Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow

Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow Pavel Čeleda et al. Masarykova univerzita Ústav výpočetní techniky II. konference ČIMIB - 20. května 2009, Praha

Část I Sledování a analýza provozu v počítačových sítích

Pavel Čeleda et al.

Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow

2 / 23

Jak dobře znáte svoji síť ?

Víte o tom, co se děje ve Vaší síti? Jste si jistí bezpečností Vaší sítě? Znáte kritická místa Vaší sítě? Vypořádáváte se s problémy ve Vaší síti?

A nebo Vám v síti řádí neznámí skřítci?



3 / 23

Máte vše pod kontrolou? LAN

Internet Ale co se děje zde? Firewall

AV ochrana

hraniční směrovač

AV ochrana LAN


AV ochrana LAN


4 / 23

Monitorování toků Poskytuje informace o tom kdo, s kým a jak dlouho komunikoval, kolik přenesl dat a jaký protokol použil. Vychází z principů technologie NetFlow v5/v9 a IETF IPFIX. Umožňuje dlouhodobě sledovat síťový provoz v reálném čase.

Detailní pohled do sítě na základě NetFlow dat. Pavel Čeleda et al.


5 / 23

Princip monitorování toků HTTP požadavek od 172.16.96.48:15094 pro 209.85.135.147:80

HTTP odpověď od 209.85.135.147:80 pro 172.16.96.48:15094

chci na www.google.cz

WWW prohlížeč

WWW server

zdrojová a cílová IP adresa zdrojový a cílový port číslo protokolu doba trvání počet paketů suma bajtů TCP příznaky, ... Flow start Duration Proto Src IP Addr:Port 09:41:21.763 0.101 TCP 172.16.96.48:15094 -> 09:41:21.893 0.031 TCP 209.85.135.147:80 ->


Dst IP Addr:Port 209.85.135.147:80 172.16.96.48:15094

Flags .AP.SF .AP.SF


Packets 4 4

Bytes 715 1594

6 / 23

Dostupná řešení pro monitorování toků Směrovače – CISCO, Juniper, Enterasys, . . . Zaneprázdněny směrováním, monitorování toků jako doplněk. Monitorování toků není implementované ve všech modelech. Fixní umístění, možný cíl útoků. Často nezbytné vzorkování, omezené pokročilé technologie. SW NetFlow Sondy – nProbe, fprobe, softflowd, . . . Založeno na běžném HW – PC a běžných síťových kartách. Limitovaný výkon (PCAP, PCI-X) a problémy stability. Vyžaduje expertní úpravy a nastavení měřicího systému. Zaplňují mezeru kde potřebujeme monitorovat a není čím.



7 / 23

Část II Sonda FlowMon ⇒ alternativní způsob získávání NetFlow dat



8 / 23

Systém pro sledování síťového provozu LAN

sonda FlowMon

Internet

TAP SPAN

SPAN TAP

sonda FlowMon

sonda FlowMon

LAN


LAN


9 / 23

Architektura systému

sonda FlowMon

sonda FlowMon

detekce SPAMu NetFlow v5/v9

NfSen NetFlow kolektor

detekce červů/virů

http mail

WWW OTRS

mail

detekce bezpeč. incidentů

mailbox

sonda FlowMon vytváření NetFlow dat


sběr NetFlow dat

analýza NetFlow dat


reportování incidentů

10 / 23

Historie řešení FlowMon Základní výzkum proběhl v rámci aktivity Programovatelný hardware sdružení CESNET ve spolupráci s VUT a MU. Projekt EU FP6 GÉANT2 ⇒ vznik GN2 Security Toolset, který tvoří sonda FlowMon a kolektor NfSen. Technologický transfer do společnosti INVEA-TECH a.s.

2004 návrh sondy

2005 COMBO6+MTX COMBO6+SFP

2006

2007

2008

COMBO6X+SFPRO

COMBO6X+SFPRO COMBO6X+XFP

Flexible FlowMon

2008 Technologický transfer Spin-Off INVEA-TECH a.s.


SW a HW sondy FlowMon


11 / 23

Sonda FlowMon Mobilní síťové zařízení bez nutné fixní pozice v síti. Nezávislost na používané síťové infrastruktuře. Založeno na Linuxu, „neomezené“ množství chytrých rozšíření. Pasivní sledování síťového provozu za všech okolností. Splňuje standardy - NetFlow v5/9 a IPFIX. Současný export dat na více kolektorů. Bezpečná vzdálená konfigurace přes web nebo SSH.

Optický TAP Sonda FlowMon karta COMBO6X Pavel Čeleda et al.

Kolektor


12 / 23

Část III Použití NetFlow v praxi



13 / 23

Jak používáme NetFlow na Masarykově univerzitě Oddělení bezpečnosti počítačové sítě - CSIRT MU Sledování dodržování bezpečnostních politik. Dohledávání bezpečnostních incidentů. Detekce virů a červů v síti MU. Monitorování a detekce slovníkových útoků na SSH. Monitorování e-mailového provozu (SPAM). Monitorování provozu přicházajícího na honeypoty. Nebezpečnostní využití NetFlow dat Statistiky objemů přenášených dat v síti MU. Monitorování přístupu k elektronickým zdrojům. Podpora pro výzkum a vývoj v oblasti počítačových sítí. Pavel Čeleda et al.


14 / 23

Sledování dodržování bezpečnostních politik Každý den po půlnoci vyhodnocujeme provoz z předchozího dne. Každý stroj v sítí MU musí mít reverzní DNS záznam Patří k „dobrým mravům“ (definováno v RFC). IP bez záznamu může ukazovat na zapomenutý stroj a nedbalost správců. Mail ze sítě MU lze odesílat jen přes vybrané SMTP servery Prevence spamu. Sledování objemových anomálií v provozu. Zachycení neúspěšných spammerů a chyb v konfiguraci.



15 / 23

Odhalování a prokazování bezpečnostních incidentů Inteligentní útoky proti SSH serverům Napadení desítek strojů „SSH trojanem“. Nezbytná kontrola všech strojů zda byly napadeny. Na síťové úrovni pomohla analýza odchozího provozu. NetFlow data ukázala další napadené stroje. V případě velkého množství toků napomůže vizualizace pomocí nástroje MyNetScope.



16 / 23

Detekce virů a červů v síti MU - I Viry a červy se snaží šířit dál – skenují další stroje v síti. Chceme ochránit především svoji síť, kterou máme pod kontrolou.

Jak funguje detekce? Každých 5 minut procházíme NetFlow data z vnitřních sond. Hledáme počítače, které skenují vybrané síťové porty. Každý počítač v síti MU patří do určitého segmentu, za který je někdo zodpovědný. Mailovací robot zašle správci/studentovi upozornění. V případě adres přidělených studentům dojde k zablokování přístupu na 14 dní nebo do vyřešení problému. Pavel Čeleda et al.


17 / 23

Detekce virů a červů v síti MU – II Zkušenosti z provozu V ostrém provozu měsíc. Celkem odesláno přes 80 upozornění. Zejména na šíření červu Conficker. Nalezeny nové, dosud neznámé formy virů. Kladná odezva správců – žádný falešný poplach. Chladnější odezva studentů, ale „čistší“ síť. Automatizované upozorňování šetří čas bezp. analytikům.



18 / 23

CAMNEP Network Intrusion Detection System NetFlow data z hardwarově akcelerovaných FlowMon sond. Autonomní detekce a vizualizace anomálií. Řešitelé ČVUT a MU - zdroj financování U.S. ARMY. Vznik spin-off společnosti Cognitive Security s.r.o. na ČVUT.

Histogram detekovaných anomálií.


Vizualizace nástrojem NFVis - Mycroft Mind, a.s.


19 / 23

CYBER Grant Ministerstva obrany ČR Detekce slovníkových útoků na SSH (MyNetScope). Vytváření profilů důležitých strojů MU. Detekce infiltrace cizího zařízení v síti (detekce NAT). Integrace různých bezpečnostních vrstev se systémy typu CS-MARS a Enterasys DSCC. Root Victim IP address

Victim level Store: vAAC Attacker IP address, tsLA test Attacker level Store: aAAC, tsLA, Darr, Parr, Barr Flow duration out of bounds

Flow duration in bounds

Duration level

Operations: SUCC Packets out of bounds

Packets in bounds Packets level

Operations: SUCC Bytes out of bounds

Operations: SUCC

Bytes in bounds Bytes level Operations: Aup, Bup

Detekce slovníkových útoků dynamický rozhodovací strom. Pavel Čeleda et al.

Počet strojů za NATem.


20 / 23

Část IV Závěr



21 / 23

Závěr Proč je monitorování toků důležité? Sítě jsou složité a jsou vystaveny poruchám a útokům. Je těžké porozumět sítím bez jejich sledování. Závislost „všeho“ na IT technologiích (síti). FlowMon aneb cesta od výzkumu až po komerční řešení Systém je prověřen rutinním nasazením ve velkých sítích. Užitečnost (přidaná hodnota) je v ucelenosti celého řešení. Pokračující výzkum a rozvoj technologie v ČR. Jsme otevřeni spolupráci v oblasti sítí a bezpečnosti.



22 / 23

Děkuji za pozornost Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow

Pavel Čeleda et al. [email protected]

Masarykova univerzita Ústav výpočetní techniky Pavel Čeleda et al.


23 / 23

Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow

Recommend Documents