Bezpieczeństwo mojej sieci O czym pomyśleć zanim będzie za późno Łukasz Bromirski lbromirski@cisco.com

Bezpieczeństwo mojej sieci O czym pomyśleć zanim będzie za późno Łukasz Bromirski lbromirski@cisco.com

Agenda Gdzie jesteśmy? Gdzie idziemy? Q&A 2

Gdzie jesteśmy? 3

Mamy wszystko... 4

5

DDoSy się kupuje Własny botnet za 100$ - 1000 sztuk PC w zestawie! Nie trzeba wychodzić z domu! 6

Choć Polska nie jest zbyt wysoko... 7

Ile spamu da się wysłać dziennie? Ilość spamu/dziennie 0 1E+10 2E+10 3E+10 4E+10 5E+10 6E+10 7E+10 Srizbi Bobax Rustock Cutwail Storm http://www.secureworks.com/research/threats/topbotnets/ 8

Sprawiedliwość zwycięży! DarkMarket zapewniał miejsce do oficjalnych spotkań i wymiany kradzionych dokumentów tożsamości i numerów kart kredytowych w wysokiej klasy warunkach biznesowych. W szczycie miał ponad 2500 użytkowników [ ] 9

10

Gdzie idziemy? 11

Dobry pakiet zły pakiet Systemy firewall, filtry pakietów i systemy wykrywania intruzów mogą napotkać problemy w odróżnieniu ruchu złośliwego od przyjaznego. Aby ułatwić podejmowanie tego typu decyzji, definiuje się nową flagę bezpieczeństwa znaną również jako bit zła. Bit zła ustawiony w nagłówku IPv4 [RFC791] na 1 oznacza pakiet wrogi. Bit zgaszony pakiet przyjazny. RFC 3514 - The Security Flag in the IPv4 Header http://www.ietf.org/rfc/rfc3514.txt 12

13

Co obejmuje SAFE? Zarządzanie Brzeg WAN Oddział LAN/Campus Extranet WAN Partner Szkielet Brzeg Internetu Zdalny pracownik Data Center Internet E-Commerce SensorBase 14

Najlepsze praktyki na brzegu sieci Zanim zaakceptujesz pierwszy pakiet danych... Uwierzytelnij klienta Architektura NAC, standard 802.1x Zapewnij separację klientów w sposób możliwie bezpieczny Tradycyjna sieć LAN Private VLAN/Private VLAN Edge eć WLAN SSID oraz szyfrowanie eci IP mechanizm VRF oraz i mechanizmy per-vrf takie jak statefull firewall, IPsec, IPS, telefonia IP eci agregacyjne tunel VPN (IPsec/SSL), sesje PPPoE/A 15

Najlepsze praktyki na brzegu sieci Obsługa ruchu od klienta Odfiltruj ruch który jest ewidentnie sfałszowany... unicast Reverse Path Filtering Cable source verify DHCP IP source guard/dhcp snooping http://spoofer.csail.mit.edu/summary.php 16

Najlepsze praktyki na brzegu sieci Obsługa ruchu od klienta...a ruch akceptowany, postaraj się zidentyfikować http://www.planetpeer.de/wiki/index.php/main_page 17

Platformy SCE SCE 1000 2 porty GE, do 40 tysięcy klientów i miliona sesji SCE 2000 4 porty GE, do 80 tysięcy klientów i miliona sesji SCE 8000 2/4 porty 10GE, do 250 tysięcy klientów i 8 milionów sesji 18

SCE scenariusze wdrożeniowe Tradycyjna sieć LAN Dostęp Dystrybucja SCE w warstwie agregacji jako zaawansowana kontrola ruchu użytkowników Szkielet Rozliczanie ruchu per-klient wra z gotowymi, bogatymi raportami Dystrybucja Dostęp WAN CPD Internet 19

DDoS Atak dużej skali Jak duża jest duża wystarczająco? Przeciętnie 1300 ataków DDoS dziennie, w sieci 68 dużych operatorów na świecie Ataki >40Gbit/s zdarzają się coraz częściej, nadal większość poważnych oscyluje pomiędzy 10 a 20Gbit/s http://atlas.arbor.net/ 20

Skalowalnie ochrony - usługa DNS IP Anycast 6.6.6.6/32 klienci Do 6.6.6.6 - www.innyserwer.pl? 6.6.6.6/32 6.6.6.6/32 via 5.5.5.5/32 6.6.6.6/32 6.6.6.6/32 via 3.3.3.3/32 klienci klienci 6.6.6.6/32 Do 6.6.6.6 - www.mojserwer.pl? 21

Skalowalnie ochrony - usługa DNS IP Anycast 6.6.6.6/32 klienci 6.6.6.6/32 6.6.6.6/32 via 4.4.4.4/32 6.6.6.6/32 6.6.6.6/32 via 3.3.3.3/32 klienci klienci 6.6.6.6/32 Do 6.6.6.6 - www.mojserwer.pl? 22

Gdzie idziemy ale tak naprawdę? 23

Cloud computing, cloud security... Faza 1 Faza 2 Faza 3 Faza 4 Chmurka wewnętrzna Prywatne chmurki Interchmurka (federacja) Tradycyjne Centra Przetwarzania Danych Wirtualna prywatna chmurka Inter-Cloud Chmurka publiczna Chmurka publiczna (ale hybrydowa) Publiczna chmurka tu......i inna publiczna tutaj Dzisiaj 2015-2017 24

Wdrażanie ptrzetwarzania chmurkowego V V V V V V V V Database A co z moim V V V V V V V V Virtual Desktops Email Custom Web bezpieczeństwem? 25

Problem #1: Mobilność maszyn wirtualnych widzisz 26 26

Problem #1: Mobilność maszyn wirtualnych widzisz a teraz nie 27 27

Problem #2: nie ma statycznych barier Stary brzeg sieci był statyczny 28

Problem #2: nie ma statycznych barier #@!% Dzisiaj brzeg sieci jest wszędzie 29

Problem #3: Bezpieczeństwo VM PRZED Sprzęt jest fizyczny Okablowanie Routery i przełączniki Serwery Dyski i macierze Pamięć i procesory Obudowa Bezpieczeństwo fizyczne PO????? Sprzęt jest wirtualny Jak obejrzeć sieć? Gdzie jest ta VM? Czy to ona jest teraz migrowana? Gdzie jest polityka bezpieczeństwa? Czy ta konkretna jest załatana? Czy hypervisor jest bezpieczny? Kto odpowiada za bezpieczeństwo? 30

The Cisco SenderBase Network Ponad 45mld zapytań dziennie Ponad 150 różnego rodzaju parametrów opisujących pocztę i ruch WWW 34% światowego ruchu Urządzenia Cisco Połączenie baz poczty i WWW Korelacja danych z poczty i WWW drastycznie zwiększa dokładność 80% spamu zawiera URLe Poczta elektroniczna jest nadal głównym sposobem rozpowszechniania malware Cisco IronPort EMAIL IronPort SenderBase Cisco IronPort WEB 31

Cisco ScanSafe 32

Q&A Łukasz Bromirski, lbromirski@cisco.com 33