Hands-on: Implantação de monitoramento por Sflow

Transcrição

1 Hands-on: Implantação de monitoramento por Sflow Encontro de CSIRTs Acadêmicos RNP / PoP-BA / UFBA Italo Valcy <italovalcy@ufba.br> 05 e 06 de dezembro de 2018

2 Créditos O material aqui apresentado foi baseado em trabalhos anteriores desenvolvidos pelo CSIRT Unicamp e CERT.br. Esta apresentação também toma como base o trabalho Tracking Incidents with NfSen de Peter Haag (SWITCH-CERT) 2

3 Motivação As redes não são imunes a falhas Aumento da expectativa dos usuários Administradores de rede necessitam de ferramentas para exibir o status e histórico da rede Apagar incêndio Planejamento (gestão de capacidade) Detectar anormalidades Exibir resultados de mudanças Como identificar a causa e localização de eventuais problemas de desempenho? 3

4 Motivação Algumas questões relacionadas ao tratamento de anormalidades em uma rede: O que causou este pico em seu gráfico de rede? Quais hosts/subnets consumem a maioria de nossa largura de banda? Quais são os top talkers em sua rede? Sobre aquele (D)DoS ocorrido, você poderia nos passar maiores informações? Quais são os principais destinos que acessamos? 4

5 Motivação Monitoramento tradicional usa estatísticas de tráfego dos links (MRTG, RRD, etc.) Algumas questões: Cenário muito complexo e gráficos simples Precisamos de mais detalhes O monitoramento tradicional não é mais satisfatório! 5

6 Motivação Precisamos de mais informações em nível de conexão: Endereços IP Portas (TCP/UDP) Flags TCP Contadores de Byte/Pacote Número de interfaces Número de Ases... 6

7 Uso de flows O que são flows? Um conjunto de pacotes com características em comum, dentro de uma janela de tempo, e em uma determinada direção de tráfego Características: Interface de ingress interface, info L3 (src/dst IP), info L4 (tcp/udp com src/dst ports, icmp,...) Start time, duration, num de pacotes e bytes Exemplo: Download de arquivos (HTTP) gera dois flows (inbound e outbound) 7

8 Uso de flows Exemplo: 8

9 Uso de flows O que são flows? Sumário, com amostragem de pacotes na rede Apenas o cabeçalho dos pacotes Representa um fluxo de dados (contadores) Para que serve? Analisar pacotes trafegando na rede Detectar anomalias Traçar o perfil de rede Tratamento de incidentes de segurança 9

10 Quais passos seguir? 1o coletar os flows nos switches/roteadores Definir o protocolo (sflow, netflow, ipfix) Definir a taxa de amostragem Medir impacto na performance dos equipamentos Cuidados com a precisão na identificação (elephant flows vs mice flows) 10

11 Quais passos seguir? 2o analisar os dados gerados Ferramentas de análise de flows (solarwins, sflowtools, ntop-ng, etc) Nfsen + nfdump + scripts Plugins e customizações Gerar relatórios e notificações de alerta 11

12 Quais passos seguir? 3o análise avançada da rede Criação de perfis de tráfego da rede 12

13 Netflow / Sflow O que é Netflow Netflow é uma tecnologia de monitoramento de tráfego desenvolvida pela Cisco Networks. Fluxos são unidirecionais e contém dados relacionados à conexão, como: Endereços Ethernet de origem e destino Endereços IP de origem e destino Portas de origem e destino AS de origem e destino Protocolo (TCP, UDP, ICMP, etc.), flags TCP Interface lógica de entrada e saída Contadores de pacote e bytes Funciona por amostragem Exemplo: :47: TCP Outra tecnologia usada é o sflow, especificado pelo consorcio sflow.org IPFIX, IETF standard (RFC5101, RFC5102). Possui diversas informações : > :80.A..SF Registros Netflow nunca contém qualquer dado do usuário 13

14 Sflow Existem agentes sflow opensource para hosts, hypervisors e aplicações: 14

15 Sflow 15

16 Sflow 16

17 Netflow / Sflow NfSen Frontend web Exibe os fluxos Framework para automatizar tarefas NfDump Coleta e armazena os fluxos Processa os fluxos na linha de comando 17

18 Arquitetura do Nfdump 18

19 Exemplos Respondendo às nossas perguntas... Mostra o top 15 endereços IP consumindo a maioria da banda 19

20 Exemplos Respondendo às nossas perguntas... Mostra o top 15 /24 com maior troca de tráfego 20

21 Nfdump O nfdump pode ser extremamente útil para responder diversas questões Pode-se filtrar pelos campos dos flows Pode-se agregar o resultado Qualquer filtro vai necessitar uma adaptação ao perfil da sua rede Tudo depende de definir um bom filtro 21

22 NfSen Funcionalidades do NfSen para análise de incidentes de rede: Uso do nfdump como ferramenta de backend Imagens Partimos da visão geral, para detalhes de um fluxo Gráfico da situação atual da rede Gráficos de perfis específicos da rede Analisar uma janela de tempo específica 22

23 NfSen 23

24 24

25 25

26 Análise de incidentes de rede com Nfsen 26

27 Análise de incidentes de rede com Nfsen 27

28 28

29 Análise de incidentes de rede com Nfsen Nem todos os incidentes são óbvios de detectar Eventos visualmente perceptíveis Alto tráfego: muitos pacotes, muitos bytes E sobre os incidentes que ficam ocultos no tráfego geral? Sem pico óbvio 29

30 Perfis da Rede É uma visão específica dos dados dos fluxos, com filtros aplicados Aplicados aos gráficos assim como para a visão detalhada Pode ser criado a partir de dados antigos Pode ser criado para dados de entrada Pode contar um ou mais canais 30

31 Perfis da Rede Mesmos dados visão diferente Evento óbvio 31

32 Análise Análise do incidente uma olhada de perto 32

33 Análise Análise do incidente uma olhada de perto Não parece de fato com um SYN FLOOD Vejamos os fluxos 33

34 Análise Análise do incidente uma olhada de perto Como o host foi infectado? Checar mais fluxos 34

35 Análise Candidados a scanning horizontal Aplicação de filtros e funções de agregação: -A srcip,dstport -S 'bytes < 70 35

36 Nfsen / Nfdump Detectando outros tráfegos suspeitos: Alertas Extensões Alertas Monitoram os fluxos periodicamente Muitas condições Automaticamente dispara uma alarme, quando uma condição é satisfeita Envia uma notificação, ou executa uma ação 36

37 Estudo de caso Estudo de caso 1) máquina possivelmente infectada A equipe responsável pela rede não conseguiu identificar o host interno que originou essa conexão Necessidade de monitoramento do Firewall/NAT! 37

38 Estudo de caso Estudo de caso 2) violação de copyright Os dados da notificação não casavam com os logs O dispositivo não suportava gerar logs de NAT 38

39 Estudo de caso Estudo de caso 3) intrusão em servidor Invasor tinha a senha de uma conta com acesso remoto Todos os logs de auditoria foram apagados Identificação do IP do atacante via sflow Foi possível também fazer correlação com outros eventos anteriores 39

40 Estudo de caso Caso 4: Tráfego de syn-flood que provocou negação de serviço em alguns equipamentos de rede 40

41 Estudo de caso Caso 4: Tráfego de syn-flood que provocou negação de serviço em alguns equipamentos de rede 41

42 Dúvidas? Roteiros práticos 42