Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Gaweł Mikołajczyk
gmikolaj@cisco.com
Security Technical Solutions Architect
CCIE #24987, CISSP-ISSAP, CISA, C|EH

Security...
Październik 2012

• Bezpieczeństwo IPv6
• Rekonesans IPv6
• IPv6 i IPSec
• Address Glean
• IPv6 Source Guard
• IPv6 RA Gua...
© 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

3
“

© 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

4
© 2013 Cisco and/or its affiliates. All rights reserved.

http://cisco.com/go/sba

Cisco Public

5
Działania
segmentowe

Utrzymanie
systemu

Początkowy
rekonesans

Pierwsze
skompromitowanie
hosta

Zdobycie
przyczółka

Wew...
1.
Command
and Control

Wykrywanie
Switche

2.
Rekonesans

Routery
Firewall
IPS

N-AV

Web Sec

Email Sec

3.Propagacja

©...
1.
Command
and Control

Wykrywanie
Switche

2.
Rekonesans

Routery
Firewall
IPS

N-AV

Web Sec

Email Sec

3.Propagacja

©...
Kto?

• Państwo? Konkurencja?
Jednostka?

Co?

• Co jest celem?

Kiedy?

• Kiedy atakujący jest aktywny?

Gdzie?

• Gdzie ...
Kto?

• Jest w mojej sieci?

Co?

• Robią Twoi userzy? Aplikacje?
Zachowanie?

Kiedy?

• Urządzenie było w sieci? Czy to
n...
Billing
telefoniczny

Rekordy
Flow
© 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

11
© 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

12
“Najprawdopodobniej do włamania doszło w
wyniku działania nieautoryzowanych aplikacji.
Badamy ten wątek.”
“Prawdopodobnie ...
© 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

14









© 2013 Cisco and/or its affiliates. All rights reserved.

Adres docelowy i źródłowy (IPv4/IPv6)
Port doc...
• Narzędzie do zbierania informacji o ruchu w sieci IP w ujęciu sesji

danych (jednocześnie – protokół eksportowy)
NetFlow...
2

1

1

2
• Pola kluczowe są unikalne

Pola kluczowe
Źródłowe IP

1.1.1.1

Docelowe IP

2.2.2.2

Port źródłowy

23

Port ...
• Monitoring pracy sieci
• Profilowanie aplikacji
• Profilowanie użytkowników

• Rozliczanie i billing
• Zaawansowane anal...
Funkcje

NFv5

NFv9

Ustalony, niezmienny

Elastyczny

Źródłowy i docelowy adres
IPv4 oraz porty TCP/UDP

Tak

Tak

Ruch m...
Exporter

Eksport 1
IP = 10.0.0.1

Eksport 2
IP = 192.168.0.1

Record

Zestaw A

Zestaw B

Zestaw A
Monitor 1
(ruch
wchodz...
© 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

21
MGMT

Kolektor

https

https

Kolektor

Replikator

NetFlow
NetFlow

NBAR
Sensor

Sieć
© 2013 Cisco and/or its affiliates....
Firewalle

Całkiem niezły
router

Kolektor

Router brzegowy

Mały router

Klasyczny router

Router agregacyjny

Routery na...
10.2.2.2
port 1024

Start Time

Interface

Src IP

10:20:12.221

eth0/1

10:20:12.871

eth0/2

Start Time

Client
IP

eth0...
10.2.2.2
port 1024

Duplikaty
Router A: 10.2.2.2:1024 -> 10.1.1.1:80
Router B: 10.2.2.2:1024 -> 10.1.1.1:80
Router C: 10.1...
• Pre i Post NAT stitching
• Skrócenie czasu analizy

© 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Publ...
GDZIE
KIEDY

CO

JAK

KTO
Przełącznik z
Netflow
obsługiwanym
sprzętowo

Urządzenia

Sieć wewnętrzna

Kontekst
Cisco ISE

C...
Kto to 10.10.101.89?

Policy

Start
Active
Time

Alarm

Source

Source
Host
Groups

Target

Details

Desktops
& Trusted
Wi...
Atrybucja przepływów do urządzenia / użytkownika

Policy

Start
Active
Time

Alarm

Source

Source
Host
Groups

Source
Use...
© 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

30
High Concern Index wskazuje na znaczącą
ilość podejrzanych zdarzeń, które wykraczają
poza ustalone wzorce typowych zachowa...
© 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

32

32
San Jose

RTP

Amsterdam
Tokyo
Bangalore

Sydney

15.6 miliardów flows / dzień
90-dniowa retencja danych
© 2013 Cisco and/...
© 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

34
2

1

• Ille jednoczesnych
flows
• Pakietów na
sekundę.
• Bitow na sekundę
• Nowo tworzonych
flow
• Ilość wysyłąnych
SYN

...
Długotrwałe i niespieszne
działania celem wykrycia
zasobów i podatności

Co jest analizowane:
• Duże ilości flow
• Informa...
Wykryty host odpowiada i
następuje wykorzystanie
jego podatności

Co jest analizowane:
• Duże ilości flow
• Informacje o d...
Priorytetyzacja

© 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

38
Cykliczna aktywność “phone
home”

Co jest analizowane:
• Kraje (geograficznie)
• Aplikacje
• Informacje o danych Upload i ...
Dane są eksportowane
Urządzenie
pośredniczące użyte
do ukrycia kradzieży

Co jest analizowane:
• Historyczne zachowanie
do...
Identyfikacja celów
•
Cel podejrzanych
aktywności
•
Nietypowy wolumen
ruchu
•
Spadek wydajności

Identyfikacja
atakujących...
Urządzenia

Dostęp

Dystrybucja

Zarządzanie

Rdzeń

Oddział

FlowCollector

Catalyst®
3750-X
Access Point

Kolekcja i ana...
© 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

43
Kod promocyjny:

cisco2013

© 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

44
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawel Mikolajczyk
Upcoming SlideShare
Loading in …5
×

Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawel Mikolajczyk

703 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawel Mikolajczyk

  1. 1. Gaweł Mikołajczyk gmikolaj@cisco.com Security Technical Solutions Architect CCIE #24987, CISSP-ISSAP, CISA, C|EH Security B-Sides, 20 października 2013, Warszawa, Polska © 2010 Cisco and/or its affiliates. All rights reserved. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 1
  2. 2. Październik 2012 • Bezpieczeństwo IPv6 • Rekonesans IPv6 • IPv6 i IPSec • Address Glean • IPv6 Source Guard • IPv6 RA Guard • SLAAC • CGA • IPv6 DAD • SeND • IPv6 IPS http://www.slideshare.net/gmikolaj/security-bsides-warsaw-2012bezpieczenstwo-ipv6-gawel-mikolajczyk © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
  3. 3. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 3
  4. 4. “ © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
  5. 5. © 2013 Cisco and/or its affiliates. All rights reserved. http://cisco.com/go/sba Cisco Public 5
  6. 6. Działania segmentowe Utrzymanie systemu Początkowy rekonesans Pierwsze skompromitowanie hosta Zdobycie przyczółka Wewnętrzny rekonesans Eskalacja uprawnień Zakończenie misji Mandiant APT1 Report: http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf Kill Chain: http://bit.ly/killchain © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 6
  7. 7. 1. Command and Control Wykrywanie Switche 2. Rekonesans Routery Firewall IPS N-AV Web Sec Email Sec 3.Propagacja © 2013 Cisco and/or its affiliates. All rights reserved. 4. Kradzież danych Cisco Public 7
  8. 8. 1. Command and Control Wykrywanie Switche 2. Rekonesans Routery Firewall IPS N-AV Web Sec Email Sec 3.Propagacja © 2013 Cisco and/or its affiliates. All rights reserved. 4. Kradzież danych Cisco Public 8
  9. 9. Kto? • Państwo? Konkurencja? Jednostka? Co? • Co jest celem? Kiedy? • Kiedy atakujący jest aktywny? Gdzie? • Gdzie jest atakujący? Dlaczego? Jak? © 2013 Cisco and/or its affiliates. All rights reserved. • Jaki jest jego cel? • Zero-day? Known-passwords? Insider? Cisco Public 9
  10. 10. Kto? • Jest w mojej sieci? Co? • Robią Twoi userzy? Aplikacje? Zachowanie? Kiedy? • Urządzenie było w sieci? Czy to normalne? Gdzie? • Uzyskiwany jest dostęp do sieci? Dlaczego? • Używają tej aplikacji / protokołu? Jak? © 2013 Cisco and/or its affiliates. All rights reserved. • Dostają się do sieci? Cisco Public 10
  11. 11. Billing telefoniczny Rekordy Flow © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 11
  12. 12. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 12
  13. 13. “Najprawdopodobniej do włamania doszło w wyniku działania nieautoryzowanych aplikacji. Badamy ten wątek.” “Prawdopodobnie mogliśmy temu zapobiec, gdybyśmy wiedzieli co tak naprawdę dzieje się w naszej sieci” “Nie jesteśmy w stanie stwierdzić jakich aplikacji używają nasi pracownicy bez wymuszenia polityk bezpośrednio na urządzeniach co ograniczy ich efektywność i kreatywność.” “Nie wiemy czy pierwszy zaatakowany został klient czy serwer” “Brakuje nam danych historycznych – do włamania mogło dojść nawet 3 lata temu” © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
  14. 14. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 14
  15. 15.          © 2013 Cisco and/or its affiliates. All rights reserved. Adres docelowy i źródłowy (IPv4/IPv6) Port docelowy i źródłowy Numer protokołu DSCP Interfejs wejściowy Pole next-hop z BGP Informacje z etykiety MPLS Informacje o multicaście Informacje z L2 (tag 802.1q, pole CoS, etc) Cisco Public 15
  16. 16. • Narzędzie do zbierania informacji o ruchu w sieci IP w ujęciu sesji danych (jednocześnie – protokół eksportowy) NetFlow v5 i v9 • Coraz doskonalsze narzędzia opierające się o NetFlow połączony z dodatkowymi algorytmami klasyfikacji aplikacji (NBAR/NBAR2/AVC) pozwalają na szczegółowe rozliczanie i monitoring – dla wielu równoczesnych odbiorców np. dział bezpieczeństwa zbiera informacje o dużej ilości krótkich sesji np. dział monitoringu zbiera informacje o skuteczności inżynierii ruchowej w sieci np. dział biznesowy otrzymuje informacje o krytycznych danych nowej aplikacji działającej dla pewnej grupy klientów © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 16
  17. 17. 2 1 1 2 • Pola kluczowe są unikalne Pola kluczowe Źródłowe IP 1.1.1.1 Docelowe IP 2.2.2.2 Port źródłowy 23 Port docelowy 22078 Protokół L3 TCP - 6 Bajt ToS dla danej sesji Pakiet 1 0 1250 80 Port docelowy 22079 Protokół L3 TCP - 6 Bajt ToS unikalne (nie istnieją do tej pory w pamięci podręcznej) – tworzony jest nowy „flow” czyli sesja 4.4.4.4 Port źródłowy • Jeśli pola kluczowe są 3.3.3.3 Docelowe IP kluczowymi są atrybutami danej sesji Pakiet 2 Źródłowe IP • Pola nie będące Inne pola Długość Pola kluczowe 0 Inne pola Długość 519 Netflow Cache After Packet 2 SRC IP Netflow Cache After Packet 1 DST IP IF Protokół ToS … Pkts SRC IP DST IP IF Protokół ToS … Pkts 3.3.3.3 4.4.4.4 GE2/1 6 0 … 50 1.1.1.1 2.2.2.2 GE1/0 6 0 … 11000 1.1.1.1 2.2.2.2 GE1/1 6 0 … 11000 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 17
  18. 18. • Monitoring pracy sieci • Profilowanie aplikacji • Profilowanie użytkowników • Rozliczanie i billing • Zaawansowane analizy na zebranych do tej pory danych • Bezpieczeństwo Dużo lepsze narzędzie do specjalizowanego wykrywania ataków DDoS niż SNMP czy liczniki w ACL Wykrywanie anomalii w ruchu sieciowym, niekoniecznie związanych z naruszeniem polityki bezpieczeństwa, ale podejrzanych (czas, wolumen, natężenie) Odtworzenie zdarzeń krok po kroku po włamaniu © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
  19. 19. Funkcje NFv5 NFv9 Ustalony, niezmienny Elastyczny Źródłowy i docelowy adres IPv4 oraz porty TCP/UDP Tak Tak Ruch multicastowy Nie Tak Identyfikacja aplikacji Nie Tak Flagi TCP Nie Tak IPv6 Nie Tak Tagi np. 802.1q lub MPLS Nie Tak Wiele równoległych polityk na jednym interfejsie Nie Tak Format pakietu © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 19
  20. 20. Exporter Eksport 1 IP = 10.0.0.1 Eksport 2 IP = 192.168.0.1 Record Zestaw A Zestaw B Zestaw A Monitor 1 (ruch wchodzący) Eksport 1 Eksport 2 Interfejs Zestaw B • Każdy monitor może eksportować do wielu zbierających (flow export) • Każdy monitor skojarzony jest z jednym kryterium zbierania (flow record) • Ruch można monitorowac niezależnie w obie strony Monitor 2 (ruch wychodzący) Eksport 1 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 20
  21. 21. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
  22. 22. MGMT Kolektor https https Kolektor Replikator NetFlow NetFlow NBAR Sensor Sieć © 2013 Cisco and/or its affiliates. All rights reserved. NSEL Sensor VE Użytkownicy Urządzenia Cisco Public 22 22
  23. 23. Firewalle Całkiem niezły router Kolektor Router brzegowy Mały router Klasyczny router Router agregacyjny Routery na styku z Internetem Duży przełącznik w Data Center Duży router Popularny router Wsparcie sprzętowe Przełącznik dostępowy Przełączniki dystrybucyjne Przełączniki rdzeniowe © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 23
  24. 24. 10.2.2.2 port 1024 Start Time Interface Src IP 10:20:12.221 eth0/1 10:20:12.871 eth0/2 Start Time Client IP eth0/2 eth0/1 Rekordy jednokierunkowe 10.1.1.1 port 80 Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 Client Server IP Server Proto Client Port Port Bytes 10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 Client Pkts Server Server Bytes Pkts Interface s 5 28712 eth0/1 eth0/2 17 Rekordy dwukierunkowe: • Rekord konwersacji sieciowej • Pozwala na sensowną wizualizację i analizę © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 24
  25. 25. 10.2.2.2 port 1024 Duplikaty Router A: 10.2.2.2:1024 -> 10.1.1.1:80 Router B: 10.2.2.2:1024 -> 10.1.1.1:80 Router C: 10.1.1.1:80 -> 10.2.2.2:1024 Router B Router C Router A • Bez deduplikacji: • Wolumen ruchu nieprawidłowy • False positives • Efektywne składowanie danych przepływów • Prawidłowe raportowanie per host • Nie odrzuca zgromadzonych danych © 2013 Cisco and/or its affiliates. All rights reserved. 10.1.1.1 port 80 Cisco Public 25
  26. 26. • Pre i Post NAT stitching • Skrócenie czasu analizy © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 26
  27. 27. GDZIE KIEDY CO JAK KTO Przełącznik z Netflow obsługiwanym sprzętowo Urządzenia Sieć wewnętrzna Kontekst Cisco ISE Cisco ASA + NSEL Cisco ISR G2 + NBAR Wykorzystanie NetFlow by rozszerzyć widoczność do warstwy dostępowej © 2013 Cisco and/or its affiliates. All rights reserved. Wzbogacenie danych o Flow o tożsamość użytkownika i wiedzę o aplikacji – tworzenie kontekstu Jedno narzędzie – wykrywanie, dogłębna analiza i raportowanie Cisco Public 27
  28. 28. Kto to 10.10.101.89? Policy Start Active Time Alarm Source Source Host Groups Target Details Desktops & Trusted Wireless Jan 3, 2013 Suspect Data Loss 10.10.101 .89 Atlanta, Desktops Multiple Hosts Observed 5.33G bytes. Policy maximum allows up to 500M bytes. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 28
  29. 29. Atrybucja przepływów do urządzenia / użytkownika Policy Start Active Time Alarm Source Source Host Groups Source User Name Device Type Target Desktops & Trusted Wireless Jan 3, 2013 Suspect Data Loss 10.10.101 .89 Atlanta, Desktops John Chambers AppleiPad Multiple Hosts © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 29
  30. 30. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 30
  31. 31. High Concern Index wskazuje na znaczącą ilość podejrzanych zdarzeń, które wykraczają poza ustalone wzorce typowych zachowań Host Groups Desktops Host CI 10.10.101.118 865,645,669 © 2013 Cisco and/or its affiliates. All rights reserved. CI% Alarms Alerts 8,656 % High Concern Index Ping, Ping_Scan, TCP_Scan Cisco Public 31
  32. 32. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 32 32
  33. 33. San Jose RTP Amsterdam Tokyo Bangalore Sydney 15.6 miliardów flows / dzień 90-dniowa retencja danych © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 33
  34. 34. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 34
  35. 35. 2 1 • Ille jednoczesnych flows • Pakietów na sekundę. • Bitow na sekundę • Nowo tworzonych flow • Ilość wysyłąnych SYN Zebranie i analiza Flow • Pora dnia • Ilość odbieranych SYN • Ilość resetowanych połączeń • Czas życia flow • Ponad 80 innych atrybutów Ustalenie wzorców zachowań 3 Wartość progowa Serwery krytyczne Wartość progowa Wykrycie anomalii w zachowaniu hosta Wartość progowa Serwer Exchange Serwery Web Wartość progowa Marketing Alarmowanie w przypadku anomalii i zmian zachowania się © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 35
  36. 36. Długotrwałe i niespieszne działania celem wykrycia zasobów i podatności Co jest analizowane: • Duże ilości flow • Informacje o dużej ilości danych • Jednokierunkowe flow lub flow bez odpowiedzi • Flowy w podsieciach, grupach hostów • Flow do nieistniejących adresów IP • Powtarzające się Flow • Nietypowe zachowania © 2013 Cisco and/or its affiliates. All rights reserved. Metody wykrywania: Concern Index High Traffic Trapped Hosts Cisco Public 36
  37. 37. Wykryty host odpowiada i następuje wykorzystanie jego podatności Co jest analizowane: • Duże ilości flow • Informacje o dużej ilości danych • Flowy w podsieciach, grupach hostów • Powtarzające się Flow • Nietypowe zachowania © 2013 Cisco and/or its affiliates. All rights reserved. Metody wykrywania: Concern Index, Target Index Touched Host Worm Propagation Alarm Worm Tracker Cisco Public 37
  38. 38. Priorytetyzacja © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 38
  39. 39. Cykliczna aktywność “phone home” Co jest analizowane: • Kraje (geograficznie) • Aplikacje • Informacje o danych Upload i Download • Pora/czas dnia • Beaconing – powtarzające się połączenia • Długotrwałe flowy • Znane serwery C&C © 2013 Cisco and/or its affiliates. All rights reserved. Metody wykrywania: Host Lock Violation Suspect Long Flow Beaconing Host Bot Command & Control Server Bot Infected Host – Attempted C&C Bot Infected Host – Successful C&C Cisco Public 39
  40. 40. Dane są eksportowane Urządzenie pośredniczące użyte do ukrycia kradzieży Co jest analizowane: • Historyczne zachowanie dotyczące transferu danych • Aplikacje • Pora/czas dnia • Kraje (geograficznie) • Wolumen danych – pojedynczo i zagregowany • Wzorce ruchu asymetrycznego • Ruch między grupami funkcyjnymi © 2013 Cisco and/or its affiliates. All rights reserved. Metody wykrywania: Suspect Data Loss Alarm Suspect Long Flow Alarm Beaconing Host Alarm Cisco Public 40
  41. 41. Identyfikacja celów • Cel podejrzanych aktywności • Nietypowy wolumen ruchu • Spadek wydajności Identyfikacja atakujących © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 41
  42. 42. Urządzenia Dostęp Dystrybucja Zarządzanie Rdzeń Oddział FlowCollector Catalyst® 3750-X Access Point Kolekcja i analiza Rekordów NetFlow Router Switch Stack NetFlow WLC Access Point Management Console Site-toSite VPN Sieć kampusowa Switch FW Switch Korelacja i wizualizacja przepływów i tożsamości Tożsamość ISE Core Switch Usługi AAA, profilowanie i posture assessment © 2013 Cisco and/or its affiliates. All rights reserved. Core Zdalny Dostęp Skalowalna Infrastruktura NetFlow Access Control, Profiling i Posture NetFlow Capable Cisco Public 42
  43. 43. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 43
  44. 44. Kod promocyjny: cisco2013 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 44

×