Date post: | 26-Jun-2015 |
Category: |
Technology |
Upload: | gawel-mikolajczyk |
View: | 267 times |
Download: | 4 times |
Cisco Public 1 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 1 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 1 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 1 Cisco Public 1 © 2013 Cisco and/or its affiliates. All rights reserved.
Gaweł Mikołajczyk [email protected] Security Technical Solutions Architect CCIE #24987, CISSP-ISSAP, CISA, C|EH
Security B-Sides, 20 października 2013, Warszawa, Polska
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
http://www.slideshare.net/gmikolaj/security-bsides-warsaw-2012-bezpieczenstwo-ipv6-gawel-mikolajczyk
• Bezpieczeństwo IPv6
• Rekonesans IPv6
• IPv6 i IPSec
• Address Glean
• IPv6 Source Guard
• IPv6 RA Guard
• SLAAC
• CGA
• IPv6 DAD
• SeND
• IPv6 IPS
Październik 2012
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 3
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
“
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 5 http://cisco.com/go/sba
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 6
Początkowy
rekonesans
Pierwsze
skompromitowanie
hosta
Zdobycie
przyczółka
Eskalacja
uprawnień Zakończenie
misji
Wewnętrzny
rekonesans
Działania
segmentowe
Utrzymanie
systemu
Mandiant APT1 Report: http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
Kill Chain: http://bit.ly/killchain
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
1.
Command
and Control
2.
Rekonesans
3.Propagacja
4. Kradzież
danych
Firewall
IPS
Web Sec
N-AV
Email Sec
Routery
Switche
Firewall
Wykrywanie
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 8
1.
Command
and Control
2.
Rekonesans
3.Propagacja
4. Kradzież
danych
Firewall
IPS
Web Sec
N-AV
Email Sec
Wykrywanie
Routery
Switche
Firewall
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
• Państwo? Konkurencja? Jednostka? Kto?
• Co jest celem? Co?
• Kiedy atakujący jest aktywny? Kiedy?
• Gdzie jest atakujący? Gdzie?
• Jaki jest jego cel? Dlaczego?
• Zero-day? Known-passwords? Insider? Jak?
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
• Jest w mojej sieci? Kto?
• Robią Twoi userzy? Aplikacje? Zachowanie? Co?
• Urządzenie było w sieci? Czy to normalne? Kiedy?
• Uzyskiwany jest dostęp do sieci? Gdzie?
• Używają tej aplikacji / protokołu? Dlaczego?
• Dostają się do sieci? Jak?
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 11
Billing
telefoniczny
Rekordy
Flow
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 12
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
“Prawdopodobnie mogliśmy temu zapobiec,
gdybyśmy wiedzieli co tak naprawdę dzieje
się w naszej sieci”
“Nie jesteśmy w stanie stwierdzić jakich
aplikacji używają nasi pracownicy bez
wymuszenia polityk bezpośrednio na
urządzeniach co ograniczy ich efektywność i
kreatywność.”
“Nie wiemy czy pierwszy zaatakowany został
klient czy serwer”
“Brakuje nam danych historycznych – do
włamania mogło dojść nawet 3 lata temu”
“Najprawdopodobniej do włamania doszło w
wyniku działania nieautoryzowanych aplikacji.
Badamy ten wątek.”
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 14
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 15
Adres docelowy i źródłowy (IPv4/IPv6)
Port docelowy i źródłowy
Numer protokołu
DSCP
Interfejs wejściowy
Pole next-hop z BGP
Informacje z etykiety MPLS
Informacje o multicaście
Informacje z L2 (tag 802.1q, pole CoS, etc)
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 16
• Narzędzie do zbierania informacji o ruchu w sieci IP w ujęciu sesji danych (jednocześnie – protokół eksportowy)
NetFlow v5 i v9
• Coraz doskonalsze narzędzia opierające się o NetFlow połączony z dodatkowymi algorytmami klasyfikacji aplikacji (NBAR/NBAR2/AVC) pozwalają na szczegółowe rozliczanie i monitoring – dla wielu równoczesnych odbiorców
np. dział bezpieczeństwa zbiera informacje o dużej ilości krótkich sesji
np. dział monitoringu zbiera informacje o skuteczności inżynierii ruchowej w sieci
np. dział biznesowy otrzymuje informacje o krytycznych danych nowej aplikacji działającej dla pewnej grupy klientów
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 17
• Pola kluczowe są unikalne dla danej sesji
• Pola nie będące kluczowymi są atrybutami danej sesji
• Jeśli pola kluczowe są unikalne (nie istnieją do tej pory w pamięci podręcznej) – tworzony jest nowy „flow” czyli sesja
Pola kluczowe Pakiet 1
Źródłowe IP 1.1.1.1
Docelowe IP 2.2.2.2
Port źródłowy 23
Port docelowy 22078
Protokół L3 TCP - 6
Bajt ToS 0
Inne pola
Długość 1250
1 2 1 2
Pola kluczowe Pakiet 2
Źródłowe IP 3.3.3.3
Docelowe IP 4.4.4.4
Port źródłowy 80
Port docelowy 22079
Protokół L3 TCP - 6
Bajt ToS 0
Inne pola
Długość 519
SRC IP DST IP IF Protokół ToS … Pkts
1.1.1.1 2.2.2.2 GE1/0 6 0 … 11000
SRC IP DST IP IF Protokół ToS … Pkts
3.3.3.3 4.4.4.4 GE2/1 6 0 … 50
1.1.1.1 2.2.2.2 GE1/1 6 0 … 11000
Netflow Cache After Packet 1
Netflow Cache After Packet 2
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
• Monitoring pracy sieci
• Profilowanie aplikacji
• Profilowanie użytkowników
• Rozliczanie i billing
• Zaawansowane analizy na zebranych do tej pory danych
• Bezpieczeństwo
Dużo lepsze narzędzie do specjalizowanego wykrywania ataków DDoS niż SNMP czy liczniki w ACL
Wykrywanie anomalii w ruchu sieciowym, niekoniecznie związanych z naruszeniem polityki bezpieczeństwa, ale podejrzanych (czas, wolumen, natężenie)
Odtworzenie zdarzeń krok po kroku po włamaniu
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 19
Funkcje NFv5 NFv9
Format pakietu Ustalony, niezmienny Elastyczny
Źródłowy i docelowy adres
IPv4 oraz porty TCP/UDP Tak Tak
Ruch multicastowy Nie Tak
Identyfikacja aplikacji Nie Tak
Flagi TCP Nie Tak
IPv6 Nie Tak
Tagi np. 802.1q lub MPLS Nie Tak
Wiele równoległych polityk na
jednym interfejsie Nie Tak
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 20
• Każdy monitor może eksportować do wielu zbierających (flow export)
• Każdy monitor skojarzony jest z jednym kryterium zbierania (flow record)
• Ruch można monitorowac niezależnie w obie strony
Interfejs
Monitor 1 (ruch
wchodzący)
Zestaw A
Eksport 1
Eksport 2
Monitor 2 (ruch
wychodzący)
Zestaw B
Eksport 1
Eksport 1
IP = 10.0.0.1
Eksport 2
IP = 192.168.0.1
Zestaw A Zestaw B
Exporter
Record
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
Sieć
22
Kolektor
MGMT
NetFlow
Sensor Sensor VE Użytkownicy
Urządzenia
NetFlow
Replikator
Kolektor
https
https
NBAR NSEL
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 23
Całkiem niezły
router
Router agregacyjny
Duży przełącznik
w Data Center
Duży router
Klasyczny router
Router brzegowy Mały router
Przełączniki rdzeniowe
Przełącznik
dostępowy
Routery na styku z
Internetem
Firewalle
Popularny router Wsparcie
sprzętowe
Przełączniki dystrybucyjne
Kolektor
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 24
10.2.2.2 port 1024
10.1.1.1 port 80
eth
0/1
eth
0/2
Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes
Sent
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025
10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712
Start Time Client
IP
Client
Port
Server IP Server
Port
Proto Client
Bytes
Client
Pkts
Server
Bytes
Server
Pkts
Interface
s
10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1
eth0/2
Rekordy
jednokierunkowe
Rekordy dwukierunkowe:
• Rekord konwersacji sieciowej
• Pozwala na sensowną wizualizację i analizę
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 25
Router A
Router B
Router C
10.2.2.2 port 1024
10.1.1.1 port 80
Router A: 10.2.2.2:1024 -> 10.1.1.1:80
Router B: 10.2.2.2:1024 -> 10.1.1.1:80
Router C: 10.1.1.1:80 -> 10.2.2.2:1024
Duplikaty
• Bez deduplikacji:
• Wolumen ruchu nieprawidłowy
• False positives
• Efektywne składowanie danych przepływów
• Prawidłowe raportowanie per host
• Nie odrzuca zgromadzonych danych
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 26
• Pre i Post NAT stitching
• Skrócenie czasu analizy
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 27
Urządzenia Sieć wewnętrzna
Wykorzystanie NetFlow
by rozszerzyć
widoczność do warstwy
dostępowej
Jedno narzędzie –
wykrywanie, dogłębna
analiza i raportowanie
Wzbogacenie danych o
Flow o tożsamość
użytkownika i wiedzę o
aplikacji – tworzenie
kontekstu
KTO
CO GDZIE
KIEDY
JAK
Przełącznik z
Netflow
obsługiwanym
sprzętowo
Cisco ISE
Cisco ISR G2 + NBAR
Cisco ASA + NSEL
Kontekst
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 28
Kto to 10.10.101.89?
Policy Start
Active
Time
Alarm Source Source
Host
Groups
Target Details
Desktops
& Trusted
Wireless
Jan 3,
2013
Suspect
Data Loss
10.10.101
.89
Atlanta,
Desktops
Multiple
Hosts
Observed 5.33G
bytes. Policy
maximum allows up
to 500M bytes.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 29
Atrybucja przepływów do urządzenia / użytkownika
Policy Start
Active
Time
Alarm Source Source
Host
Groups
Source
User Name
Device
Type
Target
Desktops
&
Trusted
Wireless
Jan 3,
2013
Suspect
Data Loss
10.10.101
.89
Atlanta,
Desktops
John
Chambers
Apple-
iPad
Multiple
Hosts
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 30
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 31
High Concern Index wskazuje na znaczącą
ilość podejrzanych zdarzeń, które wykraczają
poza ustalone wzorce typowych zachowań
Host
Groups
Host CI CI% Alarms Alerts
Desktops 10.10.101.118 865,645,669 8,656
%
High Concern
Index
Ping, Ping_Scan,
TCP_Scan
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 32
32
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 33
RTP San Jose
Amsterdam
Bangalore
Sydney
Tokyo
15.6 miliardów flows / dzień
90-dniowa retencja danych
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 34
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 35
Zebranie i analiza Flow
1 2
• Ille jednoczesnych flows
• Pakietów na sekundę.
• Bitow na sekundę • Nowo tworzonych
flow • Ilość wysyłąnych
SYN
• Pora dnia • Ilość odbieranych
SYN • Ilość resetowanych
połączeń • Czas życia flow • Ponad 80 innych
atrybutów
Ustalenie wzorców zachowań
Alarmowanie w przypadku anomalii i zmian
zachowania się
Wartość
progowa
Wartość
progowa
Wartość
progowa
Wartość
progowa
Serwery
krytyczne
Serwer
Exchange
Serwery
Web
Marketing
Wykrycie
anomalii w
zachowaniu
hosta
3
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 36
Co jest analizowane:
• Duże ilości flow
• Informacje o dużej ilości danych
• Jednokierunkowe flow lub flow bez
odpowiedzi
• Flowy w podsieciach, grupach
hostów
• Flow do nieistniejących adresów IP
• Powtarzające się Flow
• Nietypowe zachowania
Długotrwałe i niespieszne
działania celem wykrycia
zasobów i podatności
Metody wykrywania:
Concern Index
High Traffic
Trapped Hosts
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 37
Wykryty host odpowiada i
następuje wykorzystanie
jego podatności
Co jest analizowane:
• Duże ilości flow
• Informacje o dużej ilości
danych
• Flowy w podsieciach,
grupach hostów
• Powtarzające się Flow
• Nietypowe zachowania
Metody wykrywania:
Concern Index, Target Index
Touched Host
Worm Propagation Alarm
Worm Tracker
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 38
Priorytetyzacja
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 39
Co jest analizowane:
• Kraje (geograficznie)
• Aplikacje
• Informacje o danych -
Upload i Download
• Pora/czas dnia
• Beaconing –
powtarzające się
połączenia
• Długotrwałe flowy
• Znane serwery C&C
Cykliczna aktywność “phone
home”
Metody wykrywania:
Host Lock Violation
Suspect Long Flow
Beaconing Host
Bot Command & Control Server
Bot Infected Host – Attempted C&C
Bot Infected Host – Successful C&C
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 40
Co jest analizowane:
• Historyczne zachowanie
dotyczące transferu danych
• Aplikacje
• Pora/czas dnia
• Kraje (geograficznie)
• Wolumen danych –
pojedynczo i zagregowany
• Wzorce ruchu
asymetrycznego
• Ruch między grupami
funkcyjnymi
Dane są eksportowane
Metody wykrywania:
Suspect Data Loss Alarm
Suspect Long Flow Alarm
Beaconing Host Alarm
Urządzenie
pośredniczące użyte
do ukrycia kradzieży
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 41
Identyfikacja celów
• Cel podejrzanych
aktywności
• Nietypowy wolumen
ruchu
• Spadek wydajności
Identyfikacja
atakujących
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 42
ISE
Zarządzanie
Management Console
FlowCollector Kolekcja i analiza Rekordów NetFlow
Korelacja i wizualizacja przepływów i tożsamości
Access Control, Profiling i Posture
NetFlow Capable
Urządzenia
Catalyst® 3750-X
Switch
Switch
Switch
Access Point
Access Point
Dostęp
Od
dzia
ł S
ieć
ka
mp
us
ow
a
Dystrybucja
Switch Stack
WLC
Core Core
Rdzeń
Site-to-Site VPN
FW
Router
Zdalny
Dostęp
NetFlow
Tożsamość
Skalowalna Infrastruktura NetFlow
Usługi AAA, profilowanie i posture assessment
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 43
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 44
Kod promocyjny:
cisco2013