More Related Content
Similar to Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawel Mikolajczyk
Similar to Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawel Mikolajczyk (20)
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawel Mikolajczyk
- 1. Gaweł Mikołajczyk
gmikolaj@cisco.com
Security Technical Solutions Architect
CCIE #24987, CISSP-ISSAP, CISA, C|EH
Security B-Sides, 20 października 2013, Warszawa, Polska
© 2010 Cisco and/or its affiliates. All rights reserved.
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
1
- 2. Październik 2012
• Bezpieczeństwo IPv6
• Rekonesans IPv6
• IPv6 i IPSec
• Address Glean
• IPv6 Source Guard
• IPv6 RA Guard
• SLAAC
• CGA
• IPv6 DAD
• SeND
• IPv6 IPS
http://www.slideshare.net/gmikolaj/security-bsides-warsaw-2012bezpieczenstwo-ipv6-gawel-mikolajczyk
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
2
- 3. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
3
- 4. “
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
4
- 5. © 2013 Cisco and/or its affiliates. All rights reserved.
http://cisco.com/go/sba
Cisco Public
5
- 9. Kto?
• Państwo? Konkurencja?
Jednostka?
Co?
• Co jest celem?
Kiedy?
• Kiedy atakujący jest aktywny?
Gdzie?
• Gdzie jest atakujący?
Dlaczego?
Jak?
© 2013 Cisco and/or its affiliates. All rights reserved.
• Jaki jest jego cel?
• Zero-day? Known-passwords?
Insider?
Cisco Public
9
- 10. Kto?
• Jest w mojej sieci?
Co?
• Robią Twoi userzy? Aplikacje?
Zachowanie?
Kiedy?
• Urządzenie było w sieci? Czy to
normalne?
Gdzie?
• Uzyskiwany jest dostęp do sieci?
Dlaczego?
• Używają tej aplikacji / protokołu?
Jak?
© 2013 Cisco and/or its affiliates. All rights reserved.
• Dostają się do sieci?
Cisco Public
10
- 12. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
12
- 13. “Najprawdopodobniej do włamania doszło w
wyniku działania nieautoryzowanych aplikacji.
Badamy ten wątek.”
“Prawdopodobnie mogliśmy temu zapobiec,
gdybyśmy wiedzieli co tak naprawdę dzieje
się w naszej sieci”
“Nie jesteśmy w stanie stwierdzić jakich
aplikacji używają nasi pracownicy bez
wymuszenia polityk bezpośrednio na
urządzeniach co ograniczy ich efektywność i
kreatywność.”
“Nie wiemy czy pierwszy zaatakowany został
klient czy serwer”
“Brakuje nam danych historycznych – do
włamania mogło dojść nawet 3 lata temu”
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
13
- 14. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
14
- 15.
© 2013 Cisco and/or its affiliates. All rights reserved.
Adres docelowy i źródłowy (IPv4/IPv6)
Port docelowy i źródłowy
Numer protokołu
DSCP
Interfejs wejściowy
Pole next-hop z BGP
Informacje z etykiety MPLS
Informacje o multicaście
Informacje z L2 (tag 802.1q, pole CoS, etc)
Cisco Public
15
- 16. • Narzędzie do zbierania informacji o ruchu w sieci IP w ujęciu sesji
danych (jednocześnie – protokół eksportowy)
NetFlow v5 i v9
• Coraz doskonalsze narzędzia opierające się o NetFlow połączony
z dodatkowymi algorytmami klasyfikacji aplikacji
(NBAR/NBAR2/AVC) pozwalają na szczegółowe rozliczanie i
monitoring – dla wielu równoczesnych odbiorców
np. dział bezpieczeństwa zbiera informacje o dużej ilości krótkich sesji
np. dział monitoringu zbiera informacje o skuteczności inżynierii ruchowej w
sieci
np. dział biznesowy otrzymuje informacje o krytycznych danych nowej aplikacji
działającej dla pewnej grupy klientów
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
16
- 17. 2
1
1
2
• Pola kluczowe są unikalne
Pola kluczowe
Źródłowe IP
1.1.1.1
Docelowe IP
2.2.2.2
Port źródłowy
23
Port docelowy
22078
Protokół L3
TCP - 6
Bajt ToS
dla danej sesji
Pakiet 1
0
1250
80
Port docelowy
22079
Protokół L3
TCP - 6
Bajt ToS
unikalne (nie istnieją do tej
pory w pamięci
podręcznej) – tworzony
jest nowy „flow” czyli sesja
4.4.4.4
Port źródłowy
• Jeśli pola kluczowe są
3.3.3.3
Docelowe IP
kluczowymi są atrybutami
danej sesji
Pakiet 2
Źródłowe IP
• Pola nie będące
Inne pola
Długość
Pola kluczowe
0
Inne pola
Długość
519
Netflow Cache After Packet 2
SRC IP
Netflow Cache After Packet 1
DST IP
IF
Protokół
ToS
…
Pkts
SRC IP
DST IP
IF
Protokół
ToS
…
Pkts
3.3.3.3
4.4.4.4
GE2/1
6
0
…
50
1.1.1.1
2.2.2.2
GE1/0
6
0
…
11000
1.1.1.1
2.2.2.2
GE1/1
6
0
…
11000
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
17
- 18. • Monitoring pracy sieci
• Profilowanie aplikacji
• Profilowanie użytkowników
• Rozliczanie i billing
• Zaawansowane analizy na zebranych do tej pory danych
• Bezpieczeństwo
Dużo lepsze narzędzie do specjalizowanego wykrywania ataków DDoS niż
SNMP czy liczniki w ACL
Wykrywanie anomalii w ruchu sieciowym, niekoniecznie związanych z
naruszeniem polityki bezpieczeństwa, ale podejrzanych (czas, wolumen,
natężenie)
Odtworzenie zdarzeń krok po kroku po włamaniu
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
18
- 19. Funkcje
NFv5
NFv9
Ustalony, niezmienny
Elastyczny
Źródłowy i docelowy adres
IPv4 oraz porty TCP/UDP
Tak
Tak
Ruch multicastowy
Nie
Tak
Identyfikacja aplikacji
Nie
Tak
Flagi TCP
Nie
Tak
IPv6
Nie
Tak
Tagi np. 802.1q lub MPLS
Nie
Tak
Wiele równoległych polityk na
jednym interfejsie
Nie
Tak
Format pakietu
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
19
- 20. Exporter
Eksport 1
IP = 10.0.0.1
Eksport 2
IP = 192.168.0.1
Record
Zestaw A
Zestaw B
Zestaw A
Monitor 1
(ruch
wchodzący)
Eksport 1
Eksport 2
Interfejs
Zestaw B
• Każdy monitor może
eksportować do wielu
zbierających (flow
export)
• Każdy monitor
skojarzony jest z jednym
kryterium zbierania (flow
record)
• Ruch można
monitorowac niezależnie
w obie strony
Monitor 2
(ruch
wychodzący)
Eksport 1
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
20
- 21. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
21
- 23. Firewalle
Całkiem niezły
router
Kolektor
Router brzegowy
Mały router
Klasyczny router
Router agregacyjny
Routery na styku z
Internetem
Duży przełącznik
w Data Center
Duży router
Popularny router
Wsparcie
sprzętowe
Przełącznik
dostępowy
Przełączniki dystrybucyjne
Przełączniki rdzeniowe
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
23
- 24. 10.2.2.2
port 1024
Start Time
Interface
Src IP
10:20:12.221
eth0/1
10:20:12.871
eth0/2
Start Time
Client
IP
eth0/2
eth0/1
Rekordy
jednokierunkowe
10.1.1.1
port 80
Src Port
Dest IP
Dest Port Proto
Pkts Sent Bytes
Sent
10.2.2.2 1024
10.1.1.1
80
TCP
5
1025
10.1.1.1 80
10.2.2.2
1024
TCP
17
28712
Client Server IP Server Proto Client
Port
Port
Bytes
10:20:12.221 10.2.2.2 1024
10.1.1.1
80
TCP
1025
Client
Pkts
Server Server
Bytes Pkts
Interface
s
5
28712
eth0/1
eth0/2
17
Rekordy dwukierunkowe:
• Rekord konwersacji sieciowej
• Pozwala na sensowną wizualizację i analizę
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
24
- 25. 10.2.2.2
port 1024
Duplikaty
Router A: 10.2.2.2:1024 -> 10.1.1.1:80
Router B: 10.2.2.2:1024 -> 10.1.1.1:80
Router C: 10.1.1.1:80 -> 10.2.2.2:1024
Router B
Router C
Router A
• Bez deduplikacji:
• Wolumen ruchu nieprawidłowy
• False positives
• Efektywne składowanie danych przepływów
• Prawidłowe raportowanie per host
• Nie odrzuca zgromadzonych danych
© 2013 Cisco and/or its affiliates. All rights reserved.
10.1.1.1
port 80
Cisco Public
25
- 26. • Pre i Post NAT stitching
• Skrócenie czasu analizy
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
26
- 29. Atrybucja przepływów do urządzenia / użytkownika
Policy
Start
Active
Time
Alarm
Source
Source
Host
Groups
Source
User Name
Device
Type
Target
Desktops
&
Trusted
Wireless
Jan 3,
2013
Suspect
Data Loss
10.10.101
.89
Atlanta,
Desktops
John
Chambers
AppleiPad
Multiple
Hosts
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
29
- 30. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
30
- 31. High Concern Index wskazuje na znaczącą
ilość podejrzanych zdarzeń, które wykraczają
poza ustalone wzorce typowych zachowań
Host
Groups
Desktops
Host
CI
10.10.101.118 865,645,669
© 2013 Cisco and/or its affiliates. All rights reserved.
CI%
Alarms
Alerts
8,656
%
High Concern
Index
Ping, Ping_Scan,
TCP_Scan
Cisco Public
31
- 32. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
32
32
- 34. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
34
- 35. 2
1
• Ille jednoczesnych
flows
• Pakietów na
sekundę.
• Bitow na sekundę
• Nowo tworzonych
flow
• Ilość wysyłąnych
SYN
Zebranie i analiza Flow
• Pora dnia
• Ilość odbieranych
SYN
• Ilość resetowanych
połączeń
• Czas życia flow
• Ponad 80 innych
atrybutów
Ustalenie wzorców zachowań
3
Wartość
progowa
Serwery
krytyczne
Wartość
progowa
Wykrycie
anomalii w
zachowaniu
hosta
Wartość
progowa
Serwer
Exchange
Serwery
Web
Wartość
progowa
Marketing
Alarmowanie w przypadku anomalii i zmian
zachowania się
© 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
35
- 36. Długotrwałe i niespieszne
działania celem wykrycia
zasobów i podatności
Co jest analizowane:
• Duże ilości flow
• Informacje o dużej ilości danych
• Jednokierunkowe flow lub flow bez
odpowiedzi
• Flowy w podsieciach, grupach
hostów
• Flow do nieistniejących adresów IP
• Powtarzające się Flow
• Nietypowe zachowania
© 2013 Cisco and/or its affiliates. All rights reserved.
Metody wykrywania:
Concern Index
High Traffic
Trapped Hosts
Cisco Public
36
- 37. Wykryty host odpowiada i
następuje wykorzystanie
jego podatności
Co jest analizowane:
• Duże ilości flow
• Informacje o dużej ilości
danych
• Flowy w podsieciach,
grupach hostów
• Powtarzające się Flow
• Nietypowe zachowania
© 2013 Cisco and/or its affiliates. All rights reserved.
Metody wykrywania:
Concern Index, Target Index
Touched Host
Worm Propagation Alarm
Worm Tracker
Cisco Public
37
- 39. Cykliczna aktywność “phone
home”
Co jest analizowane:
• Kraje (geograficznie)
• Aplikacje
• Informacje o danych Upload i Download
• Pora/czas dnia
• Beaconing –
powtarzające się
połączenia
• Długotrwałe flowy
• Znane serwery C&C
© 2013 Cisco and/or its affiliates. All rights reserved.
Metody wykrywania:
Host Lock Violation
Suspect Long Flow
Beaconing Host
Bot Command & Control Server
Bot Infected Host – Attempted C&C
Bot Infected Host – Successful C&C
Cisco Public
39
- 40. Dane są eksportowane
Urządzenie
pośredniczące użyte
do ukrycia kradzieży
Co jest analizowane:
• Historyczne zachowanie
dotyczące transferu danych
• Aplikacje
• Pora/czas dnia
• Kraje (geograficznie)
• Wolumen danych –
pojedynczo i zagregowany
• Wzorce ruchu
asymetrycznego
• Ruch między grupami
funkcyjnymi
© 2013 Cisco and/or its affiliates. All rights reserved.
Metody wykrywania:
Suspect Data Loss Alarm
Suspect Long Flow Alarm
Beaconing Host Alarm
Cisco Public
40
- 42. Urządzenia
Dostęp
Dystrybucja
Zarządzanie
Rdzeń
Oddział
FlowCollector
Catalyst®
3750-X
Access Point
Kolekcja i analiza
Rekordów NetFlow
Router
Switch
Stack
NetFlow
WLC
Access Point
Management
Console
Site-toSite
VPN
Sieć kampusowa
Switch
FW
Switch
Korelacja i wizualizacja
przepływów i tożsamości
Tożsamość
ISE
Core
Switch
Usługi AAA, profilowanie
i posture assessment
© 2013 Cisco and/or its affiliates. All rights reserved.
Core
Zdalny
Dostęp
Skalowalna
Infrastruktura NetFlow
Access Control,
Profiling i Posture
NetFlow Capable
Cisco Public
42
- 43. © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Public
43