Monitoring sítě. CESNET Day Universita Karlova, Tomáš Košňar CESNET z. s. p. o.

Podobné dokumenty
Implementace a monitoring IPv6 v e-infrastruktuře CESNET

Sledování sítě pomocí G3

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

Monitoring sítě a síťová obrana

Bezpečnostní monitoring sítě

SÍŤOVÁ INFRASTRUKTURA MONITORING

Sledování IP provozu sítě

Bezpečnost síťové části e-infrastruktury CESNET

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Sledování provozu sítě

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

Strategie sdružení CESNET v oblasti bezpečnosti

Jak se měří síťové toky? A k čemu to je? Martin Žádník

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Technická analýza kyberútoků z března 2013

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

Flow Monitoring & NBA. Pavel Minařík

Flow monitoring a NBA

Monitorování datových sítí: Dnes

Architektura připojení pro kritické sítě a služby

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Jak využít NetFlow pro detekci incidentů?

Detekce volumetrických útoků a jejich mi4gace v ISP

Kybernetické hrozby - existuje komplexní řešení?

Network Measurements Analysis (Nemea)

Flow monitoring a NBA

Seminář o bezpečnosti sítí a služeb

Správa sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Nasazení a využití měřících bodů ve VI CESNET

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích

Č.j. MV /VZ-2014 V Praze 24. dubna 2015

Load Balancer. RNDr. Václav Petříček. Lukáš Hlůže Václav Nidrle Přemysl Volf Stanislav Živný

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Technická specifikace zařízení

Projekty a služby sdružení CESNET v oblasti bezpečnosti

IPFIXCOL MODULÁRNÍ KOLEKTOR SÍŤOVÝCH TOKŮ. Lukáš Huták CESNET. 4. listopad 2018 OpenAlt, Brno

Č.j. MV /VZ-2014 V Praze 22. dubna 2015

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Provozně-bezpečnostní monitoring datové infrastruktury

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

DoS útoky v síti CESNET2

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Architektura připojení pro kritické sítě a služby

Požadované technické parametry pro SAN jsou uvedeny v následující tabulce:

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Technologie Cisco Flexible Netflow - možnosti monitorování uživatelem definovaných atributů provozu a jejich následná prezentace.

Seminář pro správce univerzitních sí4

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Měření teploty, tlaku a vlhkosti vzduchu s přenosem dat přes internet a zobrazování na WEB stránce

Koncept centrálního monitoringu a IP správy sítě

CESNET & Bezpečnost. CESNET, z. s. p. o. Služby e-infrastruktury CESNET

FlowMon novinky. Představení FlowMon verze 5.0. Petr Špringl

Obrana sítě - základní principy

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Y36PSI Protokolová rodina TCP/IP

Projekt Turris. Proč a jak? Ondřej Filip ondrej.filip@nic.cz Bedřich Košata bedrich.kosata@nic.cz / IT13.2

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

IPv4/IPv6. Ing. Michal Gust, ICZ a. s.

Definice pojmů a přehled rozsahu služby

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

Petr Velan. Monitorování sítě pomocí flow case studies

Obsah. Úvod 13. Věnování 11 Poděkování 11

CESNET Day. Bezpečnost

Obsah PODĚKOVÁNÍ...11

RTP = real=time protocol ST-II = Internet Stream Protocol (náhrada TCP pro streamy, řídicí protokol, datový přenos)

Firewall, IDS a jak dále?

Fakulta elektrotechniky a informatiky Vysoká škola báňská - Technická univerzita Ostrava. Cvičení 5 POČÍTAČOVÁ OBRANA A ÚTOK - POU

MPLS MPLS. Label. Switching) Michal Petřík -

Co se skrývá v datovém provozu?

Řešení potřeb veřejné správy pomocí velkých i malých BI systémů. Tomáš Jindřich Pavel Bobkov

Kybernetické hrozby jak detekovat?

Inteligentní NetFlow analyzátor

Nástroje pro FlowSpec a RTBH. Jiří Vraný, Petr Adamec a Josef Verich CESNET. 30. leden 2019 Praha

FlowMon Monitoring IP provozu

Další nástroje pro testování

DETEKCE DOPRAVY KLASIFIKACE VOZIDEL MONITORING DOPRAVNÍHO PROUDU

Provozní statistiky Uživatelský manuál

Václav Bartoš. Meeting projektu SABU , Vranovská ves

FlowMon Vaše síť pod kontrolou

Multimédia. Jan Růžička Konference CESNET 2019

P2P komunikace I/O modulů řady E1200 I/O moduly s komunikací přes mobilní telefonní sítě

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

Služby e-infrastruktury CESNET. Tomáš Košňar CESNET z. s. p. o.

Systém detekce a pokročilé analýzy KBU napříč státní správou

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Transkript:

Monitoring sítě CESNET Day Universita Karlova, 26. 5. 2016 Tomáš Košňar CESNET z. s. p. o.

Monitoring sítě Obsah Systém G3 pro sledování infrastruktury pro sledování IP provozu

Systém G3 Sledování stavů, využití, chybovosti etc.. prvků infrastruktury (nemusí být explicitně síťové) Cíle Informace o aktuálním stavu, podpora pro zpětnou analýzu chování prvků a infrastruktury Dlouhodobé agregované pohledy, reporting Oznamování a vizualizace anomálií Systém G3 Vyvíjen jak pro potřeby e-infrastruktury CESNET, tak s vědomím smysluplného použití v malé koncové síti (rozsah sbíraných informací, aplikovatelnost na odpovídající HW)

Systém G3 Periodický soustavný sběr informací z prvků/o prvcích infrastruktury Obecně jakýmkoli způsobem (http, ssh,...) Built-in SNMP v1,2,3 (implicitní předpoklad použití) RFC MIB i vendor MIB (>=800 OID), rozšiřitelné podle potřeby (System, Interface, QoS, IP, TCP, UDP, ICMP, SNMP, VCHANNEL) Automatická adaptace na rekonfigurace prvku (minimalistická konfigurace stačí IP prvku + SNMP parametry) Automatická konstrukce logické struktury prvku pro navigaci (s potlačením významu technologických identifikátorů)

Systém G3 Interaktivní vizualizace ukázky výstupů UI a) Browser strukturou měřených prvků prohledávání struktury zařízení+výběr objektů pro vizualizaci, možnost agregace

Systém G3 Interaktivní vizualizace b) Vizualizace vybraných objektů Ukázka fungování specifického QoS na externích rozhraních sítě (agregovaně)

Systém G3 Interaktivní vizualizace b) Vizualizace vybraných objektů Zátěž CPU zařízení Discards na rozhraní Napájení rozhraní

Systém G3 Reporting ukázky výstupů Statické struktury HTML, periodicky simulovaná činnost uživatele na základě konfigurací - overview

Systém G3 Reporting ukázky výstupů Statické struktury HTML, periodicky simulovaná činnost uživatele na základě konfigurací - detailní reporty

Systém G3 Detekce a oznamování anomálií ukázky výstupů Porovnání změřených a zpracovaných hodnot vůči nakonfigurovaným limitům (absolutní hodnoty, velikost změny oproti předchozímu měření apod.), konfigurace s granularitou od celku k jednotlivým zařízením Možnost oznamování

Systém G3 Detekce a oznamování anomálií ukázky výstupů Interaktivní UI

Systém G3 Detekce a oznamování anomálií ukázky výstupů Interaktivní UI plaintext varianta výstupu pro nagios/icinga

Systém G3 G3 jako služba Vzdálené měření pomocí primárních instalací v e-infrastruktuře Dává smysl pouze pro časově omezené měření a/nebo malý počet sledovaných zařízení - komplikace se zabezpečením (SNMP přes hranu sítě, měřené prvky v privátním adresovém prostoru, za FW atd. SNMP v3, různé tunely apod.) Vlastní instalace v síti uživatele Virtuál nebo fyzický HW Společná správa OS na základě dohody Správa a konfigurace G3 CESNET Jasně omezený vzdálený přístup nutný

Sledování IP provozu na bázi toků Zpracování, uchování a vizualizace flow-based informací o IP provozu Cíle Analýza IP provozu v aktuálním čase i zpětně Statistické zpracování informací o vybraném IP provozu Dlouhodobé agregované náhledy, reporting Detekce a oznamování anomálií Vyvíjen pro implementaci v rozsáhlých infrastrukturách (einfrastruktura CESNET), snadno aplikovatelný v libovolné síti (flexibilní architektura, rozsáhlá parametrizace)

Souvislý sběr a zpracování informací o IP provozu na bázi toků z dostupných zdrojů v síti Aktuálně podporované vstupní formáty dat NetFlow v1-9-10, IPFIX, rozšíření (Flexible NetFlow, NSEL) + sflow (parsing fragmentu paketů) interní formát (postupně rozšiřovaný, diskuze s uživateli)

Souvislý sběr a zpracování informací o IP provozu na bázi toků z dostupných zdrojů v síti Transparentní podpora IPv4, IPv6 (jak vstup, tak obsah, tak interní redistribuce) Typické zdroje dat Směrovače, aktivní síťové prvky, HW sondy (FlowMon apod.), SW sondy (softflowd,...) Architektura systému Single-node multinode (rozšiřitelné za chodu), fyzické nebo virtuální prostředí (kombinace), 1 místo nebo distribuované

Souvislý sběr a zpracování informací o IP provozu na bázi toků z dostupných zdrojů v síti Základní funkce Replikace a přeposílání vstupního datového streamu Administrativní klasifikace záznamů o provozu podle technologických identifikátorů (IP prefixy, rozhraní apod.) sítě, organizace, fakulty, katedry apod. Samostatné zpracování informací o části provozu na základě filtrace (prakticky libovolná kombinace podmínek od seznamu IP prefixů až např. po konkrétní hodnotu TCP vlaječek) Možnost interního statistického předzpracování informací o vyfiltrovaném provozu v případě potřeby agregovaného pohledu a dlouhodobého uchování dat (redukce množství informací) Platforma pro nastavení on-the-fly detekce anomálií

Zpřístupnění informací o provozu 1. Interaktivní UI, komplexní vyhledávací a vizualizační aparát

Zpřístupnění informací o provozu 1. Interaktivní UI, komplexní vyhledávací a vizualizační aparát

Zpřístupnění informací o provozu 2. Periodický reporting - a) statické HTML struktury

Zpřístupnění informací o provozu 2. Periodický reporting - b) souhrnné reporty formou e-mailu

Detektor anomálií - základní princip 1. Vymezení provozu (na základě rozsahů IP, protokolů, portů, rozhraní, atributů provozu, délky paketů etc..) např.: UDP na porty 53, 123, 161, 0 s délkou paketů >= 1024, se zdrojovou adresou mimo e-infrastrukturu TCP pakety pouze se SYN flag odcházející ze sítě university Odchozí provoz ze sítě na typické MS porty..až po např. veškerý provoz do sítě instituce 2. Stanovení zda nás zajímají cíle nebo zdroje případné anomálie (~ IP adresy) Hledáme útočníky nebo oběti?

Detektor anomálií - základní princip 3. Stanovení časového intervalu a limitů pro vyhodnocení vymezeného provozu (tzn. co již považujeme za anomálii během určité doby) např.: Více než 1000 toků nebo více než 1 milion paketů s délkou menší než 60 B za 5 vteřin... (min. počet toků, rozsah objemu paketů, bytů, průměrné velikosti paketů) Možnost statistické extrapolace provozních záznamů (objemy, fragmentace)

Detektor anomálií - základní princip a) V případě vyhodnocení anomálie pro jeden časový interval tzn. jednorázový výskyt Uložení provozních informací v systému FTAS (standardní dostupnost přes UI) Export do systémů sdílené obrany (Mentat/Warden) dává smysl pravidelně s dobře nakonfigurovaným časovým krokem (např. 1X za minutu ~ korelační funkce systémů) volitelně Oznámení e-mailem konfigurovatelný rytmus (např...anomálie začala.., každých X*k minut zpráva, že pokračuje a po Y minutách bez aktivity, že skončila) volitelně Klíčem je neprudit, ale zase neopomenout zásadní anomálie...

Příklad oznámení jednorázové anomálie

Detektor anomálií - základní princip b) V případě některých anomálií dává smysl oznamovat až v případě dlouhodobějšího a souvislého výskytu Možnost nakonfigurovat sekundární časový interval a minimální míru jeho vyplnění jednorázovými anomáliemi např. 5 minut a >90% pokrytí oznamování až po splnění (vč. oznámení o pokračování a konci) tzn. oznámení se zpožděním, ale s větší jistotou Nemusí se jednat o jen oznamování e-mailem může jít o cokoli, např. prerekvizity (filtr, QoS, BGP FlowSpec) pro nastavení konfiguračních pravidel v síťovém zařízení

Příklad oznámení déle trvající anomálie Notification : 188.227.174.221 (source IP) - TCP SYN against internal IP address ranges, sources (150 secs. duration) - DETECTED Measured values : 307244696.63 flows, 29902207414.07 bytes, 678813395.30 packets, packet size 44.05 bytes, duration 135.00 seconds Detector : FTAS system at gc15.cesnet.cz - detector uses extrapolated values (bytes, packets) in case of sampled flows; detector fragments long (duration) flows into 3s intervals for evaluation purposes Detection limits : Flow-Cnt>=1000 or Flow-Cnt>=1 and Pkts-estimated>=10000 within period of 3 seconds and overall duration>=90% of 150 secs period Flows time range : 16/05/04 23:59:19-16/05/05 00:07:38 CEST +0200 Observed : Wed May Events total : 89 4 23:59:54 2016 - Thu May 5 00:08:00 2016 CEST +0200 Nxt. Msg. not before: 16/05/05 00:09:55 CEST +0200 in case of continuous detection 188.227.174.221 tcp(6)/34430 --> 160.217.1.125 tcp(6)/http(80): 44/132 B, 1/3 p, 44 Bpp, 22:07:04[GMT], 00:07:04[CEST +0200], +0 188.227.174.221 tcp(6)/34430 --> 160.217.1.75 tcp(6)/http(80): 44/132 B, 1/3 p, 44 Bpp, 22:07:04[GMT], 00:07:04[CEST +0200], +0 188.227.174.221 tcp(6)/34430 --> 160.217.1.69 tcp(6)/http(80): 44/132 B, 1/3 p, 44 Bpp, 22:07:04[GMT], 00:07:04[CEST +0200], +0

Příklady typických detektorů - co uživatelé chtějí - obecně výskyt a/nebo agresivní projev (DoS) TCP scan, SYN flood apod. UDP amplifikace Snaha o podvržení cizích IP adres Skryté open resolvery v síti Výskyt provozu, který nemá být MS porty, SNMP a další obdobné přes vnější hranu sítě uživatelů Obecná agresivita provozu Agresivita provozu vůči službě, serveru Aplikovatelné pro oba směry přenosu (z a do sítě) Aplikovatelné jako obrana před vlastními i externími útočníky

Kompletní schéma zpřístupnění informací o provozu vč. bezpečnostních funkcí Notifikace bezpečnostních událostí Analytická práce UI, reporting

FTAS jako služba pro uživatele a) Využití primární instalace v e-infrastruktuře CESNET Export provozních záznamů ze sítě uživatele a zpracování podle požadavků (a možností), exklusivní přístup ke svým provozním záznamům

FTAS jako služba pro uživatele b) Vlastní instalace v síti uživatele na prostředcích uživatele Společná správa OS, správa a konfigurace FTAS - CESNET

FTAS jako služba pro komunitu Celkem cca 120 zdrojů provozních záznamů (z toho cca 40 v privátních instalacích), obsluha cca 50 uživatelských skupin V primární instalaci ~ 20 serverů, TTL na data 2-6 měsíců FTAS pro UK Cca 20 nativních zdrojů provozních záznamů z pracovišť UK Filtrace informací o provozu z páteřních zdrojů pro PASNET Poděkování za skvělou spolupráci V. Horák

Služby sledování infrastruktury a IP provozu Realizace služeb, konzultace k problematice, konzultace před realizací služeb: sluzby@cesnet.cz

Díky za trpělivost a pozornost :-)???

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář