Seminář o bezpečnosti sítí a služeb CESNET, z. s. p. o. Služby e-infrastruktury CESNET 9. 4. 2015
CESNET, z. s. p. o. Založen v roce 1996 Členové 25 českých univerzit Akademie věd České republiky Policejní akademie ČR Hlavní cíle: výzkum a vývoj informačních a komunikačních technologií budování a rozvoj e infrastruktury CESNET určené pro výzkum a vzdělávání podpora a šíření vzdělanosti, kultury a poznání 2011 2015 Projekt Velká infrastruktura CESNET
Rámcový pohled na e infrastrukturu a její služby M
CESNET a CESNET2 NREN Konektivita GÉANT, 10Gb/s spoj do globální internetu linkou od Telia do USA, 6Gb/s individuální spoje do SANET, ACONET a PIONEER, po 10Gb/s spoj do experimentální sítě GLIF, 10Gb/s 4 10 Gb/s do NIX.CZ 10 Gb/s do AMS IX Člen sdružení CZ.NIC Člen peeringového centra NIX.CZ Člen projektu Fenix
CESNET a CESNET2 Špičkové parametry síťové infrastruktury vysoké přenosové rychlosti end to end služby vysoká míra spolehlivosti Připojené organizace 26 vysokých škol, AV ČR (členové) cca 290 dalších účastníků ~ 400tis uživatelů studentů vědců, výzkumníků
Charakter sítě CESNET2 Klasický ISP uživatel přistupuje do Internetu využívá služby, stahuje data, mailuje, chatuje, webuje... NREN experimentální, komunitní nárazové velké datové přenosy distribuované infrastruktury Datových úložišť, Gridů infrastruktura pro podporu vzdálené spolupráce AAI infrastruktura, federace, IdP silné výpočetní zdroje
Strategie správy CESNET2 1. Transparentní 2. Žádné omezování provozu (dokud se neobjeví problém) 3. Připojeným sítím nabízíme služby a nástroje pro seberegulaci
Strategie správy CESNET2 Na páteři pracujeme s velkými objemy dat jsme schopni určit, co je anomálie ohrožující infrastrukturu nejsme schopni určit, jestli tok X může být ohrožující pro koncovou síť Pro určení anomálnosti provozu je důležitý nejen objem, ale i charakteristika datových přenosů zaměřujeme se na schopnost posoudit objem a charakteristiku např. 5tis flow za vteřinu u DNS ok, u PC problém Rozhodujeme se na základě vyhodnocení konkrétní situace na páteři zasahujeme, když je ohrožen chod infrastruktury vše ostatní je na žádost uživatelů (připojených sítí) Máme povinnost a oprávnění zasáhnout při ohrožení infrastruktury nemůžeme a nechceme svévolně zasahovat do provozu koncové sítě
CESNET2 Sondy na perimetru sítě CESNET2
CESNET2 - HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - SNMP based monitoring - IDS, IPS, tar pit based systems, etc..
Sledování CESNET2 Plošné, souvislé, na bázi toků HW akcelerované sondy na perimetru sítě užitečné pro ruční analýzu, v případě problému zkoumáme statistiky zdroj dat a informací pro další výzkum FTAS, G3 sběr informací o provozu z páteřních prvů a připojených sítí aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30) Detekce síťových a aplikačních událostí skenování portů syn flood útoky DNS amplifikace bruteforce na ssh, SIP, DNS tunely
Sledování CESNET2 Plošné, souvislé, na bázi toků Sledujeme provoz od nás ven HW akcelerované sondy na perimetru sítě vůči vybraným prvkům infrastruktury užitečné pro ruční analýzu, v případě problému zkoumáme perimetr, vstup, výstup distribuované infrastruktury, např. DÚ, Gridy zdroj dat a informací pro další výzkum klíčové služby (DSN, AAI) anomální datové přenosy FTAS, G3 statistiky sběr informací o provozu z páteřních prvů a připojených sítí Co je výstupem aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní skenování portů syn flood útoky DNS amplifikace bruteforce na ssh, SIP, DNS tunely top listy, podle zdrojů, cílů z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30) využití a stav linek paketové rychlosti Detekce síťových a aplikačních událostí útoky hrubou silou
Sledování CESNET2 Plošné, souvislé, na bázi toků Sledujeme provoz od nás ven HW akcelerované sondy na perimetru sítě vůči vybraným prvkům infrastruktury užitečné pro ruční analýzu, v případě problému zkoumáme perimetr, vstup, výstup distribuované infrastruktury, např. DÚ, Gridy zdroj dat a informací pro další výzkum klíčové služby (DSN, AAI) anomální datové přenosy FTAS, G3 statistiky sběr informací o provozu z páteřních prvů a připojených sítí Co je výstupem aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní top listy, podle zdrojů, cílů z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30) využití a stav linek paketové rychlosti Detekce síťových a aplikačních událostí útoky hrubou silou skenování portů umíme rozpoznat provozní problém a bezpečnostní problém syn flood útoky DNS amplifikace umíme rozpoznat pokusy zneužít infrastrukturu a data máme naskladněné informace pro ex post analýzu bruteforce na ssh, SIP, DNS tunely
Podpora připojených organizací aneb Co je CESNET schopen udělat pro své koncové sítě, když...
Co jsme schopni udělat, když... Máte podezření, že něco není v pořádku ad hoc analýza provozu konzultace, zhodnocení situace dlouhodobé systematické sledování podezřelého provozu Jste zdrojem problému (útoku) ad hoc analýza provozu filtrace na hraně mezi sítí a páteří, dokud není odstraněna příčina pomoc s odstraněním problému Jste cílem útoku (např. typu záplava) ad hoc analýza provozu filtrace na hraně mezi sítí a páteří, případně na perimetru sítě
Co jsme schopni udělat, když... Objeví se plošný útok na uživatele (phishing nesoucí malware) analýzu malware vydat doporučení, co dělat (csirt forum@) identifikovat nakažené stroje v síti zabránit komunikaci nakažených strojů (v koncové síti) Objeví se zranitelnost (HB, ShellShock) otestování prvků v koncové síti analýza provozu dostupnými metodami, vytvořenými nástroji rychlou úpravou sondy Chcete zjistit, jak na tom vaše síť je (prevence) penetrační testy zátěžové testy } na žádost, ne automaticky
Co očekáváme od koncové sítě Komunikaci a spolupráci Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností Vím, co se v mé síti děje aneb logování Nepodvrhávání provozu Nepouštět přes hranu SNMP, NTP (není li pro to dobrý důvod a pokud je, tak zabezpečit) Ne amplifikace, ne otevřené resolvery Naplnění základních podmínek Fenixu
Co očekáváme od koncové sítě Komunikaci a spolupráci Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností Vím, co se v mé síti děje aneb logování Nepodvrhávání provozu Nepouštět přes hranu SNMP, NTP (není li pro to dobrý důvod a pokud je, tak zabezpečit) BCP 38/SAC004 granularita /24 (/48) RTBH využívající RS Ne amplifikace, ne otevřené resolvery IPv6, DNSSEC na důležitých doménách Plná redundance připojení do NIX.CZ Naplnění základních podmínek Fenixu Monitoring sítě (MRTG, NetFlow,...) Control plane policy RFC6192 DNS, NTP, SNMP amplification protection Reakční čas na bezpečnostní incident <30min BGP TCP MD5
Co očekáváme od koncové sítě Komunikaci a spolupráci Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností Vím, co se v mé síti děje aneb logování Nepodvrhávání provozu Nepouštět přes hranu SNMP, NTP (není li pro to dobrý důvod a pokud je, tak zabezpečit) BCP 38/SAC004 granularita /24 (/48) RTBH využívající RS Ne amplifikace, ne otevřené resolvery IPv6, DNSSEC na důležitých doménách Plná redundance připojení do NIX.CZ Naplnění základních podmínek Fenixu Nejsem a nemohu být zdrojem falešného Monitoring sítě (MRTG, NetFlow,...) provozu a zdrojem nebo zrcadlem agresivního Control plane policy RFC6192 provozu (antispam a malware). DNS, NTP, SNMP amplification protection Reakční čas na bezpečnostní incident <30min BGP TCP MD5
Co očekáváme od koncové sítě Komunikaci a spolupráci Správný design sítě Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností Víceúrovňové filtrování provozu Vím, co se v mé síti děje aneb logování Nepodvrhávání provozu Ochrana koncových stanic Nepouštět přes hranu SNMP, NTP (není li pro to dobrý důvod a Ochrana aktivních prvků pokud je, tak zabezpečit) BCP 38/SAC004 granularita /24 (/48) RTBH využívající RS Monitorování služeb Ne amplifikace, ne otevřené resolvery IPv6, DNSSEC na důležitých doménách Plná redundance připojení do NIX.CZ Naplnění základních podmínek Fenixu Monitorování síťové komunikace Nejsem a nemohu být zdrojem falešného Monitoring sítě (MRTG, NetFlow,...) provozu a zdrojem nebo zrcadlem agresivního Control plane policy RFC6192 Ochrana klientů (před klienty) provozu (antispam a malware). DNS, NTP, SNMP amplification protection Reakční čas na bezpečnostní incident <30min BGP TCP MD5
Bezpečnostní infrastruktura Síťové sondy na perimetru sítě CESNET2 FTAS a G3 plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur plošné souvislé sledování stavu a chování rozsáhlých výkonných infrastruktur IDS systémy, Honeypoty Systémy pro sdílení a korelaci dat Warden Mentat Forenzní laboratoř (FLAB) forenzní analýza penetrační testy, testy odolnosti CESNET CERTS, PSS, NOC c
Bezpečnost: Služby Služby týmu CESNET CERTS incident response sběr, vyhodnocení a distribuce dat do koncových sítí Pomoc při zvládání bezpečnostních incidentů radou, zásahem v síťové infrastruktuře ověřením v bezpečnostních nástrojích (sondy, FTAS, G3) metodami forenzní analýzy otestování (HeartBleed, Shellshock) Asistence při problému (útok, nefunkčnost) máme připraveny mechanismy kam problém nahlásit (PSS, NOC, CESNET CERTS) jak problém detekovat, zmírnit, vyřešit (RTBH, IG, filtry...) jak problém analyzovat FLAB
Bezpečnost: služby Služby na bázi detekce (FTAS, G3) plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur plošné souvislé sledování stavu a chování rozsáhlých infrastruktur možnost využít instanci běžící na páteři možnost mít vlastní instanci ve vlastní síti Koncept STaaS (Security Tools as a Service) STaaS služba pro členy, jejichž možnosti v oblasti bezpečnosti jsou omezené aplikace zkušeností z CESNET2 do menších sítí nasazení a vyladění monitorovacích nástrojů pro konkrétní síť zprovoznění sondy, instance FTAS, G3, kolektoru možnost provozovat vlastní instanci kolektoru s podporou CESNETu, nebo využít kolektor CESNETu a mít přístup k výsledkům konzultace a vzdělávání, práce s nasbíranými daty
Bezpečnost: služby Služby na bázi sdílení a rozvoje komunity (dáš, dostaneš) Warden http://warden.cesnet.cz/ Forenzní laboratoř analýza bezpečnostního incidentu penetrační testy zátěžové testy c
Warden Systém pro efektivní sdílení informací o bezpečnostních událostech Motivace mám data, ale kam s nimi? chci data, ale kde je vzít? Hlavní cíle platforma pro sdílení dat (dej, odeber) sledování zdraví sítě a služeb aktivní obrana Architektura Hostname,Service: CESNET_IDS Detection time, arrival time: Event type: Portscan, bruteforce, spam, phishing,... Source: IP/URL/Reply-To Aim: protocol TCP, port 22 Scale: scan 666 ports, sweep 66 machines client server, jednoduchý protokol a klienti Note: Free text note zasílají se události zabezpečení připojení Client tags: Network, Connection, Honeypot, LaBrea
Warden Database size: 10GB Sum of all saved events: 81248640 sum of valid events: 80891259 sum of obsolete events: 39237 sum of invalid events: 318144 Last (valid) ID in events table: 81616185 Time of first (valid) inserted event: 2012 06 11 05:26:42 (UTC) Time of latest (valid) inserted event: 2015 04 03 10:16:42 (UTC) Sum of all registered clients: 95 sum of (valid) registered clients: 87 sum of (invalid) registered clients: 8 sum of (active) registered clients: 36
Warden Database size: 10GB Sum of all saved events: 81248640 sum of valid events: 80891259 sum of obsolete events: 39237 sum of invalid events: 318144 Last (valid) ID in events table: 81616185 Time of first (valid) inserted event: 2012 06 11 05:26:42 (UTC) Time of latest (valid) inserted event: 2015 04 03 10:16:42 (UTC) Sum of all registered clients: 95 sum of (valid) registered clients: 87 sum of (invalid) registered clients: 8 sum of (active) registered clients: 36
Bezpečnost: služby Služby na bázi sdílení a rozvoje komunity (dáš, dostaneš) Warden http://warden.cesnet.cz/ Forenzní laboratoř analýza bezpečnostního incidentu penetrační testy zátěžové testy c
Bezpečnost: služby Ochrana, osvěta a školení uživatelů školení pro studenty (prvních ročníků) (Monty Python) školení pro zaměstnance členských sítí Je svět internetu anonymní? Základní pravidla bezpečného chování na Internetu Základní pravidla pro zabezpečení pracovní stanice (mobilního telefonu) Základy legislativy dotýkající se světa Internetu Semináře a školení pro správce a administrátory FTAS, G3 (on demand) ZKB (říjen prosinec 2015) správa DNS (upcoming)
Shrnutí Technologie, nástroje, služby a know how Gramotné a spolupracující správce CESNET CERTS PSS NOC Správa a zabezpečení sítě CESNET2 je založena na právě na gramotnosti správců, zdravém rozumu a spolupráci Přednesené metody a přístup k monitoringu s obraně není dogma možnost dohodnout se na individuálním přístupu (CESNET2 x koncová síť) je možné dohodnout případné konkrétní regulační opatření vůči koncové síti (on demand)
Strategie v oblasti bezpečnosti I. Udržet e infrastrukturu CESNET v běhu a zabezpečenou II. Zvyšovat v oblasti bezpečnosti schopnosti připojených institucí III. Ochrana a vzdělávání uživatelů
Děkuji za pozornost.