Tomáš Čejka Monitorování sítě pomocí flow. case studies

Podobné dokumenty
Petr Velan. Monitorování sítě pomocí flow case studies

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

BEZPEČNOSTNÍ MONITORING SÍTĚ

Václav Bartoš. Meeting projektu SABU , Vranovská ves

Monitorování sítě pomocí OpenWrt

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Network Measurements Analysis (Nemea)

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Tento materiál byl vytvořen v rámci projektu Operačního programu Vzdělávání pro konkurenceschopnost.

GUIDELINES FOR CONNECTION TO FTP SERVER TO TRANSFER PRINTING DATA

Monitorování a bezpečnostní analýza

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Proč prevence jako ochrana nestačí? Luboš Lunter

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Kybernetické hrozby - existuje komplexní řešení?

Jak využít NetFlow pro detekci incidentů?

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Nasazení a využití měřících bodů ve VI CESNET

Systém detekce a pokročilé analýzy KBU napříč státní správou

Kybernetické hrozby jak detekovat?

FlowMon Vaše síť pod kontrolou

Flow Monitoring & NBA. Pavel Minařík

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow

Seminář pro správce univerzitních sí4

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

User manual SŘHV Online WEB interface for CUSTOMERS June 2017 version 14 VÍTKOVICE STEEL, a.s. vitkovicesteel.com

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Strategie sdružení CESNET v oblasti bezpečnosti

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Koncept centrálního monitoringu a IP správy sítě

Řešení ochrany databázových dat

Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích

Flow monitoring a NBA

SenseLab. z / from CeMaS. Otevřené sledování senzorů, ovládání zařízení, nahrávání a přehrávání ve Vaší laboratoři

Invitation to ON-ARRIVAL TRAINING COURSE for EVS volunteers

PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

Střední průmyslová škola strojnická Olomouc, tř.17. listopadu 49

Aktivní bezpečnost sítě

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Pavel Titěra GovCERT.CZ NCKB NBÚ

Koncept BYOD. Jak řešit systémově? Petr Špringl

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Úvod do datového a procesního modelování pomocí CASE Erwin a BPwin

Projekt SABU. Sdílení a analýza bezpečnostních událostí

Firewall, IDS a jak dále?

IPFIXCOL MODULÁRNÍ KOLEKTOR SÍŤOVÝCH TOKŮ. Lukáš Huták CESNET. 4. listopad 2018 OpenAlt, Brno

Výukový materiál zpracován v rámci projektu EU peníze školám

Inteligentní NetFlow analyzátor

CZ.1.07/1.5.00/

Co se skrývá v datovém provozu?

FlowMon Monitoring IP provozu

Trnitá cesta Crypt0L0ckeru

ANECT, SOCA a CISCO Cognitive Threat Analytics Breach Detection v praxi

Seminář o bezpečnosti sítí a služeb

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

ové služby na IPv6-only

Sociální sítě jako Velký bratr. Martin Klubal AEC a.s.

Demilitarizovaná zóna (DMZ)

Co vše přináší viditelnost do počítačové sítě?

Czech Republic. EDUCAnet. Střední odborná škola Pardubice, s.r.o.

Firewall, IDS a jak dále?

Koncept. Centrálního monitoringu a IP správy sítě

místo, kde se rodí nápady

Implementace a monitoring IPv6 v e-infrastruktuře CESNET

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

FlowMon ADS praktické aplikace a případové studie. Pavel Minařík INVEA-TECH, a.s.

FlowMon chytré české řešení pro bezpečnostní a provozní monitoring sítí. Jiří Tobola, Petr Špringl, INVEA-TECH

VY_32_INOVACE_06_Předpřítomný čas_03. Škola: Základní škola Slušovice, okres Zlín, příspěvková organizace

Jan Pilař Microsoft MCP MCTS MCSA

USING VIDEO IN PRE-SET AND IN-SET TEACHER TRAINING

WORKSHEET 1: LINEAR EQUATION 1

Použití analyzátoru paketů bezdrátových sítí Wireshark

Zabezpečení infrastruktury

Britské společenství národů. Historie Spojeného království Velké Británie a Severního Irska ročník gymnázia (vyšší stupeň)

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Postup objednávky Microsoft Action Pack Subscription

Škola: Střední škola obchodní, České Budějovice, Husova 9. Inovace a zkvalitnění výuky prostřednictvím ICT

SÍŤOVÁ INFRASTRUKTURA MONITORING

Nasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce

AJ 3_16_Prague.notebook. December 20, úvodní strana

Stav podnikové bezpečnosti, Globální zpráva Jakub Jiříček, Symantec ČR a SR

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

How to get to Hotel Step (venue of WWP AW 2018)

Výukový materiál zpracovaný v rámci operačního programu Vzdělávání pro konkurenceschopnost

MEDIA RESEARCH RATINGS

Integrované řízení a zabezpečení sítě cesta k rychlé reakci na kybernetické hrozby

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Business Edition, ESET Remote Administrator

Tabulka 1 Stav členské základny SK Praga Vysočany k roku 2015 Tabulka 2 Výše členských příspěvků v SK Praga Vysočany Tabulka 3 Přehled finanční

Database systems. Normal forms

Diagnostika webových aplikací v Azure

MEDIA RESEARCH RATINGS

MEDIA RESEARCH RATINGS

Zabezpečení platformy SOA. Michal Opatřil Corinex Group

Kybernetická rizika velkoměst

Zubní pasty v pozměněném složení a novém designu

Transkript:

Tomáš Čejka cejkat@cesnet.cz Monitorování sítě pomocí flow case studies LinuxDays 2017

Úvod Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 1 / 27

Přehled použitých pojmů I Flow record / záznam o toku Agregovaná informace o jednosměrně přenesených datech, tok je identifikován adresami, porty, protokolem, časem Flow exporter / Monitoring probe / exportér toků HW/SW zařízení, parsuje pakety, počítá a exportuje flow data Flow collector / kolektor přijímá flow data z exportérů, která ukládá a zpracovává (např. IDS) Intrusion Detection System (IDS) systém pro detekci škodlivého provozu / anomálií Warden systém pro sdílení informací o detekovaných bezpečnostních událostech mezi členy komunity Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 2 / 27

Přehled použitých pojmů II Network Entity Reputation Database (NERD) systém pro analýzu detekovaných událostí, sbírání informací o entitách a výpočet reputačního skóre Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 3 / 27

All-in-One: STaaS Security Tools as a Service (STaaS) https://github.com/cesnet/staas Virtuální stroj / možnost instalace na fyzický stroj Sada nástrojů: Flow exporter (flow_meter, po instalaci vypnutý) Flow collector (IPFIXcol, primární zdroj dat, ukládání flow dat) stream-wise IDS (NEMEA) Warden klient Nagios (NRPE pluginy) Munin GUI pro zobrazení/vyhledávání flow dat (SCGui) GUI pro zobrazení lokálně detekovaných událostí Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 4 / 27

Základní použití Jeden či více exportérů, kolektor Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 5 / 27

Ukládání flow dat + odesílání alertů Prohlížení a vyhledávání flow dat pomocí SCGui místo dříve používaného nfsen Detekované události je možné odesílat do Wardenu Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 6 / 27

SecurityCloud GUI (SCGui) Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 7 / 27

Kolektor trochu podrobněji Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 8 / 27

We We are are working working on on a system system called called "Network "Network Entity Entity Reputation Reputation Database" (NERD). (NERD). It It receives receives messages messages abolt abolt detected detected seclrity seclrity events, events, combines combines them them with with data data from from variols variols external external solrces solrces (e.g. (e.g. blacklists), blacklists), and and stores stores all all that that information information as as a a record record for for each each reported reported entity entity (i.e. (i.e. IP IP address, address, network, network, domain, domain, etc.). etc.). It It thus thus keeps keeps all all available available security-related information about about network network entities entities at at one one place. place. It It also also summarize summarize all all the the information abolt abolt an an entity entity into into its its reputation reputation score score estimation of of the the level level of of threat threat the the entity entity poses. poses. Detectors of of maliciols maliciols traffic traffic deployed deployed in in different different networks networks (senders) (senders) report report their their resllts resllts to to the the central central hlb hlb (Warden (Warden server). server). The hlb hlb distribltes distribltes the the messages messages to to all all slbscribed slbscribed receviers. receviers. Reciprocity anyone anyone sending sending data data to to Warden Warden is is allowed allowed to to receive receive all all data data sent sent by by others. others. Common data data format format IDEA IDEA [1] [1] Developed and and operated operated by by CESNET. CESNET. Clrrently >20 >20 senders senders 1.5 million million alerts alerts per per day day We are are looking looking for for more more participants participants...... Join Join the the sharing sharing community community now! now! Share data data from from yolr yolr detectors detectors Get data data from from all all others others Get access access to to NERD NERD Time added, last lpdated All reported events Hostname (rev. DNS) Colntry, city ASN, ablse contact List of blacklists the address is present on Amplifier (open DNS, NTP,...) TOR exit node VirlsTotal Shodan info (e.g. open ports) Static / dynamic address (glessed) Device type (glessed)... many other information... Reputation score (slmmary of all above) Manlally added notes Via a web interface or HTTP-based API. CSIRT teams and security researchers can reqlest access to NERD. Anyone sending data to Warden gets flll access altomatically start sharing! Limited access for plblic Keeps all known seclrity-related information abolt network entities IP addresses, networks, domains and others. Main data solrce alerts from Warden (or other similar systems, e.g. MISP [2]) Information abolt all detected maliciols activities related to an entity. Data from variols other sources added Blacklists, other databases, geolocation,...(see left) Slmmary of all the information reputation score. Ranking of entites by level of threat they pose. Formally probability of fltlre attacks combined with their expected severity. (Predicted by machine learning.) "NERD, what do yol know abolt IP x.y.z.a?" "It is a known spammer." "It often tries to break into SSH by glessing passwords". "It was scanning ports a week ago, no report since then." "It is a botnet C&C server according to blacklist @X@." "Unknown probably benign." "NERD, give me a list of all maliciols IP addresses in my network (x.y.z.0/22)." "NERD, give me all open DNS resolvers known to be lsed in DNS amplification attacks."... and many more... Acknowledgments: This work is slpported by the Seclrity Research Programme of the Czech Replblic 2015-2020 (BV III / 1 VS) granted by the Ministry of the Interior of the Czech Replblic lnder No. VI20162019029 The Sharing and analysis of seclrity events in the Czech Replblic. It is also partially slpported by the Elropean Union s Horizon 2020 research and innovation programme lnder Grant Agreement No. 691567 (GN4-1) and 731122 (GN4-2). some with history and/or probability References: Incident handling Block lists Seclrity research Statistics, vislalization... http://nerd.cesnet.cz http://nerd.cesnet.cz bartos@cesnet.cz bartos@cesnet.cz http://warden.cesnet.cz http://warden.cesnet.cz warden-info@cesnet.cz warden-info@cesnet.cz [1] IDEA Intrlsion Detection Extensible Alert. https://idea.cesnet.cz/ [2] MISP Malware Information Sharing Platform. http://www.misp-project.org/ Network Entity Reputation Database (NERD) http://nerd.cesnet.cz/ http://nerd.cesnet.cz/tnc16-poster.pdf Creating a Network Reputation Database "A list of bad actors on the internet & everything we know abolt them." Václav Bartoš <bartos@cesnet.cz> Summary Warden alert sharing An IP address record contains: Access: Reputation database (NERD) Use-cases: Useful for: More information Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 9 / 27

Jak to rozjet evoluce 1 Sestavení ze zdrojových kódů 2 RPM balíky 3 Vagrant / Packer 4 Ansible Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 10 / 27

Ansible: Jak nainstalovat stroje Základní použití je popsáno v README.md Ansible playbook: https://github.com/cesnet/staas ansible-playbook -i inventory/hosts site.yml \ --tags install Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 11 / 27

Jak vytvořit svou upravenou instanci stroje Lze vyjít z ukázky staas-vagrant Je potřeba připravit nastavení proměnných pro stroj (host_vars) Možnost upravit inventář (konfigurační) soubory, které se kopírují na stroj Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 12 / 27

CESNET2 Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 13 / 27

Infrastruktura CESNET2 Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 14 / 27

Infrastruktura CESNET2 hraniční linky 13 hraničních linek, do 7 sítí/peeringu (duplikované linky) 10 Gb/s a 100 Gb/s linky 6 měřících bodů, většina v režimu 10x 10 Gb/s 7 COMBO karet (linka GÉANT: 2 karty v serveru) cca 12 testovacích měřících bodů http://netreport.cesnet.cz/netreport/ Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 15 / 27

Přeposílání dat na exportérech (CESNET) Přeposílání na testovací kolektor Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 16 / 27

Přeposílání dat na kolektoru (CESNET) Přeposílání na testovací kolektor pomocí IPFIXcol Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 17 / 27

CESNET: jaké stroje používáme (mj.) staas-demo collector collector-test staas-monitor (dohled, nagios) Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 18 / 27

SWITCH Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 19 / 27

Infrastruktura SWITCH (akademická síť ve Švýcarsku) Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 20 / 27

SWITCH Provoz zároveň vedle Flowmon kolektoru IPFIXcol + NEMEA Události se ukládají do Splunk Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 21 / 27

Moje kancelář Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 22 / 27

flow_meter: Export z PC nebo OpenWrt směrovače flow_meter (zmíněný na LD2016) Flow export ze SOHO routerů v IPFIX formátu (https://github.com/cesnet/nemea-openwrt) Nasazeno u mě v kanceláři :-) Testováno na: TP-Link WRT1043ND, TP-Link Archer C7, NEXX, CZ.NIC Turris, CZ.NIC Turris Omnia Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 23 / 27

Další použití flow_meter exportéru samostatná sonda + analyzátor, možnost ukládání/zpracovávání provozu přímo na sondě možný zdroj informací pro PassiveDNS export flow včetně MAC export flow včetně L7 rozšíření Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 24 / 27

Téměř konec prezentace Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 25 / 27

Pozvánky 1 Stánek CESNET dema: L0 SDN a železniční doprava Flexibilní zpracování paketů rychlostí 100 Gb/s 2 Stánek Bastlíři SH Indoor LoRaWAN gateway (s podporou CESNET) 3 Měsíc kybernetické bezpečnosti (http://mkb.cesnet.cz) Hacking soutěž The Catch (8. 10. 5. 11. 2017) Seminář Security Fest (31. 10. 2017, Masarykova kolej ČVUT) Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 26 / 27

Kontakty E-Mail: cejkat@cesnet.cz Mailinglist: nemea@cesnet.cz Přihlášení: https://random.cesnet.cz/mailman/listinfo/nemea Web: http://nemea.liberouter.org Git: https://github.com/cesnet/nemea Twitter: @tomcejka, @NEMEA_System Tomáš Čejka Monitorování sítě pomocí flow LinuxDays 2017 27 / 27

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář