CESNET & Bezpečnost CESNET, z. s. p. o. Služby e-infrastruktury CESNET
CESNET a CESNET2 NREN Konektivita GÉANT, 30Gb/s sdílené, 4x10Gb/s pro výzkum spoj do globálního internetu linkou do USA od Telia, 6Gb/s individuální spoje do SANET, ACONET a PIONEER, po 10Gb/s spoj do experimentální sítě GLIF, 10Gb/s 4 10 Gb/s do NIX.CZ 10 Gb/s do AMS IX Člen sdružení CZ.NIC Člen peeringového centra NIX.CZ Člen projektu Fenix
Původní název Bezpečná VLAN Reakce na (D)DoS útoky z března 2013 Projekt NIX.CZ, http://fe.nix.cz/ Členové: NIX.CZ, CZ.NIC, CESNET, Active24, Dial Telecom, Seznam.cz, O2 Telefónica, ČD Telematika, CoolHousing.NET Speciální VLAN pro členy (+zákazníky) NIX.CZ, kteří dbají na bezpečnost Člen připojen do veřejné VLAN i do bezpečné VLAN Last resort v případě masívního útoku na infrastrukturu Čeští uživatelé se dostanou na české služby Administrativní, technické a bezpečnostní podmínky pro členství
CESNET a CESNET2 Špičkové parametry síťové infrastruktury vysoké přenosové rychlosti end to end služby vysoká míra spolehlivosti Připojené organizace 26 vysokých škol, AV ČR (členové) cca 290 dalších účastníků ~ 400tis uživatelů studentů vědců, výzkumníků
Charakter sítě CESNET2 Klasický ISP uživatel přistupuje do Internetu uživatel využívá služby, stahuje data, mailuje, chatuje, webuje... NREN experimentální, komunitní nárazové velké datové přenosy distribuované infrastruktury Datových úložišť, Gridů distribuovaná infrastruktura pro podporu vzdálené spolupráce AAI infrastruktura, federace, IdP silné výpočetní zdroje
Správa sítě CESNET2 1. Transparentní 2. Žádné omezování provozu (dokud se neobjeví problém) 3. Připojeným sítím nabízíme služby a nástroje pro seberegulaci
Správa sítě CESNET2 Na páteři pracujeme s velkými objemy dat jsme schopni určit, co je anomálie ohrožující infrastrukturu nejsme schopni určit, jestli tok XY může být ohrožující pro koncovou síť Pro určení anomálnosti provozu je důležitý nejen objem, ale i charakteristika datových přenosů např. tok 5tis flow za vteřinu u DNS ok, u PC problém Rozhodujeme se na základě vyhodnocení konkrétní situace na páteři zasahujeme, když je ohrožen chod infrastruktury vše ostatní je na žádost uživatelů (připojených sítí) Máme povinnost a oprávnění zasáhnout při ohrožení infrastruktury nemůžeme a nechceme svévolně zasahovat do provozu koncové sítě
CESNET2 Sondy na perimetru sítě CESNET2
CESNET2 - HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - SNMP based monitoring - IDS, IPS, tar pit based systems, etc..
Sledování CESNET2 Plošné, souvislé, na bázi toků HW akcelerované sondy na perimetru sítě bezeztrátové a detailní měření síťových dat na volitelné úrovni detailu měření tunelovaného provozu, měření aplikací HTTP, DNS, SIP užitečné pro ruční analýzu, v případě problému zkoumáme statistiky, zdroj dat a informací pro další výzkum FTAS, G3 sběr informací o provozu z páteřních prvů CESNET2 a připojených sítí aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30) Detekce síťových a aplikačních událostí skenování portů, syn flood útoky DNS amplifikace bruteforce na ssh, SIP, DNS tunely
Sledování CESNET2 Plošné, souvislé, na bázi toků Sledujeme perimetr, vstup, výstup HW akcelerované sondy na perimetru sítě provoz od nás ven provoz vybraných prvků infrastruktury bezeztrátové a detailní měření síťových dat na volitelné úrovni detailu distribuované infrastruktury, např. DÚ, Gridy měření tunelovaného provozu, měření aplikací HTTP, DNS, SIP klíčové služby (DSN, AAI) užitečné pro ruční analýzu, v případě problému zkoumáme anomální datové přenosy statistiky, zdroj dat a informací pro další výzkum paketové rychlosti útoky hrubou silou FTAS, G3 sběr informací o provozu z páteřních prvů CESNET2 a připojených sítí aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní top listy (podle zdrojů, cílů) využití a stav linek z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30) Co je výstupem výsledky on the fly detekcí Detekce síťových a aplikačních událostí skenování portů, syn flood útoky DNS amplifikace bruteforce na ssh, SIP, DNS tunely
Sledování CESNET2 Plošné, souvislé, na bázi toků Sledujeme perimetr, vstup, výstup HW akcelerované sondy na perimetru sítě provoz od nás ven provoz vybraných prvků infrastruktury bezeztrátové a detailní měření síťových dat na volitelné úrovni detailu distribuované infrastruktury, např. DÚ, Gridy měření tunelovaného provozu, měření aplikací HTTP, DNS, SIP klíčové služby (DSN, AAI) užitečné pro ruční analýzu, v případě problému zkoumáme anomální datové přenosy statistiky, zdroj dat a informací pro další výzkum paketové rychlosti útoky hrubou silou FTAS, G3 sběr informací o provozu z páteřních prvů CESNET2 a připojených sítí aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní top listy (podle zdrojů, cílů) využití a stav linek z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30) Co je výstupem výsledky on the fly detekcí Detekce síťových a aplikačních událostí umíme rozpoznat provozní problém a bezpečnostní problém skenování portů, syn flood útoky DNS amplifikace umíme rozpoznat pokusy zneužít infrastrukturu a data bruteforce na ssh, SIP, DNS tunely máme naskladněné informace pro ex post analýzu
Podpora připojených organizací aneb Co je CESNET schopen udělat pro připojené organizace, když...
Co jsme schopni udělat, když... Máte podezření, že něco není v pořádku ad hoc analýza provozu konzultace, zhodnocení situace dlouhodobé systematické sledování podezřelého provozu Jste zdrojem problému (útoku) ad hoc analýza provozu filtrace na hraně mezi sítí a páteří, dokud není odstraněna příčina pomoc s odstraněním problému Jste cílem útoku (např. typu záplava) ad hoc analýza provozu filtrace na hraně mezi sítí a páteří, případně na perimetru sítě
Co jsme schopni udělat, když... Objeví se plošný útok na uživatele (phishing nesoucí malware) analýzu incidentu (malware) vydat doporučení, co dělat (csirt forum@) identifikovat nakažené stroje v síti zabránit komunikaci nakažených strojů (v koncové síti) Objeví se zranitelnost (HB, ShellShock) otestování prvků v koncové síti analýza provozu dostupnými metodami, vytvořenými nástroji rychlou úpravou sondy Chcete zjistit, jak na tom vaše síť je (prevence) penetrační testy zátěžové testy } na žádost, ne automaticky
Co očekáváme od koncové sítě Komunikaci a spolupráci Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností Vím, co se v mé síti děje aneb logování Nepodvrhávání provozu Nepouštět přes hranu SNMP, NTP (není li pro to dobrý důvod a pokud je, tak zabezpečit) Ne amplifikace, ne otevřené resolvery Naplnění základních podmínek Fenixu
Co očekáváme od koncové sítě Komunikaci a spolupráci Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností Vím, co se v mé síti děje aneb logování Nepodvrhávání provozu Nepouštět přes hranu SNMP, NTP (není li pro to dobrý důvod a pokud je, tak zabezpečit) BCP 38/SAC004 granularita /24 (/48) RTBH využívající RS Ne amplifikace, ne otevřené resolvery IPv6, DNSSEC na důležitých doménách Plná redundance připojení do NIX.CZ Naplnění základních podmínek Fenixu Monitoring sítě (MRTG, NetFlow,...) Control plane policy RFC6192 DNS, NTP, SNMP amplification protection Reakční čas na bezpečnostní incident <30min BGP TCP MD5
Co očekáváme od koncové sítě Komunikaci a spolupráci Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností Vím, co se v mé síti děje aneb logování Nepodvrhávání provozu Nepouštět přes hranu SNMP, NTP (není li pro to dobrý důvod a pokud je, tak zabezpečit) BCP 38/SAC004 granularita /24 (/48) RTBH využívající RS Ne amplifikace, ne otevřené resolvery IPv6, DNSSEC na důležitých doménách Plná redundance připojení do NIX.CZ Naplnění základních podmínek Fenixu Nejsem a nemohu být zdrojem falešného Monitoring sítě (MRTG, NetFlow,...) provozu a zdrojem nebo zrcadlem agresivního Control plane policy RFC6192 provozu (antispam a malware). DNS, NTP, SNMP amplification protection Reakční čas na bezpečnostní incident <30min BGP TCP MD5
Co očekáváme od koncové sítě Komunikaci a spolupráci Správný design sítě Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností Víceúrovňové filtrování provozu Ochrana koncových stanic Vím, co se v mé síti děje aneb logování Ochrana aktivních prvků Nepodvrhávání provozu Monitorování služeb Monitorování síťové komunikace Nepouštět přes hranu SNMP, NTP (není li pro to dobrý důvod a Ochrana klientů (před klienty) pokud je, tak zabezpečit) BCP 38/SAC004 granularita /24 (/48) RTBH využívající RS Ne amplifikace, ne otevřené resolvery IPv6, DNSSEC na důležitých doménách Plná redundance připojení do NIX.CZ Naplnění základních podmínek Fenixu Nejsem a nemohu být zdrojem falešného Monitoring sítě (MRTG, NetFlow,...) provozu a zdrojem nebo zrcadlem agresivního Control plane policy RFC6192 provozu (antispam a malware). DNS, NTP, SNMP amplification protection Reakční čas na bezpečnostní incident <30min BGP TCP MD5
Bezpečnost CESNET2 Vyvíjíme a provozujeme nástroje a technologie, které podají obraz o dění v síti detekují anomálie (podezřelé chování) v provozu sítí a služeb dovolí zaměřit se na podezřelý provoz umožní sdílení zajímavých dat informace o anomáliích (události, BI) dostanou do rukou správců ==> aktivní obrana ==> zdravotní aspekt, prevence detekce, sběr, analýza, sdílení a vytěžení dat instance těchto nástrojů a technologií nabízíme jako služby
Bezpečnostní infrastruktura Síťové sondy na perimetru sítě CESNET2 Systémy FTAS a G3 plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur plošné souvislé sledování stavu a chování rozsáhlých výkonných infrast. IDS systémy, Honeypoty Systémy pro sdílení a korelaci dat Forenzní laboratoř (FLAB) PSS, NOC dohled nad provozem sítě CESNET2 režim 24/7/365 CESNET CERTS } +420 2 2435 2994 support@cesnet.cz
Bezpečnost: služby Služby na bázi detekce (FTAS, G3) plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur plošné souvislé sledování stavu a chování rozsáhlých infrastruktur možnost využít instanci běžící na páteři možnost mít vlastní instanci ve vlastní síti poskytujeme zprovoznění služby kalibrace prostředí, on the fly detekcí konzultace
G3 Plošné souvislé sledování stavu a chování rozsáhlých výkonných infrastruktur, primárně pro sledování provozu CESNET2 Detekce on the fly anomálií a jejich notifikace Event notifier automatický visualisér anomálních stavů, aktuální události z infrastruktury, možno konfigurovat per device Interaktivní UI agregovaná vizualizace aktuálních anomálních stavů (včetně historie) provázání na detailní reporting příslušných objektů G3 system reporter využití sítě CESNET2 mapy chybovosti zdraví sítě CESNET2
FTAS Plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur Zpracování provozních informací o IP tocích (NetFlow) Vlastnosti a využitelnost cílené sledování a dlouhodobé uchování informací o provozu komplexní klasifikační a filtrační aparát pro vyčlenění provozu statistické zpracování informace o již uskutečněné komunikaci, včetně trajektorie odhalení podvržení adres umožňuje zaměřit se na provoz mající anomální charakter verifikace a analýza bezpečnostních incidentů automatická detekce anomálií systematické sledování provozu sítě (instituce)
Pro koho je FTAS a G3 Bezpečnostní týmy konkrétní informace o provozu Dohledová pracoviště řešení bezpečnostních incidentů Výzkumné týmy automatická detekce anomálií vzorky dat, ladění sítě obrana Manažery náhled na provoz sítě Ředitele IT zdraví Správce vytížení architektura statistiky provozu
Bezpečnost: služby Služby na bázi detekce (FTAS, G3) plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur plošné souvislé sledování stavu a chování rozsáhlých infrastruktur možnost využít instanci běžící na páteři možnost mít vlastní instanci ve vlastní síti zprovoznění služby kalibrace prostředí, on the fly detekcí Síťová sonda Koncept STaaS (Security Tools as a Service) STaaS služba pro členy, jejichž možnosti v oblasti bezpečnosti jsou omezené aplikace zkušeností z CESNET2 do menších sítí nasazení a vyladění monitorovacích nástrojů pro konkrétní síť
Bezpečnost: služby Služby týmu CESNET CERTS incident response sběr, vyhodnocení a distribuce dat do koncových sítí Pomoc při zvládání bezpečnostních incidentů radou, zásahem v síťové infrastruktuře ověřením v bezpečnostních nástrojích (sondy, FTAS, G3) metodami forenzní analýzy testování zranitelností (HeartBleed, Shellshock) Asistence při problému (útok, nefunkčnost) máme připraveny mechanismy kam problém nahlásit (PSS, NOC, CESNET CERTS) jak problém detekovat, zmírnit, vyřešit (RTBH, IG, filtry...) jak problém analyzovat FLAB
CESNET CERTS http://csirt.cesnet.cz, certs@cesnet.cz, abuse@cesnet.cz 341D 3EB0 0160 941F 6A06 4401 F9BF C741 9CAA 8579 +420 2 2435 2994 Vznik 2004, akreditace u TI v roce 2008 Koordinační + interní tým Pole působnosti CESNET2 (AS2852) Základní služba: řešení a koordinace řešení bezpečnostních incidentů
Bezpečnost: služby Služby na bázi sdílení a rozvoje komunity (dáš, dostaneš) Warden http://warden.cesnet.cz/
Warden Systém pro efektivní sdílení informací o bezpečnostních událostech Motivace mám data, ale kam s nimi? chci data, ale kde je vzít? Hlavní cíle platforma pro sdílení dat (dej, odeber) sledování zdraví sítě a služeb aktivní obrana Architektura Hostname,Service: CESNET_IDS Detection time, arrival time: Event type: Portscan, bruteforce, spam, phishing,... Source: IP/URL/Reply-To Aim: protocol TCP, port 22 Scale: scan 666 ports, sweep 66 machines client server, jednoduchý protokol a klienti Note: Free text note zasílají se události zabezpečení připojení Client tags: Network, Connection, Honeypot, LaBrea
Warden Database size: 10GB Sum of all saved events: 81248640 sum of valid events: 80891259 sum of obsolete events: 39237 sum of invalid events: 318144 Last (valid) ID in events table: 81616185 Time of first (valid) inserted event: 2012 06 11 05:26:42 (UTC) Time of latest (valid) inserted event: 2015 04 03 10:16:42 (UTC) Sum of all registered clients: 95 sum of (valid) registered clients: 87 sum of (invalid) registered clients: 8 sum of (active) registered clients: 36 ==> cca 80tis bezpečnostních událostí detekovaných v síti CESNET2 denně!!!
Možná využití Blokování IP Black hole routing Firewall L3/L4 Aplikační firewall IP blacklisty (např. vlastní DNSbl) IP/sender/reply to/pattern do mailového filtru Vzorek viru do db... Lidský IH Sledování zdraví a stavu koncové sítě
Warden: kdy, proč a jak se zapojit Aktuálně jsou zapojeni CESNET, VŠB, TUL, MUNI, ZČU, SLU, VUT, CSIRT.SK, JČU, UJEP, CUNI když máte zajímavé zdroje dat (IDS, sondy, honeypots) když máte zájem o data pro správu své sítě Kdy Proč zisk zajímavých dat (aktivní obrana, zdraví sítě) rozvoj komunity warden info@cesnet.cz Jak
Bezpečnost: služby http://flab.cesnet.cz/ Podpůrné pracoviště pro CESNET CERTS analýza incidentů a hrozeb zvládání incidentů Oficiální otevření pracoviště červenec 2014 sídlo v Plzni Služby analýza vektoru útoku, analýza aktivity uživatele odborná analýza technologie penetrační testy testy odolnosti
Analýza incidentu Přináší mnoho užitečných informací Vyžaduje patřičné experty Není úplně levná (malá pracoviště nemají kapacitu) Lze využít externí zdroje Členské sítě konzultace incidentů s CESNET CERTS Možnost využít služeb FLAB
B D
Příklad: analýza incidentu Case Podvodná e mail kampaň cílící na velké množství uživatelů dané instituce, e mail v sobě nese soubor s malware Otázky k zodpovězení jak dojde k zahnízdění malware do počítače jak se malware v nakaženém počítači chová na co se zaměřuje (např. odposlech hesel) jak s odchycenými informacemi nakládá jak komunikuje s útočníkem jak je možné nakažený počítač identifikovat jak provést nápravu nakaženého počítače jaké jsou možnosti zamezení kompromitace citlivých dat
Průběh zakázky
Penetrační testy Hledání chyb a zranitelností nikoliv potvrzení bezchybnosti (audit) Co by mělo být v centru zájmu? lze infrastrukturu zneužít pro další útoky? lze narušit data, systémy, služby? Integritu Dostupnost Důvěrnost lze získat autentizační údaje uživatelů? existují v prostředí zneužitelné zranitelnosti? kde udělal administrátor chybu při konfiguraci?
Penetrační testy: průběh Průběh zadání: specifikace požadavků, očekávání, rozsahu prací aktivity v síti zadavatele scan sítě sběr dat testování specifikovaných služeb práce off line zpracování dat a zjištění vytvoření a validace závěrečné zprávy Závěrečná zpráva přehled provedených testů zhodnocení výsledků doporučení nápravy
Zátěžové testy Testování odolnosti služby (www, DNS) Sekundární efekt testování odolnosti sítě a obranných prvků Průběh specifikace cíle (co se testuje) jaké jsou požadavky a očekávání pravidla, režim průzkum terénu (ve spolupráci se správcem testované sítě) návrh průběhu testů kalibrace nástrojů a prostředí výběr termínu provedení testů vyhodnocení výsledků
Bezpečnost: služby Školení uživatelů studentů, zaměstnanců, správců Je svět internetu anonymní? Základní pravidla bezpečného chování na Internetu Základní pravidla pro zabezpečení pracovní stanice Základy legislativy dotýkající se světa Internetu Semináře a školení pro správce a administrátory FTAS, G3 (on demand) ZKB (říjen prosinec 2015) správa a zabezpečení DNS 17. června Pracovní skupina CESNET CSIRT csirt forum@cesnet.cz 27. května 2015, Reportování bezpečnostních incidentů
Shrnutí Máme technologie, nástroje, služby a know how Správa a zabezpečení sítě CESNET2 je založena na gramotnosti správců, zdravém rozumu a spolupráci CESNET CERTS PSS NOC Přednesené metody a přístup k monitoringu a obraně není dogma možnost dohodnout se na individuálním přístupu (CESNET2 x koncová síť) je možné dohodnout případné konkrétní regulační opatření vůči koncové síti (on demand) Poskytujeme řadu služeb, sdílíme a distribuujeme data Diseminujeme vědomosti
Strategie v oblasti bezpečnosti I. Udržet e infrastrukturu CESNET v běhu a zabezpečenou II. Zvyšovat v oblasti bezpečnosti schopnosti připojených institucí III. Ochrana a vzdělávání uživatelů
Děkuji za pozornost.