a já bych hnedka navázal představení pro koho pracuji chtěl bych vám představit se organizaci
cesnet která vlasně je poskytovatelem konektivity pro akademickou sféru české republice to znamená pro vysoké
školy nemocnice státní správu některou státní správu teda
akademii věta a podobné instituce
a
prostory vykládám je to že ta síť je poměrně komplexní jak vidíte tady zhruba na
plánku
který je užší tak jako tak zastaralý to znamená tím jak tam bude ještě víc
a ty rychlosti které jsou tam uvedeny budou ještě daleko vyšší to znamená dnešní době
už se budem pohybovat někdy kolem sto gigabytů když budu hovořit o některých propojí třeba
v rámci praha brno a podobné věci
vidíme i tady externí konektivitu k zahraničním je dingovým uzlům na dalším vlastně podobným organizacím
jako je cesnet
to a vlastně proč potřebujeme měřit síťové taky je ve je to že s tou
komplexní infrastrukturou g provozujeme a komplexním provozem který na této infrastruktuře provozujeme protože samozřejmě ta
sítě dedikovaná nějakému výzkumu
je tam potřeba řešit s kdyby nějaké rastrové počítání úložiště a podobné věci a tohle
sou všechno služby které musí být dostupné dvacet čtyři hodin denně
a tedy je potřeba prosím nějakým způsobem monitorovat takže to je jakýsi mít můj background
zcela a nyní bych chtěl push přejít k tomu samotnému monitorování nejprve bych tedy eště
si předhodil tak nějak motivaci proč potřebujeme monitorovat obecně
protože bez měření vlastně desíti nevíme co se na vesnici děje jak se to tam
děje co to způsobuje a kde se to že když dám příklad nejhorší asi noční
můrou nějakého administrátora je že nějaká babička prostě překlepneš poli kabel a potom je jaksi
bezradný a nemůže poskytovat
to připojení svým uživatelům kteří samozřejmě sou taky jako dost bezradní a útočí na toho
administrátora
to znamená
on potřebuje vědět že se něco stalo pak nejenom že by lepí sorry no internet
tudle ale nebude vědět i jak to vyřešit
to znamená
jí kde se to stalo uvidí třeba nějaký právě díky tomu měření uvidí nějaký výpadek
v nějaké časové řadě a bude vědět že tohle třeba je na nějaké konkrétní lince
a tím pádem že tam není konektivita no a samozřejmě bude vědět kde se to
děje to znamená neskončí tak což se opravdu děje
že dne dnes ti administrátoři ve stavu měření musí chodit do té serverovny a postupně
tam takle vytahovat kabely aby zjistili že například nějaký server tam generuje obrovské množství nějakého
balastu nějakého provozu ladiným zahltilo vlastně celou síť jo tak oni potom vytáhnu konečně ten
kabel
os toho serveru a zjistí jo dobrý tak teďka už je to dobrý a může
mít dál takže tohle je důvod proč vlastně dělat to měření toků
jo tak sumarizuje i měření toků poskytuje informace pro správu sítě a síťových služeb které
běží na té síti dohledávání problémů a incidentu znamená když je tam nějaký u to
tak se na ni potom posléze můžu podívat jak probíhal co mi to způsobilo koho
dalšího to ovlivnilo
plánování rozšíření té sítě znamená vidím že mi dochází nějaká kapacita té linky tak si
na plánu nějaké rozšíření optimalizace například směrování to znamená když mám nějaké dohody s různými
další mysim těmi a jedna sim tě pro mě levnější než druhá tak většinou provozu
se tam budu snažit před auto what
samozřejmě do té doby dokud to půjde
a co to samotné měření toku obnáší je že musíme z agregovaně jaké informace ze
záhlaví několika paketů
jednoho toku to znamená máme nějakou množinu paketů ten ta tvoří to já zakrňuju informaci
ze záhlaví a to mi potom dává záznam o tom toku
a ty záznamy se snažím uchovávat pro pozdější právě řešený incidentu a zároveň se je
snažím nějakým způsobem analyzovat
abych třeba předcházel tím problému nebo je zjistil včas
tato zaměření tento prezentace nebo vlastně celého toho open a mě přišlo že teda vlastně
této sekce je bezpečnost a soukromý takže jsem si sem nadhodil je takový slajd potom
soukromý takže mohli byste říct že jako narušuje to soukromý
asi bych sám je částečně souhlasil ale jenom
nuceně
tak aby ten administrátor měl možnost řešit i problémy cena té sítě vyskytují to znamená
je tam nějaký řekněme s princip proporci elity
když to přirovnám například poště to znamená máme tedy nějaké obálky tak pokud měříme toky
tak se díváme pouze na adresu třeba příjemce adresou dle odesilatele
a nedíváme se do obsahu
naproti tomu kdybych potom provozoval nějakou neměl to měření toku a musel tam zkus nějaký
tcp dám
tak zásadně ten administrátor se potom může dívat i do toho samotného obsahu a tu
obal může defakto otevřít takže dá se říci že to měření toků je s tohodle
pohledu zachovávání soukromý daleko přívětivý všimneš jakékoliv jiné metody
nyní bych přešel a konkrétně co to přesně znamená to měření síťového toku
představme si že máme
dvě oddělené sítě aha
tu linku mezi těmi sítěmi já mohu monitorovat nějakou sondou nebo tam mám router který
je schopen změřit toky
tak jak takový to vypadá
znamená máme nějaký počítač
který se který vygeneruje za tu dobu požadavek na nějaký dobových server vzdálený
aha
ty pakety toho požadavku tečou přes tu linku kterou já monitoruj
to znamená já si vezmu
potom zdrojovou víte adresu a cílovou víte adresu těch paketů zdrojové porty a cílové porty
těch paketů a čísla protokolu
uvidíme tady
a
k těmto k tomuto identifikátoru složenému
potom měří
a kolik paketů se přeneslo kolik bajtů kdy ten tom začal když skončil jaké tam
byli v průběhu to nastavené tcp příznaky a podobné statistiky
to samé potom foukačem směru to znamená
ten webový server nějakým způsobem odpovídá to generuje pakety a já se snažím z agregovat
tu informaci o těch paketech zase kolik jich bylo vtom opačném směru jaké příznaky byly
nastaveny
ta samotná architektura potom předpokládá že to měření síťových toku je potřeba dělat na různých
místech té síti
to znamená těch síťových sond tam může být obecním no to známe jakýsi máme nějaký
síťový provoz
a je síťový provoz může být mě že měřena když třeba datovém centru nebo na
nějakém místě v lokální síti nebo při připojení té lokální sítě do plán sítě znamená
těch sto může být no a ty sondy potom vlastně sbírají ten síťový provoz
agregují ho generují ty záznamy o těch tocích jak ste viděli na předchozím slajdu a
exportují je na nějaké centrální místo kterému říkáme kolektor
ten export se děje pomocí nějakých standardizovaných protokolů a kdo že to net flow nebo
ip fix
no a potom na tom kolektoru se ta data uchovávají
a zároveň je vlastně nějakým způsobem analyzují
administrátor potom se na ta data může dotazovat to znamená dole dávat co se tam
stalo nebo si může před připravit nějaké reporty a
je pravidelně informovat o tom co se tam děje
a zároveň ta může probíhat nějaká behaviorální analýza toho provozu to znamená na základě těch
statistik jsme schopni odhalit třeba že někdo skenuje tu síť znamená mohou tomu administrátorovi mít
reportování incidenty o tom že tam probíhal třeba nějakým to
typicky potom ten administrátor když třeba něco tohle dává tak tam má nějakou takovou časovou
řadu jak tam vidíte na té vizualizaci a potom pokud jsem tam třeba zdá že
tam nějaká špička nebo naopak tam něco chybí tak si na to může kliknout zaměřit
se na to dané časové období
a právě se dotazovat hlouběji a hlouběji do těch
záznam
pak ještě bych se krát se vrátila k protokolům které se používají pro export těch
záznamů s těch sond to znamená nejčastěji máme nasazeny ne flow ve pět netlu ve
devět a ip fixed přestože tedy existuje ještě i na jiné verze protokolů
heslo tady už vůbec nezmiňuji
poďme se podívat do historie metlou vlasně nevzniklo nebo samotný ten export ty záznamu nevznikl
takže by tady byl byla potřeba sledovat tu síť ale vznikl takže firma cit skoro
vlastně ve svých směrovačích urychloval a směrování ták
že
když přišel první paket daného toku tak pro ní založila pravidlo v nějaké takzvané flow
keši znamená vona měla ty identifikátory akty majden strká true mu řekla směruj veškerý provoz
který odpovídá těmto identifikátoru na interfejs pět prostě jo a díky tomu uši další pakety
toho daného toku bylo velmi jednoduché směrovat push nemuseli je skrz nějakou směrovací tabulku ale
vlastně to je už jenom takové běžné přeposílaní
a takže pak zjistili ale že vlastně kdyby si exportovat i záznamy ste směrovací tabulky
tak by mohli dělat tak by to mohli různě využívat máte nějakou vypovídací hodnotu má
tím pádem oni si řekli tak jo tak tady uděláme nějaký ne flow protokol a
budem ty pakety teda ty záznamy
o těch tocích exportovat na nějaký ten kolektor
znamená tolik co se týče historie historicky tedy nejpopulárnější já prosím nejjednodušší pro protokoly ne
flow ve pět dá se velmi jednoduše zpracovávat je to vlasně ty sondy chrlí udp
pakety rámci toho udp paketu vlasy máme nějakou ne flow hlavičku tam vidíte vpravo
která akorát říká nějakou timestamp ú a kolik tam máme záznamů mapa kuš vlastně sou
tam samotné záznamy za naskládány za sebou a ty záznamy jsou velmi jednoduché to znamená
jsou fixní mají fixní strukturu zdrojového a obsahují zdrojovou cílovou víte adresu počet paketů bajtů
kdekoli bylo přeneseno přes ten to začátek toho toku konec toho toků
a
to zbytek si můžete přečíst takže velmi jednoduché no ale zjistilo se že to uplně
nestačí protože
třeba při dip ve šest a najednou push místo identifikátoru víte ve čtyři adresa mám
vidíte ve šest adresa která je sto dvacet jestli by to vás zná už nemůžu
mít nějakej fixní záznam
takže nastoupil netlu ve verze devět a ip fit a tyto protokoly uši umožňují si
ty záznamy definovat nějakou šablonu
to znamená na té soudě
vznikají šablony pro vo různé typy toků
a takže pro udp to budu mít jinýho šablon š pro tcp to projít ve
čtyři to budu nic jinou šablonu nešpor některé šest to a samozřejmě kombinace s na
tebe štyři tcp udp ve šestý si ty líbí a podobné věci
no
a tyto šablony se pravidelně posílají protože víme že software neběží většinou pořád a občas
pane to znamená jednou za čas je potřeba třeba takhle to restartovat tak aby měla
aktuální šablony tak se tam pravidelně posílají
je praha je může se tam definovat ve velkém množství šablonu vlastně v rámci těchto
protokolů aby záznamy když přídou na ten kolektor tak se vlastně odkážu na tu šablonu
a ten kolektor tím pádem ví co ten záznam obsahuje
tak a teďka už bych přešel k té části a k čemu to teda je
to znamená máme v rámci sítě různé vlasy dedikované části té sítě to znamená méně
jaké datové centrum
tam si budu snažit se hlídat že mi běží ty služby dětem službu službám se
nepřipojí velké množství třeba uživatelů
že na ně nikdo neútočí že ty služby odpovídají že odpovídají v rámci nějakého stanoveného
intervalu to znamená že tam je nějaká příliš velká latence
jo můžu se to dávat do toho na mého kolektoru zároveň pokuď provozuje nějakou kampus
síť tak se tam budu snažit ochránit nějaké ty nějakým způsobem ty uživatele a zároveň
třeba abych se nestal i samotným zdrojem toho útoku to znamená tam budu míň nějaké
sqrt flow strana záznamy které budu používat pro o bezpečnost
v rámci nějaké v rámci isp nejenom že to budu používat proto abych třeba optimalizovala
to konektivitu ale mohu to používat opět v dnešní době pro bezpečnost a to je
například pro ochranu před velkými jednalo se bys útoky budu tady mít jo true nějakou
video ukázku pro jsem si připravil
no a to využití je poměrně široké já jsem se to tady snažil sumarizovat
na nějakém slajdu určitě to není všechno ale poďme bot podvodu to projít a pak
vypíchnou ještě na jedno využití které tady mám
takže znalost provozována síti a co se stane když to znamená řekněme že já jsem
administrátor a zdá se mi že nějaká ní padesá zlobí a co se stane když
i oříznu
tak vlastně
pokuď vlastně nemám to net flow tak já nevím co za služby třeba ta dívka
adresa poskytoval poskytovala to znamená když nemám tu síť kompletně pod kontrolou
jo a nevím co se tam děje
tady prostě zakázat bučí nemůžu protože bych tím ostřihnout celý nějaké jako kritické služby
a nebo když to necloumám tak vím že které služby minimálně odstřihli
sledování analýzy aplikací to znamená že mi ta aplikace běží že odpovídá nějaký dodaný zadaný
interval a podobné věci že na ni nikdo neútočí
zvýšení bezpečnosti sítě detekce vnitřních a vnějších dokud znamená budu se jenom snažit ochránit tu
síť před vnějšími útoky ale i budu se snažit dnes tace útokem například skenerem protože
v okamžiku kdy se moje síť stane jenom jeden klient začne splňovat tak kde je
dost možné
že vlastně vtom gray listů vtom black listu který se potom používá pro o vlastně
nějaký s dns black listy pro sraní s spam ulicích
si tejden tu tak vlastně se objeví celá ta moje podsít a nikdo už si
ode mě ten ímejl nepošle
a samozřejmě odhalení nesprávný konfigurací to znamená
jo že na tom routeru mám to routování správně nastaveno že jeden interfejs není vytěžovat
víc než druhý dohledávání incidentů
můžem se potom podívat na temuto dlouhodobé sledování informací o přenesených datech třeba pro účtování
dodržování zákona dneska komunikaci rozvedu na dalším slajdu účtování fakturace může být kontroly pí ringu
to znamená jak jsem říkal třeba mezinárodní provozy pro mě nevšimneš
národní a zjistím že ten národní si posílám klidně takle oklikou přesně z mezinárodní linku
nějakou co se běžně ně může stát
monitorování využití internetu mám jakou poli si ve firmě kdy chci aby ten internet byl
nějakým způsobem využívána a jak to mám dodržovat jak to mám vlastně zjistit jestli to
tak opravdu ti uživatelé dělají
to znamená
zde je odpověď
měření toku
ten zákon elektrické komunikaci to znamená mohli bysme říct že vlastně měření toků je dobrovolné
ale v zásadě když si přečtete ten zákon o elektronických komunikacích pak vlasně těma je
stykům
udává za povinnost protože o nich sou jakoby provozovateli nějaké veřejné komunikační sítě takže mu
dává za povinnost ty informace tak jako tak se daňová znamená to měření síťových toků
vlastně je přesně odpovídá tady tomu požadavku toho zákona všimněte si že a šest měsíců
je potřeba tady toto provozní lokalizační bude udržovat
takže vlastně na vážně tu předchozí prezentaci
můžete samozřejmě nebo snažte se třeba i šifrovat snažte se snažte se používat s
vpn analyzační sítě
pokuď nechcete být s vyloženě mít někde záznam že ste šli třeba na nějakou službu
tam byl dotaz
je to je ta zkratka
a
co vlasy a pokud potom předem potom ná zákon ok vědecké bezpečnosti a tak tam
jsou jmenované potom subjekty které to musí dělat
ale souhlasím s tím že z v rámci tady toho pokud to sbírám musím to
uchovala pokud ne tak ne ano většinou nějakým způsobem to většinou lidi sbírají co vlastně
koza poznám
takže video demo které jsem sliboval nejprve si udělá nějaký úvod k tomu demu znamená
bude se jednat o dohledání nějakého render neabdikačního toku network file protokol ndnp skládá se
z nějakého vlastně
ten útok se skládá z nějakého útočníka z nějakých počítačů který má ten útočník pod
nějakou zprávu nějakým způsobem je nakazil zběžně veřejně dostupných tebe server u které vlastně nemusí
být nakažený prostě jsou tam té síti a existují a souběžně používány legitimně klienti
a nějaké oběti na kterou se snažím zaútočit princip je takový že ten útočník typicky
kdyby chtěl zaútočit na tu oběť tak má třeba jenom jeden megabitů na dnešní době
už ne ale má prostě nějakou omezenou kapacitu svoji linky to znamená a on jen
cílem je zahltit tu oběť to znamená jak by asi tak zahltil tím jedný megabit
když ta objednat třeba
deset megabitů
přístupovou linku
to znamená on to udělá tak že využije tady ty své sondy který mají stále
ještě třeba omezenou kapacitu řekněme jeden nikdy aby zombie vygeneruj o tp dotazy požadavky
a smyslem je že ty požadavky jsou velmi malé to znamená tady ta ještě kapacita
může být stále omezená
naproti tomu ty odpovědi o těch pps průvodčí tomu požadavků můžou být třeba šedesát šest
násobně větší no a tím pádem potom když ty požadavky mají podvrženou zdravou víte adresu
té oběti
tak místo toho aby ten tebe sem bri odpověděli těm co mlíku tak odpoví na
tu oběť a tím pádem to by potom když má deset je bitové připojení tak
najednou je tam pečeš statistika bitový provoz a přestože by to třeba hardvéru je ten
stroj samotnýho zvládal tak ta prostě síťová konektivita tam není
takže jak by to mohlo vypadat těch flow datech
takže typicky tady vidíme nějakou časovou řadu která mě říká kolik toků se tam v
danou dobu vyskytlo
a já pustím to
prezentaci
přepnu si na to abych viděl jenom udp toky to znamená kolik udp toků tam
zadanou pěti mě to bylo
najdu si tam nějakou špičku tu si označím ukazovátkem
a teďka budu do hledávat pro tu danou špičku pro tento nový daný časový interval
co se tam vlastně stalo udělám to takže se zaškrtnul nějaký topení statistiky a budu
se snažit dohledat která ip adrese zodpovědná za tak velký počet toků který vlastně způsobil
tu špičku
tady vidíte že to chvíli trvá protože ty záznamu je opravdu hodně a musí se
projít ty záznamy
a nyní už vidíme těch to deset víte adresu vidíme že jedna tam vyčnívá oproti
ostatním a měla tři celé šest mega toků oproti druhém největším která měla pouze šest
set tisíc toku
to znamená že
na tu vypadne sousto šestnáct dvěstě padesát jedna dvě stě sedmnáct něco šlo nejvíce toků
a tím pádem se snažím dohledat které toky to byly snad kauzu nezobrazí nějakou agregována
informaci o to pět desíti padesát a zobrazím si ty samotné toky
no a teďka už vidíme že tady zrovna konkrétně jaká sto čtyřicet sedm co sem
sapy něco na portu sto dvacet tři odpovídala právě tím ten té odpovědí jí pere
se s to šestnáct dvě stě padesáti lety městě znát ta která je po tvým
útokem
a takle vidíte že statisticky by to šlo krásně detekovat takže ty toky ty odpovědi
jsou prostě naprosto stejné sou to jedno paketové toky které vlastně mají nějaký čtyři sta
šedesát osum bajtů a právě na tom je jsou založeny potom nějaké detekčním metody které
se snaží vlastně tady takovéhle
specifické vzory chování vyhledávat a deportovat se deportovat je tomu administrátorovi
takže co se týče software jsou je volně dostupný je open source některým software pro
měření toků například graph proud ten flow ve pět sonda lásko měj nízkým výkonem ale
můžete si nainstalovat na počítači nejsem to ste viděli právě teďka co jsem použil té
populární volně dostupný
kolektor teďka by měl být uši na githubu
máme ji samozřejmě komerční řešení když začnu tak samozřejmě nejznámější je sice s k o
brněnská firma flow a řešení flowmon
vieme silnější nějakým způsobem poskytuje může být jako sondou takže ip fix
protokoly schopen exportovat o tocích
takže máme nějaké řešení
nad se snad se vlastně k těmto řešením snaží vlastně do vyvíjet nějaká open source
řešení které by umožňovaly sběr těch jakoby nejnovější novinek znamená třeba podporovali ip fix protože
to není zcela tak samozřejmé aby ty aktuální
aktuální opensource i ale i ty komerční řešení podporovali ty nejnovější protokoly takže se snaží
vlastně vidět se řešením je nejen pro sběr ale i pro tu samotnou analýzu
když bych představil řekněme tři nástroje které současné době intenzivně vidíme tak je to ip
fix k o jak už z názvu napovídá tak je to kolektor i ty k
záznamům ale je schopen sbírat jedinec flow je s flow a další protokoly
toola nad tím to nástroj na těmi na zdi danými daty nazývaný tady znam potom
umožňuje ten kolektor řešit distribuovaně
to znamená
těch
množství těch záznamů za vteřinu třeba co se týče u může být sto tisíc řekněme
při běžném provozu a třeba půl milionu za sekundu při nějakém útoku
a to je poměrně velké množství záznamů které třeba za den nám dělají celkem objem
třeba tři sta gigabajtů dat denně
a pokuď potřebám
držet nějakou dobu třeba právě proto abysme byli schopní dělení ne dělal nějaký ten incidentem
entry
tak je potřeba mít si ten kolektor implementovaný distribuovaně znamená to tituly předchozí zatím neumí
takže tam se snažíme jakým způsobem přispět nebezpečnosti komunitní bezpečnosti
no a dále divím nástroj nemá které která by měla dělat s nějakou bilaterální
analýzu ale proudově to znamená to taky není dnešní době obvykle dnešní době to takže
nám přijde nějaký nějaké množství záznamu zadaný interval
třeba za pětiminutovku je to pětiminutovku vztek další pěti minut ovce teprv zpracovává mé a
pak teprv nahlásím že tam byl teda nějakej to
a
tím pádem vidíme že o té o toho útoku než se stal beneš se něco
statek vole může třeba uběhnout klidně deset minut díky různým tady mám tu má zpracování
intervalech což by ta proudová analýza měla právě zkrátit
tady bych se ještě vrátil k tomu našemu řešení mris dám
cože právě nástroj pro distribuované dotazování na s x kolektory defakto samozřejmě jsme uvažovali proč
nepoužít tomu nějaký hadů co že dnešní dneska populární přístup platformu která umožňuje defakto máte
rigidus operace které sou perfektní pro tuhle úlohu
ale v zásadě tom po nějaký test vezme zjistili že ten hadů i když tam
máme tady a iksové ose máme množství dat defakto plodina znamená kolik jsme posbírali za
hodinu a čas odezvy na nějaký dotaz
když tam vlastně vrazíme jenom jednu pětiminutovku a dokážeme se na ní
nevdám to je ten klasické co používáme dnes nám vrátí třeba to je do jedné
sekundy
ta naše problémy zda nám to vrátí do dvou sekund když použijeme hadů tak díky
jo ta má obrovskou režii ten díky té režii vlastně ta odezva je poměrně dlouhá
na jednoduché dotazy to je samozřejmě prostě fu okamžiku kdy potřebujete dělat a navíc dotazy
a nic dohledal naprosto
jako nepoužitelné a tím pádem prostě nám to dalo motivaci proč vyvíjet nějaký význam vlastní
a řešit to rámci nějaké vlastního výzkumu a vývoje
takže závěrem této prezentace by chtěli nahozenou s že měření těch síťových toků je
teda doufám si tvrdí že ve většině případů motivováno snahou udržet to si provozu a
služby které sem na to jestli těch provozované provozovány tak if provozu nikoliv tím že
bysme chtěli sledovat samotné uživatele
co když si ti tedy exportují data na kolektor a na tom fakturu se analyzují
a využívají se právě pro řešení nějakých problémů s tou sítí a zvýšení bezpečnosti obecně
těch uživatelů
a takovým nějakým jakoby vizí u je vyvíjet vlastně i ve spolupráci s dalšími organizacemi
jako je masarykova univerzita čvut a případně komerční partneři open source nástroje pro zpracování chování
těch exportovaných toku
jen taková perlička na závěr věděli jste že na u průměrně každý den míří zhruba
milion a když to přeženu útoků
to znamená útoků které
vlastně
nějakým způsobem ovlivňují ty připojené organizace artuš školy a ne nebo prostě nějaké nemocnice výzkumná
centra podobné věci
je pravda že ty útoky je tam za počítáno všechno včetně skenování chceš
pravém slova smyslu není to
ale těch dvou incidentů a událostí které se tam děje které vlastně potom potřeba nějakým
způsobem řešit je poměrně hodně tam zřejmě s toho milionu potom si musíme vybrat nějaký
malý vzorek který je opravdu ten nejdůležitější a ten potom řešit úplně až do konce
takže děkuji za pozornost a kdyby byly případné dotazy tak nevím jestli máme čas na
odpovědi ale tak případně chytnete ještě tady ve fajn