Monitorování a bezpečnostní analýza

Podobné dokumenty
Network Measurements Analysis (Nemea)

BEZPEČNOSTNÍ MONITORING SÍTĚ

Monitorování sítě pomocí OpenWrt

IPFIXCOL MODULÁRNÍ KOLEKTOR SÍŤOVÝCH TOKŮ. Lukáš Huták CESNET. 4. listopad 2018 OpenAlt, Brno

Nasazení a využití měřících bodů ve VI CESNET

Petr Velan. Monitorování sítě pomocí flow case studies

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Flow Monitoring & NBA. Pavel Minařík

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

FlowMon. Představení FlowMon verze 7.0. Petr Špringl, Jan Pazdera, Pavel Minařík,

Monitorování datových sítí: Dnes

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

FlowMon Monitoring IP provozu

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow

SÍŤOVÁ INFRASTRUKTURA MONITORING

Flow monitoring a NBA

Kybernetické hrozby - existuje komplexní řešení?

FlowMon Vaše síť pod kontrolou!

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

ZADÁNÍ DIPLOMOVÉ PRÁCE

Implementace a monitoring IPv6 v e-infrastruktuře CESNET

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Strategie sdružení CESNET v oblasti bezpečnosti

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Flow monitoring a NBA

Firewall, IDS a jak dále?

Koncept BYOD. Jak řešit systémově? Petr Špringl

FlowMon Vaše síť pod kontrolou!

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Výzkum v oblasti kybernetické bezpečnosti

Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

FlowMon Vaše síť pod kontrolou!

FlowGuard 2.0. Whitepaper

Proč prevence jako ochrana nestačí? Luboš Lunter

Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích

Hypertext Transfer Protocol (HTTP/1.1 RFC 2616) Počítačové sítě Pavel Šinták

Koncept centrálního monitoringu a IP správy sítě

Jak využít NetFlow pro detekci incidentů?

Firewall, IDS a jak dále?

Firewally a iptables. Přednáška číslo 12

Obsah PODĚKOVÁNÍ...11

Koncept. Centrálního monitoringu a IP správy sítě

Proč, kde a jak nasazovat flow monitoring a behaviorální analýzu

Kybernetické hrozby jak detekovat?

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Architektura připojení pro kritické sítě a služby

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Provozně-bezpečnostní monitoring datové infrastruktury

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Seminář pro správce univerzitních sí4

Sledování provozu sítě

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Inteligentní analýza bezpečnostních událostí (iabu)

FAKULTA INFORMAČNÍCH TECHNOLOGIÍ

ZADÁNÍ DIPLOMOVÉ PRÁCE

Flow monitoring a NBA

Fakulta elektrotechniky a informatiky Vysoká škola báňská - Technická univerzita Ostrava. Cvičení 5 POČÍTAČOVÁ OBRANA A ÚTOK - POU

Seminář o bezpečnosti sítí a služeb

Praktické ukázky, případové studie, řešení požadavků ZoKB

FAKULTA INFORMAČNÍCH TECHNOLOGIÍ

Technologie Cisco Flexible Netflow - možnosti monitorování uživatelem definovaných atributů provozu a jejich následná prezentace.

Václav Bartoš. Meeting projektu SABU , Vranovská ves

Základní principy obrany sítě

Technická analýza kyberútoků z března 2013

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Snort pravidla a jejich syntaxe. Příklad psaní vlastních pravidel

Bezpečnostní monitoring sítě

Č.j. MV /VZ-2014 V Praze 22. dubna 2015

Monitoring sítě. CESNET Day Universita Karlova, Tomáš Košňar CESNET z. s. p. o.

Ověření technologie Traffic-Flow na platformě Mikrotik a NetFlow na platformě Cisco

Sledování sítě pomocí G3

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

Správa sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Sem vložte zadání Vaší práce.

FlowMon Vaše síť pod kontrolou

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Bezpečnost sítí útoky

Aktivní bezpečnost sítě

12. Bezpečnost počítačových sítí

FlowMon novinky. Představení FlowMon verze 5.0. Petr Špringl

Č.j. MV /VZ-2014 V Praze 24. dubna 2015

Tomáš Čejka Monitorování sítě pomocí flow. case studies

Penetrační testy v IP telefonii Filip Řezáč Department of Telecommunications VSB - Technical University of Ostrava Ostrava, Czech Republic

PB169 Operační systémy a sítě

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Monitorování datových sítí: Vize 2020

Transkript:

Tomáš Čejka a kol. cejkat@cesnet.cz Monitorování a bezpečnostní analýza v počítačových sítích installfest 2016

Monitorování počítačových sítí Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 1 / 32

Monitorování počítačových sítí Pohled zařízení syslog, journald,... munin, zabbix, nagios,... Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 1 / 32

Monitorování počítačových sítí Pohled zařízení syslog, journald,... munin, zabbix, nagios,... Síťové pohledy Pakety Toky (flow, biflow) Aplikační vrstvy Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 1 / 32

Paketově orientované nástroje Záchyt provozu: tcpdump (http://www.tcpdump.org) tshark / wireshark (https://www.wireshark.org) Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 2 / 32

Síťové toky Infrastruktura pro měření a analýzu 1 Exportéry / Monitorovací sondy 2 Kolektor 3 Analýza dat 4 Alert handling Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 3 / 32

Tokově orientované nástroje Export: softflowd (http://www.mindrot.org/projects/softflowd/) ipt-netflow (https://sourceforge.net/projects/ipt-netflow/) flowmonexp (komerční) flow_meter (z NEMEA projektu) Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 4 / 32

Tokově orientované nástroje Export: softflowd (http://www.mindrot.org/projects/softflowd/) ipt-netflow (https://sourceforge.net/projects/ipt-netflow/) flowmonexp (komerční) flow_meter (z NEMEA projektu) Kolektor/práce s daty: nfcapd, nfdump (http://nfdump.sourceforge.net/ ipfixcol (https://github.com/cesnet/ipfixcol) NEMEA (https://github.com/cesnet/nemea) Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 4 / 32

Monitorovací infrastruktura Monitoring Probe Monitoring Probe Collector NEMEA System Alert Handling Monitoring Probe Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 5 / 32

NEMEA infrastruktura Supervisor NEMEA Module Module Module Module Algorithm IFC IFC NEMEA Framework NEMEA Framework Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 6 / 32

Konfigurace NEMEA systému Profile: basic modules 0 dns_amplification running (PID: 16452) 1 dns_amplification_logger running (PID: 16085) 2 flow_meter running (PID: 26475) 3 flow_meter_logger stopped (PID: 0) 4 hoststatsnemea running (PID: 16629) 5 hoststatsnemea_logger running (PID: 16087) 6 hoststats2idea running (PID: 16862) 7 ipblacklistfilter running (PID: 16892) 8 ipblacklistfilter_logger running (PID: 16089) 9 ipfixcol stopped (PID: 0) 10 traffic_repeater running (PID: 16090) 11 voip_fraud_detection running (PID: 16091) 12 voip_fraud_logger running (PID: 16092) 13 vportscan_detector running (PID: 16093)... modulů běží tolik, že se ani nevejdou na slajd... Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 7 / 32

NEMEA zapojení Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 8 / 32

NEMEA: Nakládání s alerty I Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 9 / 32

NEMEA: Nakládání s alerty II NEMEA Dashboard email_reporter export do souborů Warden (https://warden.cesnet.cz) Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 10 / 32

Vertikální skeny aneb co běžně vidíme na v praxi 1 Skenující zařízení pošle paket (např. SYN) 2 Podle reakce cílového zařízení se vyhodnotí dostupnost 3 Typy skenů: Horizontální sken (které adresy/zařízení jsou na síti aktivní?) Vertikální sken (jaké služby jsou dostupné na jednom zařízení?) Blokový sken (kombinace obou předchozích) Na SYN paket by u otevřeného portu měla přijít odpověď SYN+ACK. Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 11 / 32

Vygenerování skenu nmap(1): nmap -ss 192.168.1.101 Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 12 / 32

Jak vypadá vygenerovaný provoz Uloženo pomocí tcpdump -w vertical-scan.pcap Vypsáno pomocí tcpdump -x -nnn -r vertical-scan.pcap Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 13 / 32

Jak vypadá vygenerovaný provoz Uloženo pomocí tcpdump -w vertical-scan.pcap Vypsáno pomocí tcpdump -x -nnn -r vertical-scan.pcap 1. paket: 0x0000: 4500 002c dd0a 0000 3706 2223 c0a8 01e9 0x0010: c0a8 0165 edaf 03e1 2119 b3d2 0000 0000 0x0020: 6002 0400 490b 0000 0204 05b4 Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 13 / 32

Jak vypadá vygenerovaný provoz Uloženo pomocí tcpdump -w vertical-scan.pcap Vypsáno pomocí tcpdump -x -nnn -r vertical-scan.pcap 1. paket: 0x0000: 4500 002c dd0a 0000 3706 2223 c0a8 01e9 0x0010: c0a8 0165 edaf 03e1 2119 b3d2 0000 0000 0x0020: 6002 0400 490b 0000 0204 05b4 2. paket: 0x0000: 4500 0028 0000 4000 4006 b631 c0a8 0165 0x0010: c0a8 01e9 03e1 edaf 0000 0000 2119 b3d3 0x0020: 5014 0000 64b4 0000 (bez Ethernetových hlaviček) Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 13 / 32

Jak vypadá vygenerovaný paket 0x0000: 4500 002c dd0a 0000 3706 2223 c0a8 01e9 0x0010: c0a8 0165 edaf 03e1 2119 b3d2 0000 0000 0x0020: 6002 0400 490b 0000 0204 05b4 0x0000: 4500 0028 0000 4000 4006 b631 c0a8 0165 0x0010: c0a8 01e9 03e1 edaf 0000 0000 2119 b3d3 0x0020: 5014 0000 64b4 0000 Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 14 / 32

Jak vypadá vygenerovaný paket 0x0000: 4500 002c dd0a 0000 3706 2223 c0a8 01e9 0x0010: c0a8 0165 edaf 03e1 2119 b3d2 0000 0000 0x0020: 6002 0400 490b 0000 0204 05b4 0x0000: 4500 0028 0000 4000 4006 b631 c0a8 0165 0x0010: c0a8 01e9 03e1 edaf 0000 0000 2119 b3d3 0x0020: 5014 0000 64b4 0000 0x03e1 -> 993 0xedaf -> 60847 0xc0a8 0165 -> 192.168.1.101 0xc0a8 01e9 -> 192.168.1.233 Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 14 / 32

Jak vypadá vygenerovaný paket 11:01:00.770235 IP 192.168.1.233.60847 > 192.168.1.101.993: Flags [S], seq 555332562, win 1024, options [mss 1460], length 0 0x0000: 4500 002c dd0a 0000 3706 2223 c0a8 01e9 0x0010: c0a8 0165 edaf 03e1 2119 b3d2 0000 0000 0x0020: 6002 0400 490b 0000 0204 05b4 11:01:00.774709 IP 192.168.1.101.993 > 192.168.1.233.60847: Flags [R.], seq 0, ack 555332563, win 0, length 0 0x0000: 4500 0028 0000 4000 4006 b631 c0a8 0165 0x0010: c0a8 01e9 03e1 edaf 0000 0000 2119 b3d3 0x0020: 5014 0000 64b4 0000 0x03e1 -> 993 0xedaf -> 60847 0xc0a8 0165 -> 192.168.1.101 0xc0a8 01e9 -> 192.168.1.233 Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 14 / 32

IP Hlavička Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 15 / 32

TCP Hlavička Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 16 / 32

Vertikální sken očima síťových toků Převod našeho uloženého PCAP souboru s pakety: $ nfcapd -p9995 -l./netflow/& $ softflowd -n 127.0.0.1:9995 -r vertical-scan.pcap $ nfdump -r ls netflow/* head -1 -o long Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 17 / 32

Vertikální sken očima síťových toků Převod našeho uloženého PCAP souboru s pakety: $ nfcapd -p9995 -l./netflow/& $ softflowd -n 127.0.0.1:9995 -r vertical-scan.pcap $ nfdump -r ls netflow/* head -1 -o long Ukázka výpisu: Time Proto Src IP:Port Dst IP:Port Flags Packets Bytes 11:34:22 6 10.0.1.3:3728->10.0.1.1:22...S. 1 40 11:34:31 6 10.0.1.3:3729->10.0.1.1:80...S. 1 40 Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 17 / 32

Použití NEMEA flow_meter umí číst i PCAP soubor: /usr/bin/nemea/flow_meter -i u:mysocket \ -r vertical-scan.pcap Přímo ze síťové karty se dají síťové toky exportovat pomocí: /usr/bin/nemea/logger -i u:mysocket -a flows.csv& /usr/bin/nemea/flow_meter -i u:mysocket -I enp0s3 Data se pomocí modulu logger ukládají do souboru flows.csv. Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 18 / 32

Jak se dá detekovat vertikální sken? Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 19 / 32

Jak se dá detekovat vertikální sken? Moment, kde to chceme detekovat? Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 19 / 32

Síť CESNET2 http://netreport.cesnet.cz/netreport/ Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 20 / 32

Počet toků za sekundu na síti CESNET2 Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 21 / 32

Statistiky Měřeno na hraničních linkách sítě, 9 sond Ve špičkách až 150 000 toků za sekundu Celkově za 2 měsíce: 12 TB toků 388 miliard toků (prům. 76 tisíc toků za sekundu) 10 12 paketů (prům. 2 miliony paketů za sekundu) Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 22 / 32

Počet cílových portů na zdrojovou adresu Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 23 / 32

Statistiky Průměrný počet unikátních cílových portů na jednu zdrojovou adresu je cca 10 Během vertikálních skenů se použije až všech 65 tisíc portů Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 24 / 32

Jak se dá detekovat vertikální sken? Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 25 / 32

Jak se dá detekovat vertikální sken? Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 25 / 32

Zapojení detekčního modulu Data Source Vertical Scan Detector Aggregator Storage&Analysis Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 26 / 32

Četnost skenů v hodinách Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 27 / 32

Vybraný sken: počet alertů Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 28 / 32

Zdroje skenů Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 29 / 32

Oběti skenů Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 30 / 32

Na čem ještě pracujeme? Detekce: amplifikační útoky, horizontální skeny, (D)DoS, útoky hrubou silou, komunikace s potenciálně škodlivými adresami Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 31 / 32

Na čem ještě pracujeme? Detekce: amplifikační útoky, horizontální skeny, (D)DoS, útoky hrubou silou, komunikace s potenciálně škodlivými adresami DNS Detekce komunikačních tunelů využívajících DNS servery k přenosu dat (např. iodine) statistická analýza nad informacemi z DNS dotazů a odpovědí problémy s falešnými poplachy CDN, blacklisty, antiviry... Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 31 / 32

Na čem ještě pracujeme? Detekce: amplifikační útoky, horizontální skeny, (D)DoS, útoky hrubou silou, komunikace s potenciálně škodlivými adresami DNS SIP Detekce komunikačních tunelů využívajících DNS servery k přenosu dat (např. iodine) statistická analýza nad informacemi z DNS dotazů a odpovědí problémy s falešnými poplachy CDN, blacklisty, antiviry... Detekce pokusů o hádání vytáčecího schématu statistická analýza části SIP URI nezabezpečené ústředny mohou umožnit útočníkovi navázat hovor Detekce útoků hrubou silou Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 31 / 32

Na čem ještě pracujeme? Detekce: amplifikační útoky, horizontální skeny, (D)DoS, útoky hrubou silou, komunikace s potenciálně škodlivými adresami DNS SIP NTP Detekce komunikačních tunelů využívajících DNS servery k přenosu dat (např. iodine) statistická analýza nad informacemi z DNS dotazů a odpovědí problémy s falešnými poplachy CDN, blacklisty, antiviry... Detekce pokusů o hádání vytáčecího schématu statistická analýza části SIP URI nezabezpečené ústředny mohou umožnit útočníkovi navázat hovor Detekce útoků hrubou silou Rozpracováno podle současných experimentů a studie to vypadá jako zajímavé téma... Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 31 / 32

Závěr Přijďte na workshop -> za chvíli Tomáš Čejka a kol. Monitorování a bezpečnostní analýza installfest 2016 32 / 32

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář