Coneixent el tràfic per defensar-nos millor
Maria Isabel Gandía Carriedo
Trobada de l’Anella Científica (TAC)
Hospital de ...
Conèixer què passa a la xarxa és bàsic!
Coneixent el nostre tràfic
Eines per la xarxa i la seguretat
Eines per la xarxa i la seguretat
Cacti
Sondes RIPE Atlas
RT-RTIR
Tests de
velocitat
Servidors de temps
Quant de tràfic tinc?
Test de velocitat
http://speedtest.anella.csuc.cat
Test de velocitat
http://speedtest.anella.csuc.cat
Plataforma de mesura de rendiment NDT
http://ndt.anella.csuc.cat
Plataforma de mesura de rendiment NDT
http://ndt.anella.csuc.cat
Plataforma de mesura de rendiment NDT
http://ndt.anella.csuc.cat
Com és el meu tràfic?
Com està l’Anella Científica?
Estadístiques i panell de monitoratge
 Estadístiques SNMP amb Cacti.
 Cada usuari té informació sobre les seves connexio...
Estadístiques i panell de monitoratge
https://estadistiques.anella.csuc.cat
Estadístiques i panell de monitoratge
https://estadistiques.anella.csuc.cat
I de quin tipus és?
SMARTxAC
 Desenvolupada per la UPC (CCABA) en
col·laboració amb el CSUC des del 2003.
Ara, Talaia Networks.
 Captura el ...
2003
2013
2016: tràfic
2016: Top N
2017: Integració d’alertes de l’eina Flow Sonar de Team-Cymru
Atacs volumètrics a una institució amb 10 Gbps
Atac volumètric a una institució amb 1 Gbps
El tràfic de recerca no segueix patrons estàndard
Bioinformàtica
Genòmica
Atacs que no ho semblen, “no-atacs” que sí ho semblen
 “No-atac”:
 Atac:
2017: següents passos amb SMARTxAC
 Integració per a l’autenticació amb la Federació d’identitat
 Possibilitat de sol·li...
Els atacs de DDoS
Els objectius dels atacs són (Q4 2016):
• 49% empreses TI (45% en Q2)
• 32% sector públic (14%)
• 7% bancs i serveis fina...
I en una universitat o centre de recerca?
 Per què?
• Evitar un examen
• Recerca
• Vandalisme
• Gamers
• Motius polítics
...
El tràfic regular (IPv4)
30 Gbps 10 Gbps
10 Gbps10 Gbps
85 % d’internet,
(634644 rutes)
70% del tràfic
16 % d’internet
(10...
Adquisició de plataforma de mitigació de DDoS per a les universitats
Solució basada en Arbor:
SP-7000:
• Portal de la so...
Com es detecta?
 Definint els llindars a partir dels que es considera que el tràfic és un atac.
 Per perfil de tràfic d’...
Cóm es mitiga? Fent tunning…
Generació d’informes
La mitigació de DDoS no és un conte de fades
 Cal definir els paràmetres de detecció i mitigació i posar en marxa els
apr...
Col·laboració amb RedIRIS: detecció CSUC, mitigació via túnel RedIRIS
 Solució de mitigació de RedIRIS.
 Detecció: insti...
Col·laboració amb RedIRIS (II): Remote Triggered Blackholing (RTBH)
 El filtratge RTBH és una tècnica que usa updates de ...
Quants més mecanismes, més opcions en cas d’atac
Institució
atacada
Detecció
Mitigació Mitigació
RTBH Blackholing
Filtres
...
Vistes dels atacs des del CSUC
 Cacti (SNMP)
 SMARTxAC (Netflow)
 Team Cymru Flow sonar (Netflow)
 Plataforma mitigaci...
Alguns consells bàsics
Aplicar sempre filtres anti-spoofing.
Netejar infeccions.
Tenir registres amb l'hora sincronitza...
Eines distribuïdes de mesura
RIPE Atlas
 Eina distribuïda que permet
mesurar milers de nodes arreu
del món
 Rastreja paquets en xarxa i
comprova l’es...
RIPE Atlas
La sonda RIPE Anchor al CSUC permet a les institucions:
• Comparar mesures des d’arreu del món a l’Anella Cient...
Properament…mesures amb TraceMON gràcies a RIPE Atlas
Gràcies per vostra atenció!
mariaisabel.gandia@csuc.cat
Próxima SlideShare
Cargando en…5
×

Coneixent el tràfic per defensar-nos millor (1a part)

77 visualizaciones

Publicado el

Presentació de Maria Isabel Gandia (CSUC) a la TAC17 sobre "Ciberseguretat a les xarxes acadèmiques i de recerca", realitzada el 21 de juny a l'Hospital de la Santa Creu i Sant Pau.

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
77
En SlideShare
0
De insertados
0
Número de insertados
1
Acciones
Compartido
0
Descargas
4
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Coneixent el tràfic per defensar-nos millor (1a part)

  1. 1. Coneixent el tràfic per defensar-nos millor Maria Isabel Gandía Carriedo Trobada de l’Anella Científica (TAC) Hospital de la Santa Creu i Sant Pau, 21-6-2017
  2. 2. Conèixer què passa a la xarxa és bàsic!
  3. 3. Coneixent el nostre tràfic
  4. 4. Eines per la xarxa i la seguretat
  5. 5. Eines per la xarxa i la seguretat Cacti Sondes RIPE Atlas RT-RTIR Tests de velocitat Servidors de temps
  6. 6. Quant de tràfic tinc?
  7. 7. Test de velocitat http://speedtest.anella.csuc.cat
  8. 8. Test de velocitat http://speedtest.anella.csuc.cat
  9. 9. Plataforma de mesura de rendiment NDT http://ndt.anella.csuc.cat
  10. 10. Plataforma de mesura de rendiment NDT http://ndt.anella.csuc.cat
  11. 11. Plataforma de mesura de rendiment NDT http://ndt.anella.csuc.cat
  12. 12. Com és el meu tràfic? Com està l’Anella Científica?
  13. 13. Estadístiques i panell de monitoratge  Estadístiques SNMP amb Cacti.  Cada usuari té informació sobre les seves connexions.  Permet veure anomalies o canvis de patró provocats per problemes a la xarxa, virus, malware, etc…per un backup o per un atac de DDoS! https://estadistiques.anella.csuc.cat
  14. 14. Estadístiques i panell de monitoratge https://estadistiques.anella.csuc.cat
  15. 15. Estadístiques i panell de monitoratge https://estadistiques.anella.csuc.cat
  16. 16. I de quin tipus és?
  17. 17. SMARTxAC  Desenvolupada per la UPC (CCABA) en col·laboració amb el CSUC des del 2003. Ara, Talaia Networks.  Captura el tràfic amb mostreig amb netflow a totes les interfícies: RedIRIS, Orange Business Services, CATNIX, connexió de les institucions i entre els nodes troncals.  Anàlisi fora de línia amb patrons d’inspecció de paquets basat en tècniques d’aprenentatge i entrenament tipus machine learning.  Multiusuari: és d’utilitat tan internament al CSUC com per al personal de xarxa/seguretat de les institucions connectades, per consultar en temps real informació del seu tràfic.  Interfície de visualització: • Mostra estadístiques. • Detecta anomalies. • Permet fer zoom. • Filtratge per protocols...
  18. 18. 2003
  19. 19. 2013
  20. 20. 2016: tràfic
  21. 21. 2016: Top N
  22. 22. 2017: Integració d’alertes de l’eina Flow Sonar de Team-Cymru
  23. 23. Atacs volumètrics a una institució amb 10 Gbps
  24. 24. Atac volumètric a una institució amb 1 Gbps
  25. 25. El tràfic de recerca no segueix patrons estàndard
  26. 26. Bioinformàtica
  27. 27. Genòmica
  28. 28. Atacs que no ho semblen, “no-atacs” que sí ho semblen  “No-atac”:  Atac:
  29. 29. 2017: següents passos amb SMARTxAC  Integració per a l’autenticació amb la Federació d’identitat  Possibilitat de sol·licitar filtres amb més granularitat per cada institució
  30. 30. Els atacs de DDoS
  31. 31. Els objectius dels atacs són (Q4 2016): • 49% empreses TI (45% en Q2) • 32% sector públic (14%) • 7% bancs i serveis financers (23%) El pic de tràfic ha augmentat un 63% en un any El 86% dels atacs fa servir múltiples métodes Font: http://www.verisign.com/assets/infographic-ddos-trends-Q42016.pdf Atac promig, 931 Mbps (1,2 Gbps a finals de 2017) El més greu de 800 Gbps (un 60% superior al 2015) 88% dels atacs < 2 Gbps 91% duren < 1 hora Font: Arbor, 12th Worldwide Infrastructure security report Segons diuen els experts…
  32. 32. I en una universitat o centre de recerca?  Per què? • Evitar un examen • Recerca • Vandalisme • Gamers • Motius polítics • Represàlies a màquines infectades • Maniobra de distracció • Es facilíssim  Cóm? • DDoSaaS L’origen pot ser a dins, encara que l’atac vingui de fora
  33. 33. El tràfic regular (IPv4) 30 Gbps 10 Gbps 10 Gbps10 Gbps 85 % d’internet, (634644 rutes) 70% del tràfic 16 % d’internet (100409 rutes) 30% del tràfic 85 % d’internet 0,00002 % d’internet Proveïdor comercial
  34. 34. Adquisició de plataforma de mitigació de DDoS per a les universitats Solució basada en Arbor: SP-7000: • Portal de la solució • Monitora tant l’encaminador com d’equip de neteja (TMS) • Rep full-routing de l’encaminador i anuncia rutes atacades cap al TMS  TMS-2800: • Rep el tràfic atacat per aplicar regles de mitigació • Retorna el tràfic “net” • Mitigació inicial 10 Gbps • Capaç d’ampliar llicències per a mitigar fins a 40 Gbps (30 Mpps). Sistema basat en SNMP, Netflow i BGP. Permet: • Detectar • Mitigar • Generar informes automàtics
  35. 35. Com es detecta?  Definint els llindars a partir dels que es considera que el tràfic és un atac.  Per perfil de tràfic d’un conjunt d’adreces (o objecte).  Per tràfic per equip.  En base a reputació d’algunes adreces.
  36. 36. Cóm es mitiga? Fent tunning…
  37. 37. Generació d’informes
  38. 38. La mitigació de DDoS no és un conte de fades  Cal definir els paràmetres de detecció i mitigació i posar en marxa els aprenentatges en "temps de pau".  Posar en marxa una mitigació només en cas d'emergència.  És un procés molt manual i amb molta granularitat.  Qualsevol mitigació té efectes col·laterals no desitjats.  És imprescindible la comunicació amb la institució afectada durant la mitigació.  No es pot deixar activa més temps de l’imprescindible.
  39. 39. Col·laboració amb RedIRIS: detecció CSUC, mitigació via túnel RedIRIS  Solució de mitigació de RedIRIS.  Detecció: institució o CSUC.  Mitigació: 2 túnels (adreçament RedIRIS/CSUC): • Requereix el vist-i-plau de la institució. • Configuració manual per part de RedIRIS. • Fins a 1,5 Gbps. • Provada amb adreces “esquer” de les universitats. • RedIRIS anuncia el rang atacat i el desvia al seu equip de mitigació. • El tràfic cap a les IP atacades es neteja i s’entrega pels túnels.  Aquests túnels es mantenen com a solució “aigües amunt” en cas necessari. Institució atacada DeteccióMitigació
  40. 40. Col·laboració amb RedIRIS (II): Remote Triggered Blackholing (RTBH)  El filtratge RTBH és una tècnica que usa updates de BGP per a manipular les taules de routing en altres punts de la xarxa abans d’entrar a la xarxa atacada.  L’equip que activa el trigger provoca que els encaminadors envïin el tràfic a Null0 (blackhole).  Es una forma ràpida de sol·licitar el filtratge i de treure’l per part del proveïdor atacat.  En marxa sessió BGP amb RedIRIS pel blackholing de les adreces de l’AS de l’Anella Científica.  Només es pot fer des del CSUC. Institució atacada DeteccióMitigació MitigacióRTBH
  41. 41. Quants més mecanismes, més opcions en cas d’atac Institució atacada Detecció Mitigació Mitigació RTBH Blackholing Filtres Rate-limiting Filtres Rate-limiting Detecció
  42. 42. Vistes dels atacs des del CSUC  Cacti (SNMP)  SMARTxAC (Netflow)  Team Cymru Flow sonar (Netflow)  Plataforma mitigació DDoS (SNMP + Netflow)
  43. 43. Alguns consells bàsics Aplicar sempre filtres anti-spoofing. Netejar infeccions. Tenir registres amb l'hora sincronitzada via NTP. Identificar als usuaris (compte amb el NAT!). En cas d'atac, informar a la policia. Tenir en compte que depenent de l'atac: • Pot ser greu i que només ho detecti l'atacat. • Pot ser inofensiu i ser detectat en monitoratge. • Ser conscients que no hi ha una solució que ho mitigui tot, la mitigació és en capes (NREN, RREN, tallafocs institució, ...).
  44. 44. Eines distribuïdes de mesura
  45. 45. RIPE Atlas  Eina distribuïda que permet mesurar milers de nodes arreu del món  Rastreja paquets en xarxa i comprova l’estat de la connexió dels servidors locals fent pings i traceroutes  Permet obtenir informació sobre: • Latència • Accessibilitat • Servidor DNS arrel més proper • Round-Trip Time (RTT) a algunes connexions fixes  Sondes al CSUC: • Anchor #6048 • Atlas #659 (Anella Científica) • Atlas #13880 (CATNIX)
  46. 46. RIPE Atlas La sonda RIPE Anchor al CSUC permet a les institucions: • Comparar mesures des d’arreu del món a l’Anella Científica. • Descarregar les mesures per interval de temps. • Seleccionar des de quines xarxes fer mesures ad-hoc. • Detectar problemes, tant externs com interns a l’Anella Científica. • Utilitzar els resultats en estudis de recerca. https://atlas.ripe.net/probes/6048
  47. 47. Properament…mesures amb TraceMON gràcies a RIPE Atlas
  48. 48. Gràcies per vostra atenció! mariaisabel.gandia@csuc.cat

×