Bezpečnost sítě CESNET2

263 views

Published on

Prezentace z Velkého semináře o komplexu služeb e-infrastruktury CESNET

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
263
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Bezpečnost sítě CESNET2

  1. 1. Bezpečnost sítě CESNET2 Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o. Služby e-infrastruktury CESNET 21. 10. 2013
  2. 2. Bezpečnost CESNET2 ● Máme nástroje a technologie, které – podají obraz o dění v síti – detekují anomálie (podezřelé chování) v provozu sítí a služeb  – dovolí zaměřit se na podezřelý provoz – umožní sdílení zajímavých dat – informace o anomáliích (události, BI) dostanou do rukou správců                                       ==> aktivní obrana                                       ==> „zdravotní aspekt“, prevence – umožní detekci, sběr, analýzu a vytěžení těchto dat                                                                       Seminář o službách, 21. 10. 2013, Praha
  3. 3. Bezpečnostní infrastruktura ● Síťové sondy na perimetru sítě CESNET2 ● FTAS: – – plošně přes celou infrastrukturu – plošné souvislé sledování stavu a chování rozsáhlých výkonných  infrastruktur – ● plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur plošně přes celou infrastrukturu G3:  ● IDS systémy, Honeypoty ● Systémy pro sdílení a korelaci dat – Warden – Mentat Seminář o službách, 21. 10. 2013, Praha
  4. 4. Měřící infrastruktura ● Bezeztrátové a detailní měření síťových dat na perimetru sítě  CESNET2 na volitelné úrovni detailu – NetFlow v9, IPFIX, pakety ● ● ● měření tunelovaného provozu měření aplikací HTTP, DNS, SIP Sběr a uchování dat – IPFIXcol – uchování libovolné položky – FTAS, Warden – NfSen Seminář o službách, 21. 10. 2013, Praha
  5. 5. G3 ● Plošné  souvislé  sledování  stavu  a  chování  rozsáhlých  výkonných infrastruktur, primárně pro sledování provozu CESNET2 ● Detekce on­the­fly anomálií a jejich notifikace ● Event notifier  – ● automatický  visualisér  anomálních  stavů,  aktuální  události  z  infrastruktury,  možno konfigurovat per device Interaktivní UI – – ● agregovaná vizualizace aktuálních anomálních stavů (včetně historie) provázání na detailní reporting příslušných objektů G3 system reporter – využití sítě CESNET2 – mapy chybovosti – „zdraví“ sítě CESNET2 Seminář o službách, 21. 10. 2013, Praha
  6. 6. FTAS ● Plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur ● Zpracování provozních informací o IP tocích (NetFlow) ● Vlastnosti a využitelnost – cílené sledování a dlouhodobé uchování informací o provozu ● komplexní klasifikační a filtrační aparát pro vyčlenění provozu ● statistické zpracování – informace o již uskutečněné komunikaci, včetně trajektorie – odhalení podvržení adres – umožňuje zaměřit se na provoz mající anomální charakter – verifikace a analýza bezpečnostních incidentů – automatická detekce anomálií – systematické sledování provozu sítě (instituce) Seminář o službách, 21. 10. 2013, Praha
  7. 7. G3, FTAS ● G3 – – sběr dat ze 150 zařízení – ● 2 instance systému 600000 údajů / 600s FTAS – distribuovaná architektura – instance na páteřní síti ● ● – cca 14 uzlů sběr dat ze 22 prim. zdrojů 21 instancí “FTAS jako služba” ● 6 instancí na vlastním železe Seminář o službách, 21. 10. 2013, Praha Akademie Věd ČR Fakultní nemocnice Motol Jihočeská Univerzita v Českých  Budějovicích Masarykova Nemocnice v Ústí n. L. Masarykova Univerzita v Brně Ostravská Univerzita v Ostravě PASNET metropolitní síť Slezská Univerzita Opava SOUE Plzeň SŠEAS Ustí nad Labem Technická univerzita Ostrava ­ VŠB Technická Univerzita v Liberci Univerzita Hradec Králové Univerzita J. E. Purkyně v Ústí n. L. Univerzita Karlova v Praze Univerzita Obrany Univerzita Palackého v Olomouci Univerzita J. A. Komenského Praha Všeobecná fakultní nemocnice Vysoká škola ekonomická Západočeská Univerzita v Plzni
  8. 8. Pro koho je FTAS a G3 ● Bezpečnostní týmy ➔ konkrétní informace o provozu ● Dohledová pracoviště ➔ řešení bezpečnostních incidentů ● Výzkumné týmy ➔ automatická detekce anomálií ➔ vzorky dat, ladění sítě ➔ obrana ● Manažery ➔ náhled na provoz sítě ● Ředitele IT ➔ zdraví ● Správce ➔ vytížení ➔ architektura ➔ statistiky provozu Seminář o službách, 21. 10. 2013, Praha
  9. 9. Warden ● Systém pro efektivní sdílení informací o bezpečnostních událostech ● Motivace – – ● mám data, ale kam s nimi? chci data, ale kde je vzít? Hlavní cíle – platforma pro sdílení dat (dej, odeber) – sledování zdraví sítě a služeb – ● aktivní obrana Architektura Hostname,Service: CESNET_IDS Detection time, arrival time: Event type: Portscan, bruteforce, spam, phishing, ... Source: IP/URL/Reply-To Aim: protocol TCP, port 22 Scale: scan 666 ports, sweep 66 machines – client­server, jednoduchý protokol a klienti Note: Free text note – zasílají se události – zabezpečení připojení  Client tags: Network, Connection, Honeypot, LaBrea Seminář o službách, 21. 10. 2013, Praha
  10. 10. Architektura Zasílající klienti Honeypot1 Odebírající klienti IDS www app Dioanea FW IDS Warden server Probe DNSbl Kippo IDS UCEPROT Phishing ShadowS Seminář o službách, 21. 10. 2013, Praha N6
  11. 11. Use­case 1  Zasílající klienti Honeypot1 Odebírání dat generovaných  IDS systémy Odebírající klienti IDS www app Dioanea FW IDS Warden server Probe DNSbl Kippo IDS UCEPROT Phishing ShadowS Seminář o službách, 21. 10. 2013, Praha N6
  12. 12. Use­case 2 Zasílající klienti Honeypot1 Odebírání dat generovaných  honeypoty Odebírající klienti IDS www app Dioanea FW IDS Warden server Probe DNSbl Kippo IDS UCEPROT Phishing ShadowS Seminář o službách, 21. 10. 2013, Praha N6
  13. 13. Use­case 3 Zasílající klienti Honeypot1 Odebírání dat generovaných  z jedné konkrétní sítě Odebírající klienti IDS www app Dioanea FW ZČU IDS Warden server Probe DNSbl Kippo IDS UCEPROT Phishing ShadowS Seminář o službách, 21. 10. 2013, Praha N6
  14. 14. Warden: kdy, proč a jak se zapojit ● Aktuálně jsou zapojeni – – zisk zajímavých dat (aktivní obrana, „zdraví“ sítě) – rozvoj komunity – ● když máte zájem o data pro správu své sítě – ● když máte zajímavé zdroje dat (IDS, sondy, honeypots) – ● CESNET, VŠB, TUL, MUNI, ZČU, SLU, CUNI, VUT warden­info@cesnet.cz Kdy Proč Jak Seminář o službách, 21. 10. 2013, Praha
  15. 15. Bezpečnost: Shrnutí ● Asistence při problému (útok, nefunkčnost) – máme připraveny mechanismy ● ● jak problém detekovat, zmírnit, vyřešit (RTBH, IG, filtry ...) ● ● kam problém nahlásit (PSS, NOC, CESNET­CERTS) jak problém analyzovat – FLAB Služby na bázi detekce (FTAS, G3) – – ● můžete využít instanci běžící na páteři můžete mít vlastní instanci ve vlastní síti Služby na bázi sdílení a rozvoje komunity (dáš, dostaneš) – ● Warden Služby pro otestování sítě a služeb – penetrační testy sítě, penetrační testy služeb (server, SIP) – testy odolnosti Seminář o službách, 21. 10. 2013, Praha
  16. 16. Bezpečnost: Shrnutí Budujeme komunitu: FTAS, G3, Warden ? Kam dál ?       Posunujeme se k „Security as a Service“ ● Byl by zájem o síťovou sondu do koncové sítě? ● Seminář o službách, 21. 10. 2013, Praha Integrovaný Warden client?
  17. 17. Děkuji za pozornost. Seminář o službách, 21. 10. 2013, Praha

×