Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Redge Technologies
(Polish only)
Gaming/DDoS mitigation/x86 performance and elasticity.
Talk given at Net::IP meetup in Wrocław, Poland (2017.05): https://www.meetup.com/Wroclaw-Net-IP-Meetup/events/238738376/
Prezentacja dotycząca wydajnego przetwarzania ruchu IP na PC wygłoszona podczas IT Conference na WAT (http://itacademicday.azurewebsites.net/), listopad 2015.
(Polish only) Talk regarding effective IP traffic processing on x86 platforms, given at IT Academic Day / Military University of Technology in Warsaw, November 2015.
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Redge Technologies
(Polish only)
Gaming/DDoS mitigation/x86 performance and elasticity.
Talk given at Net::IP meetup in Wrocław, Poland (2017.05): https://www.meetup.com/Wroclaw-Net-IP-Meetup/events/238738376/
Prezentacja dotycząca wydajnego przetwarzania ruchu IP na PC wygłoszona podczas IT Conference na WAT (http://itacademicday.azurewebsites.net/), listopad 2015.
(Polish only) Talk regarding effective IP traffic processing on x86 platforms, given at IT Academic Day / Military University of Technology in Warsaw, November 2015.
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa PROIDEA
IPv6 - dwa kliknięcia i działa
- Czy jesteśmy gotowi na IPv6?
- Jedno kliknięcie i działa - ale czy bezpiecznie?
- Kilka modeli wdrożenia IPv6 u operatora
- WLAN na konferencji PLNOG
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPROIDEA
Zaprezentowany zostanie obecny status rozwiązań NFV. Ich historyczne znaczenie w przeszłości, zmiany na rynku, które doprowadziły do ponownego odkrycia tej technologii. Pokazane zostana możliwe scieżki rozwoju rozwiązań NFV i co w chwili obecnej stanowi blokadę do szerszego wdrożenia tych technologii. Zaprezentowane zostaną przykłady implementacji technolgoii NFV z wykorzystaniem rozwiązań Juniper vSRX vMX oraz produktów z rodziny NFX
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?PROIDEA
To co było w branży sieciowej aksjomatami ugruntowanymi przez lata a nawet dekady dość gwałtownie przestaje obowiązywać. Współczesne sieci zmieniają swój kształt, dostosowując się do wymagań współczesnego świata. Ty, jako pan i władca routerów musisz wreszcie uznać że świat powyżej warstwy czwartej już dawno zaczął żyć swoim życiem i odpływa w nieznanych Tobie kierunkach, a jeśli go nie dogonisz, zostaniesz bezrobotnym sieciowcem. W krótkiej prezentacji postaram się obalić kilka aksjomatów pokutujących jeszcze wśród sieciowców oraz przedstawić kilka technologii i rozwiązań, którymi warto się zainteresować aby za pięć lat nie zostać telemarketerem w call center.
Franciszek Krasowski: Zastanawialiście się kiedyś nad tym, czym jest PHP-PM? Jak działa? Jak wypada w porównaniu do innych popularnych rozwiązań? Czy jest wystarczająco stabilny? Franciszek Krasowski odpowie na wszystkie te pytania (a także na te, których jeszcze nie zadaliście).
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa PROIDEA
IPv6 - dwa kliknięcia i działa
- Czy jesteśmy gotowi na IPv6?
- Jedno kliknięcie i działa - ale czy bezpiecznie?
- Kilka modeli wdrożenia IPv6 u operatora
- WLAN na konferencji PLNOG
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPROIDEA
Zaprezentowany zostanie obecny status rozwiązań NFV. Ich historyczne znaczenie w przeszłości, zmiany na rynku, które doprowadziły do ponownego odkrycia tej technologii. Pokazane zostana możliwe scieżki rozwoju rozwiązań NFV i co w chwili obecnej stanowi blokadę do szerszego wdrożenia tych technologii. Zaprezentowane zostaną przykłady implementacji technolgoii NFV z wykorzystaniem rozwiązań Juniper vSRX vMX oraz produktów z rodziny NFX
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?PROIDEA
To co było w branży sieciowej aksjomatami ugruntowanymi przez lata a nawet dekady dość gwałtownie przestaje obowiązywać. Współczesne sieci zmieniają swój kształt, dostosowując się do wymagań współczesnego świata. Ty, jako pan i władca routerów musisz wreszcie uznać że świat powyżej warstwy czwartej już dawno zaczął żyć swoim życiem i odpływa w nieznanych Tobie kierunkach, a jeśli go nie dogonisz, zostaniesz bezrobotnym sieciowcem. W krótkiej prezentacji postaram się obalić kilka aksjomatów pokutujących jeszcze wśród sieciowców oraz przedstawić kilka technologii i rozwiązań, którymi warto się zainteresować aby za pięć lat nie zostać telemarketerem w call center.
Franciszek Krasowski: Zastanawialiście się kiedyś nad tym, czym jest PHP-PM? Jak działa? Jak wypada w porównaniu do innych popularnych rozwiązań? Czy jest wystarczająco stabilny? Franciszek Krasowski odpowie na wszystkie te pytania (a także na te, których jeszcze nie zadaliście).
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...Leszek Mi?
Eksfiltracja danych to proces służący do "ukrytego" przesyłania danych pochodzących z przejętych lub zainfekowanych systemów i urządzeń sieciowych. Oprócz samej kradzieży danych celem atakującego jest przede wszystkim minimalizacja wykrycia takich działań. Podczas prelekcji omówione zostaną metody i techniki eksfiltracyjne bazujące na wykorzystaniu najpopularniejszych protokołów i usług sieciowych: DNS, ICMP, TCP, UDP, SSH, HTTP/HTTPS, a także w oparciu o popularne serwisy w chmurze, np. Google Docs, Slack czy Twitter. Krótkie wprowadzenie teoretyczne poparte zostanie licznymi, praktycznymi pokazami na żywo. Całość prezentacji ma na celu zwrócenie uwagi na jakże istotną wielopoziomową analizę ruchu sieciowego pod kątem anomalii, odejść od normy czy "egzotycznej" charakterystyki i pochodzenia będącej jednocześnie jednym z podstawowych elementów "Threat Huntingu" i procesu aktywnej ochrony.
4Developers 2015: Szybciej niż Struś Pędziwiatr - WebSockets w aplikacjach we...PROIDEA
Krzysztof Rychlicki-Kicior
Language: Polish
Dawno temu, gdy w kodzie HTML królowały znaczniki FONT i MARQUEE, a zamiast AJAX-a stosowano ukryte ramki, błyskawiczną i dwustronną komunikację z serwerem można było osiągnąć jedynie za pomocą specjalnych wtyczek - np. we wszelkiej maści czatach królowała wówczas Java i applety. Z upływem lat sytuacja poprawiła się, dzięki zastosowaniu AJAX-a czy long pollingu, jednak wciąż była daleka od ideału. Na szczęście, obecnie programiści są w znacznie lepszej sytuacji - dzięki WebSocketom bez żadnego problemu są w stanie zaimplementować komunikację w czasie rzeczywistym, niezbędną np. do gier online, aplikacji do komunikacji czy aplikacji finansowych.
W ramach tego wykładu słuchacze zapoznają się z różnymi koncepcjami stosowanymi w komunikacji pomiędzy przeglądarką a serwerem HTTP, z uwzględnieniem WebSocketów. Oprócz tego zostaną przedstawione mechanizmy obsługi WS od strony serwera, na przykładzie Node.js i Socket.IO. Różne rozwiązania zostaną poddane porównaniu pod kątem wydajności. Mimo licznych zalet, WebSockety niosą za sobą pewne problemy - zostaną one również poddane analizie.
06 Bluetooth, zaprojektowany aby "zjednoczyć"MarcinStachniuk
Prezentacja wprowadzająca do korzystania z Bluetooth'a w j2me. Przygotowana i wygłoszona przez Przemysława Bieruta 03.12.2009.
Prezentacja wygłoszona w ramach Warsztatów programowania telefonów komórkowych w j2me przy Studenckim Kole Naukowym Informatyki Systemów Autonomicznych i Adaptacyjnych ISA^2.
Halokwadrat PLNOG - Freeswitch a big boys Softswitch
PLNOG 18 - Sebastian Pasternacki - Bezpieczeństwo sieci operatorskich oraz enterprise w dobie wszechobecnego szyfrowania
1. Bezpieczeństwo sieci operatorskich oraz enterprise
w dobie wszechobecnego szyfrowania
Sebastian Pasternacki
Architekt IT, CCIE#17541 & CCDE #2012::9
Cisco Systems / CCIE.PL
6. Prezenter i inne informacje
Sebastian “Seba” Pasternacki
• IT Architect / SE
• Cisco od 08. 2011 / CCIE.PL od 07.2004
• 18 lat w branży; Bydgoszcz/Dublin/Warszawa
• 4*CCIE #17541 / CCDE #2012::9
• Rada Programowa PLNOG
• Housekeeping
• Telefony
• Slajdy
• Pytania
• Ankietki
• Rada PLNOG
• Ikony pomocnicze:
Wzmianka
Quizzzzz
9. Szyfrowanie na wielu warstwach – 802.11i WPA2
Application
Presentation
Session
Transport
Network
Link
Physical
802.11i
10. Szyfrowanie na wielu warstwach – 802.1AE MACSec
O 14:05 opowiem o tym nieco więcej…
Application
Presentation
Session
Transport
Network
Link
Physical
MACsec
11. Szyfrowanie na wielu warstwach – IPsec
Application
Presentation
Session
Transport
Network
Link
Physical
IPsec
12. Szyfrowanie na wielu warstwach – Transport Layer Security
(TLS) ***
Application
Presentation
Session
Transport
Network
Link
Physical
TLS
13. Szyfrowanie na wielu warstwach – Secure Shell (SSH)
Application
Presentation
Session
Transport
Network
Link
Physical
SSH
14. Szyfrowanie na wielu warstwach – Secure RTP
Application
Presentation
Session
Transport
Network
Link
Physical
SRTP
15. Obrona wielowarstwowa - Defense in Depth
IPsec 802.11i
MACsec
TLS SRTP
Application
Presentation
Session
Transport
Network
Link
Physical
SSH
16. Powody szyfrowania
• „Głośne” włamania
• Prywatność
• Świadomość
• Treść i jej analityka
• Treść i zapobieganie manipulacjom
• Inne…
17. Wielki nacisk na szyfrowanie
• Microsoft promuje TLS z PFS
• Apple żąda więcej bezpieczeństwa
• Producenci przeglądarek agresywnie naciskają
na użycie https
• Problemy ze starszymi wersjami SSL/TLS
powodują migrację do nowszych wersji
• Google, FB, Twitter szyfrują wszystko
18. Let’s Encrypt – certyfikaty dla każdego
https://letsencrypt.org/
Feb 2017 – Issued more than 20M Certificates
19.
20. James Comey, FBI Director
“Armed with lawful authority, we increasingly find
ourselves simply unable to do that which the
courts have authorized us to do”
22. Wyzwanie “The Middle Box”
Service Provider Security Enterprise Security
Rating URL Filtering
Header Insertion File Analysis (Data Loss Prevention, Malware)
Firewall / NAT Application Visibility
IDS / IDP DDOS Application Challenges
Deep Packet Inspection (DPI) Email decryption and analysis
• Sieci SP i EN są mocno zależne od możliwości tzw. Middle box, systemów wewnątrz sieci
• Obecne rozwiązania oferują pełną widoczność warstw L3-L7 i bardzo często nie działają
poprawnie dla ruchu szyfrowanego
24. HSTS
• Zabezpiecza strony HTTPS przeciw atakom “downgrade”
• Serwer Web Server może zasygnalizować klientowi, że tylko HTTPS jest zezwolone
• Używa do tego HTTPS Response Header
• Działa to tak:
• Automatycznie zmienia każdy http:// link na https://
• Jesli bezpieczne połączenie nie może być zapewnione (np. Self Signed Certificate), użytkownik
nie może tego nadpisać/zmienić
• Dla SSL Decryption na proxy, trzeba użyć ważnego certyfikatu CA
“HTTP Strict Transport Security” - http://tools.ietf.org/html/rfc6797
26. Certificate Pinning – RFC 7469
• Metoda porównania Certifikatu przedstawionego przez Serwer do ”przechowywanego”
certyfikatu CA na stacji
• Używany również jako metoda weryfikacji czy Klient aplikacji używa najnowszej wersji
• Dotyczy centralnie aktualizowancyh aplikacji łączących się do zdefiniowanych serwerów
• Dwie metody:
• Wykorzystanie statycznej listy aplikacji, w których dany certyfikat CA jest spodziewany jako
podpisujący certyfikat serwera
• Wysłanie “Header”(HPKP) podczas TLS Handshake, aby zasygnalizować, że klient musi użyć
danego klucza publicznego przez określony czas
• Chrome łączący się do gmail.com, Twitter; FF łączący się do mozilla.org
https://src.chromium.org/viewvc/chrome/trunk/src/net/http/transport_security_state_static.json
29. SPDY & HTTP2
• Specyfikacja HTTP/2 bazuje w dużej części na specyfikacjach SPDY & TLS
http://daniel.haxx.se/http2/
• https://www.ietf.org/blog/2015/02/http2-approved/
• https://tools.ietf.org/html/rfc7540
30. • Kompresja nagłówka
• “Prawdziwy” multiplexing
• Re-Use połączeń TCP
• Ważna dla współdzielonych domen (takie samo IP, inne domeny)
• Serwer “pcha” zawartość do klienta
• Priorytetyzacja strumieni
• Format binarny
HTTP/2 – Funkcje i charakterystyka
31. HTTP2 – Binary Format (format binarny)
Network (IP)
Session (TLS)
optional
Transport (TCP)
Application (HTTP2)
Binary Frame
HTTP/1.1
GET /index.html HTTP/1.1
Host: www.example.com
Content-Type: text/html
Content-Length: 42
{“msg”:”PLNOG18 2017”}
HEADER FRAME
DATA FRAME
Pro: łatwiejsze parsowanie, efektywniejszy transfer danych
Con: Serwer, klient & Gateways muszą rozumieć nowy format
32. HTTP2 and TLS
Multipleksowanie żądań i odpowiedzi w jednym połączeniu TCP
Przeglądarki wymuszają HTTP2 over TLS
• Chrome, Firefox, Safari
• Unikanie fallback code
• Uaktualnienie do HTTP2 z użyciem TLS extension
• Oszczedność z użyciem nagłówka HTTP “Upgrade:”
Czas ładowania strony HTTP2-over-TLS porównywalny do HTTP
http://caniuse.com/#feat=http2
33. • Klient przekazuje listę wspieranych protokołów, a serwer wybiera
jeden z nich
• Wykorzystanie rozszerzenia TLS - ALPN w ramach Hello od klienta
HTTP/2 Negotiation over TLS
First, HTTP/2
Second, SPDY
Third, HTTP/1.1
Application Layer Protocol Negotiation (ALPN)
34. • HTTP/2 zaszyfrowane z TLS
• Binary Format & Header Compressions muszą być parsowane (brak
cleartext)
• Ponowne wykorzystanie połączenia TCP
HTTP/2 wyzwania dla proxy/ngfw
35. • Usunięcie statycznych metod uwierzytelniania
• Użycie DHE / ECDHE z Perfect Forward Secrecy
• Redukcja nadmiarowości z użyciem 1-RTT handshake
• Zejście do handshake “legacy” jeśli klient nie obsługuje
• 0-RTT Session resumption -> Tickets + PSK
• Usunięcie słabych algorytmów non-AEAD Ciphers (CBC),
compression, RC4, MD5, SHA224
• Szyfrowanie większej ilości pól podczas handshake
• Certificate Extensions takie jak CN & SAN
TLS 1.3 – faza draft
https://tools.ietf.org/html/draft-ietf-tls-tls13-18
36. Częściowy TLS Handshake (TLS 1.0 – 1.2)
TLS Client TLS Server
TLS ClientHello
SNI=www.example.com
TLS ServerHello
Certificate for www.example.net
Session key (encrypted with private key)
Żądany serwer
Rzeczywisty serwer
Można zapobiec deszyfracji jeśli strona jest na while/blacklist
37. TLS ServerHello
Server’s Diffie-Hellman key
{ Certificate for www.example.net }
{ Session key (encrypted with private key)
}
Partial TLS Handshake (TLS 1.3)
TLS Client TLS Server
TLS ClientHello
SNI=www.example.com
Client’s Diffie-Hellman key
Żądany serwer
Rzeczywisty serwer{Zaszyfrowane z DH}
38. • Rozszerzenia CN & SAN zaszyfrowane przez DH
• Możemy wyłącznie bazować SNI przy decyzji o deszyfracji
• SNI podlega atakowi typu spoofing…
TLS 1.3 wyzwania dla proxy/ngfw
39. • Protokół Google celem redukcji opóźnienia
• UDP 80 & 443, skupienie na warstwach 4-5
• Szyfrowanie, kontrola zatorów oraz część funkcji HTTP/2 (stream
handling) przechodzą do QUIC
QUIC
HTTP/2
TLS
TCP
IP
HTTP/2
QUIC
UDP
IP
40. QUIC setup oraz session persistence
Zero RTT setup jest bardzo szybki, natomiast stanowi wyzwanie dla middlebox
41. • HTTP response header
• Alternate-Protocol: 443:quic
• Klient ustanawia połączenia QUIC w tle
• Pełne wsparcie dla Chrome
• Brak cache u klienta dla serwerów QUIC
Ustanowienie połączania QUIC
Client Server
QUIC Connetion
HTTP
QUIC
Alternate-Protocol:
Używając TLS, HTTP response header
będzie zaszyfrowana…
QUICK Connection
43. • QUIC jest zawsze zaszyfrowany
• QUIC używa multipleksacji strumienia przez wiele ścieżek
• Może użyć IPv4 i IPv6 równocześnie
• Bez odpowiedniego zrozumienia QUIC, połączenia wyglądają na
niepowiązane połączenia UDP
• QUIC może być zainicjowany zarówno przez klienta, jak i serwer
• Gdzie jest nasze wejście, a gdzie wyjście dla ruchu?
QUIC wyzwania dla proxy/ngfw
45. Malware… też szyfruje, i to nie tylko dyski
• Większość ruchu C&C jest
zaszyfrowana
• Coraz większa część ruchu
generowana przez malware
używa protokołów innych niż
HTTP(S)
• Pojawił się malware używający
Certificate Pinning
49. Czas na opcje obronne
• Deszyfrowanie
• Analiza ruchu sieciowego DNS,
HTTP
• Modelowanie i Machine
Learning
• ETTA – Enhanced Threat
Telemetry and Analytics
• API w imię kooperacji
50. SSL/TLS Proxy – dobry start, ale czy wystarcza
Client Middle Box Origin Server
Clear
Text
Client Hello
Client Hello
Server Hello, Cert
Server Hello, Middle Box Cert
Key Exchange, Change CipherSpec
Change CipherSpec Finished
Key Exchange, Change CipherSpec
Change CipherSpec Finished
Application DataApplication Data
Alt.
Cert
Trusted
51. Telemetria sieciowa
Distribution/Core
Switch
Access Switch
Endpoint Agent Firewall
Proxy Identity
AD & DNS
Talos
Global Intelligence
Telemetria: zautomatyzowany proces komunikacji umożliwiający przesyłanie zgromadzonych
pomiarów, jak i innych danych, z oddalonych lub niedostępnych punktów oraz przesyłanie ich
do odbiornika celem monitoringu
https://en.wikipedia.org/wiki/Telemetry
52. Używając DNS widzimy bardzo dużo
Wykrywanie:
• Compromised systems
• Command & control callbacks
• Malware & phishing attempts
• Algorithm-generated domains
• Domain co-occurrences
• Newly registered domains
Urządzenie
Authoritative Logs
Recursive DNS Authoritative DNS
root
com.
domain.com.
Wykrywanie:
• Newly staged infrastructures
• Malicious domains, IPs, ASNs
• DNS hijacking
• Fast flux domains
• Related domains
Struktury żądań
53. Wykrywanie “winy”
przez interferencje,
połączenia i wzorce
Nowe modele statystyczne
§ Live DGA prediction
§ Sender rank
Modele statystyczne
§ Spike rank
§ Natural Language Processing rank
§ Predictive IP space
§ DNS, WHOIS & Threat Grid correlations
§ Geo-location & -diversity
§ Co-occurrence
§ Secure rank
§ Live DGA detection
Nowe kategorie
§ Newly Seen Domains
§ Potentially Harmful Domains
§ DNS Tunneling VPN
56. Jak to wygląda na “żywo”
Prawdopodobieństwo
Ilość bajtów ruchu DNS (logscale)
Model przewiduje,
że ten punkt jest
mało realny
Obszar wypełniony danymi
z obszarów normalnego
użytkowania
Ten rozkład zmienia się z
czasem dostowując się do
bieżących informacji
Z czasem dane poza
marginesem są
zapomniane
“Zapominanie” jest jedną
z funkcji systemów
57. ETTA – Enhanced Threat Telemetry and Analytics
Q1: Bez deszyfrowania co możemy obserwować?
Netflow
(eg. TCPIP)
Packet
Arrival Times
Sequence of
Packet
Lengths
Byte Entropy
Related
Flows
(eg. DNS)
Q2: Czy machine learning i heurystyka danych z baz zagrożeń polepszą szkuteczność?
Wyniki z 4 dni prób w sieci enterprise (48M flows)?
Known
Attack
Vectors
Blacklisted
IPs
99.76%
Total
Accuracy
115,000
False
Positives
58. ETTA –> Joy
sh$ pcap2flow bidir=1 dist=1 classify=1 malware.pcap > malware.gz
sh$ query.py malware.gz --select "da, dp, p_malware" --where
"p_malware > 0.99"
{
"name": [
{ "da": 86.59.21.38, "dp": 443 , "p_malware": 0.997 }
……
• Joy to BSD-licensed libpcap-based narzędzie pozwalające na wykrywanie podatności, zagrożeń
oraz nieautoryzowanego i niechcianego zachowania
• Analizuje:
• Prawdopodobieństwo dystrybucji bajtów w porcji danych o przepływach, a także entropię
• Rozkład wielkości oraz czasu przybycia ruchu dla TLS
• Dane typu non-encrypted dla TLS, np. lista algorytmów szyfrowania, wybrane algorytmy, długość pola
clientKeyExchange oraz informacje o certyfikatach
• Nazwy, adresy i TTL dla DNS
• Elementy nagłówka HTTP wraz z pierwszymi 8 bajtami HTTP body
https://github.com/cisco/joy
59. Funkcjonalność SPUD – Explicit Path Cooperation
Substrate Protocol for User Datagram
https://tools.ietf.org/html/draft-hildebrand-spud-prototype-03
Middlebox A Middlebox B
Server
Data Path
SPUD Declaration
2
1
3
4
60. Czas na API
eNB SGW
MME
PGW
PCRF
NAT/FW
Internet
Content
Publisher
Proxy
Mediation API
GxGx
SON
Przykłady rozwiązania współpracy operatora Mobile z dystrybutorem treści
(1) Priorytetyzacja ruchu mobile na żądanie
(2) Żądanie do operatora optymalizacji w oparciu o stan kanału komunikacyjnego
62. Droga do sukcesu…
• Szyfrowanie jest nieuniknione
• Znajomość technik i protokołów używanych
w szyfrowaniu jest kluczowa
• Poznaj i używaj nowe techniki analityczne