Flow Passive Monitoring …Analisi di traffico e sicurezza CCR 2003, Paestum 11/06/2003 Christian Cinetto GARR Gruppo Passive Monitoring •Christian Cinetto •Michele Sciuto •GARR NOC (Network Operation Center ) GARR …Prima di cominciare Interventi di sicurezza proattivi… o quasi • utilizzo ACL non ottimale (non sempre risolutive, CPU alle stelle ) • packet sniffing laborioso • disponibilità di risorse limitata Trade-off : costo dell'accounting(disco,cpu,RAM,human) Vs. livello di dettaglio e real time desiderato Abbiamo uno storico del “cosa oltre che del quanto” passa nella rete? E se andassimo oltre MRTG? Preambolo CCR 2003 Paestum 12/06/2003 MONITORING Differenti approcci per scopi differenti Passive • Analisi del traffico di produzione Active • Analisi di performance di rete, QoS • Sniffer-- schede dedicate (OCxMon) • Iniezione di custom-traffic nella rete • Built-in devices per snmp, RMON,NetFlow • Apparati di sincronizzazione Es. GPS Monitoring CCR 2003 Paestum 12/06/2003 Christian Cinetto NetFlow • Feature IOS CISCO dalla 11.* (1996) • Standard de facto • Memorizza i flussi in una cache e permette l’export verso un collector • Diversi software che permettono l’analisi (sia open-source che commerciali) NetFlow CCR 2003 Paestum 12/06/2003 Christian Cinetto Flow-based Passive Monitoring Un flusso NetFlow è definito come una : “ serie unidirezionale di pacchetti IP che viaggiano da una coppia IP/Porta sorgente ad una destinazione, entro un certo intervallo di tempo, avendo definito un protocollo di livello 3 ed un TOS” ES: UNICA SESSIONE TCP!!! client 10.0.0.1/1900 Flusso A 10.0.0.1/1900 10.0.0.1/1900 server syn syn-ack 10.0.0.2/20 ack 10.0.0.1/1900 Flusso 10.0.0.2/20 10.0.0.2/20 Flusso B 10.0.0.2/20 CCR 2003 Paestum 12/06/2003 Christian Cinetto NetFlow PDU V5 NetFlowPdu CCR 2003 Paestum 12/06/2003 Christian Cinetto Architettura Architettura CCR 2003 Paestum 12/06/2003 Christian Cinetto Collector-Tools Cflowd –CAIDA www.caida.org •Difficile tuning •Poco flessibile •Poche utilities- no filtri Flow-Tools •Facile implementazione •Filtraggio possibile •Vari reports •Continuo aggiornamento Collectors CCR 2003 Paestum 12/06/2003 Christian Cinetto flow-tools Insieme di tools realizzati alla Ohio State University (OSU) dal 1996 Principali tools: Flow-fanout (duplicazione) Flow-capture (collector-box) Flow-cat (concatenazione) Flow-nfilter (selezione) Flow-stat (statistiche) Flow-print (visualizzazione testo) Flow-tools CCR 2003 Paestum 12/06/2003 Christian Cinetto FlowScan Tool di analisi e visualizzazione (linguaggio perl) by D.Plonka Universita’ del Winsconsin Elabora i raw flow files creati da flow-tools Round Robin DataBase ---RRDtool Report per un utente GARR FlowScan CCR 2003 DEMO Paestum 12/06/2003 Christian Cinetto Architettura Show-reports Show-reports CCR 2003 Paestum 12/06/2003 Christian Cinetto Applicazioni(1) Network Activity Accounting / Billing Planning & Analisys Monitoring / Security Applicazioni CCR 2003 Paestum 12/06/2003 Christian Cinetto AS-Matrix AS-Matrix CCR 2003 Paestum 12/06/2003 Christian Cinetto Applicazioni(2) Comportamenti Anomali Pattern di traffico Anomali Flash Crowd DoS Abusi: Port scans Applicazioni CCR 2003 Paestum 12/06/2003 Christian Cinetto Visulizzazione Router Utente • Coppia IP sorgente -IP destinazione –Porte • Top n IP src, IP dst •Ordinamento per bytes e per flussi • Scanning IP • Filtraggio on demand GARR Monitoring : Show-reports DEMO Screen-shots CCR 2003 Paestum 12/06/2003 Christian Cinetto DoS: un segnale Statistiche MRTG : ATM 34 Mbps IN OUT Statistiche MRTG : Fast Ethernet DoS DoS CCR 2003 Paestum 12/06/2003 Christian Cinetto CONFIGURAZIONE ROUTER RC_MILANO(config)#ip flow-export source Loopback0 RC_MILANO(config)#ip flow-export version 5 origin-as RC_MILANO(config)#ip flow-export destination 193.204.x.x 8700 RC_MILANO(config)#interface ATM1/0/0 RC_MILANO(config-if)#ip route-cache flow RC_MILANO(config)#ip flow-cache timeout active 3 Config. CCR 2003 Paestum 12/06/2003 VERIFICA RC_MILANO#if-con 0 con Entering CONSOLE for VIP2 R5K 0 Type ^C^C^C or if-quit to end this session VIP-Slot0>sh ip cache flow | include Se0/1/1 SrcIf SrcIPaddress DstIf DstIPaddress Pkts Pr SrcP DstP Se0/1/1 193.206.129.x AT8/1/0.1 211.114.16.4 01 200030D 1 Se0/1/1 193.206.129.x AT8/0/0.1 61.182.254.162 01 2000 030D 1 verifica CCR 2003 Paestum 12/06/2003 flow-capture flow-capture -z4 -V5 -n288 -w/home/netfow/Statistiche/Milano-RC -E5G -S5 193.204.x.x/193.206.129.x/8700 In /home/netfow/Statistiche/Milano-RC/ 2003/2003-01/2003-0108/ otteniamo -rw-r-r- 1 root root 100 Jan 8 17:16 ft-v05.2003-01-08.171125+0100 -rw-r-r- 1 root root 100 Jan 8 17:21 ft-v05.2003-01-08.171624+0100 -rw-r-r- 1 root root 100 Jan 8 17:26 ft-v05.2003-01-08.172123+0100 -rw-r-r- 1 root root 100 Jan 8 17:31 ft-v05.2003-01-08.172622+0100 -rw-r-r- 1 root root 92 Jan 8 17:31 tmp-v05.2003-01-08.173121+0100 cattura CCR 2003 Paestum 12/06/2003 Risultati bash-2.05$ flow-cat ft-v05.2003-03-13.18* |flow-stat -p -P -f9 -S2| head -30 # IPaddr flows 193.206.8.x 29912 700 27.796 193.206.195.x 5.410 12.556 8.459 193.43.65.x 9.276 9.850 9.362 193.43.65.x 8.701 8.567 4.272 193.204.199.x 0.180 6.815 1.928 193.204.111.x 3.060 4.600 4.088 193.206.158.x 4.200 3.066 3.888 192.107.86.x 0.028 2.709 2.761 192.107.80.x 2.945 2.590 1.201 193.206.158.x 0.024 2.185 0.601 Risultati octets packets CCR 2003 Paestum 12/06/2003 Riferimenti http://www.splintered.net/sw/flow-tools/ http://net.doit.wisc.edu/plonka/FlowScan/ http://www.rrdtool.org/ http://www.linuxgeek.org/netfow-howto.php http://www.ietf.org/html.charters/ipxcharter.html [email protected] [email protected] [email protected] Riferimenti CCR 2003 Paestum 12/06/2003
Scarica
