Detekce a analýza hrozeb v rozsáhlých e …...20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 6 FTAS Detekce anomálií ve FTAS: Analýza flow dat (z routerů)

Detekce a analýza hrozeb

v rozsáhlých e-infrastrukturách

Václav Bartoš CESNET, z.s.p.o.

[email protected]

CyberCon Brno, 20. 9. 2017

20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 3

Úvod

● Osnova– Monitorování provozu na síti

– Detekce bezpečnostních problémů (útoky, hrozby, obecně nežádoucí provoz)

– Co dále s detekovanými událostmi

– Mitigace DDoS útoků

● Detekce hrozeb na CESNETu– Aplikovatelné i na jiné podobně velké sítě

● CESNET– Česká akademická síť (NREN)

– Připojuje české VŠ, ústavy AV, další organizace (SŠ, knihovny, nemocnice, úřady, ...)

– Nejen ISP; další služby – datová úložiště, gridové výpočty, školení, výzkum, ...


Monitorování sítě CESNET

● Detekce problémů – především analýza NetFlow/IPFIX dat– plus honeypoty


Analýza flow

● Dva systémy:

● FTAS (Flexible Traffic Analysis System)

– Vyvinut pro provozní monitorování sítě

– Kolektor NetFlow, možnost dotazování, vyhledávání, jednoduchá vizualizace

– V nedávné době přidána i detekce anomálií

● NEMEA (Network Measurements and Analysis)

– Primárně pro detekci bezp. problémů

– Stream analýza flow dat


FTAS

● Detekce anomálií ve FTAS:

● Analýza flow dat (z routerů)● Detektory konfigurované na míru

– Systém poskytuje funkce pro konfiguraci detektoru pro každou síť / typ anomálie

● Parametry

1) Vymezení provozu (filtr)

2) Zda se mají detekovat zdroje či cíle anomálie

3) Limity pro vybraný provoz (vztahující se ke konkrétnímu zdroji/cíli), jejichž překročení během definovaného intervalu (~ jednotky vteřin) je považováno za anomální

4) (volitelně) Delší časový interval, ve kterém musí být po určitou dobu provoz anomální (dle předchozího bodu), aby byla halášena anomálie


FTAS● Příklad – detekce zdrojů pomalých „TCP scan“

– základní parametry detektoru (UI systému FTAS)● interval vyhodnocení 1 vteřina

● limit provozu 5-500 flow/s nebo 100-500 pkt/s

– nastavení delšího časového intervalu a limitu pro výskyt● pokud konkrétní zdrojová IP adresa dosáhne výše nastavených limitů pro výše specifikovaný provoz

alespoň v 1710 vteřinách (95%) z půlhodiny, bude provoz chápán jako anomálie a oznámen


NEMEA

● Modulární systém pro analýzu flow dat

● Streamové zpracování (near-real-time detekce)– Nikoliv kolektor, obvykle zapojen za ipfixcol

● Detektční moduly pro řadu typů útoků

● Vhodné pro malé lokální sítě i středně velké ISP (zvládá min. 200k flow/s, tj. desítky Gb/s)

● Open-source (https://github.com/CESNET/Nemea)

● Podpora tzv. rozšířených flow dat– Flow data rozšířená o položky z aplikačních protokolů, např.

● HTTP: Host, URL, Method, User-Agent, Response code, Content-Type, …

● DNS: doménové jméno, IP adresa

– Musí podporovat flow exportér (sonda)

– Mnohem více možností analýzy, detekce, filtrování


NEMEA – detekční moduly

● Skenování portů (horizontální, vertikální)

● Komunikace s IP adresami či URL na blacklistech

● DDoS, amplifikační DDoS

● Hádání hesel na SSH, telnet a RDP

● Bitcoin miner

● Obecný filtr

● DNS tunely

● Útoky na SIP ústředny

https://github.com/CESNET/Nemea


NEMEA – detekce SIP útoků

● Detektor SIP útoků– Skenování (vyhledávání uživatelských jmen)– Hádání hesel

● Využívá data z aplikační vrstvy– Typ požadavku (INVITE, REGISTER, …)

– Hlavičky To:, Cseq:– Návratový kód (200 OK, 401 Unauthorized, …)

● Detekce na základě:– Množství požadavků typu REGISTER a odpovědí 401 Unauthorized nebo 404 Not Found

– Odpověď 200 OK po mnoha neúspěších → úspěšné prolomení hesla


NEMEA probe● Export flow dat

– Z routerů

– Ze specializovaných sond

● Často speciální HW, výkonná ale drahá zařízení

● Open-source varianty (např. softflowd) zastaralé, dále nevyvíjené

● Součástí NEMEA je jednoduchý SW exportér – NEMEA-probe (dříve flow_meter)

– Vstup: pcap interface

– Export:

● přímo do NEMEA systému

● přes IPFIX do jakéhokoliv standardního kolektoru

– Vhodný pro testování či nasazení v malých sítích (100 Mb/s až 1 Gb/s v závislosti na HW)

– Podpora aplikačních protokolů (DNS, HTTP, SIP, NTP, ARP)

– Běží i na OpenWRT → malé levné sondy z „domácích“ routerů


Co dále s výsledky detekce?


Warden

● Systém pro sdílení informací o bezpečnostních událostech– Způsob, jak dostat data na jedno místo

● Centrální server (hub), odesílající klienti (detektory), přijímající klienti, IDEA formát– Každý, kdo sdílí data ze svých detektorů, může přijímat data od všech ostatních

● Vyvinut v rámci CESNETu, ale připojují se i další organizace


Mentat● Systém pro zpracování bezp. událostí

● Přijímá zprávy z Wardenu

● Ukládá data do DB– Vyhledávání, statistiky, …

● Generuje hlášení správcům škodlivých strojů– Profily organizací (IP rozsahy, kontakt)

● Organizace připojované Cesnetem, ale i několik externích

– Pokud je nahlášený zdroj škodlivého provozu ve známé organizaci, je to nahlášeno emailem

● Okamžitě nebo jako souhrn za určité období, dle závažnosti

● Typ a četnost zpráv nastavitelné příjemcem

Hlášení(email & web)D

etek

tory

Administrátorsítě


SABU

● Sdílení a analýza bezpečnostních událostí (v rámci ČR)– Projekt MV, řešitelé CESNET a MU

● Založeno na Warden a Mentat

● Cíle:– Rozšířit komunitu

– Zlepšit kvalitu událostí a snížit počet (agregace)

– Obohacování dat o informace z externích zdrojů

– Analýza a korelace událostí, vytvoření „actionable information“

– Řeší se i právní otázky sdílení dat


SABU - koncept


SABU

● Aktuálně ve vývoji– projekt trvá do pol. roku 2019

● Již nyní je možné se zapojit

– Sdílení dat do Wardenu

– Získání reportů z Mentatu


DDoS útoky


DDoS protector

● Zařízení pro mitigaci DDoS útoků● Server se síťovou akcelerační kartou COMBO-100G

– FPGA, vlastní firmware

● Jednoduché algoritmy, ale pro většinu útoků dostačujícía řádově levnější než podobá zařízení

● Princip:– Přesměrování útoku na DDoS Protector

– Vrácení čistého provozu do cílové organizace

– Primárně zaměřeno na ochranu konektivity

– Cílem je dostat objem provozu pro cílovouorganizaci na zpracovatelnou úroveň


DDoS protector

● Detekce:– Hlídá překročení prahů pro zadané cílové IP adresy / podsítě

– Jednoduchá pravidla nastavená správcem

“VUT UDP” dst net 147.229.0.0/16 protocol 17 src port 53 threshold 1 Gbps limit 100 Mbps

● Čištění:– Zahoď provoz z IP adres, které nejvíce přispěly k překročení limitu

● Filtruje se tolik adres, aby celkový provoz klesl pod limit


DDoS protector

● Vlastnosti– Mitigace především aplifikačních útoků (v plánu další metody blokování)

– Plná propustnost 100Gb/s

– Velmi nízká latence (μs)

– Podpora IPv6

– Podpora překladu VLAN

– Až 3000 pravidel

– Blokování až 16 tis. IP adres (plán až 100 tis.)

– Statistiky přes SNMP a export NetFlow

● Nasazeno v síti CESNET● Testování na Wedos


Děkuji za pozornost

Více informací:

NEMEA http://nemea.liberouter.org/

Warden http://warden.cesnet.cz/

Mentat http://mentat.cesnet.cz/

SABU http://sabu.cesnet.cz/

Kontakty:

Obecně: Václav Bartoš <[email protected]>

SABU, DDoS čistička: Martin Žádník <[email protected]>

Documents

Detekce a analýza hrozeb v rozsáhlých e …...20. 9. 2017 Detekce a analýza hrozeb v rozsáhlých e-infrastrukturách 6 FTAS Detekce anomálií ve FTAS: Analýza flow dat (z routerů)