Christian Cinetto GARR Flow Passive Monitoring CCR 2003, Paestum 11/06/2003 …Analisi di traffico e sicurezza.

Slides:



Advertisements
Presentazioni simili
DiFMon Distributed Flow Monitor Claudio Mazzariello, Francesco Oliviero, Dario Salvi.
Advertisements

Gli ipertesti del World Wide Web Funzionamento e tecniche di realizzazione a cura di Loris Tissìno (
Paolo Lo Re, maggio Prove di rate limiting su router Cisco P. Lo Re, INFN Napoli Workshop sulle Problematiche di Calcolo e Reti nellINFN Cagliari,
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
SINTESI PUNTI SALIENTI Da shared bus a network on chip Concetto di nodo Standard commerciali shared bus: AMBA, Wishbone, CoreConnect Opzioni avanzate shared.
Di INFORMATICA IL NOSTRO LABORATORIO. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
DNS: Il Servizio Directory di Internet
5-1 Interconnessione di LAN Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights.
I modelli di riferimento OSI e TCP/IP
5-1 ATM Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights Reserved)
La rete in dettaglio: rete esterna (edge): applicazioni e host
NESSUS.
Luca Iannelli, Video on Demand tramite rete Approfondimento di Reti di calcolatori A.A. 2005/2006.
Chiara Francalanci Politecnico di Milano SMAU 22 Ottobre 2004.
WP QoS e Architettura Riflessiva Milan – 17 november 04.
Reti di Calcolatori Domande di riepilogo Quarta Esercitazione
IL PATRIMONIO DI DATI - LE BASI DI DATI. Il patrimonio dei dati Il valore del patrimonio di dati: –Capacità di rispondere alle esigenze informative di.
Prof. Bruno Ciciani Facoltà di Ingegneria Università di Roma La Sapienza Determinazione del tempo di servizio (trasferimento) di un messaggio trasmesso.
Giornata di incontro con i Borsisti GARR, Roma, Andrea Petricca Problematiche di rete nella sperimentazione di file-system distribuiti su WAN.
IDUL 2012 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
Integrazione di una piattaforma IPTV in un’architettura SOA
Corso di Sicurezza su Reti II
Reti di Calcolatori IL LIVELLO RETE.
Monitoraggio di rete con NetFlow
14 Maggio 1998Sistemi di Commutazione, Anno Acc. 1997/981 Tag switching Tiziana Ferrari,
Tiziana FerrariSperimentazioni su infrastruttura geografica JAMES della rask-force tf-ten1 Tag Switching
La sicurezza può essere fornita in ciascuno degli strati: applicazione, trasporto, rete. Quando la sicurezza è fornita per uno specifico protocollo dello.
Costante Elisa393/ Pennino Igino393/ Polese Marina393/ Pratola Roberto393/ Misure su Reti di Calcolatori Docente Prof. Luca De.
Strumentazione Re.Mo. Funzionamento e manutenzione
1 w w w. g a t 4. c o m WI GAT WebIngelligence rappresenta una piattaforma funzionale e tecnologica per la creazione e gestione di un datawarehouse che.
TANGO - WP4 - Milano - 27 Febbraio 2003 Progetto TANGO Attività WP 4 Test Bed Sperimentali Milano - 27 Febbraio 2003.
Costante Elisa393/ Pennino Igino393/ Polese Marina393/ Pratola Roberto393/ Misure su Reti di Calcolatori Docente Prof. Luca De.
Costante Elisa393/ Pennino Igino393/ Polese Marina393/ Pratola Roberto393/ Misure su Reti di Calcolatori Docente Prof. Luca De.
Costante Elisa393/ Pennino Igino393/ Polese Marina393/ Pratola Roberto393/ Misure su Reti di Calcolatori Docente Prof. Luca De.
Risultati complessivi Diego Ragazzi
Modulo 2 - U.D. 3 - L.4 Ernesto Damiani - Sistemi di eleborazione dell'informazione.
Sistemi di Elaborazione dellInformazione Modulo 3 -Protocolli applicativi Unità didattica 4 -Protocolli del Web Ernesto Damiani Lezione 4 – Caching HTTP.
L’architettura a strati
IPSec Fabrizio Grossi.
Un sistema di Network Intrusion Detection basato su tcpdump Massimo Gravino INFN – Sezione di Padova I INFN Security Workshop Firenze Settembre 2000.
BSAFE/400 Gateway Gestione della Sicurezza IBM iSeries (AS/400) BSAFE/400 Gateway Valentino Nanni I/T Spec.iSeries.
Capitolo 8 La gestione di rete
Francesco M. Taurino – INFM Napoli 1 Netdisco Gestione e controllo degli apparati di rete Workshop sulle problematiche di Calcolo.
Francesco M. Taurino 1 NESSUS IL Security Scanner.
IDUL 2013 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto ‘logico’ della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
Modelli e tecniche per l’adattività del livello di rete rapporto polimi, romatre novembre 2004.
SMTP Sniffing for Intrusion Detection Purposes Gianluca Papaleo Consiglio Nazionale delle Ricerche Istituto di Elettronica.
Extension pack per IIS7 Piergiorgio Malusardi IT Pro Evangelist
UNIVERSITA’ DEGLI STUDI DI ROMA “TOR VERGATA”
BaBar Tier A Administration Workshop CCR, Paestum Giugno 2003 Alberto Crescente, INFN Sez. Padova.
Software di Packet-Filtering e Port-Filtering su reti TCP/IP Come filtrare il traffico di rete in transito sulle interfacce presenti, frapponendosi tra.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
CEFRIEL Deliverable R4.2.5 Implementazione di un MAC adattativo per reti WiMax Alessandro Lapiana Roma – 24 novembre ‘05.
Specialist Security Solutions & Services Soluzioni in “real-time” per la gestione della sicurezza Alberto Dossena Product Marketing Manager.
Presenta – #wpc15it1 BI005 - Real Power BI Franco Perduca Factory Software srl
Il mondo del web Includere Digital-mente – Corso livello 4 docente: prof.ssa MANUELA MARSILI.
ARCHITETTURA DI RETE Protocollo: insieme di regole che governano le comunicazioni tra i nodi di una rete. La condivisione di queste regole tra tutte gli.
Implementazioni di un analizzatore di protocollo Esistono quattro fondamentali tradeoff per la realizzazione di un analizzatore di protocollo:  Analisi.
FESR Trinacria Grid Virtual Laboratory Rosanna Catania Rita Ricceri INFN Catania 25 Luglio 2006 Grid Monitoring: GridICE – bacct - lsload.
1 Il livello transport. Concetti fondamentali - Canale logico e canale fisico 2 Quando un segnale deve essere trasmesso, viene inviato su un Canale, cioè.
La Famiglia di Prodotti Network Analyzer. L’analizzatore J6801A DNA è un probe di cattura dati ultra leggero che comprende un sistema di acquisizione.
FACOLTA’ DI SCIENZE MM. FF. NN. - Corso di laurea magistrale in Informatica – corso di RETI DI CALCOLATORI A.A RETI DI CALCOLATORI Il livello.
Scenari di Connessione NTC (1/3)  L’ NTC consente l’accesso remoto alle piattaforme NA distribuite per la rete;  Può lavorare con diverse architetture.
B. Borgia Breve descrizione della reteBreve descrizione della rete ObiettiviObiettivi Network Admission ControlNetwork Admission Control DescrizioneDescrizione.
Massimo Valiante WORKSHOP GARR_08 GARR-X: il futuro della Rete _ Milano 1-4 aprile 2008 PROGETTO V.O.C.I. Voice Over Consortium Infrastructure.
DNSSEC Sicurezza & Windows Frascati Febbraio 2012 Fulvia Costa Infn Padova.
Sistema di Monitoraggio Integrato Paolo Mastroserio, Gennaro Tortone, Silvio Pardi Presenta per il gruppo Silvio Pardi.
Slide #: 1/232 Internet - Architettura, principali protocolli e linee evolutive Nicola Blefari Melazzi Copyright © 2005 – The McGraw-Hill Companies srl.
Monitoring di Reti Complesse ad alte Prestazioni Applicazione al TIER-1 Workshop CCR INFN-GRID Isola D’Elba Maggio 2011
Transcript della presentazione:

Christian Cinetto GARR Flow Passive Monitoring CCR 2003, Paestum 11/06/2003 …Analisi di traffico e sicurezza

GARR Gruppo Passive Monitoring Christian Cinetto Michele Sciuto GARR NOC (Network Operation Center )

Preambolo CCR 2003 Paestum 12/06/2003 …Prima di cominciare Abbiamo uno storico del “cosa oltre che del quanto” passa nella rete? E se andassimo oltre MRTG? Interventi di sicurezza proattivi… o quasi utilizzo ACL non ottimale (non sempre risolutive, CPU alle stelle ) packet sniffing laborioso disponibilità di risorse limitata Trade-off : costo dell'accounting(disco,cpu,RAM,human) Vs. livello di dettaglio e real time desiderato

Monitoring CCR 2003 Paestum 12/06/2003 Christian Cinetto MONITORING Differenti approcci per scopi differenti Passive Active Analisi del traffico di produzione Sniffer-- schede dedicate (OCxMon) Built-in devices per snmp, RMON,NetFlow Analisi di performance di rete, QoS Iniezione di custom-traffic nella rete Apparati di sincronizzazione Es. GPS

NetFlow CCR 2003 Paestum 12/06/2003 Christian Cinetto NetFlow Feature IOS CISCO dalla 11.* (1996) Standard de facto Memorizza i flussi in una cache e permette l’export verso un collector Diversi software che permettono l’analisi (sia open-source che commerciali)

Flusso CCR 2003 Paestum 12/06/2003 Christian Cinetto Flow-based Passive Monitoring Un flusso NetFlow è definito come una : “ serie unidirezionale di pacchetti IP che viaggiano da una coppia IP/Porta sorgente ad una destinazione, entro un certo intervallo di tempo, avendo definito un protocollo di livello 3 ed un TOS” ES:UNICA SESSIONE TCP!!! / /20 Flusso B Flusso A syn syn-ack ack clientserver

NetFlowPdu CCR 2003 Paestum 12/06/2003 Christian Cinetto NetFlow PDU V5

Architettura CCR 2003 Paestum 12/06/2003 Christian Cinetto Architettura

Collectors CCR 2003 Paestum 12/06/2003 Christian Cinetto Collector-Tools Cflowd –CAIDA Difficile tuning Poco flessibile Poche utilities- no filtri Flow-Tools Facile implementazione Filtraggio possibile Vari reports Continuo aggiornamento

Flow-tools CCR 2003 Paestum 12/06/2003 Christian Cinetto flow-tools Insieme di tools realizzati alla Ohio State University (OSU) dal 1996 Principali tools: Flow-fanout (duplicazione) Flow-capture (collector-box) Flow-cat (concatenazione) Flow-nfilter (selezione) Flow-stat (statistiche) Flow-print (visualizzazione testo)

FlowScan CCR 2003 Paestum 12/06/2003 Christian Cinetto FlowScan Tool di analisi e visualizzazione (linguaggio perl) by D.Plonka Universita’ del Winsconsin Elabora i raw flow files creati da flow-tools Round Robin DataBase ---RRDtool Report per un utente GARR DEMO

Show-reports CCR 2003 Paestum 12/06/2003 Christian Cinetto Architettura Show-reports

Applicazioni CCR 2003 Paestum 12/06/2003 Christian Cinetto Applicazioni(1) Accounting / Billing Planning & Analisys Monitoring / Security Network Activity

AS-Matrix CCR 2003 Paestum 12/06/2003 Christian Cinetto AS-Matrix

Applicazioni CCR 2003 Paestum 12/06/2003 Christian Cinetto Applicazioni(2) Pattern di traffico Anomali Flash Crowd Abusi: DoS Port scans Comportamenti Anomali

Screen-shots CCR 2003 Paestum 12/06/2003 Christian Cinetto Visulizzazione Router Utente GARR Monitoring : Show-reports Coppia IP sorgente -IP destinazione –Porte Top n IP src, IP dst Ordinamento per bytes e per flussi Scanning IP Filtraggio on demand DEMO

DoS CCR 2003 Paestum 12/06/2003 Christian Cinetto DoS: un segnale Statistiche MRTG : Fast Ethernet Statistiche MRTG : ATM 34 Mbps OUT IN DoS

Config. CCR 2003 Paestum 12/06/2003 RC_MILANO(config)#ip flow-export source Loopback0 RC_MILANO(config)#ip flow-export version 5 origin-as RC_MILANO(config)#ip flow-export destination x.x 8700 RC_MILANO(config)#interface ATM1/0/0 RC_MILANO(config-if)#ip route-cache flow RC_MILANO(config)#ip flow-cache timeout active 3 CONFIGURAZIONE ROUTER

verifica CCR 2003 Paestum 12/06/2003 RC_MILANO#if-con 0 con Entering CONSOLE for VIP2 R5K 0 Type ^C^C^C or if-quit to end this session VIP-Slot0>sh ip cache flow | include Se0/1/1 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Se0/1/ x AT8/1/ D 1 Se0/1/ x AT8/0/ D 1 VERIFICA

cattura CCR 2003 Paestum 12/06/2003 flow-capture -z4 -V5 -n288 -w/home/netfow/Statistiche/Milano-RC -E5G -S x.x/ x/8700 -rw-r-r- 1 root root 100 Jan 8 17:16 ft-v rw-r-r- 1 root root 100 Jan 8 17:21 ft-v rw-r-r- 1 root root 100 Jan 8 17:26 ft-v rw-r-r- 1 root root 100 Jan 8 17:31 ft-v rw-r-r- 1 root root 92 Jan 8 17:31 tmp-v flow-capture In / home/netfow/Statistiche/Milano-RC/ 2003/ / / otteniamo

Risultati CCR 2003 Paestum 12/06/2003 bash-2.05$ flow-cat ft-v * |flow-stat -p -P -f9 -S2| head -30 # IPaddr flows octets packets x x x x x x x x x x Risultati

Riferimenti CCR 2003 Paestum 12/06/2003 Riferimenti charter.html

Export

RT_NAPOLI>show ip flow export Flow export is enabled Exporting flows to (8300) Exporting using source interface Loopback0 Version 5 flow records, origin-as flows exported in udp datagrams 0 flows failed due to lack of export packet 0 export packets were sent up to process level 0 export packets were punted to the RP 0 export packets were dropped due to no fib 0 export packets were dropped due to adjacency issues export packets were dropped enqueuing for the RP export packets were dropped due to IPC rate limiting 0 export packets were dropped due to output drops show ip flow export Deficit DRAM sulla VIP

Un po’di numeri CiscoFlussi/sec (Med) Flussi/sec (Max) Bytes Per flusso Pacchetto (Bytes) GSR