Analýza nákazy v domácí síti. Robin Obůrka

Podobné dokumenty
Bezpečnostní rizika chytrých spotřebičů a Internetu věcí

Bezpečnostní rizika chytrých spotřebičů a Internetu věcí

Turris:Sentinel. Nový systém pro sběr dat. Robin Obůrka

Turris Omnia: jak lovit hackery

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Projekt Turris. Proč a jak? Ondřej Filip ondrej.filip@nic.cz Bedřich Košata bedrich.kosata@nic.cz / IT13.2

Nedávné útoky hackerů a ochrana Internetu v České republice. Andrea Kropáčová / andrea@csirt.cz

PB169 Operační systémy a sítě

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Firewally a iptables. Přednáška číslo 12

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Pravděpodobnost a matematická statistika Doc. RNDr. Gejza Dohnal, CSc.

Bezpečný router pro domácí uživatele. Bedřich Košata

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Toolboxy analýzy a modelování stochastických systémů

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Monitoring provozu poskytovatelů internetu

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

RNDr. Eva Janoušová doc. RNDr. Ladislav Dušek, Dr.

Nasazení a využití měřících bodů ve VI CESNET

Pravděpodobnost v závislosti na proměnné x je zde modelován pomocí logistického modelu. exp x. x x x. log 1

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Operační systémy 2. Firewally, NFS Přednáška číslo 7b

Základní principy obrany sítě

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Útoky na Tor. především ty víc praktické. hiviah

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Koncept. Centrálního monitoringu a IP správy sítě

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Výpočet pravděpodobností

Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow

DoS útoky v síti CESNET2

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

Popisná statistika kvantitativní veličiny

The Locator/ID Separation Protocol (LISP)

Mann-Whitney U-test. Znaménkový test. Vytvořil Institut biostatistiky a analýz, Masarykova univerzita J. Jarkovský, L. Dušek

Distribuovaný SSH honeypot

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Václav Bartoš. Meeting projektu SABU , Vranovská ves

Případová studie a zkušenosti nové organizace. František Vaněk

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Flow Monitoring & NBA. Pavel Minařík

Pravděpodobnost a matematická statistika Doc. RNDr. Gejza Dohnal, CSc.

DVR zařízení společnosti IdentiVision. Školení 1

Příručka pro správu systému

Flow monitoring a NBA

Access Control Lists (ACL)

Flow monitoring a NBA

IDS systémy a honeypoty. Jan Mach CESNET, z. s. p. o.

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Detekce a rozpoznávání mincí v obraze

Koncept centrálního monitoringu a IP správy sítě

XMW3 / IW3 Sítě 1. Štefan Pataky, Martin Poisel YOUR LOGO

ZÁKLADY STATISTICKÉHO ZPRACOVÁNÍ ÚDAJŮ 5. hodina , zapsala Veronika Vinklátová Revize zápisu Martin Holub,

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích

EXPERIMENTÁLNÍ MECHANIKA 1. Jan Krystek

Analýza a zabezpečení počítačové sítě

Preventivní akce CSIRT.CZ v roce Pavel Bašta

Bezpečnost webových stránek

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

ROZDĚLENÍ NÁHODNÝCH VELIČIN

Technická analýza kyberútoků z března 2013

Closed IPTV. Martin Jahoda Dedicated Micros. Copyright AD Group

Inovace výuky oboru ASŘ s podporou linuxového serveru

Specifikace veřejné zakázky: Věc: Dodatečné informace č. 1 k veřejné zakázce "Konsolidace IT a nové služby TC ORP Uherské Hradiště"

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

1 Analytické metody durace a konvexita aktiva (dluhopisu) $)*

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

KLASICKÝ MAN-IN-THE-MIDDLE


Směrování VoIP provozu v datových sítích

Strategie sdružení CESNET v oblasti bezpečnosti

KGG/STG Statistika pro geografy

FlowMon Vaše síť pod kontrolou

3. Linková vrstva. Linková (spojová) vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl

Provozně-bezpečnostní monitoring datové infrastruktury

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

Nejčastější podvody a útoky na Internetu. Pavel Bašta

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Zajištění kvality služby (QoS) v operačním systému Windows

Síťové protokoly. Filozofii síťových modelů si ukážeme na přirovnání:

Biostatistika Cvičení 7

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Video po IP sítích. Díky celoplošné dostupnosti internetového připojení jsou tradiční kamerové. Vše pod dohledem!

Transkript:

Analýza nákazy v domácí síti Robin Obůrka robin.oburka@nic.cz 3.12.2016

Turris Aktuální analýzy Kdo nám klepe na vrátka FW logy Honeypot (SSH) Minipot (Telnet) Jednoduché, ale máme výsledky Nakažené CCTV kamery Rezonance útoků na známé chyby v routerech Jak pomoci uživateli? Vydání aktualizací FW Medializace problému

Kdo jsou útočníci? Nakažené servery Zařízení v koncové síti Počítače s Windows Io(s)T Domácí NAS Jak pomoci uživateli? Nemá náhodou v síti nakažené zařízení? Jak to zjistit? Turris útočí na Turris analýza provozu sítě

Jaká data sbíráme Omezeno smlouvou Hlavičky packetů Pouze 10 denní okno Netflow-like data (zdrojová adresa/klient, zdrojový port, protokol, cílový port, cílová adresa) Pro každý směr: počet packetů, velikost přenesených dat, délka komunikace Další typy nebudou diskutovány v přednášce

Jaká data (ne)chceme sbírat Razíme přístup ti hodní Nesbíráme kompletní netflows Pouze tam, kde je podezřelá protistrana Vybraná sada portů často spojovaná s útoky 25/TCP, 22/TCP, 23/TCP,... Zakázali jsme si porty jako 80/TCP, 443/TCP

Analýza nákazy v domácí síti První experimenty V duchu Když chceme vědět co je divné, pojďme zjistit co je normální 25/TCP velikost, počet komunikující protistran První náznaky kudy se vydat Velikost nezajímavá Řádově 10-100MB útoky vs. mnoho GB legitimní aktivity Počet serverů v řádu stovek nebo tisíců Při použití velkých poskytovatelů běžně 100 serverů

Bad flows Flow classification Vychází z myšlenky Jak vypadá skenování sítě Netflow-like data rozdělena do 4 kategorií: Communication běžná komunikace Inbound only komunikace zahozená routerem Outbound only komunikace zahozená serverem Answered server odpověděl, ale router ji ihned ukončil Outbound only a answered jsou bad flows

Bad flows Fungující metoda Téměř 2 roky studia chování útoků Ve spolupráci s uživateli Podezřelá aktivita předána CSIRT.CZ Prosba o zjištění nákazy nebo vysvětlení divného chování Cenná pozorování Cca 15 odhalených nákaz (nepravidelné kontrolování) Nevýhody Pouze 10 denní okno Ruční spouštění Žádná historie Podezřelé chování dnes nebo dlouhodobě Opakované divné chování Malá, ale dlouhodobá aktivita

Analýza nákazy stage 2 Cíle Posun od analýzy hrubých dat k analýze historie a historického vývoje chování klienta Nutnost podivné chování hledat automatizovaně Prostředky Přiřazování skóre jednotlivým klientům Archivace výsledků smlouva

Jaká data můžeme archivovat Po 10 dnech pouze anonymizovaná data Nelze spojit klienta se serverem Kdo klepe na vrátka (klient, zdrojový port, protokol, cílový port, cílová adresa) Je jedno jestli byl útok na Pepu nebo na Karla, server je zlý Opačný směr (klient, zdrojový port, protokol, cílový port, cílová adresa) Pepa komunikoval

Analýza historie Data Předzpracovaná data z bad flows analýzy (klient, zdrojový port, protokol, cílový port, cílová adresa) Charakteristiky Hodnoty, které popíší chování klienta Vypovídající pro určení podezřelosti S kolika adresami komunikoval Kolik /24 subnetů bylo skenováno a jak hustě Počet bad flows Využití expertních poznatků

Ukázka útoku

Skóre klienta Jednoduché techniky ML statistické modely Modelování normálního (většinového?) chování Pro každou charakteristiku vlastní model Normální je neútočit Histogram Pareto distribuce (Heavy-tail distribuce) podobná exponenciálnímu rozdělení Model: fitování odpovídající distribuce na data Výpočet skóre Z modelu získáme pravděpodobnost výskytu dané hodnoty tzv. likelihood Prozatím záměrně nepřesný předpoklad: charakteristiky jsou nezávislé Skóre je tedy součet odchylek od běžného chování

Model pro počet adres

Vize do budoucna Analýza historie Dobrý nápad jak se posunout z mrtvého bodu Funguje velmi dobře Stále začátek dlouhé cesty Naše situace Nedostatek dat pro hledání komunikace s C&C centry Můžeme zachytit pouze útoky Jaké typy útoků můžeme snadno zachytit?

Vize do budoucna Nejbližší cíle Silnější propagace expertních znalostí do modelů Přidání dalších analýz a zdrojů dat Co nejvíce se zaměřit na automatizaci Automatické varování CSIRT Automatické varování uživatele (?) Získávání další expertních znalostí

Děkuji za pozornost Robin Obůrka robin.oburka@nic.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář