PLNOG23 - Bartosz Belter & dr hab. inż. Andrzej Bęben - Techniki przetwarzani...
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywania zagrożeń w sieciach operatorskich
1. Elastic w Treatnet
Innowacyjny system wykrywania zagrożeń
w sieciach operatorskich
Opracowanie nowego produktu w postaci zespołu narzędzi o budowie modułowej,
tworzącego jednolity system monitorowania, wykrywania
i usuwania skutków zainfekowania użytkowników sieci Internet złośliwym
oprogramowaniem typu malware, poprzez analizę zdarzeń systemowych użytkowników
i węzłów sieci, a następnie poprzez usuwanie tych skutków.
COMP S.A.
Pion Systemów Sieciowych Warszawa, październik 2018www.comp.com.pl
2. PROJEKT Treatnet – DOFINANSOWANY ZE ŚRODKÓW UE
Tytuł projektu brzmi:
„ Innowacyjny system szybkiego i masowego wykrywania oraz neutralizacji cyberataków na użytkowników sieci Internet”
Robocza nazwa projektu: „TREATNET”
• Dofinansowanie na projekt Spółka COMP S.A. otrzymała z Programu Operacyjnego Inteligentny Rozwój 2014 - 2020
• Oś priorytetowa: Wsparcie prowadzenia prac B+R przez przedsiębiorstwa
• Działanie: Projekty B+R przedsiębiorstw
• Poddziałanie: Badania przemysłowe i prace rozwojowe realizowane przez przedsiębiorstwa
• Kwota dofinansowania ze środków UE to: 7 499 313,34 zł
• Planowany czas zakończenia prac związanych z realizacją projektu: październik 2019 rok
• Treatnet jest odpowiedzią na trzy omawiane poprzednio problemy:
• zbyt długi TTD = Treatnet skraca go do kilku/kilkunastu godzin
• brak narzędzi 100% pewności ochrony = operuje na już zainfekowanych klientach
• usługi dodane = bezpieczeństwo jako „+1USD” per klient i źródło dochodu
• Treatnet jest rozwiązaniem software’owym, narzędziem mającym na celu przypisanie zagrożenia (incydentu) do
klienta, w środowisku dużych sieci w tym sieci operatorów telekomunikacyjnych
1PAŹDZIERNIK 2018
3. Elastic w Treatnet
• Treatnet jest natywnie skonstruowany do pobierania informacji o użytkownikach z różnych systemów
i technologii jak: RADIUS/RADIUS-COA, LDAP, DHCP, Usługi Katalogowe
• Treatnet jest natywnie skonstruowany do odbierania informacji o zagrożeniach z narzędzi ochrony
i logowania jak Firewall, IPS, ATP, SIEM etc.
• Treatnet jest narzędziem dla CERT/CSIRT/SoC Team, ale też udostępnia Portal Klienta
• Treatnet, poprzez mechanizm CaptivePortal, Netconf, RADIUS-COA proaktywnie działa na sieć.
• PROBLEM: ILOŚĆ NAPŁYWAJĄCYCH DANYCH I WYDAJNOŚC SYSTEMÓW
• DANE ACCOUNTINGOWE (Radius, Systemu CG-NAT, etc) = do 200.000 EPS (bez PBA)
• DANE O AKTYWNOŚCI UŻYTKOWNIKÓW (url:/) = do 200.000 EPS
• ROZWIĄZANIE: ELK (+kafka)
• Duża wydajność (7500EPS logstash/node)
• Buforowanie zmiennych ilości danych i przeciążeń (kafka)
• Skalowanie = elastic w przybliżeniu liniowe, osiągnięte ok. 500.000EPS
2PAŹDZIERNIK 2018
4. Treatnet ARCHITEKTURA
Kompletne rozwiązanie składa się z kilku elementów zawsze indywidualnie dobrane do operatora lub
dużego klienta :
▪ Security tools – według indywidualnych preferencji klienta jak systemy Firewall, IPS, Skanery
podatności, APT, SIEM
▪ Log/Session collection tools – systemy operatora stanowiące ekosystem jego środowiska
sieciowego, np. serwery RADIUS
▪ Treatnet – Tre@tNet: oprogramowanie dostarczane jest w postaci modułów kolekcji danych o
użytkownikach, narzędzia przypisania zagrożeń do użytkowników, narzędzia wykrywania włamań
(sinkhole i honeypot), moduły komunikacji z klientami SMS, email, Captive Portal i API.
▪ Feed SoC/CERT/CSRIT – definicja incydentu jest wkładem zespołu CERT/CSRIT. Realizacja przez
własny zespół lub usługa (np. ComCert, Orange CERT etc)
Architektura oprogramowania podzielona na dużą liczbę modułów umożliwiających równoległe
przetwarzania bardzo dużych ilości danych (C/C++, python, postgresql, redis)
Budowa umożliwia wykorzystanie w ekosystemie VMWare, OpenStack i Ganeti
Narzędzia automatyzacji procesów ansible
3PAŹDZIERNIK 2018
5. Treatnet – NETWORK SESSION COLLECTOR
Treatnet - NETWORK SESSION COLLECTOR jeden z głównych modułów Treatnet
▪ Unikalny produkt na rynku, więcej niż SIEM, gromadzi SESJE bazując na danych
z Radius/Syslog
▪ Odpowiedzialny za gromadzenie danych nt. abonentów z różnych rozproszonych systemów
▪ Odpowiedzialny za zgromadzenie i przetworzenie napływających danych z systemów logujących (np.
RADIUS) a następnie zapisanie ich znormalizowanej formie w bazie danych
▪ Musi on sprostać skali napływających komunikatów do ok. 200tys/sek (wytestowana
w warunkach RZECZYWISTYCH wartość)
▪ Utrudnieniem jest to, że w różnych usługach są różne technologie w tym IPv4 i IPv6, zmienne adresy IP (np.
usługa Orange Neostrada co max. 24h), DS-Lite etc..
▪ Wykorzystywane przez operatorów (CG-NAT) lub przedsiębiorstwa (NAT) techniki translacji adresów wielu-
prywatnych-IP w jeden-publiczny-IP wymagają synchronizacji i analizy sesji UDP/TCP.
▪ Może stanowić także samodzielny produkt, pełniąc funkcje archiwizatora odwołań
użytkowników do sieci Internet
4PAŹDZIERNIK 2018
6. Treatnet – NETWORK SESSION COLLECTOR
Treatnet - NETWORK SESSION COLLECTOR (NSC)
NSC zbiera trzy podstawowe typy informacji:
▪ UserID i jego Adres IP w danym momencie czasowym
▪ Logi Syslog, Radius, etc. dowolnie formatowane dane poprzez odpowiednie wtyczki
▪ Sesje użytkowników (dla CG-NAT/NAT)
NSC – NIE SKANUJE RUCHU IP / Wszystkie dane nt. logów i sesji pochodzą z systemów logowania
▪ Radius Accounting, Wspiera technologie Port Block Allocation (PBA)
▪ CG-NAT, NAT, Firewall (Juniper, Checkpoint, Palo Alto, Fortinet, Cisco)
▪ Microsoft AD, LDAP *)
▪ Checkpoint ID Awarnes, Palo Alto Identity Agent, Juniper Integrated User Firewall/JIMS, XFF *)
▪ NAC Pulse Secure, Aruba ClearPass, Cisco ISE *)
▪ NetFlow (Elastic Beats) *)
* – co oznaczają gwiazdki?
5PAŹDZIERNIK 2018