Every year we have our staff submit their favorite recipes. This year, we did it with a camping theme. Enjoy some of these camfire-tested delights from Team StickerGiant.
Every year we have our staff submit their favorite recipes. This year, we did it with a camping theme. Enjoy some of these camfire-tested delights from Team StickerGiant.
Slovak SanEd Training Day 2012 - New Networking in Solaris 11Martin Cerveny
Presentation from SanEd training day for Oracle Solaris customers to explain new networking features in Solaris 11.
Presentation covers following themes:
- Infiniband
- administration of virtualized networks (dladm, dlstat, flowadm, flowstat, ipadm), network automagic (NWAM) (netadm, netcfg), ip multipathing (ipmpstat)
- network storage (CIFS/SMB filesystem - sharectl, idmap, smbadm), COMSTAR (stmfadm, sdbadm, itadm)
Více na https://rsm.cz ---- Máte pocit, že s vaší datovou sítí není něco v pořádku? Zdá se vám, že dochází k občasnému zhoršení propustnosti dat ve vaší síti? Nedokážete jednoznačně určit příčinu komunikačních potíží?
Nejste si jistí stavem kabeláže, nastavením aktivních prvků, bezpečností WiFi, optimálním využitím jednotlivých hraničních přepínačů?
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
Nelze chránit to, co není vidět. Díky technologii datových toků (NetFlow/IPFIX) lze dosáhnout hluboké viditelnosti do síťového provozu. Analýza chování sítě na základě statistik o datových tocích odhalí anomálie v provozu včetně dosud neznámých kybernetických hrozeb, které tradiční zabezpečení nezastaví. IT profesionálové po celém světě řeší způsoby, jak získat kontrolu nad síťovým provozem, aby mohli chránit své systémy před pokročilými kybernetickými hrozbami. Tato prezentace přiblíží různé přístupy monitorování počítačových sítí, vysvětlí principy a technologie datových toků a na praktických příkladech ukáže jejích sílu pro získání viditelnosti do provozu a detekci anomálií.
CZNIC: Správa internetu, routing a IPv6Tomáš Holas
Přednáška Ondřeje Filipa a Pavla Tůmy na o internetové infrastruktuře z hlediska registrátora národní domény. Přednáška pojednává o správě internetu na celosvětové a národní úrovni, informuje o způsobech propojování sítí různých provederů pomocí protokolu BGP, a seznamuje se základy protokolu IPv6 a současným stavem jeho zavádění v České republice.
Oracle Solaris Day 2013 - Oracle DB and OS SolarisMartin Cerveny
Presentation from training day for Oracle Solaris customers to explain advantages of running Oracle Database on Oracle Solaris.
Presentation covers following themes:
- system and network virtualization
- filesystem ZFS
- security with RBAC
- running with SMF
- tuning with DTrace
Demo labs: http://www.slideshare.net/m_cerveny/osd2013-cmd
Presentation from training day for Sun Solaris customers to explain features of Solaris DTrace.
Presentation covers following themes:
- architecture and syntax
- tools DTraceToolkit, chime, DTraceTazTool, DLight
- system DTrace (system providers like syscall, sched, vminfo ...)
- application DTrace (providers pid* and plockstat*, User-Level Statically Defined Tracing (USDT)), Dtrace for MySQL, Apache webserver, PHP module, Java and Firefox Javascript
Prezentace z praktických školení rozšíření síťových dovedností pro SMB segment - verze roku 2014. Účastníci si mohou stáhnout doplňkové materiály na http://edu.lynt.cz.
Slovak Sun Training Day 2010 - OpenSolarisMartin Cerveny
Presentation from training day for Sun Solaris customers to explain new features of OpenSolaris.
Presentation covers following themes:
- installation
- software packaging - IPS
- network virtualization - crossbow
- SCSI target - COMSTAR
eMan Dev Meetup: Postavte si chytrou domácnost (2.8.2016, Hradec Králové)eMan s.r.o.
https://www.facebook.com/events/1047417035338252/
Pojmy internet věcí (Internet of Things, IoT), smart home, smart car a spousty dalších smart-něco nás obklopují na každém kroku. Pojďte s námi dát prázdným a trochu zprofanovaným zaklínadlům dnešní doby konkrétní obsah.
O ČEM TO BUDE
Je možné si svépomocí postavit chytrou domácnost? S využitím technologií, jako jsou Arduino, ESP8266, Raspberry Pi nebo Apple Watch, to jde docela jednoduše…
Chceme rozsvěcovat světla mobilem?
Chceme otevírat garáž mobilem?
Chceme mít ráno hotové kafe, když vstaneme z postele?
Chceme zatopit v pokoji pro hosty, když se dozvíme, že tchýně nečekaně dorazí na návstěvu?
Ukážeme si jak na to. Využijeme Arduino, RabbitMQ s MQTT pluginem, iPhone, Apple Watch, web a další technologie. Předvedeme si, jak lze jednoduše propojit Arduino s jeho senzory snímajícími teplotu, vlhkost a řadu dalších parametrů se serverem, který bude data zobrazovat na iPhonu, Apple Watch a webu. Meze fantazii se nekladou, takže vyzkoušet si můžeme téměř cokoli, co v daném čase zvládneme…:)
CO JE EMAN DEV MEETUP
eMan zahajuje seriál setkání vývojářů s názvem eMan Dev Meetup. Na akcích se budeme bavit o nejnovějších technologiích, jejich praktickém využití a kódování softwaru pro ně. Brýle pro virtuální realitu, chytré hodinky, auta, domy, náramky a nejrůznější krabičky spojené se světem internetu věcí. A samozřejmě všudypřítomné smartphony.
KDE
Akce se uskuteční ve zbrusu nových prostorách naší kralovéhradecké pobočky na adrese: eMan s.r.o., Šimkova 1224/2B, Hradec Králové (mapa: https://mapy.cz/s/sk3k).
ORIENTAČNÍ ČASOVÝ PLÁN AKCE
16:30 - 17:00 Příchod + občerstvení
17:00 - 17:20 Představení eManu
17:30 - 19:00 Arduino a další hardware - představení, kódění, propojení se serverem, komunikace se smartphonem
19:00 - 20:00? Volná diskuse a beerparty
KDO ZA AKCÍ STOJÍ
Akci pořádá přední české vývojářské studio eMan (www.eman.cz). Českým i zahraničním zákazníkům dodáváme především mobilní aplikace a webová řešení. Vyvíjíme aplikace pro celou škálu zařízení, mezi kterými vedle smartphonů a tabletů nechybí brýle pro virtuální/rozšířenou realitu, hodinky, chytrá auta nebo nejrůznější zařízení připojených k internetu (IoT). Mezi naše zákazníky patří například Škoda Auto, O2, Honeywell, Jablotron, Edenred, UNIQA a další. Vedle Prahy, kde má eMan sídlo a hlavní kanceláře, působíme také v Plzni a Hradci Králové, kde jsme nedávno otevřeli nové pobočky (foto hradecké pobočky zde: https://goo.gl/VszYdH). Náš tým v současné době tvoří 65 lidí.
Od roku 2016 je eMan součástí JABLOTRON GROUP (http://www.jablotrongroup.com/).
Slovak SanEd Training Day 2012 - New Networking in Solaris 11Martin Cerveny
Presentation from SanEd training day for Oracle Solaris customers to explain new networking features in Solaris 11.
Presentation covers following themes:
- Infiniband
- administration of virtualized networks (dladm, dlstat, flowadm, flowstat, ipadm), network automagic (NWAM) (netadm, netcfg), ip multipathing (ipmpstat)
- network storage (CIFS/SMB filesystem - sharectl, idmap, smbadm), COMSTAR (stmfadm, sdbadm, itadm)
Více na https://rsm.cz ---- Máte pocit, že s vaší datovou sítí není něco v pořádku? Zdá se vám, že dochází k občasnému zhoršení propustnosti dat ve vaší síti? Nedokážete jednoznačně určit příčinu komunikačních potíží?
Nejste si jistí stavem kabeláže, nastavením aktivních prvků, bezpečností WiFi, optimálním využitím jednotlivých hraničních přepínačů?
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
Nelze chránit to, co není vidět. Díky technologii datových toků (NetFlow/IPFIX) lze dosáhnout hluboké viditelnosti do síťového provozu. Analýza chování sítě na základě statistik o datových tocích odhalí anomálie v provozu včetně dosud neznámých kybernetických hrozeb, které tradiční zabezpečení nezastaví. IT profesionálové po celém světě řeší způsoby, jak získat kontrolu nad síťovým provozem, aby mohli chránit své systémy před pokročilými kybernetickými hrozbami. Tato prezentace přiblíží různé přístupy monitorování počítačových sítí, vysvětlí principy a technologie datových toků a na praktických příkladech ukáže jejích sílu pro získání viditelnosti do provozu a detekci anomálií.
CZNIC: Správa internetu, routing a IPv6Tomáš Holas
Přednáška Ondřeje Filipa a Pavla Tůmy na o internetové infrastruktuře z hlediska registrátora národní domény. Přednáška pojednává o správě internetu na celosvětové a národní úrovni, informuje o způsobech propojování sítí různých provederů pomocí protokolu BGP, a seznamuje se základy protokolu IPv6 a současným stavem jeho zavádění v České republice.
Oracle Solaris Day 2013 - Oracle DB and OS SolarisMartin Cerveny
Presentation from training day for Oracle Solaris customers to explain advantages of running Oracle Database on Oracle Solaris.
Presentation covers following themes:
- system and network virtualization
- filesystem ZFS
- security with RBAC
- running with SMF
- tuning with DTrace
Demo labs: http://www.slideshare.net/m_cerveny/osd2013-cmd
Presentation from training day for Sun Solaris customers to explain features of Solaris DTrace.
Presentation covers following themes:
- architecture and syntax
- tools DTraceToolkit, chime, DTraceTazTool, DLight
- system DTrace (system providers like syscall, sched, vminfo ...)
- application DTrace (providers pid* and plockstat*, User-Level Statically Defined Tracing (USDT)), Dtrace for MySQL, Apache webserver, PHP module, Java and Firefox Javascript
Prezentace z praktických školení rozšíření síťových dovedností pro SMB segment - verze roku 2014. Účastníci si mohou stáhnout doplňkové materiály na http://edu.lynt.cz.
Slovak Sun Training Day 2010 - OpenSolarisMartin Cerveny
Presentation from training day for Sun Solaris customers to explain new features of OpenSolaris.
Presentation covers following themes:
- installation
- software packaging - IPS
- network virtualization - crossbow
- SCSI target - COMSTAR
eMan Dev Meetup: Postavte si chytrou domácnost (2.8.2016, Hradec Králové)eMan s.r.o.
https://www.facebook.com/events/1047417035338252/
Pojmy internet věcí (Internet of Things, IoT), smart home, smart car a spousty dalších smart-něco nás obklopují na každém kroku. Pojďte s námi dát prázdným a trochu zprofanovaným zaklínadlům dnešní doby konkrétní obsah.
O ČEM TO BUDE
Je možné si svépomocí postavit chytrou domácnost? S využitím technologií, jako jsou Arduino, ESP8266, Raspberry Pi nebo Apple Watch, to jde docela jednoduše…
Chceme rozsvěcovat světla mobilem?
Chceme otevírat garáž mobilem?
Chceme mít ráno hotové kafe, když vstaneme z postele?
Chceme zatopit v pokoji pro hosty, když se dozvíme, že tchýně nečekaně dorazí na návstěvu?
Ukážeme si jak na to. Využijeme Arduino, RabbitMQ s MQTT pluginem, iPhone, Apple Watch, web a další technologie. Předvedeme si, jak lze jednoduše propojit Arduino s jeho senzory snímajícími teplotu, vlhkost a řadu dalších parametrů se serverem, který bude data zobrazovat na iPhonu, Apple Watch a webu. Meze fantazii se nekladou, takže vyzkoušet si můžeme téměř cokoli, co v daném čase zvládneme…:)
CO JE EMAN DEV MEETUP
eMan zahajuje seriál setkání vývojářů s názvem eMan Dev Meetup. Na akcích se budeme bavit o nejnovějších technologiích, jejich praktickém využití a kódování softwaru pro ně. Brýle pro virtuální realitu, chytré hodinky, auta, domy, náramky a nejrůznější krabičky spojené se světem internetu věcí. A samozřejmě všudypřítomné smartphony.
KDE
Akce se uskuteční ve zbrusu nových prostorách naší kralovéhradecké pobočky na adrese: eMan s.r.o., Šimkova 1224/2B, Hradec Králové (mapa: https://mapy.cz/s/sk3k).
ORIENTAČNÍ ČASOVÝ PLÁN AKCE
16:30 - 17:00 Příchod + občerstvení
17:00 - 17:20 Představení eManu
17:30 - 19:00 Arduino a další hardware - představení, kódění, propojení se serverem, komunikace se smartphonem
19:00 - 20:00? Volná diskuse a beerparty
KDO ZA AKCÍ STOJÍ
Akci pořádá přední české vývojářské studio eMan (www.eman.cz). Českým i zahraničním zákazníkům dodáváme především mobilní aplikace a webová řešení. Vyvíjíme aplikace pro celou škálu zařízení, mezi kterými vedle smartphonů a tabletů nechybí brýle pro virtuální/rozšířenou realitu, hodinky, chytrá auta nebo nejrůznější zařízení připojených k internetu (IoT). Mezi naše zákazníky patří například Škoda Auto, O2, Honeywell, Jablotron, Edenred, UNIQA a další. Vedle Prahy, kde má eMan sídlo a hlavní kanceláře, působíme také v Plzni a Hradci Králové, kde jsme nedávno otevřeli nové pobočky (foto hradecké pobočky zde: https://goo.gl/VszYdH). Náš tým v současné době tvoří 65 lidí.
Od roku 2016 je eMan součástí JABLOTRON GROUP (http://www.jablotrongroup.com/).
2. ...zaměřeno na sdílenou část sítě e-infrastruktury CESNET...
● Síťová část e-Infrastruktury CESNET
● Stručné overview základních služeb a nástrojů používaných
při monitoringu síťové části e-Infrastruktury CESNET ve vazbě
bezpečnostní oblast
● Pozorované trendy v oblasti síťových útoků
● Reakce na vývoj v oblasti útoků z hlediska jejich detekce a
obrany v síťové části e-Infrastruktury CESNET
Agenda
3. ● Architektura
– Fyzická infrastruktura
● Dominantně optická vlákna; cca 6000 km tras (cca 1800
jednovláknové), redundantní připojení uzlů
– Optická přenosová infrastruktura
● 2 komplementární systémy
● Nx1-100Gbps kanály (až 80 kanálů v primárním systému)
● Platforma pro výstavbu „okruhů“ a sítí
– IP/MPLS síť
● 100 GE jádro, připojení uzlů Nx10..100GE
● Velcí uživatelé 10-Nx10-40GE
● Dedikované sítě a propoje pro technologické komponenty,
uživatelské skupiny, projekty apod.
● Sdílená IP síť
Budovánovlastnímisilami
Síťová část e-Infrastruktury CESNET
4. ● Aktuální stav
Síťová část e-Infrastruktury CESNET
● Poslední změny:
● GÉANT upgrade → 100 GE
● Public Internet upgrade → 10 Gbps
● CBF CESNET-ACONET-SANET upgrade
5. ..z podstaty účelu a parametrů e-Infrastruktury..
– Výkonná páteřní síť, jádro 100 Gb/s, dostatek volné kapacity
– Vysoká externí agregovaná kapacita ~ 120 Gbps (fyz.++)
● GÉANT 30 Gb/s (100 GE)
● NIX.CZ 2x20 Gb/s
● AMS-IX 10 Gb/s
● CBF
– ACONET (VIX) 10 Gb/s
– SANET (SIX) 10 Gb/s
– PIONIER 10 Gb/s
● Google 10 Gb/s
Významné aspekty se vztahem k bezpečnosti
6. – Výkonné koncové sítě (připojení velkých Nx10-40 Gb/s)
● Vysoká kapacita
● Veřejné adresy, typické prefixy ~ /16 v IPv4
● Relativně vysoká kapacita (1Gbps+) dostupná koncovým
uživatelům
● Nedeterministický průběh provozu
Významné aspekty se vztahem k bezpečnosti
7. – Transparentní politika správy
● Východisko: bez omezování legitimního (technologicky)
provozu
● Nabídka služeb a nástrojů pro seberegulaci
● V případě anomálií rozhodování na základě vyhodnocení
konkrétní situace
● V případě ohrožení stability infrastruktury povinnost
zasáhnout
● V případě žádosti uživatele můžeme nastavit regulaci v
páteři pro koncovou síť
– nepodstatná anomálie z perspektivy páteře může být
likvidační pro chod koncové sítě nebo její části
Významné aspekty se vztahem k bezpečnosti
8. ..závazky vůči uživatelské komunitě, partnerům, zákonu..
● Interně nastavená kritéria, úrovně odpovědnosti a etiky
– Průběžné diskuse „best-practices“ (workshopy, semináře)
– Platforma CSIRT forum
– konsensuální míra konformity vůči ZEK (CESNET - neveřejný
operátor)
● Členství v komunitách (FENIX, CSIRT.CZ, GÉANT, FIRST..)
– Organizační, technické a provozní podmínky
– Odpovědnost vůči partnerům a „misi“ komunity
– Odpovědnost za obsahové naplnění povinností
● ZKB
– Vyplývající povinnosti ~ detekce kybernetických
bezpečnostních událostí.., hlášení incidentů,..
Významné aspekty se vztahem k bezpečnosti
9. Monitorovací infrastruktura v síťové části
- HW akcelerované sondy
- plošný monitoring IP provozu na bázi toků (zdroje provozních informací)
- Honey Pots
- IDS a IPS systémy apod. - monitoring infrastruktury na bázi SNMP
10. ● Souvislé a plošné sledování prvků infrastruktury a provozu
sítě v e-Infrastruktuře CESNET
– Systém G3 → aktivní prvky infrastruktury
● Monitoring zařízení především na bázi SNMP
– HW akcelerované sondy → externí linky
● Kompletní provoz na perimetru sítě
– Systém FTAS → páteřní IP ifrastruktura
● Informace o IP provozu na bázi toků
Monitorovací infrastruktura v síťové části
11. ..sledování prvků a zařízení, ze kterých je síťová část sestavena..
● Sběr informací na bázi SNMP a dalších protokolů, jejich
zpracování a dlouhodobé uchování (RRD s progresivní agregací)
● Interaktivní UI, periodický reporting
● mj. vyhodnocení a vizualizace anomálií
Monitoring infrastruktury – systém G3
12. ● UI pro vizualizaci anomálií
..??? :-)
Pozn.: měřeno pomocí
RFC2863 (IF- MIB)
Monitoring infrastruktury – systém G3
13. ● UI pro vizualizaci anomálií
– běžný provoz nebo anomálie ?
Monitoring infrastruktury – systém G3
14. ● UI pro vizualizaci anomálií
– Odpovídající notifikace události
Monitoring infrastruktury – systém G3
15. ● Systém G3 v páteři e-Infrastruktury
– Rozsah měření a nároky na zdroje
● Aktuálně přibližně 220 zařízení
● Více než 780 tisíc údajů měřených v průměru jednou za
430 vteřin
Monitoring infrastruktury – systém G3
16. ● Systém G3 v páteři e-Infrastruktury
– Rozsah měření a nároky na zdroje →
● 2 paralelně běžící servery, fyzické, aktuálně 3. pár v historii
provozu a vývoje systému; velmi rozsáhlá RRD DB
● 20x CPU E5-2690 @ 2.90GHz, 192 GB RAM, 1.2 TB
storage (RAID10, 15k SAS)
● historie dat cca 10+ let
Monitoring infrastruktury – systém G3
17. ● Význam pro oblast bezpečnosti
– Souvislý přehled o stavu infrastruktury, míře využití, chybovosti
apod. → optimalizace infrastruktury → vyšší rezistence oproti
některým útokům
– Detekce aktuálně se vyskytujících anomálií (na dané úrovni
pozorování → limity) + možnost okamžité notifikace
– Možnost zpětné analýzy projevu uskutečněných útoků v
infrastruktuře
● Systém G3 jako služba pro síťovou infrastrukturu uživatele
– Samostatná, dedikovaná instalace systému v a) síti uživatele
(zpravidla) nebo b) vzdálená (SNMP v3 nebo zapouzdření)
– HW nebo virtuál
– Správa OS sdílená dle dohody
– Správa aplikace CESNET (konfig.)
– I jako součást STaaS (slide 34,35)
Monitoring infrastruktury – systém G3
19. HW akcelerované sondy na perimetru sítě
● Bezeztrátový a přesný obraz provozu
● Detailní měření s volitelnou úrovní, velmi jemná časová
granularitou
● Tunelovaný provoz
● „Znalost“ vybraných aplikačních protokolů (HTTP, DNS, SIP)
● Možnost vyčlenění zájmového provozu
● Základna pro „ruční“ analýzu a učení se novým jevům
(HeartBleed pasivní detektor apod.) a pro tvorbu detektorů
● Zdroj dat a souhrnných statistických informací pro další výzkum
● Produkční zdroj flow-based provozních informací
● Detekce relevantních bezpečnostních událostí na perimetru sítě,
export do systémů sdílení bezpečnostních informací
20. ● Provozní informace
– 8 produkčních sond, 1 stand-by, 2 testovací
– Počet linek 1x100Gb/s, 11x10 Gb/s, portů 24 (420 Gb/s)
– Celkem 136 core
– Kolektor IPFIXcol
● 6xCPU (Xeon), 64 TB storage, input bit-rate do 200 Mb/s
● Behavioral analysis ~ 6 GB RAM
● Doba uchování dat 1 rok
● Jako služba pro uživatele - součást STaaS (slide 34,35)
HW akcelerované sondy na perimetru sítě
21. ● Nástroj pro souvislé zpracování flow-based informací o IP provozu
● Od rozsáhlých sítí (plošně) až po data z jednotlivých zařízení
● Od multi-serverové architektury až po all-in-one box
1. Zpracování informací o IP provozu
2. Zpřístupnění zpracovaných informací
3. Periodický reporting požadovaných charakteristik provozu
4. Detekce a notifikace anomálií
Monitoring IP provozu na bázi toků – FTAS
22. 1. Zpracování informací o IP provozu
– Architektura primární instalace FTAS v e-Infrastruktuře CESNET
- lokality se zdroji provozních záznamů uživatelů
- zdroje provozních záznamů v páteři e-Infrastruktury CESNET
Monitoring IP provozu na bázi toků – FTAS
23. 1. Zpracování informací o IP provozu
– Příklad využití primární instalace FTAS v e-Infrastruktuře
CESNET pro zpracování provozních informací z koncové sítě
Monitoring IP provozu na bázi toků – FTAS
24. 1. Zpracování informací o IP provozu
– Příklad obecné architektury samostatné dedikované instalace
FTAS pro síť uživatele
Monitoring IP provozu na bázi toků – FTAS
25. 2. Zpřístupnění zpracovaných informací
– Základní úroveň – interaktivní UI, komplexní vyhledávací a
vizualizační aparát (pozn.: 2015 upgrade UI – postupně nasazováno)
Monitoring IP provozu na bázi toků – FTAS
26. 3. Periodický reporting požadovaných chrakteristik provozu
– a) Statické HTML struktury
(pozn: 2015 upgrade paralelně s UI)
Monitoring IP provozu na bázi toků – FTAS
27. 3. Periodický reporting požadovaných chrakteristik provozu
– b) Souhrnné reporty formou e-mailu
Monitoring IP provozu na bázi toků – FTAS
28. 4. Detekce a notifikace anomálií
● Typ 1 ~ „semi real time“ - krátký časový interval (jednotky vteřin),
jednorázové vyhodnocení, zdroje nebo cíle anomálie
Vymezení provozu (rozsahy IP, protokoly, porty, rozhraní)
+
Stanovení limitu pro tento provoz
~ detekory na klíč
● Původně algoritmicky počet flow záznamů vztažený k cíli nebo
zdroji, které mají „flow-start-time“ uvnitř intervalu vyhodnocení
~ TCP SYN only s limitem více než 1000 pokusů během 2 vteřin z jednoho zdroje
● Uchování provozních informací (dostupné přes standardní UI),
možnost notifikace (e-mail), možnost exportu událostí do systému
Warden (Q1,16)
● 2016 Q1 rozšíření → viz. slide 43-45
Monitoring IP provozu na bázi toků – FTAS
29. 4. Detekce a notifikace anomálií
● Typ 2 ~ „ex-post“ - delší časový interval (minuty, desítky minut),
vyhodnocení výsledků z několika po sobě jdoucích intervalů podle
Typ 1
– Technicky: Typ 1 (s měkčími limity) + limity pro vyhodnocení v
delším časovém intervalu (zpracovává modul pro reporting) ~
celkový objem přenosu, počet protějších IP adres, počet
použitých čísel portů apod.
~ lokální IP adresy odesílající z tcp/80,443 během 10 minut na více než 100
protějších IP adres v celkovém objemu alespoň 50MB; prerekvizita (Typ 1) ~ alespoň
5 toků z portu tcp/80,443 během 10 vteřin; výjimka pro lokální WWW server
● Uchování provozních informací (dostupné přes standardní UI),
report (HTML, e-mail) nebo notifikace (e-mail)
Monitoring IP provozu na bázi toků – FTAS
30. ● Kompletní schéma zpřístupnění informací uživatelům včetně
výsledků detekce anomálií
Notifikace bezpečnostních událostí
Analytická práce – UI, reporting
Monitoring IP provozu na bázi toků – FTAS
31. ● Provozní informace a nároky na zdroje
– Export ze 74 zdrojů do primární instalace
● 24 páteř
● 50 sítě uživatelů
Monitoring IP provozu na bázi toků – FTAS
– Primární instalace v e-Infrastruktuře
~ 19 uzlů, celkem 460 jader, 1.5 TB RAM, 200+TB storage
– Data TTL (páteřní zařízení) ~ 2-3 měsíce - automatická údržba
volného místa (“cut“ | “cut+sample old“)
– Export ze 40 zdrojů
do privátních instalací
uživatelů
~ 50 uživatelských
skupin (instituce,
týmy, infrastruktury)
32. ● Význam pro oblast bezpečnosti
– Sběr, zpracování, uchování a zprostředkování informací o IP
provozu
– Zpětná analýza libovolného provozu podle potřeb pomocí
komplexního vyhledávacího a vizualizačního aparátu
(interaktivní UI)
– Detekce anomálií na míru (~bezpečnostní události)
● Variabilita nastavení parametrů a limitů pro vyhodnocení
(rozšířený koncept slide 43-45)
● V krátkodobé (vteřiny) i střednědobé (minuty) časové
perspektivě
● Možnost notifikace, exportu detekovaných událostí do
systému sdílené obrany (Warden)
● Uchování souvisejících provozních informací pro další
analýzu (interaktivní UI)
Monitoring IP provozu na bázi toků – FTAS
33. ● Systém FTAS jako služba
– a) Zpracování informací o IP provozu uživatele v primární
instalaci v e-Infrastruktuře
● Data z hraničního prvku e-Infrastruktury a/nebo ze síťových
prvků uživatele
– b) Zpracování informací o IP provozu uživatele v dedikované
instalaci FTAS
● Data ze síťových prvků uživatele
● Zdroje pro provoz FTAS uživatele (možná virtualizace)
● Společná správa OS
● Instalace, konfigurace, správa FTAS – CESNET
● Možná součást STaaS (slide 34,35)
Realizace služby, konzultace před realizací služby:
sluzby@cesnet.cz
Monitoring IP provozu na bázi toků – FTAS
34. ● Sonda + monitorovací nástroje dedikované pro síť uživatele –
příklad sestavení – může obsahovat libovolný počet komponent
“All in one“ koncept monitorování sítě – STaaS
35. ● Rozšíření o systém sdílení informací Mentat (~ sjednocení a
„normalizace“ informací o anomáliích/událostech)
● Průběžné rozšiřování o další komponenty - „HoneyPot_aaS na
čekačce“
“All in one“ koncept monitorování sítě – STaaS
36. ● Konkrétní detailní informace o provozu
● Informace o uskutečněném provozu
● Odhalení podvržení adres
● Automatická detekce anomálií
● Verifikace a analýza bezpečnostních incidentů
● Vzorky dat, ladění sítě
● Obrana sítě, služeb a uživatelů
● Systematické sledování provozu sítě (instituce)
● Náhled na provoz sítě
● Zdraví, vytížení sítě
● Architektura sítě a její optimalizace a rozvoj
● Statistiky provozu
Využití monitorovacích služeb v síti e-Infrastruktury
..oddetailního....ksouhrnnému..
CSIRT
Dohledová
pracoviště
Výzkumné týmy
Správci sítí
Správci služeb
CTO
Manažer IT
37. ● Zkracování doby trvání útoku → jednotky minut → jednotky
vteřin
Trendy v oblasti síťových DDoS útoků ?
39. ● „Spektrálně rozmanité“ ~ multi ale i single flow
● Stále „populární“ bounce & amplification – UDP
~ ..19, 53, 123, 161,..; stále detekován TCP SYN
flood atd.
● „odpovídající“ intenzita
– e-Infrastruktura CESNET
● Externí propojení ~ 120 Gb/s
● Jádro páteře ~ 100 Gb/s
● Připojení uživatelů aktuálně max. 40 Gb/s
● ..na páteři dostatek kapacity k přenesení
provozu takového objemu, který „odpojí“
koncovou síť (virt. platformy apod.)
Trendy v oblasti síťových DDoS útoků ?
40. ● „odpovídající“ intenzita
– ..na páteři dostatek kapacity k přenesení provozu
takového objemu, který „odpojí“ koncovou síť,
„vyblokuje“ virtualizační platformu apod...
Trendy v oblasti síťových DDoS útoků ?
41. ● Potřeba přesnější detekce
– Ošetření „střelby“ z vlastních řad
– Lepší kalibrace obrany v příchozím směru
– Rozšíření detekce
● Jemnější časová granularita → vyhodnocení v krátkém
časovém intervalu (jednotky vteřin)
● Komplexnější možnosti a přesnější nastavení podmínek
pro vyhodnocení → snížení pravděpodobnosti chybného
vyhodnocení
Trendy v oblasti síťových DDoS útoků ?
42. ● Zachována původní architektura ~ Typ 1 (slide 28)
– a. Výběr provozu, na který má být aplikován mechanismus
vyhodnocení anomálií, pomocí filtračních možností FTAS
– b. Vyhodnocení takto vybraného provozu vůči nastaveným
limitům
● Rozšíření
– Výpočet vstupních hodnot provozu pro vyhodnocení anomálií
– Nastavení limitů + vyhodnocení provozních hodnot vůči
nastaveným limitům
Rozšíření flow-based detekce anomálií - FTAS
43. ● Příchozí flow záznamy pro konkrétní zdroj nebo cíl na časové ose
– „Trvání“ toků vs. velikost intervalu pro vyhodnocení
– Zpoždění vyhodnocení
– Vliv agresivity exportu ~ parametry flow-engine
Rozšíření flow-based detekce anomálií - FTAS
44. ● „Fragmentace“ a normalizace „flow“ záznamů
– Lineární fragmentace – pro většinu záznamů OK
– Časový rozsah některých záznamů ovlivněn něčím jiným než vlastnostmi
sítě (čekání mezi pakety, chybná implementace ve flow-engine apod.)
– Normalizace různých hodnot vzorkování (implementace Netflow,
sFlow; flow count, octets, packets) ?
Rozšíření flow-based detekce anomálií - FTAS
45. ● Možnosti nastavení limitů
– Původně Flow-Count limit za časový interval + možnost
specifikovat individuální limity pro konkrétní IP
– Nově 'or' kombinace podmínek Flow-Count+rozsahy Bytes,
Pkts, Pkt-len + možnost specifikovat totéž pro konkrétní IP;
zpětně kompatibilní
Rozšíření flow-based detekce anomálií - FTAS
Pozn.: provozně iracionální hodnoty
– pouze pro ukázku možností
46. ● Zjištění běžného objemu a charakteristiky UDP provozu
služeb citlivých na amplifikaci
– Flow-based analýza (FTAS) na externí hranici páteřní sítě, na
hranici mezi páteřní sítí a regionem → úvaha směrem k
nastavení policy
Semi-automatická obrana sítě ?
47. ● Aplikace na externích propojích sítě
+ řešení na vstupu do páteře
- hrubá granularita ve vztahu ke koncovým sítím
~ SNMP, NTP
Semi-automatická obrana sítě ?
48. ● Aplikace na hraně mezi páteří a uživateli
+ jemná granularita ve vztahu ke koncovým sítím
- provoz prochází páteří
~ DNS, fragmenty
Semi-automatická obrana sítě ?
49. ● Pro případ ohrožení infrastruktury uživatelské sítě prostřednictvím
útoku na uchopitelné množství cílů v uživatelské síti
● Pro BGP „připojené“ sítě nebo při použití BGP multihop
● RTBH jako služba
● Uživatel si řídí sám
Uživatelsky řízená obrana sítě
50. Realizace služeb,
konzultace k problematice,
konzultace před realizací služeb:
sluzby@cesnet.cz
Služby sledování infrastruktury a IP provozu