SlideShare a Scribd company logo

PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz enterprise w dobie wszechobecnego szyfrowania

PROIDEA
PROIDEA

YouTube: https://www.youtube.com/watch?v=dDomodxK3Pg&index=43&list=PLnKL6-WWWE_VNp6tUznu7Ca8hBF8yjKj2

Technology
1 of 64
Download to read offline
Bezpieczeństwo sieci operatorskich oraz enterprise w dobie wszechobecnego szyfrowania Sebastian Pasternacki Architekt IT, CCIE#17541 & CCDE #2012::9 Cisco Systems / CCIE.PL
AGENDA 1. Punkt startowy 2. Przyszłość(?) 3. Co możemy z tym zrobić
Prezenter i inne informacje Sebastian “Seba” Pasternacki • IT Architect / SE • Cisco od 08. 2011 / CCIE.PL od 07.2004 • 18 lat w branży; Bydgoszcz/Dublin/Warszawa • 4*CCIE #17541 / CCDE #2012::9 • Rada Programowa PLNOG • Housekeeping • Telefony • Slajdy • Pytania • Ankietki • Rada PLNOG • Ikony pomocnicze: Wzmianka Quizzzzz
Punkt startowy
Kryptografia i szyfrowanie widziane dzisiaj Uwierzytelnianie • TLS based Protocols • EAP-TLS • PEAP • EAP-FAST • Hashing • SHA1 • SHA256/384/512 • Digital Signatures • Key Negotiation Prywatność/Poufność • IPSec • SRTP • DTLS • SSL/TLS • 802.1AE • 802.11i (802.11-2012) • Radius Key-Wrap Zarządzanie • SSH • sFTP • SCP • HTTPS • FTPs
Szyfrowanie na wielu warstwach – 802.11i WPA2 Application Presentation Session Transport Network Link Physical 802.11i
Szyfrowanie na wielu warstwach – 802.1AE MACSec O 14:05 opowiem o tym nieco więcej… Application Presentation Session Transport Network Link Physical MACsec
Szyfrowanie na wielu warstwach – IPsec Application Presentation Session Transport Network Link Physical IPsec
Szyfrowanie na wielu warstwach – Transport Layer Security (TLS) *** Application Presentation Session Transport Network Link Physical TLS
Szyfrowanie na wielu warstwach – Secure Shell (SSH) Application Presentation Session Transport Network Link Physical SSH
Szyfrowanie na wielu warstwach – Secure RTP Application Presentation Session Transport Network Link Physical SRTP
Obrona wielowarstwowa - Defense in Depth IPsec 802.11i MACsec TLS SRTP Application Presentation Session Transport Network Link Physical SSH
Powody szyfrowania • „Głośne” włamania • Prywatność • Świadomość • Treść i jej analityka • Treść i zapobieganie manipulacjom • Inne…
Wielki nacisk na szyfrowanie • Microsoft promuje TLS z PFS • Apple żąda więcej bezpieczeństwa • Producenci przeglądarek agresywnie naciskają na użycie https • Problemy ze starszymi wersjami SSL/TLS powodują migrację do nowszych wersji • Google, FB, Twitter szyfrują wszystko
Let’s Encrypt – certyfikaty dla każdego https://letsencrypt.org/ Feb 2017 – Issued more than 20M Certificates
James Comey, FBI Director “Armed with lawful authority, we increasingly find ourselves simply unable to do that which the courts have authorized us to do”
Unikalne cele Współdzielone cele Urządzenia Ochrona urządzeń, utrzymanie działania i jakości usług Użytkownicy URL Filtering, Blokowanie ściągania malware Własność intelektualna EN: Data Loss Prevention, Adv.Threats Infrastruktura Ochrona sieci przed atakami, utrzymanie usług Pilary bezpieczeństwa – Cele SP & Enterprise Id Identyfikacja dla segmentacji SP: Identyfikacja komercyjna
Wyzwanie “The Middle Box” Service Provider Security Enterprise Security Rating URL Filtering Header Insertion File Analysis (Data Loss Prevention, Malware) Firewall / NAT Application Visibility IDS / IDP DDOS Application Challenges Deep Packet Inspection (DPI) Email decryption and analysis • Sieci SP i EN są mocno zależne od możliwości tzw. Middle box, systemów wewnątrz sieci • Obecne rozwiązania oferują pełną widoczność warstw L3-L7 i bardzo często nie działają poprawnie dla ruchu szyfrowanego
Przyszłość(?)
HSTS • Zabezpiecza strony HTTPS przeciw atakom “downgrade” • Serwer Web Server może zasygnalizować klientowi, że tylko HTTPS jest zezwolone • Używa do tego HTTPS Response Header • Działa to tak: • Automatycznie zmienia każdy http:// link na https:// • Jesli bezpieczne połączenie nie może być zapewnione (np. Self Signed Certificate), użytkownik nie może tego nadpisać/zmienić • Dla SSL Decryption na proxy, trzeba użyć ważnego certyfikatu CA “HTTP Strict Transport Security” - http://tools.ietf.org/html/rfc6797
Certificate Pinning MiddleBox or Intermediate Cert Apps Operating System Browsers Trusted Certs Single Trusted Cert
Certificate Pinning – RFC 7469 • Metoda porównania Certifikatu przedstawionego przez Serwer do ”przechowywanego” certyfikatu CA na stacji • Używany również jako metoda weryfikacji czy Klient aplikacji używa najnowszej wersji • Dotyczy centralnie aktualizowancyh aplikacji łączących się do zdefiniowanych serwerów • Dwie metody: • Wykorzystanie statycznej listy aplikacji, w których dany certyfikat CA jest spodziewany jako podpisujący certyfikat serwera • Wysłanie “Header”(HPKP) podczas TLS Handshake, aby zasygnalizować, że klient musi użyć danego klucza publicznego przez określony czas • Chrome łączący się do gmail.com, Twitter; FF łączący się do mozilla.org https://src.chromium.org/viewvc/chrome/trunk/src/net/http/transport_security_state_static.json
Przykład – Firefox https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning 0: Pinning disabled 1: Allow User MiTM (with a trusted CA) 2: Strict. Always enforced 3: Enforce Test Mode 27
Przykład – Firefox Strict Pinning 28
SPDY & HTTP2 • Specyfikacja HTTP/2 bazuje w dużej części na specyfikacjach SPDY & TLS http://daniel.haxx.se/http2/ • https://www.ietf.org/blog/2015/02/http2-approved/ • https://tools.ietf.org/html/rfc7540
• Kompresja nagłówka • “Prawdziwy” multiplexing • Re-Use połączeń TCP • Ważna dla współdzielonych domen (takie samo IP, inne domeny) • Serwer “pcha” zawartość do klienta • Priorytetyzacja strumieni • Format binarny HTTP/2 – Funkcje i charakterystyka
HTTP2 – Binary Format (format binarny) Network (IP) Session (TLS) optional Transport (TCP) Application (HTTP2) Binary Frame HTTP/1.1 GET /index.html HTTP/1.1 Host: www.example.com Content-Type: text/html Content-Length: 42 {“msg”:”PLNOG18 2017”} HEADER FRAME DATA FRAME Pro: łatwiejsze parsowanie, efektywniejszy transfer danych Con: Serwer, klient & Gateways muszą rozumieć nowy format
HTTP2 and TLS Multipleksowanie żądań i odpowiedzi w jednym połączeniu TCP Przeglądarki wymuszają HTTP2 over TLS • Chrome, Firefox, Safari • Unikanie fallback code • Uaktualnienie do HTTP2 z użyciem TLS extension • Oszczedność z użyciem nagłówka HTTP “Upgrade:” Czas ładowania strony HTTP2-over-TLS porównywalny do HTTP http://caniuse.com/#feat=http2
• Klient przekazuje listę wspieranych protokołów, a serwer wybiera jeden z nich • Wykorzystanie rozszerzenia TLS - ALPN w ramach Hello od klienta HTTP/2 Negotiation over TLS First, HTTP/2 Second, SPDY Third, HTTP/1.1 Application Layer Protocol Negotiation (ALPN)
• HTTP/2 zaszyfrowane z TLS • Binary Format & Header Compressions muszą być parsowane (brak cleartext) • Ponowne wykorzystanie połączenia TCP HTTP/2 wyzwania dla proxy/ngfw
• Usunięcie statycznych metod uwierzytelniania • Użycie DHE / ECDHE z Perfect Forward Secrecy • Redukcja nadmiarowości z użyciem 1-RTT handshake • Zejście do handshake “legacy” jeśli klient nie obsługuje • 0-RTT Session resumption -> Tickets + PSK • Usunięcie słabych algorytmów non-AEAD Ciphers (CBC), compression, RC4, MD5, SHA224 • Szyfrowanie większej ilości pól podczas handshake • Certificate Extensions takie jak CN & SAN TLS 1.3 – faza draft https://tools.ietf.org/html/draft-ietf-tls-tls13-18
Częściowy TLS Handshake (TLS 1.0 – 1.2) TLS Client TLS Server TLS ClientHello SNI=www.example.com TLS ServerHello Certificate for www.example.net Session key (encrypted with private key) Żądany serwer Rzeczywisty serwer Można zapobiec deszyfracji jeśli strona jest na while/blacklist
TLS ServerHello Server’s Diffie-Hellman key { Certificate for www.example.net } { Session key (encrypted with private key) } Partial TLS Handshake (TLS 1.3) TLS Client TLS Server TLS ClientHello SNI=www.example.com Client’s Diffie-Hellman key Żądany serwer Rzeczywisty serwer{Zaszyfrowane z DH}
• Rozszerzenia CN & SAN zaszyfrowane przez DH • Możemy wyłącznie bazować SNI przy decyzji o deszyfracji • SNI podlega atakowi typu spoofing… TLS 1.3 wyzwania dla proxy/ngfw
• Protokół Google celem redukcji opóźnienia • UDP 80 & 443, skupienie na warstwach 4-5 • Szyfrowanie, kontrola zatorów oraz część funkcji HTTP/2 (stream handling) przechodzą do QUIC QUIC HTTP/2 TLS TCP IP HTTP/2 QUIC UDP IP
QUIC setup oraz session persistence Zero RTT setup jest bardzo szybki, natomiast stanowi wyzwanie dla middlebox
• HTTP response header • Alternate-Protocol: 443:quic • Klient ustanawia połączenia QUIC w tle • Pełne wsparcie dla Chrome • Brak cache u klienta dla serwerów QUIC Ustanowienie połączania QUIC Client Server QUIC Connetion HTTP QUIC Alternate-Protocol: Używając TLS, HTTP response header będzie zaszyfrowana… QUICK Connection
Wireshark with QUIC Encrypted... UDP/443
• QUIC jest zawsze zaszyfrowany • QUIC używa multipleksacji strumienia przez wiele ścieżek • Może użyć IPv4 i IPv6 równocześnie • Bez odpowiedniego zrozumienia QUIC, połączenia wyglądają na niepowiązane połączenia UDP • QUIC może być zainicjowany zarówno przez klienta, jak i serwer • Gdzie jest nasze wejście, a gdzie wyjście dla ruchu? QUIC wyzwania dla proxy/ngfw
Malware… też szyfruje
Malware… też szyfruje, i to nie tylko dyski • Większość ruchu C&C jest zaszyfrowana • Coraz większa część ruchu generowana przez malware używa protokołów innych niż HTTP(S) • Pojawił się malware używający Certificate Pinning
No to jesteśmy tutaj…
Quizzzzzz Co możemy z tym zrobić?
Co możemy z tym zrobić
Czas na opcje obronne • Deszyfrowanie • Analiza ruchu sieciowego DNS, HTTP • Modelowanie i Machine Learning • ETTA – Enhanced Threat Telemetry and Analytics • API w imię kooperacji
SSL/TLS Proxy – dobry start, ale czy wystarcza Client Middle Box Origin Server Clear Text Client Hello Client Hello Server Hello, Cert Server Hello, Middle Box Cert Key Exchange, Change CipherSpec Change CipherSpec Finished Key Exchange, Change CipherSpec Change CipherSpec Finished Application DataApplication Data Alt. Cert Trusted
Telemetria sieciowa Distribution/Core Switch Access Switch Endpoint Agent Firewall Proxy Identity AD & DNS Talos Global Intelligence Telemetria: zautomatyzowany proces komunikacji umożliwiający przesyłanie zgromadzonych pomiarów, jak i innych danych, z oddalonych lub niedostępnych punktów oraz przesyłanie ich do odbiornika celem monitoringu https://en.wikipedia.org/wiki/Telemetry
Używając DNS widzimy bardzo dużo Wykrywanie: • Compromised systems • Command & control callbacks • Malware & phishing attempts • Algorithm-generated domains • Domain co-occurrences • Newly registered domains Urządzenie Authoritative Logs Recursive DNS Authoritative DNS root com. domain.com. Wykrywanie: • Newly staged infrastructures • Malicious domains, IPs, ASNs • DNS hijacking • Fast flux domains • Related domains Struktury żądań
Wykrywanie “winy” przez interferencje, połączenia i wzorce Nowe modele statystyczne § Live DGA prediction § Sender rank Modele statystyczne § Spike rank § Natural Language Processing rank § Predictive IP space § DNS, WHOIS & Threat Grid correlations § Geo-location & -diversity § Co-occurrence § Secure rank § Live DGA detection Nowe kategorie § Newly Seen Domains § Potentially Harmful Domains § DNS Tunneling VPN
• Wykrycie i podążanie za podejrzanym • Agregacja • Model zaufania • Self learning • Nauka z dobrym i złym ruchem Kluczowa długookresowa obserwacja Modelowanie i Machine Learning Anomalous Normal Unknown HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) RequestHTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request
Hacked site Exploit kit Exploit kit Payload c&c
Jak to wygląda na “żywo” Prawdopodobieństwo Ilość bajtów ruchu DNS (logscale) Model przewiduje, że ten punkt jest mało realny Obszar wypełniony danymi z obszarów normalnego użytkowania Ten rozkład zmienia się z czasem dostowując się do bieżących informacji Z czasem dane poza marginesem są zapomniane “Zapominanie” jest jedną z funkcji systemów
ETTA – Enhanced Threat Telemetry and Analytics Q1: Bez deszyfrowania co możemy obserwować? Netflow (eg. TCPIP) Packet Arrival Times Sequence of Packet Lengths Byte Entropy Related Flows (eg. DNS) Q2: Czy machine learning i heurystyka danych z baz zagrożeń polepszą szkuteczność? Wyniki z 4 dni prób w sieci enterprise (48M flows)? Known Attack Vectors Blacklisted IPs 99.76% Total Accuracy 115,000 False Positives
ETTA –> Joy sh$ pcap2flow bidir=1 dist=1 classify=1 malware.pcap > malware.gz sh$ query.py malware.gz --select "da, dp, p_malware" --where "p_malware > 0.99" { "name": [ { "da": 86.59.21.38, "dp": 443 , "p_malware": 0.997 } …… • Joy to BSD-licensed libpcap-based narzędzie pozwalające na wykrywanie podatności, zagrożeń oraz nieautoryzowanego i niechcianego zachowania • Analizuje: • Prawdopodobieństwo dystrybucji bajtów w porcji danych o przepływach, a także entropię • Rozkład wielkości oraz czasu przybycia ruchu dla TLS • Dane typu non-encrypted dla TLS, np. lista algorytmów szyfrowania, wybrane algorytmy, długość pola clientKeyExchange oraz informacje o certyfikatach • Nazwy, adresy i TTL dla DNS • Elementy nagłówka HTTP wraz z pierwszymi 8 bajtami HTTP body https://github.com/cisco/joy
Funkcjonalność SPUD – Explicit Path Cooperation Substrate Protocol for User Datagram https://tools.ietf.org/html/draft-hildebrand-spud-prototype-03 Middlebox A Middlebox B Server Data Path SPUD Declaration 2 1 3 4
Czas na API eNB SGW MME PGW PCRF NAT/FW Internet Content Publisher Proxy Mediation API GxGx SON Przykłady rozwiązania współpracy operatora Mobile z dystrybutorem treści (1) Priorytetyzacja ruchu mobile na żądanie (2) Żądanie do operatora optymalizacji w oparciu o stan kanału komunikacyjnego
61 Podsumowanie
Droga do sukcesu… • Szyfrowanie jest nieuniknione • Znajomość technik i protokołów używanych w szyfrowaniu jest kluczowa • Poznaj i używaj nowe techniki analityczne
Sebastian Pasternacki spastern@cisco.com

Recommended

PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PROIDEA
 
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Redge Technologies
 
PLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr Głaska
PROIDEA
 
[PLCUG] Power shell (PL)
[PLCUG] Power shell (PL)[PLCUG] Power shell (PL)
[PLCUG] Power shell (PL)
Jaroslaw Sobel
 
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykSecurity B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykGawel Mikolajczyk
 
100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?
Redge Technologies
 
PLNOG16: EXTREME(alnie) przeciw DDoS’om, Krzysztof Surgut, Michał Gąszczyk
PLNOG16: EXTREME(alnie) przeciw DDoS’om, Krzysztof Surgut, Michał GąszczykPLNOG16: EXTREME(alnie) przeciw DDoS’om, Krzysztof Surgut, Michał Gąszczyk
PLNOG16: EXTREME(alnie) przeciw DDoS’om, Krzysztof Surgut, Michał Gąszczyk
PROIDEA
 
100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego. 100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego.
Redge Technologies
 

Recommended

PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PROIDEA
 
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Redge Technologies
 
PLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr Głaska
PROIDEA
 
[PLCUG] Power shell (PL)
[PLCUG] Power shell (PL)[PLCUG] Power shell (PL)
[PLCUG] Power shell (PL)
Jaroslaw Sobel
 
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykSecurity B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykGawel Mikolajczyk
 
100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?100Mpps czyli jak radzić sobie z atakami DDoS?
100Mpps czyli jak radzić sobie z atakami DDoS?
Redge Technologies
 
PLNOG16: EXTREME(alnie) przeciw DDoS’om, Krzysztof Surgut, Michał Gąszczyk
PLNOG16: EXTREME(alnie) przeciw DDoS’om, Krzysztof Surgut, Michał GąszczykPLNOG16: EXTREME(alnie) przeciw DDoS’om, Krzysztof Surgut, Michał Gąszczyk
PLNOG16: EXTREME(alnie) przeciw DDoS’om, Krzysztof Surgut, Michał Gąszczyk
PROIDEA
 
100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego. 100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego.
Redge Technologies
 
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Gawel Mikolajczyk
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Gawel Mikolajczyk
 
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz JedynakPLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PROIDEA
 
Pocałunek śmierci
Pocałunek śmierciPocałunek śmierci
Pocałunek śmierciDivante
 
PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...
PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...
PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...
PROIDEA
 
Czym jest złożoność ?
Czym jest złożoność ?Czym jest złożoność ?
Czym jest złożoność ?
GOG.com dev team
 
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
PROIDEA
 
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PROIDEA
 
Jaki hosting pod wordpressa
Jaki hosting pod wordpressaJaki hosting pod wordpressa
Jaki hosting pod wordpressa
Arkadiusz Stęplowski
 
TV i video w Internecie
TV i video w InternecieTV i video w Internecie
TV i video w InternecieDivante
 
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PROIDEA
 
Adam Selin - Na czym WordPress stoi. O serwerach słów kilka
Adam Selin - Na czym WordPress stoi. O serwerach słów kilkaAdam Selin - Na czym WordPress stoi. O serwerach słów kilka
Adam Selin - Na czym WordPress stoi. O serwerach słów kilkaLeriss
 
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PROIDEA
 
PLNOG16: Integracja Ceph w OpenStack - status i przyszłość, Paweł Stefański
PLNOG16: Integracja Ceph w OpenStack - status i przyszłość, Paweł StefańskiPLNOG16: Integracja Ceph w OpenStack - status i przyszłość, Paweł Stefański
PLNOG16: Integracja Ceph w OpenStack - status i przyszłość, Paweł Stefański
PROIDEA
 
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa ITSCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
Redge Technologies
 
PHP-PM. Hit czy kit?
PHP-PM. Hit czy kit?PHP-PM. Hit czy kit?
PHP-PM. Hit czy kit?
The Software House
 
PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!
PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!
PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!
PROIDEA
 
PLNOG 18 - Piotr Jabłoński - Co i jak można zautomatyzować u operatora?
PLNOG 18 - Piotr Jabłoński - Co i jak można zautomatyzować u operatora?PLNOG 18 - Piotr Jabłoński - Co i jak można zautomatyzować u operatora?
PLNOG 18 - Piotr Jabłoński - Co i jak można zautomatyzować u operatora?
PROIDEA
 
PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...
PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...
PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...
PROIDEA
 
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...
PROIDEA
 
PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...
PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...
PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...
PROIDEA
 
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietach
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietachPLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietach
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietach
PROIDEA
 

More Related Content

What's hot

Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Gawel Mikolajczyk
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Gawel Mikolajczyk
 
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz JedynakPLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PROIDEA
 
Pocałunek śmierci
Pocałunek śmierciPocałunek śmierci
Pocałunek śmierciDivante
 
PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...
PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...
PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...
PROIDEA
 
Czym jest złożoność ?
Czym jest złożoność ?Czym jest złożoność ?
Czym jest złożoność ?
GOG.com dev team
 
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
PROIDEA
 
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PROIDEA
 
Jaki hosting pod wordpressa
Jaki hosting pod wordpressaJaki hosting pod wordpressa
Jaki hosting pod wordpressa
Arkadiusz Stęplowski
 
TV i video w Internecie
TV i video w InternecieTV i video w Internecie
TV i video w InternecieDivante
 
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PROIDEA
 
Adam Selin - Na czym WordPress stoi. O serwerach słów kilka
Adam Selin - Na czym WordPress stoi. O serwerach słów kilkaAdam Selin - Na czym WordPress stoi. O serwerach słów kilka
Adam Selin - Na czym WordPress stoi. O serwerach słów kilkaLeriss
 
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PROIDEA
 
PLNOG16: Integracja Ceph w OpenStack - status i przyszłość, Paweł Stefański
PLNOG16: Integracja Ceph w OpenStack - status i przyszłość, Paweł StefańskiPLNOG16: Integracja Ceph w OpenStack - status i przyszłość, Paweł Stefański
PLNOG16: Integracja Ceph w OpenStack - status i przyszłość, Paweł Stefański
PROIDEA
 
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa ITSCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
Redge Technologies
 
PHP-PM. Hit czy kit?
PHP-PM. Hit czy kit?PHP-PM. Hit czy kit?
PHP-PM. Hit czy kit?
The Software House
 

What's hot (16)

Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
 
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz JedynakPLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
 
Pocałunek śmierci
Pocałunek śmierciPocałunek śmierci
Pocałunek śmierci
 
PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...
PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...
PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...
 
Czym jest złożoność ?
Czym jest złożoność ?Czym jest złożoność ?
Czym jest złożoność ?
 
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa
 
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
 
Jaki hosting pod wordpressa
Jaki hosting pod wordpressaJaki hosting pod wordpressa
Jaki hosting pod wordpressa
 
TV i video w Internecie
TV i video w InternecieTV i video w Internecie
TV i video w Internecie
 
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
 
Adam Selin - Na czym WordPress stoi. O serwerach słów kilka
Adam Selin - Na czym WordPress stoi. O serwerach słów kilkaAdam Selin - Na czym WordPress stoi. O serwerach słów kilka
Adam Selin - Na czym WordPress stoi. O serwerach słów kilka
 
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
 
PLNOG16: Integracja Ceph w OpenStack - status i przyszłość, Paweł Stefański
PLNOG16: Integracja Ceph w OpenStack - status i przyszłość, Paweł StefańskiPLNOG16: Integracja Ceph w OpenStack - status i przyszłość, Paweł Stefański
PLNOG16: Integracja Ceph w OpenStack - status i przyszłość, Paweł Stefański
 
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa ITSCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
 
PHP-PM. Hit czy kit?
PHP-PM. Hit czy kit?PHP-PM. Hit czy kit?
PHP-PM. Hit czy kit?
 

Viewers also liked

PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!
PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!
PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!
PROIDEA
 
PLNOG 18 - Piotr Jabłoński - Co i jak można zautomatyzować u operatora?
PLNOG 18 - Piotr Jabłoński - Co i jak można zautomatyzować u operatora?PLNOG 18 - Piotr Jabłoński - Co i jak można zautomatyzować u operatora?
PLNOG 18 - Piotr Jabłoński - Co i jak można zautomatyzować u operatora?
PROIDEA
 
PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...
PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...
PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...
PROIDEA
 
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...
PROIDEA
 
PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...
PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...
PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...
PROIDEA
 
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietach
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietachPLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietach
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietach
PROIDEA
 
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PROIDEA
 
PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...
PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...
PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...
PROIDEA
 
PLNOG 18 - Robert Michalski - Szybko, szybciej, TLS 1.3. Czy również bezpiecz...
PLNOG 18 - Robert Michalski - Szybko, szybciej, TLS 1.3. Czy również bezpiecz...PLNOG 18 - Robert Michalski - Szybko, szybciej, TLS 1.3. Czy również bezpiecz...
PLNOG 18 - Robert Michalski - Szybko, szybciej, TLS 1.3. Czy również bezpiecz...
PROIDEA
 
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
PROIDEA
 
PLNOG 18 - Piotr Gruszczyński - Voice over LTE – bliższe VoIP niż LTE
PLNOG 18 - Piotr Gruszczyński - Voice over LTE – bliższe VoIP niż LTEPLNOG 18 - Piotr Gruszczyński - Voice over LTE – bliższe VoIP niż LTE
PLNOG 18 - Piotr Gruszczyński - Voice over LTE – bliższe VoIP niż LTE
PROIDEA
 
PLNOG 18 - Dr Marek Michalewicz - InfiniCortex: Superkomputer wielki jak świat
PLNOG 18 - Dr Marek Michalewicz - InfiniCortex: Superkomputer wielki jak światPLNOG 18 - Dr Marek Michalewicz - InfiniCortex: Superkomputer wielki jak świat
PLNOG 18 - Dr Marek Michalewicz - InfiniCortex: Superkomputer wielki jak świat
PROIDEA
 
PLNOG 18 - Maciej Flak - Network as a Sensor czyli wykorzystanie NetFlow do m...
PLNOG 18 - Maciej Flak - Network as a Sensor czyli wykorzystanie NetFlow do m...PLNOG 18 - Maciej Flak - Network as a Sensor czyli wykorzystanie NetFlow do m...
PLNOG 18 - Maciej Flak - Network as a Sensor czyli wykorzystanie NetFlow do m...
PROIDEA
 
PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...
PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...
PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...
PROIDEA
 
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PROIDEA
 
PLNOG 18 - Piotr Wojciechowski - REST API czyli jak miękko wejść w programowa...
PLNOG 18 - Piotr Wojciechowski - REST API czyli jak miękko wejść w programowa...PLNOG 18 - Piotr Wojciechowski - REST API czyli jak miękko wejść w programowa...
PLNOG 18 - Piotr Wojciechowski - REST API czyli jak miękko wejść w programowa...
PROIDEA
 
PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"
PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"
PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"
PROIDEA
 
PLNOG 18 - Sylwester Biernacki - Co dalej z centrami danych? Wyższy poziom ne...
PLNOG 18 - Sylwester Biernacki - Co dalej z centrami danych? Wyższy poziom ne...PLNOG 18 - Sylwester Biernacki - Co dalej z centrami danych? Wyższy poziom ne...
PLNOG 18 - Sylwester Biernacki - Co dalej z centrami danych? Wyższy poziom ne...
PROIDEA
 
PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.
PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.
PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.
PROIDEA
 
PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...
PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...
PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...
PROIDEA
 

Viewers also liked (20)

PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!
PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!
PLNOG 18 - Łukasz Jokiel - IoT w domu - Do It Yourself!
 
PLNOG 18 - Piotr Jabłoński - Co i jak można zautomatyzować u operatora?
PLNOG 18 - Piotr Jabłoński - Co i jak można zautomatyzować u operatora?PLNOG 18 - Piotr Jabłoński - Co i jak można zautomatyzować u operatora?
PLNOG 18 - Piotr Jabłoński - Co i jak można zautomatyzować u operatora?
 
PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...
PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...
PLNOG 18 - Grzegorz Siehień - Usługi Over-The-Top - szansa dla lokalnych oper...
 
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach ...
 
PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...
PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...
PLNOG 18 - Adrian Kowalczyk i Piotr Goczał - BGP Flowspec czyli jeden ze spos...
 
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietach
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietachPLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietach
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietach
 
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
 
PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...
PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...
PLNOG 18 - Bartek Raszczyk - London calling! Wnioski z wdrażania architektury...
 
PLNOG 18 - Robert Michalski - Szybko, szybciej, TLS 1.3. Czy również bezpiecz...
PLNOG 18 - Robert Michalski - Szybko, szybciej, TLS 1.3. Czy również bezpiecz...PLNOG 18 - Robert Michalski - Szybko, szybciej, TLS 1.3. Czy również bezpiecz...
PLNOG 18 - Robert Michalski - Szybko, szybciej, TLS 1.3. Czy również bezpiecz...
 
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
 
PLNOG 18 - Piotr Gruszczyński - Voice over LTE – bliższe VoIP niż LTE
PLNOG 18 - Piotr Gruszczyński - Voice over LTE – bliższe VoIP niż LTEPLNOG 18 - Piotr Gruszczyński - Voice over LTE – bliższe VoIP niż LTE
PLNOG 18 - Piotr Gruszczyński - Voice over LTE – bliższe VoIP niż LTE
 
PLNOG 18 - Dr Marek Michalewicz - InfiniCortex: Superkomputer wielki jak świat
PLNOG 18 - Dr Marek Michalewicz - InfiniCortex: Superkomputer wielki jak światPLNOG 18 - Dr Marek Michalewicz - InfiniCortex: Superkomputer wielki jak świat
PLNOG 18 - Dr Marek Michalewicz - InfiniCortex: Superkomputer wielki jak świat
 
PLNOG 18 - Maciej Flak - Network as a Sensor czyli wykorzystanie NetFlow do m...
PLNOG 18 - Maciej Flak - Network as a Sensor czyli wykorzystanie NetFlow do m...PLNOG 18 - Maciej Flak - Network as a Sensor czyli wykorzystanie NetFlow do m...
PLNOG 18 - Maciej Flak - Network as a Sensor czyli wykorzystanie NetFlow do m...
 
PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...
PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...
PLNOG 18 - Emil Gągała- Poznaj swoją aplikację – jak stworzyć politykę bezpie...
 
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
 
PLNOG 18 - Piotr Wojciechowski - REST API czyli jak miękko wejść w programowa...
PLNOG 18 - Piotr Wojciechowski - REST API czyli jak miękko wejść w programowa...PLNOG 18 - Piotr Wojciechowski - REST API czyli jak miękko wejść w programowa...
PLNOG 18 - Piotr Wojciechowski - REST API czyli jak miękko wejść w programowa...
 
PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"
PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"
PLNOG 18 - Rafał Budweil - "Triggo - polska innowacja e-mobilnosci miejskiej"
 
PLNOG 18 - Sylwester Biernacki - Co dalej z centrami danych? Wyższy poziom ne...
PLNOG 18 - Sylwester Biernacki - Co dalej z centrami danych? Wyższy poziom ne...PLNOG 18 - Sylwester Biernacki - Co dalej z centrami danych? Wyższy poziom ne...
PLNOG 18 - Sylwester Biernacki - Co dalej z centrami danych? Wyższy poziom ne...
 
PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.
PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.
PLNOG 18 - Łukasz Trąbiński - Zbuduj swój własny radar ruchu lotniczego.
 
PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...
PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...
PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...
 

Similar to PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz enterprise w dobie wszechobecnego szyfrowania

Projekcik Routery2
Projekcik Routery2Projekcik Routery2
Projekcik Routery2arkulik
 
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego koduPLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PROIDEA
 
HTTP od zera do bohatera
HTTP od zera do bohateraHTTP od zera do bohatera
HTTP od zera do bohateraHordeTechnology
 
PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...
PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...
PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...
PROIDEA
 
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Krzysztof Binkowski
 
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Leszek Mi?
 
The story of GOG.com Cache - 4developers 2014 ( PL )
The story of GOG.com Cache - 4developers 2014 ( PL )The story of GOG.com Cache - 4developers 2014 ( PL )
The story of GOG.com Cache - 4developers 2014 ( PL )
GOG.com dev team
 
Es jak FTPS SFTP
Es jak FTPS SFTPEs jak FTPS SFTP
Es jak FTPS SFTP
Arkadiusz Stęplowski
 
Serwer internetowy w systemie Linux
Serwer internetowy w systemie LinuxSerwer internetowy w systemie Linux
Serwer internetowy w systemie Linux
bm9ib2r5
 
The story of GOG.com Cache - PHPers 2014 ( PL )
The story of GOG.com Cache - PHPers 2014 ( PL ) The story of GOG.com Cache - PHPers 2014 ( PL )
The story of GOG.com Cache - PHPers 2014 ( PL )
GOG.com dev team
 
PLNOG16: Jak wykorzystać BRAS/BNG na platformach Cisco w celu świadczenia dod...
PLNOG16: Jak wykorzystać BRAS/BNG na platformach Cisco w celu świadczenia dod...PLNOG16: Jak wykorzystać BRAS/BNG na platformach Cisco w celu świadczenia dod...
PLNOG16: Jak wykorzystać BRAS/BNG na platformach Cisco w celu świadczenia dod...
PROIDEA
 
4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...
4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...
4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...
PROIDEA
 
06 Bluetooth, zaprojektowany aby "zjednoczyć"
06 Bluetooth, zaprojektowany aby "zjednoczyć"06 Bluetooth, zaprojektowany aby "zjednoczyć"
06 Bluetooth, zaprojektowany aby "zjednoczyć"
MarcinStachniuk
 
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek MiśPLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PROIDEA
 
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PROIDEA
 
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
PROIDEA
 
PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...
PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...
PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...
PROIDEA
 
[WHUG] Wielki brat patrzy - czyli jak zbieramy dane o użytkownikach allegro
[WHUG] Wielki brat patrzy - czyli jak zbieramy dane o użytkownikach allegro[WHUG] Wielki brat patrzy - czyli jak zbieramy dane o użytkownikach allegro
[WHUG] Wielki brat patrzy - czyli jak zbieramy dane o użytkownikach allegro
allegro.tech
 
Halokwadrat PLNOG - Freeswitch a big boys Softswitch
Halokwadrat PLNOG - Freeswitch a big boys SoftswitchHalokwadrat PLNOG - Freeswitch a big boys Softswitch
Halokwadrat PLNOG - Freeswitch a big boys Softswitchmichalpodoski
 

Similar to PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz enterprise w dobie wszechobecnego szyfrowania (20)

Projekcik Routery2
Projekcik Routery2Projekcik Routery2
Projekcik Routery2
 
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego koduPLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
 
HTTP od zera do bohatera
HTTP od zera do bohateraHTTP od zera do bohatera
HTTP od zera do bohatera
 
PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...
PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...
PLNOG16: Nowe założenia dla zbieranie logów, statystyk i alertów, Maciej Kałk...
 
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
 
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
 
The story of GOG.com Cache - 4developers 2014 ( PL )
The story of GOG.com Cache - 4developers 2014 ( PL )The story of GOG.com Cache - 4developers 2014 ( PL )
The story of GOG.com Cache - 4developers 2014 ( PL )
 
Es jak FTPS SFTP
Es jak FTPS SFTPEs jak FTPS SFTP
Es jak FTPS SFTP
 
Serwer internetowy w systemie Linux
Serwer internetowy w systemie LinuxSerwer internetowy w systemie Linux
Serwer internetowy w systemie Linux
 
Urządzenia intersieci tworzące Internet
Urządzenia intersieci tworzące InternetUrządzenia intersieci tworzące Internet
Urządzenia intersieci tworzące Internet
 
The story of GOG.com Cache - PHPers 2014 ( PL )
The story of GOG.com Cache - PHPers 2014 ( PL ) The story of GOG.com Cache - PHPers 2014 ( PL )
The story of GOG.com Cache - PHPers 2014 ( PL )
 
PLNOG16: Jak wykorzystać BRAS/BNG na platformach Cisco w celu świadczenia dod...
PLNOG16: Jak wykorzystać BRAS/BNG na platformach Cisco w celu świadczenia dod...PLNOG16: Jak wykorzystać BRAS/BNG na platformach Cisco w celu świadczenia dod...
PLNOG16: Jak wykorzystać BRAS/BNG na platformach Cisco w celu świadczenia dod...
 
4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...
4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...
4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...
 
06 Bluetooth, zaprojektowany aby "zjednoczyć"
06 Bluetooth, zaprojektowany aby "zjednoczyć"06 Bluetooth, zaprojektowany aby "zjednoczyć"
06 Bluetooth, zaprojektowany aby "zjednoczyć"
 
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek MiśPLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
 
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
 
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
PLNOG 5: Piotr Wojciechowski - Budowa głosowych usług operatorskich z zastoso...
 
PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...
PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...
PLNOG 9: Ryszard Czernecki - Bezpieczeństwo usług a zasoby sprzętowe platform...
 
[WHUG] Wielki brat patrzy - czyli jak zbieramy dane o użytkownikach allegro
[WHUG] Wielki brat patrzy - czyli jak zbieramy dane o użytkownikach allegro[WHUG] Wielki brat patrzy - czyli jak zbieramy dane o użytkownikach allegro
[WHUG] Wielki brat patrzy - czyli jak zbieramy dane o użytkownikach allegro
 
Halokwadrat PLNOG - Freeswitch a big boys Softswitch
Halokwadrat PLNOG - Freeswitch a big boys SoftswitchHalokwadrat PLNOG - Freeswitch a big boys Softswitch
Halokwadrat PLNOG - Freeswitch a big boys Softswitch
 

PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz enterprise w dobie wszechobecnego szyfrowania

  • 1. Bezpieczeństwo sieci operatorskich oraz enterprise w dobie wszechobecnego szyfrowania Sebastian Pasternacki Architekt IT, CCIE#17541 & CCDE #2012::9 Cisco Systems / CCIE.PL
  • 2.
  • 3.
  • 4.
  • 5. AGENDA 1. Punkt startowy 2. Przyszłość(?) 3. Co możemy z tym zrobić
  • 6. Prezenter i inne informacje Sebastian “Seba” Pasternacki • IT Architect / SE • Cisco od 08. 2011 / CCIE.PL od 07.2004 • 18 lat w branży; Bydgoszcz/Dublin/Warszawa • 4*CCIE #17541 / CCDE #2012::9 • Rada Programowa PLNOG • Housekeeping • Telefony • Slajdy • Pytania • Ankietki • Rada PLNOG • Ikony pomocnicze: Wzmianka Quizzzzz
  • 8. Kryptografia i szyfrowanie widziane dzisiaj Uwierzytelnianie • TLS based Protocols • EAP-TLS • PEAP • EAP-FAST • Hashing • SHA1 • SHA256/384/512 • Digital Signatures • Key Negotiation Prywatność/Poufność • IPSec • SRTP • DTLS • SSL/TLS • 802.1AE • 802.11i (802.11-2012) • Radius Key-Wrap Zarządzanie • SSH • sFTP • SCP • HTTPS • FTPs
  • 9. Szyfrowanie na wielu warstwach – 802.11i WPA2 Application Presentation Session Transport Network Link Physical 802.11i
  • 10. Szyfrowanie na wielu warstwach – 802.1AE MACSec O 14:05 opowiem o tym nieco więcej… Application Presentation Session Transport Network Link Physical MACsec
  • 11. Szyfrowanie na wielu warstwach – IPsec Application Presentation Session Transport Network Link Physical IPsec
  • 12. Szyfrowanie na wielu warstwach – Transport Layer Security (TLS) *** Application Presentation Session Transport Network Link Physical TLS
  • 13. Szyfrowanie na wielu warstwach – Secure Shell (SSH) Application Presentation Session Transport Network Link Physical SSH
  • 14. Szyfrowanie na wielu warstwach – Secure RTP Application Presentation Session Transport Network Link Physical SRTP
  • 15. Obrona wielowarstwowa - Defense in Depth IPsec 802.11i MACsec TLS SRTP Application Presentation Session Transport Network Link Physical SSH
  • 16. Powody szyfrowania • „Głośne” włamania • Prywatność • Świadomość • Treść i jej analityka • Treść i zapobieganie manipulacjom • Inne…
  • 17. Wielki nacisk na szyfrowanie • Microsoft promuje TLS z PFS • Apple żąda więcej bezpieczeństwa • Producenci przeglądarek agresywnie naciskają na użycie https • Problemy ze starszymi wersjami SSL/TLS powodują migrację do nowszych wersji • Google, FB, Twitter szyfrują wszystko
  • 18. Let’s Encrypt – certyfikaty dla każdego https://letsencrypt.org/ Feb 2017 – Issued more than 20M Certificates
  • 19.
  • 20. James Comey, FBI Director “Armed with lawful authority, we increasingly find ourselves simply unable to do that which the courts have authorized us to do”
  • 21. Unikalne cele Współdzielone cele Urządzenia Ochrona urządzeń, utrzymanie działania i jakości usług Użytkownicy URL Filtering, Blokowanie ściągania malware Własność intelektualna EN: Data Loss Prevention, Adv.Threats Infrastruktura Ochrona sieci przed atakami, utrzymanie usług Pilary bezpieczeństwa – Cele SP & Enterprise Id Identyfikacja dla segmentacji SP: Identyfikacja komercyjna
  • 22. Wyzwanie “The Middle Box” Service Provider Security Enterprise Security Rating URL Filtering Header Insertion File Analysis (Data Loss Prevention, Malware) Firewall / NAT Application Visibility IDS / IDP DDOS Application Challenges Deep Packet Inspection (DPI) Email decryption and analysis • Sieci SP i EN są mocno zależne od możliwości tzw. Middle box, systemów wewnątrz sieci • Obecne rozwiązania oferują pełną widoczność warstw L3-L7 i bardzo często nie działają poprawnie dla ruchu szyfrowanego
  • 24. HSTS • Zabezpiecza strony HTTPS przeciw atakom “downgrade” • Serwer Web Server może zasygnalizować klientowi, że tylko HTTPS jest zezwolone • Używa do tego HTTPS Response Header • Działa to tak: • Automatycznie zmienia każdy http:// link na https:// • Jesli bezpieczne połączenie nie może być zapewnione (np. Self Signed Certificate), użytkownik nie może tego nadpisać/zmienić • Dla SSL Decryption na proxy, trzeba użyć ważnego certyfikatu CA “HTTP Strict Transport Security” - http://tools.ietf.org/html/rfc6797
  • 25. Certificate Pinning MiddleBox or Intermediate Cert Apps Operating System Browsers Trusted Certs Single Trusted Cert
  • 26. Certificate Pinning – RFC 7469 • Metoda porównania Certifikatu przedstawionego przez Serwer do ”przechowywanego” certyfikatu CA na stacji • Używany również jako metoda weryfikacji czy Klient aplikacji używa najnowszej wersji • Dotyczy centralnie aktualizowancyh aplikacji łączących się do zdefiniowanych serwerów • Dwie metody: • Wykorzystanie statycznej listy aplikacji, w których dany certyfikat CA jest spodziewany jako podpisujący certyfikat serwera • Wysłanie “Header”(HPKP) podczas TLS Handshake, aby zasygnalizować, że klient musi użyć danego klucza publicznego przez określony czas • Chrome łączący się do gmail.com, Twitter; FF łączący się do mozilla.org https://src.chromium.org/viewvc/chrome/trunk/src/net/http/transport_security_state_static.json
  • 27. Przykład – Firefox https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning 0: Pinning disabled 1: Allow User MiTM (with a trusted CA) 2: Strict. Always enforced 3: Enforce Test Mode 27
  • 29. SPDY & HTTP2 • Specyfikacja HTTP/2 bazuje w dużej części na specyfikacjach SPDY & TLS http://daniel.haxx.se/http2/ • https://www.ietf.org/blog/2015/02/http2-approved/ • https://tools.ietf.org/html/rfc7540
  • 30. • Kompresja nagłówka • “Prawdziwy” multiplexing • Re-Use połączeń TCP • Ważna dla współdzielonych domen (takie samo IP, inne domeny) • Serwer “pcha” zawartość do klienta • Priorytetyzacja strumieni • Format binarny HTTP/2 – Funkcje i charakterystyka
  • 31. HTTP2 – Binary Format (format binarny) Network (IP) Session (TLS) optional Transport (TCP) Application (HTTP2) Binary Frame HTTP/1.1 GET /index.html HTTP/1.1 Host: www.example.com Content-Type: text/html Content-Length: 42 {“msg”:”PLNOG18 2017”} HEADER FRAME DATA FRAME Pro: łatwiejsze parsowanie, efektywniejszy transfer danych Con: Serwer, klient & Gateways muszą rozumieć nowy format
  • 32. HTTP2 and TLS Multipleksowanie żądań i odpowiedzi w jednym połączeniu TCP Przeglądarki wymuszają HTTP2 over TLS • Chrome, Firefox, Safari • Unikanie fallback code • Uaktualnienie do HTTP2 z użyciem TLS extension • Oszczedność z użyciem nagłówka HTTP “Upgrade:” Czas ładowania strony HTTP2-over-TLS porównywalny do HTTP http://caniuse.com/#feat=http2
  • 33. • Klient przekazuje listę wspieranych protokołów, a serwer wybiera jeden z nich • Wykorzystanie rozszerzenia TLS - ALPN w ramach Hello od klienta HTTP/2 Negotiation over TLS First, HTTP/2 Second, SPDY Third, HTTP/1.1 Application Layer Protocol Negotiation (ALPN)
  • 34. • HTTP/2 zaszyfrowane z TLS • Binary Format & Header Compressions muszą być parsowane (brak cleartext) • Ponowne wykorzystanie połączenia TCP HTTP/2 wyzwania dla proxy/ngfw
  • 35. • Usunięcie statycznych metod uwierzytelniania • Użycie DHE / ECDHE z Perfect Forward Secrecy • Redukcja nadmiarowości z użyciem 1-RTT handshake • Zejście do handshake “legacy” jeśli klient nie obsługuje • 0-RTT Session resumption -> Tickets + PSK • Usunięcie słabych algorytmów non-AEAD Ciphers (CBC), compression, RC4, MD5, SHA224 • Szyfrowanie większej ilości pól podczas handshake • Certificate Extensions takie jak CN & SAN TLS 1.3 – faza draft https://tools.ietf.org/html/draft-ietf-tls-tls13-18
  • 36. Częściowy TLS Handshake (TLS 1.0 – 1.2) TLS Client TLS Server TLS ClientHello SNI=www.example.com TLS ServerHello Certificate for www.example.net Session key (encrypted with private key) Żądany serwer Rzeczywisty serwer Można zapobiec deszyfracji jeśli strona jest na while/blacklist
  • 37. TLS ServerHello Server’s Diffie-Hellman key { Certificate for www.example.net } { Session key (encrypted with private key) } Partial TLS Handshake (TLS 1.3) TLS Client TLS Server TLS ClientHello SNI=www.example.com Client’s Diffie-Hellman key Żądany serwer Rzeczywisty serwer{Zaszyfrowane z DH}
  • 38. • Rozszerzenia CN & SAN zaszyfrowane przez DH • Możemy wyłącznie bazować SNI przy decyzji o deszyfracji • SNI podlega atakowi typu spoofing… TLS 1.3 wyzwania dla proxy/ngfw
  • 39. • Protokół Google celem redukcji opóźnienia • UDP 80 & 443, skupienie na warstwach 4-5 • Szyfrowanie, kontrola zatorów oraz część funkcji HTTP/2 (stream handling) przechodzą do QUIC QUIC HTTP/2 TLS TCP IP HTTP/2 QUIC UDP IP
  • 40. QUIC setup oraz session persistence Zero RTT setup jest bardzo szybki, natomiast stanowi wyzwanie dla middlebox
  • 41. • HTTP response header • Alternate-Protocol: 443:quic • Klient ustanawia połączenia QUIC w tle • Pełne wsparcie dla Chrome • Brak cache u klienta dla serwerów QUIC Ustanowienie połączania QUIC Client Server QUIC Connetion HTTP QUIC Alternate-Protocol: Używając TLS, HTTP response header będzie zaszyfrowana… QUICK Connection
  • 43. • QUIC jest zawsze zaszyfrowany • QUIC używa multipleksacji strumienia przez wiele ścieżek • Może użyć IPv4 i IPv6 równocześnie • Bez odpowiedniego zrozumienia QUIC, połączenia wyglądają na niepowiązane połączenia UDP • QUIC może być zainicjowany zarówno przez klienta, jak i serwer • Gdzie jest nasze wejście, a gdzie wyjście dla ruchu? QUIC wyzwania dla proxy/ngfw
  • 45. Malware… też szyfruje, i to nie tylko dyski • Większość ruchu C&C jest zaszyfrowana • Coraz większa część ruchu generowana przez malware używa protokołów innych niż HTTP(S) • Pojawił się malware używający Certificate Pinning
  • 46. No to jesteśmy tutaj…
  • 47. Quizzzzzz Co możemy z tym zrobić?
  • 48. Co możemy z tym zrobić
  • 49. Czas na opcje obronne • Deszyfrowanie • Analiza ruchu sieciowego DNS, HTTP • Modelowanie i Machine Learning • ETTA – Enhanced Threat Telemetry and Analytics • API w imię kooperacji
  • 50. SSL/TLS Proxy – dobry start, ale czy wystarcza Client Middle Box Origin Server Clear Text Client Hello Client Hello Server Hello, Cert Server Hello, Middle Box Cert Key Exchange, Change CipherSpec Change CipherSpec Finished Key Exchange, Change CipherSpec Change CipherSpec Finished Application DataApplication Data Alt. Cert Trusted
  • 51. Telemetria sieciowa Distribution/Core Switch Access Switch Endpoint Agent Firewall Proxy Identity AD & DNS Talos Global Intelligence Telemetria: zautomatyzowany proces komunikacji umożliwiający przesyłanie zgromadzonych pomiarów, jak i innych danych, z oddalonych lub niedostępnych punktów oraz przesyłanie ich do odbiornika celem monitoringu https://en.wikipedia.org/wiki/Telemetry
  • 52. Używając DNS widzimy bardzo dużo Wykrywanie: • Compromised systems • Command & control callbacks • Malware & phishing attempts • Algorithm-generated domains • Domain co-occurrences • Newly registered domains Urządzenie Authoritative Logs Recursive DNS Authoritative DNS root com. domain.com. Wykrywanie: • Newly staged infrastructures • Malicious domains, IPs, ASNs • DNS hijacking • Fast flux domains • Related domains Struktury żądań
  • 53. Wykrywanie “winy” przez interferencje, połączenia i wzorce Nowe modele statystyczne § Live DGA prediction § Sender rank Modele statystyczne § Spike rank § Natural Language Processing rank § Predictive IP space § DNS, WHOIS & Threat Grid correlations § Geo-location & -diversity § Co-occurrence § Secure rank § Live DGA detection Nowe kategorie § Newly Seen Domains § Potentially Harmful Domains § DNS Tunneling VPN
  • 54. • Wykrycie i podążanie za podejrzanym • Agregacja • Model zaufania • Self learning • Nauka z dobrym i złym ruchem Kluczowa długookresowa obserwacja Modelowanie i Machine Learning Anomalous Normal Unknown HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) RequestHTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request
  • 56. Jak to wygląda na “żywo” Prawdopodobieństwo Ilość bajtów ruchu DNS (logscale) Model przewiduje, że ten punkt jest mało realny Obszar wypełniony danymi z obszarów normalnego użytkowania Ten rozkład zmienia się z czasem dostowując się do bieżących informacji Z czasem dane poza marginesem są zapomniane “Zapominanie” jest jedną z funkcji systemów
  • 57. ETTA – Enhanced Threat Telemetry and Analytics Q1: Bez deszyfrowania co możemy obserwować? Netflow (eg. TCPIP) Packet Arrival Times Sequence of Packet Lengths Byte Entropy Related Flows (eg. DNS) Q2: Czy machine learning i heurystyka danych z baz zagrożeń polepszą szkuteczność? Wyniki z 4 dni prób w sieci enterprise (48M flows)? Known Attack Vectors Blacklisted IPs 99.76% Total Accuracy 115,000 False Positives
  • 58. ETTA –> Joy sh$ pcap2flow bidir=1 dist=1 classify=1 malware.pcap > malware.gz sh$ query.py malware.gz --select "da, dp, p_malware" --where "p_malware > 0.99" { "name": [ { "da": 86.59.21.38, "dp": 443 , "p_malware": 0.997 } …… • Joy to BSD-licensed libpcap-based narzędzie pozwalające na wykrywanie podatności, zagrożeń oraz nieautoryzowanego i niechcianego zachowania • Analizuje: • Prawdopodobieństwo dystrybucji bajtów w porcji danych o przepływach, a także entropię • Rozkład wielkości oraz czasu przybycia ruchu dla TLS • Dane typu non-encrypted dla TLS, np. lista algorytmów szyfrowania, wybrane algorytmy, długość pola clientKeyExchange oraz informacje o certyfikatach • Nazwy, adresy i TTL dla DNS • Elementy nagłówka HTTP wraz z pierwszymi 8 bajtami HTTP body https://github.com/cisco/joy
  • 59. Funkcjonalność SPUD – Explicit Path Cooperation Substrate Protocol for User Datagram https://tools.ietf.org/html/draft-hildebrand-spud-prototype-03 Middlebox A Middlebox B Server Data Path SPUD Declaration 2 1 3 4
  • 60. Czas na API eNB SGW MME PGW PCRF NAT/FW Internet Content Publisher Proxy Mediation API GxGx SON Przykłady rozwiązania współpracy operatora Mobile z dystrybutorem treści (1) Priorytetyzacja ruchu mobile na żądanie (2) Żądanie do operatora optymalizacji w oparciu o stan kanału komunikacyjnego
  • 62. Droga do sukcesu… • Szyfrowanie jest nieuniknione • Znajomość technik i protokołów używanych w szyfrowaniu jest kluczowa • Poznaj i używaj nowe techniki analityczne
  • 63.