CESNET & Bezpečnost. CESNET, z. s. p. o. Služby e-infrastruktury CESNET

CESNET & Bezpečnost CESNET, z. s. p. o.

Služby e-infrastruktury CESNET

CESNET a CESNET2 ●

NREN

●

Konektivita –

GÉANT, 30Gb/s sdílené, 4x10Gb/s pro výzkum

–

spoj do globálního internetu linkou do USA od Telia , 6Gb/s

–

individuální spoje do SANET, ACONET a PIONEER, po 10Gb/s

–

spoj do experimentální sítě GLIF, 10Gb/s

–

4×10 Gb/s do NIX.CZ

–

10 Gb/s do AMSIX

●

Člen sdružení CZ.NIC

●

Člen peeringového centra NIX.CZ

●

Člen projektu Fenix

CESNET Days UNOB, 15. 5. 2015, Praha

●

Původní název „Bezpečná VLAN“

●

Reakce na (D)DoS útoky z března 2013

●

Projekt NIX.CZ, http://fe.nix.cz/

●

Členové: NIX.CZ, CZ.NIC, CESNET, Active24, Dial Telecom, Seznam.cz, O2 Telefónica, ČDTelematika, CoolHousing.NET

●

Speciální VLAN pro členy (+zákazníky) NIX.CZ, kteří dbají na bezpečnost

●

Člen připojen do veřejné VLAN i do bezpečné VLAN

●

„Last resort“ v případě masívního útoku na infrastrukturu

●

„Čeští uživatelé“ se dostanou na „české služby“

●

Administrativní, technické a bezpečnostní podmínky pro členství


CESNET a CESNET2 ●

●

Špičkové parametry síťové infrastruktury –

vysoké přenosové rychlosti

–

endtoend služby

–

vysoká míra spolehlivosti

Připojené organizace –

26 vysokých škol, AV ČR (členové)

–

cca 290 dalších účastníků ~ 400tis uživatelů ●

studentů

●

vědců, výzkumníků


Charakter sítě CESNET2 ●

●

Klasický ISP –

uživatel přistupuje do Internetu

–

uživatel využívá služby, stahuje data, mailuje, chatuje, webuje ...

NREN –

experimentální, komunitní

–

nárazové velké datové přenosy

–

distribuované infrastruktury Datových úložišť, Gridů

–

distribuovaná infrastruktura pro podporu vzdálené spolupráce

–

AAI infrastruktura, federace, IdP

–

silné výpočetní zdroje


Správa sítě CESNET2 1. Transparentní

2. Žádné omezování provozu (dokud se neobjeví problém)

3. Připojeným sítím nabízíme služby a nástroje pro “seberegulaci”


Správa sítě CESNET2 ●

●

Na páteři pracujeme s velkými objemy dat –

jsme schopni určit, co je anomálie ohrožující infrastrukturu

–

nejsme schopni určit, jestli tok XY může být ohrožující pro koncovou síť

Pro určení anomálnosti provozu je důležitý nejen objem, ale i charakteristika datových přenosů –

●

●

např. tok 5tis flow za vteřinu – u DNS ok, u PC problém

Rozhodujeme se na základě vyhodnocení konkrétní situace –

na páteři zasahujeme, když je ohrožen chod infrastruktury

–

vše ostatní je na žádost uživatelů (připojených sítí)

Máme povinnost a oprávnění zasáhnout při ohrožení infrastruktury –

nemůžeme a nechceme svévolně zasahovat do provozu koncové sítě


CESNET2 Sondy na perimetru sítě CESNET2


CESNET2

- HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - SNMP based monitoring - IDS, IPS, tar pit based systems, etc..

Sledování CESNET2 ●

Plošné, souvislé, na bázi toků

●

HW akcelerované sondy na perimetru sítě

●

●

–

bezeztrátové a detailní měření síťových dat na volitelné úrovni detailu

–

měření tunelovaného provozu, měření aplikací HTTP, DNS, SIP

–

užitečné pro ruční analýzu, v případě problému zkoumáme

–

statistiky, zdroj dat a informací pro další výzkum

FTAS, G3 –

sběr informací o provozu z páteřních prvů CESNET2 a připojených sítí

–

aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní

–

z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30)

Detekce síťových a aplikačních událostí –

skenování portů, synflood útoky

–

DNS amplifikace

–

bruteforce na ssh, SIP, DNS tunely




●

Sledujeme

perimetr, vstup, výstup HW akcelerované sondy na perimetru sítě ● provoz „od nás ven“ ● provoz vybraných prvků infrastruktury – bezeztrátové a detailní měření síťových dat na volitelné úrovni detailu ● distribuované infrastruktury, např. DÚ, Gridy – měření tunelovaného provozu, měření aplikací HTTP, DNS, SIP ● klíčové služby (DSN, AAI) – užitečné pro ruční analýzu, v případě problému zkoumáme ● anomální datové přenosy – statistiky, zdroj dat a informací pro další výzkum ● paketové rychlosti ● útoky hrubou silou FTAS, G3 ●

●

●

●

–

sběr informací o provozu z páteřních prvů CESNET2 a připojených sítí ●

–

aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní ● top listy (podle zdrojů, cílů)

–

● využití a stav linek z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30)

Co je výstupem

● výsledky onthefly detekcí Detekce síťových a aplikačních událostí

–

skenování portů, synflood útoky

–

DNS amplifikace

–

bruteforce na ssh, SIP, DNS tunely




●

Sledujeme

perimetr, vstup, výstup HW akcelerované sondy na perimetru sítě ● provoz „od nás ven“ ● provoz vybraných prvků infrastruktury – bezeztrátové a detailní měření síťových dat na volitelné úrovni detailu ● distribuované infrastruktury, např. DÚ, Gridy – měření tunelovaného provozu, měření aplikací HTTP, DNS, SIP ● klíčové služby (DSN, AAI) – užitečné pro ruční analýzu, v případě problému zkoumáme ● anomální datové přenosy – statistiky, zdroj dat a informací pro další výzkum ● paketové rychlosti ● útoky hrubou silou FTAS, G3 ●

●

●

●

–

sběr informací o provozu z páteřních prvů CESNET2 a připojených sítí ●

–

aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní ● top listy (podle zdrojů, cílů)

–

● využití a stav linek z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30)

Co je výstupem

● výsledky onthefly detekcí Detekce síťových a aplikačních událostí

umíme rozpoznat provozní problém a bezpečnostní problém – skenování portů, synflood útoky – DNS amplifikace umíme rozpoznat pokusy zneužít infrastrukturu a data – bruteforce na ssh, SIP, DNS tunely máme naskladněné informace pro expost analýzu


Podpora připojených organizací aneb „Co je CESNET schopen udělat pro připojené organizace, když ...“


Co jsme schopni udělat, když ... ●

●

●

Máte podezření, že něco není v pořádku –

adhoc analýza provozu

–

konzultace, zhodnocení situace

–

dlouhodobé systematické sledování podezřelého provozu

Jste zdrojem problému (útoku) –


–

filtrace na hraně mezi sítí a páteří, dokud není odstraněna příčina

–

pomoc s odstraněním problému

Jste cílem útoku (např. typu záplava) –


–

filtrace na hraně mezi sítí a páteří, případně na perimetru sítě


Co jsme schopni udělat, když ... ●

●

●

Objeví se plošný útok na uživatele (phishing nesoucí malware) –

analýzu incidentu (malware)

–

vydat doporučení, co dělat (csirtforum@)

–

identifikovat nakažené stroje v síti

–

zabránit komunikaci nakažených strojů (v koncové síti)

Objeví se zranitelnost (HB, ShellShock) –

otestování prvků v koncové síti

–

analýza provozu ●

dostupnými metodami, vytvořenými nástroji

●

rychlou úpravou sondy

Chcete zjistit, jak na tom vaše síť je (prevence) –

penetrační testy

–

zátěžové testy


}

na žádost, ne automaticky

Co očekáváme od koncové sítě ●

Komunikaci a spolupráci

●

Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností

●

„Vím, co se v mé síti děje“ aneb logování

●

Nepodvrhávání provozu

●

Nepouštět přes hranu SNMP, NTP (neníli pro to dobrý důvod a pokud je, tak zabezpečit)

●

Ne amplifikace, ne otevřené resolvery

●

Naplnění základních podmínek Fenixu




●


●


●


●

Nepouštět přes hranu SNMP, NTP (neníli pro to dobrý důvod a pokud je, tak zabezpečit) BCP38/SAC004 – granularita /24 (/48) ●

RTBH využívající RS Ne amplifikace, ne otevřené resolvery ● IPv6, DNSSEC – na důležitých doménách ● Plná redundance připojení do NIX.CZ ● Naplnění základních podmínek Fenixu ● Monitoring sítě (MRTG, NetFlow, ...) ● Control plane policy RFC6192 ● DNS, NTP, SNMP amplification protection ● Reakční čas na bezpečnostní incident <30min ● BGP – TCP MD5 ●

●




●


●


●


●

Nepouštět přes hranu SNMP, NTP (neníli pro to dobrý důvod a pokud je, tak zabezpečit) BCP38/SAC004 – granularita /24 (/48) ●

RTBH využívající RS Ne amplifikace, ne otevřené resolvery ● IPv6, DNSSEC – na důležitých doménách ● ● Plná redundance připojení do NIX.CZ Naplnění základních podmínek Fenixu Nejsem a nemohu být zdrojem falešného ● Monitoring sítě (MRTG, NetFlow, ...) provozu a zdrojem nebo zrcadlem agresivního ● Control plane policy RFC6192 provozu (antispam a malware). ● DNS, NTP, SNMP amplification protection ● Reakční čas na bezpečnostní incident <30min ● BGP – TCP MD5 ●

●



Komunikaci a spolupráci ●

Správný design sítě

●

Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností Víceúrovňové filtrování provozu

●

Ochrana koncových stanic „Vím, co se v mé síti děje“ aneb logování

● ● ●

●

●

Ochrana aktivních prvků

Nepodvrhávání provozu Monitorování služeb ●

Monitorování síťové komunikace Nepouštět přes hranu SNMP, NTP (neníli pro to dobrý důvod a Ochrana klientů (před klienty) pokud je, tak zabezpečit) BCP38/SAC004 – granularita /24 (/48) ● ●

●

RTBH využívající RS Ne amplifikace, ne otevřené resolvery ● IPv6, DNSSEC – na důležitých doménách ● ● Plná redundance připojení do NIX.CZ Naplnění základních podmínek Fenixu Nejsem a nemohu být zdrojem falešného ● Monitoring sítě (MRTG, NetFlow, ...) provozu a zdrojem nebo zrcadlem agresivního ● Control plane policy RFC6192 provozu (antispam a malware). ● DNS, NTP, SNMP amplification protection ● Reakční čas na bezpečnostní incident <30min ● BGP – TCP MD5 ●

●


Bezpečnost CESNET2 ●

Vyvíjíme a provozujeme nástroje a technologie, které –

podají obraz o dění v síti

–

detekují anomálie (podezřelé chování) v provozu sítí a služeb

–

dovolí zaměřit se na podezřelý provoz

–

umožní sdílení zajímavých dat

–

informace o anomáliích (události, BI) dostanou do rukou správců

==> aktivní obrana ==> „zdravotní aspekt“, prevence

detekce, sběr, analýza, sdílení a vytěžení dat instance těchto nástrojů a technologií nabízíme jako služby CESNET Days UNOB, 15. 5. 2015, Praha

Bezpečnostní infrastruktura ●

Síťové sondy na perimetru sítě CESNET2

●

Systémy FTAS a G3 –

plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur

–

plošné souvislé sledování stavu a chování rozsáhlých výkonných infrast.

●

IDS systémy, Honeypoty

●

Systémy pro sdílení a korelaci dat

●

Forenzní laboratoř (FLAB)

●

PSS, NOC

●

–

dohled nad provozem sítě CESNET2

–

režim 24/7/365

CESNETCERTS


}

+420 2 2435 2994 [email protected]

Bezpečnost: služby ●

Služby na bázi detekce (FTAS, G3) –


–

plošné souvislé sledování stavu a chování rozsáhlých infrastruktur

–

●

možnost využít instanci běžící na páteři

●

možnost mít vlastní instanci ve vlastní síti

poskytujeme ●

zprovoznění služby

●

kalibrace prostředí, onthefly detekcí

●

konzultace


G3 ●

Plošné souvislé sledování stavu a chování rozsáhlých výkonných infrastruktur, primárně pro sledování provozu CESNET2

●

Detekce onthefly anomálií a jejich notifikace

●

Event notifier –

●

●

automatický visualisér anomálních stavů, aktuální události z infrastruktury, možno konfigurovat per device

Interaktivní UI –

agregovaná vizualizace aktuálních anomálních stavů (včetně historie)

–

provázání na detailní reporting příslušných objektů

G3 system reporter –

využití sítě CESNET2

–

mapy chybovosti

–

„zdraví“ sítě CESNET2


FTAS ●

Plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur

●

Zpracování provozních informací o IP tocích (NetFlow)

●

Vlastnosti a využitelnost –

cílené sledování a dlouhodobé uchování informací o provozu ●

komplexní klasifikační a filtrační aparát pro vyčlenění provozu

●

statistické zpracování

–

informace o již uskutečněné komunikaci, včetně trajektorie

–

odhalení podvržení adres

–

umožňuje zaměřit se na provoz mající anomální charakter

–

verifikace a analýza bezpečnostních incidentů

–

automatická detekce anomálií

–

systematické sledování provozu sítě (instituce)


Pro koho je FTAS a G3 ●

Bezpečnostní týmy

➔

konkrétní informace o provozu

●

Dohledová pracoviště

➔

řešení bezpečnostních incidentů

●

Výzkumné týmy

➔

automatická detekce anomálií

➔

vzorky dat, ladění sítě

➔

obrana

●

Manažery

➔

náhled na provoz sítě

●

Ředitele IT

➔

zdraví

●

Správce

➔

vytížení

➔

architektura

➔

statistiky provozu



Služby na bázi detekce (FTAS, G3) –


–

plošné souvislé sledování stavu a chování rozsáhlých infrastruktur ●

možnost využít instanci běžící na páteři

●

možnost mít vlastní instanci ve vlastní síti

–

zprovoznění služby

–

kalibrace prostředí, onthefly detekcí

●

Síťová sonda

●

Koncept STaaS (Security Tools as a Service)

STaaS

–

služba pro členy, jejichž možnosti v oblasti bezpečnosti jsou omezené

–

aplikace zkušeností z CESNET2 do menších sítí

–

nasazení a vyladění monitorovacích nástrojů pro konkrétní síť



●

●

Služby týmu CESNETCERTS –

incident response

–

sběr, vyhodnocení a distribuce dat do koncových sítí

Pomoc při zvládání bezpečnostních incidentů –

radou, zásahem v síťové infrastruktuře

–

ověřením v bezpečnostních nástrojích (sondy, FTAS, G3)

–

metodami forenzní analýzy

–

testování zranitelností (HeartBleed, Shellshock)

Asistence při problému (útok, nefunkčnost) –

máme připraveny mechanismy ●

kam problém nahlásit (PSS, NOC, CESNETCERTS)

●

jak problém detekovat, zmírnit, vyřešit (RTBH, IG, filtry ...)

●

jak problém analyzovat – FLAB


CESNETCERTS ●

http://csirt.cesnet.cz, [email protected], [email protected]

●

341D 3EB0 0160 941F 6A06 4401 F9BF C741 9CAA 8579

●

+420 2 2435 2994

●

Vznik 2004, akreditace u TI v roce 2008

●

Koordinační + interní tým

●

Pole působnosti – CESNET2 (AS2852)

●

Základní služba: řešení a koordinace řešení bezpečnostních incidentů



Služby na bázi sdílení a rozvoje komunity (dáš, dostaneš) –

Warden

–

http://warden.cesnet.cz/


Warden ●

Systém pro efektivní sdílení informací o bezpečnostních událostech

●

Motivace

●

–

mám data, ale kam s nimi?

–

chci data, ale kde je vzít?

Hlavní cíle –

platforma pro sdílení dat (dej, odeber)

–

sledování zdraví sítě a služeb

– ●

aktivní obrana

Architektura

Hostname,Service: CESNET_IDS Detection time, arrival time: Event type: Portscan, bruteforce, spam, phishing, ... Source: IP/URL/Reply-To Aim: protocol TCP, port 22 Scale: scan 666 ports, sweep 66 machines

–

clientserver, jednoduchý protokol a klienti

Note: Free text note

–

zasílají se události

–

zabezpečení připojení

Client tags: Network, Connection, Honeypot, LaBrea


Warden Database size: 10GB Sum of all saved events: 81248640 sum of valid events: 80891259 sum of obsolete events: 39237 sum of invalid events: 318144 Last (valid) ID in events table: 81616185 Time of first (valid) inserted event: 20120611 05:26:42 (UTC) Time of latest (valid) inserted event: 20150403 10:16:42 (UTC) Sum of all registered clients: 95 sum of (valid) registered clients: 87 sum of (invalid) registered clients: 8 sum of (active) registered clients: 36

==> cca 80tis bezpečnostních událostí detekovaných v síti CESNET2 denně!!! CESNET Days UNOB, 15. 5. 2015, Praha

Možná využití ●

Blokování IP –

Blackhole routing

–

Firewall L3/L4

–

Aplikační firewall

●

IP blacklisty (např. vlastní DNSbl)

●

IP/sender/replyto/pattern do mailového filtru

●

Vzorek viru do db

●

...

●

Lidský IH

●

Sledování „zdraví“ a stavu koncové sítě


Warden: kdy, proč a jak se zapojit ●

●

●

●

Aktuálně jsou zapojeni –

CESNET, VŠB, TUL, MUNI, ZČU, SLU, VUT, CSIRT.SK, JČU, UJEP, CUNI

–

když máte zajímavé zdroje dat (IDS, sondy, honeypots)

–

když máte zájem o data pro správu své sítě

Kdy

Proč –

zisk zajímavých dat (aktivní obrana, „zdraví“ sítě)

–

rozvoj komunity

–

warden[email protected]

Jak



http://flab.cesnet.cz/

●

Podpůrné pracoviště pro CESNETCERTS

●

●

–

analýza incidentů a hrozeb

–

zvládání incidentů

Oficiální otevření pracoviště –

červenec 2014

–

sídlo v Plzni

Služby –

analýza vektoru útoku, analýza aktivity uživatele

–

odborná analýza technologie

–

penetrační testy

–

testy odolnosti


Analýza incidentu ●

Přináší mnoho užitečných informací

●

Vyžaduje patřičné experty –

●

Není úplně levná (malá pracoviště nemají kapacitu)

Lze využít externí zdroje –

Členské sítě – konzultace incidentů s CESNET CERTS

–

Možnost využít služeb FLAB


B ●

D


Příklad: analýza incidentu Case –

●

Podvodná email kampaň cílící na velké množství uživatelů dané instituce, email v sobě nese soubor s malware

Otázky k zodpovězení –

jak dojde k zahnízdění malware do počítače

–

jak se malware v nakaženém počítači chová

–

na co se zaměřuje (např. odposlech hesel)

–

jak s odchycenými informacemi nakládá

–

jak komunikuje s útočníkem

–

jak je možné nakažený počítač identifikovat

–

jak provést nápravu nakaženého počítače

–

jaké jsou možnosti zamezení kompromitace citlivých dat


Průběh zakázky


Penetrační testy ●

Hledání chyb a zranitelností –

nikoliv potvrzení bezchybnosti (audit)

●

Co by mělo být v centru zájmu? –

lze infrastrukturu zneužít pro další útoky?

–

lze narušit data, systémy, služby? ●

Integritu

●

Dostupnost

●

Důvěrnost

–

lze získat autentizační údaje uživatelů?

–

existují v prostředí zneužitelné zranitelnosti?

–

kde udělal administrátor chybu při konfiguraci?


Penetrační testy: průběh ●

Průběh –

zadání: specifikace požadavků, očekávání, rozsahu prací

–

aktivity v síti zadavatele

–

●

●

scan sítě

●

sběr dat

●

testování specifikovaných služeb

práce offline ●

zpracování dat a zjištění

●

vytvoření a validace závěrečné zprávy

Závěrečná zpráva –

přehled provedených testů

–

zhodnocení výsledků

–

doporučení nápravy


Zátěžové testy ●

Testování odolnosti služby (www, DNS)

●

Sekundární efekt – testování odolnosti sítě a obranných prvků

●

Průběh –

specifikace ●

cíle (co se testuje)

●

jaké jsou požadavky a očekávání

●

pravidla, režim

–

průzkum terénu (ve spolupráci se správcem testované sítě)

–

návrh průběhu testů

–

kalibrace nástrojů a prostředí

–

výběr termínu

–

provedení testů

–

vyhodnocení výsledků



●

●

Školení uživatelů – studentů, zaměstnanců, správců –

„Je svět internetu anonymní?“

–

„Základní pravidla bezpečného chování na Internetu“

–

„Základní pravidla pro zabezpečení pracovní stanice“

–

„Základy legislativy dotýkající se světa Internetu“

Semináře a školení pro správce a administrátory –

FTAS, G3 (on – demand)

–

ZKB (říjen – prosinec 2015)

–

správa a zabezpečení DNS – 17. června

Pracovní skupina CESNET CSIRT –

csirt[email protected]

–

27. května 2015, „Reportování bezpečnostních incidentů“


Shrnutí ●

●

●

Máme technologie, nástroje, služby a knowhow Správa a zabezpečení sítě CESNET2 je založena na gramotnosti správců, zdravém rozumu a spolupráci –

CESNETCERTS

–

PSS

–

NOC

Přednesené metody a přístup k monitoringu a obraně není dogma –

možnost dohodnout se na individuálním přístupu (CESNET2 x koncová síť)

–

je možné dohodnout případné konkrétní regulační opatření vůči koncové síti (ondemand)

●

Poskytujeme řadu služeb, sdílíme a distribuujeme data

●

Diseminujeme vědomosti


Strategie v oblasti bezpečnosti I. Udržet einfrastrukturu CESNET v běhu a zabezpečenou II. Zvyšovat v oblasti bezpečnosti schopnosti připojených institucí III. Ochrana a vzdělávání uživatelů


Děkuji za pozornost.


CESNET & Bezpečnost. CESNET, z. s. p. o. Služby e-infrastruktury CESNET

Recommend Documents