SlideShare a Scribd company logo

Bezpečnost síťové části e-Infrastruktury CESNET

CESNET
CESNET

Prezentace ze Semináře o bezpečnosti sítí a služeb, Praha, 9. 2. 2016

Internet
1 of 51
Download to read offline
Bezpečnost síťové části e-Infrastruktury CESNET Tomáš Košňar CESNET z. s. p. o. Seminář o bezpečnosti sítí a služeb Praha, 9. 2. 2016
...zaměřeno na sdílenou část sítě e-infrastruktury CESNET... ● Síťová část e-Infrastruktury CESNET ● Stručné overview základních služeb a nástrojů používaných při monitoringu síťové části e-Infrastruktury CESNET ve vazbě bezpečnostní oblast ● Pozorované trendy v oblasti síťových útoků ● Reakce na vývoj v oblasti útoků z hlediska jejich detekce a obrany v síťové části e-Infrastruktury CESNET Agenda
● Architektura – Fyzická infrastruktura ● Dominantně optická vlákna; cca 6000 km tras (cca 1800 jednovláknové), redundantní připojení uzlů – Optická přenosová infrastruktura ● 2 komplementární systémy ● Nx1-100Gbps kanály (až 80 kanálů v primárním systému) ● Platforma pro výstavbu „okruhů“ a sítí – IP/MPLS síť ● 100 GE jádro, připojení uzlů Nx10..100GE ● Velcí uživatelé 10-Nx10-40GE ● Dedikované sítě a propoje pro technologické komponenty, uživatelské skupiny, projekty apod. ● Sdílená IP síť Budovánovlastnímisilami Síťová část e-Infrastruktury CESNET
● Aktuální stav Síťová část e-Infrastruktury CESNET ● Poslední změny: ● GÉANT upgrade → 100 GE ● Public Internet upgrade → 10 Gbps ● CBF CESNET-ACONET-SANET upgrade
..z podstaty účelu a parametrů e-Infrastruktury.. – Výkonná páteřní síť, jádro 100 Gb/s, dostatek volné kapacity – Vysoká externí agregovaná kapacita ~ 120 Gbps (fyz.++) ● GÉANT 30 Gb/s (100 GE) ● NIX.CZ 2x20 Gb/s ● AMS-IX 10 Gb/s ● CBF – ACONET (VIX) 10 Gb/s – SANET (SIX) 10 Gb/s – PIONIER 10 Gb/s ● Google 10 Gb/s Významné aspekty se vztahem k bezpečnosti
– Výkonné koncové sítě (připojení velkých Nx10-40 Gb/s) ● Vysoká kapacita ● Veřejné adresy, typické prefixy ~ /16 v IPv4 ● Relativně vysoká kapacita (1Gbps+) dostupná koncovým uživatelům ● Nedeterministický průběh provozu Významné aspekty se vztahem k bezpečnosti
– Transparentní politika správy ● Východisko: bez omezování legitimního (technologicky) provozu ● Nabídka služeb a nástrojů pro seberegulaci ● V případě anomálií rozhodování na základě vyhodnocení konkrétní situace ● V případě ohrožení stability infrastruktury povinnost zasáhnout ● V případě žádosti uživatele můžeme nastavit regulaci v páteři pro koncovou síť – nepodstatná anomálie z perspektivy páteře může být likvidační pro chod koncové sítě nebo její části Významné aspekty se vztahem k bezpečnosti
..závazky vůči uživatelské komunitě, partnerům, zákonu.. ● Interně nastavená kritéria, úrovně odpovědnosti a etiky – Průběžné diskuse „best-practices“ (workshopy, semináře) – Platforma CSIRT forum – konsensuální míra konformity vůči ZEK (CESNET - neveřejný operátor) ● Členství v komunitách (FENIX, CSIRT.CZ, GÉANT, FIRST..) – Organizační, technické a provozní podmínky – Odpovědnost vůči partnerům a „misi“ komunity – Odpovědnost za obsahové naplnění povinností ● ZKB – Vyplývající povinnosti ~ detekce kybernetických bezpečnostních událostí.., hlášení incidentů,.. Významné aspekty se vztahem k bezpečnosti
Monitorovací infrastruktura v síťové části - HW akcelerované sondy - plošný monitoring IP provozu na bázi toků (zdroje provozních informací) - Honey Pots - IDS a IPS systémy apod. - monitoring infrastruktury na bázi SNMP
● Souvislé a plošné sledování prvků infrastruktury a provozu sítě v e-Infrastruktuře CESNET – Systém G3 → aktivní prvky infrastruktury ● Monitoring zařízení především na bázi SNMP – HW akcelerované sondy → externí linky ● Kompletní provoz na perimetru sítě – Systém FTAS → páteřní IP ifrastruktura ● Informace o IP provozu na bázi toků Monitorovací infrastruktura v síťové části
..sledování prvků a zařízení, ze kterých je síťová část sestavena.. ● Sběr informací na bázi SNMP a dalších protokolů, jejich zpracování a dlouhodobé uchování (RRD s progresivní agregací) ● Interaktivní UI, periodický reporting ● mj. vyhodnocení a vizualizace anomálií Monitoring infrastruktury – systém G3
● UI pro vizualizaci anomálií ..??? :-) Pozn.: měřeno pomocí RFC2863 (IF- MIB) Monitoring infrastruktury – systém G3
● UI pro vizualizaci anomálií – běžný provoz nebo anomálie ? Monitoring infrastruktury – systém G3
● UI pro vizualizaci anomálií – Odpovídající notifikace události Monitoring infrastruktury – systém G3
● Systém G3 v páteři e-Infrastruktury – Rozsah měření a nároky na zdroje ● Aktuálně přibližně 220 zařízení ● Více než 780 tisíc údajů měřených v průměru jednou za 430 vteřin Monitoring infrastruktury – systém G3
● Systém G3 v páteři e-Infrastruktury – Rozsah měření a nároky na zdroje → ● 2 paralelně běžící servery, fyzické, aktuálně 3. pár v historii provozu a vývoje systému; velmi rozsáhlá RRD DB ● 20x CPU E5-2690 @ 2.90GHz, 192 GB RAM, 1.2 TB storage (RAID10, 15k SAS) ● historie dat cca 10+ let Monitoring infrastruktury – systém G3
● Význam pro oblast bezpečnosti – Souvislý přehled o stavu infrastruktury, míře využití, chybovosti apod. → optimalizace infrastruktury → vyšší rezistence oproti některým útokům – Detekce aktuálně se vyskytujících anomálií (na dané úrovni pozorování → limity) + možnost okamžité notifikace – Možnost zpětné analýzy projevu uskutečněných útoků v infrastruktuře ● Systém G3 jako služba pro síťovou infrastrukturu uživatele – Samostatná, dedikovaná instalace systému v a) síti uživatele (zpravidla) nebo b) vzdálená (SNMP v3 nebo zapouzdření) – HW nebo virtuál – Správa OS sdílená dle dohody – Správa aplikace CESNET (konfig.) – I jako součást STaaS (slide 34,35) Monitoring infrastruktury – systém G3
HW akcelerované sondy na perimetru sítě ● Architektura sondy
HW akcelerované sondy na perimetru sítě ● Bezeztrátový a přesný obraz provozu ● Detailní měření s volitelnou úrovní, velmi jemná časová granularitou ● Tunelovaný provoz ● „Znalost“ vybraných aplikačních protokolů (HTTP, DNS, SIP) ● Možnost vyčlenění zájmového provozu ● Základna pro „ruční“ analýzu a učení se novým jevům (HeartBleed pasivní detektor apod.) a pro tvorbu detektorů ● Zdroj dat a souhrnných statistických informací pro další výzkum ● Produkční zdroj flow-based provozních informací ● Detekce relevantních bezpečnostních událostí na perimetru sítě, export do systémů sdílení bezpečnostních informací
● Provozní informace – 8 produkčních sond, 1 stand-by, 2 testovací – Počet linek 1x100Gb/s, 11x10 Gb/s, portů 24 (420 Gb/s) – Celkem 136 core – Kolektor IPFIXcol ● 6xCPU (Xeon), 64 TB storage, input bit-rate do 200 Mb/s ● Behavioral analysis ~ 6 GB RAM ● Doba uchování dat 1 rok ● Jako služba pro uživatele - součást STaaS (slide 34,35) HW akcelerované sondy na perimetru sítě
● Nástroj pro souvislé zpracování flow-based informací o IP provozu ● Od rozsáhlých sítí (plošně) až po data z jednotlivých zařízení ● Od multi-serverové architektury až po all-in-one box 1. Zpracování informací o IP provozu 2. Zpřístupnění zpracovaných informací 3. Periodický reporting požadovaných charakteristik provozu 4. Detekce a notifikace anomálií Monitoring IP provozu na bázi toků – FTAS
1. Zpracování informací o IP provozu – Architektura primární instalace FTAS v e-Infrastruktuře CESNET - lokality se zdroji provozních záznamů uživatelů - zdroje provozních záznamů v páteři e-Infrastruktury CESNET Monitoring IP provozu na bázi toků – FTAS
1. Zpracování informací o IP provozu – Příklad využití primární instalace FTAS v e-Infrastruktuře CESNET pro zpracování provozních informací z koncové sítě Monitoring IP provozu na bázi toků – FTAS
1. Zpracování informací o IP provozu – Příklad obecné architektury samostatné dedikované instalace FTAS pro síť uživatele Monitoring IP provozu na bázi toků – FTAS
2. Zpřístupnění zpracovaných informací – Základní úroveň – interaktivní UI, komplexní vyhledávací a vizualizační aparát (pozn.: 2015 upgrade UI – postupně nasazováno) Monitoring IP provozu na bázi toků – FTAS
3. Periodický reporting požadovaných chrakteristik provozu – a) Statické HTML struktury (pozn: 2015 upgrade paralelně s UI) Monitoring IP provozu na bázi toků – FTAS
3. Periodický reporting požadovaných chrakteristik provozu – b) Souhrnné reporty formou e-mailu Monitoring IP provozu na bázi toků – FTAS
4. Detekce a notifikace anomálií ● Typ 1 ~ „semi real time“ - krátký časový interval (jednotky vteřin), jednorázové vyhodnocení, zdroje nebo cíle anomálie Vymezení provozu (rozsahy IP, protokoly, porty, rozhraní) + Stanovení limitu pro tento provoz ~ detekory na klíč ● Původně algoritmicky počet flow záznamů vztažený k cíli nebo zdroji, které mají „flow-start-time“ uvnitř intervalu vyhodnocení ~ TCP SYN only s limitem více než 1000 pokusů během 2 vteřin z jednoho zdroje ● Uchování provozních informací (dostupné přes standardní UI), možnost notifikace (e-mail), možnost exportu událostí do systému Warden (Q1,16) ● 2016 Q1 rozšíření → viz. slide 43-45 Monitoring IP provozu na bázi toků – FTAS
4. Detekce a notifikace anomálií ● Typ 2 ~ „ex-post“ - delší časový interval (minuty, desítky minut), vyhodnocení výsledků z několika po sobě jdoucích intervalů podle Typ 1 – Technicky: Typ 1 (s měkčími limity) + limity pro vyhodnocení v delším časovém intervalu (zpracovává modul pro reporting) ~ celkový objem přenosu, počet protějších IP adres, počet použitých čísel portů apod. ~ lokální IP adresy odesílající z tcp/80,443 během 10 minut na více než 100 protějších IP adres v celkovém objemu alespoň 50MB; prerekvizita (Typ 1) ~ alespoň 5 toků z portu tcp/80,443 během 10 vteřin; výjimka pro lokální WWW server ● Uchování provozních informací (dostupné přes standardní UI), report (HTML, e-mail) nebo notifikace (e-mail) Monitoring IP provozu na bázi toků – FTAS
● Kompletní schéma zpřístupnění informací uživatelům včetně výsledků detekce anomálií Notifikace bezpečnostních událostí Analytická práce – UI, reporting Monitoring IP provozu na bázi toků – FTAS
● Provozní informace a nároky na zdroje – Export ze 74 zdrojů do primární instalace ● 24 páteř ● 50 sítě uživatelů Monitoring IP provozu na bázi toků – FTAS – Primární instalace v e-Infrastruktuře ~ 19 uzlů, celkem 460 jader, 1.5 TB RAM, 200+TB storage – Data TTL (páteřní zařízení) ~ 2-3 měsíce - automatická údržba volného místa (“cut“ | “cut+sample old“) – Export ze 40 zdrojů do privátních instalací uživatelů ~ 50 uživatelských skupin (instituce, týmy, infrastruktury)
● Význam pro oblast bezpečnosti – Sběr, zpracování, uchování a zprostředkování informací o IP provozu – Zpětná analýza libovolného provozu podle potřeb pomocí komplexního vyhledávacího a vizualizačního aparátu (interaktivní UI) – Detekce anomálií na míru (~bezpečnostní události) ● Variabilita nastavení parametrů a limitů pro vyhodnocení (rozšířený koncept slide 43-45) ● V krátkodobé (vteřiny) i střednědobé (minuty) časové perspektivě ● Možnost notifikace, exportu detekovaných událostí do systému sdílené obrany (Warden) ● Uchování souvisejících provozních informací pro další analýzu (interaktivní UI) Monitoring IP provozu na bázi toků – FTAS
● Systém FTAS jako služba – a) Zpracování informací o IP provozu uživatele v primární instalaci v e-Infrastruktuře ● Data z hraničního prvku e-Infrastruktury a/nebo ze síťových prvků uživatele – b) Zpracování informací o IP provozu uživatele v dedikované instalaci FTAS ● Data ze síťových prvků uživatele ● Zdroje pro provoz FTAS uživatele (možná virtualizace) ● Společná správa OS ● Instalace, konfigurace, správa FTAS – CESNET ● Možná součást STaaS (slide 34,35) Realizace služby, konzultace před realizací služby: sluzby@cesnet.cz Monitoring IP provozu na bázi toků – FTAS
● Sonda + monitorovací nástroje dedikované pro síť uživatele – příklad sestavení – může obsahovat libovolný počet komponent “All in one“ koncept monitorování sítě – STaaS
● Rozšíření o systém sdílení informací Mentat (~ sjednocení a „normalizace“ informací o anomáliích/událostech) ● Průběžné rozšiřování o další komponenty - „HoneyPot_aaS na čekačce“ “All in one“ koncept monitorování sítě – STaaS
● Konkrétní detailní informace o provozu ● Informace o uskutečněném provozu ● Odhalení podvržení adres ● Automatická detekce anomálií ● Verifikace a analýza bezpečnostních incidentů ● Vzorky dat, ladění sítě ● Obrana sítě, služeb a uživatelů ● Systematické sledování provozu sítě (instituce) ● Náhled na provoz sítě ● Zdraví, vytížení sítě ● Architektura sítě a její optimalizace a rozvoj ● Statistiky provozu Využití monitorovacích služeb v síti e-Infrastruktury ..oddetailního....ksouhrnnému.. CSIRT Dohledová pracoviště Výzkumné týmy Správci sítí Správci služeb CTO Manažer IT
● Zkracování doby trvání útoku → jednotky minut → jednotky vteřin Trendy v oblasti síťových DDoS útoků ?
● IPv6 ? Trendy v oblasti síťových DDoS útoků ?
● „Spektrálně rozmanité“ ~ multi ale i single flow ● Stále „populární“ bounce & amplification – UDP ~ ..19, 53, 123, 161,..; stále detekován TCP SYN flood atd. ● „odpovídající“ intenzita – e-Infrastruktura CESNET ● Externí propojení ~ 120 Gb/s ● Jádro páteře ~ 100 Gb/s ● Připojení uživatelů aktuálně max. 40 Gb/s ● ..na páteři dostatek kapacity k přenesení provozu takového objemu, který „odpojí“ koncovou síť (virt. platformy apod.) Trendy v oblasti síťových DDoS útoků ?
● „odpovídající“ intenzita – ..na páteři dostatek kapacity k přenesení provozu takového objemu, který „odpojí“ koncovou síť, „vyblokuje“ virtualizační platformu apod... Trendy v oblasti síťových DDoS útoků ?
● Potřeba přesnější detekce – Ošetření „střelby“ z vlastních řad – Lepší kalibrace obrany v příchozím směru – Rozšíření detekce ● Jemnější časová granularita → vyhodnocení v krátkém časovém intervalu (jednotky vteřin) ● Komplexnější možnosti a přesnější nastavení podmínek pro vyhodnocení → snížení pravděpodobnosti chybného vyhodnocení Trendy v oblasti síťových DDoS útoků ?
● Zachována původní architektura ~ Typ 1 (slide 28) – a. Výběr provozu, na který má být aplikován mechanismus vyhodnocení anomálií, pomocí filtračních možností FTAS – b. Vyhodnocení takto vybraného provozu vůči nastaveným limitům ● Rozšíření – Výpočet vstupních hodnot provozu pro vyhodnocení anomálií – Nastavení limitů + vyhodnocení provozních hodnot vůči nastaveným limitům Rozšíření flow-based detekce anomálií - FTAS
● Příchozí flow záznamy pro konkrétní zdroj nebo cíl na časové ose – „Trvání“ toků vs. velikost intervalu pro vyhodnocení – Zpoždění vyhodnocení – Vliv agresivity exportu ~ parametry flow-engine Rozšíření flow-based detekce anomálií - FTAS
● „Fragmentace“ a normalizace „flow“ záznamů – Lineární fragmentace – pro většinu záznamů OK – Časový rozsah některých záznamů ovlivněn něčím jiným než vlastnostmi sítě (čekání mezi pakety, chybná implementace ve flow-engine apod.) – Normalizace různých hodnot vzorkování (implementace Netflow, sFlow; flow count, octets, packets) ? Rozšíření flow-based detekce anomálií - FTAS
● Možnosti nastavení limitů – Původně Flow-Count limit za časový interval + možnost specifikovat individuální limity pro konkrétní IP – Nově 'or' kombinace podmínek Flow-Count+rozsahy Bytes, Pkts, Pkt-len + možnost specifikovat totéž pro konkrétní IP; zpětně kompatibilní Rozšíření flow-based detekce anomálií - FTAS Pozn.: provozně iracionální hodnoty – pouze pro ukázku možností
● Zjištění běžného objemu a charakteristiky UDP provozu služeb citlivých na amplifikaci – Flow-based analýza (FTAS) na externí hranici páteřní sítě, na hranici mezi páteřní sítí a regionem → úvaha směrem k nastavení policy Semi-automatická obrana sítě ?
● Aplikace na externích propojích sítě + řešení na vstupu do páteře - hrubá granularita ve vztahu ke koncovým sítím ~ SNMP, NTP Semi-automatická obrana sítě ?
● Aplikace na hraně mezi páteří a uživateli + jemná granularita ve vztahu ke koncovým sítím - provoz prochází páteří ~ DNS, fragmenty Semi-automatická obrana sítě ?
● Pro případ ohrožení infrastruktury uživatelské sítě prostřednictvím útoku na uchopitelné množství cílů v uživatelské síti ● Pro BGP „připojené“ sítě nebo při použití BGP multihop ● RTBH jako služba ● Uživatel si řídí sám Uživatelsky řízená obrana sítě
Realizace služeb, konzultace k problematice, konzultace před realizací služeb: sluzby@cesnet.cz Služby sledování infrastruktury a IP provozu
Díky za trpělivost a pozornost :-) ???

Recommended

Scanned-image-17
Scanned-image-17Scanned-image-17
Scanned-image-17Howard Feingold
 
Cdigosqrcpartyco 100702011103-phpapp01
Cdigosqrcpartyco 100702011103-phpapp01Cdigosqrcpartyco 100702011103-phpapp01
Cdigosqrcpartyco 100702011103-phpapp01
campus party
 
Shelly Page Resume 2015 (LIn)
Shelly Page Resume 2015 (LIn)Shelly Page Resume 2015 (LIn)
Shelly Page Resume 2015 (LIn)Shelly Page
 
Calendário fpf
Calendário fpfCalendário fpf
Calendário fpfPortal NE10
 
StickerGiant Staff Cookbook 2015
StickerGiant Staff Cookbook 2015StickerGiant Staff Cookbook 2015
StickerGiant Staff Cookbook 2015
StickerGiant.com Inc.
 
Edu352 discussion 2 week 1
Edu352 discussion 2 week 1Edu352 discussion 2 week 1
Edu352 discussion 2 week 1selenadawn
 
Construccion de superficies opticas 2
Construccion de superficies opticas 2Construccion de superficies opticas 2
Construccion de superficies opticas 2campus party
 
2014全球傳動企業社會責任書
2014全球傳動企業社會責任書2014全球傳動企業社會責任書
2014全球傳動企業社會責任書
CSRone
 

Recommended

Scanned-image-17
Scanned-image-17Scanned-image-17
Scanned-image-17Howard Feingold
 
Cdigosqrcpartyco 100702011103-phpapp01
Cdigosqrcpartyco 100702011103-phpapp01Cdigosqrcpartyco 100702011103-phpapp01
Cdigosqrcpartyco 100702011103-phpapp01
campus party
 
Shelly Page Resume 2015 (LIn)
Shelly Page Resume 2015 (LIn)Shelly Page Resume 2015 (LIn)
Shelly Page Resume 2015 (LIn)Shelly Page
 
Calendário fpf
Calendário fpfCalendário fpf
Calendário fpfPortal NE10
 
StickerGiant Staff Cookbook 2015
StickerGiant Staff Cookbook 2015StickerGiant Staff Cookbook 2015
StickerGiant Staff Cookbook 2015
StickerGiant.com Inc.
 
Edu352 discussion 2 week 1
Edu352 discussion 2 week 1Edu352 discussion 2 week 1
Edu352 discussion 2 week 1selenadawn
 
Construccion de superficies opticas 2
Construccion de superficies opticas 2Construccion de superficies opticas 2
Construccion de superficies opticas 2campus party
 
2014全球傳動企業社會責任書
2014全球傳動企業社會責任書2014全球傳動企業社會責任書
2014全球傳動企業社會責任書
CSRone
 
Slovak SanEd Training Day 2012 - New Networking in Solaris 11
Slovak SanEd Training Day 2012 - New Networking in Solaris 11Slovak SanEd Training Day 2012 - New Networking in Solaris 11
Slovak SanEd Training Day 2012 - New Networking in Solaris 11
Martin Cerveny
 
Komplexní analýza datové sítě
Komplexní analýza datové sítěKomplexní analýza datové sítě
Komplexní analýza datové sítě
RSM Czech Republic & Slovakia
 
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Security Session
 
Brožura Síťové technologie/ Murrelektronik
Brožura Síťové technologie/ MurrelektronikBrožura Síťové technologie/ Murrelektronik
Brožura Síťové technologie/ Murrelektronik
Ivana Vrzáková
 
CZNIC: Správa internetu, routing a IPv6
CZNIC: Správa internetu, routing a IPv6CZNIC: Správa internetu, routing a IPv6
CZNIC: Správa internetu, routing a IPv6
Tomáš Holas
 
Oracle Solaris Day 2013 - Oracle DB and OS Solaris
Oracle Solaris Day 2013 - Oracle DB and OS SolarisOracle Solaris Day 2013 - Oracle DB and OS Solaris
Oracle Solaris Day 2013 - Oracle DB and OS Solaris
Martin Cerveny
 
Co je NetFlow?
Co je NetFlow?Co je NetFlow?
Co je NetFlow?pavelminarik
 
Bezpečnost sítě CESNET2
Bezpečnost sítě CESNET2Bezpečnost sítě CESNET2
Bezpečnost sítě CESNET2
CESNET
 
SIGFOX jako přenosová síť
SIGFOX jako přenosová síťSIGFOX jako přenosová síť
SIGFOX jako přenosová síť
Ivo Kostecký
 
Prostředky spolupráce v reálném čase
Prostředky spolupráce v reálném časeProstředky spolupráce v reálném čase
Prostředky spolupráce v reálném čase
CESNET
 
Slovak Sun Training Day 2010 - DTrace
Slovak Sun Training Day 2010 - DTraceSlovak Sun Training Day 2010 - DTrace
Slovak Sun Training Day 2010 - DTrace
Martin Cerveny
 
Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014
Vladimír Smitka
 
Slovak Sun Training Day 2010 - OpenSolaris
Slovak Sun Training Day 2010 - OpenSolarisSlovak Sun Training Day 2010 - OpenSolaris
Slovak Sun Training Day 2010 - OpenSolaris
Martin Cerveny
 
Služby e-infrastruktury CESNET
Služby e-infrastruktury CESNETSlužby e-infrastruktury CESNET
Služby e-infrastruktury CESNET
CESNET
 
eMan Dev Meetup: Postavte si chytrou domácnost (2.8.2016, Hradec Králové)
eMan Dev Meetup: Postavte si chytrou domácnost (2.8.2016, Hradec Králové)eMan Dev Meetup: Postavte si chytrou domácnost (2.8.2016, Hradec Králové)
eMan Dev Meetup: Postavte si chytrou domácnost (2.8.2016, Hradec Králové)
eMan s.r.o.
 
SmartCard Forum 2008 - Programové vybavení OKsmart
SmartCard Forum 2008 - Programové vybavení OKsmartSmartCard Forum 2008 - Programové vybavení OKsmart
SmartCard Forum 2008 - Programové vybavení OKsmartOKsystem
 
Počítačové sítě - prof. Valášková
Počítačové sítě - prof. ValáškováPočítačové sítě - prof. Valášková
Počítačové sítě - prof. Valášková
guest7b9783a
 
Monitorování datových sítí
Monitorování datových sítíMonitorování datových sítí
Monitorování datových sítí
Roman Siansky
 
Ndk mu
Ndk muNdk mu
Ndk muTomáš Bouda
 
J.Peterka: Otevřená data v projektu NetMetr
J.Peterka: Otevřená data v projektu NetMetrJ.Peterka: Otevřená data v projektu NetMetr
J.Peterka: Otevřená data v projektu NetMetr
CTU_cz
 
Útoky na DNS
Útoky na DNSÚtoky na DNS
Útoky na DNS
CESNET
 
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojůMentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
CESNET
 

More Related Content

Similar to Bezpečnost síťové části e-Infrastruktury CESNET

Slovak SanEd Training Day 2012 - New Networking in Solaris 11
Slovak SanEd Training Day 2012 - New Networking in Solaris 11Slovak SanEd Training Day 2012 - New Networking in Solaris 11
Slovak SanEd Training Day 2012 - New Networking in Solaris 11
Martin Cerveny
 
Komplexní analýza datové sítě
Komplexní analýza datové sítěKomplexní analýza datové sítě
Komplexní analýza datové sítě
RSM Czech Republic & Slovakia
 
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Security Session
 
Brožura Síťové technologie/ Murrelektronik
Brožura Síťové technologie/ MurrelektronikBrožura Síťové technologie/ Murrelektronik
Brožura Síťové technologie/ Murrelektronik
Ivana Vrzáková
 
CZNIC: Správa internetu, routing a IPv6
CZNIC: Správa internetu, routing a IPv6CZNIC: Správa internetu, routing a IPv6
CZNIC: Správa internetu, routing a IPv6
Tomáš Holas
 
Oracle Solaris Day 2013 - Oracle DB and OS Solaris
Oracle Solaris Day 2013 - Oracle DB and OS SolarisOracle Solaris Day 2013 - Oracle DB and OS Solaris
Oracle Solaris Day 2013 - Oracle DB and OS Solaris
Martin Cerveny
 
Bezpečnost sítě CESNET2
Bezpečnost sítě CESNET2Bezpečnost sítě CESNET2
Bezpečnost sítě CESNET2
CESNET
 
SIGFOX jako přenosová síť
SIGFOX jako přenosová síťSIGFOX jako přenosová síť
SIGFOX jako přenosová síť
Ivo Kostecký
 
Prostředky spolupráce v reálném čase
Prostředky spolupráce v reálném časeProstředky spolupráce v reálném čase
Prostředky spolupráce v reálném čase
CESNET
 
Slovak Sun Training Day 2010 - DTrace
Slovak Sun Training Day 2010 - DTraceSlovak Sun Training Day 2010 - DTrace
Slovak Sun Training Day 2010 - DTrace
Martin Cerveny
 
Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014
Vladimír Smitka
 
Slovak Sun Training Day 2010 - OpenSolaris
Slovak Sun Training Day 2010 - OpenSolarisSlovak Sun Training Day 2010 - OpenSolaris
Slovak Sun Training Day 2010 - OpenSolaris
Martin Cerveny
 
Služby e-infrastruktury CESNET
Služby e-infrastruktury CESNETSlužby e-infrastruktury CESNET
Služby e-infrastruktury CESNET
CESNET
 
eMan Dev Meetup: Postavte si chytrou domácnost (2.8.2016, Hradec Králové)
eMan Dev Meetup: Postavte si chytrou domácnost (2.8.2016, Hradec Králové)eMan Dev Meetup: Postavte si chytrou domácnost (2.8.2016, Hradec Králové)
eMan Dev Meetup: Postavte si chytrou domácnost (2.8.2016, Hradec Králové)
eMan s.r.o.
 
SmartCard Forum 2008 - Programové vybavení OKsmart
SmartCard Forum 2008 - Programové vybavení OKsmartSmartCard Forum 2008 - Programové vybavení OKsmart
SmartCard Forum 2008 - Programové vybavení OKsmartOKsystem
 
Počítačové sítě - prof. Valášková
Počítačové sítě - prof. ValáškováPočítačové sítě - prof. Valášková
Počítačové sítě - prof. Valášková
guest7b9783a
 
Monitorování datových sítí
Monitorování datových sítíMonitorování datových sítí
Monitorování datových sítí
Roman Siansky
 
J.Peterka: Otevřená data v projektu NetMetr
J.Peterka: Otevřená data v projektu NetMetrJ.Peterka: Otevřená data v projektu NetMetr
J.Peterka: Otevřená data v projektu NetMetr
CTU_cz
 

Similar to Bezpečnost síťové části e-Infrastruktury CESNET (20)

Slovak SanEd Training Day 2012 - New Networking in Solaris 11
Slovak SanEd Training Day 2012 - New Networking in Solaris 11Slovak SanEd Training Day 2012 - New Networking in Solaris 11
Slovak SanEd Training Day 2012 - New Networking in Solaris 11
 
Komplexní analýza datové sítě
Komplexní analýza datové sítěKomplexní analýza datové sítě
Komplexní analýza datové sítě
 
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
 
Brožura Síťové technologie/ Murrelektronik
Brožura Síťové technologie/ MurrelektronikBrožura Síťové technologie/ Murrelektronik
Brožura Síťové technologie/ Murrelektronik
 
CZNIC: Správa internetu, routing a IPv6
CZNIC: Správa internetu, routing a IPv6CZNIC: Správa internetu, routing a IPv6
CZNIC: Správa internetu, routing a IPv6
 
Oracle Solaris Day 2013 - Oracle DB and OS Solaris
Oracle Solaris Day 2013 - Oracle DB and OS SolarisOracle Solaris Day 2013 - Oracle DB and OS Solaris
Oracle Solaris Day 2013 - Oracle DB and OS Solaris
 
Co je NetFlow?
Co je NetFlow?Co je NetFlow?
Co je NetFlow?
 
Bezpečnost sítě CESNET2
Bezpečnost sítě CESNET2Bezpečnost sítě CESNET2
Bezpečnost sítě CESNET2
 
SIGFOX jako přenosová síť
SIGFOX jako přenosová síťSIGFOX jako přenosová síť
SIGFOX jako přenosová síť
 
Prostředky spolupráce v reálném čase
Prostředky spolupráce v reálném časeProstředky spolupráce v reálném čase
Prostředky spolupráce v reálném čase
 
Slovak Sun Training Day 2010 - DTrace
Slovak Sun Training Day 2010 - DTraceSlovak Sun Training Day 2010 - DTrace
Slovak Sun Training Day 2010 - DTrace
 
Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014
 
Slovak Sun Training Day 2010 - OpenSolaris
Slovak Sun Training Day 2010 - OpenSolarisSlovak Sun Training Day 2010 - OpenSolaris
Slovak Sun Training Day 2010 - OpenSolaris
 
Služby e-infrastruktury CESNET
Služby e-infrastruktury CESNETSlužby e-infrastruktury CESNET
Služby e-infrastruktury CESNET
 
eMan Dev Meetup: Postavte si chytrou domácnost (2.8.2016, Hradec Králové)
eMan Dev Meetup: Postavte si chytrou domácnost (2.8.2016, Hradec Králové)eMan Dev Meetup: Postavte si chytrou domácnost (2.8.2016, Hradec Králové)
eMan Dev Meetup: Postavte si chytrou domácnost (2.8.2016, Hradec Králové)
 
SmartCard Forum 2008 - Programové vybavení OKsmart
SmartCard Forum 2008 - Programové vybavení OKsmartSmartCard Forum 2008 - Programové vybavení OKsmart
SmartCard Forum 2008 - Programové vybavení OKsmart
 
Počítačové sítě - prof. Valášková
Počítačové sítě - prof. ValáškováPočítačové sítě - prof. Valášková
Počítačové sítě - prof. Valášková
 
Monitorování datových sítí
Monitorování datových sítíMonitorování datových sítí
Monitorování datových sítí
 
Ndk mu
Ndk muNdk mu
Ndk mu
 
J.Peterka: Otevřená data v projektu NetMetr
J.Peterka: Otevřená data v projektu NetMetrJ.Peterka: Otevřená data v projektu NetMetr
J.Peterka: Otevřená data v projektu NetMetr
 

More from CESNET

Útoky na DNS
Útoky na DNSÚtoky na DNS
Útoky na DNS
CESNET
 
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojůMentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
CESNET
 
Analýza dat z Wardenu
Analýza dat z WardenuAnalýza dat z Wardenu
Analýza dat z Wardenu
CESNET
 
SABU: Sdílení a analýza bezpečnostních událostí
SABU: Sdílení a analýza bezpečnostních událostíSABU: Sdílení a analýza bezpečnostních událostí
SABU: Sdílení a analýza bezpečnostních událostí
CESNET
 
PRedikce a Ochrana před Kybernetickými Incidenty
PRedikce a Ochrana před Kybernetickými IncidentyPRedikce a Ochrana před Kybernetickými Incidenty
PRedikce a Ochrana před Kybernetickými Incidenty
CESNET
 
FLAB: Forenzní laboratoř
FLAB: Forenzní laboratořFLAB: Forenzní laboratoř
FLAB: Forenzní laboratoř
CESNET
 
Malware Houdiny
Malware HoudinyMalware Houdiny
Malware Houdiny
CESNET
 
Cef 2014 opening
Cef 2014 openingCef 2014 opening
Cef 2014 opening
CESNET
 
Strategy and innovation_in_cef_networks
Strategy and innovation_in_cef_networksStrategy and innovation_in_cef_networks
Strategy and innovation_in_cef_networks
CESNET
 
Fibre footprint-for-research-infrastructures
Fibre footprint-for-research-infrastructuresFibre footprint-for-research-infrastructures
Fibre footprint-for-research-infrastructures
CESNET
 
Fibre spectrum sharing_for_rd_networks
Fibre spectrum sharing_for_rd_networksFibre spectrum sharing_for_rd_networks
Fibre spectrum sharing_for_rd_networks
CESNET
 
A little talk_about_sane_progress
A little talk_about_sane_progressA little talk_about_sane_progress
A little talk_about_sane_progressCESNET
 
Představení e-Infrastruktury CESNET
Představení e-Infrastruktury CESNETPředstavení e-Infrastruktury CESNET
Představení e-Infrastruktury CESNET
CESNET
 
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
CESNET
 
Forenzní laboratoř
Forenzní laboratořForenzní laboratoř
Forenzní laboratoř
CESNET
 
PKI služby CESNETu
PKI služby CESNETuPKI služby CESNETu
PKI služby CESNETu
CESNET
 
Antispam Gateway – pračka elektronické pošty
Antispam Gateway – pračka elektronické poštyAntispam Gateway – pračka elektronické pošty
Antispam Gateway – pračka elektronické pošty
CESNET
 
Základní funkce MetaCentra a jejich využití
Základní funkce MetaCentra a jejich využitíZákladní funkce MetaCentra a jejich využití
Základní funkce MetaCentra a jejich využití
CESNET
 
Datová úložiště CESNET
Datová úložiště CESNETDatová úložiště CESNET
Datová úložiště CESNET
CESNET
 
Komunikační infrastruktura - síť CESNET2
Komunikační infrastruktura - síť CESNET2Komunikační infrastruktura - síť CESNET2
Komunikační infrastruktura - síť CESNET2
CESNET
 

More from CESNET (20)

Útoky na DNS
Útoky na DNSÚtoky na DNS
Útoky na DNS
 
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojůMentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
 
Analýza dat z Wardenu
Analýza dat z WardenuAnalýza dat z Wardenu
Analýza dat z Wardenu
 
SABU: Sdílení a analýza bezpečnostních událostí
SABU: Sdílení a analýza bezpečnostních událostíSABU: Sdílení a analýza bezpečnostních událostí
SABU: Sdílení a analýza bezpečnostních událostí
 
PRedikce a Ochrana před Kybernetickými Incidenty
PRedikce a Ochrana před Kybernetickými IncidentyPRedikce a Ochrana před Kybernetickými Incidenty
PRedikce a Ochrana před Kybernetickými Incidenty
 
FLAB: Forenzní laboratoř
FLAB: Forenzní laboratořFLAB: Forenzní laboratoř
FLAB: Forenzní laboratoř
 
Malware Houdiny
Malware HoudinyMalware Houdiny
Malware Houdiny
 
Cef 2014 opening
Cef 2014 openingCef 2014 opening
Cef 2014 opening
 
Strategy and innovation_in_cef_networks
Strategy and innovation_in_cef_networksStrategy and innovation_in_cef_networks
Strategy and innovation_in_cef_networks
 
Fibre footprint-for-research-infrastructures
Fibre footprint-for-research-infrastructuresFibre footprint-for-research-infrastructures
Fibre footprint-for-research-infrastructures
 
Fibre spectrum sharing_for_rd_networks
Fibre spectrum sharing_for_rd_networksFibre spectrum sharing_for_rd_networks
Fibre spectrum sharing_for_rd_networks
 
A little talk_about_sane_progress
A little talk_about_sane_progressA little talk_about_sane_progress
A little talk_about_sane_progress
 
Představení e-Infrastruktury CESNET
Představení e-Infrastruktury CESNETPředstavení e-Infrastruktury CESNET
Představení e-Infrastruktury CESNET
 
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
 
Forenzní laboratoř
Forenzní laboratořForenzní laboratoř
Forenzní laboratoř
 
PKI služby CESNETu
PKI služby CESNETuPKI služby CESNETu
PKI služby CESNETu
 
Antispam Gateway – pračka elektronické pošty
Antispam Gateway – pračka elektronické poštyAntispam Gateway – pračka elektronické pošty
Antispam Gateway – pračka elektronické pošty
 
Základní funkce MetaCentra a jejich využití
Základní funkce MetaCentra a jejich využitíZákladní funkce MetaCentra a jejich využití
Základní funkce MetaCentra a jejich využití
 
Datová úložiště CESNET
Datová úložiště CESNETDatová úložiště CESNET
Datová úložiště CESNET
 
Komunikační infrastruktura - síť CESNET2
Komunikační infrastruktura - síť CESNET2Komunikační infrastruktura - síť CESNET2
Komunikační infrastruktura - síť CESNET2
 

Bezpečnost síťové části e-Infrastruktury CESNET

  • 1. Bezpečnost síťové části e-Infrastruktury CESNET Tomáš Košňar CESNET z. s. p. o. Seminář o bezpečnosti sítí a služeb Praha, 9. 2. 2016
  • 2. ...zaměřeno na sdílenou část sítě e-infrastruktury CESNET... ● Síťová část e-Infrastruktury CESNET ● Stručné overview základních služeb a nástrojů používaných při monitoringu síťové části e-Infrastruktury CESNET ve vazbě bezpečnostní oblast ● Pozorované trendy v oblasti síťových útoků ● Reakce na vývoj v oblasti útoků z hlediska jejich detekce a obrany v síťové části e-Infrastruktury CESNET Agenda
  • 3. ● Architektura – Fyzická infrastruktura ● Dominantně optická vlákna; cca 6000 km tras (cca 1800 jednovláknové), redundantní připojení uzlů – Optická přenosová infrastruktura ● 2 komplementární systémy ● Nx1-100Gbps kanály (až 80 kanálů v primárním systému) ● Platforma pro výstavbu „okruhů“ a sítí – IP/MPLS síť ● 100 GE jádro, připojení uzlů Nx10..100GE ● Velcí uživatelé 10-Nx10-40GE ● Dedikované sítě a propoje pro technologické komponenty, uživatelské skupiny, projekty apod. ● Sdílená IP síť Budovánovlastnímisilami Síťová část e-Infrastruktury CESNET
  • 4. ● Aktuální stav Síťová část e-Infrastruktury CESNET ● Poslední změny: ● GÉANT upgrade → 100 GE ● Public Internet upgrade → 10 Gbps ● CBF CESNET-ACONET-SANET upgrade
  • 5. ..z podstaty účelu a parametrů e-Infrastruktury.. – Výkonná páteřní síť, jádro 100 Gb/s, dostatek volné kapacity – Vysoká externí agregovaná kapacita ~ 120 Gbps (fyz.++) ● GÉANT 30 Gb/s (100 GE) ● NIX.CZ 2x20 Gb/s ● AMS-IX 10 Gb/s ● CBF – ACONET (VIX) 10 Gb/s – SANET (SIX) 10 Gb/s – PIONIER 10 Gb/s ● Google 10 Gb/s Významné aspekty se vztahem k bezpečnosti
  • 6. – Výkonné koncové sítě (připojení velkých Nx10-40 Gb/s) ● Vysoká kapacita ● Veřejné adresy, typické prefixy ~ /16 v IPv4 ● Relativně vysoká kapacita (1Gbps+) dostupná koncovým uživatelům ● Nedeterministický průběh provozu Významné aspekty se vztahem k bezpečnosti
  • 7. – Transparentní politika správy ● Východisko: bez omezování legitimního (technologicky) provozu ● Nabídka služeb a nástrojů pro seberegulaci ● V případě anomálií rozhodování na základě vyhodnocení konkrétní situace ● V případě ohrožení stability infrastruktury povinnost zasáhnout ● V případě žádosti uživatele můžeme nastavit regulaci v páteři pro koncovou síť – nepodstatná anomálie z perspektivy páteře může být likvidační pro chod koncové sítě nebo její části Významné aspekty se vztahem k bezpečnosti
  • 8. ..závazky vůči uživatelské komunitě, partnerům, zákonu.. ● Interně nastavená kritéria, úrovně odpovědnosti a etiky – Průběžné diskuse „best-practices“ (workshopy, semináře) – Platforma CSIRT forum – konsensuální míra konformity vůči ZEK (CESNET - neveřejný operátor) ● Členství v komunitách (FENIX, CSIRT.CZ, GÉANT, FIRST..) – Organizační, technické a provozní podmínky – Odpovědnost vůči partnerům a „misi“ komunity – Odpovědnost za obsahové naplnění povinností ● ZKB – Vyplývající povinnosti ~ detekce kybernetických bezpečnostních událostí.., hlášení incidentů,.. Významné aspekty se vztahem k bezpečnosti
  • 9. Monitorovací infrastruktura v síťové části - HW akcelerované sondy - plošný monitoring IP provozu na bázi toků (zdroje provozních informací) - Honey Pots - IDS a IPS systémy apod. - monitoring infrastruktury na bázi SNMP
  • 10. ● Souvislé a plošné sledování prvků infrastruktury a provozu sítě v e-Infrastruktuře CESNET – Systém G3 → aktivní prvky infrastruktury ● Monitoring zařízení především na bázi SNMP – HW akcelerované sondy → externí linky ● Kompletní provoz na perimetru sítě – Systém FTAS → páteřní IP ifrastruktura ● Informace o IP provozu na bázi toků Monitorovací infrastruktura v síťové části
  • 11. ..sledování prvků a zařízení, ze kterých je síťová část sestavena.. ● Sběr informací na bázi SNMP a dalších protokolů, jejich zpracování a dlouhodobé uchování (RRD s progresivní agregací) ● Interaktivní UI, periodický reporting ● mj. vyhodnocení a vizualizace anomálií Monitoring infrastruktury – systém G3
  • 12. ● UI pro vizualizaci anomálií ..??? :-) Pozn.: měřeno pomocí RFC2863 (IF- MIB) Monitoring infrastruktury – systém G3
  • 13. ● UI pro vizualizaci anomálií – běžný provoz nebo anomálie ? Monitoring infrastruktury – systém G3
  • 14. ● UI pro vizualizaci anomálií – Odpovídající notifikace události Monitoring infrastruktury – systém G3
  • 15. ● Systém G3 v páteři e-Infrastruktury – Rozsah měření a nároky na zdroje ● Aktuálně přibližně 220 zařízení ● Více než 780 tisíc údajů měřených v průměru jednou za 430 vteřin Monitoring infrastruktury – systém G3
  • 16. ● Systém G3 v páteři e-Infrastruktury – Rozsah měření a nároky na zdroje → ● 2 paralelně běžící servery, fyzické, aktuálně 3. pár v historii provozu a vývoje systému; velmi rozsáhlá RRD DB ● 20x CPU E5-2690 @ 2.90GHz, 192 GB RAM, 1.2 TB storage (RAID10, 15k SAS) ● historie dat cca 10+ let Monitoring infrastruktury – systém G3
  • 17. ● Význam pro oblast bezpečnosti – Souvislý přehled o stavu infrastruktury, míře využití, chybovosti apod. → optimalizace infrastruktury → vyšší rezistence oproti některým útokům – Detekce aktuálně se vyskytujících anomálií (na dané úrovni pozorování → limity) + možnost okamžité notifikace – Možnost zpětné analýzy projevu uskutečněných útoků v infrastruktuře ● Systém G3 jako služba pro síťovou infrastrukturu uživatele – Samostatná, dedikovaná instalace systému v a) síti uživatele (zpravidla) nebo b) vzdálená (SNMP v3 nebo zapouzdření) – HW nebo virtuál – Správa OS sdílená dle dohody – Správa aplikace CESNET (konfig.) – I jako součást STaaS (slide 34,35) Monitoring infrastruktury – systém G3
  • 18. HW akcelerované sondy na perimetru sítě ● Architektura sondy
  • 19. HW akcelerované sondy na perimetru sítě ● Bezeztrátový a přesný obraz provozu ● Detailní měření s volitelnou úrovní, velmi jemná časová granularitou ● Tunelovaný provoz ● „Znalost“ vybraných aplikačních protokolů (HTTP, DNS, SIP) ● Možnost vyčlenění zájmového provozu ● Základna pro „ruční“ analýzu a učení se novým jevům (HeartBleed pasivní detektor apod.) a pro tvorbu detektorů ● Zdroj dat a souhrnných statistických informací pro další výzkum ● Produkční zdroj flow-based provozních informací ● Detekce relevantních bezpečnostních událostí na perimetru sítě, export do systémů sdílení bezpečnostních informací
  • 20. ● Provozní informace – 8 produkčních sond, 1 stand-by, 2 testovací – Počet linek 1x100Gb/s, 11x10 Gb/s, portů 24 (420 Gb/s) – Celkem 136 core – Kolektor IPFIXcol ● 6xCPU (Xeon), 64 TB storage, input bit-rate do 200 Mb/s ● Behavioral analysis ~ 6 GB RAM ● Doba uchování dat 1 rok ● Jako služba pro uživatele - součást STaaS (slide 34,35) HW akcelerované sondy na perimetru sítě
  • 21. ● Nástroj pro souvislé zpracování flow-based informací o IP provozu ● Od rozsáhlých sítí (plošně) až po data z jednotlivých zařízení ● Od multi-serverové architektury až po all-in-one box 1. Zpracování informací o IP provozu 2. Zpřístupnění zpracovaných informací 3. Periodický reporting požadovaných charakteristik provozu 4. Detekce a notifikace anomálií Monitoring IP provozu na bázi toků – FTAS
  • 22. 1. Zpracování informací o IP provozu – Architektura primární instalace FTAS v e-Infrastruktuře CESNET - lokality se zdroji provozních záznamů uživatelů - zdroje provozních záznamů v páteři e-Infrastruktury CESNET Monitoring IP provozu na bázi toků – FTAS
  • 23. 1. Zpracování informací o IP provozu – Příklad využití primární instalace FTAS v e-Infrastruktuře CESNET pro zpracování provozních informací z koncové sítě Monitoring IP provozu na bázi toků – FTAS
  • 24. 1. Zpracování informací o IP provozu – Příklad obecné architektury samostatné dedikované instalace FTAS pro síť uživatele Monitoring IP provozu na bázi toků – FTAS
  • 25. 2. Zpřístupnění zpracovaných informací – Základní úroveň – interaktivní UI, komplexní vyhledávací a vizualizační aparát (pozn.: 2015 upgrade UI – postupně nasazováno) Monitoring IP provozu na bázi toků – FTAS
  • 26. 3. Periodický reporting požadovaných chrakteristik provozu – a) Statické HTML struktury (pozn: 2015 upgrade paralelně s UI) Monitoring IP provozu na bázi toků – FTAS
  • 27. 3. Periodický reporting požadovaných chrakteristik provozu – b) Souhrnné reporty formou e-mailu Monitoring IP provozu na bázi toků – FTAS
  • 28. 4. Detekce a notifikace anomálií ● Typ 1 ~ „semi real time“ - krátký časový interval (jednotky vteřin), jednorázové vyhodnocení, zdroje nebo cíle anomálie Vymezení provozu (rozsahy IP, protokoly, porty, rozhraní) + Stanovení limitu pro tento provoz ~ detekory na klíč ● Původně algoritmicky počet flow záznamů vztažený k cíli nebo zdroji, které mají „flow-start-time“ uvnitř intervalu vyhodnocení ~ TCP SYN only s limitem více než 1000 pokusů během 2 vteřin z jednoho zdroje ● Uchování provozních informací (dostupné přes standardní UI), možnost notifikace (e-mail), možnost exportu událostí do systému Warden (Q1,16) ● 2016 Q1 rozšíření → viz. slide 43-45 Monitoring IP provozu na bázi toků – FTAS
  • 29. 4. Detekce a notifikace anomálií ● Typ 2 ~ „ex-post“ - delší časový interval (minuty, desítky minut), vyhodnocení výsledků z několika po sobě jdoucích intervalů podle Typ 1 – Technicky: Typ 1 (s měkčími limity) + limity pro vyhodnocení v delším časovém intervalu (zpracovává modul pro reporting) ~ celkový objem přenosu, počet protějších IP adres, počet použitých čísel portů apod. ~ lokální IP adresy odesílající z tcp/80,443 během 10 minut na více než 100 protějších IP adres v celkovém objemu alespoň 50MB; prerekvizita (Typ 1) ~ alespoň 5 toků z portu tcp/80,443 během 10 vteřin; výjimka pro lokální WWW server ● Uchování provozních informací (dostupné přes standardní UI), report (HTML, e-mail) nebo notifikace (e-mail) Monitoring IP provozu na bázi toků – FTAS
  • 30. ● Kompletní schéma zpřístupnění informací uživatelům včetně výsledků detekce anomálií Notifikace bezpečnostních událostí Analytická práce – UI, reporting Monitoring IP provozu na bázi toků – FTAS
  • 31. ● Provozní informace a nároky na zdroje – Export ze 74 zdrojů do primární instalace ● 24 páteř ● 50 sítě uživatelů Monitoring IP provozu na bázi toků – FTAS – Primární instalace v e-Infrastruktuře ~ 19 uzlů, celkem 460 jader, 1.5 TB RAM, 200+TB storage – Data TTL (páteřní zařízení) ~ 2-3 měsíce - automatická údržba volného místa (“cut“ | “cut+sample old“) – Export ze 40 zdrojů do privátních instalací uživatelů ~ 50 uživatelských skupin (instituce, týmy, infrastruktury)
  • 32. ● Význam pro oblast bezpečnosti – Sběr, zpracování, uchování a zprostředkování informací o IP provozu – Zpětná analýza libovolného provozu podle potřeb pomocí komplexního vyhledávacího a vizualizačního aparátu (interaktivní UI) – Detekce anomálií na míru (~bezpečnostní události) ● Variabilita nastavení parametrů a limitů pro vyhodnocení (rozšířený koncept slide 43-45) ● V krátkodobé (vteřiny) i střednědobé (minuty) časové perspektivě ● Možnost notifikace, exportu detekovaných událostí do systému sdílené obrany (Warden) ● Uchování souvisejících provozních informací pro další analýzu (interaktivní UI) Monitoring IP provozu na bázi toků – FTAS
  • 33. ● Systém FTAS jako služba – a) Zpracování informací o IP provozu uživatele v primární instalaci v e-Infrastruktuře ● Data z hraničního prvku e-Infrastruktury a/nebo ze síťových prvků uživatele – b) Zpracování informací o IP provozu uživatele v dedikované instalaci FTAS ● Data ze síťových prvků uživatele ● Zdroje pro provoz FTAS uživatele (možná virtualizace) ● Společná správa OS ● Instalace, konfigurace, správa FTAS – CESNET ● Možná součást STaaS (slide 34,35) Realizace služby, konzultace před realizací služby: sluzby@cesnet.cz Monitoring IP provozu na bázi toků – FTAS
  • 34. ● Sonda + monitorovací nástroje dedikované pro síť uživatele – příklad sestavení – může obsahovat libovolný počet komponent “All in one“ koncept monitorování sítě – STaaS
  • 35. ● Rozšíření o systém sdílení informací Mentat (~ sjednocení a „normalizace“ informací o anomáliích/událostech) ● Průběžné rozšiřování o další komponenty - „HoneyPot_aaS na čekačce“ “All in one“ koncept monitorování sítě – STaaS
  • 36. ● Konkrétní detailní informace o provozu ● Informace o uskutečněném provozu ● Odhalení podvržení adres ● Automatická detekce anomálií ● Verifikace a analýza bezpečnostních incidentů ● Vzorky dat, ladění sítě ● Obrana sítě, služeb a uživatelů ● Systematické sledování provozu sítě (instituce) ● Náhled na provoz sítě ● Zdraví, vytížení sítě ● Architektura sítě a její optimalizace a rozvoj ● Statistiky provozu Využití monitorovacích služeb v síti e-Infrastruktury ..oddetailního....ksouhrnnému.. CSIRT Dohledová pracoviště Výzkumné týmy Správci sítí Správci služeb CTO Manažer IT
  • 37. ● Zkracování doby trvání útoku → jednotky minut → jednotky vteřin Trendy v oblasti síťových DDoS útoků ?
  • 38. ● IPv6 ? Trendy v oblasti síťových DDoS útoků ?
  • 39. ● „Spektrálně rozmanité“ ~ multi ale i single flow ● Stále „populární“ bounce & amplification – UDP ~ ..19, 53, 123, 161,..; stále detekován TCP SYN flood atd. ● „odpovídající“ intenzita – e-Infrastruktura CESNET ● Externí propojení ~ 120 Gb/s ● Jádro páteře ~ 100 Gb/s ● Připojení uživatelů aktuálně max. 40 Gb/s ● ..na páteři dostatek kapacity k přenesení provozu takového objemu, který „odpojí“ koncovou síť (virt. platformy apod.) Trendy v oblasti síťových DDoS útoků ?
  • 40. ● „odpovídající“ intenzita – ..na páteři dostatek kapacity k přenesení provozu takového objemu, který „odpojí“ koncovou síť, „vyblokuje“ virtualizační platformu apod... Trendy v oblasti síťových DDoS útoků ?
  • 41. ● Potřeba přesnější detekce – Ošetření „střelby“ z vlastních řad – Lepší kalibrace obrany v příchozím směru – Rozšíření detekce ● Jemnější časová granularita → vyhodnocení v krátkém časovém intervalu (jednotky vteřin) ● Komplexnější možnosti a přesnější nastavení podmínek pro vyhodnocení → snížení pravděpodobnosti chybného vyhodnocení Trendy v oblasti síťových DDoS útoků ?
  • 42. ● Zachována původní architektura ~ Typ 1 (slide 28) – a. Výběr provozu, na který má být aplikován mechanismus vyhodnocení anomálií, pomocí filtračních možností FTAS – b. Vyhodnocení takto vybraného provozu vůči nastaveným limitům ● Rozšíření – Výpočet vstupních hodnot provozu pro vyhodnocení anomálií – Nastavení limitů + vyhodnocení provozních hodnot vůči nastaveným limitům Rozšíření flow-based detekce anomálií - FTAS
  • 43. ● Příchozí flow záznamy pro konkrétní zdroj nebo cíl na časové ose – „Trvání“ toků vs. velikost intervalu pro vyhodnocení – Zpoždění vyhodnocení – Vliv agresivity exportu ~ parametry flow-engine Rozšíření flow-based detekce anomálií - FTAS
  • 44. ● „Fragmentace“ a normalizace „flow“ záznamů – Lineární fragmentace – pro většinu záznamů OK – Časový rozsah některých záznamů ovlivněn něčím jiným než vlastnostmi sítě (čekání mezi pakety, chybná implementace ve flow-engine apod.) – Normalizace různých hodnot vzorkování (implementace Netflow, sFlow; flow count, octets, packets) ? Rozšíření flow-based detekce anomálií - FTAS
  • 45. ● Možnosti nastavení limitů – Původně Flow-Count limit za časový interval + možnost specifikovat individuální limity pro konkrétní IP – Nově 'or' kombinace podmínek Flow-Count+rozsahy Bytes, Pkts, Pkt-len + možnost specifikovat totéž pro konkrétní IP; zpětně kompatibilní Rozšíření flow-based detekce anomálií - FTAS Pozn.: provozně iracionální hodnoty – pouze pro ukázku možností
  • 46. ● Zjištění běžného objemu a charakteristiky UDP provozu služeb citlivých na amplifikaci – Flow-based analýza (FTAS) na externí hranici páteřní sítě, na hranici mezi páteřní sítí a regionem → úvaha směrem k nastavení policy Semi-automatická obrana sítě ?
  • 47. ● Aplikace na externích propojích sítě + řešení na vstupu do páteře - hrubá granularita ve vztahu ke koncovým sítím ~ SNMP, NTP Semi-automatická obrana sítě ?
  • 48. ● Aplikace na hraně mezi páteří a uživateli + jemná granularita ve vztahu ke koncovým sítím - provoz prochází páteří ~ DNS, fragmenty Semi-automatická obrana sítě ?
  • 49. ● Pro případ ohrožení infrastruktury uživatelské sítě prostřednictvím útoku na uchopitelné množství cílů v uživatelské síti ● Pro BGP „připojené“ sítě nebo při použití BGP multihop ● RTBH jako služba ● Uživatel si řídí sám Uživatelsky řízená obrana sítě
  • 50. Realizace služeb, konzultace k problematice, konzultace před realizací služeb: sluzby@cesnet.cz Služby sledování infrastruktury a IP provozu
  • 51. Díky za trpělivost a pozornost :-) ???