ICT Network News | Rozhovor s CEO Matejem Pavelkou na téma: Monitoring sítí pro ISP

ICT Network News | Rozhovor s CEO Matejem Pavelkou na téma: Monitoring sítí pro ISP

V čem je síla monitoringu sítě pro ISP?

Dnes už prakticky neexistuje ISP, který by nesbíral telemetrii svých CORE zařízení. Zabbix s 85% podílem na trhu je nejčastějším nástrojem, ve kterém technici sledují zátěž routeru, využití šířky pásem u switchů nebo sílu signálu u rádiových spojů. Když bychom k tomu přidali latenci a základní monitoring u tisícovek koncových zařízení v domácnostech, tak lze říct, že čeští ISP dnes mají k dispozici užitečný přehled o síti, když všechno funguje, jak má.

Udělejte revoluci ve své analýze Netflow s FLOWCUTTERem

Objevte skryté jevy ve svých velkých datech a ovládněte prostředí Grafany. Vyzkoušejte demo a přihlaste se k odběru našeho newsletteru pro nejnovější aktualizace v oblasti netflow a detekce anomálií.
FLOWCUTTER
NÁSTROJ „K OBRAZU SVÉMU“
Data Security Management | Síť nelže

Data Security Management | Síť nelže

Při řízení bezpečnosti informací je důležité mít zajištěnou dostupnost, důvěrnost a integritu dat včetně provozních. Poznáme zdrojpravdy, na který se můžete spolehnout, když ostatní bezpečnostní a forenzní data jsou kompromitována (nebo je jejich pořízenía zpracování příliš nákladné a složité). Projdeme jednotlivé kroky zajímavého bezpečnostního incidentu, jak se projevily v síťovýchlozích, jaký dodatečný kontext k útoku je možné zjistit ze síťové vrstvy, s jakou jistotou je dokážeme detekovat a jakým způsobemje možné problém zmírnit, nebo mu dokonce předejít. V závěru článku se zamyslíme nad tím, zda není bezpečnost malýcha středních podniků podceňována a zda by spolupráce s poskytovateli internetových služeb (ISP) nemohla přinést novémožnosti pro zvýšení kybernetické bezpečnosti.

Udělejte revoluci ve své analýze Netflow s FLOWCUTTERem

Objevte skryté jevy ve svých velkých datech a ovládněte prostředí Grafany. Vyzkoušejte demo a přihlaste se k odběru našeho newsletteru pro nejnovější aktualizace v oblasti netflow a detekce anomálií.
FLOWCUTTER
NÁSTROJ „K OBRAZU SVÉMU“

Root.cz | Výhody Flow hned vedle SNMP

Root.cz | Výhody Flow hned vedle SNMP

V konkrétní velké firmě zaznamenali podivné problémy s latencemi, které trvaly vždy přibližně 10 minut a opakovaly se každou hodinu a půl. Kontaktovali proto svého poskytovatele, který se snažil zjistit, co je špatně. Používal k tomu Zabbix, MikroTik Winbox a Smokeping. Na konci dne stejně nebyli schopni problém objevit, ani zjistit jeho příčinu. Problém se ale opakoval, až nakonec zákazník změnil poskytovatele.

Udělejte revoluci ve své analýze Netflow s FLOWCUTTERem

Objevte skryté jevy ve svých velkých datech a ovládněte prostředí Grafany. Vyzkoušejte demo a přihlaste se k odběru našeho newsletteru pro nejnovější aktualizace v oblasti netflow a detekce anomálií.
FLOWCUTTER
NÁSTROJ „K OBRAZU SVÉMU“
Jak neodhalený DDoS odpojil město od internetu

Jak neodhalený DDoS odpojil město od internetu

Title

Jak neodhalený DDoS odpojil město od internetu

Situace

Správce sítě byl upozorněn na to, že jeden konkrétní rádiový uplink se uprostřed dne začal saturovat. Tento síťový segment pokrýval odlehlé město. V důsledku toho všechny domácnosti i instituce v této oblasti zažívaly vážné problémy s připojením.

Výzva

Data ze SNMP ukazovala pravidelné přetížení uplinku, ale navenek nebylo zřejmé, co se děje. ISP za tímto uplinkem neměl detailní informace o jednotlivých zákaznících, takže správce sítě nemohl zjistit, zda je za nadměrný upload zodpovědný jeden konkrétní koncový bod.

Co delat?

Řešení

Správce sítě provedl analýzu anomálie pomocí netflow dat – telemetrie síťového provozu.

  • ISP měl export netflow dat na perimetru.
  • Netflow byla ukládána do centrálního kolektoru se softwarem FLOWCUTTER.
  • FLOWCUTTER umožňuje každému správci rychlou analýzu netflow i dalších datových zdrojů.
  • Navíc FLOWCUTTER umožňuje „out-of-the-box“ detekci různých objemových DDoS útoků.

To pomohlo odhalit charakter útoku a získat informace potřebné k jeho efektivnímu potlačení.

Výsledek

Analýza provozu ve FLOWCUTTERu ukázala povahu anomálie. Zobrazením Top N zdrojových portů podle počtu toků správce správně identifikoval, že na přetížení uplinku se nejvíce podílely odpovědi na DNS dotazy. Příchozí DNS pakety byly v celkovém provozu skryté, ale odchozí DNS odpovědi byly jasně viditelné.


Zaměření se pouze na DNS odpovědi (filtrování src.port=53) umožnilo jednoduchou operaci, která trvala jen 2 sekundy. Právě v tom FLOWCUTTER výrazně převyšuje konkurenci.

Dalším krokem bylo porovnání provozu před anomálií a během ní. Ukázalo se, že obvykle bylo aktivních kolem 1 000 komunikujících IP párů, ale najednou jich bylo 23 000 – odpovídající distribuované povaze útoku.


I když správce nemohl určit konkrétního koncového zákazníka (protože za každou veřejnou IPv4 adresou bylo více uživatelů), rozpoznal reflexivní DDoS útok využívající DNS.

Analýza navíc odhalila informace (kombinace zdrojového/cílového portu = 53/24335), které mohl využít k mitigaci útoku pomocí BGP FlowSpec (RFC 5575). FlowSpec funguje podobně jako BGP Remotely Triggered Black Hole, ale poskytuje jemnější kontrolu (porty, délka paketů, TCP příznaky, ICMP kódy, …) a umožňuje řízení těchto toků.



Zdroje

  • Analýza netflow v Grafaně

  • Skenování otevřených portů

  • SNMP vs. toková telemetrie

Závěr

ISP detekoval saturaci uplinku.

  1. V netflow datech správce identifikoval příčinu – odchozí reflexivní DDoS útok přes DNS.
  2. Útok úspěšně mitigoval pomocí BGP FlowSpec.

Do budoucna ISP využije schopnosti FLOWCUTTERu pro monitorování a upozornění na provozní anomálie – správce může snadno nastavit detekci různých DDoS útoků a být příště varován ještě rychleji.



    Zkušenost zákazníka

    „V jedné podsíti si zákazníci stěžovali na opakované výpadky. Rádiové připojení bylo přetížené.

    Díky FLOWCUTTERu jsem zjistil, že jeden zákazník otevřel DNS veřejnosti, což vedlo k přetížení uplinku a ovlivnilo ostatní v podsíti. Po mitigaci jsem nastavil upozornění na nežádoucí otevřené porty.“

    Roman Beneš

    DobruškaNet

    Jak ISP splnil národní požadavky na uchovávání dat s nízkými náklady.

    Jak ISP splnil národní požadavky na uchovávání dat s nízkými náklady.

    Název

    Co pomohlo poskytovateli internetu splnit zákonnou povinnost uchovávání dat s nízkými náklady v rámci složité sítě o více než 130 lokalitách s NAT překladem.

    Situace

    Většina zemí ukládá poskytovatelům internetového připojení povinnost shromažďovat forenzní data o tom, kdo s kým komunikuje. V praxi to obvykle znamená ukládání netflow dat. Povinná doba uchovávání dat se podle země pohybuje od 6 měsíců až po 5 let.


    Jaké výzvy musí operátor překonat, aby splnil národní požadavky?

    Výzva

    Existuje několik problémů, se kterými se potýkal i tento operátor:

    • Aby bylo možné určit konkrétního zákazníka, který danou komunikaci inicioval, musí operátor zohlednit NAT překlad – za jednou veřejnou IP adresou může být mnoho lokálních.
    • Architektura sítě se u operátorů velmi liší – někteří mají rozsáhlé a různorodé sítě. V tomto případě šlo o více než 130 samostatných lokalit, z nichž každá měla vlastní NAT router.
    • Používané routery pocházely od různých výrobců a měly různé verze firmwaru.
    • Objem provozu: u menších ISP se jedná přibližně o 10 000 IP párů za sekundu, u větších až o 1 milion toků za sekundu.
    • Ukládání takového množství netflow dat je velmi náročné.

    Řešení

    Aby ISP splnil povinnost uchovávání dat, zavedl následující řešení:

    • Operátor nastavil export netflow (z interního provozu) ze 130+ routerů.
    • Navíc byly na perimetru nasazeny sondy FLOWCUTTER pro monitorování veřejného provozu.
    • Netflow data byly průběžně odesílány do centrálního sběrače s nainstalovaným softwarem FLOWCUTTER.
    • FLOWCUTTER podporuje všechny příchozí formáty provozních toků: NF5/8/IPFIX.



      Výsledek

      Projekt byl úspěšně dokončen a splnil všechna očekávání. Díky správnému dimenzování má ISP zajištěné kapacity pro uchovávání dat na období dalších 3 až 5 let.

      Ve srovnání s konkurenčními řešeními vedlo nasazení FLOWCUTTERu ke snížení celkových nákladů o 75 %, a to díky jeho flexibilitě a široké kompatibilitě – operátor mohl využít vlastní infrastrukturu a nemusel pořizovat nové kompletní řešení od základu.



        Zdroje

        • Síťové sondy

        • Formáty toků a kompatibilita

        • Hardwarové zařízení

        • Kompresní poměr toků

        Závěr

        Projekt byl úspěšně dokončen, očekávání byla splněna.

        Navíc se podařilo snížit celkovou cenu o 75 %.