4. Sieć przedsiębiorstwa
Atakujący
Brzeg sieci
(w kierunku do wewnątrz)
Brzeg sieci
(w kierunku na zewnątrz)
Infiltracja i aktywacja „backdoor”1
Serwer C2
Stacja
administratora
Rekonesans i rozprzestrzenianie się2
Eksploatacja podatności i
podniesienie uprawnień
3
Poszukiwanie wrażliwych
danych (powtórz 2,3,4)
4
Wyciek
danych
5
Anatomia udanego ataku
9. NetFlow i inne źródła danych telemetrycznych
SYSLOG
Parse+Format
NetFlow
Packet Capture
SNMP
Server Logs
Host Logs
Malware
Exploits
Executables
Threat Intelligence Feeds
Context
Enrichment
Analitics
Reports
10. Network as a Sensor
Wykrywanie anomalii w ruchu sieciowym dzięki NetFlow
Addr_Scan/tcp
Addr_Scan/udp
Bad_Flag_ACK**
Beaconing Host
Bot Command
Control Server
Bot Infected Host -
Attempted
Bot Infected Host -
Successful
Flow_Denied
.
.
ICMP Flood
.
.
Max Flows Initiated
Max Flows Served
.
Suspect Long Flow
Suspect UDP
Activity
SYN Flood
.
Zdarzenia
bezpiecz. (94+)
Kategorie
alarmów
Concern
Exfiltration
C&C
Recon
Data Hoarding
Exploitation
DDoS Target
12. NetFlow
10.2.2.2
port 1024
10.1.1.1
port 80
eth0/1
eth0/2
Start Time Interface Src IP Src
Port
Dest IP Dest
Port
Proto Pkts
Sent
Bytes
Sent
SGT DGT TCP Flags
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 SYN,ACK,PSH
10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 1010 100 SYN,ACK,FIN
Start Time Interface Src IP Src
Port
Dest IP Dest
Port
Proto Pkts
Sent
Bytes
Sent
SGT DGT TCP Flags
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 SYN,ACK,PSH
13. NetFlow: Pola kluczowe vs. pola niekluczowe
Pola-kluczowe Pakiet #1
Source IP 1.1.1.1
Destination IP 2.2.2.2
Source port 23
Destination port 22078
Layer 3 Protocol TCP - 6
TOS Byte 0
Pola niekluczowe Pakiet #1
Length 1250
12 12
Pola-kluczowe Pakiet #2
Source IP 3.3.3.3
Destination IP 4.4.4.4
Source port 80
Destination port 22079
Layer 3 Protocol TCP - 6
TOS Byte 0
Pola niekluczowe Pakiet #2
Length 519
Source IP Dest. IP Dest. I/F Protocol TOS … Pkts
1.1.1.1 2.2.2.2 E1 6 0 … 11000
Source IP Dest. IP Dest. I/F Protocol TOS … Pkts
1.1.1.1 2.2.2.2 E1 6 0 … 11000
Netflow Cache po przesłaniu pakietu #1 Netflow Cache po przesłaniu pakietu #2
3.3.3.3 4.4.4.4 E1 6 0 … 50
Pola kluczowe
Definiują różne unikalne rekordy NetFlow
Pola niekluczowe
zbierane dla celów telemetrycznych
14. Dane telemetryczne NetFlow = widoczność
Router# show flow monitor CYBER-MONITOR cache
…
IPV4 SOURCE ADDRESS: 192.168.100.100
IPV4 DESTINATION ADDRESS: 192.168.20.6
TRNS SOURCE PORT: 47321
TRNS DESTINATION PORT: 443
INTERFACE INPUT: Gi0/0/0
IP TOS: 0x00
IP PROTOCOL: 6
ipv4 next hop address: 192.168.20.6
tcp flags: 0x1A
interface output: Gi0/1.20
counter bytes: 1482
counter packets: 23
timestamp first: 12:33:53.358
timestamp last: 12:33:53.370
ip dscp: 0x00
ip ttl min: 127
ip ttl max: 127
application name: nbar secure-http
…
Pojedyczny rekord danych NetFlow dostarcza bardzo dużo informacji
15. Wersje NetFlow
Version Major Advantage Limits/Weaknesses
V5 Defines 18 exported fields
Simple and compact format
Most commonly used format
IPv4 only
Fixed fields, fixed length fields only
Single flow cache
V9 Template-based
IPv6 flows transported in IPv4 packets
MPLS and BGP nexthop supported
Defines 104 fields, including L2 fields
Reports flow direction
IPv6 flows transported in IPv4 packets
Fixed length fields only
Uses more memory
Slower performance
Single flow cache
Flexible NetFlow (FNF) Template-based flow format (built on V9
protocol)
Supports flow monitors (discrete caches)
Supports selectable key fields and IPv6
Supports NBAR data fields
Less common
Requires more sophisticated platform to produce
Requires more sophisticated system to consume
IP Flow Information Export
(IPFIX) AKA NetFlow V10
Standardized – RFC 5101, 5102, 6313
Supports variable length fields, NBAR2
Can export flows via IPv4 and IPv6 packets
Even less common
Only supported on a few Cisco platforms
NSEL (ASA only) Built on NetFlow v9 protocol
State-based flow logging (context)
Pre and Post NAT reporting
Missing many standard fields
Limited support by collectors
16. Key Fields Packet #1
Source IP 10.1.1.1
Destination IP 173.194.34.134
Source Port 20457
Destination Port 23
Layer 3 protocol 6
TOS byte 0
Ingres Interface Ethernet 0
Src. IP Dest. IP Src. Port Dest. Port Layer 3 Prot. TOS Byte Ingress Intf.
10.1.1.1 173.194.34.134. 20457 80 6 0 Ethernet 0
Key Fields Packet #2
Source IP 10.1.1.1
Destination IP 72.163.4.161
Source Port 30307
Destination Port 80
Layer 3 protocol 6
TOS byte 0
Ingres Interface Ethernet 0
Src. IP Dest. IP Src. Port Dest. Port Layer 3 Prot. TOS Byte Ingress Intf. App Name Timesta
mps
Byttes Packets
10.1.1.1 173.194.34.134 20457 80 6 0 Ethernet 0 HTTP
10.1.1.1 72.163.4.161 30307 80 6 0 Ethernet 0 Youtube
NetFlow cache
News
Flexible NetFlow – Integracja z NBAR
flow record app_record
match ipv4 source address
match ipv4 destination
address
match …..
match application name
First packet of a flow will create the Flow entry using the Key Fields”
Remaining packets of this flow will only update statistics (bytes,
counters, timestamps)
DEVNET-204718
17. Source
IP
Dest.
IP
Source
Port
Dest.
Port
Protocol TOS
Input
I/F
… Pkts
3.3.3.3 2.2.2.2 23 22078 6 0 E0 … 1100
Traffic Analysis Cache
Flow
Monitor 1
Traffic
Non-Key Fields
Packets
Bytes
Timestamps
Next Hop Address
Security Analysis Cache
Flow
Monitor 2
Flexible NetFlow – unikalne pola kluczowe
Key Fields Packet 1
Source IP 3.3.3.3
Destination IP 2.2.2.2
Source Port 23
Destination Port 22078
Layer 3 Protocol TCP - 6
TOS Byte 0
Input Interface Ethernet 0
Key Fields Packet 1
Source IP 3.3.3.3
Destination IP 2.2.2.2
Input Interface Gi0/1
Non-Key Fields
Packets
Timestamps
Source
IP
Dest.
IP
Input I/F … Pkts
3.3.3.3 2.2.2.2 Gi0/1 … 11000
DEVNET-2047 19
18. Where do I want my data sent?
What data do I want to meter?
Creates a new NetFlow cache
Attach the flow record
Exporter is attached to the cache
Potential sampling configuration
Configure NetFlow on the interface
flow exporter my-exporter
destination 1.1.1.1
flow record my-record
match ipv4 destination address
match ipv4 source address
collect counter bytes
flow monitor my-monitor
exporter my-exporter
record my-record
int s3/0
ip flow monitor my-monitor input
Flexible NetFlow – konfiguracja
Configure the Exporter
Configure the Flow Record
Configure the Flow Monitor
Configure the interface
DEVNET-2047 20
19. FNF – pola wymagane przez StealthWatch
The fields marked with required below, are fields required for StealthWatch to accept and build a flow record.
20. „Sampled” vs „Full NetFlow” dla celów analizy
bezpieczeństwa
„Sampled NetFlow”
• Wycinek ruchu, zwykle mnie niż 5%,
• Wystarczające do wykrycia dużego ataku DDoS ale
nie rozproszonych, powolnych ataków np. wycieku
danych, rekonesansu itd.
Rekordy NetFlow
generowane przez
CPU
„Full NetFlow”
• Cały ruch jest obserwowany,
• Odpowiednie dla wykrywania wszystkich
typów ataków w tym powolnych,
rozproszonych ataków sieciowych
Rekordy NetFlow
generowane
przez układy
ASIC
ZALECANE
21. Network as a Sensor
Bezpieczeństwo poprzez wykorzystanie
NetFlow i systemu Cisco StealthWatch
22. Cisco StealthWatch
NetFlow / NBAR / NSEL
Urządzenia sieciowe
StealthWatch
FlowCollector
• Zbieraj i analizuj
• Do 4,000 źródeł
• Do 240,000 FPS w sposób ciągły
SPAN
StealthWatch
FlowSensor
Generowanie
NetFlow
Urządzenia sieciowe nie
wspierające NetFlow
• Zarządzanie i raportowanie
• Do 25 FlowCollectors
• Do 6 milionów FPS globalnie
StealthWatch
Management
Console
23. Skalowanie rozwiązania: „flow stitching”
10.2.2.2
port 1024
10.1.1.1
port 80
eth0/1
eth0/2
Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025
10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712
Dwukierunkowe:
• Konwersacje
• Pozwala na łatwą wizualizację i analizę
Jeden kierunek ruchu:
Start Time Client IP
Client
Port Server IP
Server
Port Proto
Client
Bytes
Client
Pkts
Server
Bytes
Server
Pkts Interfaces
10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1
eth0/2
24. Skalowanie rozwiązania: deduplikacja
Router A
Router B
Router C
10.2.2.2
port 1024
10.1.1.1
port 80
• Bez deduplikacji:
• Wolumen ruchu może być źle raportowany
• Mogą pojawić się „false positives”
• Umożliwia optymalne przechowywanie danych
• Właściwe dla raportowania do poziomu hostów
• Nie ogranicza widoczności
Router A: 10.2.2.2:1024 -> 10.1.1.1:80
Router B: 10.2.2.2:1024 -> 10.1.1.1:80
Router C: 10.1.1.1:80 -> 10.2.2.2:1024
Deduplikacja
25. Rekord konwersacji
• Bardzo skalowalny system
• Silna kompresja długa historia zdarzeń
Kiedy? Kto?
Gdzie?
Co?
Kto?
Security Group
(SGT)
Dodatkowy kontekst
27. Zdarzenia bezpieczeństwa w Cisco StealthWatch
Blokada usługi
(Denial of Service)
SYN Half Open; ICMP/UDP/Port Flood
Propagacja złośliwego kodu
(Worm propagation)
Złośliwy kod skanuje stacje w sieci i łączy się na ten sam port do
wielu podsieci, inne stacje powielają ten wzorzec zachowania
Naruszenia polityki
(Policy Violations)
Staje odstają od swojego zdefiniowanego wzorca zachowania
(ruchu)
Detekcja sieci botnet
(Botnet Detection)
Stacje wewnętrzne łączą się do zewnętrznych serwerów C&C
Zmiana reputacji hosta
(Host Reputation Change)
Host wewnętrzny potencjalnie skompromitowany gdyż był
przedmiotem skanowania lub innego ataku
Skanowanie sieci
(Network Scanning)
Skanowanie portów TCP, UDP na wielu urządzeniach
Wyciek danych
(Dane Exfiltration)
Duży transfer plików / danych vs. linia bazowa
32. NaaS Podsumowanie
Technologia NetFlow oraz Cisco
StealthWatch dostarczają
widoczności o zdarzeniach w sieci
Sieć jest kluczowym zasobem do
wykrywania i kontroli zagrożeń
związanych z bezpieczeństwem IT