| 0:00:15 | a já bych hnedka navázal představení pro koho pracuji chtěl bych vám představit se organizaci |
|---|
| 0:00:21 | cesnet která vlasně je poskytovatelem konektivity pro akademickou sféru české republice to znamená pro vysoké |
|---|
| 0:00:29 | školy nemocnice státní správu některou státní správu teda |
|---|
| 0:00:34 | akademii věta a podobné instituce |
|---|
| 0:00:36 | a |
|---|
| 0:00:37 | prostory vykládám je to že ta síť je poměrně komplexní jak vidíte tady zhruba na |
|---|
| 0:00:43 | plánku |
|---|
| 0:00:44 | který je užší tak jako tak zastaralý to znamená tím jak tam bude ještě víc |
|---|
| 0:00:48 | a ty rychlosti které jsou tam uvedeny budou ještě daleko vyšší to znamená dnešní době |
|---|
| 0:00:52 | už se budem pohybovat někdy kolem sto gigabytů když budu hovořit o některých propojí třeba |
|---|
| 0:00:57 | v rámci praha brno a podobné věci |
|---|
| 0:01:00 | vidíme i tady externí konektivitu k zahraničním je dingovým uzlům na dalším vlastně podobným organizacím |
|---|
| 0:01:08 | jako je cesnet |
|---|
| 0:01:10 | to a vlastně proč potřebujeme měřit síťové taky je ve je to že s tou |
|---|
| 0:01:16 | komplexní infrastrukturou g provozujeme a komplexním provozem který na této infrastruktuře provozujeme protože samozřejmě ta |
|---|
| 0:01:24 | sítě dedikovaná nějakému výzkumu |
|---|
| 0:01:27 | je tam potřeba řešit s kdyby nějaké rastrové počítání úložiště a podobné věci a tohle |
|---|
| 0:01:35 | sou všechno služby které musí být dostupné dvacet čtyři hodin denně |
|---|
| 0:01:40 | a tedy je potřeba prosím nějakým způsobem monitorovat takže to je jakýsi mít můj background |
|---|
| 0:01:46 | zcela a nyní bych chtěl push přejít k tomu samotnému monitorování nejprve bych tedy eště |
|---|
| 0:01:54 | si předhodil tak nějak motivaci proč potřebujeme monitorovat obecně |
|---|
| 0:02:00 | protože bez měření vlastně desíti nevíme co se na vesnici děje jak se to tam |
|---|
| 0:02:05 | děje co to způsobuje a kde se to že když dám příklad nejhorší asi noční |
|---|
| 0:02:10 | můrou nějakého administrátora je že nějaká babička prostě překlepneš poli kabel a potom je jaksi |
|---|
| 0:02:18 | bezradný a nemůže poskytovat |
|---|
| 0:02:20 | to připojení svým uživatelům kteří samozřejmě sou taky jako dost bezradní a útočí na toho |
|---|
| 0:02:25 | administrátora |
|---|
| 0:02:27 | to znamená |
|---|
| 0:02:28 | on potřebuje vědět že se něco stalo pak nejenom že by lepí sorry no internet |
|---|
| 0:02:34 | tudle ale nebude vědět i jak to vyřešit |
|---|
| 0:02:38 | to znamená |
|---|
| 0:02:39 | jí kde se to stalo uvidí třeba nějaký právě díky tomu měření uvidí nějaký výpadek |
|---|
| 0:02:46 | v nějaké časové řadě a bude vědět že tohle třeba je na nějaké konkrétní lince |
|---|
| 0:02:51 | a tím pádem že tam není konektivita no a samozřejmě bude vědět kde se to |
|---|
| 0:02:55 | děje to znamená neskončí tak což se opravdu děje |
|---|
| 0:02:59 | že dne dnes ti administrátoři ve stavu měření musí chodit do té serverovny a postupně |
|---|
| 0:03:05 | tam takle vytahovat kabely aby zjistili že například nějaký server tam generuje obrovské množství nějakého |
|---|
| 0:03:13 | balastu nějakého provozu ladiným zahltilo vlastně celou síť jo tak oni potom vytáhnu konečně ten |
|---|
| 0:03:18 | kabel |
|---|
| 0:03:19 | os toho serveru a zjistí jo dobrý tak teďka už je to dobrý a může |
|---|
| 0:03:22 | mít dál takže tohle je důvod proč vlastně dělat to měření toků |
|---|
| 0:03:27 | jo tak sumarizuje i měření toků poskytuje informace pro správu sítě a síťových služeb které |
|---|
| 0:03:34 | běží na té síti dohledávání problémů a incidentu znamená když je tam nějaký u to |
|---|
| 0:03:39 | tak se na ni potom posléze můžu podívat jak probíhal co mi to způsobilo koho |
|---|
| 0:03:43 | dalšího to ovlivnilo |
|---|
| 0:03:44 | plánování rozšíření té sítě znamená vidím že mi dochází nějaká kapacita té linky tak si |
|---|
| 0:03:50 | na plánu nějaké rozšíření optimalizace například směrování to znamená když mám nějaké dohody s různými |
|---|
| 0:03:58 | další mysim těmi a jedna sim tě pro mě levnější než druhá tak většinou provozu |
|---|
| 0:04:02 | se tam budu snažit před auto what |
|---|
| 0:04:04 | samozřejmě do té doby dokud to půjde |
|---|
| 0:04:07 | a co to samotné měření toku obnáší je že musíme z agregovaně jaké informace ze |
|---|
| 0:04:12 | záhlaví několika paketů |
|---|
| 0:04:15 | jednoho toku to znamená máme nějakou množinu paketů ten ta tvoří to já zakrňuju informaci |
|---|
| 0:04:21 | ze záhlaví a to mi potom dává záznam o tom toku |
|---|
| 0:04:25 | a ty záznamy se snažím uchovávat pro pozdější právě řešený incidentu a zároveň se je |
|---|
| 0:04:30 | snažím nějakým způsobem analyzovat |
|---|
| 0:04:34 | abych třeba předcházel tím problému nebo je zjistil včas |
|---|
| 0:04:38 | tato zaměření tento prezentace nebo vlastně celého toho open a mě přišlo že teda vlastně |
|---|
| 0:04:46 | této sekce je bezpečnost a soukromý takže jsem si sem nadhodil je takový slajd potom |
|---|
| 0:04:52 | soukromý takže mohli byste říct že jako narušuje to soukromý |
|---|
| 0:04:56 | asi bych sám je částečně souhlasil ale jenom |
|---|
| 0:04:59 | nuceně |
|---|
| 0:05:00 | tak aby ten administrátor měl možnost řešit i problémy cena té sítě vyskytují to znamená |
|---|
| 0:05:05 | je tam nějaký řekněme s princip proporci elity |
|---|
| 0:05:11 | když to přirovnám například poště to znamená máme tedy nějaké obálky tak pokud měříme toky |
|---|
| 0:05:17 | tak se díváme pouze na adresu třeba příjemce adresou dle odesilatele |
|---|
| 0:05:21 | a nedíváme se do obsahu |
|---|
| 0:05:23 | naproti tomu kdybych potom provozoval nějakou neměl to měření toku a musel tam zkus nějaký |
|---|
| 0:05:29 | tcp dám |
|---|
| 0:05:30 | tak zásadně ten administrátor se potom může dívat i do toho samotného obsahu a tu |
|---|
| 0:05:35 | obal může defakto otevřít takže dá se říci že to měření toků je s tohodle |
|---|
| 0:05:40 | pohledu zachovávání soukromý daleko přívětivý všimneš jakékoliv jiné metody |
|---|
| 0:05:45 | nyní bych přešel a konkrétně co to přesně znamená to měření síťového toku |
|---|
| 0:05:51 | představme si že máme |
|---|
| 0:05:53 | dvě oddělené sítě aha |
|---|
| 0:05:55 | tu linku mezi těmi sítěmi já mohu monitorovat nějakou sondou nebo tam mám router který |
|---|
| 0:06:00 | je schopen změřit toky |
|---|
| 0:06:02 | tak jak takový to vypadá |
|---|
| 0:06:03 | znamená máme nějaký počítač |
|---|
| 0:06:06 | který se který vygeneruje za tu dobu požadavek na nějaký dobových server vzdálený |
|---|
| 0:06:12 | aha |
|---|
| 0:06:13 | ty pakety toho požadavku tečou přes tu linku kterou já monitoruj |
|---|
| 0:06:18 | to znamená já si vezmu |
|---|
| 0:06:19 | potom zdrojovou víte adresu a cílovou víte adresu těch paketů zdrojové porty a cílové porty |
|---|
| 0:06:24 | těch paketů a čísla protokolu |
|---|
| 0:06:27 | uvidíme tady |
|---|
| 0:06:30 | a |
|---|
| 0:06:30 | k těmto k tomuto identifikátoru složenému |
|---|
| 0:06:34 | potom měří |
|---|
| 0:06:35 | a kolik paketů se přeneslo kolik bajtů kdy ten tom začal když skončil jaké tam |
|---|
| 0:06:42 | byli v průběhu to nastavené tcp příznaky a podobné statistiky |
|---|
| 0:06:46 | to samé potom foukačem směru to znamená |
|---|
| 0:06:50 | ten webový server nějakým způsobem odpovídá to generuje pakety a já se snažím z agregovat |
|---|
| 0:06:55 | tu informaci o těch paketech zase kolik jich bylo vtom opačném směru jaké příznaky byly |
|---|
| 0:07:00 | nastaveny |
|---|
| 0:07:03 | ta samotná architektura potom předpokládá že to měření síťových toku je potřeba dělat na různých |
|---|
| 0:07:08 | místech té síti |
|---|
| 0:07:10 | to znamená těch síťových sond tam může být obecním no to známe jakýsi máme nějaký |
|---|
| 0:07:15 | síťový provoz |
|---|
| 0:07:16 | a je síťový provoz může být mě že měřena když třeba datovém centru nebo na |
|---|
| 0:07:21 | nějakém místě v lokální síti nebo při připojení té lokální sítě do plán sítě znamená |
|---|
| 0:07:30 | těch sto může být no a ty sondy potom vlastně sbírají ten síťový provoz |
|---|
| 0:07:36 | agregují ho generují ty záznamy o těch tocích jak ste viděli na předchozím slajdu a |
|---|
| 0:07:41 | exportují je na nějaké centrální místo kterému říkáme kolektor |
|---|
| 0:07:46 | ten export se děje pomocí nějakých standardizovaných protokolů a kdo že to net flow nebo |
|---|
| 0:07:51 | ip fix |
|---|
| 0:07:53 | no a potom na tom kolektoru se ta data uchovávají |
|---|
| 0:07:57 | a zároveň je vlastně nějakým způsobem analyzují |
|---|
| 0:08:01 | administrátor potom se na ta data může dotazovat to znamená dole dávat co se tam |
|---|
| 0:08:06 | stalo nebo si může před připravit nějaké reporty a |
|---|
| 0:08:10 | je pravidelně informovat o tom co se tam děje |
|---|
| 0:08:13 | a zároveň ta může probíhat nějaká behaviorální analýza toho provozu to znamená na základě těch |
|---|
| 0:08:19 | statistik jsme schopni odhalit třeba že někdo skenuje tu síť znamená mohou tomu administrátorovi mít |
|---|
| 0:08:25 | reportování incidenty o tom že tam probíhal třeba nějakým to |
|---|
| 0:08:30 | typicky potom ten administrátor když třeba něco tohle dává tak tam má nějakou takovou časovou |
|---|
| 0:08:35 | řadu jak tam vidíte na té vizualizaci a potom pokud jsem tam třeba zdá že |
|---|
| 0:08:40 | tam nějaká špička nebo naopak tam něco chybí tak si na to může kliknout zaměřit |
|---|
| 0:08:46 | se na to dané časové období |
|---|
| 0:08:48 | a právě se dotazovat hlouběji a hlouběji do těch |
|---|
| 0:08:51 | záznam |
|---|
| 0:08:56 | pak ještě bych se krát se vrátila k protokolům které se používají pro export těch |
|---|
| 0:09:01 | záznamů s těch sond to znamená nejčastěji máme nasazeny ne flow ve pět netlu ve |
|---|
| 0:09:06 | devět a ip fixed přestože tedy existuje ještě i na jiné verze protokolů |
|---|
| 0:09:12 | heslo tady už vůbec nezmiňuji |
|---|
| 0:09:14 | poďme se podívat do historie metlou vlasně nevzniklo nebo samotný ten export ty záznamu nevznikl |
|---|
| 0:09:21 | takže by tady byl byla potřeba sledovat tu síť ale vznikl takže firma cit skoro |
|---|
| 0:09:28 | vlastně ve svých směrovačích urychloval a směrování ták |
|---|
| 0:09:33 | že |
|---|
| 0:09:34 | když přišel první paket daného toku tak pro ní založila pravidlo v nějaké takzvané flow |
|---|
| 0:09:39 | keši znamená vona měla ty identifikátory akty majden strká true mu řekla směruj veškerý provoz |
|---|
| 0:09:47 | který odpovídá těmto identifikátoru na interfejs pět prostě jo a díky tomu uši další pakety |
|---|
| 0:09:53 | toho daného toku bylo velmi jednoduché směrovat push nemuseli je skrz nějakou směrovací tabulku ale |
|---|
| 0:09:59 | vlastně to je už jenom takové běžné přeposílaní |
|---|
| 0:10:02 | a takže pak zjistili ale že vlastně kdyby si exportovat i záznamy ste směrovací tabulky |
|---|
| 0:10:09 | tak by mohli dělat tak by to mohli různě využívat máte nějakou vypovídací hodnotu má |
|---|
| 0:10:14 | tím pádem oni si řekli tak jo tak tady uděláme nějaký ne flow protokol a |
|---|
| 0:10:18 | budem ty pakety teda ty záznamy |
|---|
| 0:10:22 | o těch tocích exportovat na nějaký ten kolektor |
|---|
| 0:10:25 | znamená tolik co se týče historie historicky tedy nejpopulárnější já prosím nejjednodušší pro protokoly ne |
|---|
| 0:10:33 | flow ve pět dá se velmi jednoduše zpracovávat je to vlasně ty sondy chrlí udp |
|---|
| 0:10:39 | pakety rámci toho udp paketu vlasy máme nějakou ne flow hlavičku tam vidíte vpravo |
|---|
| 0:10:45 | která akorát říká nějakou timestamp ú a kolik tam máme záznamů mapa kuš vlastně sou |
|---|
| 0:10:53 | tam samotné záznamy za naskládány za sebou a ty záznamy jsou velmi jednoduché to znamená |
|---|
| 0:10:58 | jsou fixní mají fixní strukturu zdrojového a obsahují zdrojovou cílovou víte adresu počet paketů bajtů |
|---|
| 0:11:07 | kdekoli bylo přeneseno přes ten to začátek toho toku konec toho toků |
|---|
| 0:11:11 | a |
|---|
| 0:11:12 | to zbytek si můžete přečíst takže velmi jednoduché no ale zjistilo se že to uplně |
|---|
| 0:11:16 | nestačí protože |
|---|
| 0:11:17 | třeba při dip ve šest a najednou push místo identifikátoru víte ve čtyři adresa mám |
|---|
| 0:11:23 | vidíte ve šest adresa která je sto dvacet jestli by to vás zná už nemůžu |
|---|
| 0:11:26 | mít nějakej fixní záznam |
|---|
| 0:11:29 | takže nastoupil netlu ve verze devět a ip fit a tyto protokoly uši umožňují si |
|---|
| 0:11:36 | ty záznamy definovat nějakou šablonu |
|---|
| 0:11:38 | to znamená na té soudě |
|---|
| 0:11:40 | vznikají šablony pro vo různé typy toků |
|---|
| 0:11:44 | a takže pro udp to budu mít jinýho šablon š pro tcp to projít ve |
|---|
| 0:11:49 | čtyři to budu nic jinou šablonu nešpor některé šest to a samozřejmě kombinace s na |
|---|
| 0:11:54 | tebe štyři tcp udp ve šestý si ty líbí a podobné věci |
|---|
| 0:11:58 | no |
|---|
| 0:11:58 | a tyto šablony se pravidelně posílají protože víme že software neběží většinou pořád a občas |
|---|
| 0:12:04 | pane to znamená jednou za čas je potřeba třeba takhle to restartovat tak aby měla |
|---|
| 0:12:09 | aktuální šablony tak se tam pravidelně posílají |
|---|
| 0:12:13 | je praha je může se tam definovat ve velkém množství šablonu vlastně v rámci těchto |
|---|
| 0:12:18 | protokolů aby záznamy když přídou na ten kolektor tak se vlastně odkážu na tu šablonu |
|---|
| 0:12:24 | a ten kolektor tím pádem ví co ten záznam obsahuje |
|---|
| 0:12:30 | tak a teďka už bych přešel k té části a k čemu to teda je |
|---|
| 0:12:35 | to znamená máme v rámci sítě různé vlasy dedikované části té sítě to znamená méně |
|---|
| 0:12:42 | jaké datové centrum |
|---|
| 0:12:44 | tam si budu snažit se hlídat že mi běží ty služby dětem službu službám se |
|---|
| 0:12:49 | nepřipojí velké množství třeba uživatelů |
|---|
| 0:12:52 | že na ně nikdo neútočí že ty služby odpovídají že odpovídají v rámci nějakého stanoveného |
|---|
| 0:12:58 | intervalu to znamená že tam je nějaká příliš velká latence |
|---|
| 0:13:02 | jo můžu se to dávat do toho na mého kolektoru zároveň pokuď provozuje nějakou kampus |
|---|
| 0:13:07 | síť tak se tam budu snažit ochránit nějaké ty nějakým způsobem ty uživatele a zároveň |
|---|
| 0:13:11 | třeba abych se nestal i samotným zdrojem toho útoku to znamená tam budu míň nějaké |
|---|
| 0:13:16 | sqrt flow strana záznamy které budu používat pro o bezpečnost |
|---|
| 0:13:22 | v rámci nějaké v rámci isp nejenom že to budu používat proto abych třeba optimalizovala |
|---|
| 0:13:28 | to konektivitu ale mohu to používat opět v dnešní době pro bezpečnost a to je |
|---|
| 0:13:33 | například pro ochranu před velkými jednalo se bys útoky budu tady mít jo true nějakou |
|---|
| 0:13:38 | video ukázku pro jsem si připravil |
|---|
| 0:13:41 | no a to využití je poměrně široké já jsem se to tady snažil sumarizovat |
|---|
| 0:13:46 | na nějakém slajdu určitě to není všechno ale poďme bot podvodu to projít a pak |
|---|
| 0:13:51 | vypíchnou ještě na jedno využití které tady mám |
|---|
| 0:13:55 | takže znalost provozována síti a co se stane když to znamená řekněme že já jsem |
|---|
| 0:14:01 | administrátor a zdá se mi že nějaká ní padesá zlobí a co se stane když |
|---|
| 0:14:06 | i oříznu |
|---|
| 0:14:07 | tak vlastně |
|---|
| 0:14:09 | pokuď vlastně nemám to net flow tak já nevím co za služby třeba ta dívka |
|---|
| 0:14:13 | adresa poskytoval poskytovala to znamená když nemám tu síť kompletně pod kontrolou |
|---|
| 0:14:19 | jo a nevím co se tam děje |
|---|
| 0:14:21 | tady prostě zakázat bučí nemůžu protože bych tím ostřihnout celý nějaké jako kritické služby |
|---|
| 0:14:28 | a nebo když to necloumám tak vím že které služby minimálně odstřihli |
|---|
| 0:14:33 | sledování analýzy aplikací to znamená že mi ta aplikace běží že odpovídá nějaký dodaný zadaný |
|---|
| 0:14:42 | interval a podobné věci že na ni nikdo neútočí |
|---|
| 0:14:45 | zvýšení bezpečnosti sítě detekce vnitřních a vnějších dokud znamená budu se jenom snažit ochránit tu |
|---|
| 0:14:52 | síť před vnějšími útoky ale i budu se snažit dnes tace útokem například skenerem protože |
|---|
| 0:14:58 | v okamžiku kdy se moje síť stane jenom jeden klient začne splňovat tak kde je |
|---|
| 0:15:04 | dost možné |
|---|
| 0:15:05 | že vlastně vtom gray listů vtom black listu který se potom používá pro o vlastně |
|---|
| 0:15:11 | nějaký s dns black listy pro sraní s spam ulicích |
|---|
| 0:15:19 | si tejden tu tak vlastně se objeví celá ta moje podsít a nikdo už si |
|---|
| 0:15:24 | ode mě ten ímejl nepošle |
|---|
| 0:15:26 | a samozřejmě odhalení nesprávný konfigurací to znamená |
|---|
| 0:15:30 | jo že na tom routeru mám to routování správně nastaveno že jeden interfejs není vytěžovat |
|---|
| 0:15:35 | víc než druhý dohledávání incidentů |
|---|
| 0:15:40 | můžem se potom podívat na temuto dlouhodobé sledování informací o přenesených datech třeba pro účtování |
|---|
| 0:15:46 | dodržování zákona dneska komunikaci rozvedu na dalším slajdu účtování fakturace může být kontroly pí ringu |
|---|
| 0:15:54 | to znamená jak jsem říkal třeba mezinárodní provozy pro mě nevšimneš |
|---|
| 0:15:57 | národní a zjistím že ten národní si posílám klidně takle oklikou přesně z mezinárodní linku |
|---|
| 0:16:03 | nějakou co se běžně ně může stát |
|---|
| 0:16:06 | monitorování využití internetu mám jakou poli si ve firmě kdy chci aby ten internet byl |
|---|
| 0:16:12 | nějakým způsobem využívána a jak to mám dodržovat jak to mám vlastně zjistit jestli to |
|---|
| 0:16:16 | tak opravdu ti uživatelé dělají |
|---|
| 0:16:18 | to znamená |
|---|
| 0:16:20 | zde je odpověď |
|---|
| 0:16:22 | měření toku |
|---|
| 0:16:23 | ten zákon elektrické komunikaci to znamená mohli bysme říct že vlastně měření toků je dobrovolné |
|---|
| 0:16:31 | ale v zásadě když si přečtete ten zákon o elektronických komunikacích pak vlasně těma je |
|---|
| 0:16:37 | stykům |
|---|
| 0:16:38 | udává za povinnost protože o nich sou jakoby provozovateli nějaké veřejné komunikační sítě takže mu |
|---|
| 0:16:44 | dává za povinnost ty informace tak jako tak se daňová znamená to měření síťových toků |
|---|
| 0:16:51 | vlastně je přesně odpovídá tady tomu požadavku toho zákona všimněte si že a šest měsíců |
|---|
| 0:16:57 | je potřeba tady toto provozní lokalizační bude udržovat |
|---|
| 0:17:01 | takže vlastně na vážně tu předchozí prezentaci |
|---|
| 0:17:06 | můžete samozřejmě nebo snažte se třeba i šifrovat snažte se snažte se používat s |
|---|
| 0:17:13 | vpn analyzační sítě |
|---|
| 0:17:16 | pokuď nechcete být s vyloženě mít někde záznam že ste šli třeba na nějakou službu |
|---|
| 0:17:24 | tam byl dotaz |
|---|
| 0:17:50 | je to je ta zkratka |
|---|
| 0:17:53 | a |
|---|
| 0:17:55 | co vlasy a pokud potom předem potom ná zákon ok vědecké bezpečnosti a tak tam |
|---|
| 0:18:02 | jsou jmenované potom subjekty které to musí dělat |
|---|
| 0:18:06 | ale souhlasím s tím že z v rámci tady toho pokud to sbírám musím to |
|---|
| 0:18:10 | uchovala pokud ne tak ne ano většinou nějakým způsobem to většinou lidi sbírají co vlastně |
|---|
| 0:18:16 | koza poznám |
|---|
| 0:18:18 | takže video demo které jsem sliboval nejprve si udělá nějaký úvod k tomu demu znamená |
|---|
| 0:18:24 | bude se jednat o dohledání nějakého render neabdikačního toku network file protokol ndnp skládá se |
|---|
| 0:18:32 | z nějakého vlastně |
|---|
| 0:18:34 | ten útok se skládá z nějakého útočníka z nějakých počítačů který má ten útočník pod |
|---|
| 0:18:39 | nějakou zprávu nějakým způsobem je nakazil zběžně veřejně dostupných tebe server u které vlastně nemusí |
|---|
| 0:18:46 | být nakažený prostě jsou tam té síti a existují a souběžně používány legitimně klienti |
|---|
| 0:18:53 | a nějaké oběti na kterou se snažím zaútočit princip je takový že ten útočník typicky |
|---|
| 0:18:58 | kdyby chtěl zaútočit na tu oběť tak má třeba jenom jeden megabitů na dnešní době |
|---|
| 0:19:02 | už ne ale má prostě nějakou omezenou kapacitu svoji linky to znamená a on jen |
|---|
| 0:19:07 | cílem je zahltit tu oběť to znamená jak by asi tak zahltil tím jedný megabit |
|---|
| 0:19:11 | když ta objednat třeba |
|---|
| 0:19:13 | deset megabitů |
|---|
| 0:19:15 | přístupovou linku |
|---|
| 0:19:16 | to znamená on to udělá tak že využije tady ty své sondy který mají stále |
|---|
| 0:19:22 | ještě třeba omezenou kapacitu řekněme jeden nikdy aby zombie vygeneruj o tp dotazy požadavky |
|---|
| 0:19:30 | a smyslem je že ty požadavky jsou velmi malé to znamená tady ta ještě kapacita |
|---|
| 0:19:35 | může být stále omezená |
|---|
| 0:19:37 | naproti tomu ty odpovědi o těch pps průvodčí tomu požadavků můžou být třeba šedesát šest |
|---|
| 0:19:42 | násobně větší no a tím pádem potom když ty požadavky mají podvrženou zdravou víte adresu |
|---|
| 0:19:49 | té oběti |
|---|
| 0:19:49 | tak místo toho aby ten tebe sem bri odpověděli těm co mlíku tak odpoví na |
|---|
| 0:19:54 | tu oběť a tím pádem to by potom když má deset je bitové připojení tak |
|---|
| 0:19:58 | najednou je tam pečeš statistika bitový provoz a přestože by to třeba hardvéru je ten |
|---|
| 0:20:03 | stroj samotnýho zvládal tak ta prostě síťová konektivita tam není |
|---|
| 0:20:09 | takže jak by to mohlo vypadat těch flow datech |
|---|
| 0:20:16 | takže typicky tady vidíme nějakou časovou řadu která mě říká kolik toků se tam v |
|---|
| 0:20:24 | danou dobu vyskytlo |
|---|
| 0:20:25 | a já pustím to |
|---|
| 0:20:28 | prezentaci |
|---|
| 0:20:31 | přepnu si na to abych viděl jenom udp toky to znamená kolik udp toků tam |
|---|
| 0:20:37 | zadanou pěti mě to bylo |
|---|
| 0:20:39 | najdu si tam nějakou špičku tu si označím ukazovátkem |
|---|
| 0:20:43 | a teďka budu do hledávat pro tu danou špičku pro tento nový daný časový interval |
|---|
| 0:20:48 | co se tam vlastně stalo udělám to takže se zaškrtnul nějaký topení statistiky a budu |
|---|
| 0:20:54 | se snažit dohledat která ip adrese zodpovědná za tak velký počet toků který vlastně způsobil |
|---|
| 0:21:00 | tu špičku |
|---|
| 0:21:01 | tady vidíte že to chvíli trvá protože ty záznamu je opravdu hodně a musí se |
|---|
| 0:21:06 | projít ty záznamy |
|---|
| 0:21:08 | a nyní už vidíme těch to deset víte adresu vidíme že jedna tam vyčnívá oproti |
|---|
| 0:21:13 | ostatním a měla tři celé šest mega toků oproti druhém největším která měla pouze šest |
|---|
| 0:21:20 | set tisíc toku |
|---|
| 0:21:21 | to znamená že |
|---|
| 0:21:23 | na tu vypadne sousto šestnáct dvěstě padesát jedna dvě stě sedmnáct něco šlo nejvíce toků |
|---|
| 0:21:30 | a tím pádem se snažím dohledat které toky to byly snad kauzu nezobrazí nějakou agregována |
|---|
| 0:21:36 | informaci o to pět desíti padesát a zobrazím si ty samotné toky |
|---|
| 0:21:42 | no a teďka už vidíme že tady zrovna konkrétně jaká sto čtyřicet sedm co sem |
|---|
| 0:21:47 | sapy něco na portu sto dvacet tři odpovídala právě tím ten té odpovědí jí pere |
|---|
| 0:21:55 | se s to šestnáct dvě stě padesáti lety městě znát ta která je po tvým |
|---|
| 0:21:59 | útokem |
|---|
| 0:22:00 | a takle vidíte že statisticky by to šlo krásně detekovat takže ty toky ty odpovědi |
|---|
| 0:22:05 | jsou prostě naprosto stejné sou to jedno paketové toky které vlastně mají nějaký čtyři sta |
|---|
| 0:22:11 | šedesát osum bajtů a právě na tom je jsou založeny potom nějaké detekčním metody které |
|---|
| 0:22:16 | se snaží vlastně tady takovéhle |
|---|
| 0:22:18 | specifické vzory chování vyhledávat a deportovat se deportovat je tomu administrátorovi |
|---|
| 0:22:32 | takže co se týče software jsou je volně dostupný je open source některým software pro |
|---|
| 0:22:38 | měření toků například graph proud ten flow ve pět sonda lásko měj nízkým výkonem ale |
|---|
| 0:22:43 | můžete si nainstalovat na počítači nejsem to ste viděli právě teďka co jsem použil té |
|---|
| 0:22:49 | populární volně dostupný |
|---|
| 0:22:51 | kolektor teďka by měl být uši na githubu |
|---|
| 0:22:56 | máme ji samozřejmě komerční řešení když začnu tak samozřejmě nejznámější je sice s k o |
|---|
| 0:23:03 | brněnská firma flow a řešení flowmon |
|---|
| 0:23:07 | vieme silnější nějakým způsobem poskytuje může být jako sondou takže ip fix |
|---|
| 0:23:14 | protokoly schopen exportovat o tocích |
|---|
| 0:23:17 | takže máme nějaké řešení |
|---|
| 0:23:20 | nad se snad se vlastně k těmto řešením snaží vlastně do vyvíjet nějaká open source |
|---|
| 0:23:24 | řešení které by umožňovaly sběr těch jakoby nejnovější novinek znamená třeba podporovali ip fix protože |
|---|
| 0:23:32 | to není zcela tak samozřejmé aby ty aktuální |
|---|
| 0:23:36 | aktuální opensource i ale i ty komerční řešení podporovali ty nejnovější protokoly takže se snaží |
|---|
| 0:23:44 | vlastně vidět se řešením je nejen pro sběr ale i pro tu samotnou analýzu |
|---|
| 0:23:49 | když bych představil řekněme tři nástroje které současné době intenzivně vidíme tak je to ip |
|---|
| 0:23:56 | fix k o jak už z názvu napovídá tak je to kolektor i ty k |
|---|
| 0:24:00 | záznamům ale je schopen sbírat jedinec flow je s flow a další protokoly |
|---|
| 0:24:07 | toola nad tím to nástroj na těmi na zdi danými daty nazývaný tady znam potom |
|---|
| 0:24:12 | umožňuje ten kolektor řešit distribuovaně |
|---|
| 0:24:16 | to znamená |
|---|
| 0:24:17 | těch |
|---|
| 0:24:18 | množství těch záznamů za vteřinu třeba co se týče u může být sto tisíc řekněme |
|---|
| 0:24:25 | při běžném provozu a třeba půl milionu za sekundu při nějakém útoku |
|---|
| 0:24:30 | a to je poměrně velké množství záznamů které třeba za den nám dělají celkem objem |
|---|
| 0:24:35 | třeba tři sta gigabajtů dat denně |
|---|
| 0:24:37 | a pokuď potřebám |
|---|
| 0:24:41 | držet nějakou dobu třeba právě proto abysme byli schopní dělení ne dělal nějaký ten incidentem |
|---|
| 0:24:46 | entry |
|---|
| 0:24:48 | tak je potřeba mít si ten kolektor implementovaný distribuovaně znamená to tituly předchozí zatím neumí |
|---|
| 0:24:54 | takže tam se snažíme jakým způsobem přispět nebezpečnosti komunitní bezpečnosti |
|---|
| 0:25:00 | no a dále divím nástroj nemá které která by měla dělat s nějakou bilaterální |
|---|
| 0:25:06 | analýzu ale proudově to znamená to taky není dnešní době obvykle dnešní době to takže |
|---|
| 0:25:11 | nám přijde nějaký nějaké množství záznamu zadaný interval |
|---|
| 0:25:15 | třeba za pětiminutovku je to pětiminutovku vztek další pěti minut ovce teprv zpracovává mé a |
|---|
| 0:25:21 | pak teprv nahlásím že tam byl teda nějakej to |
|---|
| 0:25:24 | a |
|---|
| 0:25:25 | tím pádem vidíme že o té o toho útoku než se stal beneš se něco |
|---|
| 0:25:30 | statek vole může třeba uběhnout klidně deset minut díky různým tady mám tu má zpracování |
|---|
| 0:25:35 | intervalech což by ta proudová analýza měla právě zkrátit |
|---|
| 0:25:40 | tady bych se ještě vrátil k tomu našemu řešení mris dám |
|---|
| 0:25:44 | cože právě nástroj pro distribuované dotazování na s x kolektory defakto samozřejmě jsme uvažovali proč |
|---|
| 0:25:52 | nepoužít tomu nějaký hadů co že dnešní dneska populární přístup platformu která umožňuje defakto máte |
|---|
| 0:26:00 | rigidus operace které sou perfektní pro tuhle úlohu |
|---|
| 0:26:03 | ale v zásadě tom po nějaký test vezme zjistili že ten hadů i když tam |
|---|
| 0:26:06 | máme tady a iksové ose máme množství dat defakto plodina znamená kolik jsme posbírali za |
|---|
| 0:26:12 | hodinu a čas odezvy na nějaký dotaz |
|---|
| 0:26:16 | když tam vlastně vrazíme jenom jednu pětiminutovku a dokážeme se na ní |
|---|
| 0:26:21 | nevdám to je ten klasické co používáme dnes nám vrátí třeba to je do jedné |
|---|
| 0:26:25 | sekundy |
|---|
| 0:26:27 | ta naše problémy zda nám to vrátí do dvou sekund když použijeme hadů tak díky |
|---|
| 0:26:32 | jo ta má obrovskou režii ten díky té režii vlastně ta odezva je poměrně dlouhá |
|---|
| 0:26:37 | na jednoduché dotazy to je samozřejmě prostě fu okamžiku kdy potřebujete dělat a navíc dotazy |
|---|
| 0:26:42 | a nic dohledal naprosto |
|---|
| 0:26:45 | jako nepoužitelné a tím pádem prostě nám to dalo motivaci proč vyvíjet nějaký význam vlastní |
|---|
| 0:26:52 | a řešit to rámci nějaké vlastního výzkumu a vývoje |
|---|
| 0:26:59 | takže závěrem této prezentace by chtěli nahozenou s že měření těch síťových toků je |
|---|
| 0:27:05 | teda doufám si tvrdí že ve většině případů motivováno snahou udržet to si provozu a |
|---|
| 0:27:11 | služby které sem na to jestli těch provozované provozovány tak if provozu nikoliv tím že |
|---|
| 0:27:16 | bysme chtěli sledovat samotné uživatele |
|---|
| 0:27:21 | co když si ti tedy exportují data na kolektor a na tom fakturu se analyzují |
|---|
| 0:27:26 | a využívají se právě pro řešení nějakých problémů s tou sítí a zvýšení bezpečnosti obecně |
|---|
| 0:27:31 | těch uživatelů |
|---|
| 0:27:34 | a takovým nějakým jakoby vizí u je vyvíjet vlastně i ve spolupráci s dalšími organizacemi |
|---|
| 0:27:42 | jako je masarykova univerzita čvut a případně komerční partneři open source nástroje pro zpracování chování |
|---|
| 0:27:48 | těch exportovaných toku |
|---|
| 0:27:50 | jen taková perlička na závěr věděli jste že na u průměrně každý den míří zhruba |
|---|
| 0:27:59 | milion a když to přeženu útoků |
|---|
| 0:28:03 | to znamená útoků které |
|---|
| 0:28:06 | vlastně |
|---|
| 0:28:08 | nějakým způsobem ovlivňují ty připojené organizace artuš školy a ne nebo prostě nějaké nemocnice výzkumná |
|---|
| 0:28:15 | centra podobné věci |
|---|
| 0:28:17 | je pravda že ty útoky je tam za počítáno všechno včetně skenování chceš |
|---|
| 0:28:22 | pravém slova smyslu není to |
|---|
| 0:28:24 | ale těch dvou incidentů a událostí které se tam děje které vlastně potom potřeba nějakým |
|---|
| 0:28:30 | způsobem řešit je poměrně hodně tam zřejmě s toho milionu potom si musíme vybrat nějaký |
|---|
| 0:28:37 | malý vzorek který je opravdu ten nejdůležitější a ten potom řešit úplně až do konce |
|---|
| 0:28:44 | takže děkuji za pozornost a kdyby byly případné dotazy tak nevím jestli máme čas na |
|---|
| 0:28:48 | odpovědi ale tak případně chytnete ještě tady ve fajn |
|---|