SlideShare a Scribd company logo

PLNOG 18 - Maciej Flak - Network as a Sensor czyli wykorzystanie NetFlow do monitoringu bezpieczeństwa w sieci

PROIDEA
PROIDEA

YouTube: https://www.youtube.com/watch?v=xcA-rqwFMYU&list=PLnKL6-WWWE_VNp6tUznu7Ca8hBF8yjKj2&index=50

Technology
1 of 33
Download to read offline
Maciej Flak, CCIE maflak@cisco.com Marzec, 2017 Network as a Sensor czyli wykorzystanie NetFlow do monitoringu bezpieczeństwa w sieci
Agenda • Sieć jako narzędzie bezpieczeństwa • NetFlow • Cisco StealthWatch • Demo • Podsumowanie
Sieć jako narzędzie bezpieczeństwa
Sieć przedsiębiorstwa Atakujący Brzeg sieci (w kierunku do wewnątrz) Brzeg sieci (w kierunku na zewnątrz) Infiltracja i aktywacja „backdoor”1 Serwer C2 Stacja administratora Rekonesans i rozprzestrzenianie się2 Eksploatacja podatności i podniesienie uprawnień 3 Poszukiwanie wrażliwych danych (powtórz 2,3,4) 4 Wyciek danych 5 Anatomia udanego ataku
Zarządzanie incydentem bezpieczeństwa Przed Przygotowanie Identyfikacja IoC Wymuś Zabezpiecz Po Podnieś się Odtwórz Wyciągnij wnioski Fazy ataku Wykryj Powstrzymaj Ogranicz W trakcie
NetFlow i inne źródła danych telemetrycznych SYSLOG Parse+Format NetFlow Packet Capture SNMP Server Logs Host Logs Malware Exploits Executables Threat Intelligence Feeds Context Enrichment Analitics Reports
Network as a Sensor Wykrywanie anomalii w ruchu sieciowym dzięki NetFlow Addr_Scan/tcp Addr_Scan/udp Bad_Flag_ACK** Beaconing Host Bot Command Control Server Bot Infected Host - Attempted Bot Infected Host - Successful Flow_Denied . . ICMP Flood . . Max Flows Initiated Max Flows Served . Suspect Long Flow Suspect UDP Activity SYN Flood . Zdarzenia bezpiecz. (94+) Kategorie alarmów Concern Exfiltration C&C Recon Data Hoarding Exploitation DDoS Target
NetFlow
NetFlow 10.2.2.2 port 1024 10.1.1.1 port 80 eth0/1 eth0/2 Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent SGT DGT TCP Flags 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 SYN,ACK,PSH 10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 1010 100 SYN,ACK,FIN Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent SGT DGT TCP Flags 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 SYN,ACK,PSH
NetFlow: Pola kluczowe vs. pola niekluczowe Pola-kluczowe Pakiet #1 Source IP 1.1.1.1 Destination IP 2.2.2.2 Source port 23 Destination port 22078 Layer 3 Protocol TCP - 6 TOS Byte 0 Pola niekluczowe Pakiet #1 Length 1250 12 12 Pola-kluczowe Pakiet #2 Source IP 3.3.3.3 Destination IP 4.4.4.4 Source port 80 Destination port 22079 Layer 3 Protocol TCP - 6 TOS Byte 0 Pola niekluczowe Pakiet #2 Length 519 Source IP Dest. IP Dest. I/F Protocol TOS … Pkts 1.1.1.1 2.2.2.2 E1 6 0 … 11000 Source IP Dest. IP Dest. I/F Protocol TOS … Pkts 1.1.1.1 2.2.2.2 E1 6 0 … 11000 Netflow Cache po przesłaniu pakietu #1 Netflow Cache po przesłaniu pakietu #2 3.3.3.3 4.4.4.4 E1 6 0 … 50 Pola kluczowe Definiują różne unikalne rekordy NetFlow Pola niekluczowe zbierane dla celów telemetrycznych
Dane telemetryczne NetFlow = widoczność Router# show flow monitor CYBER-MONITOR cache … IPV4 SOURCE ADDRESS: 192.168.100.100 IPV4 DESTINATION ADDRESS: 192.168.20.6 TRNS SOURCE PORT: 47321 TRNS DESTINATION PORT: 443 INTERFACE INPUT: Gi0/0/0 IP TOS: 0x00 IP PROTOCOL: 6 ipv4 next hop address: 192.168.20.6 tcp flags: 0x1A interface output: Gi0/1.20 counter bytes: 1482 counter packets: 23 timestamp first: 12:33:53.358 timestamp last: 12:33:53.370 ip dscp: 0x00 ip ttl min: 127 ip ttl max: 127 application name: nbar secure-http … Pojedyczny rekord danych NetFlow dostarcza bardzo dużo informacji
Wersje NetFlow Version Major Advantage Limits/Weaknesses V5 Defines 18 exported fields Simple and compact format Most commonly used format IPv4 only Fixed fields, fixed length fields only Single flow cache V9 Template-based IPv6 flows transported in IPv4 packets MPLS and BGP nexthop supported Defines 104 fields, including L2 fields Reports flow direction IPv6 flows transported in IPv4 packets Fixed length fields only Uses more memory Slower performance Single flow cache Flexible NetFlow (FNF) Template-based flow format (built on V9 protocol) Supports flow monitors (discrete caches) Supports selectable key fields and IPv6 Supports NBAR data fields Less common Requires more sophisticated platform to produce Requires more sophisticated system to consume IP Flow Information Export (IPFIX) AKA NetFlow V10 Standardized – RFC 5101, 5102, 6313 Supports variable length fields, NBAR2 Can export flows via IPv4 and IPv6 packets Even less common Only supported on a few Cisco platforms NSEL (ASA only) Built on NetFlow v9 protocol State-based flow logging (context) Pre and Post NAT reporting Missing many standard fields Limited support by collectors
Key Fields Packet #1 Source IP 10.1.1.1 Destination IP 173.194.34.134 Source Port 20457 Destination Port 23 Layer 3 protocol 6 TOS byte 0 Ingres Interface Ethernet 0 Src. IP Dest. IP Src. Port Dest. Port Layer 3 Prot. TOS Byte Ingress Intf. 10.1.1.1 173.194.34.134. 20457 80 6 0 Ethernet 0 Key Fields Packet #2 Source IP 10.1.1.1 Destination IP 72.163.4.161 Source Port 30307 Destination Port 80 Layer 3 protocol 6 TOS byte 0 Ingres Interface Ethernet 0 Src. IP Dest. IP Src. Port Dest. Port Layer 3 Prot. TOS Byte Ingress Intf. App Name Timesta mps Byttes Packets 10.1.1.1 173.194.34.134 20457 80 6 0 Ethernet 0 HTTP 10.1.1.1 72.163.4.161 30307 80 6 0 Ethernet 0 Youtube NetFlow cache News Flexible NetFlow – Integracja z NBAR flow record app_record match ipv4 source address match ipv4 destination address match ….. match application name First packet of a flow will create the Flow entry using the Key Fields” Remaining packets of this flow will only update statistics (bytes, counters, timestamps) DEVNET-204718
Source IP Dest. IP Source Port Dest. Port Protocol TOS Input I/F … Pkts 3.3.3.3 2.2.2.2 23 22078 6 0 E0 … 1100 Traffic Analysis Cache Flow Monitor 1 Traffic Non-Key Fields Packets Bytes Timestamps Next Hop Address Security Analysis Cache Flow Monitor 2 Flexible NetFlow – unikalne pola kluczowe Key Fields Packet 1 Source IP 3.3.3.3 Destination IP 2.2.2.2 Source Port 23 Destination Port 22078 Layer 3 Protocol TCP - 6 TOS Byte 0 Input Interface Ethernet 0 Key Fields Packet 1 Source IP 3.3.3.3 Destination IP 2.2.2.2 Input Interface Gi0/1 Non-Key Fields Packets Timestamps Source IP Dest. IP Input I/F … Pkts 3.3.3.3 2.2.2.2 Gi0/1 … 11000 DEVNET-2047 19
Where do I want my data sent? What data do I want to meter? Creates a new NetFlow cache Attach the flow record Exporter is attached to the cache Potential sampling configuration Configure NetFlow on the interface flow exporter my-exporter destination 1.1.1.1 flow record my-record match ipv4 destination address match ipv4 source address collect counter bytes flow monitor my-monitor exporter my-exporter record my-record int s3/0 ip flow monitor my-monitor input Flexible NetFlow – konfiguracja Configure the Exporter Configure the Flow Record Configure the Flow Monitor Configure the interface DEVNET-2047 20
FNF – pola wymagane przez StealthWatch The fields marked with required below, are fields required for StealthWatch to accept and build a flow record.
„Sampled” vs „Full NetFlow” dla celów analizy bezpieczeństwa „Sampled NetFlow” • Wycinek ruchu, zwykle mnie niż 5%, • Wystarczające do wykrycia dużego ataku DDoS ale nie rozproszonych, powolnych ataków np. wycieku danych, rekonesansu itd. Rekordy NetFlow generowane przez CPU „Full NetFlow” • Cały ruch jest obserwowany, • Odpowiednie dla wykrywania wszystkich typów ataków w tym powolnych, rozproszonych ataków sieciowych Rekordy NetFlow generowane przez układy ASIC ZALECANE
Network as a Sensor Bezpieczeństwo poprzez wykorzystanie NetFlow i systemu Cisco StealthWatch
Cisco StealthWatch NetFlow / NBAR / NSEL Urządzenia sieciowe StealthWatch FlowCollector • Zbieraj i analizuj • Do 4,000 źródeł • Do 240,000 FPS w sposób ciągły SPAN StealthWatch FlowSensor Generowanie NetFlow Urządzenia sieciowe nie wspierające NetFlow • Zarządzanie i raportowanie • Do 25 FlowCollectors • Do 6 milionów FPS globalnie StealthWatch Management Console
Skalowanie rozwiązania: „flow stitching” 10.2.2.2 port 1024 10.1.1.1 port 80 eth0/1 eth0/2 Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 Dwukierunkowe: • Konwersacje • Pozwala na łatwą wizualizację i analizę Jeden kierunek ruchu: Start Time Client IP Client Port Server IP Server Port Proto Client Bytes Client Pkts Server Bytes Server Pkts Interfaces 10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1 eth0/2
Skalowanie rozwiązania: deduplikacja Router A Router B Router C 10.2.2.2 port 1024 10.1.1.1 port 80 • Bez deduplikacji: • Wolumen ruchu może być źle raportowany • Mogą pojawić się „false positives” • Umożliwia optymalne przechowywanie danych • Właściwe dla raportowania do poziomu hostów • Nie ogranicza widoczności Router A: 10.2.2.2:1024 -> 10.1.1.1:80 Router B: 10.2.2.2:1024 -> 10.1.1.1:80 Router C: 10.1.1.1:80 -> 10.2.2.2:1024 Deduplikacja
Rekord konwersacji • Bardzo skalowalny system • Silna kompresja  długa historia zdarzeń Kiedy? Kto? Gdzie? Co? Kto? Security Group (SGT) Dodatkowy kontekst
Alarmy Ilość zbieranych „flow” trend Główne aplikacje Aktywne alarmy StealthWatch: Konsola webowa
Zdarzenia bezpieczeństwa w Cisco StealthWatch Blokada usługi (Denial of Service) SYN Half Open; ICMP/UDP/Port Flood Propagacja złośliwego kodu (Worm propagation) Złośliwy kod skanuje stacje w sieci i łączy się na ten sam port do wielu podsieci, inne stacje powielają ten wzorzec zachowania Naruszenia polityki (Policy Violations) Staje odstają od swojego zdefiniowanego wzorca zachowania (ruchu) Detekcja sieci botnet (Botnet Detection) Stacje wewnętrzne łączą się do zewnętrznych serwerów C&C Zmiana reputacji hosta (Host Reputation Change) Host wewnętrzny potencjalnie skompromitowany gdyż był przedmiotem skanowania lub innego ataku Skanowanie sieci (Network Scanning) Skanowanie portów TCP, UDP na wielu urządzeniach Wyciek danych (Dane Exfiltration) Duży transfer plików / danych vs. linia bazowa
Nałożenie polityki biznesowej PCI Zone Map Profil systemu Relacje
Kwarantanna wymuszona przez StealthWatch
Demo #1
Podsumowanie
NaaS Podsumowanie Technologia NetFlow oraz Cisco StealthWatch dostarczają widoczności o zdarzeniach w sieci Sieć jest kluczowym zasobem do wykrywania i kontroli zagrożeń związanych z bezpieczeństwem IT
PLNOG 18 - Maciej Flak - Network as a Sensor czyli wykorzystanie NetFlow do monitoringu bezpieczeństwa w sieci

Recommended

PLNOG 8: Jacek Skowyra - Zabezpieczenie routerów Juniper przed światem zewnę...
PLNOG 8: Jacek Skowyra - Zabezpieczenie routerów Juniper przed światem zewnę...PLNOG 8: Jacek Skowyra - Zabezpieczenie routerów Juniper przed światem zewnę...
PLNOG 8: Jacek Skowyra - Zabezpieczenie routerów Juniper przed światem zewnę...PROIDEA
 
PLNOG 9: Jacek Skowyra - Carrier Grad NAT
PLNOG 9: Jacek Skowyra - Carrier Grad NATPLNOG 9: Jacek Skowyra - Carrier Grad NAT
PLNOG 9: Jacek Skowyra - Carrier Grad NATPROIDEA
 
Stosy sieciowe w przestrzeni użytkownika.
Stosy sieciowe w przestrzeni użytkownika.Stosy sieciowe w przestrzeni użytkownika.
Stosy sieciowe w przestrzeni użytkownika.Semihalf
 
Es jak FTPS SFTP
Es jak FTPS SFTPEs jak FTPS SFTP
Es jak FTPS SFTPArkadiusz Stęplowski
 
Efekt motyla w kodzie maszynowym.
Efekt motyla w kodzie maszynowym.Efekt motyla w kodzie maszynowym.
Efekt motyla w kodzie maszynowym.Semihalf
 
PLNOG 13: Piotr Jabłoński: First Steps in Autonomic Networking
PLNOG 13: Piotr Jabłoński: First Steps in Autonomic NetworkingPLNOG 13: Piotr Jabłoński: First Steps in Autonomic Networking
PLNOG 13: Piotr Jabłoński: First Steps in Autonomic NetworkingPROIDEA
 
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykSecurity B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykGawel Mikolajczyk
 
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykGawel Mikolajczyk
 

Recommended

PLNOG 8: Jacek Skowyra - Zabezpieczenie routerów Juniper przed światem zewnę...
PLNOG 8: Jacek Skowyra - Zabezpieczenie routerów Juniper przed światem zewnę...PLNOG 8: Jacek Skowyra - Zabezpieczenie routerów Juniper przed światem zewnę...
PLNOG 8: Jacek Skowyra - Zabezpieczenie routerów Juniper przed światem zewnę...PROIDEA
 
PLNOG 9: Jacek Skowyra - Carrier Grad NAT
PLNOG 9: Jacek Skowyra - Carrier Grad NATPLNOG 9: Jacek Skowyra - Carrier Grad NAT
PLNOG 9: Jacek Skowyra - Carrier Grad NATPROIDEA
 
Stosy sieciowe w przestrzeni użytkownika.
Stosy sieciowe w przestrzeni użytkownika.Stosy sieciowe w przestrzeni użytkownika.
Stosy sieciowe w przestrzeni użytkownika.Semihalf
 
Es jak FTPS SFTP
Es jak FTPS SFTPEs jak FTPS SFTP
Es jak FTPS SFTPArkadiusz Stęplowski
 
Efekt motyla w kodzie maszynowym.
Efekt motyla w kodzie maszynowym.Efekt motyla w kodzie maszynowym.
Efekt motyla w kodzie maszynowym.Semihalf
 
PLNOG 13: Piotr Jabłoński: First Steps in Autonomic Networking
PLNOG 13: Piotr Jabłoński: First Steps in Autonomic NetworkingPLNOG 13: Piotr Jabłoński: First Steps in Autonomic Networking
PLNOG 13: Piotr Jabłoński: First Steps in Autonomic NetworkingPROIDEA
 
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykSecurity B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykGawel Mikolajczyk
 
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykGawel Mikolajczyk
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Gawel Mikolajczyk
 
PLNOG 8: Marcin Bala, Michał Furmański - Kompleksowe rozwiązania TriplePlay o...
PLNOG 8: Marcin Bala, Michał Furmański - Kompleksowe rozwiązania TriplePlay o...PLNOG 8: Marcin Bala, Michał Furmański - Kompleksowe rozwiązania TriplePlay o...
PLNOG 8: Marcin Bala, Michał Furmański - Kompleksowe rozwiązania TriplePlay o...PROIDEA
 
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...PROIDEA
 
PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów
PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów
PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów PROIDEA
 
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...PROIDEA
 
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Redge Technologies
 
100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?Redge Technologies
 
100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego. 100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego. Redge Technologies
 
PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...
PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...
PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...PROIDEA
 
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietach
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietachPLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietach
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietachPROIDEA
 
PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...
PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...
PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...PROIDEA
 
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PROIDEA
 
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PROIDEA
 
PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"
PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"
PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"PROIDEA
 
PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...
PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...
PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...PROIDEA
 
PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.
PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.
PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.PROIDEA
 
PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...
PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...
PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...PROIDEA
 
PLNOG 18 - Piotr Jabłoński - Co utrudnia życie projektanta sieci?
PLNOG 18 - Piotr Jabłoński - Co utrudnia życie projektanta sieci?PLNOG 18 - Piotr Jabłoński - Co utrudnia życie projektanta sieci?
PLNOG 18 - Piotr Jabłoński - Co utrudnia życie projektanta sieci?PROIDEA
 
PLNOG 18 - Leonir Hoxha - Traffic Engineering with Segment Routing
PLNOG 18 - Leonir Hoxha - Traffic Engineering with Segment RoutingPLNOG 18 - Leonir Hoxha - Traffic Engineering with Segment Routing
PLNOG 18 - Leonir Hoxha - Traffic Engineering with Segment RoutingPROIDEA
 
PLNOG 18 - Łukasz Bromirski - CEF, NetFlow, NetFPGA, Superman, Eureka, fd.io,...
PLNOG 18 - Łukasz Bromirski - CEF, NetFlow, NetFPGA, Superman, Eureka, fd.io,...PLNOG 18 - Łukasz Bromirski - CEF, NetFlow, NetFPGA, Superman, Eureka, fd.io,...
PLNOG 18 - Łukasz Bromirski - CEF, NetFlow, NetFPGA, Superman, Eureka, fd.io,...PROIDEA
 
PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...
PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...
PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...PROIDEA
 
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...PROIDEA
 

More Related Content

What's hot

Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Gawel Mikolajczyk
 
PLNOG 8: Marcin Bala, Michał Furmański - Kompleksowe rozwiązania TriplePlay o...
PLNOG 8: Marcin Bala, Michał Furmański - Kompleksowe rozwiązania TriplePlay o...PLNOG 8: Marcin Bala, Michał Furmański - Kompleksowe rozwiązania TriplePlay o...
PLNOG 8: Marcin Bala, Michał Furmański - Kompleksowe rozwiązania TriplePlay o...PROIDEA
 
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...PROIDEA
 
PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów
PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów
PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów PROIDEA
 
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...PROIDEA
 
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Redge Technologies
 
100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?Redge Technologies
 
100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego. 100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego. Redge Technologies
 

What's hot (8)

Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
 
PLNOG 8: Marcin Bala, Michał Furmański - Kompleksowe rozwiązania TriplePlay o...
PLNOG 8: Marcin Bala, Michał Furmański - Kompleksowe rozwiązania TriplePlay o...PLNOG 8: Marcin Bala, Michał Furmański - Kompleksowe rozwiązania TriplePlay o...
PLNOG 8: Marcin Bala, Michał Furmański - Kompleksowe rozwiązania TriplePlay o...
 
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
 
PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów
PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów
PLNOG 8: Piotr Wojciechowski - Przypadki z życia multicastów
 
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...
 
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
 
100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?
 
100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego. 100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego.
 

Viewers also liked

PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...
PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...
PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...PROIDEA
 
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietach
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietachPLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietach
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietachPROIDEA
 
PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...
PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...
PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...PROIDEA
 
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PROIDEA
 
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PROIDEA
 
PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"
PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"
PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"PROIDEA
 
PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...
PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...
PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...PROIDEA
 
PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.
PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.
PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.PROIDEA
 
PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...
PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...
PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...PROIDEA
 
PLNOG 18 - Piotr Jabłoński - Co utrudnia życie projektanta sieci?
PLNOG 18 - Piotr Jabłoński - Co utrudnia życie projektanta sieci?PLNOG 18 - Piotr Jabłoński - Co utrudnia życie projektanta sieci?
PLNOG 18 - Piotr Jabłoński - Co utrudnia życie projektanta sieci?PROIDEA
 
PLNOG 18 - Leonir Hoxha - Traffic Engineering with Segment Routing
PLNOG 18 - Leonir Hoxha - Traffic Engineering with Segment RoutingPLNOG 18 - Leonir Hoxha - Traffic Engineering with Segment Routing
PLNOG 18 - Leonir Hoxha - Traffic Engineering with Segment RoutingPROIDEA
 
PLNOG 18 - Łukasz Bromirski - CEF, NetFlow, NetFPGA, Superman, Eureka, fd.io,...
PLNOG 18 - Łukasz Bromirski - CEF, NetFlow, NetFPGA, Superman, Eureka, fd.io,...PLNOG 18 - Łukasz Bromirski - CEF, NetFlow, NetFPGA, Superman, Eureka, fd.io,...
PLNOG 18 - Łukasz Bromirski - CEF, NetFlow, NetFPGA, Superman, Eureka, fd.io,...PROIDEA
 
PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...
PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...
PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...PROIDEA
 
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...PROIDEA
 
PLNOG 18 - Piotr Gruszczyński - Voice over LTE – bliższe VoIP niż LTE
PLNOG 18 - Piotr Gruszczyński - Voice over LTE – bliższe VoIP niż LTEPLNOG 18 - Piotr Gruszczyński - Voice over LTE – bliższe VoIP niż LTE
PLNOG 18 - Piotr Gruszczyński - Voice over LTE – bliższe VoIP niż LTEPROIDEA
 
PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!
PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!
PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!PROIDEA
 
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...PROIDEA
 
PLNOG 18 - Sylwester Biernacki - Co dalej z centrami danych? Wyższy poziom ne...
PLNOG 18 - Sylwester Biernacki - Co dalej z centrami danych? Wyższy poziom ne...PLNOG 18 - Sylwester Biernacki - Co dalej z centrami danych? Wyższy poziom ne...
PLNOG 18 - Sylwester Biernacki - Co dalej z centrami danych? Wyższy poziom ne...PROIDEA
 
PLNOG 18 - Michał Borowski - POPC – budowa sieci dostępowej z wykorzystaniem ...
PLNOG 18 - Michał Borowski - POPC – budowa sieci dostępowej z wykorzystaniem ...PLNOG 18 - Michał Borowski - POPC – budowa sieci dostępowej z wykorzystaniem ...
PLNOG 18 - Michał Borowski - POPC – budowa sieci dostępowej z wykorzystaniem ...PROIDEA
 
PLNOG 18 - Karol Junde - Deployment mikroserwisów on-prem oraz w AWS
PLNOG 18 - Karol Junde - Deployment mikroserwisów on-prem oraz w AWSPLNOG 18 - Karol Junde - Deployment mikroserwisów on-prem oraz w AWS
PLNOG 18 - Karol Junde - Deployment mikroserwisów on-prem oraz w AWSPROIDEA
 

Viewers also liked (20)

PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...
PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...
PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...
 
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietach
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietachPLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietach
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietach
 
PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...
PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...
PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...
 
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
 
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
 
PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"
PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"
PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"
 
PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...
PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...
PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...
 
PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.
PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.
PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.
 
PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...
PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...
PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...
 
PLNOG 18 - Piotr Jabłoński - Co utrudnia życie projektanta sieci?
PLNOG 18 - Piotr Jabłoński - Co utrudnia życie projektanta sieci?PLNOG 18 - Piotr Jabłoński - Co utrudnia życie projektanta sieci?
PLNOG 18 - Piotr Jabłoński - Co utrudnia życie projektanta sieci?
 
PLNOG 18 - Leonir Hoxha - Traffic Engineering with Segment Routing
PLNOG 18 - Leonir Hoxha - Traffic Engineering with Segment RoutingPLNOG 18 - Leonir Hoxha - Traffic Engineering with Segment Routing
PLNOG 18 - Leonir Hoxha - Traffic Engineering with Segment Routing
 
PLNOG 18 - Łukasz Bromirski - CEF, NetFlow, NetFPGA, Superman, Eureka, fd.io,...
PLNOG 18 - Łukasz Bromirski - CEF, NetFlow, NetFPGA, Superman, Eureka, fd.io,...PLNOG 18 - Łukasz Bromirski - CEF, NetFlow, NetFPGA, Superman, Eureka, fd.io,...
PLNOG 18 - Łukasz Bromirski - CEF, NetFlow, NetFPGA, Superman, Eureka, fd.io,...
 
PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...
PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...
PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...
 
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...
 
PLNOG 18 - Piotr Gruszczyński - Voice over LTE – bliższe VoIP niż LTE
PLNOG 18 - Piotr Gruszczyński - Voice over LTE – bliższe VoIP niż LTEPLNOG 18 - Piotr Gruszczyński - Voice over LTE – bliższe VoIP niż LTE
PLNOG 18 - Piotr Gruszczyński - Voice over LTE – bliższe VoIP niż LTE
 
PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!
PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!
PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!
 
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz en...
 
PLNOG 18 - Sylwester Biernacki - Co dalej z centrami danych? Wyższy poziom ne...
PLNOG 18 - Sylwester Biernacki - Co dalej z centrami danych? Wyższy poziom ne...PLNOG 18 - Sylwester Biernacki - Co dalej z centrami danych? Wyższy poziom ne...
PLNOG 18 - Sylwester Biernacki - Co dalej z centrami danych? Wyższy poziom ne...
 
PLNOG 18 - Michał Borowski - POPC – budowa sieci dostępowej z wykorzystaniem ...
PLNOG 18 - Michał Borowski - POPC – budowa sieci dostępowej z wykorzystaniem ...PLNOG 18 - Michał Borowski - POPC – budowa sieci dostępowej z wykorzystaniem ...
PLNOG 18 - Michał Borowski - POPC – budowa sieci dostępowej z wykorzystaniem ...
 
PLNOG 18 - Karol Junde - Deployment mikroserwisów on-prem oraz w AWS
PLNOG 18 - Karol Junde - Deployment mikroserwisów on-prem oraz w AWSPLNOG 18 - Karol Junde - Deployment mikroserwisów on-prem oraz w AWS
PLNOG 18 - Karol Junde - Deployment mikroserwisów on-prem oraz w AWS
 

Similar to PLNOG 18 - Maciej Flak - Network as a Sensor czyli wykorzystanie NetFlow do monitoringu bezpieczeństwa w sieci

Łukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiej
Łukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiejŁukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiej
Łukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiejPROIDEA
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPROIDEA
 
Projekcik Routery2
Projekcik Routery2Projekcik Routery2
Projekcik Routery2arkulik
 
PLNOG 5: Łukasz Bromirski - Locator/ID SPlit (LISP)
PLNOG 5: Łukasz Bromirski - Locator/ID SPlit (LISP)PLNOG 5: Łukasz Bromirski - Locator/ID SPlit (LISP)
PLNOG 5: Łukasz Bromirski - Locator/ID SPlit (LISP)PROIDEA
 
PLNOG 6: Mikołaj Chmura - System IPTV i sieć GPON - praktyka wdrożeń
PLNOG 6: Mikołaj Chmura - System IPTV i sieć GPON - praktyka wdrożeńPLNOG 6: Mikołaj Chmura - System IPTV i sieć GPON - praktyka wdrożeń
PLNOG 6: Mikołaj Chmura - System IPTV i sieć GPON - praktyka wdrożeńPROIDEA
 
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...PROIDEA
 
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPROIDEA
 
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego koduPLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego koduPROIDEA
 
PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...
PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...
PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...PROIDEA
 
Halokwadrat PLNOG - Freeswitch a big boys Softswitch
Halokwadrat PLNOG - Freeswitch a big boys SoftswitchHalokwadrat PLNOG - Freeswitch a big boys Softswitch
Halokwadrat PLNOG - Freeswitch a big boys Softswitchmichalpodoski
 
Sieci komputerowe
Sieci komputeroweSieci komputerowe
Sieci komputerowepietrek
 
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich PROIDEA
 
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...PROIDEA
 
PLNOG 6: Bartłomiej Anszperger - MPLS
PLNOG 6: Bartłomiej Anszperger - MPLSPLNOG 6: Bartłomiej Anszperger - MPLS
PLNOG 6: Bartłomiej Anszperger - MPLSPROIDEA
 
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej PROIDEA
 
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...PROIDEA
 
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6PROIDEA
 
PLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPROIDEA
 
06 Bluetooth, zaprojektowany aby "zjednoczyć"
06 Bluetooth, zaprojektowany aby "zjednoczyć"06 Bluetooth, zaprojektowany aby "zjednoczyć"
06 Bluetooth, zaprojektowany aby "zjednoczyć"MarcinStachniuk
 

Similar to PLNOG 18 - Maciej Flak - Network as a Sensor czyli wykorzystanie NetFlow do monitoringu bezpieczeństwa w sieci (20)

Łukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiej
Łukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiejŁukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiej
Łukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiej
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
 
Projekcik Routery2
Projekcik Routery2Projekcik Routery2
Projekcik Routery2
 
PLNOG 5: Łukasz Bromirski - Locator/ID SPlit (LISP)
PLNOG 5: Łukasz Bromirski - Locator/ID SPlit (LISP)PLNOG 5: Łukasz Bromirski - Locator/ID SPlit (LISP)
PLNOG 5: Łukasz Bromirski - Locator/ID SPlit (LISP)
 
PLNOG 6: Mikołaj Chmura - System IPTV i sieć GPON - praktyka wdrożeń
PLNOG 6: Mikołaj Chmura - System IPTV i sieć GPON - praktyka wdrożeńPLNOG 6: Mikołaj Chmura - System IPTV i sieć GPON - praktyka wdrożeń
PLNOG 6: Mikołaj Chmura - System IPTV i sieć GPON - praktyka wdrożeń
 
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
 
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
 
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego koduPLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
 
PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...
PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...
PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...
 
Halokwadrat PLNOG - Freeswitch a big boys Softswitch
Halokwadrat PLNOG - Freeswitch a big boys SoftswitchHalokwadrat PLNOG - Freeswitch a big boys Softswitch
Halokwadrat PLNOG - Freeswitch a big boys Softswitch
 
Sieci komputerowe
Sieci komputeroweSieci komputerowe
Sieci komputerowe
 
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich
 
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...
 
PLNOG 6: Bartłomiej Anszperger - MPLS
PLNOG 6: Bartłomiej Anszperger - MPLSPLNOG 6: Bartłomiej Anszperger - MPLS
PLNOG 6: Bartłomiej Anszperger - MPLS
 
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej
 
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
 
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
 
PLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr Głaska
 
06 Bluetooth, zaprojektowany aby "zjednoczyć"
06 Bluetooth, zaprojektowany aby "zjednoczyć"06 Bluetooth, zaprojektowany aby "zjednoczyć"
06 Bluetooth, zaprojektowany aby "zjednoczyć"
 
Monitoring sieci
Monitoring sieciMonitoring sieci
Monitoring sieci
 

PLNOG 18 - Maciej Flak - Network as a Sensor czyli wykorzystanie NetFlow do monitoringu bezpieczeństwa w sieci

  • 1. Maciej Flak, CCIE maflak@cisco.com Marzec, 2017 Network as a Sensor czyli wykorzystanie NetFlow do monitoringu bezpieczeństwa w sieci
  • 2. Agenda • Sieć jako narzędzie bezpieczeństwa • NetFlow • Cisco StealthWatch • Demo • Podsumowanie
  • 4. Sieć przedsiębiorstwa Atakujący Brzeg sieci (w kierunku do wewnątrz) Brzeg sieci (w kierunku na zewnątrz) Infiltracja i aktywacja „backdoor”1 Serwer C2 Stacja administratora Rekonesans i rozprzestrzenianie się2 Eksploatacja podatności i podniesienie uprawnień 3 Poszukiwanie wrażliwych danych (powtórz 2,3,4) 4 Wyciek danych 5 Anatomia udanego ataku
  • 5.
  • 6.
  • 7.
  • 8. Zarządzanie incydentem bezpieczeństwa Przed Przygotowanie Identyfikacja IoC Wymuś Zabezpiecz Po Podnieś się Odtwórz Wyciągnij wnioski Fazy ataku Wykryj Powstrzymaj Ogranicz W trakcie
  • 9. NetFlow i inne źródła danych telemetrycznych SYSLOG Parse+Format NetFlow Packet Capture SNMP Server Logs Host Logs Malware Exploits Executables Threat Intelligence Feeds Context Enrichment Analitics Reports
  • 10. Network as a Sensor Wykrywanie anomalii w ruchu sieciowym dzięki NetFlow Addr_Scan/tcp Addr_Scan/udp Bad_Flag_ACK** Beaconing Host Bot Command Control Server Bot Infected Host - Attempted Bot Infected Host - Successful Flow_Denied . . ICMP Flood . . Max Flows Initiated Max Flows Served . Suspect Long Flow Suspect UDP Activity SYN Flood . Zdarzenia bezpiecz. (94+) Kategorie alarmów Concern Exfiltration C&C Recon Data Hoarding Exploitation DDoS Target
  • 12. NetFlow 10.2.2.2 port 1024 10.1.1.1 port 80 eth0/1 eth0/2 Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent SGT DGT TCP Flags 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 SYN,ACK,PSH 10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 1010 100 SYN,ACK,FIN Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent SGT DGT TCP Flags 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 SYN,ACK,PSH
  • 13. NetFlow: Pola kluczowe vs. pola niekluczowe Pola-kluczowe Pakiet #1 Source IP 1.1.1.1 Destination IP 2.2.2.2 Source port 23 Destination port 22078 Layer 3 Protocol TCP - 6 TOS Byte 0 Pola niekluczowe Pakiet #1 Length 1250 12 12 Pola-kluczowe Pakiet #2 Source IP 3.3.3.3 Destination IP 4.4.4.4 Source port 80 Destination port 22079 Layer 3 Protocol TCP - 6 TOS Byte 0 Pola niekluczowe Pakiet #2 Length 519 Source IP Dest. IP Dest. I/F Protocol TOS … Pkts 1.1.1.1 2.2.2.2 E1 6 0 … 11000 Source IP Dest. IP Dest. I/F Protocol TOS … Pkts 1.1.1.1 2.2.2.2 E1 6 0 … 11000 Netflow Cache po przesłaniu pakietu #1 Netflow Cache po przesłaniu pakietu #2 3.3.3.3 4.4.4.4 E1 6 0 … 50 Pola kluczowe Definiują różne unikalne rekordy NetFlow Pola niekluczowe zbierane dla celów telemetrycznych
  • 14. Dane telemetryczne NetFlow = widoczność Router# show flow monitor CYBER-MONITOR cache … IPV4 SOURCE ADDRESS: 192.168.100.100 IPV4 DESTINATION ADDRESS: 192.168.20.6 TRNS SOURCE PORT: 47321 TRNS DESTINATION PORT: 443 INTERFACE INPUT: Gi0/0/0 IP TOS: 0x00 IP PROTOCOL: 6 ipv4 next hop address: 192.168.20.6 tcp flags: 0x1A interface output: Gi0/1.20 counter bytes: 1482 counter packets: 23 timestamp first: 12:33:53.358 timestamp last: 12:33:53.370 ip dscp: 0x00 ip ttl min: 127 ip ttl max: 127 application name: nbar secure-http … Pojedyczny rekord danych NetFlow dostarcza bardzo dużo informacji
  • 15. Wersje NetFlow Version Major Advantage Limits/Weaknesses V5 Defines 18 exported fields Simple and compact format Most commonly used format IPv4 only Fixed fields, fixed length fields only Single flow cache V9 Template-based IPv6 flows transported in IPv4 packets MPLS and BGP nexthop supported Defines 104 fields, including L2 fields Reports flow direction IPv6 flows transported in IPv4 packets Fixed length fields only Uses more memory Slower performance Single flow cache Flexible NetFlow (FNF) Template-based flow format (built on V9 protocol) Supports flow monitors (discrete caches) Supports selectable key fields and IPv6 Supports NBAR data fields Less common Requires more sophisticated platform to produce Requires more sophisticated system to consume IP Flow Information Export (IPFIX) AKA NetFlow V10 Standardized – RFC 5101, 5102, 6313 Supports variable length fields, NBAR2 Can export flows via IPv4 and IPv6 packets Even less common Only supported on a few Cisco platforms NSEL (ASA only) Built on NetFlow v9 protocol State-based flow logging (context) Pre and Post NAT reporting Missing many standard fields Limited support by collectors
  • 16. Key Fields Packet #1 Source IP 10.1.1.1 Destination IP 173.194.34.134 Source Port 20457 Destination Port 23 Layer 3 protocol 6 TOS byte 0 Ingres Interface Ethernet 0 Src. IP Dest. IP Src. Port Dest. Port Layer 3 Prot. TOS Byte Ingress Intf. 10.1.1.1 173.194.34.134. 20457 80 6 0 Ethernet 0 Key Fields Packet #2 Source IP 10.1.1.1 Destination IP 72.163.4.161 Source Port 30307 Destination Port 80 Layer 3 protocol 6 TOS byte 0 Ingres Interface Ethernet 0 Src. IP Dest. IP Src. Port Dest. Port Layer 3 Prot. TOS Byte Ingress Intf. App Name Timesta mps Byttes Packets 10.1.1.1 173.194.34.134 20457 80 6 0 Ethernet 0 HTTP 10.1.1.1 72.163.4.161 30307 80 6 0 Ethernet 0 Youtube NetFlow cache News Flexible NetFlow – Integracja z NBAR flow record app_record match ipv4 source address match ipv4 destination address match ….. match application name First packet of a flow will create the Flow entry using the Key Fields” Remaining packets of this flow will only update statistics (bytes, counters, timestamps) DEVNET-204718
  • 17. Source IP Dest. IP Source Port Dest. Port Protocol TOS Input I/F … Pkts 3.3.3.3 2.2.2.2 23 22078 6 0 E0 … 1100 Traffic Analysis Cache Flow Monitor 1 Traffic Non-Key Fields Packets Bytes Timestamps Next Hop Address Security Analysis Cache Flow Monitor 2 Flexible NetFlow – unikalne pola kluczowe Key Fields Packet 1 Source IP 3.3.3.3 Destination IP 2.2.2.2 Source Port 23 Destination Port 22078 Layer 3 Protocol TCP - 6 TOS Byte 0 Input Interface Ethernet 0 Key Fields Packet 1 Source IP 3.3.3.3 Destination IP 2.2.2.2 Input Interface Gi0/1 Non-Key Fields Packets Timestamps Source IP Dest. IP Input I/F … Pkts 3.3.3.3 2.2.2.2 Gi0/1 … 11000 DEVNET-2047 19
  • 18. Where do I want my data sent? What data do I want to meter? Creates a new NetFlow cache Attach the flow record Exporter is attached to the cache Potential sampling configuration Configure NetFlow on the interface flow exporter my-exporter destination 1.1.1.1 flow record my-record match ipv4 destination address match ipv4 source address collect counter bytes flow monitor my-monitor exporter my-exporter record my-record int s3/0 ip flow monitor my-monitor input Flexible NetFlow – konfiguracja Configure the Exporter Configure the Flow Record Configure the Flow Monitor Configure the interface DEVNET-2047 20
  • 19. FNF – pola wymagane przez StealthWatch The fields marked with required below, are fields required for StealthWatch to accept and build a flow record.
  • 20. „Sampled” vs „Full NetFlow” dla celów analizy bezpieczeństwa „Sampled NetFlow” • Wycinek ruchu, zwykle mnie niż 5%, • Wystarczające do wykrycia dużego ataku DDoS ale nie rozproszonych, powolnych ataków np. wycieku danych, rekonesansu itd. Rekordy NetFlow generowane przez CPU „Full NetFlow” • Cały ruch jest obserwowany, • Odpowiednie dla wykrywania wszystkich typów ataków w tym powolnych, rozproszonych ataków sieciowych Rekordy NetFlow generowane przez układy ASIC ZALECANE
  • 21. Network as a Sensor Bezpieczeństwo poprzez wykorzystanie NetFlow i systemu Cisco StealthWatch
  • 22. Cisco StealthWatch NetFlow / NBAR / NSEL Urządzenia sieciowe StealthWatch FlowCollector • Zbieraj i analizuj • Do 4,000 źródeł • Do 240,000 FPS w sposób ciągły SPAN StealthWatch FlowSensor Generowanie NetFlow Urządzenia sieciowe nie wspierające NetFlow • Zarządzanie i raportowanie • Do 25 FlowCollectors • Do 6 milionów FPS globalnie StealthWatch Management Console
  • 23. Skalowanie rozwiązania: „flow stitching” 10.2.2.2 port 1024 10.1.1.1 port 80 eth0/1 eth0/2 Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 Dwukierunkowe: • Konwersacje • Pozwala na łatwą wizualizację i analizę Jeden kierunek ruchu: Start Time Client IP Client Port Server IP Server Port Proto Client Bytes Client Pkts Server Bytes Server Pkts Interfaces 10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1 eth0/2
  • 24. Skalowanie rozwiązania: deduplikacja Router A Router B Router C 10.2.2.2 port 1024 10.1.1.1 port 80 • Bez deduplikacji: • Wolumen ruchu może być źle raportowany • Mogą pojawić się „false positives” • Umożliwia optymalne przechowywanie danych • Właściwe dla raportowania do poziomu hostów • Nie ogranicza widoczności Router A: 10.2.2.2:1024 -> 10.1.1.1:80 Router B: 10.2.2.2:1024 -> 10.1.1.1:80 Router C: 10.1.1.1:80 -> 10.2.2.2:1024 Deduplikacja
  • 25. Rekord konwersacji • Bardzo skalowalny system • Silna kompresja  długa historia zdarzeń Kiedy? Kto? Gdzie? Co? Kto? Security Group (SGT) Dodatkowy kontekst
  • 26. Alarmy Ilość zbieranych „flow” trend Główne aplikacje Aktywne alarmy StealthWatch: Konsola webowa
  • 27. Zdarzenia bezpieczeństwa w Cisco StealthWatch Blokada usługi (Denial of Service) SYN Half Open; ICMP/UDP/Port Flood Propagacja złośliwego kodu (Worm propagation) Złośliwy kod skanuje stacje w sieci i łączy się na ten sam port do wielu podsieci, inne stacje powielają ten wzorzec zachowania Naruszenia polityki (Policy Violations) Staje odstają od swojego zdefiniowanego wzorca zachowania (ruchu) Detekcja sieci botnet (Botnet Detection) Stacje wewnętrzne łączą się do zewnętrznych serwerów C&C Zmiana reputacji hosta (Host Reputation Change) Host wewnętrzny potencjalnie skompromitowany gdyż był przedmiotem skanowania lub innego ataku Skanowanie sieci (Network Scanning) Skanowanie portów TCP, UDP na wielu urządzeniach Wyciek danych (Dane Exfiltration) Duży transfer plików / danych vs. linia bazowa
  • 28. Nałożenie polityki biznesowej PCI Zone Map Profil systemu Relacje
  • 32. NaaS Podsumowanie Technologia NetFlow oraz Cisco StealthWatch dostarczają widoczności o zdarzeniach w sieci Sieć jest kluczowym zasobem do wykrywania i kontroli zagrożeń związanych z bezpieczeństwem IT