Seminář o bezpečnosti sítí a služeb
CESNET, z. s. p. o.
Služby e-infrastruktury CESNET
9. 4. 2015
CESNET, z. s. p. o. ●
Založen v roce 1996
●
Členové
●
●
–
25 českých univerzit
–
Akademie věd České republiky
–
Policejní akademie ČR
Hlavní cíle: –
výzkum a vývoj informačních a komunikačních technologií
–
budování a rozvoj einfrastruktury CESNET určené pro výzkum a vzdělávání
–
podpora a šíření vzdělanosti, kultury a poznání
2011 – 2015 –
Projekt Velká infrastruktura CESNET
Seminář o bezpečnosti, 9. 4. 2015, Praha
Rámcový pohled na einfrastrukturu a její služby ●
M
Seminář o bezpečnosti, 9. 4. 2015, Praha
CESNET a CESNET2 ●
NREN
●
Konektivita –
GÉANT, 10Gb/s
–
spoj do globální internetu linkou od Telia do USA, 6Gb/s
–
individuální spoje do SANET, ACONET a PIONEER, po 10Gb/s
–
spoj do experimentální sítě GLIF, 10Gb/s
–
4×10 Gb/s do NIX.CZ
–
10 Gb/s do AMSIX
●
Člen sdružení CZ.NIC
●
Člen peeringového centra NIX.CZ
●
Člen projektu Fenix
Seminář o bezpečnosti, 9. 4. 2015, Praha
CESNET a CESNET2 ●
●
Špičkové parametry síťové infrastruktury –
vysoké přenosové rychlosti
–
endtoend služby
–
vysoká míra spolehlivosti
Připojené organizace –
26 vysokých škol, AV ČR (členové) cca 290 dalších účastníků ~ 400tis uživatelů ●
studentů
●
vědců, výzkumníků
Seminář o bezpečnosti, 9. 4. 2015, Praha
Charakter sítě CESNET2 ●
●
Klasický ISP –
uživatel přistupuje do Internetu
–
využívá služby, stahuje data, mailuje, chatuje, webuje ...
NREN –
experimentální, komunitní
–
nárazové velké datové přenosy
–
distribuované infrastruktury Datových úložišť, Gridů
–
infrastruktura pro podporu vzdálené spolupráce
–
AAI infrastruktura, federace, IdP
–
silné výpočetní zdroje
Seminář o bezpečnosti, 9. 4. 2015, Praha
Strategie správy CESNET2 1. Transparentní 2. Žádné omezování provozu (dokud se neobjeví problém) 3. Připojeným sítím nabízíme služby a nástroje pro “seberegulaci”
Seminář o bezpečnosti, 9. 4. 2015, Praha
Strategie správy CESNET2 ●
●
●
●
Na páteři pracujeme s velkými objemy dat –
jsme schopni určit, co je anomálie ohrožující infrastrukturu
–
nejsme schopni určit, jestli tok X může být ohrožující pro koncovou síť
Pro určení anomálnosti provozu je důležitý nejen objem, ale i charakteristika datových přenosů –
zaměřujeme se na schopnost posoudit objem a charakteristiku
–
např. 5tis flow za vteřinu – u DNS ok, u PC problém
Rozhodujeme se na základě vyhodnocení konkrétní situace –
na páteři zasahujeme, když je ohrožen chod infrastruktury
–
vše ostatní je na žádost uživatelů (připojených sítí)
Máme povinnost a oprávnění zasáhnout při ohrožení infrastruktury –
nemůžeme a nechceme svévolně zasahovat do provozu koncové sítě
Seminář o bezpečnosti, 9. 4. 2015, Praha
CESNET2 Sondy na perimetru sítě CESNET2
Seminář o bezpečnosti, 9. 4. 2015, Praha
CESNET2
- HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - SNMP based monitoring - IDS, IPS, tar pit based systems, etc..
Sledování CESNET2 ●
Plošné, souvislé, na bázi toků
●
HW akcelerované sondy na perimetru sítě
●
●
–
užitečné pro ruční analýzu, v případě problému zkoumáme
–
statistiky
–
zdroj dat a informací pro další výzkum
FTAS, G3 –
sběr informací o provozu z páteřních prvů a připojených sítí
–
aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní
–
z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30)
Detekce síťových a aplikačních událostí –
skenování portů
–
synflood útoky
–
DNS amplifikace
–
bruteforce na ssh, SIP, DNS tunely
Seminář o bezpečnosti, 9. 4. 2015, Praha
Sledování CESNET2 ●
Plošné, souvislé, na bázi toků
●
Sledujeme provoz
„od nás ven“ HW akcelerované sondy na perimetru sítě ● vůči vybraným prvkům infrastruktury ●
●
–
●
užitečné pro ruční analýzu, v případě problému zkoumáme
perimetr, vstup, výstup ● distribuované infrastruktury, např. DÚ, Gridy – zdroj dat a informací pro další výzkum ● klíčové služby (DSN, AAI) ● anomální datové přenosy FTAS, G3 ●
–
statistiky
–
sběr informací o provozu z páteřních prvů a připojených sítí ●
●
Co je výstupem
–
aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní ●
–
skenování portů
–
synflood útoky
–
DNS amplifikace
–
bruteforce na ssh, SIP, DNS tunely
top listy, podle zdrojů, cílů – z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30) ● využití a stav linek ● paketové rychlosti Detekce síťových a aplikačních událostí ● útoky hrubou silou
Seminář o bezpečnosti, 9. 4. 2015, Praha
Sledování CESNET2 ●
Plošné, souvislé, na bázi toků
●
Sledujeme provoz
„od nás ven“ HW akcelerované sondy na perimetru sítě ● vůči vybraným prvkům infrastruktury ●
●
–
●
užitečné pro ruční analýzu, v případě problému zkoumáme
perimetr, vstup, výstup ● distribuované infrastruktury, např. DÚ, Gridy – zdroj dat a informací pro další výzkum ● klíčové služby (DSN, AAI) ● anomální datové přenosy FTAS, G3 ●
–
statistiky
–
sběr informací o provozu z páteřních prvů a připojených sítí ●
–
●
Co je výstupem
aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní ●
top listy, podle zdrojů, cílů – z 50 primárních zdrojů, jak z páteře (20), tak koncových sítí (30) ● využití a stav linek ● paketové rychlosti Detekce síťových a aplikačních událostí ● útoky hrubou silou
– skenování portů umíme rozpoznat provozní problém a bezpečnostní problém –
synflood útoky
–
DNS amplifikace
umíme rozpoznat pokusy zneužít infrastrukturu a data máme naskladněné informace pro expost analýzu – bruteforce na ssh, SIP, DNS tunely Seminář o bezpečnosti, 9. 4. 2015, Praha
Podpora připojených organizací aneb „Co je CESNET schopen udělat pro své koncové sítě, když ...“
Seminář o bezpečnosti, 9. 4. 2015, Praha
Co jsme schopni udělat, když ... ●
●
●
Máte podezření, že něco není v pořádku –
adhoc analýza provozu
–
konzultace, zhodnocení situace
–
dlouhodobé systematické sledování podezřelého provozu
Jste zdrojem problému (útoku) –
adhoc analýza provozu
–
filtrace na hraně mezi sítí a páteří, dokud není odstraněna příčina
–
pomoc s odstraněním problému
Jste cílem útoku (např. typu záplava) –
adhoc analýza provozu
–
filtrace na hraně mezi sítí a páteří, případně na perimetru sítě
Seminář o bezpečnosti, 9. 4. 2015, Praha
Co jsme schopni udělat, když ... ●
●
●
Objeví se plošný útok na uživatele (phishing nesoucí malware) –
analýzu malware
–
vydat doporučení, co dělat (csirtforum@)
–
identifikovat nakažené stroje v síti
–
zabránit komunikaci nakažených strojů (v koncové síti)
Objeví se zranitelnost (HB, ShellShock) –
otestování prvků v koncové síti
–
analýza provozu ●
dostupnými metodami, vytvořenými nástroji
●
rychlou úpravou sondy
Chcete zjistit, jak na tom vaše síť je (prevence) –
penetrační testy
–
zátěžové testy
Seminář o bezpečnosti, 9. 4. 2015, Praha
}
na žádost, ne automaticky
Co očekáváme od koncové sítě ●
Komunikaci a spolupráci
●
Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností
●
„Vím, co se v mé síti děje“ aneb logování
●
Nepodvrhávání provozu
●
Nepouštět přes hranu SNMP, NTP (neníli pro to dobrý důvod a pokud je, tak zabezpečit)
●
Ne amplifikace, ne otevřené resolvery
●
Naplnění základních podmínek Fenixu
Seminář o bezpečnosti, 9. 4. 2015, Praha
Co očekáváme od koncové sítě ●
Komunikaci a spolupráci
●
Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností
●
„Vím, co se v mé síti děje“ aneb logování
●
Nepodvrhávání provozu
●
Nepouštět přes hranu SNMP, NTP (neníli pro to dobrý důvod a pokud je, tak zabezpečit) BCP38/SAC004 – granularita /24 (/48) ●
RTBH využívající RS Ne amplifikace, ne otevřené resolvery ● IPv6, DNSSEC – na důležitých doménách ● ● Plná redundance připojení do NIX.CZ Naplnění základních podmínek Fenixu ● Monitoring sítě (MRTG, NetFlow, ...) ● Control plane policy RFC6192 ● DNS, NTP, SNMP amplification protection ● Reakční čas na bezpečnostní incident <30min ● BGP – TCP MD5 ●
●
Seminář o bezpečnosti, 9. 4. 2015, Praha
Co očekáváme od koncové sítě ●
Komunikaci a spolupráci
●
Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností
●
„Vím, co se v mé síti děje“ aneb logování
●
Nepodvrhávání provozu
●
Nepouštět přes hranu SNMP, NTP (neníli pro to dobrý důvod a pokud je, tak zabezpečit) BCP38/SAC004 – granularita /24 (/48) ●
RTBH využívající RS Ne amplifikace, ne otevřené resolvery ● IPv6, DNSSEC – na důležitých doménách ● ● Plná redundance připojení do NIX.CZ Naplnění základních podmínek Fenixu Nejsem a nemohu být zdrojem falešného ● Monitoring sítě (MRTG, NetFlow, ...) provozu a zdrojem nebo zrcadlem agresivního ● Control plane policy RFC6192 provozu (antispam a malware). ● DNS, NTP, SNMP amplification protection ● Reakční čas na bezpečnostní incident <30min ● BGP – TCP MD5 ●
●
Seminář o bezpečnosti, 9. 4. 2015, Praha
Co očekáváme od koncové sítě ●
Komunikaci a spolupráci
●
Správný design sítě Řešení zjištěných bezpečnostních incidentů, ošetření zranitelností
●
Víceúrovňové filtrování provozu „Vím, co se v mé síti děje“ aneb logování
●
Nepodvrhávání provozu Ochrana koncových stanic
●
●
●
●
Nepouštět přes hranu SNMP, NTP (neníli pro to dobrý důvod a Ochrana aktivních prvků pokud je, tak zabezpečit) BCP38/SAC004 – granularita /24 (/48) ●
●
RTBH využívající RS Monitorování služeb Ne amplifikace, ne otevřené resolvery ● IPv6, DNSSEC – na důležitých doménách ● ● Plná redundance připojení do NIX.CZ Naplnění základních podmínek Fenixu ● Monitorování síťové komunikace Nejsem a nemohu být zdrojem falešného ● Monitoring sítě (MRTG, NetFlow, ...) provozu a zdrojem nebo zrcadlem agresivního ● Control plane policy RFC6192 ● Ochrana klientů (před klienty) provozu (antispam a malware). ● DNS, NTP, SNMP amplification protection ● Reakční čas na bezpečnostní incident <30min ● BGP – TCP MD5 ●
●
●
Seminář o bezpečnosti, 9. 4. 2015, Praha
Bezpečnostní infrastruktura ●
Síťové sondy na perimetru sítě CESNET2
●
FTAS a G3 –
plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur
–
plošné souvislé sledování stavu a chování rozsáhlých výkonných infrastruktur
●
IDS systémy, Honeypoty
●
Systémy pro sdílení a korelaci dat
●
●
–
Warden
–
Mentat
Forenzní laboratoř (FLAB) –
forenzní analýza
–
penetrační testy, testy odolnosti
CESNETCERTS, PSS, NOC
Seminář o bezpečnosti, 9. 4. 2015, Praha
c
Bezpečnost: Služby ●
●
●
Služby týmu CESNETCERTS –
incident response
–
sběr, vyhodnocení a distribuce dat do koncových sítí
Pomoc při zvládání bezpečnostních incidentů –
radou, zásahem v síťové infrastruktuře
–
ověřením v bezpečnostních nástrojích (sondy, FTAS, G3)
–
metodami forenzní analýzy
–
otestování (HeartBleed, Shellshock)
Asistence při problému (útok, nefunkčnost) –
máme připraveny mechanismy ●
kam problém nahlásit (PSS, NOC, CESNETCERTS)
●
jak problém detekovat, zmírnit, vyřešit (RTBH, IG, filtry ...)
●
jak problém analyzovat – FLAB
Seminář o bezpečnosti, 9. 4. 2015, Praha
Bezpečnost: služby ●
●
Služby na bázi detekce (FTAS, G3) –
plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur
–
plošné souvislé sledování stavu a chování rozsáhlých infrastruktur ●
možnost využít instanci běžící na páteři
●
možnost mít vlastní instanci ve vlastní síti
Koncept STaaS (Security Tools as a Service)
STaaS
–
služba pro členy, jejichž možnosti v oblasti bezpečnosti jsou omezené
–
aplikace zkušeností z CESNET2 do menších sítí
–
nasazení a vyladění monitorovacích nástrojů pro konkrétní síť ●
●
●
zprovoznění sondy, instance FTAS, G3, kolektoru možnost provozovat vlastní instanci kolektoru s podporou CESNETu, nebo využít kolektor CESNETu a mít přístup k výsledkům konzultace a vzdělávání, práce s nasbíranými daty
Seminář o bezpečnosti, 9. 4. 2015, Praha
Bezpečnost: služby ●
●
Služby na bázi sdílení a rozvoje komunity (dáš, dostaneš) –
Warden
–
http://warden.cesnet.cz/
Forenzní laboratoř –
analýza bezpečnostního incidentu
–
penetrační testy
–
zátěžové testy
Seminář o bezpečnosti, 9. 4. 2015, Praha
c
Warden ●
Systém pro efektivní sdílení informací o bezpečnostních událostech
●
Motivace
●
–
mám data, ale kam s nimi?
–
chci data, ale kde je vzít?
Hlavní cíle –
platforma pro sdílení dat (dej, odeber)
–
sledování zdraví sítě a služeb
– ●
aktivní obrana
Architektura
Hostname,Service: CESNET_IDS Detection time, arrival time: Event type: Portscan, bruteforce, spam, phishing, ... Source: IP/URL/Reply-To Aim: protocol TCP, port 22 Scale: scan 666 ports, sweep 66 machines
–
clientserver, jednoduchý protokol a klienti
Note: Free text note
–
zasílají se události
–
zabezpečení připojení
Client tags: Network, Connection, Honeypot, LaBrea
Seminář o bezpečnosti, 9. 4. 2015, Praha
Warden Database size: 10GB Sum of all saved events: 81248640 sum of valid events: 80891259 sum of obsolete events: 39237 sum of invalid events: 318144 Last (valid) ID in events table: 81616185 Time of first (valid) inserted event: 20120611 05:26:42 (UTC) Time of latest (valid) inserted event: 20150403 10:16:42 (UTC) Sum of all registered clients: 95 sum of (valid) registered clients: 87 sum of (invalid) registered clients: 8 sum of (active) registered clients: 36
Seminář o bezpečnosti, 9. 4. 2015, Praha
Warden Database size: 10GB Sum of all saved events: 81248640 sum of valid events: 80891259 sum of obsolete events: 39237 sum of invalid events: 318144 Last (valid) ID in events table: 81616185 Time of first (valid) inserted event: 20120611 05:26:42 (UTC) Time of latest (valid) inserted event: 20150403 10:16:42 (UTC) Sum of all registered clients: 95 sum of (valid) registered clients: 87 sum of (invalid) registered clients: 8 sum of (active) registered clients: 36
Seminář o bezpečnosti, 9. 4. 2015, Praha
Bezpečnost: služby ●
●
Služby na bázi sdílení a rozvoje komunity (dáš, dostaneš) –
Warden
–
http://warden.cesnet.cz/
Forenzní laboratoř –
analýza bezpečnostního incidentu
–
penetrační testy
–
zátěžové testy
Seminář o bezpečnosti, 9. 4. 2015, Praha
c
Bezpečnost: služby ●
●
Ochrana, osvěta a školení uživatelů –
školení pro studenty (prvních ročníků) (Monty Python)
–
školení pro zaměstnance členských sítí
–
„Je svět internetu anonymní?“
–
„Základní pravidla bezpečného chování na Internetu“
–
„Základní pravidla pro zabezpečení pracovní stanice (mobilního telefonu)“
–
„Základy legislativy dotýkající se světa Internetu“
Semináře a školení pro správce a administrátory –
FTAS, G3 (on – demand)
–
ZKB (říjen – prosinec 2015)
–
správa DNS (upcoming)
Seminář o bezpečnosti, 9. 4. 2015, Praha
Shrnutí ●
Technologie, nástroje, služby a knowhow
●
Gramotné a spolupracující správce
●
●
–
CESNETCERTS
–
PSS
–
NOC
Správa a zabezpečení sítě CESNET2 je založena na právě na gramotnosti správců, zdravém rozumu a spolupráci Přednesené metody a přístup k monitoringu s obraně není dogma –
možnost dohodnout se na individuálním přístupu (CESNET2 x koncová síť)
–
je možné dohodnout případné konkrétní regulační opatření vůči koncové síti (ondemand)
Seminář o bezpečnosti, 9. 4. 2015, Praha
Strategie v oblasti bezpečnosti I. Udržet einfrastrukturu CESNET v běhu a zabezpečenou II. Zvyšovat v oblasti bezpečnosti schopnosti připojených institucí III. Ochrana a vzdělávání uživatelů
Seminář o bezpečnosti, 9. 4. 2015, Praha
Děkuji za pozornost.
Seminář o bezpečnosti, 9. 4. 2015, Praha