Flux Réseau et Sécuité v1.01 Yann BERTHIER Spécialiste Sécuité Systèmes et Réseaux yb@bashibuzuk.net Nicolas FISCHBACH Senio Manage, Netwok Engineeing Secuity, COLT Telecom nico@secuite.og - http://www.secuite.og/nico/
Agenda Etat des lieux NetFlow 101 Connaîte son éseau Violation de la politique de sécuité Détection d'anomalies Scans Analyse post-motem Conclusion
Etat des lieux Poosité du péimète WiFi, 3G, RAS/VPN (employés, télémaintenance, etc) Opacité du éseau intene Systèmes et applications non documentés Réseau plat - pas de segmentation Vulnéabilité des essouces intenes Canaux cachés, chevaux de Toie, ves, vius, vulnéabilités clients (malwae/spywae/navigateu) De plus en plus de «wannabe powe uses»
Etat des lieux Limites des mesues de sécuité existantes Les I{D,P}S n'ont pas tenu leus pomesses De plus en plus de flux chiffés : SSH, SSL, IPsec Liens GE, 10GE
La vision du esponsable sécuité s s s fw av as p cpe Copoate Intenet access Intenet
La vision du RSSI s Intenet cpe Remote maintenance s s Extenal laptop fw av as p Copoate Intenet access a Vendo Office Remote office/ Patnes IP VPN Patne
L étage de Diection «Executive floo» WLAN AP ap s Intenet cpe Remote maintenance s s Extenal laptop fw av as p Copoate Intenet access a Vendo Office Remote office/ Patnes IP VPN Patne
La éalité «Executive floo» WLAN AP «IT floo» Intenet access ap fw cpe s Intenet cpe Remote maintenance s s Extenal laptop fw av as p Copoate Intenet access a Vendo Office Remote office/ Patnes IP VPN Patne
Collection des flux «Executive floo» WLAN AP «IT floo» Intenet access ap fw cpe s contolle Intenet cpe Remote maintenance s s Extenal laptop fw av as p Copoate Intenet access a Vendo Office Remote office/ Patnes IP VPN Patne
Flux éseaux Implémentation majoitaie : Cisco NetFlow Plusieus vesions : v1 (ancienne), v5 (la plus féquemment encontée), v7 (cetains commutateus, v8 (agégation côté outeu), v9 (etenu pa l'ietf comme base pou IPFIX) Nombeux autes fomats SFLOW, CRANE, LFAP, DIAMETER, Agus, Autes vendeus
NetFlow 101 Expotés pa les équipements de outage / commutation multi-niveaux Histoiquement pou amélioe le taitement des paquets (outage) Utilisés taditionnellement pa le Billing/NetEng/NOC Comptabilité / factuation des essouces, anticipation des besoins en BP, ésolution de poblèmes Dénis de sevices Réutilisables pa le SOC Données, essouces, infastuctue OPEX / CAPEX
NetFlow 101 Domestication du éseau Topologie Taxinomie des applications Détection d'anomalies Ve, DoS, tunnels, scans lents Compomission Analyse post-motem
Définition «Ensemble de paquets possédant des caactéistiques communes» Champs clefs (7-tuple) sadd, spot, dadd, dpot, poto L3, ToS, input ifindex Autes champs expotés Date de début, date de fin, nb d'octets, nb de paquets, output ifindex, dapeaux TCP (sauf cetaines combinaisons HW/SW), next hop Champs optionnels (en fonction de la vesion) Numéo d'as, labels MPLS,...
Caactéistiques Unidiectionnel expot (2055/udp) Ingess «Outepasse» les ACL Flux stockés dans un cache mémoie netflow cache 64k entées pa défaut Mis à jou à chaque paquet (tous les n si sampling) Nouvelle entée cée ou entée existante mise à jou Nb d'octets, nb de paquets (sommés), date de fin, dapeaux TCP (OR)
Expot des flux Mécanisme d'expiation RST/FIN 15 secondes (défaut) si flux inactif 30 minutes (défaut) si flux actif Cache plein A l'expiation, expot ves un collecteu UDP En-tête suivie pa 1 à 30 flux (48 octets)
Echantillonnage Dépend de la combinaison SW/HW Déteministe (Sampled) 1 paquet tous les n est passé au cache NetFlow Rate tous les pics de tafic Aléatoie (Random Sampled) Depuis la 12.3(2)T Vue éaliste du tafic si le nombe d'échantillons est suffisant Solution «scalable»
Considéations diveses Dédoublonnage Flux expotés pa plusieus outeus Agégation Flux longs Coélation Flux unidiectionnels Echantillonnage Réduction de la chage CPU, mais petes OK: détection de DDoS NOK: détection de la violation de politique
Considéations de sécuité Pas de mécanisme de etansmission (sauf v9) Mais numéo de séquence -> détection des petes Pas de somme de contôle, UDP Potection du lien expoteu collecteu urpf, ACL, TCP-Wappe 48 octets pou un paquet de 24 octets Oppotunités de dénis de sevice
Autes considéations Pas de chage utile mais Caactéisation du tafic (nb d'octets in/out, taille des paquets in/out, duée) Tafic inteactif vs tafic non inteactif (eg HTTPS «égulie» vs tunnel SSL) Flux chiffés Qui pale à qui Combien de temps, a quelles heues Volume de données échangées Pot + caactéistiques donne une bonne idée du type de données
PCAP vs NetFlow Ganulaité maximale Chage utile Pas IP centique Vue mico vs maco Généation de flux à pati d'une tace Agus, softflowd, «convesations» Etheeal Volume de données...
Configuation Expot des flux oute (config-if)# ip oute-cache flow! Pa inteface oute (config)# ip flow-expot destination <add> <pot> oute (config)# ip flow-expot souce loopback0 oute (config)# ip flow-expot vesion 5 Configuation du cache oute (config)# ip flow-cache enties <1024-524288> oute (config)# ip flow-cache timeout active <1-60> (mn) oute (config)# ip flow-cache timeout inactive <10-600> (sec) Affichage du cache en temps éel oute # show ip cache flow
Configuation Sampled oute (config)# ip flow-sampling-mode packet-inteval 100 oute (config-if)# ip oute-cache flow sampled Random sampled oute (config)# flow-sample-map RSN oute (config-sample)# mode andom one-out-of 100 oute (config-if)# flow-sample RSN
Collecte, stockage & analyse des flux Collecte Nombeux collecteus : agus, flow-tools, nfdump/nfsen, nnfc, nfcd, netflow2mysql, flowc, flowd, netams Stockage Fichies plats vs base de données Analyse Outils spécifiques + sot / awk / cut / head vs equêtes SQL
Domestication du éseau intene («connais ton éseau») Seveus, applications, utilisation du éseau Segmentation Validation de la politique de filtage Flux inattendus de chaque côté du fiewall Détemination d'une «baseline» Détection d'anomalies
Domestication du éseau 1) TopN, bottomn, aveagen Souce, destination, pot, duée, volume 2) Agégation 3) Retou à 1) sc_net dst_net sum_bytes sum_packet aveage_packet_size 218.xxx.yyy.0/24 163.221.yyy.0/24 1207916 806 1498,66 163.221.yyy.0/24 216.xxx.yyy.0/24 520500 347 1500 64.xxx.yyy.0/24 163.221.yyy.0/24 439622 509 863,7 218.xxx.yyy.0/24 163.221.yyy.0/24 245748 171 1437,12 66.xxx.yyy.0/24 163.221.yyy.0/24 162572 114 1426,07 163.221.yyy.0/24 213.xxx.yyy.0/24 127877 86 1486,94 163.221.yyy.0/24 61.xxx.yyy.0/24 125312 90 1392,36 163.221.yyy.0/24 130.xxx.yyy.0/24 111888 78 1434,46 203.xxx.yyy.0/24 163.221.yyy.0/24 68024 48 1417,17
Violations de la politique de sécuité Flux «inhabituels» (bottomn) Nouvelles adesses IPs Jounaux DHCP, adesses MAC, pot physique (SNMP) Flux liés (auto-update et spywae) Apès allocation DHCP ou apès authentification Apès la pemièe communication éseau ou navigateu Hoaies de bueau : poste de tavail actif à 2h du mat Flux depuis des seveus non-liés aux applicatifs installés Flux ves des seveus (pots non documentés)
Détection d'anomalie Dénis de Sevice distibués Augmentation massive de flux ves une destination (IP / pot) En fonction de l'envionnement, pas besoin de baseline Retou de flammes Chevaux de Toie Pots identifiés, pots inattendus, flux longs, hoaies inattendus
Scans et ves Scans lents Scans distibués Ves Scan du /24, /16, /8, BOGON, non-pivate Popagation avec des IP souces foges Identification: taille de la chage utile / pot Difficile à mette en évidence avec les moyens «classiques» Evasion MS-RPC snot
Ne pas confonde : scan et etou de flamme Où la victime n'est pas celle que l'on pense... Date Duation Pot Souce Destination Pkt Bytes Flows Dec 06 2004 16:11:20 38537 TCP aaa.bb.ccc.dd:80 -> www.xx.yyy.56:16250 2 80 B 2 Dec 06 2004 16:12:11 38595 TCP aaa.bb.ccc.dd:80 -> www.xx.yyy.85:61504 4 160 B 2 Dec 06 2004 16:42:27 40661 TCP aaa.bb.ccc.dd:80 -> www.xx.yyy.34:29441 3 120 B 2 [...] Dec 08 2004 15:50:38 0 TCP aaa.bb.ccc.dd:80 -> www.xx.yyy.48:24378 1 40 B 1 Dec 08 2004 16:17:11 0 TCP aaa.bb.ccc.dd:80 -> www.xx.yyy.78:12340 2 80 B 1 131 flux (apès agégation, 205 avant) su un /24 Dapeaux TCP www.xx.yyy.zz/24 est usupé! tcp_flags = 20 (RST-ACK)
La duée impote Flux longs Tunnels : HTTP(s), DNS, ICMP, etc. Le atio input/output (paquets, octets) est à suveille 10:1 pou une equête HTTP «classique» conte 1:1 pou une session inteactive à taves un elais HTTP(s) Execice : session HTTPS ou tunnel? Date Duée Pot Sadd:spot Dadd:dpot Paquets taille Nov 18 2004 14:53:10 9218 TCP 192.168.10.1O:4822 -> 10.123.84.104:443 10299 1.4 MB Nov 18 2004 14:53:10 9218 TCP 10.123.84.104:443 -> 192.168.10.1O:4822 11547 3.7 MB
P2P Les potocoles «histoiques» utilisent souvent des pots fixés (ou des plages de pots) Pafois : pot de données == pot de contôle +/-1 Façon FTP Cetains potocoles écents ont le détail de la session dans la chage utile Suveille la taille des flux, les topn (IP), le compotement
Réponse et Analyse post-motem Localisation IP et souce Netflow Physique (MAC/pot) Réponse Désactivation du pot ACLs ou tou noi Analyse (une fois la poblématique de stockage ésolue) On connait une des victimes (généalement) Un histoique des flux pemet de connaîte l'activité éseau ves et depuis cette adesse avant, pendant et apès l'incident
Conclusions Flux éseau et captue PCAP ne sont pas antinomiques Statégies complémentaies Déploiement tactique / statégique de sondes éseau Réutilisation des essouces (OPEX / CAPEX) Pas de solution clef en main pou l'analyse (Hos solutions spécifiques) Minimum syndical : on stocke, et on essot les données los d'un incident Nombeuses heues de tavail épagnées Peuve de concept: http://yeflow.stack.og/
Ressouces Flow geneatos NetFlow homepage <http://www.cisco.com/go/netflow> Fpobe <http://fpobe.soucefoge.net/> softflowd <http://www.mindot.og/softflowd.html> ng_netflow <http://www.feebsd.og/cgi/cvsweb.cgi/sc/sys/netgaph/netflow> Pfflowd <http://www.mindot.og/pfflowd.html>
Ressouces Flow collectos agus <http://qosient.com/agus/> Cflowd <http://www.caida.og/tools/measuement/cflowd/> Flow-tools <http://www.splinteed.net/sw/flow-tools/> Flowscan <http://www.caida.og/tools/utilities/flowscan/> Nfdump <http://nfdump.soucefoge.net/> Flowc <http://netacad.kiev.ua/flowc/> Netams <http://www.netams.com/>
Ressouces Gaphs MTRG <http://people.ee.ethz.ch/~oetike/webtools/mtg/> RRDTools <http://ee-staff.ethz.ch/~oetike/webtools/dtool/> Netwok foensics Smacq <http://smacq.soucefoge.net/> Misc Glflow <http://feshmeat.net/pojects/glflow/> NetFlow v9 <http://www.ietf.og/fc/fc3954.txt> Many moe links hee: http://www.switch.ch/tf-tant/floma/softwae.html