Presentació de Maria Isabel Gandia (CSUC) a la TAC17 sobre "Ciberseguretat a les xarxes acadèmiques i de recerca", realitzada el 21 de juny a l'Hospital de la Santa Creu i Sant Pau.
Coneixent el tràfic per defensar-nos millor (1a part)
1. Coneixent el tràfic per defensar-nos millor
Maria Isabel Gandía Carriedo
Trobada de l’Anella Científica (TAC)
Hospital de la Santa Creu i Sant Pau, 21-6-2017
12. Com és el meu tràfic?
Com està l’Anella Científica?
13. Estadístiques i panell de monitoratge
Estadístiques SNMP amb Cacti.
Cada usuari té informació sobre les seves connexions.
Permet veure anomalies o canvis de patró provocats per problemes a
la xarxa, virus, malware, etc…per un backup o per un atac de DDoS!
https://estadistiques.anella.csuc.cat
17. SMARTxAC
Desenvolupada per la UPC (CCABA) en
col·laboració amb el CSUC des del 2003.
Ara, Talaia Networks.
Captura el tràfic amb mostreig amb netflow
a totes les interfícies: RedIRIS, Orange
Business Services, CATNIX, connexió de
les institucions i entre els nodes troncals.
Anàlisi fora de línia amb patrons
d’inspecció de paquets basat en tècniques
d’aprenentatge i entrenament
tipus machine learning.
Multiusuari: és d’utilitat tan internament al
CSUC com per al personal de
xarxa/seguretat de les institucions
connectades, per consultar en temps real
informació del seu tràfic.
Interfície de visualització:
• Mostra estadístiques.
• Detecta anomalies.
• Permet fer zoom.
• Filtratge per protocols...
28. Atacs que no ho semblen, “no-atacs” que sí ho semblen
“No-atac”:
Atac:
29. 2017: següents passos amb SMARTxAC
Integració per a l’autenticació amb la Federació d’identitat
Possibilitat de sol·licitar filtres amb més granularitat per cada institució
31. Els objectius dels atacs són (Q4 2016):
• 49% empreses TI (45% en Q2)
• 32% sector públic (14%)
• 7% bancs i serveis financers (23%)
El pic de tràfic ha augmentat un 63% en un any
El 86% dels atacs fa servir múltiples métodes
Font: http://www.verisign.com/assets/infographic-ddos-trends-Q42016.pdf
Atac promig, 931 Mbps (1,2 Gbps a finals de 2017)
El més greu de 800 Gbps (un 60% superior al 2015)
88% dels atacs < 2 Gbps
91% duren < 1 hora
Font: Arbor, 12th Worldwide Infrastructure security report
Segons diuen els experts…
32. I en una universitat o centre de recerca?
Per què?
• Evitar un examen
• Recerca
• Vandalisme
• Gamers
• Motius polítics
• Represàlies a màquines
infectades
• Maniobra de distracció
• Es facilíssim
Cóm?
• DDoSaaS
L’origen pot ser a dins, encara que l’atac vingui de fora
34. Adquisició de plataforma de mitigació de DDoS per a les universitats
Solució basada en Arbor:
SP-7000:
• Portal de la solució
• Monitora tant l’encaminador com d’equip de neteja (TMS)
• Rep full-routing de l’encaminador i anuncia rutes atacades cap al TMS
TMS-2800:
• Rep el tràfic atacat per aplicar regles de mitigació
• Retorna el tràfic “net”
• Mitigació inicial 10 Gbps
• Capaç d’ampliar llicències per a mitigar fins a 40 Gbps (30 Mpps).
Sistema basat en SNMP, Netflow i BGP.
Permet:
• Detectar
• Mitigar
• Generar informes automàtics
35. Com es detecta?
Definint els llindars a partir dels que es considera que el tràfic és un atac.
Per perfil de tràfic d’un conjunt d’adreces (o objecte).
Per tràfic per equip.
En base a reputació d’algunes adreces.
38. La mitigació de DDoS no és un conte de fades
Cal definir els paràmetres de detecció i mitigació i posar en marxa els
aprenentatges en "temps de pau".
Posar en marxa una mitigació només en cas d'emergència.
És un procés molt manual i amb molta granularitat.
Qualsevol mitigació té efectes col·laterals no desitjats.
És imprescindible la comunicació amb la institució afectada durant la
mitigació.
No es pot deixar activa més temps de l’imprescindible.
39. Col·laboració amb RedIRIS: detecció CSUC, mitigació via túnel RedIRIS
Solució de mitigació de RedIRIS.
Detecció: institució o CSUC.
Mitigació: 2 túnels (adreçament RedIRIS/CSUC):
• Requereix el vist-i-plau de la institució.
• Configuració manual per part de RedIRIS.
• Fins a 1,5 Gbps.
• Provada amb adreces “esquer” de les universitats.
• RedIRIS anuncia el rang atacat i el desvia al seu equip de mitigació.
• El tràfic cap a les IP atacades es neteja i s’entrega pels túnels.
Aquests túnels es mantenen com a solució “aigües amunt” en cas
necessari.
Institució
atacada
DeteccióMitigació
40. Col·laboració amb RedIRIS (II): Remote Triggered Blackholing (RTBH)
El filtratge RTBH és una tècnica que usa updates de BGP per a
manipular les taules de routing en altres punts de la xarxa abans
d’entrar a la xarxa atacada.
L’equip que activa el trigger provoca que els encaminadors envïin el
tràfic a Null0 (blackhole).
Es una forma ràpida de sol·licitar el filtratge i de treure’l per part del
proveïdor atacat.
En marxa sessió BGP amb RedIRIS pel blackholing de les adreces de
l’AS de l’Anella Científica.
Només es pot fer des del CSUC.
Institució
atacada
DeteccióMitigació
MitigacióRTBH
41. Quants més mecanismes, més opcions en cas d’atac
Institució
atacada
Detecció
Mitigació Mitigació
RTBH Blackholing
Filtres
Rate-limiting
Filtres
Rate-limiting
Detecció
42. Vistes dels atacs des del CSUC
Cacti (SNMP)
SMARTxAC (Netflow)
Team Cymru Flow sonar (Netflow)
Plataforma mitigació DDoS (SNMP + Netflow)
43. Alguns consells bàsics
Aplicar sempre filtres anti-spoofing.
Netejar infeccions.
Tenir registres amb l'hora sincronitzada via NTP.
Identificar als usuaris (compte amb el NAT!).
En cas d'atac, informar a la policia.
Tenir en compte que depenent de l'atac:
• Pot ser greu i que només ho detecti l'atacat.
• Pot ser inofensiu i ser detectat en monitoratge.
• Ser conscients que no hi ha una solució que ho mitigui tot, la
mitigació és en capes (NREN, RREN, tallafocs institució, ...).
45. RIPE Atlas
Eina distribuïda que permet
mesurar milers de nodes arreu
del món
Rastreja paquets en xarxa i
comprova l’estat de la connexió
dels servidors locals fent pings i
traceroutes
Permet obtenir informació sobre:
• Latència
• Accessibilitat
• Servidor DNS arrel més proper
• Round-Trip Time (RTT) a algunes
connexions fixes
Sondes al CSUC:
• Anchor #6048
• Atlas #659 (Anella Científica)
• Atlas #13880 (CATNIX)
46. RIPE Atlas
La sonda RIPE Anchor al CSUC permet a les institucions:
• Comparar mesures des d’arreu del món a l’Anella Científica.
• Descarregar les mesures per interval de temps.
• Seleccionar des de quines xarxes fer mesures ad-hoc.
• Detectar problemes, tant externs com interns a l’Anella Científica.
• Utilitzar els resultats en estudis de recerca.
https://atlas.ripe.net/probes/6048