Co se skrývá v síťovém provozu?

Co se skrývá v síťovém provozu? Konference Internet a komunikace 2015, 4.6.2015

Petr Špringl [email protected]

Obsah • Monitorování datových toků = Flow monitoring

• Flow monitoring a bezpečnost sítě = Network Behavior Analysis (NBA)

• Úlovky z praxe

Monitorování sítě • SNMP (monitoring)  pouze na úrovni základních čítačů, chybí detailní informace

• Flow monitoring = monitorování datových toků  detailní přehled o dění v síti

• Paketová analýza  velmi detailní, ale časově velmi náročná, občas potřebná

Flow monitoring • Měření na základě IP toků • Analyzují se hlavičky paketů, obsah paketů není monitorován ani uchováván • Moderní metoda monitorování sítí, Cisco standard • Redukce dat cca 500:1

Flow monitoring Telefonní účet - výpis hovorů

Počítačová síť - flow monitoring

Flow monitoring - architektura • Zdroje NetFlow/IPFIX dat   

přepínače, směrovače – jako přidaná funkcionalita sondy – dedikovaná zařízení firewally, UTM zařízení a další

• Kolektory – centrální úložiště a analýza dat

Flow monitoring - jak funguje?

Shrnutí přínosů flow monitoringu • Detailní přehled o dění v síti (LAN i WAN) – jak v reálném čase, tak kdykoliv v minulosti • Přesné, rychlé a efektivní řešení problémů • Zvýšení bezpečnosti, odhalení vnitřních i vnějších útoků • Snadné plánování kapacit a optimalizací sítě • Dohled nad využitím Internetu, využitím aplikací • Předcházení incidentům jako jsou zahlcení a výpadky sítě • Odhalení špatných konfigurací

Flow monitoring a bezpečnost sítě

Bezpečnost na perimetru • Firewall, IDS/IPS, UTM, aplikační firewall, web filtr, email security, vzdálený přístup

Bezpečnost koncových stanic • Antivir, personální firewall, antimalware, antirootkit, endpoint DLP

To však již nestačí!

FIREWALL

OK

IDS/IPS

OK STOP

ANTI-X

OK

IDENTITY MANAGEMENT

Moderní kybernetické hrozby … • Pokročilé hrozby (Advanced Persistent Threats) • Cílené útoky a průmyslová špionáž • Zero-day útoky a polymorfní malware • Společné vlastnosti    

Přesně cílené na prostředí oběti Šifrované a skryté v gigabitech běžného provozu Signatury nejsou dostupné Neviditelné pro tradiční řešení (AV, IDS/IPS, firewall…) které chrání před známými hrozbami a útočníky

Bezpečnost vnitřní sítě • Viditelnost do sítě – flow monitoring, NBA – behaviorální analýza, automatická detekce anomálií

Network Behavior Analysis • Network Behavior Analysis = analýza chování sítě • Moderní „nadstavba“ nad monitorováním datových toků • Automatická detailní analýza NetFlow/IPFIX dat • Detekce nežádoucích vzorů chování  vnitřní i vnější útoky  nežádoucí služby a aplikace

• Behaviorální analýza  profily chování  detekce anomálií, podezřelého chování

NBA – trend v bezpečnosti • Gartner:  „Pokud máte Firewall a IDS/IPS, zvažte jako další krok implementaci NBA.“

• Cisco:  „Pokud ve své síti neodhalíte žádné útoky, tak to ještě neznamená, že tam nejsou – ale pravděpodobně je jen nejste schopni detekovat.“

• Cílem NBA je detekovat hrozby, které nelze detekovat ostatními technologiemi

Monitorování síťového provozu

NBA – Detekce známých vzorů nežádoucího chování

NBA – Detekce anomálií

Fyzická vs. síťová bezpečnost

Shrnutí přínosů NBA • • • • •

Detekce vnitřních i vnějších útoků Upozornění na změny chování v síti Odhalování běžného i neznámého malware Identifikace potenciálních úniků dat Dohledávání a prokazování provozních a bezpečnostních incidentů

Úlovky

Útok na HTTP autentizaci • • • •

Zdravotnictví Vedeno z IP adresy v Indonésii Pokusy o uhodnutí hesla do phpMyAdmin Detaily ze sedmé vrstvy (hostname, URL)

Porušování politik • Průmyslová výroba • TOR (Onion router) klient na koncové stanici • Uživatel obchází bezpečnostní opatření  Pro přístup k zablokovaným zdrojům

Infikovaná stanice • Informační technologie • Botnetem infikovaná stanice z lokální sítě zavlečená do DDoS útoků na Spamhaus

DNS Changer • Informační technologie • Změna používaného DNS serveru na stanici • Možnost manipulace s DNS záznamy a přístupem na webové servery

Chybná konfigurace • • • •

Průmyslová výroba Chybně nakonfigurovaný řídící systém Pokusy o navazování komunikace do Internetu V systému od výroby bez možnosti změny

Únik dat • Obchodní společnost • Zaměstnanec ve výpovědi • Uložení interních dokumentů na sdílený disk poskytovaný službou Yahoo • Zaznamenáno jako pohyb dat z LAN do internetu • Po prošetření poměrně závažný incident

Odposlech provozu • Služby • Pokročilý malware přesměroval provoz na infikovanou stanici prostřednictvím DHCP

INVEA-TECH • Česká společnost, univerzitní spin-off, spolupráce CESNET a univerzity, projekty EU • Založena 2007 • Oblasti působení:  Flow Monitoring  Network Behavior Analysis  Network & Application Performance Monitoring

• Přes 500 instalací řešení FlowMon celosvětově

Děkuji za pozornost

High-Speed Networking Technology Partner

Petr Špringl [email protected] +420 724 899 760

INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno www.invea.com