Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Coneixent el tràfic per defensar-nos millor (1a part)

221 views

Published on

Presentació de Maria Isabel Gandia (CSUC) a la TAC17 sobre "Ciberseguretat a les xarxes acadèmiques i de recerca", realitzada el 21 de juny a l'Hospital de la Santa Creu i Sant Pau.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Coneixent el tràfic per defensar-nos millor (1a part)

  1. 1. Coneixent el tràfic per defensar-nos millor Maria Isabel Gandía Carriedo Trobada de l’Anella Científica (TAC) Hospital de la Santa Creu i Sant Pau, 21-6-2017
  2. 2. Conèixer què passa a la xarxa és bàsic!
  3. 3. Coneixent el nostre tràfic
  4. 4. Eines per la xarxa i la seguretat
  5. 5. Eines per la xarxa i la seguretat Cacti Sondes RIPE Atlas RT-RTIR Tests de velocitat Servidors de temps
  6. 6. Quant de tràfic tinc?
  7. 7. Test de velocitat http://speedtest.anella.csuc.cat
  8. 8. Test de velocitat http://speedtest.anella.csuc.cat
  9. 9. Plataforma de mesura de rendiment NDT http://ndt.anella.csuc.cat
  10. 10. Plataforma de mesura de rendiment NDT http://ndt.anella.csuc.cat
  11. 11. Plataforma de mesura de rendiment NDT http://ndt.anella.csuc.cat
  12. 12. Com és el meu tràfic? Com està l’Anella Científica?
  13. 13. Estadístiques i panell de monitoratge  Estadístiques SNMP amb Cacti.  Cada usuari té informació sobre les seves connexions.  Permet veure anomalies o canvis de patró provocats per problemes a la xarxa, virus, malware, etc…per un backup o per un atac de DDoS! https://estadistiques.anella.csuc.cat
  14. 14. Estadístiques i panell de monitoratge https://estadistiques.anella.csuc.cat
  15. 15. Estadístiques i panell de monitoratge https://estadistiques.anella.csuc.cat
  16. 16. I de quin tipus és?
  17. 17. SMARTxAC  Desenvolupada per la UPC (CCABA) en col·laboració amb el CSUC des del 2003. Ara, Talaia Networks.  Captura el tràfic amb mostreig amb netflow a totes les interfícies: RedIRIS, Orange Business Services, CATNIX, connexió de les institucions i entre els nodes troncals.  Anàlisi fora de línia amb patrons d’inspecció de paquets basat en tècniques d’aprenentatge i entrenament tipus machine learning.  Multiusuari: és d’utilitat tan internament al CSUC com per al personal de xarxa/seguretat de les institucions connectades, per consultar en temps real informació del seu tràfic.  Interfície de visualització: • Mostra estadístiques. • Detecta anomalies. • Permet fer zoom. • Filtratge per protocols...
  18. 18. 2003
  19. 19. 2013
  20. 20. 2016: tràfic
  21. 21. 2016: Top N
  22. 22. 2017: Integració d’alertes de l’eina Flow Sonar de Team-Cymru
  23. 23. Atacs volumètrics a una institució amb 10 Gbps
  24. 24. Atac volumètric a una institució amb 1 Gbps
  25. 25. El tràfic de recerca no segueix patrons estàndard
  26. 26. Bioinformàtica
  27. 27. Genòmica
  28. 28. Atacs que no ho semblen, “no-atacs” que sí ho semblen  “No-atac”:  Atac:
  29. 29. 2017: següents passos amb SMARTxAC  Integració per a l’autenticació amb la Federació d’identitat  Possibilitat de sol·licitar filtres amb més granularitat per cada institució
  30. 30. Els atacs de DDoS
  31. 31. Els objectius dels atacs són (Q4 2016): • 49% empreses TI (45% en Q2) • 32% sector públic (14%) • 7% bancs i serveis financers (23%) El pic de tràfic ha augmentat un 63% en un any El 86% dels atacs fa servir múltiples métodes Font: http://www.verisign.com/assets/infographic-ddos-trends-Q42016.pdf Atac promig, 931 Mbps (1,2 Gbps a finals de 2017) El més greu de 800 Gbps (un 60% superior al 2015) 88% dels atacs < 2 Gbps 91% duren < 1 hora Font: Arbor, 12th Worldwide Infrastructure security report Segons diuen els experts…
  32. 32. I en una universitat o centre de recerca?  Per què? • Evitar un examen • Recerca • Vandalisme • Gamers • Motius polítics • Represàlies a màquines infectades • Maniobra de distracció • Es facilíssim  Cóm? • DDoSaaS L’origen pot ser a dins, encara que l’atac vingui de fora
  33. 33. El tràfic regular (IPv4) 30 Gbps 10 Gbps 10 Gbps10 Gbps 85 % d’internet, (634644 rutes) 70% del tràfic 16 % d’internet (100409 rutes) 30% del tràfic 85 % d’internet 0,00002 % d’internet Proveïdor comercial
  34. 34. Adquisició de plataforma de mitigació de DDoS per a les universitats Solució basada en Arbor: SP-7000: • Portal de la solució • Monitora tant l’encaminador com d’equip de neteja (TMS) • Rep full-routing de l’encaminador i anuncia rutes atacades cap al TMS  TMS-2800: • Rep el tràfic atacat per aplicar regles de mitigació • Retorna el tràfic “net” • Mitigació inicial 10 Gbps • Capaç d’ampliar llicències per a mitigar fins a 40 Gbps (30 Mpps). Sistema basat en SNMP, Netflow i BGP. Permet: • Detectar • Mitigar • Generar informes automàtics
  35. 35. Com es detecta?  Definint els llindars a partir dels que es considera que el tràfic és un atac.  Per perfil de tràfic d’un conjunt d’adreces (o objecte).  Per tràfic per equip.  En base a reputació d’algunes adreces.
  36. 36. Cóm es mitiga? Fent tunning…
  37. 37. Generació d’informes
  38. 38. La mitigació de DDoS no és un conte de fades  Cal definir els paràmetres de detecció i mitigació i posar en marxa els aprenentatges en "temps de pau".  Posar en marxa una mitigació només en cas d'emergència.  És un procés molt manual i amb molta granularitat.  Qualsevol mitigació té efectes col·laterals no desitjats.  És imprescindible la comunicació amb la institució afectada durant la mitigació.  No es pot deixar activa més temps de l’imprescindible.
  39. 39. Col·laboració amb RedIRIS: detecció CSUC, mitigació via túnel RedIRIS  Solució de mitigació de RedIRIS.  Detecció: institució o CSUC.  Mitigació: 2 túnels (adreçament RedIRIS/CSUC): • Requereix el vist-i-plau de la institució. • Configuració manual per part de RedIRIS. • Fins a 1,5 Gbps. • Provada amb adreces “esquer” de les universitats. • RedIRIS anuncia el rang atacat i el desvia al seu equip de mitigació. • El tràfic cap a les IP atacades es neteja i s’entrega pels túnels.  Aquests túnels es mantenen com a solució “aigües amunt” en cas necessari. Institució atacada DeteccióMitigació
  40. 40. Col·laboració amb RedIRIS (II): Remote Triggered Blackholing (RTBH)  El filtratge RTBH és una tècnica que usa updates de BGP per a manipular les taules de routing en altres punts de la xarxa abans d’entrar a la xarxa atacada.  L’equip que activa el trigger provoca que els encaminadors envïin el tràfic a Null0 (blackhole).  Es una forma ràpida de sol·licitar el filtratge i de treure’l per part del proveïdor atacat.  En marxa sessió BGP amb RedIRIS pel blackholing de les adreces de l’AS de l’Anella Científica.  Només es pot fer des del CSUC. Institució atacada DeteccióMitigació MitigacióRTBH
  41. 41. Quants més mecanismes, més opcions en cas d’atac Institució atacada Detecció Mitigació Mitigació RTBH Blackholing Filtres Rate-limiting Filtres Rate-limiting Detecció
  42. 42. Vistes dels atacs des del CSUC  Cacti (SNMP)  SMARTxAC (Netflow)  Team Cymru Flow sonar (Netflow)  Plataforma mitigació DDoS (SNMP + Netflow)
  43. 43. Alguns consells bàsics Aplicar sempre filtres anti-spoofing. Netejar infeccions. Tenir registres amb l'hora sincronitzada via NTP. Identificar als usuaris (compte amb el NAT!). En cas d'atac, informar a la policia. Tenir en compte que depenent de l'atac: • Pot ser greu i que només ho detecti l'atacat. • Pot ser inofensiu i ser detectat en monitoratge. • Ser conscients que no hi ha una solució que ho mitigui tot, la mitigació és en capes (NREN, RREN, tallafocs institució, ...).
  44. 44. Eines distribuïdes de mesura
  45. 45. RIPE Atlas  Eina distribuïda que permet mesurar milers de nodes arreu del món  Rastreja paquets en xarxa i comprova l’estat de la connexió dels servidors locals fent pings i traceroutes  Permet obtenir informació sobre: • Latència • Accessibilitat • Servidor DNS arrel més proper • Round-Trip Time (RTT) a algunes connexions fixes  Sondes al CSUC: • Anchor #6048 • Atlas #659 (Anella Científica) • Atlas #13880 (CATNIX)
  46. 46. RIPE Atlas La sonda RIPE Anchor al CSUC permet a les institucions: • Comparar mesures des d’arreu del món a l’Anella Científica. • Descarregar les mesures per interval de temps. • Seleccionar des de quines xarxes fer mesures ad-hoc. • Detectar problemes, tant externs com interns a l’Anella Científica. • Utilitzar els resultats en estudis de recerca. https://atlas.ripe.net/probes/6048
  47. 47. Properament…mesures amb TraceMON gràcies a RIPE Atlas
  48. 48. Gràcies per vostra atenció! mariaisabel.gandia@csuc.cat

×