzkum a rozvoj technologie v ČR. Jsme otevřeni spolupráci v oblasti sítí a bezpečnosti. Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 22 / 23

Děkuji za pozornost Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow Pavel Čeleda et al. celeda@ics.muni.cz Masarykova univerzita Ústav výpočetní techniky Pavel Čeleda et al. Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow 23 / 23

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář