Monitoring sítě a síťová obrana

Podobné dokumenty
Monitoring sítě. CESNET Day Universita Karlova, Tomáš Košňar CESNET z. s. p. o.

Implementace a monitoring IPv6 v e-infrastruktuře CESNET

SÍŤOVÁ INFRASTRUKTURA MONITORING

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

Bezpečnost síťové části e-infrastruktury CESNET

Sledování sítě pomocí G3

Sledování IP provozu sítě

Sledování provozu sítě

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

Bezpečnostní monitoring sítě

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Architektura připojení pro kritické sítě a služby

Technická analýza kyberútoků z března 2013

Architektura připojení pro kritické sítě a služby

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

DoS útoky v síti CESNET2

Strategie sdružení CESNET v oblasti bezpečnosti

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Seminář pro správce univerzitních sí4

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Nástroje pro FlowSpec a RTBH. Jiří Vraný, Petr Adamec a Josef Verich CESNET. 30. leden 2019 Praha

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Detekce volumetrických útoků a jejich mi4gace v ISP

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Kybernetické hrozby - existuje komplexní řešení?

Network Measurements Analysis (Nemea)

CESNET Day. Bezpečnost

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Seminář o bezpečnosti sítí a služeb

Flow Monitoring & NBA. Pavel Minařík

Bezpečný router pro domácí uživatele. Bedřich Košata

IPv6 v CESNETu a v prostředí akademických sítí

Petr Velan. Monitorování sítě pomocí flow case studies

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

CESNET Day. Bezpečnost

Václav Bartoš. Meeting projektu SABU , Vranovská ves

CESNET, jeho e-infrastruktura a služby

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

IPFIXCOL MODULÁRNÍ KOLEKTOR SÍŤOVÝCH TOKŮ. Lukáš Huták CESNET. 4. listopad 2018 OpenAlt, Brno

Monitorování datových sítí: Dnes

Nasazení a využití měřících bodů ve VI CESNET

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Koncept centrálního monitoringu a IP správy sítě

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Load Balancer. RNDr. Václav Petříček. Lukáš Hlůže Václav Nidrle Přemysl Volf Stanislav Živný

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

Bezpečnost aktivně. štěstí přeje připraveným

Pravidla pro připojení do projektu FENIX

Obrana sítě - základní principy

Projekty a služby sdružení CESNET v oblasti bezpečnosti

Služby e-infrastruktury CESNET

Počítačové sítě IP směrování (routing)

FlowMon Vaše síť pod kontrolou

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

CESNET & Bezpečnost. CESNET, z. s. p. o. Služby e-infrastruktury CESNET

FlowMon Monitoring IP provozu

Kybernetické hrozby jak detekovat?

Souhrnný pohled na služby e-infrastruktury CESNET

Identifikátor materiálu: ICT-3-03

BEZPEČNOSTNÍ MONITORING SÍTĚ

Principy a použití dohledových systémů

SINEMA Server V13 Pro plně transparentní sítě Siemens, s.r.o Všechna práva vyhrazena. siemens.cz/sinema

Koncept. Centrálního monitoringu a IP správy sítě

Provozně-bezpečnostní monitoring datové infrastruktury

Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích

Provozní statistiky Uživatelský manuál

Služby e-infrastruktury CESNET. Tomáš Košňar CESNET z. s. p. o.

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Jak využít NetFlow pro detekci incidentů?

Co se skrývá v datovém provozu?

SOUČASNOST A BUDOUCNOST SÍTĚ CESNET SÍŤOVÁ KOMUNIKAČNÍ INFRASTRUKTURA CESNET2

Co je SAS?

Počítačové sítě IP routing

Xirrus Zajímavé funkce. Jiří Zelenka

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

ODŮVODNĚNÍ VEŘEJNÉ ZAKÁZKY

Mentat, systém pro zpracování informací z bezpečnostních nástrojů. Jan Mach

Monitorování a bezpečnostní analýza

Datové služby. Písemná zpráva zadavatele

CESNET Day. Bezpečnost

Obsah. Úvod 13. Věnování 11 Poděkování 11

Na cestě za standardem

Systém detekce a pokročilé analýzy KBU napříč státní správou

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Č.j. MV /VZ-2014 V Praze 22. dubna 2015

Co vše přináší viditelnost do počítačové sítě?

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

SW pro správu a řízení bezpečnosti

Správa sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Technologie Cisco Flexible Netflow - možnosti monitorování uživatelem definovaných atributů provozu a jejich následná prezentace.

(c) 2010 Mikrovlny s.r.o. GIOM 3000 ANEMOMETR Anemometr s rozhraním Ethernet/POE, WEB serverem, TELNETem a SNMP protokolem.

Transkript:

Monitoring sítě a síťová obrana CESNET Day Akademie věd ČR, vila Lanna, 24. 10. 2016 Tomáš Košňar CESNET z. s. p. o.

Obsah Služby na úrovni síťové páteře e-infrastruktury RTBH jako služba Automatická obrana proti amplifikačním DoS útokům Aktuální řešení Vývoj, perspektivy Obrana proti dalším typickým (DoS) útokům Služby pro sítě uživatelů Služba monitoringu infrastruktury sítě uživatele Služba monitoringu provozu sítě uživatele

Služby na úrovni síťové páteře e-infrastruktury Služby a řešení pro celou uživatelskou komunitu Týká se Dílčí technologické a topologické části e-infrastruktury Provoz v rámci celého AS vč. sítí uživatelů Řešení Makro perspektiva primárně cílené Funkčnost a průchodnost síťové infrastruktury (mezi vnějšími sítěmi až k hraničním prvkům uživatelů a naopak.) Zajištěn funkčnosti a dostupnosti služeb e-infrastruktury..uživatelé o těchto službách zpravidla vůbec neví ;-)

RTBH jako služba Útok na uchopitelné množství cílů v síti uživatele BGP připojené sítě (případně BGP multihop) Zahození provozu vůči konkrétním prefixům v nadřazené síti Řídí si uživatel 1 3 2

Automatická obrana proti DoS amplifikačním útokům Proč už v páteři?..a v principu nemusí jít pouze o útoky na bázi amplifikace Při dobře kalibrovaném útoku dojde k faktickému odpojení (z pohledu uživatelů) koncové sítě z důvodu saturace uplinku

Automatická obrana proti DoS amplifikačním útokům Řešení Zjištění běžné úrovně provozu - monitoring relevantních čísel portů (udp/0,53,119,123,161) na vnější hraně sítě (Flow-based analýza; FTAS)

Automatická obrana proti DoS amplifikačním útokům Řešení Aplikace Policy (QoS) limitující objem takto přenášených dat přes vnější hranu sítě na úrovni řádově vyšší (než běžný provoz), ale zároveň výrazně nižší než kapacita připojek uživatelů

Automatická obrana proti DoS amplifikačním útokům Řešení Některé protokoly omezeny globálně (přes celý AS) Jiné protokoly omezeny (DNS, fragmenty) s jemnější granularitou (po sériích agregovaných prefixů)

Automatická obrana proti DoS amplifikačním útokům Ukázka funkce Provoz udp/123 na jedné vybraná externí linka linková a QoS statistika

Automatická obrana proti DoS amplifikačním útokům Ukázka funkce Provoz udp/123 na jedné vybraná externí linka flow-based analýza (FTAS)

Automatická obrana proti DoS amplifikačním útokům Ukázka funkce Provoz udp/123 na jedné vybraná externí linka flow-based analýza (FTAS)

Automatická obrana proti DoS amplifikačním útokům Řešení - naimplementováno, v produkčním režimu Výhody Nevýhody Implementace pomocí běžných nástrojů, po nakonfigurování plný automat, jistota nepřekročení nakonfigurované kapacity Statistická metoda v případě útoku a uplatnění policy dojde k zahození části legitimního provozu Jak dál? Selektivní regulace provozu na základě jemnějších kritérií Zásadní snížení pravděpodobnosti zásahu do legitimního provozu při překročení limitů v okamžiku útoku

Automatická obrana proti DoS amplifikačním útokům Jak dál? Zařízení pro čistění provozu pračka Mechanismus selektivního směrování provozu BGP FlowSpec Aktuální stav? Čištění provozu Směrování provozu Řízení celého mechanismu

Obrana proti dalším (DoS) útokům Poloruční, semi-automatizované Proč? 1. Detekce FTAS, sondy, IDS, G3, etc... 2. Notifikace, analýza Přímé oznamování detekujícím systémem nebo prostřednictvím systémů sdílení bezpečnostních informací scan, SYN flood, amplifikace, DoS na klíčové služby (DNS) atd., atd. Hlubší analýza problému odpovídajícím nástrojem 3. Řešení problému Řešení prostřednictvím CSIRT/CERT infrastruktury Ad-hoc blokace provozu Aplikace policy Rekonfigurace služeb, směrování atd., atd.

Služby pro sítě uživatelů Služby a řešení pro síť uživatele Týká se infrastruktury uživatele Provozu mezi páteří e-infrastruktury a sítí uživatele Provozu v síti uživatele Řešení Mikro perspektiva Narozdíl od páteřní úrovně cílené na konkrétní potřeby jednotlivých uživatelů a nastavené v souvislosti s architekturou, parametry a kulturou užívaní infrastruktury uživatele

Služby monitoringu infrastruktury sítě uživatele Monitoring infrastruktury systémem G3 G3 Periodický sběr informací z prvků, služeb v síti uživatele (SNMP,...) Interaktivní UI Provoz systému, správa, konfigurace, asistence... spolupráce Browser po měřených zařízeních, vizualizace Samostatná periodická vizualizace anomálií Reporting periodické generování HTML struktur (vč. Grafických výstupů) Modely poskytování služby Dedikovaná instalace systému na prostředcích uživatele (SSČ) Dedikovaná instalace systému pro uživatele na prostředcích v einfrastruktuře

Služby monitoringu infrastruktury sítě uživatele Ukázka G3 výstupu (SSČ, vizualizace anomálií)

Služby monitoringu infrastruktury sítě uživatele Ukázky G3 výstupů (SSČ, agregované vyhledávání a vizualizace)

Služby monitoringu infrastruktury sítě uživatele Ukázky G3 výstupů (reporting)

Služby monitoringu infrastruktury sítě uživatele Ukázky G3 výstupů (SSČ, vyhledávání problémů)

Služby monitoringu provozu sítě uživatele Zpracování a zpřístupnění informací o provozu systémem FTAS Provoz systému, správa, konfigurace, asistence... spolupráce FTAS Sběr a zpracování flow-based informací z prvků v síti v1,5,7,9,10, IPFIX, FlexNF, NSEL, sflow IPv4, IPv6 provoz, transport Detektce anomálií/událostí podle potřeb ne hard-coded, ZKB Oznamování anomálií/událostí, export do systémů sdílení (Warden, Mentat) Interaktivní UI Klasifikace záznamů, filtrace, statistický post-processing, dlouhodobé uchování dat Traffic browser, komplexní vyhledávací aparát, vizualizace provozu Reporting periodické generování HTML struktur (vč. Grafických výstupů)

Služby monitoringu provozu sítě uživatele Systém FTAS hrubá procesní architektura

Služby monitoringu provozu sítě uživatele Systém FTAS ukázky výstupů (interaktivní UI)

Služby monitoringu provozu sítě uživatele Systém FTAS ukázky výstupů (interaktivní UI)

Služby monitoringu provozu sítě uživatele Systém FTAS ukázky výstupů (reporting)

Služby monitoringu provozu sítě uživatele Systém FTAS ukázky výstupů (reporting)

Služby monitoringu provozu sítě uživatele Systém FTAS update 2016 On-demand detektory anomálií/událostí - rozšíření 1. Vymezení provozu (filtr adresy, porty, rozhraní, etc..) 2. Volba detekce cíle nebo zdroje události 3. Stanovení mikro časového intervalu a provozních limitů při překročení uložení dat, export do systémů pro sdílení informací 4. a) možnost okamžitého oznámení 4. b) možnost oznámení až v případě opakovaného výskytu v definovaném intervalu (např. > 60% výskyt během 10 minut) Frekvenci oznamování možno konfigurovat pro souvislý výskyt události Snížení frekvence oznamování v případě, že provoz v rámci anomálie není doručován (např. nasazením filtru) Možnost oznamovat konec anomálie

Služby monitoringu provozu sítě uživatele Systém FTAS update 2016 On-demand detektory anomálií/událostí - rozšíření Limity pro provoz jako podmínky sestavené pro kombinaci flow rate, pkt rate, bit rate, packet length pro každou veličinu rozsah a libovolný počet takto nastavených kombinací Samostatné podmínky pro konkrétní uzly White-list (vč. časového vymezení) Umělá fragmentace flow záznamů (časový rozsah) Statisticky extrapolované (sampling) objemové hodnoty (pkts, bytes) a pro speciální případy také flow-cnt

Služby monitoringu provozu sítě uživatele Ukázka - příklad nastavení detektoru vhodného pro detekci amplifikací 1. Vymezení provozu (Protocol=17 and Bytes-measured=1024-100000000 and Src-Port=0,53,19,123,161) or (Protocol=17 and Bytes-measured=1024-100000000 and Dst-Port=0,53,19,123, 161 ) @ ANY Flow-source 2,3. Zdroj událostí, mikro časový interval, provozní limity, způsob zpracování provozních záznamů Applied on field: Src-IP Limit: Flow-Cnt>=1 flows/s and Pkts-estimated>=100 Kp/s and Avr-PktLength>=1024 Bpp or Flow-Cnt>=1 flows/s and Bytes-estimated>=100 Mb/s and AvrPkt-Length>=1024 Bpp within 5 seconds long (duration) flows are artificially fragmented detector uses extrapolated values in case of sampled flows (bytes, packets) for evaluation purposes

Služby monitoringu provozu sítě uživatele Příklad nastavení detektoru pro amplifikaci Nastavení oznamování systém pro sdílení informací warden_export_on_fly=1 warden_export_record_count=20 warden_export_ttl=60 warden_export_end_of_anomaly=0 Nastavení oznamování e-mail security_or_flow_count_notify_on_fly = 1 security_or_flow_count_notify_required_duration=120/0.9 security_or_flow_count_notify_to=abc@cesnet.cz,xyz@cesnet.cz,... #security_or_flow_count_destinations_use_whois = 0 1 2 # Here you can set request for adding abuse contacts from whois either # into message header for info (1) or add them to message rcpts (2) # security_or_flow_count_notify_to_cc = zz@some.where, tt@some.where # security_or_flow_count_notify_to_bcc = vv@some.where, ww@some.where security_or_flow_count_notify_ttl = 600 security_or_flow_count_notify_record_count = 50

Služby monitoringu provozu sítě uživatele Ukázka oznamování (vlákno)

Služby monitoringu provozu sítě uživatele Ukázka oznámení

Služby monitoringu provozu sítě uživatele Systém FTAS update 2016 Ostatní UI umožní v jednom kroku vyhledat+vizualizovat podpora automatizace dohledávání v rámci několika různých systémů (specifické URL) Některé implementace vůbec neposílají časovou informaci vytvořen lastresort mechanismus pro generování z času importu Přidána nová pole související s monitoringem WiFi: wlanssid, wst_mac, wst_ip, wtp_mac Možnost zadat sekundární časovou podmínku pro vyhledávání v rámci obecného formuláře (základní vymezení časového intervalu zůstává) prerekvizita k věcem typu (DoW, ToD,...)

Služby monitoringu provozu sítě uživatele Systém FTAS Modely poskytování služby Zpracování informací o provozu sítě uživatele na prostředcích uživatele dedikovaná instalace systému Zpracování informací o provozu sítě uživatele na prostředcích v einfrastruktuře Zpracování informací o provozu mezi sítí uživatele a einfrastrukturou na prostředcích v e-infrastruktuře (SSČ, PASNET pro pracoviště AV)

FTAS+G3 provozní informace pro zajímavost G3 (centrální instalace v e-infrastruktuře, 2 uzly) 700000+ údajů každých 400s (v půměru) ze 220+ zařízení Doba uchování (po agregaci) 10let+ FTAS (centrální instalace v e-infrastruktuře, 20 uzlů) Zpracování flow-based dat pro 60+ exportérů 10TB+/měs. Doba uchování primárních dat až 183 dnů (páteřní boxy) 270+ klasifikačních podmínek, 350+ filtrů (z toho cca 10% detektorů) Celkový objem zpracovávaných provozních dat systémem ~100TB/měs. (vč. interní redistribuce primární zdroje + filtry + detektory)

???

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář