Seminář o bezpečnosti sítí a služeb
Transkript
Seminář o bezpečnosti sítí a služeb
Seminář o bezpečnosti sítí a služeb CESNET, z. s. p. o. Služby e-infrastruktury CESNET 9. 4. 2015 CESNET, z. s. p. o. ● Založen v roce 1996 ● Členové ● ● – 25 českých univerzit – Akademie věd České republiky – Policejní akademie ČR Hlavní cíle: – výzkum a vývoj informačních a komunikačních technologií – budování a rozvoj einfrastruktury CESNET určené pro výzkum a vzdělávání – podpora a šíření vzdělanosti, kultury a poznání 2011 – 2015 – Projekt Velká infrastruktura CESNET Seminář o bezpečnosti, 9. 4. 2015, Praha Rámcový pohled na einfrastrukturu a její služby ● M Seminář o bezpečnosti, 9. 4. 2015, Praha CESNET a CESNET2 ● NREN ● Konektivita – GÉANT, 10Gb/s – spoj do globální internetu linkou od Telia do USA, 6Gb/s – individuální spoje do SANET, ACONET a PIONEER, po 10Gb/s – spoj do experimentální sítě GLIF, 10Gb/s – 4×10 Gb/s do NIX.CZ – 10 Gb/s do AMSIX ● Člen sdružení CZ.NIC ● Člen peeringového centra NIX.CZ ● Člen projektu Fenix Seminář o bezpečnosti, 9. 4. 2015, Praha CESNET a CESNET2 ● ● Špičkové parametry síťové infrastruktury – vysoké přenosové rychlosti – endtoend služby – vysoká míra spolehlivosti Připojené organizace – 26 vysokých škol, AV ČR (členové) cca 290 dalších účastníků ~ 400tis uživatelů ● studentů ● vědců, výzkumníků Seminář o bezpečnosti, 9. 4. 2015, Praha Charakter sítě CESNET2 ● ● Klasický ISP – uživatel přistupuje do Internetu – využívá služby, stahuje data, mailuje, chatuje, webuje ... NREN – experimentální, komunitní – nárazové velké datové přenosy – distribuované infrastruktury Datových úložišť, Gridů – infrastruktura pro podporu vzdálené spolupráce – AAI infrastruktura, federace, IdP – silné výpočetní zdroje Seminář o bezpečnosti, 9. 4. 2015, Praha Strategie správy CESNET2 1. Transparentní 2. Žádné omezování provozu (dokud se neobjeví problém) 3. Připojeným sítím nabízíme služby a nástroje pro “seberegulaci” Seminář o bezpečnosti, 9. 4. 2015, Praha Strategie správy CESNET2 ● ● ● ● Na páteři pracujeme s velkými objemy dat – jsme schopni určit, co je anomálie ohrožující infrastrukturu – nejsme schopni určit, jestli tok X může být ohrožující pro koncovou síť Pro určení anomálnosti provozu je důležitý nejen objem, ale i charakteristika datových přenosů – zaměřujeme se na schopnost posoudit objem a charakteristiku – např. 5tis flow za vteřinu – u DNS ok, u PC problém Rozhodujeme se na základě vyhodnocení konkrétní situace – na páteři zasahujeme, když je ohrožen chod infrastruktury – vše ostatní je na žádost uživatelů (připojených sítí) Máme povinnost a oprávnění zasáhnout při ohrožení infrastruktury – nemůžeme a nechceme svévolně zasahovat do provozu koncové sítě Seminář o bezpečnosti, 9. 4. 2015, Praha CESNET2 Sondy na perimetru sítě CESNET2 Seminář o bezpečnosti, 9. 4. 2015, Praha CESNET2 - HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - SNMP based monitoring - IDS, IPS, tar pit based systems, etc.. Sledování CESNET2 ● Plošné, souvislé, na bázi toků ● HW akcelerované sondy na perimetru sítě ● ● – užitečné pro ruční analýzu, v případě problému zkoumáme – statistiky – zdroj dat a informací pro další výzkum FTAS, G3 – sběr informací o provozu z páteřních prvů a připojených sítí – aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní – z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30) Detekce síťových a aplikačních událostí – skenování portů – synflood útoky – DNS amplifikace – bruteforce na ssh, SIP, DNS tunely Seminář o bezpečnosti, 9. 4. 2015, Praha Sledování CESNET2 ● Plošné, souvislé, na bázi toků ● Sledujeme provoz „od nás ven“ HW akcelerované sondy na perimetru sítě ● vůči vybraným prvkům infrastruktury ● ● – ● užitečné pro ruční analýzu, v případě problému zkoumáme perimetr, vstup, výstup ● distribuované infrastruktury, např. DÚ, Gridy – zdroj dat a informací pro další výzkum ● klíčové služby (DSN, AAI) ● anomální datové přenosy FTAS, G3 ● – statistiky – sběr informací o provozu z páteřních prvů a připojených sítí ● ● Co je výstupem – aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní ● – skenování portů – synflood útoky – DNS amplifikace – bruteforce na ssh, SIP, DNS tunely top listy, podle zdrojů, cílů – z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30) ● využití a stav linek ● paketové rychlosti Detekce síťových a aplikačních událostí ● útoky hrubou silou Seminář o bezpečnosti, 9. 4. 2015, Praha Sledování CESNET2 ● Plošné, souvislé, na bázi toků ● Sledujeme provoz „od nás ven“ HW akcelerované sondy na perimetru sítě ● vůči vybraným prvkům infrastruktury ● ● – ● užitečné pro ruční analýzu, v případě problému zkoumáme perimetr, vstup, výstup ● distribuované infrastruktury, např. DÚ, Gridy – zdroj dat a informací pro další výzkum ● klíčové služby (DSN, AAI) ● anomální datové přenosy FTAS, G3 ● – statistiky – sběr informací o provozu z páteřních prvů a připojených sítí ● – ● Co je výstupem aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní ● top listy, podle zdrojů, cílů – z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30) ● využití a stav linek ● paketové rychlosti Detekce síťových a aplikačních událostí ● útoky hrubou silou – skenování portů umíme rozpoznat provozní problém a bezpečnostní problém – synflood útoky – DNS amplifikace umíme rozpoznat pokusy zneužít infrastrukturu a data máme naskladněné informace pro expost analýzu – bruteforce na ssh, SIP, DNS tunely Seminář o bezpečnosti, 9. 4. 2015, Praha Podpora připojených organizací aneb „Co je CESNET schopen udělat pro své koncové sítě, když ...“ Seminář o bezpečnosti, 9. 4. 2015, Praha Co jsme schopni udělat, když ... ● ● ● Máte podezření, že něco není v pořádku – adhoc analýza provozu – konzultace, zhodnocení situace – dlouhodobé systematické sledování podezřelého provozu Jste zdrojem problému (útoku) – adhoc analýza provozu – filtrace na hraně mezi sítí a páteří, dokud není odstraněna příčina – pomoc s odstraněním problému Jste cílem útoku (např. typu záplava) – adhoc analýza provozu – filtrace na hraně mezi sítí a páteří, případně na perimetru sítě Seminář o bezpečnosti, 9. 4. 2015, Praha Co jsme schopni udělat, když ... ● ● ● Objeví se plošný útok na uživatele (phishing nesoucí malware) – analýzu malware – vydat doporučení, co dělat (csirtforum@) – identifikovat nakažené stroje v síti – zabránit komunikaci nakažených strojů (v koncové síti) Objeví se zranitelnost (HB, ShellShock) – otestování prvků v koncové síti – analýza provozu ● dostupnými metodami, vytvořenými nástroji ● rychlou úpravou sondy Chcete zjistit, jak na tom vaše síť je (prevence) – penetrační testy – zátěžové testy Seminář o bezpečnosti, 9. 4. 2015, Praha } na žádost, ne automaticky Co očekáváme od koncové sítě ● Komunikaci a spolupráci ● Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností ● „Vím, co se v mé síti děje“ aneb logování ● Nepodvrhávání provozu ● Nepouštět přes hranu SNMP, NTP (neníli pro to dobrý důvod a pokud je, tak zabezpečit) ● Ne amplifikace, ne otevřené resolvery ● Naplnění základních podmínek Fenixu Seminář o bezpečnosti, 9. 4. 2015, Praha Co očekáváme od koncové sítě ● Komunikaci a spolupráci ● Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností ● „Vím, co se v mé síti děje“ aneb logování ● Nepodvrhávání provozu ● Nepouštět přes hranu SNMP, NTP (neníli pro to dobrý důvod a pokud je, tak zabezpečit) BCP38/SAC004 – granularita /24 (/48) ● RTBH využívající RS Ne amplifikace, ne otevřené resolvery ● IPv6, DNSSEC – na důležitých doménách ● ● Plná redundance připojení do NIX.CZ Naplnění základních podmínek Fenixu ● Monitoring sítě (MRTG, NetFlow, ...) ● Control plane policy RFC6192 ● DNS, NTP, SNMP amplification protection ● Reakční čas na bezpečnostní incident <30min ● BGP – TCP MD5 ● ● Seminář o bezpečnosti, 9. 4. 2015, Praha Co očekáváme od koncové sítě ● Komunikaci a spolupráci ● Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností ● „Vím, co se v mé síti děje“ aneb logování ● Nepodvrhávání provozu ● Nepouštět přes hranu SNMP, NTP (neníli pro to dobrý důvod a pokud je, tak zabezpečit) BCP38/SAC004 – granularita /24 (/48) ● RTBH využívající RS Ne amplifikace, ne otevřené resolvery ● IPv6, DNSSEC – na důležitých doménách ● ● Plná redundance připojení do NIX.CZ Naplnění základních podmínek Fenixu Nejsem a nemohu být zdrojem falešného ● Monitoring sítě (MRTG, NetFlow, ...) provozu a zdrojem nebo zrcadlem agresivního ● Control plane policy RFC6192 provozu (antispam a malware). ● DNS, NTP, SNMP amplification protection ● Reakční čas na bezpečnostní incident <30min ● BGP – TCP MD5 ● ● Seminář o bezpečnosti, 9. 4. 2015, Praha Co očekáváme od koncové sítě ● Komunikaci a spolupráci ● Správný design sítě Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností ● Víceúrovňové filtrování provozu „Vím, co se v mé síti děje“ aneb logování ● Nepodvrhávání provozu Ochrana koncových stanic ● ● ● ● Nepouštět přes hranu SNMP, NTP (neníli pro to dobrý důvod a Ochrana aktivních prvků pokud je, tak zabezpečit) BCP38/SAC004 – granularita /24 (/48) ● ● RTBH využívající RS Monitorování služeb Ne amplifikace, ne otevřené resolvery ● IPv6, DNSSEC – na důležitých doménách ● ● Plná redundance připojení do NIX.CZ Naplnění základních podmínek Fenixu ● Monitorování síťové komunikace Nejsem a nemohu být zdrojem falešného ● Monitoring sítě (MRTG, NetFlow, ...) provozu a zdrojem nebo zrcadlem agresivního ● Control plane policy RFC6192 ● Ochrana klientů (před klienty) provozu (antispam a malware). ● DNS, NTP, SNMP amplification protection ● Reakční čas na bezpečnostní incident <30min ● BGP – TCP MD5 ● ● ● Seminář o bezpečnosti, 9. 4. 2015, Praha Bezpečnostní infrastruktura ● Síťové sondy na perimetru sítě CESNET2 ● FTAS a G3 – plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur – plošné souvislé sledování stavu a chování rozsáhlých výkonných infrastruktur ● IDS systémy, Honeypoty ● Systémy pro sdílení a korelaci dat ● ● – Warden – Mentat Forenzní laboratoř (FLAB) – forenzní analýza – penetrační testy, testy odolnosti CESNETCERTS, PSS, NOC Seminář o bezpečnosti, 9. 4. 2015, Praha c Bezpečnost: Služby ● ● ● Služby týmu CESNETCERTS – incident response – sběr, vyhodnocení a distribuce dat do koncových sítí Pomoc při zvládání bezpečnostních incidentů – radou, zásahem v síťové infrastruktuře – ověřením v bezpečnostních nástrojích (sondy, FTAS, G3) – metodami forenzní analýzy – otestování (HeartBleed, Shellshock) Asistence při problému (útok, nefunkčnost) – máme připraveny mechanismy ● kam problém nahlásit (PSS, NOC, CESNETCERTS) ● jak problém detekovat, zmírnit, vyřešit (RTBH, IG, filtry ...) ● jak problém analyzovat – FLAB Seminář o bezpečnosti, 9. 4. 2015, Praha Bezpečnost: služby ● ● Služby na bázi detekce (FTAS, G3) – plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur – plošné souvislé sledování stavu a chování rozsáhlých infrastruktur ● možnost využít instanci běžící na páteři ● možnost mít vlastní instanci ve vlastní síti Koncept STaaS (Security Tools as a Service) STaaS – služba pro členy, jejichž možnosti v oblasti bezpečnosti jsou omezené – aplikace zkušeností z CESNET2 do menších sítí – nasazení a vyladění monitorovacích nástrojů pro konkrétní síť ● ● ● zprovoznění sondy, instance FTAS, G3, kolektoru možnost provozovat vlastní instanci kolektoru s podporou CESNETu, nebo využít kolektor CESNETu a mít přístup k výsledkům konzultace a vzdělávání, práce s nasbíranými daty Seminář o bezpečnosti, 9. 4. 2015, Praha Bezpečnost: služby ● ● Služby na bázi sdílení a rozvoje komunity (dáš, dostaneš) – Warden – http://warden.cesnet.cz/ Forenzní laboratoř – analýza bezpečnostního incidentu – penetrační testy – zátěžové testy Seminář o bezpečnosti, 9. 4. 2015, Praha c Warden ● Systém pro efektivní sdílení informací o bezpečnostních událostech ● Motivace ● – mám data, ale kam s nimi? – chci data, ale kde je vzít? Hlavní cíle – platforma pro sdílení dat (dej, odeber) – sledování zdraví sítě a služeb – ● aktivní obrana Architektura Hostname,Service: CESNET_IDS Detection time, arrival time: Event type: Portscan, bruteforce, spam, phishing, ... Source: IP/URL/Reply-To Aim: protocol TCP, port 22 Scale: scan 666 ports, sweep 66 machines – clientserver, jednoduchý protokol a klienti Note: Free text note – zasílají se události – zabezpečení připojení Client tags: Network, Connection, Honeypot, LaBrea Seminář o bezpečnosti, 9. 4. 2015, Praha Warden Database size: 10GB Sum of all saved events: 81248640 sum of valid events: 80891259 sum of obsolete events: 39237 sum of invalid events: 318144 Last (valid) ID in events table: 81616185 Time of first (valid) inserted event: 20120611 05:26:42 (UTC) Time of latest (valid) inserted event: 20150403 10:16:42 (UTC) Sum of all registered clients: 95 sum of (valid) registered clients: 87 sum of (invalid) registered clients: 8 sum of (active) registered clients: 36 Seminář o bezpečnosti, 9. 4. 2015, Praha Warden Database size: 10GB Sum of all saved events: 81248640 sum of valid events: 80891259 sum of obsolete events: 39237 sum of invalid events: 318144 Last (valid) ID in events table: 81616185 Time of first (valid) inserted event: 20120611 05:26:42 (UTC) Time of latest (valid) inserted event: 20150403 10:16:42 (UTC) Sum of all registered clients: 95 sum of (valid) registered clients: 87 sum of (invalid) registered clients: 8 sum of (active) registered clients: 36 Seminář o bezpečnosti, 9. 4. 2015, Praha Bezpečnost: služby ● ● Služby na bázi sdílení a rozvoje komunity (dáš, dostaneš) – Warden – http://warden.cesnet.cz/ Forenzní laboratoř – analýza bezpečnostního incidentu – penetrační testy – zátěžové testy Seminář o bezpečnosti, 9. 4. 2015, Praha c Bezpečnost: služby ● ● Ochrana, osvěta a školení uživatelů – školení pro studenty (prvních ročníků) (Monty Python) – školení pro zaměstnance členských sítí – „Je svět internetu anonymní?“ – „Základní pravidla bezpečného chování na Internetu“ – „Základní pravidla pro zabezpečení pracovní stanice (mobilního telefonu)“ – „Základy legislativy dotýkající se světa Internetu“ Semináře a školení pro správce a administrátory – FTAS, G3 (on – demand) – ZKB (říjen – prosinec 2015) – správa DNS (upcoming) Seminář o bezpečnosti, 9. 4. 2015, Praha Shrnutí ● Technologie, nástroje, služby a knowhow ● Gramotné a spolupracující správce ● ● – CESNETCERTS – PSS – NOC Správa a zabezpečení sítě CESNET2 je založena na právě na gramotnosti správců, zdravém rozumu a spolupráci Přednesené metody a přístup k monitoringu s obraně není dogma – možnost dohodnout se na individuálním přístupu (CESNET2 x koncová síť) – je možné dohodnout případné konkrétní regulační opatření vůči koncové síti (ondemand) Seminář o bezpečnosti, 9. 4. 2015, Praha Strategie v oblasti bezpečnosti I. Udržet einfrastrukturu CESNET v běhu a zabezpečenou II. Zvyšovat v oblasti bezpečnosti schopnosti připojených institucí III. Ochrana a vzdělávání uživatelů Seminář o bezpečnosti, 9. 4. 2015, Praha Děkuji za pozornost. Seminář o bezpečnosti, 9. 4. 2015, Praha