1. Gaweł Mikołajczyk
gmikolaj@cisco.com
Security Technical Solutions Architect
CCIE #24987, CISSP-ISSAP, CISA, C|EH
Security B-Sides, 20 października 2013, Warszawa, Polska
© 2010 Cisco and/or its affiliates. All rights reserved.
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
1

2. Październik 2012
• Bezpieczeństwo IPv6
• Rekonesans IPv6
• IPv6 i IPSec
• Address Glean
• IPv6 Source Guard
• IPv6 RA Guard
• SLAAC
• CGA
• IPv6 DAD
• SeND
• IPv6 IPS
http://www.slideshare.net/gmikolaj/security-bsides-warsaw-2012bezpieczenstwo-ipv6-gawel-mikolajczyk
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
2

3. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
3

4. “
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
4

5. © 2013 Cisco and/or its affiliates. All rights reserved.
http://cisco.com/go/sba
Cisco Public
5

6. Działania
segmentowe
Utrzymanie
systemu
Początkowy
rekonesans
Pierwsze
skompromitowanie
hosta
Zdobycie
przyczółka
Wewnętrzny
rekonesans
Eskalacja
uprawnień
Zakończenie
misji
Mandiant APT1 Report: http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
Kill Chain: http://bit.ly/killchain
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
6

7. 1.
Command
and Control
Wykrywanie
Switche
2.
Rekonesans
Routery
Firewall
IPS
N-AV
Web Sec
Email Sec
3.Propagacja
© 2013 Cisco and/or its affiliates. All rights reserved.
4. Kradzież
danych
Cisco Public
7

8. 1.
Command
and Control
Wykrywanie
Switche
2.
Rekonesans
Routery
Firewall
IPS
N-AV
Web Sec
Email Sec
3.Propagacja
© 2013 Cisco and/or its affiliates. All rights reserved.
4. Kradzież
danych
Cisco Public
8

9. Kto?
• Państwo? Konkurencja?
Jednostka?
Co?
• Co jest celem?
Kiedy?
• Kiedy atakujący jest aktywny?
Gdzie?
• Gdzie jest atakujący?
Dlaczego?
Jak?
© 2013 Cisco and/or its affiliates. All rights reserved.
• Jaki jest jego cel?
• Zero-day? Known-passwords?
Insider?
Cisco Public
9

10. Kto?
• Jest w mojej sieci?
Co?
• Robią Twoi userzy? Aplikacje?
Zachowanie?
Kiedy?
• Urządzenie było w sieci? Czy to
normalne?
Gdzie?
• Uzyskiwany jest dostęp do sieci?
Dlaczego?
• Używają tej aplikacji / protokołu?
Jak?
© 2013 Cisco and/or its affiliates. All rights reserved.
• Dostają się do sieci?
Cisco Public
10

11. Billing
telefoniczny
Rekordy
Flow
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
11

12. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
12

13. “Najprawdopodobniej do włamania doszło w
wyniku działania nieautoryzowanych aplikacji.
Badamy ten wątek.”
“Prawdopodobnie mogliśmy temu zapobiec,
gdybyśmy wiedzieli co tak naprawdę dzieje
się w naszej sieci”
“Nie jesteśmy w stanie stwierdzić jakich
aplikacji używają nasi pracownicy bez
wymuszenia polityk bezpośrednio na
urządzeniach co ograniczy ich efektywność i
kreatywność.”
“Nie wiemy czy pierwszy zaatakowany został
klient czy serwer”
“Brakuje nam danych historycznych – do
włamania mogło dojść nawet 3 lata temu”
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
13

14. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
14

15. 








© 2013 Cisco and/or its affiliates. All rights reserved.
Adres docelowy i źródłowy (IPv4/IPv6)
Port docelowy i źródłowy
Numer protokołu
DSCP
Interfejs wejściowy
Pole next-hop z BGP
Informacje z etykiety MPLS
Informacje o multicaście
Informacje z L2 (tag 802.1q, pole CoS, etc)
Cisco Public
15

16. • Narzędzie do zbierania informacji o ruchu w sieci IP w ujęciu sesji
danych (jednocześnie – protokół eksportowy)
NetFlow v5 i v9
• Coraz doskonalsze narzędzia opierające się o NetFlow połączony
z dodatkowymi algorytmami klasyfikacji aplikacji
(NBAR/NBAR2/AVC) pozwalają na szczegółowe rozliczanie i
monitoring – dla wielu równoczesnych odbiorców
np. dział bezpieczeństwa zbiera informacje o dużej ilości krótkich sesji
np. dział monitoringu zbiera informacje o skuteczności inżynierii ruchowej w
sieci
np. dział biznesowy otrzymuje informacje o krytycznych danych nowej aplikacji
działającej dla pewnej grupy klientów
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
16

17. 2
1
1
2
• Pola kluczowe są unikalne
Pola kluczowe
Źródłowe IP
1.1.1.1
Docelowe IP
2.2.2.2
Port źródłowy
23
Port docelowy
22078
Protokół L3
TCP - 6
Bajt ToS
dla danej sesji
Pakiet 1
0
1250
80
Port docelowy
22079
Protokół L3
TCP - 6
Bajt ToS
unikalne (nie istnieją do tej
pory w pamięci
podręcznej) – tworzony
jest nowy „flow” czyli sesja
4.4.4.4
Port źródłowy
• Jeśli pola kluczowe są
3.3.3.3
Docelowe IP
kluczowymi są atrybutami
danej sesji
Pakiet 2
Źródłowe IP
• Pola nie będące
Inne pola
Długość
Pola kluczowe
0
Inne pola
Długość
519
Netflow Cache After Packet 2
SRC IP
Netflow Cache After Packet 1
DST IP
IF
Protokół
ToS
…
Pkts
SRC IP
DST IP
IF
Protokół
ToS
…
Pkts
3.3.3.3
4.4.4.4
GE2/1
6
0
…
50
1.1.1.1
2.2.2.2
GE1/0
6
0
…
11000
1.1.1.1
2.2.2.2
GE1/1
6
0
…
11000
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
17

18. • Monitoring pracy sieci
• Profilowanie aplikacji
• Profilowanie użytkowników
• Rozliczanie i billing
• Zaawansowane analizy na zebranych do tej pory danych
• Bezpieczeństwo
Dużo lepsze narzędzie do specjalizowanego wykrywania ataków DDoS niż
SNMP czy liczniki w ACL
Wykrywanie anomalii w ruchu sieciowym, niekoniecznie związanych z
naruszeniem polityki bezpieczeństwa, ale podejrzanych (czas, wolumen,
natężenie)
Odtworzenie zdarzeń krok po kroku po włamaniu
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
18

19. Funkcje
NFv5
NFv9
Ustalony, niezmienny
Elastyczny
Źródłowy i docelowy adres
IPv4 oraz porty TCP/UDP
Tak
Tak
Ruch multicastowy
Nie
Tak
Identyfikacja aplikacji
Nie
Tak
Flagi TCP
Nie
Tak
IPv6
Nie
Tak
Tagi np. 802.1q lub MPLS
Nie
Tak
Wiele równoległych polityk na
jednym interfejsie
Nie
Tak
Format pakietu
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
19

20. Exporter
Eksport 1
IP = 10.0.0.1
Eksport 2
IP = 192.168.0.1
Record
Zestaw A
Zestaw B
Zestaw A
Monitor 1
(ruch
wchodzący)
Eksport 1
Eksport 2
Interfejs
Zestaw B
• Każdy monitor może
eksportować do wielu
zbierających (flow
export)
• Każdy monitor
skojarzony jest z jednym
kryterium zbierania (flow
record)
• Ruch można
monitorowac niezależnie
w obie strony
Monitor 2
(ruch
wychodzący)
Eksport 1
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
20

21. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
21

22. MGMT
Kolektor
https
https
Kolektor
Replikator
NetFlow
NetFlow
NBAR
Sensor
Sieć
© 2013 Cisco and/or its affiliates. All rights reserved.
NSEL
Sensor VE
Użytkownicy
Urządzenia
Cisco Public
22
22

23. Firewalle
Całkiem niezły
router
Kolektor
Router brzegowy
Mały router
Klasyczny router
Router agregacyjny
Routery na styku z
Internetem
Duży przełącznik
w Data Center
Duży router
Popularny router
Wsparcie
sprzętowe
Przełącznik
dostępowy
Przełączniki dystrybucyjne
Przełączniki rdzeniowe
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
23

24. 10.2.2.2
port 1024
Start Time
Interface
Src IP
10:20:12.221
eth0/1
10:20:12.871
eth0/2
Start Time
Client
IP
eth0/2
eth0/1
Rekordy
jednokierunkowe
10.1.1.1
port 80
Src Port
Dest IP
Dest Port Proto
Pkts Sent Bytes
Sent
10.2.2.2 1024
10.1.1.1
80
TCP
5
1025
10.1.1.1 80
10.2.2.2
1024
TCP
17
28712
Client Server IP Server Proto Client
Port
Port
Bytes
10:20:12.221 10.2.2.2 1024
10.1.1.1
80
TCP
1025
Client
Pkts
Server Server
Bytes Pkts
Interface
s
5
28712
eth0/1
eth0/2
17
Rekordy dwukierunkowe:
• Rekord konwersacji sieciowej
• Pozwala na sensowną wizualizację i analizę
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
24

25. 10.2.2.2
port 1024
Duplikaty
Router A: 10.2.2.2:1024 -> 10.1.1.1:80
Router B: 10.2.2.2:1024 -> 10.1.1.1:80
Router C: 10.1.1.1:80 -> 10.2.2.2:1024
Router B
Router C
Router A
• Bez deduplikacji:
• Wolumen ruchu nieprawidłowy
• False positives
• Efektywne składowanie danych przepływów
• Prawidłowe raportowanie per host
• Nie odrzuca zgromadzonych danych
© 2013 Cisco and/or its affiliates. All rights reserved.
10.1.1.1
port 80
Cisco Public
25

26. • Pre i Post NAT stitching
• Skrócenie czasu analizy
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
26

27. GDZIE
KIEDY
CO
JAK
KTO
Przełącznik z
Netflow
obsługiwanym
sprzętowo
Urządzenia
Sieć wewnętrzna
Kontekst
Cisco ISE
Cisco ASA +
NSEL
Cisco ISR G2
+ NBAR
Wykorzystanie NetFlow
by rozszerzyć
widoczność do warstwy
dostępowej
© 2013 Cisco and/or its affiliates. All rights reserved.
Wzbogacenie danych o
Flow o tożsamość
użytkownika i wiedzę o
aplikacji – tworzenie
kontekstu
Jedno narzędzie –
wykrywanie, dogłębna
analiza i raportowanie
Cisco Public
27

28. Kto to 10.10.101.89?
Policy
Start
Active
Time
Alarm
Source
Source
Host
Groups
Target
Details
Desktops
& Trusted
Wireless
Jan 3,
2013
Suspect
Data Loss
10.10.101
.89
Atlanta,
Desktops
Multiple
Hosts
Observed 5.33G
bytes. Policy
maximum allows up
to 500M bytes.
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
28

29. Atrybucja przepływów do urządzenia / użytkownika
Policy
Start
Active
Time
Alarm
Source
Source
Host
Groups
Source
User Name
Device
Type
Target
Desktops
&
Trusted
Wireless
Jan 3,
2013
Suspect
Data Loss
10.10.101
.89
Atlanta,
Desktops
John
Chambers
AppleiPad
Multiple
Hosts
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
29

30. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
30

31. High Concern Index wskazuje na znaczącą
ilość podejrzanych zdarzeń, które wykraczają
poza ustalone wzorce typowych zachowań
Host
Groups
Desktops
Host
CI
10.10.101.118 865,645,669
© 2013 Cisco and/or its affiliates. All rights reserved.
CI%
Alarms
Alerts
8,656
%
High Concern
Index
Ping, Ping_Scan,
TCP_Scan
Cisco Public
31

32. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
32
32

33. San Jose
RTP
Amsterdam
Tokyo
Bangalore
Sydney
15.6 miliardów flows / dzień
90-dniowa retencja danych
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
33

34. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
34

35. 2
1
• Ille jednoczesnych
flows
• Pakietów na
sekundę.
• Bitow na sekundę
• Nowo tworzonych
flow
• Ilość wysyłąnych
SYN
Zebranie i analiza Flow
• Pora dnia
• Ilość odbieranych
SYN
• Ilość resetowanych
połączeń
• Czas życia flow
• Ponad 80 innych
atrybutów
Ustalenie wzorców zachowań
3
Wartość
progowa
Serwery
krytyczne
Wartość
progowa
Wykrycie
anomalii w
zachowaniu
hosta
Wartość
progowa
Serwer
Exchange
Serwery
Web
Wartość
progowa
Marketing
Alarmowanie w przypadku anomalii i zmian
zachowania się
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
35

36. Długotrwałe i niespieszne
działania celem wykrycia
zasobów i podatności
Co jest analizowane:
• Duże ilości flow
• Informacje o dużej ilości danych
• Jednokierunkowe flow lub flow bez
odpowiedzi
• Flowy w podsieciach, grupach
hostów
• Flow do nieistniejących adresów IP
• Powtarzające się Flow
• Nietypowe zachowania
© 2013 Cisco and/or its affiliates. All rights reserved.
Metody wykrywania:
Concern Index
High Traffic
Trapped Hosts
Cisco Public
36

37. Wykryty host odpowiada i
następuje wykorzystanie
jego podatności
Co jest analizowane:
• Duże ilości flow
• Informacje o dużej ilości
danych
• Flowy w podsieciach,
grupach hostów
• Powtarzające się Flow
• Nietypowe zachowania
© 2013 Cisco and/or its affiliates. All rights reserved.
Metody wykrywania:
Concern Index, Target Index
Touched Host
Worm Propagation Alarm
Worm Tracker
Cisco Public
37

38. Priorytetyzacja
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
38

39. Cykliczna aktywność “phone
home”
Co jest analizowane:
• Kraje (geograficznie)
• Aplikacje
• Informacje o danych Upload i Download
• Pora/czas dnia
• Beaconing –
powtarzające się
połączenia
• Długotrwałe flowy
• Znane serwery C&C
© 2013 Cisco and/or its affiliates. All rights reserved.
Metody wykrywania:
Host Lock Violation
Suspect Long Flow
Beaconing Host
Bot Command & Control Server
Bot Infected Host – Attempted C&C
Bot Infected Host – Successful C&C
Cisco Public
39

40. Dane są eksportowane
Urządzenie
pośredniczące użyte
do ukrycia kradzieży
Co jest analizowane:
• Historyczne zachowanie
dotyczące transferu danych
• Aplikacje
• Pora/czas dnia
• Kraje (geograficznie)
• Wolumen danych –
pojedynczo i zagregowany
• Wzorce ruchu
asymetrycznego
• Ruch między grupami
funkcyjnymi
© 2013 Cisco and/or its affiliates. All rights reserved.
Metody wykrywania:
Suspect Data Loss Alarm
Suspect Long Flow Alarm
Beaconing Host Alarm
Cisco Public
40

41. Identyfikacja celów
•
Cel podejrzanych
aktywności
•
Nietypowy wolumen
ruchu
•
Spadek wydajności
Identyfikacja
atakujących
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
41

42. Urządzenia
Dostęp
Dystrybucja
Zarządzanie
Rdzeń
Oddział
FlowCollector
Catalyst®
3750-X
Access Point
Kolekcja i analiza
Rekordów NetFlow
Router
Switch
Stack
NetFlow
WLC
Access Point
Management
Console
Site-toSite
VPN
Sieć kampusowa
Switch
FW
Switch
Korelacja i wizualizacja
przepływów i tożsamości
Tożsamość
ISE
Core
Switch
Usługi AAA, profilowanie
i posture assessment
© 2013 Cisco and/or its affiliates. All rights reserved.
Core
Zdalny
Dostęp
Skalowalna
Infrastruktura NetFlow
Access Control,
Profiling i Posture
NetFlow Capable
Cisco Public
42

43. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
43

44. Kod promocyjny:
cisco2013
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
44