Seminář o bezpečnosti sítí a služeb

Podobné dokumenty
Strategie sdružení CESNET v oblasti bezpečnosti

CESNET & Bezpečnost. CESNET, z. s. p. o. Služby e-infrastruktury CESNET

Projekty a služby sdružení CESNET v oblasti bezpečnosti

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

SÍŤOVÁ INFRASTRUKTURA MONITORING

CESNET Day. Bezpečnost

CESNET Day. Bezpečnost

CESNET Day. Bezpečnost

CESNET. Andrea Kropáčová, CESNET, z. s. p. o. Služby e-infrastruktury CESNET

SOC e-infrastruktury CESNET. Andrea Kropáčová CESNET, z. s. p. o.

Služby e-infrastruktury CESNET

Bezpečnost aktivně. štěstí přeje připraveným

PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

Bezpečnost síťové části e-infrastruktury CESNET

CESNET Day AV ČR. bezpečnostní služby & infrastrukturní služby

Implementace a monitoring IPv6 v e-infrastruktuře CESNET

CESNET, jeho e-infrastruktura a služby

Projekt SABU. Sdílení a analýza bezpečnostních událostí

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Flow Monitoring & NBA. Pavel Minařík

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

BEZPEČNOSTNÍ MONITORING SÍTĚ

Mentat, systém pro zpracování informací z bezpečnostních nástrojů. Jan Mach

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

IDS systémy a honeypoty. Jan Mach CESNET, z. s. p. o.

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Služby e-infrastruktury CESNET

Bezpečnostní monitoring sítě

Souhrnný pohled na služby e-infrastruktury CESNET

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Koncept centrálního monitoringu a IP správy sítě

DoS útoky v síti CESNET2

CESNET. Národní e-infrastruktura. Ing. Jan Gruntorád, CSc. ředitel CESNET, z.s.p.o.

Souhrnný pohled na služby e-infrastruktury CESNET

Architektura připojení pro kritické sítě a služby

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

FlowMon Vaše síť pod kontrolou

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Network Measurements Analysis (Nemea)

Flow monitoring a NBA

Aktivní bezpečnost sítě

Nasazení a využití měřících bodů ve VI CESNET

Pravidla pro připojení do projektu FENIX

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

Role forenzní analýzy

Monitorování datových sítí: Dnes

Zpracování dat z bezpečnostních nástrojů

Petr Velan. Monitorování sítě pomocí flow case studies

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

Pavel Titěra GovCERT.CZ NCKB NBÚ

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Služby e-infrastruktury CESNET. Tomáš Košňar CESNET z. s. p. o.

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Firewall, IDS a jak dále?

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

Flow monitoring a NBA

Kybernetické hrozby jak detekovat?

Koncept. Centrálního monitoringu a IP správy sítě

Architektura připojení pro kritické sítě a služby

Monitoring sítě. CESNET Day Universita Karlova, Tomáš Košňar CESNET z. s. p. o.

Sledování IP provozu sítě

Firewall, IDS a jak dále?

Sledování sítě pomocí G3

Rozvoj IDS s podporou IPv6

FlowMon Vaše síť pod kontrolou!

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

FlowMon chytré české řešení pro bezpečnostní a provozní monitoring sítí. Jiří Tobola, Petr Špringl, INVEA-TECH

Koncept BYOD. Jak řešit systémově? Petr Špringl

FlowMon Monitoring IP provozu

Co se skrývá v datovém provozu?

FlowMon Vaše síť pod kontrolou!

Kybernetické hrozby - existuje komplexní řešení?

PB169 Operační systémy a sítě

AKTUÁLNÍ KYBERNETICKÉ HROZBY

IPFIXCOL MODULÁRNÍ KOLEKTOR SÍŤOVÝCH TOKŮ. Lukáš Huták CESNET. 4. listopad 2018 OpenAlt, Brno

Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích

Služby e-infrastruktury CESNET

Služby e-infrastruktury CESNET

Základní principy obrany sítě

Řešení jádra sítě ISP na otevřených technologiích

Praktické ukázky, případové studie, řešení požadavků ZoKB

Monitoring provozu poskytovatelů internetu

IPv6 v CESNETu a v prostředí akademických sítí

ANECT, SOCA a bezpečnost aplikací

Sledování provozu sítě

Historie, současnost a budoucnost sdružení CESNET. Ing. Jan Gruntorád, CSc. ředitel CESNET, z.s.p.o Praha

Detekce volumetrických útoků a jejich mi4gace v ISP

Monitorování a bezpečnostní analýza

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Transkript:

Seminář o bezpečnosti sítí a služeb CESNET, z. s. p. o. Služby e-infrastruktury CESNET 9. 4. 2015

CESNET, z. s. p. o. Založen v roce 1996 Členové 25 českých univerzit Akademie věd České republiky Policejní akademie ČR Hlavní cíle: výzkum a vývoj informačních a komunikačních technologií budování a rozvoj e infrastruktury CESNET určené pro výzkum a vzdělávání podpora a šíření vzdělanosti, kultury a poznání 2011 2015 Projekt Velká infrastruktura CESNET

Rámcový pohled na e infrastrukturu a její služby M

CESNET a CESNET2 NREN Konektivita GÉANT, 10Gb/s spoj do globální internetu linkou od Telia do USA, 6Gb/s individuální spoje do SANET, ACONET a PIONEER, po 10Gb/s spoj do experimentální sítě GLIF, 10Gb/s 4 10 Gb/s do NIX.CZ 10 Gb/s do AMS IX Člen sdružení CZ.NIC Člen peeringového centra NIX.CZ Člen projektu Fenix

CESNET a CESNET2 Špičkové parametry síťové infrastruktury vysoké přenosové rychlosti end to end služby vysoká míra spolehlivosti Připojené organizace 26 vysokých škol, AV ČR (členové) cca 290 dalších účastníků ~ 400tis uživatelů studentů vědců, výzkumníků

Charakter sítě CESNET2 Klasický ISP uživatel přistupuje do Internetu využívá služby, stahuje data, mailuje, chatuje, webuje... NREN experimentální, komunitní nárazové velké datové přenosy distribuované infrastruktury Datových úložišť, Gridů infrastruktura pro podporu vzdálené spolupráce AAI infrastruktura, federace, IdP silné výpočetní zdroje

Strategie správy CESNET2 1. Transparentní 2. Žádné omezování provozu (dokud se neobjeví problém) 3. Připojeným sítím nabízíme služby a nástroje pro seberegulaci

Strategie správy CESNET2 Na páteři pracujeme s velkými objemy dat jsme schopni určit, co je anomálie ohrožující infrastrukturu nejsme schopni určit, jestli tok X může být ohrožující pro koncovou síť Pro určení anomálnosti provozu je důležitý nejen objem, ale i charakteristika datových přenosů zaměřujeme se na schopnost posoudit objem a charakteristiku např. 5tis flow za vteřinu u DNS ok, u PC problém Rozhodujeme se na základě vyhodnocení konkrétní situace na páteři zasahujeme, když je ohrožen chod infrastruktury vše ostatní je na žádost uživatelů (připojených sítí) Máme povinnost a oprávnění zasáhnout při ohrožení infrastruktury nemůžeme a nechceme svévolně zasahovat do provozu koncové sítě

CESNET2 Sondy na perimetru sítě CESNET2

CESNET2 - HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - SNMP based monitoring - IDS, IPS, tar pit based systems, etc..

Sledování CESNET2 Plošné, souvislé, na bázi toků HW akcelerované sondy na perimetru sítě užitečné pro ruční analýzu, v případě problému zkoumáme statistiky zdroj dat a informací pro další výzkum FTAS, G3 sběr informací o provozu z páteřních prvů a připojených sítí aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30) Detekce síťových a aplikačních událostí skenování portů syn flood útoky DNS amplifikace bruteforce na ssh, SIP, DNS tunely

Sledování CESNET2 Plošné, souvislé, na bázi toků Sledujeme provoz od nás ven HW akcelerované sondy na perimetru sítě vůči vybraným prvkům infrastruktury užitečné pro ruční analýzu, v případě problému zkoumáme perimetr, vstup, výstup distribuované infrastruktury, např. DÚ, Gridy zdroj dat a informací pro další výzkum klíčové služby (DSN, AAI) anomální datové přenosy FTAS, G3 statistiky sběr informací o provozu z páteřních prvů a připojených sítí Co je výstupem aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní skenování portů syn flood útoky DNS amplifikace bruteforce na ssh, SIP, DNS tunely top listy, podle zdrojů, cílů z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30) využití a stav linek paketové rychlosti Detekce síťových a aplikačních událostí útoky hrubou silou

Sledování CESNET2 Plošné, souvislé, na bázi toků Sledujeme provoz od nás ven HW akcelerované sondy na perimetru sítě vůči vybraným prvkům infrastruktury užitečné pro ruční analýzu, v případě problému zkoumáme perimetr, vstup, výstup distribuované infrastruktury, např. DÚ, Gridy zdroj dat a informací pro další výzkum klíčové služby (DSN, AAI) anomální datové přenosy FTAS, G3 statistiky sběr informací o provozu z páteřních prvů a připojených sítí Co je výstupem aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní top listy, podle zdrojů, cílů z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30) využití a stav linek paketové rychlosti Detekce síťových a aplikačních událostí útoky hrubou silou skenování portů umíme rozpoznat provozní problém a bezpečnostní problém syn flood útoky DNS amplifikace umíme rozpoznat pokusy zneužít infrastrukturu a data máme naskladněné informace pro ex post analýzu bruteforce na ssh, SIP, DNS tunely

Podpora připojených organizací aneb Co je CESNET schopen udělat pro své koncové sítě, když...

Co jsme schopni udělat, když... Máte podezření, že něco není v pořádku ad hoc analýza provozu konzultace, zhodnocení situace dlouhodobé systematické sledování podezřelého provozu Jste zdrojem problému (útoku) ad hoc analýza provozu filtrace na hraně mezi sítí a páteří, dokud není odstraněna příčina pomoc s odstraněním problému Jste cílem útoku (např. typu záplava) ad hoc analýza provozu filtrace na hraně mezi sítí a páteří, případně na perimetru sítě

Co jsme schopni udělat, když... Objeví se plošný útok na uživatele (phishing nesoucí malware) analýzu malware vydat doporučení, co dělat (csirt forum@) identifikovat nakažené stroje v síti zabránit komunikaci nakažených strojů (v koncové síti) Objeví se zranitelnost (HB, ShellShock) otestování prvků v koncové síti analýza provozu dostupnými metodami, vytvořenými nástroji rychlou úpravou sondy Chcete zjistit, jak na tom vaše síť je (prevence) penetrační testy zátěžové testy } na žádost, ne automaticky

Co očekáváme od koncové sítě Komunikaci a spolupráci Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností Vím, co se v mé síti děje aneb logování Nepodvrhávání provozu Nepouštět přes hranu SNMP, NTP (není li pro to dobrý důvod a pokud je, tak zabezpečit) Ne amplifikace, ne otevřené resolvery Naplnění základních podmínek Fenixu

Co očekáváme od koncové sítě Komunikaci a spolupráci Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností Vím, co se v mé síti děje aneb logování Nepodvrhávání provozu Nepouštět přes hranu SNMP, NTP (není li pro to dobrý důvod a pokud je, tak zabezpečit) BCP 38/SAC004 granularita /24 (/48) RTBH využívající RS Ne amplifikace, ne otevřené resolvery IPv6, DNSSEC na důležitých doménách Plná redundance připojení do NIX.CZ Naplnění základních podmínek Fenixu Monitoring sítě (MRTG, NetFlow,...) Control plane policy RFC6192 DNS, NTP, SNMP amplification protection Reakční čas na bezpečnostní incident <30min BGP TCP MD5

Co očekáváme od koncové sítě Komunikaci a spolupráci Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností Vím, co se v mé síti děje aneb logování Nepodvrhávání provozu Nepouštět přes hranu SNMP, NTP (není li pro to dobrý důvod a pokud je, tak zabezpečit) BCP 38/SAC004 granularita /24 (/48) RTBH využívající RS Ne amplifikace, ne otevřené resolvery IPv6, DNSSEC na důležitých doménách Plná redundance připojení do NIX.CZ Naplnění základních podmínek Fenixu Nejsem a nemohu být zdrojem falešného Monitoring sítě (MRTG, NetFlow,...) provozu a zdrojem nebo zrcadlem agresivního Control plane policy RFC6192 provozu (antispam a malware). DNS, NTP, SNMP amplification protection Reakční čas na bezpečnostní incident <30min BGP TCP MD5

Co očekáváme od koncové sítě Komunikaci a spolupráci Správný design sítě Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností Víceúrovňové filtrování provozu Vím, co se v mé síti děje aneb logování Nepodvrhávání provozu Ochrana koncových stanic Nepouštět přes hranu SNMP, NTP (není li pro to dobrý důvod a Ochrana aktivních prvků pokud je, tak zabezpečit) BCP 38/SAC004 granularita /24 (/48) RTBH využívající RS Monitorování služeb Ne amplifikace, ne otevřené resolvery IPv6, DNSSEC na důležitých doménách Plná redundance připojení do NIX.CZ Naplnění základních podmínek Fenixu Monitorování síťové komunikace Nejsem a nemohu být zdrojem falešného Monitoring sítě (MRTG, NetFlow,...) provozu a zdrojem nebo zrcadlem agresivního Control plane policy RFC6192 Ochrana klientů (před klienty) provozu (antispam a malware). DNS, NTP, SNMP amplification protection Reakční čas na bezpečnostní incident <30min BGP TCP MD5

Bezpečnostní infrastruktura Síťové sondy na perimetru sítě CESNET2 FTAS a G3 plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur plošné souvislé sledování stavu a chování rozsáhlých výkonných infrastruktur IDS systémy, Honeypoty Systémy pro sdílení a korelaci dat Warden Mentat Forenzní laboratoř (FLAB) forenzní analýza penetrační testy, testy odolnosti CESNET CERTS, PSS, NOC c

Bezpečnost: Služby Služby týmu CESNET CERTS incident response sběr, vyhodnocení a distribuce dat do koncových sítí Pomoc při zvládání bezpečnostních incidentů radou, zásahem v síťové infrastruktuře ověřením v bezpečnostních nástrojích (sondy, FTAS, G3) metodami forenzní analýzy otestování (HeartBleed, Shellshock) Asistence při problému (útok, nefunkčnost) máme připraveny mechanismy kam problém nahlásit (PSS, NOC, CESNET CERTS) jak problém detekovat, zmírnit, vyřešit (RTBH, IG, filtry...) jak problém analyzovat FLAB

Bezpečnost: služby Služby na bázi detekce (FTAS, G3) plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur plošné souvislé sledování stavu a chování rozsáhlých infrastruktur možnost využít instanci běžící na páteři možnost mít vlastní instanci ve vlastní síti Koncept STaaS (Security Tools as a Service) STaaS služba pro členy, jejichž možnosti v oblasti bezpečnosti jsou omezené aplikace zkušeností z CESNET2 do menších sítí nasazení a vyladění monitorovacích nástrojů pro konkrétní síť zprovoznění sondy, instance FTAS, G3, kolektoru možnost provozovat vlastní instanci kolektoru s podporou CESNETu, nebo využít kolektor CESNETu a mít přístup k výsledkům konzultace a vzdělávání, práce s nasbíranými daty

Bezpečnost: služby Služby na bázi sdílení a rozvoje komunity (dáš, dostaneš) Warden http://warden.cesnet.cz/ Forenzní laboratoř analýza bezpečnostního incidentu penetrační testy zátěžové testy c

Warden Systém pro efektivní sdílení informací o bezpečnostních událostech Motivace mám data, ale kam s nimi? chci data, ale kde je vzít? Hlavní cíle platforma pro sdílení dat (dej, odeber) sledování zdraví sítě a služeb aktivní obrana Architektura Hostname,Service: CESNET_IDS Detection time, arrival time: Event type: Portscan, bruteforce, spam, phishing,... Source: IP/URL/Reply-To Aim: protocol TCP, port 22 Scale: scan 666 ports, sweep 66 machines client server, jednoduchý protokol a klienti Note: Free text note zasílají se události zabezpečení připojení Client tags: Network, Connection, Honeypot, LaBrea

Warden Database size: 10GB Sum of all saved events: 81248640 sum of valid events: 80891259 sum of obsolete events: 39237 sum of invalid events: 318144 Last (valid) ID in events table: 81616185 Time of first (valid) inserted event: 2012 06 11 05:26:42 (UTC) Time of latest (valid) inserted event: 2015 04 03 10:16:42 (UTC) Sum of all registered clients: 95 sum of (valid) registered clients: 87 sum of (invalid) registered clients: 8 sum of (active) registered clients: 36

Warden Database size: 10GB Sum of all saved events: 81248640 sum of valid events: 80891259 sum of obsolete events: 39237 sum of invalid events: 318144 Last (valid) ID in events table: 81616185 Time of first (valid) inserted event: 2012 06 11 05:26:42 (UTC) Time of latest (valid) inserted event: 2015 04 03 10:16:42 (UTC) Sum of all registered clients: 95 sum of (valid) registered clients: 87 sum of (invalid) registered clients: 8 sum of (active) registered clients: 36

Bezpečnost: služby Služby na bázi sdílení a rozvoje komunity (dáš, dostaneš) Warden http://warden.cesnet.cz/ Forenzní laboratoř analýza bezpečnostního incidentu penetrační testy zátěžové testy c

Bezpečnost: služby Ochrana, osvěta a školení uživatelů školení pro studenty (prvních ročníků) (Monty Python) školení pro zaměstnance členských sítí Je svět internetu anonymní? Základní pravidla bezpečného chování na Internetu Základní pravidla pro zabezpečení pracovní stanice (mobilního telefonu) Základy legislativy dotýkající se světa Internetu Semináře a školení pro správce a administrátory FTAS, G3 (on demand) ZKB (říjen prosinec 2015) správa DNS (upcoming)

Shrnutí Technologie, nástroje, služby a know how Gramotné a spolupracující správce CESNET CERTS PSS NOC Správa a zabezpečení sítě CESNET2 je založena na právě na gramotnosti správců, zdravém rozumu a spolupráci Přednesené metody a přístup k monitoringu s obraně není dogma možnost dohodnout se na individuálním přístupu (CESNET2 x koncová síť) je možné dohodnout případné konkrétní regulační opatření vůči koncové síti (on demand)

Strategie v oblasti bezpečnosti I. Udržet e infrastrukturu CESNET v běhu a zabezpečenou II. Zvyšovat v oblasti bezpečnosti schopnosti připojených institucí III. Ochrana a vzdělávání uživatelů

Děkuji za pozornost.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář