Seminář o bezpečnosti sítí a služeb

Transkript

Seminář o bezpečnosti sítí a služeb
CESNET, z. s. p. o.
Služby e-infrastruktury CESNET
9. 4. 2015
CESNET, z. s. p. o.
●
Založen v roce 1996
●
Členové
●
●
–
25 českých univerzit
–
Akademie věd České republiky
–
Policejní akademie ČR
Hlavní cíle:
–
výzkum a vývoj informačních a komunikačních technologií
–
budování a rozvoj einfrastruktury CESNET určené pro výzkum a vzdělávání
–
podpora a šíření vzdělanosti, kultury a poznání
2011 – 2015
–
Projekt Velká infrastruktura CESNET
Seminář o bezpečnosti, 9. 4. 2015, Praha
Rámcový pohled na einfrastrukturu a její služby
●
M
CESNET a CESNET2
●
NREN
●
Konektivita
–
GÉANT, 10Gb/s
–
spoj do globální internetu linkou od Telia do USA, 6Gb/s
–
individuální spoje do SANET, ACONET a PIONEER, po 10Gb/s
–
spoj do experimentální sítě GLIF, 10Gb/s
–
4×10 Gb/s do NIX.CZ
–
10 Gb/s do AMSIX
●
Člen sdružení CZ.NIC
●
Člen peeringového centra NIX.CZ
●
Člen projektu Fenix Seminář o bezpečnosti, 9. 4. 2015, Praha
CESNET a CESNET2
●
●
Špičkové parametry síťové infrastruktury
–
vysoké přenosové rychlosti
–
endtoend služby
–
vysoká míra spolehlivosti
Připojené organizace
–
26 vysokých škol, AV ČR (členové)
cca 290 dalších účastníků ~ 400tis uživatelů
●
studentů
●
vědců, výzkumníků
Charakter sítě CESNET2
●
●
Klasický ISP
–
uživatel přistupuje do Internetu
–
využívá služby, stahuje data, mailuje, chatuje, webuje ...
NREN
–
experimentální, komunitní –
nárazové velké datové přenosy
–
distribuované infrastruktury Datových úložišť, Gridů
–
infrastruktura pro podporu vzdálené spolupráce
–
AAI infrastruktura, federace, IdP
–
silné výpočetní zdroje
Strategie správy CESNET2
1. Transparentní 2. Žádné omezování provozu (dokud se neobjeví problém)
3. Připojeným sítím nabízíme služby a nástroje pro “seberegulaci” Seminář o bezpečnosti, 9. 4. 2015, Praha
Strategie správy CESNET2
●
●
●
●
Na páteři pracujeme s velkými objemy dat
–
jsme schopni určit, co je anomálie ohrožující infrastrukturu
–
nejsme schopni určit, jestli tok X může být ohrožující pro koncovou síť
Pro určení anomálnosti provozu je důležitý nejen objem, ale i charakteristika datových přenosů
–
zaměřujeme se na schopnost posoudit objem a charakteristiku
–
např. 5tis flow za vteřinu – u DNS ok, u PC problém
Rozhodujeme se na základě vyhodnocení konkrétní situace
–
na páteři zasahujeme, když je ohrožen chod infrastruktury
–
vše ostatní je na žádost uživatelů (připojených sítí)
Máme povinnost a oprávnění zasáhnout při ohrožení infrastruktury
–
nemůžeme a nechceme svévolně zasahovat do provozu koncové sítě
CESNET2
Sondy na perimetru sítě CESNET2
CESNET2
- HW accelerated probes
- large scale (backbone-wide) flow based monitoring (NetFlow data sources)
- Honey Pots
- SNMP based monitoring
- IDS, IPS, tar pit based systems, etc..
Sledování CESNET2
●
Plošné, souvislé, na bázi toků
●
HW akcelerované sondy na perimetru sítě
●
●
–
užitečné pro ruční analýzu, v případě problému zkoumáme
–
statistiky
–
zdroj dat a informací pro další výzkum
FTAS, G3 –
sběr informací o provozu z páteřních prvů a připojených sítí
–
aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní
–
z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30)
Detekce síťových a aplikačních událostí
–
skenování portů
–
synflood útoky –
DNS amplifikace
–
bruteforce na ssh, SIP, DNS tunely
Sledování CESNET2
●
●
Sledujeme provoz „od nás ven“
● vůči vybraným prvkům infrastruktury
●
●
–
●
perimetr, vstup, výstup
● distribuované infrastruktury, např. DÚ, Gridy
– zdroj dat a informací pro další výzkum
● klíčové služby (DSN, AAI)
● anomální datové přenosy
FTAS, G3 ●
–
statistiky
–
●
●
Co je výstupem
–
●
–
skenování portů
–
synflood útoky –
DNS amplifikace
–
bruteforce na ssh, SIP, DNS tunely
top listy, podle zdrojů, cílů
– z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30)
● využití a stav linek
● paketové rychlosti
● útoky hrubou silou Seminář o bezpečnosti, 9. 4. 2015, Praha
Sledování CESNET2
●
●
Sledujeme provoz „od nás ven“
● vůči vybraným prvkům infrastruktury
●
●
–
●
perimetr, vstup, výstup
● distribuované infrastruktury, např. DÚ, Gridy
– zdroj dat a informací pro další výzkum
● klíčové služby (DSN, AAI)
● anomální datové přenosy
FTAS, G3 ●
–
statistiky
–
●
–
●
Co je výstupem
●
top listy, podle zdrojů, cílů
– z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30)
● využití a stav linek
● paketové rychlosti
● útoky hrubou silou – skenování portů
umíme rozpoznat provozní problém a bezpečnostní problém
–
synflood útoky –
DNS amplifikace
umíme rozpoznat pokusy zneužít infrastrukturu a data
máme naskladněné informace pro expost analýzu
– bruteforce na ssh, SIP, DNS tunely
Podpora připojených organizací
aneb
„Co je CESNET schopen udělat pro své koncové sítě, když ...“
Co jsme schopni udělat, když ...
●
●
●
Máte podezření, že něco není v pořádku
–
adhoc analýza provozu
–
konzultace, zhodnocení situace
–
dlouhodobé systematické sledování podezřelého provozu
Jste zdrojem problému (útoku)
–
–
filtrace na hraně mezi sítí a páteří, dokud není odstraněna příčina
–
pomoc s odstraněním problému
Jste cílem útoku (např. typu záplava)
–
–
filtrace na hraně mezi sítí a páteří, případně na perimetru sítě
Co jsme schopni udělat, když ...
●
●
●
Objeví se plošný útok na uživatele (phishing nesoucí malware)
–
analýzu malware
–
vydat doporučení, co dělat (csirtforum@)
–
identifikovat nakažené stroje v síti
–
zabránit komunikaci nakažených strojů (v koncové síti)
Objeví se zranitelnost (HB, ShellShock)
–
otestování prvků v koncové síti
–
analýza provozu
●
dostupnými metodami, vytvořenými nástroji
●
rychlou úpravou sondy
Chcete zjistit, jak na tom vaše síť je (prevence)
–
penetrační testy
–
zátěžové testy
}
na žádost,
ne automaticky
Co očekáváme od koncové sítě
●
Komunikaci a spolupráci
●
Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností
●
„Vím, co se v mé síti děje“ aneb logování
●
Nepodvrhávání provozu
●
Nepouštět přes hranu SNMP, NTP (neníli pro to dobrý důvod a pokud je, tak zabezpečit)
●
Ne amplifikace, ne otevřené resolvery
●
Naplnění základních podmínek Fenixu
●
●
●
●
●
BCP38/SAC004 – granularita /24 (/48)
●
RTBH využívající RS
●
IPv6, DNSSEC – na důležitých doménách
●
●
Plná redundance připojení do NIX.CZ
●
Monitoring sítě (MRTG, NetFlow, ...)
●
Control plane policy RFC6192
●
DNS, NTP, SNMP amplification protection
●
Reakční čas na bezpečnostní incident <30min
●
BGP – TCP MD5 ●
●
●
●
●
●
●
●
●
●
●
Nejsem a nemohu být zdrojem falešného ●
provozu a zdrojem nebo zrcadlem agresivního ●
provozu (antispam a malware).
●
●
●
BGP – TCP MD5 ●
●
●
●
Správný design sítě
●
Víceúrovňové filtrování provozu
●
Ochrana koncových stanic
●
●
●
●
Nepouštět přes hranu SNMP, NTP (neníli pro to dobrý důvod a Ochrana aktivních prvků
pokud je, tak zabezpečit)
●
●
Monitorování služeb
●
●
●
●
Monitorování síťové komunikace
Nejsem a nemohu být zdrojem falešného ●
provozu a zdrojem nebo zrcadlem agresivního ●
●
Ochrana klientů (před klienty)
provozu (antispam a malware).
●
●
●
BGP – TCP MD5 ●
●
●
Bezpečnostní infrastruktura
●
Síťové sondy na perimetru sítě CESNET2
●
FTAS a G3
–
plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur
–
plošné souvislé sledování stavu a chování rozsáhlých výkonných infrastruktur
●
IDS systémy, Honeypoty
●
Systémy pro sdílení a korelaci dat
●
●
–
Warden
–
Mentat
Forenzní laboratoř (FLAB)
–
forenzní analýza
–
penetrační testy, testy odolnosti
CESNETCERTS, PSS, NOC
c
Bezpečnost: Služby
●
●
●
Služby týmu CESNETCERTS
–
incident response
–
sběr, vyhodnocení a distribuce dat do koncových sítí
Pomoc při zvládání bezpečnostních incidentů –
radou, zásahem v síťové infrastruktuře
–
ověřením v bezpečnostních nástrojích (sondy, FTAS, G3)
–
metodami forenzní analýzy
–
otestování (HeartBleed, Shellshock)
Asistence při problému (útok, nefunkčnost)
–
máme připraveny mechanismy
●
kam problém nahlásit (PSS, NOC, CESNETCERTS)
●
jak problém detekovat, zmírnit, vyřešit (RTBH, IG, filtry ...)
●
jak problém analyzovat – FLAB
Bezpečnost: služby
●
●
Služby na bázi detekce (FTAS, G3)
–
plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur
–
plošné souvislé sledování stavu a chování rozsáhlých infrastruktur
●
možnost využít instanci běžící na páteři
●
možnost mít vlastní instanci ve vlastní síti
Koncept STaaS (Security Tools as a Service)
STaaS
–
služba pro členy, jejichž možnosti v oblasti bezpečnosti jsou omezené
–
aplikace zkušeností z CESNET2 do menších sítí
–
nasazení a vyladění monitorovacích nástrojů pro konkrétní síť
●
●
●
zprovoznění sondy, instance FTAS, G3, kolektoru
možnost provozovat vlastní instanci kolektoru s podporou CESNETu, nebo využít kolektor CESNETu a mít přístup k výsledkům
konzultace a vzdělávání, práce s nasbíranými daty
●
●
Služby na bázi sdílení a rozvoje komunity (dáš, dostaneš)
–
Warden
–
http://warden.cesnet.cz/
Forenzní laboratoř
–
analýza bezpečnostního incidentu
–
penetrační testy
–
zátěžové testy
c
Warden
●
Systém pro efektivní sdílení informací o bezpečnostních událostech
●
Motivace
●
–
mám data, ale kam s nimi?
–
chci data, ale kde je vzít?
Hlavní cíle
–
platforma pro sdílení dat (dej, odeber)
–
sledování zdraví sítě a služeb
–
●
aktivní obrana
Architektura
Hostname,Service: CESNET_IDS
Detection time, arrival
time:
Event type: Portscan,
bruteforce,
spam,
phishing,
...
Source: IP/URL/Reply-To
Aim: protocol TCP, port 22
Scale: scan 666 ports,
sweep 66 machines
–
clientserver, jednoduchý protokol a klienti
Note: Free text note
–
zasílají se události
–
zabezpečení připojení Client tags: Network,
Connection,
Honeypot,
LaBrea
Warden
Database size: 10GB
Sum of all saved events: 81248640
sum of valid events: 80891259
sum of obsolete events: 39237
sum of invalid events: 318144
Last (valid) ID in events table: 81616185
Time of first (valid) inserted event: 20120611 05:26:42 (UTC)
Time of latest (valid) inserted event: 20150403 10:16:42 (UTC)
Sum of all registered clients: 95
sum of (valid) registered clients: 87
sum of (invalid) registered clients: 8
sum of (active) registered clients: 36
Warden
Database size: 10GB
Sum of all saved events: 81248640
sum of valid events: 80891259
sum of obsolete events: 39237
sum of invalid events: 318144
Last (valid) ID in events table: 81616185
Time of first (valid) inserted event: 20120611 05:26:42 (UTC)
Time of latest (valid) inserted event: 20150403 10:16:42 (UTC)
Sum of all registered clients: 95
sum of (valid) registered clients: 87
sum of (invalid) registered clients: 8
sum of (active) registered clients: 36
●
●
Služby na bázi sdílení a rozvoje komunity (dáš, dostaneš)
–
Warden
–
http://warden.cesnet.cz/
Forenzní laboratoř
–
analýza bezpečnostního incidentu
–
penetrační testy
–
zátěžové testy
c
●
●
Ochrana, osvěta a školení uživatelů
–
školení pro studenty (prvních ročníků) (Monty Python)
–
školení pro zaměstnance členských sítí
–
„Je svět internetu anonymní?“
–
„Základní pravidla bezpečného chování na Internetu“
–
„Základní pravidla pro zabezpečení pracovní stanice (mobilního telefonu)“
–
„Základy legislativy dotýkající se světa Internetu“
Semináře a školení pro správce a administrátory
–
FTAS, G3 (on – demand) –
ZKB (říjen – prosinec 2015)
–
správa DNS (upcoming)
Shrnutí
●
Technologie, nástroje, služby a knowhow
●
Gramotné a spolupracující správce
●
●
–
CESNETCERTS
–
PSS
–
NOC
Správa a zabezpečení sítě CESNET2 je založena na právě na gramotnosti správců, zdravém rozumu a spolupráci
Přednesené metody a přístup k monitoringu s obraně není dogma
–
možnost dohodnout se na individuálním přístupu (CESNET2 x koncová síť)
–
je možné dohodnout případné konkrétní regulační opatření vůči koncové síti (ondemand)
Strategie v oblasti bezpečnosti
I. Udržet einfrastrukturu CESNET v běhu a zabezpečenou
II. Zvyšovat v oblasti bezpečnosti schopnosti připojených institucí
III. Ochrana a vzdělávání uživatelů Seminář o bezpečnosti, 9. 4. 2015, Praha
Děkuji za pozornost.

Seminář o bezpečnosti sítí a služeb

Transkript

Podobné dokumenty

„Mein Leib ist meiner Seele Schrein – Mé t lo je mé du e

Nadregionální seminář

Program seminářű Odd. zoologie obratlovcű Katedry zoologie Př

Úterní dopis 16 - Síť mateřských center