Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawel Mikolajczyk

Cisco Public 1 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 1 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 1 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 1 Cisco Public 1 © 2013 Cisco and/or its affiliates. All rights reserved.

Gaweł Mikołajczyk [email protected] Security Technical Solutions Architect CCIE #24987, CISSP-ISSAP, CISA, C|EH

Security B-Sides, 20 października 2013, Warszawa, Polska

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2

http://www.slideshare.net/gmikolaj/security-bsides-warsaw-2012-bezpieczenstwo-ipv6-gawel-mikolajczyk

• Bezpieczeństwo IPv6

• Rekonesans IPv6

• IPv6 i IPSec

• Address Glean

• IPv6 Source Guard

• IPv6 RA Guard

• SLAAC

• CGA

• IPv6 DAD

• SeND

• IPv6 IPS

Październik 2012



















“

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 5 http://cisco.com/go/sba

http://cisco.com/go/sba


Początkowy

rekonesans

Pierwsze

skompromitowanie

hosta

Zdobycie

przyczółka

Eskalacja

uprawnień Zakończenie

misji

Wewnętrzny

rekonesans

Działania

segmentowe

Utrzymanie

systemu

Mandiant APT1 Report: http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf

Kill Chain: http://bit.ly/killchain


1.

Command

and Control

2.

Rekonesans

3.Propagacja

4. Kradzież

danych

Firewall

IPS

Web Sec

N-AV

Email Sec

Routery

Switche

Firewall

Wykrywanie


1.

Command

and Control

2.

Rekonesans

3.Propagacja

4. Kradzież

danych

Firewall

IPS

Web Sec

N-AV

Email Sec

Wykrywanie

Routery

Switche

Firewall


• Państwo? Konkurencja? Jednostka? Kto?

• Co jest celem? Co?

• Kiedy atakujący jest aktywny? Kiedy?

• Gdzie jest atakujący? Gdzie?

• Jaki jest jego cel? Dlaczego?

• Zero-day? Known-passwords? Insider? Jak?


• Jest w mojej sieci? Kto?

• Robią Twoi userzy? Aplikacje? Zachowanie? Co?

• Urządzenie było w sieci? Czy to normalne? Kiedy?

• Uzyskiwany jest dostęp do sieci? Gdzie?

• Używają tej aplikacji / protokołu? Dlaczego?

• Dostają się do sieci? Jak?


Billing

telefoniczny

Rekordy

Flow



“Prawdopodobnie mogliśmy temu zapobiec,

gdybyśmy wiedzieli co tak naprawdę dzieje

się w naszej sieci”

“Nie jesteśmy w stanie stwierdzić jakich

aplikacji używają nasi pracownicy bez

wymuszenia polityk bezpośrednio na

urządzeniach co ograniczy ich efektywność i

kreatywność.”

“Nie wiemy czy pierwszy zaatakowany został

klient czy serwer”

“Brakuje nam danych historycznych – do

włamania mogło dojść nawet 3 lata temu”

“Najprawdopodobniej do włamania doszło w

wyniku działania nieautoryzowanych aplikacji.

Badamy ten wątek.”



Adres docelowy i źródłowy (IPv4/IPv6)

Port docelowy i źródłowy

Numer protokołu

DSCP

Interfejs wejściowy

Pole next-hop z BGP

Informacje z etykiety MPLS

Informacje o multicaście

Informacje z L2 (tag 802.1q, pole CoS, etc)


• Narzędzie do zbierania informacji o ruchu w sieci IP w ujęciu sesji danych (jednocześnie – protokół eksportowy)

NetFlow v5 i v9

• Coraz doskonalsze narzędzia opierające się o NetFlow połączony z dodatkowymi algorytmami klasyfikacji aplikacji (NBAR/NBAR2/AVC) pozwalają na szczegółowe rozliczanie i monitoring – dla wielu równoczesnych odbiorców

np. dział bezpieczeństwa zbiera informacje o dużej ilości krótkich sesji

np. dział monitoringu zbiera informacje o skuteczności inżynierii ruchowej w sieci

np. dział biznesowy otrzymuje informacje o krytycznych danych nowej aplikacji działającej dla pewnej grupy klientów


• Pola kluczowe są unikalne dla danej sesji

• Pola nie będące kluczowymi są atrybutami danej sesji

• Jeśli pola kluczowe są unikalne (nie istnieją do tej pory w pamięci podręcznej) – tworzony jest nowy „flow” czyli sesja

Pola kluczowe Pakiet 1

Źródłowe IP 1.1.1.1

Docelowe IP 2.2.2.2

Port źródłowy 23

Port docelowy 22078

Protokół L3 TCP - 6

Bajt ToS 0

Inne pola

Długość 1250

1 2 1 2

Pola kluczowe Pakiet 2

Źródłowe IP 3.3.3.3

Docelowe IP 4.4.4.4

Port źródłowy 80

Port docelowy 22079

Protokół L3 TCP - 6

Bajt ToS 0

Inne pola

Długość 519

SRC IP DST IP IF Protokół ToS … Pkts

1.1.1.1 2.2.2.2 GE1/0 6 0 … 11000

SRC IP DST IP IF Protokół ToS … Pkts

3.3.3.3 4.4.4.4 GE2/1 6 0 … 50

1.1.1.1 2.2.2.2 GE1/1 6 0 … 11000

Netflow Cache After Packet 1

Netflow Cache After Packet 2


• Monitoring pracy sieci

• Profilowanie aplikacji

• Profilowanie użytkowników

• Rozliczanie i billing

• Zaawansowane analizy na zebranych do tej pory danych

• Bezpieczeństwo

Dużo lepsze narzędzie do specjalizowanego wykrywania ataków DDoS niż SNMP czy liczniki w ACL

Wykrywanie anomalii w ruchu sieciowym, niekoniecznie związanych z naruszeniem polityki bezpieczeństwa, ale podejrzanych (czas, wolumen, natężenie)

Odtworzenie zdarzeń krok po kroku po włamaniu


Funkcje NFv5 NFv9

Format pakietu Ustalony, niezmienny Elastyczny

Źródłowy i docelowy adres

IPv4 oraz porty TCP/UDP Tak Tak

Ruch multicastowy Nie Tak

Identyfikacja aplikacji Nie Tak

Flagi TCP Nie Tak

IPv6 Nie Tak

Tagi np. 802.1q lub MPLS Nie Tak

Wiele równoległych polityk na

jednym interfejsie Nie Tak


• Każdy monitor może eksportować do wielu zbierających (flow export)

• Każdy monitor skojarzony jest z jednym kryterium zbierania (flow record)

• Ruch można monitorowac niezależnie w obie strony

Interfejs

Monitor 1 (ruch

wchodzący)

Zestaw A

Eksport 1

Eksport 2

Monitor 2 (ruch

wychodzący)

Zestaw B

Eksport 1

Eksport 1

IP = 10.0.0.1

Eksport 2

IP = 192.168.0.1

Zestaw A Zestaw B

Exporter

Record



Sieć

22

Kolektor

MGMT

NetFlow

Sensor Sensor VE Użytkownicy

Urządzenia

NetFlow

Replikator

Kolektor

https

https

NBAR NSEL


Całkiem niezły

router

Router agregacyjny

Duży przełącznik

w Data Center

Duży router

Klasyczny router

Router brzegowy Mały router

Przełączniki rdzeniowe

Przełącznik

dostępowy

Routery na styku z

Internetem

Firewalle

Popularny router Wsparcie

sprzętowe

Przełączniki dystrybucyjne

Kolektor


10.2.2.2 port 1024

10.1.1.1 port 80

eth

0/1

eth

0/2

Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes

Sent

10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025

10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712

Start Time Client

IP

Client

Port

Server IP Server

Port

Proto Client

Bytes

Client

Pkts

Server

Bytes

Server

Pkts

Interface

s

10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1

eth0/2

Rekordy

jednokierunkowe

Rekordy dwukierunkowe:

• Rekord konwersacji sieciowej

• Pozwala na sensowną wizualizację i analizę


Router A

Router B

Router C

10.2.2.2 port 1024

10.1.1.1 port 80

Router A: 10.2.2.2:1024 -> 10.1.1.1:80

Router B: 10.2.2.2:1024 -> 10.1.1.1:80

Router C: 10.1.1.1:80 -> 10.2.2.2:1024

Duplikaty

• Bez deduplikacji:

• Wolumen ruchu nieprawidłowy

• False positives

• Efektywne składowanie danych przepływów

• Prawidłowe raportowanie per host

• Nie odrzuca zgromadzonych danych


• Pre i Post NAT stitching

• Skrócenie czasu analizy


Urządzenia Sieć wewnętrzna

Wykorzystanie NetFlow

by rozszerzyć

widoczność do warstwy

dostępowej

Jedno narzędzie –

wykrywanie, dogłębna

analiza i raportowanie

Wzbogacenie danych o

Flow o tożsamość

użytkownika i wiedzę o

aplikacji – tworzenie

kontekstu

KTO

CO GDZIE

KIEDY

JAK

Przełącznik z

Netflow

obsługiwanym

sprzętowo

Cisco ISE

Cisco ISR G2 + NBAR

Cisco ASA + NSEL

Kontekst


Kto to 10.10.101.89?

Policy Start

Active

Time

Alarm Source Source

Host

Groups

Target Details

Desktops

& Trusted

Wireless

Jan 3,

2013

Suspect

Data Loss

10.10.101

.89

Atlanta,

Desktops

Multiple

Hosts

Observed 5.33G

bytes. Policy

maximum allows up

to 500M bytes.


Atrybucja przepływów do urządzenia / użytkownika

Policy Start

Active

Time

Alarm Source Source

Host

Groups

Source

User Name

Device

Type

Target

Desktops

&

Trusted

Wireless

Jan 3,

2013

Suspect

Data Loss

10.10.101

.89

Atlanta,

Desktops

John

Chambers

Apple-

iPad

Multiple

Hosts



High Concern Index wskazuje na znaczącą

ilość podejrzanych zdarzeń, które wykraczają

poza ustalone wzorce typowych zachowań

Host

Groups

Host CI CI% Alarms Alerts

Desktops 10.10.101.118 865,645,669 8,656

%

High Concern

Index

Ping, Ping_Scan,

TCP_Scan


32


RTP San Jose

Amsterdam

Bangalore

Sydney

Tokyo

15.6 miliardów flows / dzień

90-dniowa retencja danych



Zebranie i analiza Flow

1 2

• Ille jednoczesnych flows

• Pakietów na sekundę.

• Bitow na sekundę • Nowo tworzonych

flow • Ilość wysyłąnych

SYN

• Pora dnia • Ilość odbieranych

SYN • Ilość resetowanych

połączeń • Czas życia flow • Ponad 80 innych

atrybutów

Ustalenie wzorców zachowań

Alarmowanie w przypadku anomalii i zmian

zachowania się

Wartość

progowa

Wartość

progowa

Wartość

progowa

Wartość

progowa

Serwery

krytyczne

Serwer

Exchange

Serwery

Web

Marketing

Wykrycie

anomalii w

zachowaniu

hosta

3


Co jest analizowane:

• Duże ilości flow

• Informacje o dużej ilości danych

• Jednokierunkowe flow lub flow bez

odpowiedzi

• Flowy w podsieciach, grupach

hostów

• Flow do nieistniejących adresów IP

• Powtarzające się Flow

• Nietypowe zachowania

Długotrwałe i niespieszne

działania celem wykrycia

zasobów i podatności

Metody wykrywania:

Concern Index

High Traffic

Trapped Hosts


Wykryty host odpowiada i

następuje wykorzystanie

jego podatności


• Duże ilości flow

• Informacje o dużej ilości

danych

• Flowy w podsieciach,

grupach hostów

• Powtarzające się Flow

• Nietypowe zachowania

Metody wykrywania:

Concern Index, Target Index

Touched Host

Worm Propagation Alarm

Worm Tracker


Priorytetyzacja



• Kraje (geograficznie)

• Aplikacje

• Informacje o danych -

Upload i Download

• Pora/czas dnia

• Beaconing –

powtarzające się

połączenia

• Długotrwałe flowy

• Znane serwery C&C

Cykliczna aktywność “phone

home”

Metody wykrywania:

Host Lock Violation

Suspect Long Flow

Beaconing Host

Bot Command & Control Server

Bot Infected Host – Attempted C&C

Bot Infected Host – Successful C&C



• Historyczne zachowanie

dotyczące transferu danych

• Aplikacje

• Pora/czas dnia

• Kraje (geograficznie)

• Wolumen danych –

pojedynczo i zagregowany

• Wzorce ruchu

asymetrycznego

• Ruch między grupami

funkcyjnymi

Dane są eksportowane

Metody wykrywania:

Suspect Data Loss Alarm

Suspect Long Flow Alarm

Beaconing Host Alarm

Urządzenie

pośredniczące użyte

do ukrycia kradzieży


Identyfikacja celów

• Cel podejrzanych

aktywności

• Nietypowy wolumen

ruchu

• Spadek wydajności

Identyfikacja

atakujących


ISE

Zarządzanie

Management Console

FlowCollector Kolekcja i analiza Rekordów NetFlow

Korelacja i wizualizacja przepływów i tożsamości

Access Control, Profiling i Posture

NetFlow Capable

Urządzenia

Catalyst® 3750-X

Switch

Switch

Switch

Access Point

Access Point

Dostęp

Od

dzia

ł S

ieć

ka

mp

us

ow

a

Dystrybucja

Switch Stack

WLC

Core Core

Rdzeń

Site-to-Site VPN

FW

Router

Zdalny

Dostęp

NetFlow

Tożsamość

Skalowalna Infrastruktura NetFlow

Usługi AAA, profilowanie i posture assessment



Kod promocyjny:

cisco2013

Date post:	26-Jun-2015
Category:	Technology
Upload:	gawel-mikolajczyk
View:	267 times
Download:	4 times

Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawel Mikolajczyk

Technology