Detekce a analýza hrozeb v rozsáhlých e …...20. 9. 2017 Detekce a analýza hrozeb v...

Detekce a analýza hrozeb

v rozsáhlých e-infrastrukturách

Václav Bartoš CESNET, z.s.p.o.

bartos@cesnet.cz

CyberCon Brno, 20. 9. 2017

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 3

Úvod

● Osnova– Monitorování provozu na síti

– Detekce bezpečnostních problémů (útoky, hrozby, obecně nežádoucí provoz)

– Co dále s detekovanými událostmi

– Mitigace DDoS útoků

● Detekce hrozeb na CESNETu– Aplikovatelné i na jiné podobně velké sítě

● CESNET– Česká akademická síť (NREN)

– Připojuje české VŠ, ústavy AV, další organizace (SŠ, knihovny, nemocnice, úřady, ...)

– Nejen ISP; další služby – datová úložiště, gridové výpočty, školení, výzkum, ...

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 4

Monitorování sítě CESNET

● Detekce problémů – především analýza NetFlow/IPFIX dat– plus honeypoty

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 5

Analýza flow

● Dva systémy:

● FTAS (Flexible Traffic Analysis System)

– Vyvinut pro provozní monitorování sítě

– Kolektor NetFlow, možnost dotazování, vyhledávání, jednoduchá vizualizace

– V nedávné době přidána i detekce anomálií

● NEMEA (Network Measurements and Analysis)

– Primárně pro detekci bezp. problémů

– Stream analýza flow dat

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 6

FTAS

● Detekce anomálií ve FTAS:

● Analýza flow dat (z routerů)● Detektory konfigurované na míru

– Systém poskytuje funkce pro konfiguraci detektoru pro každou síť / typ anomálie

● Parametry

1) Vymezení provozu (filtr)

2) Zda se mají detekovat zdroje či cíle anomálie

3) Limity pro vybraný provoz (vztahující se ke konkrétnímu zdroji/cíli), jejichž překročení během definovaného intervalu (~ jednotky vteřin) je považováno za anomální

4) (volitelně) Delší časový interval, ve kterém musí být po určitou dobu provoz anomální (dle předchozího bodu), aby byla halášena anomálie

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 7

FTAS● Příklad – detekce zdrojů pomalých „TCP scan“

– základní parametry detektoru (UI systému FTAS)● interval vyhodnocení 1 vteřina

● limit provozu 5-500 flow/s nebo 100-500 pkt/s

– nastavení delšího časového intervalu a limitu pro výskyt● pokud konkrétní zdrojová IP adresa dosáhne výše nastavených limitů pro výše specifikovaný provoz

alespoň v 1710 vteřinách (95%) z půlhodiny, bude provoz chápán jako anomálie a oznámen

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 8

NEMEA

● Modulární systém pro analýzu flow dat

● Streamové zpracování (near-real-time detekce)– Nikoliv kolektor, obvykle zapojen za ipfixcol

● Detektční moduly pro řadu typů útoků

● Vhodné pro malé lokální sítě i středně velké ISP (zvládá min. 200k flow/s, tj. desítky Gb/s)

● Open-source (https://github.com/CESNET/Nemea)

● Podpora tzv. rozšířených flow dat– Flow data rozšířená o položky z aplikačních protokolů, např.

● HTTP: Host, URL, Method, User-Agent, Response code, Content-Type, …

● DNS: doménové jméno, IP adresa

– Musí podporovat flow exportér (sonda)

– Mnohem více možností analýzy, detekce, filtrování

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 9

NEMEA – detekční moduly

● Skenování portů (horizontální, vertikální)

● Komunikace s IP adresami či URL na blacklistech

● DDoS, amplifikační DDoS

● Hádání hesel na SSH, telnet a RDP

● Bitcoin miner

● Obecný filtr

● DNS tunely

● Útoky na SIP ústředny

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 10

NEMEA – detekce SIP útoků

● Detektor SIP útoků– Skenování (vyhledávání uživatelských jmen)– Hádání hesel

● Využívá data z aplikační vrstvy– Typ požadavku (INVITE, REGISTER, …)

– Hlavičky To:, Cseq:– Návratový kód (200 OK, 401 Unauthorized, …)

● Detekce na základě:– Množství požadavků typu REGISTER a odpovědí 401 Unauthorized nebo 404 Not Found

– Odpověď 200 OK po mnoha neúspěších → úspěšné prolomení hesla

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 12

NEMEA probe● Export flow dat

– Z routerů

– Ze specializovaných sond

● Často speciální HW, výkonná ale drahá zařízení

● Open-source varianty (např. softflowd) zastaralé, dále nevyvíjené

● Součástí NEMEA je jednoduchý SW exportér – NEMEA-probe (dříve flow_meter)

– Vstup: pcap interface

– Export:

● přímo do NEMEA systému

● přes IPFIX do jakéhokoliv standardního kolektoru

– Vhodný pro testování či nasazení v malých sítích (100 Mb/s až 1 Gb/s v závislosti na HW)

– Podpora aplikačních protokolů (DNS, HTTP, SIP, NTP, ARP)

– Běží i na OpenWRT → malé levné sondy z „domácích“ routerů

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 14

Co dále s výsledky detekce?

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 15

Warden

● Systém pro sdílení informací o bezpečnostních událostech– Způsob, jak dostat data na jedno místo

● Centrální server (hub), odesílající klienti (detektory), přijímající klienti, IDEA formát– Každý, kdo sdílí data ze svých detektorů, může přijímat data od všech ostatních

● Vyvinut v rámci CESNETu, ale připojují se i další organizace

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 16

Mentat● Systém pro zpracování bezp. událostí

● Přijímá zprávy z Wardenu

● Ukládá data do DB– Vyhledávání, statistiky, …

● Generuje hlášení správcům škodlivých strojů– Profily organizací (IP rozsahy, kontakt)

● Organizace připojované Cesnetem, ale i několik externích

– Pokud je nahlášený zdroj škodlivého provozu ve známé organizaci, je to nahlášeno emailem

● Okamžitě nebo jako souhrn za určité období, dle závažnosti

● Typ a četnost zpráv nastavitelné příjemcem

Hlášení(email & web)D

etek

tory

Administrátorsítě

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 18

SABU

● Sdílení a analýza bezpečnostních událostí (v rámci ČR)– Projekt MV, řešitelé CESNET a MU

● Založeno na Warden a Mentat

● Cíle:– Rozšířit komunitu

– Zlepšit kvalitu událostí a snížit počet (agregace)

– Obohacování dat o informace z externích zdrojů

– Analýza a korelace událostí, vytvoření „actionable information“

– Řeší se i právní otázky sdílení dat

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 19

SABU - koncept

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 20

SABU

● Aktuálně ve vývoji– projekt trvá do pol. roku 2019

● Již nyní je možné se zapojit

– Sdílení dat do Wardenu

– Získání reportů z Mentatu

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 21

DDoS útoky

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 22

DDoS protector

● Zařízení pro mitigaci DDoS útoků● Server se síťovou akcelerační kartou COMBO-100G

– FPGA, vlastní firmware

● Jednoduché algoritmy, ale pro většinu útoků dostačujícía řádově levnější než podobá zařízení

● Princip:– Přesměrování útoku na DDoS Protector

– Vrácení čistého provozu do cílové organizace

– Primárně zaměřeno na ochranu konektivity

– Cílem je dostat objem provozu pro cílovouorganizaci na zpracovatelnou úroveň

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 23

DDoS protector

● Detekce:– Hlídá překročení prahů pro zadané cílové IP adresy / podsítě

– Jednoduchá pravidla nastavená správcem

“VUT UDP” dst net 147.229.0.0/16 protocol 17 src port 53 threshold 1 Gbps limit 100 Mbps

● Čištění:– Zahoď provoz z IP adres, které nejvíce přispěly k překročení limitu

● Filtruje se tolik adres, aby celkový provoz klesl pod limit

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 24

DDoS protector

● Vlastnosti– Mitigace především aplifikačních útoků (v plánu další metody blokování)

– Plná propustnost 100Gb/s

– Velmi nízká latence (μs)

– Podpora IPv6

– Podpora překladu VLAN

– Až 3000 pravidel

– Blokování až 16 tis. IP adres (plán až 100 tis.)

– Statistiky přes SNMP a export NetFlow

● Nasazeno v síti CESNET● Testování na Wedos

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 25

Děkuji za pozornost

Více informací:

NEMEA http://nemea.liberouter.org/

Warden http://warden.cesnet.cz/

Mentat http://mentat.cesnet.cz/

SABU http://sabu.cesnet.cz/

Kontakty:

Obecně: Václav Bartoš <bartos@cesnet.cz>

SABU, DDoS čistička: Martin Žádník <zadnik@cesnet.cz>