Sledování provozu sítě

Podobné dokumenty
Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

Technická analýza kyberútoků z března 2013

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

Sledování sítě pomocí G3

Flow monitoring a NBA

SÍŤOVÁ INFRASTRUKTURA MONITORING

Bezpečnostní monitoring sítě

Flow monitoring a NBA

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Flow Monitoring & NBA. Pavel Minařík

Monitorování datových sítí: Dnes

Architektura připojení pro kritické sítě a služby

Monitoring sítě. CESNET Day Universita Karlova, Tomáš Košňar CESNET z. s. p. o.

Architektura připojení pro kritické sítě a služby

Sledování IP provozu sítě

Č.j. MV /VZ-2014 V Praze 22. dubna 2015

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Č.j. MV /VZ-2014 V Praze 24. dubna 2015

Jak využít NetFlow pro detekci incidentů?

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

IPFIXCOL MODULÁRNÍ KOLEKTOR SÍŤOVÝCH TOKŮ. Lukáš Huták CESNET. 4. listopad 2018 OpenAlt, Brno

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Network Measurements Analysis (Nemea)

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Koncept centrálního monitoringu a IP správy sítě

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

3.17 Využívané síťové protokoly

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Implementace a monitoring IPv6 v e-infrastruktuře CESNET

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Seminář pro správce univerzitních sí4

Definice pojmů a přehled rozsahu služby

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

Kybernetické hrozby - existuje komplexní řešení?

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

FlowMon Monitoring IP provozu

Monitoring sítě a síťová obrana

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

MPLS MPLS. Label. Switching) Michal Petřík -

Síťová vrstva. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

JAK ČÍST TUTO PREZENTACI

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Strategie sdružení CESNET v oblasti bezpečnosti

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Provozně-bezpečnostní monitoring datové infrastruktury

12. Bezpečnost počítačových sítí

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Bezpečnostní projekt Případová studie

Kybernetické hrozby jak detekovat?

Identifikátor materiálu: ICT-3-03

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

3. Linková vrstva. Linková (spojová) vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl

Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích

PB169 Operační systémy a sítě

Počítačové sítě IP směrování (routing)

Bezpečnost síťové části e-infrastruktury CESNET

Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík

Detekce volumetrických útoků a jejich mi4gace v ISP

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

FlowMon Vaše síť pod kontrolou!

Aktivní bezpečnost sítě

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

íta ové sít TCP/IP Protocol Family de facto Request for Comments

Y36SPS Bezpečnostní architektura PS

5. Směrování v počítačových sítích a směrovací protokoly

MODELY POČÍTAČOVÝCH SÍTÍ

Obrana sítě - základní principy

PDF created with pdffactory Pro trial version Směrování -BGP. Border GatewayProtocol (BGP) Historie BGP

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Architektura TCP/IP je v současnosti

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Komunikační protokoly počítačů a počítačových sítí

Počítačové sítě IP routing

FlowMon Vaše síť pod kontrolou

Vlastnosti podporované transportním protokolem TCP:

Systémy pro sběr a přenos dat

Principy a použití dohledových systémů

Koncept. Centrálního monitoringu a IP správy sítě

Praktické ukázky, případové studie, řešení požadavků ZoKB

PB169 Operační systémy a sítě

Počítačové sítě Implementace RM OSI. Počítačové sítě - Vrstva datových spojů 1

Multimediální služby v taktických IP sítích

Y36SPS Bezpečnostní architektura PS

Principy ATM sítí. Ing. Vladimír Horák Ústav výpočetní techniky Univerzity Karlovy Operační centrum sítě PASNET

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Architektury komunikujících systémů

Úvod - Podniková informační bezpečnost PS1-2

Adaptabilní systém pro zvýšení rychlosti a spolehlivosti přenosu dat v přenosové síti

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

Transkript:

Sledování provozu sítě...vzhledem k řešení bezpečnostních incidentů... Tomáš Košňar CESNET z.s.p.o. kosnar@cesnet.cz

Obsah Základní principy sledování provozu sítí Mechanismy a možnosti sledování provozu sítí Co je dobré sledovat, uchovávat K čemu je možné takto získané informace využít

Základní principy sledování provozu sítí Proč to vůbec děláme důvody!!!...manažerské, profesní uspokojení...aby mě šéfové neprudili......chci vědět, co dělá kolega ;-)......potřebuji zajistit optimální využití sítě a jejích zdrojů......potřebuji jistě a spolehlivě řídit chod sítě, mít schopnost efektivně řešit anomální situace a dokonce je být schopen predikovat...

Základní principy sledování provozu sítí Sledujeme-li - tedy pozorujeme zaznamenat můžeme pouze to, co vidíme místa pozorování Architektura sítě a její topologie

Základní principy sledování provozu sítí Sledujeme-li - tedy pozorujeme zaznamenat můžeme pouze to, co vidíme místa pozorování Hierarchie ~ vrstvy tcp/80 195.113.144.230 18:03:73:c5:68:9a

Základní principy sledování provozu sítí Detailnost pozorování vypovídací informační hodnota využitelnost vs.

Základní principy sledování provozu sítí Detailnost pozorování vypovídací informační hodnota využitelnost Časové aspekty?...nahodile, periodicky, souvisle... Smysluplnost Obsahová (~ statistický podíl výskytu ethernet rámců s lichým FCS je zajímavá úloha, ale pro praxi patrně nikoli nejpotřebnější) Ekonomická (poměr cena:výkon) Ne sledování pro sledování, ale opět kvůli účelu!!!

Téma uchopeno spekulativně účelově Pravděpodobně většina zde reprezentovaných sítí IP nad Ethernet infrastrukturou (fyzickou, logickou) ;-) Spekulativně se zaměřím na rutinní systematický monitoring provozu (nikoli detekční systémy ala IDS apod.)

Pro běžnou praxi I. Permanentní přehled o IP komunikaci alespoň na hraně/perimetru sítě II. Schopnost nalézt MAC adresu k dané IP adrese (i v real-time) III. Schopnost dohledat uživatele, který seděl na dané MAC adrese

I. pro běžnou praxi Permanentní přehled o IP komunikaci alespoň na hraně/perimetru sítě...co nám do/z/v sítě teče??? K úvaze při řešení... Operuji koncovou vs. tranzitní síť? Mohu aplikovat reverse path checks? Je síť nebo její část galvanicky oddělena (FW, DMZ, NAT)?...provozuji data-centrum (perimetr dílčích větví interní infrastruktury)?...

I. pro běžnou praxi Permanentní přehled o IP komunikaci alespoň na hraně/perimetru sítě Mechanismy sledování Informace o IP provozu na bázi toků (~flowbased~) rozumný kompromis

I. pro běžnou praxi - permanentní přehled o IP komunikaci alespoň na hraně/perimetru sítě Informace o IP provozu na bázi toků (~flow-based~) Informace vybrané z hlaviček paketů transportních protokolů (TCP/IP) Tradiční (historická) oblast zdroje Informací o IP provozu

I. pro běžnou praxi - permanentní přehled o IP komunikaci alespoň na hraně/perimetru sítě Informace o IP provozu na bázi toků (~flow-based~) Zachování soukromí koncových uživatelů Dostatečná vypovídací hodnota informací o IP provozu Přijatelné množství dat ke zpracování Možnost plošného zpracování v rozsáhlých sítích

I. pro běžnou praxi - permanentní přehled o IP komunikaci alespoň na hraně/perimetru sítě Informace o IP provozu na bázi toků (~flow-based~)..z hlavičky přenášeného datového bloku => informace o jednosměrném přenosu Informace v místě vzniku dočasně držena v paměti ~ provozní záznam Záznam průběžně modifikován informacemi (objem, čas, TCP flags, DSCP bity,..) z každého IP datagramu, který přísluší danému toku (stejné klíčové informace IP adresy, protokol, čísla portů, rozhraní) => agregovaná informace o provozu

I. pro běžnou praxi - permanentní přehled o IP komunikaci alespoň na hraně/perimetru sítě Informace o IP provozu na bázi toků (~flow-based~) Po expiraci (přirozená [konfigurace] nebo vynucená) Záznam o provozu zpravidla odeslán ke zpracování na tzv. Kolektory (UDP, několik exportních formátů) Zdroje záznamů o provozu Směrovače (v závislosti na výrobci) Sondy HW sondy (např. FlowMon,Endace) SW (např. FlowMon, flow-tools,..)

I. pro běžnou praxi - permanentní přehled o IP komunikaci alespoň na hraně/perimetru sítě Informace o IP provozu na bázi toků (~flow-based~) Typický informační obsah provozního záznamu (běžné implementace) IP adresy, čísla portů, protokol Identifikátory rozhraní (ifindex), kterým tok vstoupil (vystoupil) z/do zařízení u sond informace o směru přenosu na lince, u směrovačů informace o vstupním a výstupním rozhraní (informace i o zahození paketu) IP nexthop následující IP uzel pro přenos Čísla AS (je-li k dispozici BGP), sousední nebo cílové Atributy TCP vlaječky, DSCP bity (logické OR přes všechny pakety vytvářející záznam) Objemové informace rozsah toku v čase, objem, počet paketů

I. pro běžnou praxi - permanentní přehled o IP komunikaci alespoň na hraně/perimetru sítě Informace o IP provozu na bázi toků (~flow-based~)

I. pro běžnou praxi - permanentní přehled o IP komunikaci alespoň na hraně/perimetru sítě Informace o IP provozu na bázi toků (~flow-based~) V závislosti na implementaci a typu zdroje dostupnost informací o fyzické trase přenosu SrcIP = a.b.c.d DstIP = m.n.o.p Proto = tcp SrcPort = 45371 DstPort = 80 SrcIf = 1 DstIf = 5 Octets = 12252 Pkts = 12

I. pro běžnou praxi - permanentní přehled o IP komunikaci alespoň na hraně/perimetru sítě Informace o IP provozu na bázi toků (~flow-based~) Typický informační obsah provozního záznamu (běžné implementace) částečná anonymizace

I. pro běžnou praxi - permanentní přehled o IP komunikaci alespoň na hraně/perimetru sítě Informace o IP provozu na bázi toků (~flow-based~) Rozšířený informační obsah provozního záznamu (ukázka NetFlow security event logging - NSEL) částečná anonymizace, možné řešení problematiky v případě NAT apod.

II. pro běžnou praxi Schopnost nalézt MAC adresu k dané IP adrese...co nám tento IP provoz do sítě posílá??? Koncová zařízení Za určitých okolností i v real-time K úvaze při řešení Technická/logická architektura LAN Řízení datových toků v LAN...

II. pro běžnou praxi - schopnost nalézt MAC adresu k dané IP adrese Mechanismy sledování Log mechanismů přidělujících IP adresy v případě dynamické konfigurace Neřeší dohledání v případě ad-hoc podvržené zdrojové IP

II. pro běžnou praxi - schopnost nalézt MAC adresu k dané IP adrese Mechanismy sledování Systematický ARP watch (pouze IPv4) Sběr dat ze síťových prvků (SNMP; IPV6- MIB::ipv6NetToMediaPhysAddress,...) Dohledání v případě ad-hoc podvržené zdrojové IP??? Dump provozu Vhodná architektura LAN infrastruktury pro mirror/rozdvojení provozu? Obtížné jako systematická činnost s uchováním dat, zpravidla nasazeno ad-hoc na základě potřeby což dává smysl

II. pro běžnou praxi - schopnost nalézt MAC adresu k dané IP adrese Mechanismy sledování Flow-based sledování v rozšířené implementaci (~flexible NetFlow, IPFIX) V principu řeší IPv6 i podvržené zdrojové IP adresy, ale závisí na úrovni implementace v daném zařízení

III. pro běžnou praxi Schopnost dohledat identitu uživatele, který používal dané MAC/IP adresy..elektronická v lepším případě i fyzická identita uživatele, který byl přítomen u zařízení, které generovalo/přijímalo daný provoz.. K úvaze při řešení Technická/logická architektura autentizace, autorizace pro přístup k síti Síla ověření identity uživatele...

Příklady využití informací (flow-based) o provozu sítě... I. Sledování provozu v nadřazené síti: automatická detekce potenciálních provozních anomálií z/do sítí uživatelů, s uchováním důkazního materiálu a statistickou nadstavbou...z důvodu ochrany soukromí uživatelů nezveřejněno...

Příklady využití informací (flow-based) o provozu sítě... II. Sledování provozu v nadřazené síti jako služba pro uživatele...z důvodu ochrany soukromí uživatelů nezveřejněno...

Příklady využití informací (flow-based) o provozu sítě... III. Interaktivní traffic browser provozu v nadřazené síti jako služba pro uživatele...z důvodu ochrany soukromí uživatelů nezveřejněno...

Další aspekty sledování provozu sítí Etické otázky Transparentně deklarovat způsob míru sledování provozu Hlídat limity zásahu do soukromí uživatelů Transparentní podmínky, za jakých je možné takové limity překročit ~ standardní systém vs. zvůle Výsledné informace propojovat z dílčích zdrojů až na základě odůvodněné potřeby (nikoli systematicky a automaticky), dílčí zdroje informací držet odděleně a s disjunktními přístupovými právy (je-li možné; v zájmu vlastní ochrany administrátorů)

???

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář