SlideShare ist ein Scribd-Unternehmen logo

Coneixent el tràfic per defensar-nos millor (1a part)

CSUC - Consorci de Serveis Universitaris de Catalunya
CSUC - Consorci de Serveis Universitaris de Catalunya

Presentació de Maria Isabel Gandia (CSUC) a la TAC17 sobre "Ciberseguretat a les xarxes acadèmiques i de recerca", realitzada el 21 de juny a l'Hospital de la Santa Creu i Sant Pau.

Technologie
1 von 48
Downloaden Sie, um offline zu lesen
Coneixent el tràfic per defensar-nos millor Maria Isabel Gandía Carriedo Trobada de l’Anella Científica (TAC) Hospital de la Santa Creu i Sant Pau, 21-6-2017
Conèixer què passa a la xarxa és bàsic!
Coneixent el nostre tràfic
Eines per la xarxa i la seguretat
Eines per la xarxa i la seguretat Cacti Sondes RIPE Atlas RT-RTIR Tests de velocitat Servidors de temps
Quant de tràfic tinc?
Test de velocitat http://speedtest.anella.csuc.cat
Test de velocitat http://speedtest.anella.csuc.cat
Plataforma de mesura de rendiment NDT http://ndt.anella.csuc.cat
Plataforma de mesura de rendiment NDT http://ndt.anella.csuc.cat
Plataforma de mesura de rendiment NDT http://ndt.anella.csuc.cat
Com és el meu tràfic? Com està l’Anella Científica?
Estadístiques i panell de monitoratge  Estadístiques SNMP amb Cacti.  Cada usuari té informació sobre les seves connexions.  Permet veure anomalies o canvis de patró provocats per problemes a la xarxa, virus, malware, etc…per un backup o per un atac de DDoS! https://estadistiques.anella.csuc.cat
Estadístiques i panell de monitoratge https://estadistiques.anella.csuc.cat
Estadístiques i panell de monitoratge https://estadistiques.anella.csuc.cat
I de quin tipus és?
SMARTxAC  Desenvolupada per la UPC (CCABA) en col·laboració amb el CSUC des del 2003. Ara, Talaia Networks.  Captura el tràfic amb mostreig amb netflow a totes les interfícies: RedIRIS, Orange Business Services, CATNIX, connexió de les institucions i entre els nodes troncals.  Anàlisi fora de línia amb patrons d’inspecció de paquets basat en tècniques d’aprenentatge i entrenament tipus machine learning.  Multiusuari: és d’utilitat tan internament al CSUC com per al personal de xarxa/seguretat de les institucions connectades, per consultar en temps real informació del seu tràfic.  Interfície de visualització: • Mostra estadístiques. • Detecta anomalies. • Permet fer zoom. • Filtratge per protocols...
2003
2013
2016: tràfic
2016: Top N
2017: Integració d’alertes de l’eina Flow Sonar de Team-Cymru
Atacs volumètrics a una institució amb 10 Gbps
Atac volumètric a una institució amb 1 Gbps
El tràfic de recerca no segueix patrons estàndard
Bioinformàtica
Genòmica
Atacs que no ho semblen, “no-atacs” que sí ho semblen  “No-atac”:  Atac:
2017: següents passos amb SMARTxAC  Integració per a l’autenticació amb la Federació d’identitat  Possibilitat de sol·licitar filtres amb més granularitat per cada institució
Els atacs de DDoS
Els objectius dels atacs són (Q4 2016): • 49% empreses TI (45% en Q2) • 32% sector públic (14%) • 7% bancs i serveis financers (23%) El pic de tràfic ha augmentat un 63% en un any El 86% dels atacs fa servir múltiples métodes Font: http://www.verisign.com/assets/infographic-ddos-trends-Q42016.pdf Atac promig, 931 Mbps (1,2 Gbps a finals de 2017) El més greu de 800 Gbps (un 60% superior al 2015) 88% dels atacs < 2 Gbps 91% duren < 1 hora Font: Arbor, 12th Worldwide Infrastructure security report Segons diuen els experts…
I en una universitat o centre de recerca?  Per què? • Evitar un examen • Recerca • Vandalisme • Gamers • Motius polítics • Represàlies a màquines infectades • Maniobra de distracció • Es facilíssim  Cóm? • DDoSaaS L’origen pot ser a dins, encara que l’atac vingui de fora
El tràfic regular (IPv4) 30 Gbps 10 Gbps 10 Gbps10 Gbps 85 % d’internet, (634644 rutes) 70% del tràfic 16 % d’internet (100409 rutes) 30% del tràfic 85 % d’internet 0,00002 % d’internet Proveïdor comercial
Adquisició de plataforma de mitigació de DDoS per a les universitats Solució basada en Arbor: SP-7000: • Portal de la solució • Monitora tant l’encaminador com d’equip de neteja (TMS) • Rep full-routing de l’encaminador i anuncia rutes atacades cap al TMS  TMS-2800: • Rep el tràfic atacat per aplicar regles de mitigació • Retorna el tràfic “net” • Mitigació inicial 10 Gbps • Capaç d’ampliar llicències per a mitigar fins a 40 Gbps (30 Mpps). Sistema basat en SNMP, Netflow i BGP. Permet: • Detectar • Mitigar • Generar informes automàtics
Com es detecta?  Definint els llindars a partir dels que es considera que el tràfic és un atac.  Per perfil de tràfic d’un conjunt d’adreces (o objecte).  Per tràfic per equip.  En base a reputació d’algunes adreces.
Cóm es mitiga? Fent tunning…
Generació d’informes
La mitigació de DDoS no és un conte de fades  Cal definir els paràmetres de detecció i mitigació i posar en marxa els aprenentatges en "temps de pau".  Posar en marxa una mitigació només en cas d'emergència.  És un procés molt manual i amb molta granularitat.  Qualsevol mitigació té efectes col·laterals no desitjats.  És imprescindible la comunicació amb la institució afectada durant la mitigació.  No es pot deixar activa més temps de l’imprescindible.
Col·laboració amb RedIRIS: detecció CSUC, mitigació via túnel RedIRIS  Solució de mitigació de RedIRIS.  Detecció: institució o CSUC.  Mitigació: 2 túnels (adreçament RedIRIS/CSUC): • Requereix el vist-i-plau de la institució. • Configuració manual per part de RedIRIS. • Fins a 1,5 Gbps. • Provada amb adreces “esquer” de les universitats. • RedIRIS anuncia el rang atacat i el desvia al seu equip de mitigació. • El tràfic cap a les IP atacades es neteja i s’entrega pels túnels.  Aquests túnels es mantenen com a solució “aigües amunt” en cas necessari. Institució atacada DeteccióMitigació
Col·laboració amb RedIRIS (II): Remote Triggered Blackholing (RTBH)  El filtratge RTBH és una tècnica que usa updates de BGP per a manipular les taules de routing en altres punts de la xarxa abans d’entrar a la xarxa atacada.  L’equip que activa el trigger provoca que els encaminadors envïin el tràfic a Null0 (blackhole).  Es una forma ràpida de sol·licitar el filtratge i de treure’l per part del proveïdor atacat.  En marxa sessió BGP amb RedIRIS pel blackholing de les adreces de l’AS de l’Anella Científica.  Només es pot fer des del CSUC. Institució atacada DeteccióMitigació MitigacióRTBH
Quants més mecanismes, més opcions en cas d’atac Institució atacada Detecció Mitigació Mitigació RTBH Blackholing Filtres Rate-limiting Filtres Rate-limiting Detecció
Vistes dels atacs des del CSUC  Cacti (SNMP)  SMARTxAC (Netflow)  Team Cymru Flow sonar (Netflow)  Plataforma mitigació DDoS (SNMP + Netflow)
Alguns consells bàsics Aplicar sempre filtres anti-spoofing. Netejar infeccions. Tenir registres amb l'hora sincronitzada via NTP. Identificar als usuaris (compte amb el NAT!). En cas d'atac, informar a la policia. Tenir en compte que depenent de l'atac: • Pot ser greu i que només ho detecti l'atacat. • Pot ser inofensiu i ser detectat en monitoratge. • Ser conscients que no hi ha una solució que ho mitigui tot, la mitigació és en capes (NREN, RREN, tallafocs institució, ...).
Eines distribuïdes de mesura
RIPE Atlas  Eina distribuïda que permet mesurar milers de nodes arreu del món  Rastreja paquets en xarxa i comprova l’estat de la connexió dels servidors locals fent pings i traceroutes  Permet obtenir informació sobre: • Latència • Accessibilitat • Servidor DNS arrel més proper • Round-Trip Time (RTT) a algunes connexions fixes  Sondes al CSUC: • Anchor #6048 • Atlas #659 (Anella Científica) • Atlas #13880 (CATNIX)
RIPE Atlas La sonda RIPE Anchor al CSUC permet a les institucions: • Comparar mesures des d’arreu del món a l’Anella Científica. • Descarregar les mesures per interval de temps. • Seleccionar des de quines xarxes fer mesures ad-hoc. • Detectar problemes, tant externs com interns a l’Anella Científica. • Utilitzar els resultats en estudis de recerca. https://atlas.ripe.net/probes/6048
Properament…mesures amb TraceMON gràcies a RIPE Atlas
Gràcies per vostra atenció! mariaisabel.gandia@csuc.cat

Empfohlen

Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...
CSUC - Consorci de Serveis Universitaris de Catalunya
 
Seguretat Informatica
Seguretat InformaticaSeguretat Informatica
Seguretat Informatica
guest4e2fc3
 
software malicòs
software malicòssoftware malicòs
software malicòs
BertaEli
 
Seguretat
SeguretatSeguretat
Seguretat
Vicente Fernández
 
Powerpoint
PowerpointPowerpoint
Powerpoint
arual21
 
Seguridad informática en el entorno familiar
Seguridad informática en el entorno familiarSeguridad informática en el entorno familiar
Seguridad informática en el entorno familiar
Jordi Navarrete
 
Presetació final
Presetació finalPresetació final
Presetació final
juditsimonsantjust
 
Power point tema 4
Power point tema 4Power point tema 4
Power point tema 4
carlagonzalo
 

Empfohlen

Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...
CSUC - Consorci de Serveis Universitaris de Catalunya
 
Seguretat Informatica
Seguretat InformaticaSeguretat Informatica
Seguretat Informatica
guest4e2fc3
 
software malicòs
software malicòssoftware malicòs
software malicòs
BertaEli
 
Seguretat
SeguretatSeguretat
Seguretat
Vicente Fernández
 
Powerpoint
PowerpointPowerpoint
Powerpoint
arual21
 
Seguridad informática en el entorno familiar
Seguridad informática en el entorno familiarSeguridad informática en el entorno familiar
Seguridad informática en el entorno familiar
Jordi Navarrete
 
Presetació final
Presetació finalPresetació final
Presetació final
juditsimonsantjust
 
Power point tema 4
Power point tema 4Power point tema 4
Power point tema 4
carlagonzalo
 
La plataforma de mitigació d'atacs de DDoS del CSUC
La plataforma de mitigació d'atacs de DDoS del CSUCLa plataforma de mitigació d'atacs de DDoS del CSUC
La plataforma de mitigació d'atacs de DDoS del CSUC
CSUC - Consorci de Serveis Universitaris de Catalunya
 
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALMYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
Rafael Alcón Díaz [LION]
 
Aplicacions i riscos de la IoT
Aplicacions i riscos de la IoTAplicacions i riscos de la IoT
Aplicacions i riscos de la IoT
CSUC - Consorci de Serveis Universitaris de Catalunya
 
Gestió del risc en la activitat universitària
Gestió del risc en la activitat universitàriaGestió del risc en la activitat universitària
Gestió del risc en la activitat universitària
CSUC - Consorci de Serveis Universitaris de Catalunya
 
Presentació pfc disseny mòdul knx
Presentació pfc disseny mòdul knxPresentació pfc disseny mòdul knx
Presentació pfc disseny mòdul knx
TOMAS GARCIA VERDUGO
 
Marta Cruellas
Marta CruellasMarta Cruellas
Marta Cruellas
JSe
 
Seguretat
SeguretatSeguretat
Seguretat
scholl Garbí
 
Tema01 Bis
Tema01 BisTema01 Bis
Tema01 Bis
kategat
 
Jornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH cat
Jordi Garcia Castillon
 
CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...
CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...
CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...
Consorci Administració Oberta de Catalunya
 
Jornada TIC 23_02_12
Jornada TIC 23_02_12Jornada TIC 23_02_12
Jornada TIC 23_02_12
crpvoll
 
El blockchain a Catalunya
El blockchain a CatalunyaEl blockchain a Catalunya
El blockchain a Catalunya
Agència per a la Competitivitat de l'empresa - ACCIÓ
 
La gestió documental: el futur (és) ara!
La gestió documental: el futur (és) ara!La gestió documental: el futur (és) ara!
La gestió documental: el futur (és) ara!
Jordi Serra Serra
 
ARSO (P1): Informatica forense - Presentacio
ARSO (P1): Informatica forense - PresentacioARSO (P1): Informatica forense - Presentacio
ARSO (P1): Informatica forense - Presentacio
Aurora Lara Marin
 
Proyecto: Monitorización de red con SNMP y MRTG
Proyecto: Monitorización de red con SNMP y MRTGProyecto: Monitorización de red con SNMP y MRTG
Proyecto: Monitorización de red con SNMP y MRTG
Francesc Perez
 
Cloud Computing: nou paradigma o un risc de seguretat?
Cloud Computing: nou paradigma o un risc de seguretat?Cloud Computing: nou paradigma o un risc de seguretat?
Cloud Computing: nou paradigma o un risc de seguretat?
CSUC - Consorci de Serveis Universitaris de Catalunya
 
CGD2021 - "Ciberatacs, una amenaça molt real i propera: com ens podem protegir?"
CGD2021 - "Ciberatacs, una amenaça molt real i propera: com ens podem protegir?"CGD2021 - "Ciberatacs, una amenaça molt real i propera: com ens podem protegir?"
CGD2021 - "Ciberatacs, una amenaça molt real i propera: com ens podem protegir?"
Congrés Govern Digital
 
Visibilitat del tràfic de xarxa: per a què serveix i com obtenir-la
Visibilitat del tràfic de xarxa: per a què serveix i com obtenir-laVisibilitat del tràfic de xarxa: per a què serveix i com obtenir-la
Visibilitat del tràfic de xarxa: per a què serveix i com obtenir-la
CSUC - Consorci de Serveis Universitaris de Catalunya
 
Activitat 2
Activitat 2Activitat 2
Activitat 2
vigavic
 
Xarxes Multimèdia - PAC 2 - Grau Multimèdia - UOC
Xarxes Multimèdia - PAC 2 - Grau Multimèdia - UOCXarxes Multimèdia - PAC 2 - Grau Multimèdia - UOC
Xarxes Multimèdia - PAC 2 - Grau Multimèdia - UOC
Paquita Ribas
 
Tendencias en herramientas de monitorización de redes y modelo de madurez en ...
Tendencias en herramientas de monitorización de redes y modelo de madurez en ...Tendencias en herramientas de monitorización de redes y modelo de madurez en ...
Tendencias en herramientas de monitorización de redes y modelo de madurez en ...
CSUC - Consorci de Serveis Universitaris de Catalunya
 
Quantum Computing Master Class 2024 (Quantum Day)
Quantum Computing Master Class 2024 (Quantum Day)Quantum Computing Master Class 2024 (Quantum Day)
Quantum Computing Master Class 2024 (Quantum Day)
CSUC - Consorci de Serveis Universitaris de Catalunya
 

Weitere ähnliche Inhalte

Ähnlich wie Coneixent el tràfic per defensar-nos millor (1a part)

MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALMYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
Rafael Alcón Díaz [LION]
 
Marta Cruellas
Marta CruellasMarta Cruellas
Marta Cruellas
JSe
 
Tema01 Bis
Tema01 BisTema01 Bis
Tema01 Bis
kategat
 
Jornada TIC 23_02_12
Jornada TIC 23_02_12Jornada TIC 23_02_12
Jornada TIC 23_02_12
crpvoll
 
ARSO (P1): Informatica forense - Presentacio
ARSO (P1): Informatica forense - PresentacioARSO (P1): Informatica forense - Presentacio
ARSO (P1): Informatica forense - Presentacio
Aurora Lara Marin
 
Proyecto: Monitorización de red con SNMP y MRTG
Proyecto: Monitorización de red con SNMP y MRTGProyecto: Monitorización de red con SNMP y MRTG
Proyecto: Monitorización de red con SNMP y MRTG
Francesc Perez
 

Ähnlich wie Coneixent el tràfic per defensar-nos millor (1a part) (20)

La plataforma de mitigació d'atacs de DDoS del CSUC
La plataforma de mitigació d'atacs de DDoS del CSUCLa plataforma de mitigació d'atacs de DDoS del CSUC
La plataforma de mitigació d'atacs de DDoS del CSUC
 
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALMYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
 
Aplicacions i riscos de la IoT
Aplicacions i riscos de la IoTAplicacions i riscos de la IoT
Aplicacions i riscos de la IoT
 
Gestió del risc en la activitat universitària
Gestió del risc en la activitat universitàriaGestió del risc en la activitat universitària
Gestió del risc en la activitat universitària
 
Presentació pfc disseny mòdul knx
Presentació pfc disseny mòdul knxPresentació pfc disseny mòdul knx
Presentació pfc disseny mòdul knx
 
Marta Cruellas
Marta CruellasMarta Cruellas
Marta Cruellas
 
Seguretat
SeguretatSeguretat
Seguretat
 
Tema01 Bis
Tema01 BisTema01 Bis
Tema01 Bis
 
Jornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH cat
 
CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...
CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...
CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacio...
 
Jornada TIC 23_02_12
Jornada TIC 23_02_12Jornada TIC 23_02_12
Jornada TIC 23_02_12
 
El blockchain a Catalunya
El blockchain a CatalunyaEl blockchain a Catalunya
El blockchain a Catalunya
 
La gestió documental: el futur (és) ara!
La gestió documental: el futur (és) ara!La gestió documental: el futur (és) ara!
La gestió documental: el futur (és) ara!
 
ARSO (P1): Informatica forense - Presentacio
ARSO (P1): Informatica forense - PresentacioARSO (P1): Informatica forense - Presentacio
ARSO (P1): Informatica forense - Presentacio
 
Proyecto: Monitorización de red con SNMP y MRTG
Proyecto: Monitorización de red con SNMP y MRTGProyecto: Monitorización de red con SNMP y MRTG
Proyecto: Monitorización de red con SNMP y MRTG
 
Cloud Computing: nou paradigma o un risc de seguretat?
Cloud Computing: nou paradigma o un risc de seguretat?Cloud Computing: nou paradigma o un risc de seguretat?
Cloud Computing: nou paradigma o un risc de seguretat?
 
CGD2021 - "Ciberatacs, una amenaça molt real i propera: com ens podem protegir?"
CGD2021 - "Ciberatacs, una amenaça molt real i propera: com ens podem protegir?"CGD2021 - "Ciberatacs, una amenaça molt real i propera: com ens podem protegir?"
CGD2021 - "Ciberatacs, una amenaça molt real i propera: com ens podem protegir?"
 
Visibilitat del tràfic de xarxa: per a què serveix i com obtenir-la
Visibilitat del tràfic de xarxa: per a què serveix i com obtenir-laVisibilitat del tràfic de xarxa: per a què serveix i com obtenir-la
Visibilitat del tràfic de xarxa: per a què serveix i com obtenir-la
 
Activitat 2
Activitat 2Activitat 2
Activitat 2
 
Xarxes Multimèdia - PAC 2 - Grau Multimèdia - UOC
Xarxes Multimèdia - PAC 2 - Grau Multimèdia - UOCXarxes Multimèdia - PAC 2 - Grau Multimèdia - UOC
Xarxes Multimèdia - PAC 2 - Grau Multimèdia - UOC
 

Mehr von CSUC - Consorci de Serveis Universitaris de Catalunya

Mehr von CSUC - Consorci de Serveis Universitaris de Catalunya (20)

Tendencias en herramientas de monitorización de redes y modelo de madurez en ...
Tendencias en herramientas de monitorización de redes y modelo de madurez en ...Tendencias en herramientas de monitorización de redes y modelo de madurez en ...
Tendencias en herramientas de monitorización de redes y modelo de madurez en ...
 
Quantum Computing Master Class 2024 (Quantum Day)
Quantum Computing Master Class 2024 (Quantum Day)Quantum Computing Master Class 2024 (Quantum Day)
Quantum Computing Master Class 2024 (Quantum Day)
 
Publicar dades de recerca amb el Repositori de Dades de Recerca
Publicar dades de recerca amb el Repositori de Dades de RecercaPublicar dades de recerca amb el Repositori de Dades de Recerca
Publicar dades de recerca amb el Repositori de Dades de Recerca
 
In sharing we trust. Taking advantage of a diverse consortium to build a tran...
In sharing we trust. Taking advantage of a diverse consortium to build a tran...In sharing we trust. Taking advantage of a diverse consortium to build a tran...
In sharing we trust. Taking advantage of a diverse consortium to build a tran...
 
Formació RDM: com fer un pla de gestió de dades amb l’eiNa DMP?
Formació RDM: com fer un pla de gestió de dades amb l’eiNa DMP?Formació RDM: com fer un pla de gestió de dades amb l’eiNa DMP?
Formació RDM: com fer un pla de gestió de dades amb l’eiNa DMP?
 
Com pot ajudar la gestió de les dades de recerca a posar en pràctica la ciènc...
Com pot ajudar la gestió de les dades de recerca a posar en pràctica la ciènc...Com pot ajudar la gestió de les dades de recerca a posar en pràctica la ciènc...
Com pot ajudar la gestió de les dades de recerca a posar en pràctica la ciènc...
 
Security Human Factor Sustainable Outputs: The Network eAcademy
Security Human Factor Sustainable Outputs: The Network eAcademySecurity Human Factor Sustainable Outputs: The Network eAcademy
Security Human Factor Sustainable Outputs: The Network eAcademy
 
The Research Portal of Catalonia: Growing more (information) & more (services)
The Research Portal of Catalonia: Growing more (information) & more (services)The Research Portal of Catalonia: Growing more (information) & more (services)
The Research Portal of Catalonia: Growing more (information) & more (services)
 
Facilitar la gestión, visibilidad y reutilización de los datos de investigaci...
Facilitar la gestión, visibilidad y reutilización de los datos de investigaci...Facilitar la gestión, visibilidad y reutilización de los datos de investigaci...
Facilitar la gestión, visibilidad y reutilización de los datos de investigaci...
 
La gestión de datos de investigación en las bibliotecas universitarias españolas
La gestión de datos de investigación en las bibliotecas universitarias españolasLa gestión de datos de investigación en las bibliotecas universitarias españolas
La gestión de datos de investigación en las bibliotecas universitarias españolas
 
Disposes de recursos il·limitats? Prioritza estratègicament els teus projecte...
Disposes de recursos il·limitats? Prioritza estratègicament els teus projecte...Disposes de recursos il·limitats? Prioritza estratègicament els teus projecte...
Disposes de recursos il·limitats? Prioritza estratègicament els teus projecte...
 
Les persones i les seves capacitats en el nucli de la transformació digital. ...
Les persones i les seves capacitats en el nucli de la transformació digital. ...Les persones i les seves capacitats en el nucli de la transformació digital. ...
Les persones i les seves capacitats en el nucli de la transformació digital. ...
 
Enginyeria Informàtica: una cursa de fons
Enginyeria Informàtica: una cursa de fonsEnginyeria Informàtica: una cursa de fons
Enginyeria Informàtica: una cursa de fons
 
Transformació de rols i habilitats en un món ple d'IA
Transformació de rols i habilitats en un món ple d'IATransformació de rols i habilitats en un món ple d'IA
Transformació de rols i habilitats en un món ple d'IA
 
Difusió del coneixement a l'Il·lustre Col·legi de l'Advocacia de Barcelona
Difusió del coneixement a l'Il·lustre Col·legi de l'Advocacia de BarcelonaDifusió del coneixement a l'Il·lustre Col·legi de l'Advocacia de Barcelona
Difusió del coneixement a l'Il·lustre Col·legi de l'Advocacia de Barcelona
 
Fons de discos perforats de cartró
Fons de discos perforats de cartróFons de discos perforats de cartró
Fons de discos perforats de cartró
 
Biblioteca Digital Gencat
Biblioteca Digital GencatBiblioteca Digital Gencat
Biblioteca Digital Gencat
 
El fons Enrique Tierno Galván: recepció, tractament i difusió
El fons Enrique Tierno Galván: recepció, tractament i difusióEl fons Enrique Tierno Galván: recepció, tractament i difusió
El fons Enrique Tierno Galván: recepció, tractament i difusió
 
El CIDMA: més enllà dels espais físics
El CIDMA: més enllà dels espais físicsEl CIDMA: més enllà dels espais físics
El CIDMA: més enllà dels espais físics
 
Els serveis del CSUC per a la comunitat CCUC
Els serveis del CSUC per a la comunitat CCUCEls serveis del CSUC per a la comunitat CCUC
Els serveis del CSUC per a la comunitat CCUC
 

Coneixent el tràfic per defensar-nos millor (1a part)

  • 1. Coneixent el tràfic per defensar-nos millor Maria Isabel Gandía Carriedo Trobada de l’Anella Científica (TAC) Hospital de la Santa Creu i Sant Pau, 21-6-2017
  • 2. Conèixer què passa a la xarxa és bàsic!
  • 4. Eines per la xarxa i la seguretat
  • 5. Eines per la xarxa i la seguretat Cacti Sondes RIPE Atlas RT-RTIR Tests de velocitat Servidors de temps
  • 9. Plataforma de mesura de rendiment NDT http://ndt.anella.csuc.cat
  • 10. Plataforma de mesura de rendiment NDT http://ndt.anella.csuc.cat
  • 11. Plataforma de mesura de rendiment NDT http://ndt.anella.csuc.cat
  • 12. Com és el meu tràfic? Com està l’Anella Científica?
  • 13. Estadístiques i panell de monitoratge  Estadístiques SNMP amb Cacti.  Cada usuari té informació sobre les seves connexions.  Permet veure anomalies o canvis de patró provocats per problemes a la xarxa, virus, malware, etc…per un backup o per un atac de DDoS! https://estadistiques.anella.csuc.cat
  • 14. Estadístiques i panell de monitoratge https://estadistiques.anella.csuc.cat
  • 15. Estadístiques i panell de monitoratge https://estadistiques.anella.csuc.cat
  • 16. I de quin tipus és?
  • 17. SMARTxAC  Desenvolupada per la UPC (CCABA) en col·laboració amb el CSUC des del 2003. Ara, Talaia Networks.  Captura el tràfic amb mostreig amb netflow a totes les interfícies: RedIRIS, Orange Business Services, CATNIX, connexió de les institucions i entre els nodes troncals.  Anàlisi fora de línia amb patrons d’inspecció de paquets basat en tècniques d’aprenentatge i entrenament tipus machine learning.  Multiusuari: és d’utilitat tan internament al CSUC com per al personal de xarxa/seguretat de les institucions connectades, per consultar en temps real informació del seu tràfic.  Interfície de visualització: • Mostra estadístiques. • Detecta anomalies. • Permet fer zoom. • Filtratge per protocols...
  • 18. 2003
  • 19. 2013
  • 22. 2017: Integració d’alertes de l’eina Flow Sonar de Team-Cymru
  • 23. Atacs volumètrics a una institució amb 10 Gbps
  • 24. Atac volumètric a una institució amb 1 Gbps
  • 25. El tràfic de recerca no segueix patrons estàndard
  • 28. Atacs que no ho semblen, “no-atacs” que sí ho semblen  “No-atac”:  Atac:
  • 29. 2017: següents passos amb SMARTxAC  Integració per a l’autenticació amb la Federació d’identitat  Possibilitat de sol·licitar filtres amb més granularitat per cada institució
  • 30. Els atacs de DDoS
  • 31. Els objectius dels atacs són (Q4 2016): • 49% empreses TI (45% en Q2) • 32% sector públic (14%) • 7% bancs i serveis financers (23%) El pic de tràfic ha augmentat un 63% en un any El 86% dels atacs fa servir múltiples métodes Font: http://www.verisign.com/assets/infographic-ddos-trends-Q42016.pdf Atac promig, 931 Mbps (1,2 Gbps a finals de 2017) El més greu de 800 Gbps (un 60% superior al 2015) 88% dels atacs < 2 Gbps 91% duren < 1 hora Font: Arbor, 12th Worldwide Infrastructure security report Segons diuen els experts…
  • 32. I en una universitat o centre de recerca?  Per què? • Evitar un examen • Recerca • Vandalisme • Gamers • Motius polítics • Represàlies a màquines infectades • Maniobra de distracció • Es facilíssim  Cóm? • DDoSaaS L’origen pot ser a dins, encara que l’atac vingui de fora
  • 33. El tràfic regular (IPv4) 30 Gbps 10 Gbps 10 Gbps10 Gbps 85 % d’internet, (634644 rutes) 70% del tràfic 16 % d’internet (100409 rutes) 30% del tràfic 85 % d’internet 0,00002 % d’internet Proveïdor comercial
  • 34. Adquisició de plataforma de mitigació de DDoS per a les universitats Solució basada en Arbor: SP-7000: • Portal de la solució • Monitora tant l’encaminador com d’equip de neteja (TMS) • Rep full-routing de l’encaminador i anuncia rutes atacades cap al TMS  TMS-2800: • Rep el tràfic atacat per aplicar regles de mitigació • Retorna el tràfic “net” • Mitigació inicial 10 Gbps • Capaç d’ampliar llicències per a mitigar fins a 40 Gbps (30 Mpps). Sistema basat en SNMP, Netflow i BGP. Permet: • Detectar • Mitigar • Generar informes automàtics
  • 35. Com es detecta?  Definint els llindars a partir dels que es considera que el tràfic és un atac.  Per perfil de tràfic d’un conjunt d’adreces (o objecte).  Per tràfic per equip.  En base a reputació d’algunes adreces.
  • 36. Cóm es mitiga? Fent tunning…
  • 38. La mitigació de DDoS no és un conte de fades  Cal definir els paràmetres de detecció i mitigació i posar en marxa els aprenentatges en "temps de pau".  Posar en marxa una mitigació només en cas d'emergència.  És un procés molt manual i amb molta granularitat.  Qualsevol mitigació té efectes col·laterals no desitjats.  És imprescindible la comunicació amb la institució afectada durant la mitigació.  No es pot deixar activa més temps de l’imprescindible.
  • 39. Col·laboració amb RedIRIS: detecció CSUC, mitigació via túnel RedIRIS  Solució de mitigació de RedIRIS.  Detecció: institució o CSUC.  Mitigació: 2 túnels (adreçament RedIRIS/CSUC): • Requereix el vist-i-plau de la institució. • Configuració manual per part de RedIRIS. • Fins a 1,5 Gbps. • Provada amb adreces “esquer” de les universitats. • RedIRIS anuncia el rang atacat i el desvia al seu equip de mitigació. • El tràfic cap a les IP atacades es neteja i s’entrega pels túnels.  Aquests túnels es mantenen com a solució “aigües amunt” en cas necessari. Institució atacada DeteccióMitigació
  • 40. Col·laboració amb RedIRIS (II): Remote Triggered Blackholing (RTBH)  El filtratge RTBH és una tècnica que usa updates de BGP per a manipular les taules de routing en altres punts de la xarxa abans d’entrar a la xarxa atacada.  L’equip que activa el trigger provoca que els encaminadors envïin el tràfic a Null0 (blackhole).  Es una forma ràpida de sol·licitar el filtratge i de treure’l per part del proveïdor atacat.  En marxa sessió BGP amb RedIRIS pel blackholing de les adreces de l’AS de l’Anella Científica.  Només es pot fer des del CSUC. Institució atacada DeteccióMitigació MitigacióRTBH
  • 41. Quants més mecanismes, més opcions en cas d’atac Institució atacada Detecció Mitigació Mitigació RTBH Blackholing Filtres Rate-limiting Filtres Rate-limiting Detecció
  • 42. Vistes dels atacs des del CSUC  Cacti (SNMP)  SMARTxAC (Netflow)  Team Cymru Flow sonar (Netflow)  Plataforma mitigació DDoS (SNMP + Netflow)
  • 43. Alguns consells bàsics Aplicar sempre filtres anti-spoofing. Netejar infeccions. Tenir registres amb l'hora sincronitzada via NTP. Identificar als usuaris (compte amb el NAT!). En cas d'atac, informar a la policia. Tenir en compte que depenent de l'atac: • Pot ser greu i que només ho detecti l'atacat. • Pot ser inofensiu i ser detectat en monitoratge. • Ser conscients que no hi ha una solució que ho mitigui tot, la mitigació és en capes (NREN, RREN, tallafocs institució, ...).
  • 45. RIPE Atlas  Eina distribuïda que permet mesurar milers de nodes arreu del món  Rastreja paquets en xarxa i comprova l’estat de la connexió dels servidors locals fent pings i traceroutes  Permet obtenir informació sobre: • Latència • Accessibilitat • Servidor DNS arrel més proper • Round-Trip Time (RTT) a algunes connexions fixes  Sondes al CSUC: • Anchor #6048 • Atlas #659 (Anella Científica) • Atlas #13880 (CATNIX)
  • 46. RIPE Atlas La sonda RIPE Anchor al CSUC permet a les institucions: • Comparar mesures des d’arreu del món a l’Anella Científica. • Descarregar les mesures per interval de temps. • Seleccionar des de quines xarxes fer mesures ad-hoc. • Detectar problemes, tant externs com interns a l’Anella Científica. • Utilitzar els resultats en estudis de recerca. https://atlas.ripe.net/probes/6048
  • 47. Properament…mesures amb TraceMON gràcies a RIPE Atlas
  • 48. Gràcies per vostra atenció! mariaisabel.gandia@csuc.cat