Escolar Documentos
Profissional Documentos
Cultura Documentos
Gts Flowtools PDF
Gts Flowtools PDF
org
http://www.acmesecurity.org
Roteiro
IPFIX e NetFlow
Ferramentas
Flow-tools
ACME! Flow-Alert
http://www.acmesecurity.org
Introduo
Monitoramento clssico de trfego:
MRTG
TCPDUMP
http://www.acmesecurity.org
Contabilidade de uso
Caracterizao de trfego
Engenharia de trfego
Deteco de Intruso/Anomalias
Monitoramento de QoS
http://www.acmesecurity.org
Deteco de Anomalias
A anlise a partir de fluxos NetFlow pode revelar a existncia
de:
http://www.acmesecurity.org
NetFlow
Padro de facto para o gerenciamento de fluxos de redes.
Proposto pela Cisco em 1996.
Verso 9 documentada no RFC 3954.
Define um fluxo por uma tupla:
IP de origem
IP de destino
Porta de origem
Porta de destino
Tipo de protocolo (do cabealho IP)
Bits de TOS
Interface de entrada
2004 ACME! Computer Security Research
http://www.acmesecurity.org
Topologia
Roteadores
do backbone
configurados
para exportar
fluxos.
Fluxos
Coletor de Fluxos
Internet
Roteador
Fluxos
Roteador
Roteador
Analisador
http://www.acmesecurity.org
Fluxos NetFlow
Um novo fluxo criado quando recebido um pacote que no pertence a
nenhum outro fluxo existente.
Um fluxo expira quando:
Permanece inativo por mais de 15 segundos.
Sua durao excede 30 minutos.
Uma conexo TCP encerrada por um FIN ou RST.
Tabela de fluxos est cheia ou usurio redefine configuraes de fluxo.
Amostragem:
Os pacotes usados na gerao de novos fluxos podem ser amostrados como medida
para diminuir overhead.
Agregao:
Fluxos podem ser agregados gerando um nico fluxo. Isto til para diminuir o uso
de banda.
Com agregao: v8.x, v9; sem agregao: v1, v5, v6, v7, v9.
2004 ACME! Computer Security Research
http://www.acmesecurity.org
Verses
V1 no possui nmeros de seqncia (no detecta perda de
fluxos).
V5 verso mais difundida atualmente. Cada pacote contm
um cabealho e cerca de 30 registros de fluxo.
V7 traz alguns melhoramentos para switchs Cisco Catalist.
V8.x verses especficas para agregao.
V9 Utiliza templates para definir o formato de um registro de
fluxos.
Verso definida no RFC 3954.
Os templates possibilitam a insero de novos campos sem mudanas
nos softwares j existentes.
http://www.acmesecurity.org
NetFlow
header
flow record
flow record
10
http://www.acmesecurity.org
Configurando as interfaces:
Router(config)# interface Ethernet 0/0
Router(config-if)# ip route-cache flow
Obtendo estatsticas:
Router(config)#show ip flow export
11
http://www.acmesecurity.org
(enable)
(enable)
(enable)
(enable)
set
set
set
set
mls
mls
mls
mls
flow full
nde version 7
nde a.b.c.d 7000
agingtime 32
Native IOS:
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
12
http://www.acmesecurity.org
Configurao:
forwarding-options {
sampling {
input {
family inet {
rate 100;
}
}
output {
cflowd a.b.c.d {
port 7000;
version 5;
}
}
}
firewall {
filter all {
term all {
then {
sample;
accept;
}
}
}
}
13
http://www.acmesecurity.org
14
http://www.acmesecurity.org
Ferramentas
Flow-tools: conjuntos de ferramentas para coleta e anlise de fluxos.
http://www.splintered.net/sw/flow-tools/
15
http://www.acmesecurity.org
FlowScan (1)
Exemplo de
prospeco:
16
http://www.acmesecurity.org
FlowScan (2)
Exemplo de negativa
de servio (DDoS):
17
http://www.acmesecurity.org
Flow-tools
Conjunto de ferramentas utilizado para coletar, processar e
gerar informaes sobre dados do NetFlow.
Algumas ferramentas:
Flow-capture: recebe, armazena e rotaciona arquivos de fluxos.
Flow-cat: concatena arquivos NetFlow. Utilizado para repassar
informaes para as outras ferramentas.
Flow-print: visualiza informaes contidas em arquivos NetFlow.
Flow-stat, flow-report: geram relatrios e estatsticas sobre a rede.
Flow-dscan: dispara alertas para fluxos com muitos octetos e procura
por varreduras de hosts e servios.
Flow-filter, flow-nfilter: fornecem opes avanadas de filtragens.
2004 ACME! Computer Security Research
18
http://www.acmesecurity.org
Instalao e Configurao
Instalao:
# ./configure
# make
# make install
Iniciando flow-capture:
Receber fluxos do roteador 10.0.0.1 na porta 7200.
Utilizando o formato V5 com 50 GB armazenamento mximo de
disco.
# flow-capture -w <flow_dir> 0/10.0.0.1/7200 -V5 -E50G -N 0
19
http://www.acmesecurity.org
dstPort
21
6346
1076
2603
3047
80
80
octets
144
235
120
6088
40
80
1424
packets
3
5
3
7
1
2
13
20
http://www.acmesecurity.org
21
http://www.acmesecurity.org
packets
769252
760396
229786
199408
22
http://www.acmesecurity.org
23
http://www.acmesecurity.org
Eventos Detectveis
Atravs de anlises de octetos:
Ataques de negativa de servio.
Violaes na poltica de trfego.
24
http://www.acmesecurity.org
Relatrio Estatstico
Prospeces de hosts e portas geradas atravs do flow-dscan.
Os IPs dos servidores mais acessados devem ser armazenados nos
arquivos dscan.suppress.dst e dscan.suppress.src para evitar falsos
positivos.
Top-talkers.
Por fluxos.
Por octetos.
25
http://www.acmesecurity.org
Exemplo de Relatrio
Top 10 Hosts by octets:
IP
Octets
d.d.d.d
1126337522
e.e.e.e
1096880263
f.f.f.f
842165643
Uncommon IPs:
10.0.0.0/8: 1453
127.0.0.0/8: 0
172.16.0.0/12: 1470
192.168.0.0/16: 160
Multicast IPs: 39716
Report start: 01:00
Report finish: 01:01
26
http://www.acmesecurity.org
Alertas
Alertas por fluxos
Disparado quando o total de fluxos gerados excede o limite prdefinido.
Alerta para o administrador informando os hosts e servios que esto
consumindo mais fluxos.
27
http://www.acmesecurity.org
Exemplos de Alerta
Total flows / second:
89.2000
3450.2566
28
http://www.acmesecurity.org
Prospeco Detectada
Prospeces detectadas de mquinas infectadas pelo worm Slammer s
9:00, 14:00 e 15:00 horas.
Grfico correspondente:
29
http://www.acmesecurity.org
Falso-Positivo
Alto trfego de octetos na porta 25. Aparentemente trfego de spam.
Grfico correspondente:
30
http://www.acmesecurity.org
Instalao
Requisitos mnimos de hardware considerando 1 GB de dados por dia:
Pentium IV 1.8 ou equivalente.
512 megas de RAM.
Download
www.acmesecurity.org/flow-alert
Instalao
./install.sh
Instalar biblioteca Perl NetAddr::IP
Configurao
Revisar configuraes em /etc/flow-alert/flow-alert.conf.
E-mail do administrador.
Limites para fluxos e octetos (sugesto: usar o dobro da mdia da rede).
Anlises que devero ser habilitadas.
2004 ACME! Computer Security Research
31
http://www.acmesecurity.org
Observaes
possvel que algumas anlises possam no ser efetuadas em
configuraes muito especficas ou diferentes do ambiente de
desenvolvimento.
Roteador Cisco 7200.
Exports no formato V5.
Slackware GNU/Linux e Debian GNU/Linux.
32
http://www.acmesecurity.org
Concluses
A anlise de fluxos uma forma importante para deteco de
algumas formas de anomalias na rede e de tentativas de
intruso.
Dentre as opes disponveis, o conjunto Flow-tools se
mostrou uma ferramenta poderosa e flexvel para a anlise de
fluxos.
O script apresentado pode ser utilizado como ferramenta de
apoio para deteco de anomalias. possvel obter
informaes sobre um ataque pouco tempo aps seu incio.
O script fornece informaes mais detalhadas sobre eventos
anmalos, quando detectados, do que uma anlise superficial
do grfico do FlowScan.
2004 ACME! Computer Security Research
33
http://www.acmesecurity.org
Referncias
Cert-br:
http://www.nbso.nic.br/stats/incidentes/2005-jan-mar/tipos-ataque.html
Cisco NetFlow:
http://www.cisco.com/warp/public/732/Tech/nmp/netflow/index.shtml
FlowScan:
http://dave.plonka.us/FlowScan/
Flow-tools:
http://www.splintered.net/sw/flow-tools/
GTS 2003 - Andrey Verdana Andreoli
http://eng.registro.br/gter15/videos/experienciascomnetflow/
Juniper Cflowd:
www.juniper.net/techpubs/software/junos/
National Center for Network Engineering:
http://www.ncne.org/training/techs/2002/0127/presentations/
Ntop:
http://www.ntop.org/
RFCs 2123, 3917, 3954, 3955.
www.ietf.org
2004 ACME! Computer Security Research
34
http://www.acmesecurity.org
Obrigado!
Para entrar em contato e obter mais informaes:
almir at acmesecurity dot org Key ID: 0x77F86990
arnaldo at acmesecurity dot org Key ID: 0x85A6CA01
ronan at acmesecurity dot org Key ID: 0x165130A6
adriano at acmesecurity dot org Key ID: 0x3893CD28
Agradecimentos a Gustavo Rodrigues Ramos pela ajuda na elaborao
deste material
http://www.acmesecurity.org
ACME! Computer Security Reseach Labs
UNESP IBILCE
So Jos do Rio Preto - Brasil
2004 ACME! Computer Security Research
35