Tiago Jun Nakamura Analista de Desenvolvimento São Paulo, SP 13 de maio de 2015



Documentos relacionados
Rodrigo Regis dos Santos Tiago Jun Nakamura São Paulo, SP 16 de julho de 2015

Uso de Flows no Tratamento de Incidentes da Unicamp

Rastreando fluxos para detecção de eventos em redes

IP significa Internet Protocol. A Internet é uma rede, e assim como ocorre em qualquer tipo de rede, os seus nós (computadores, impressoras, etc.

Network Top: Uma Ferramenta Automatizada para Análise e Gerenciamento de Redes

Cartilha de Segurança para Internet

Sistemas de Detecção de Intrusão

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

Firewalls. Firewalls

Segurança em Sistemas de Informação

ll a w ire F e ota Filho ai s d a m as, SP, 06 m pin Cam iste S João Eriberto M Eriberto mai. 14

Hands-on: Implantação de monitoramento por Sflow


Políticas de Segurança de Sistemas

MÓDULO 8 Modelo de Referência TCP/IP

CAMADA DE TRANSPORTE

Redes de Computadores

Segurança em Sistemas de Informação Tecnologias associadas a Firewall

Características de Firewalls

Gerência de Segurança

Fundamentos de Redes de Computadores. IPv6. Prof. Claudemir

Entendendo como funciona o NAT

Segurança na Rede Local Redes de Computadores

4. Qual seria o impacto da escolha de uma chave que possua letras repetidas em uma cifra de transposição?

Capítulo 7 CAMADA DE TRANSPORTE

e Uso Abusivo da Rede

PARANÁ GOVERNO DO ESTADO

Cap 03 - Camada de Aplicação Internet (Kurose)

Componentes de um sistema de firewall - II. Segurança de redes

Comunicações de Dados

Segurança de Redes. Firewall. Filipe Raulino

Prevenção. Como reduzir o volume de spam

Firewall. Qual a utilidade em instalar um firewall pessoal?

Como medir a velocidade da Internet?

Projeto Tor UFRJ Redes I Alunos: Jhonatas Alfradique, Hugo Klin, Guilherme Almeida

Firewall. Tutorial Firewall em Linux Acadêmicos: Felipe Zottis e Cleber Pivetta

Servidor, Proxy e Firewall. Professor Victor Sotero

Sistemas de Detecção de Intrusão SDI

SUMÁRIO 1. AULA 6 ENDEREÇAMENTO IP:... 2

Componentes de um sistema de firewall - I

3. Explique o motivo pelo qual os protocolos UDP e TCP acrescentam a informação das portas (TSAP) de origem e de destino em seu cabeçalho.

Software de segurança em redes para monitoração de pacotes em uma conexão TCP/IP

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Segurança de Redes de Computadores

Rotina de Discovery e Inventário

Uso de Honeypots de Baixa Interatividade na Resposta a Incidentes de Segurança

MODELO CLIENTE SERVIDOR

CAIS: CSIRT da Rede Acadêmica Brasileira. V WORKSHOP do PoP-RS Porto Alegre, RS Brasil Outubro/2014

IPTABLES. Helder Nunes

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Professor: Macêdo Firmino Disciplina: Sistemas Operacionais de Rede

ADDRESS RESOLUTION PROTOCOL. Thiago de Almeida Correia

Segurança de redes com Linux. Everson Scherrer Borges Willen Borges de Deus

Técnicas e ferramentas de ataque. Natiel Cazarotto Chiavegatti

Capítulo 5 Métodos de Defesa

Tratamento de Incidentes de Segurança na Rede-Rio

Capacitação IPv6.br. Serviços em IPv6. Serviços rev

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização

Tecnologias Web. Lista de Exercícios AV02. Luiz Leão

ADMINISTRAÇÃO DE SISTEMA OPERACIONAL DE REDE (AULA 4)

9. Quais as características a tecnologia de conexão à Internet denominada ADSL A) Conexão permanente, custo variável, linha telefônica liberada e

VoIP no PTT Metro. Fabricio Tamusiunas NIC.BR

Redes de Computadores Aula 01

FIREWALL. Prof. Fabio de Jesus Souza. Professor Fabio Souza

Introdução ao Active Directory AD

Uso das ferramentas de monitoramento de gerência de redes para avaliar a QoS da rede.

Manual de Instalação e Operação RECIP

Gerência de Redes Áreas Funcionais de Gerenciamento. Douglas Duarte

Relatorio do trabalho pratico 2

Tema: Transbordamento da Tabela CAM ou em inglês CAM table overflow por meio da técnica de Arp Poisoning, Arp spoofing, MAC flooding.

SMTP, POP, IMAP, DHCP e SNMP. Professor Leonardo Larback

Edital 012/PROAD/SGP/2012

Protocolos de Redes Revisão para AV I

UNIVERSIDADE FEDERAL DE SANTA CATARINA DEPARTAMENTO DE INFORMÁTICA E ESTÁTISTICA GRADUAÇÃO EM CIÊNCIAS DA COMPUTAÇÃO DISCIPLINA: COMUNICAÇÃO DE DADOS

Ao longo do presente capítulo será apresentada uma descrição introdutória da tecnologia FPGA e dos módulos básicos que a constitui.

Tecnologia de Redes de Computadores - aula 1

Ameaças e Contramedidas de Host

FUNDAÇÃO DE ESTUDOS SOCIAIS DO PARANÁ INSTITUTO DE CIÊNCIAS SOCIAIS DO PARANÁ CURSO DE BACHARELADO EM SISTEMAS DE INFORMAÇÃO DNS (DOMAIN NAME SYSTEM)

Firewall. Alunos: Hélio Cândido Andersson Sales

Criando um monitor de tráfego de baixo custo para redes de alta velocidade

NETWORK ADDRESS TRANSLATION

REDES DE COMPUTADORES

DDoS: como funciona um ataque distribuído por negação de serviço

Redes de Computadores II INF-3A

DarkStat para BrazilFW

Redes de Computadores

Adriano Reine Bueno Rafael Barros Silva

Aula 08. Firewall. Prof. Roitier Campos Gonçalves

Firewall em estado ativo utilizando open-source software

Na Figura a seguir apresento um exemplo de uma "mini-tabela" de roteamento:

Nesse artigo abordaremos os principais aspectos de instalação e uso do NTOP no Fedora Core 4.

Gerência de Redes. Introdução.

Endereço de Rede. Comumente conhecido como endereço IP Composto de 32 bits comumente divididos em 4 bytes e exibidos em formato decimal

Sniffers de Rede e Kismet

Transcrição:

Tiago Jun Nakamura Analista de Desenvolvimento São Paulo, SP 13 de maio de 2015

Introdução ao uso de Flows e sua utilidade na gerência de redes

Introdução ao uso de Flows O que é Flow? Para que serve? Quando é útil? Como eu utilizo? Conclusões

O que é Flow?

O que é Flow? Flow: do inglês, significa fluxo E o que é fluxo? Fluxo de pessoas Fluxo de caixa Fluxo magnético Fluxo de dados

O que é Flow? Fluxo indica uma taxa de entrada/saída de um determinado objeto dentro de uma referência fixa Em redes de computadores: sequência unidirecional ou bidirecional de pacotes com características em comuns entre uma origem e um destino

O que é Flow? Exemplo de Flow: Pacotes 192.168.0.100 192.168.0.101 flow: 1 origem:192.168.0.100 destino:192.168.0.101

Para que serve?

Para que serve? Necessidade de mais informações sobre o uso da rede Análises tradicionais de rede, como MRTG/cacti informam apenas o total de tráfego utilizado

Para que serve? Necessidade de um mecanismo eficiente de coleta de dados Análise pacote a pacote como no tcpdump se torna inviável em grande escala

Para que serve? Nesse sentido o que queremos é um meio termo Ao invés de guardar pacote a pacote, agrupar esses pacotes por características semelhantes Origem e destino Porta de origem e destino Protocolo de camada de transporte

O que é Flow? Exemplo de Flow: Pacotes TCP 192.168.0.100 192.168.0.101 flow: 1 origem:192.168.0.100 destino:192.168.0.101 protocolo: tcp

O que é Flow? Exemplo de Flow: Pacotes TCP 192.168.0.100 192.168.0.101 Pacotes TCP flow: 1 origem:192.168.0.100 destino:192.168.0.101 flow: 2 origem:192.168.0.101 destino:192.168.0.100 protocolo: tcp protocolo: tcp

O que é Flow? Exemplo de Flow: Pacotes TCP 192.168.0.100 192.168.0.101 Pacotes UDP flow: 1 origem:192.168.0.100 destino:192.168.0.101 flow: 2 origem:192.168.0.100 destino:192.168.0.101 protocolo: tcp protocolo: udp

Quando é útil?

Quando é útil? Engenharia de tráfego Top Talkers Monitoramento de redes ocultas Lista de IPs maliciosos Análise de dados históricos Violações de política de uso

Engenharia de tráfego Quero entender como minha rede se comporta para dimensionar corretamente as estruturas Vale a pena participar do PTT? Quanto de tráfego meus clientes trocam com redes sociais ou torrent? Quanto de tráfego da minha rede é via IPv6?

Top Talkers Quem são os usuários mais ativos dentro da minha rede e quais recebem maior atividade Pode detectar anomalias na rede Ataques de negação de serviço Tentativas de intrusão Proxy mal configurado DNS recursivo aberto

Monitoramento de redes ocultas Monitorar equipamentos com IPs não divulgados e que não deveriam ser acessados por qualquer um Acessos a esse equipamento podem indicar ataques de varredura Verificar atividade das máquinas suspeitas

Lista de IPs maliciosos Verificar se algum equipamento está se comunicando com IPs conhecidos maliciosos Se um equipamento acessa um IP de um controlador de botnet conhecida, possivelmente o equipamento está comprometido

Análise de dados históricos Uma das funcionalidades mais importantes Caso ocorra algum incidente, é possível olhar os dados passados e analisá-los para tentar descobrir o que ocorreu naquele momento

Violações de política de uso Caso a empresa possua uma política de uso, os flows podem ajudar a identificar os usuários que estão violando as políticas de uso Torrent Sites inapropriados Realização de ataques

Como eu utilizo?

Tipos de Flow Tipos de Flow NetFlow IPFIX sflow

NetFlow Padrão proposto pela Cisco Exportado via UDP Possui diversas versões em uso (cuidado)

NetFlow Flow é criado quando se recebe um pacote diferente dos flows já existentes Expira quando Inativo por mais de 15 segundos Duração acima de 30 minutos Conexão encerrada Tabela de Flows cheia

NetFlow Versões V1: obsoleto V5: mais comum, sem suporte a IPv6 V9: permite agrupamento de flows V10: IPFIX

sflow Quando o fluxo de informações é muito alto, não é viável analisar todos os pacotes sflow trabalha com amostragem (sampling) Temporal Aleatória Funcionamento parecido com NetFlow

Equipamentos necessários Exportador de flows Equipamento que analisa os pacotes, gera os flows e os envia ao coletor Coletor de flows Recebe os flows do exportador, armazena e pré-processa os dados Analisador de flows Analisa os dados armazenados no coletor de flows

Equipamentos necessários fonte: http://en.wikipedia.org/wiki/file:netflow_architecture_2012.png

Ferramentas nfdump (coletor e analisador de dados de flow) nfsen (frontend para dados coletados via nfdump) ntop (monitora NetFlow através do nprobe) softflowd (exportador de flows para Linux)

Conclusões

Conclusões Flows são importantes para engenharia de tráfego e segurança da rede Grande auxílio para montar o baseline Requer certo conhecimento de análise, pois elas são diferentes para cada tipo de rede Cuidado com os falsos positivos

Obrigado(a) www.nic.br nakamura@nic.br @ComuNICbr facebook.com/nic.br São Paulo, SP 13 de maio de 2015

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback