Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018...
Transcript of Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018...
![Page 1: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/1.jpg)
Proyecto SinMalosVictor Barahona (UAM)
GGTT 2018 – Ciudad Real
![Page 2: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/2.jpg)
Red de la UAM
u Direccionamiento público
u 20K dispositivos conectados
u Usuarios modo CPSC
u Red abierta
u Superficie de exposición masiva
u Aprox 200M conex/dia desde internet
u Escaneos masivos (ssh, telnet, SIP, 80, 443)
u Botnets (Mirai, Reaper, Hajime, Satori, etc)
u Impacto en los FWs
u Impacto en los SIEM
![Page 3: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/3.jpg)
Política de protección 2016
u 2 x PaloAlto 5050u Desde 2012
u Core de red y seguridad
u Políticas anti DDoS
u Minemeldu Fuentes públicas
![Page 4: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/4.jpg)
Resultados de 2016
u Beneficios:u entre el 15 - 20% del tráfico de internet era (felizmente) descartado.u >300-500 drop/sec.
![Page 5: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/5.jpg)
Conclusiones en 2016
u Pros
u Minemeld es fácil de montar
u Beneficios inmediatos
u Riesgo bajo
u Contras
u Poco control de los orígenes de los feed
u Alto nivel de trafico malicioso aun permitido
![Page 6: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/6.jpg)
Proyecto SinMalos (Jul 2017): Objetivos
u Parar más...
u Mucho mas...
u Pero sin impacto
u Sin falsos positivos (tras un periodo de ajuste)
u Autogestionado
u Plug & forget
u Not perfect BUT good enough
![Page 7: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/7.jpg)
Ingredientes
u Logs del Firewall (PaloAlto)
u Flujos de red (Nprobe)
u SIEM (Qradar)
u MySQLu PERLu PHP
![Page 8: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/8.jpg)
![Page 9: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/9.jpg)
In and out
u Se entra por ser Malo
u Se sale por ser Bueno
Offese Level Tiempo de Baneo1 1d
2 2d
3 4d
4 16d
![Page 10: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/10.jpg)
Reglas
u Regla pensada para drops en red Campus, donde casi todo está permitido
Excessive Firewall Denies from Remote Host
• when the event context is Remote to Local (from internet)• and when any of these BB:CategoryDefinition: Firewall or ACL
Denies with the same source IP more than 5 times, across more than 15 destination IP within 5 minutes (5x15x5)
• and NOT when any of Rulename (custom) match sinmalos (evito reglas sinmalos)
• and NOT when the destination network is Server_Network.TI (evitamos servidores)
![Page 11: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/11.jpg)
Reglas
u Regla pensada para accepts en la red de Campus
Excessive Firewall Accepts Across Multiple Host form Remote
• when the event context is Remote to Local (from internet)• and when any of these BB:CategoryDefinition: Firewall or ACL
Accept with the same source IP more than 2 times, across more than 30 destination IP within 5 minutes (2x30x5)
• and NOT when an event matches any of the following BB:HostDefinition: Servers (evita servidores)
![Page 12: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/12.jpg)
Reglas
• (TCP)
Excessive Firewall Accepts with no answer
• Firewall or ACL Accept with the same source IP more than 2 times, across more than 15 destination IP within 15 minutes (2x15x15)
• and when the event context is Remote to Local (from internet)• and when the IP protocol is one of the following TCP (TCP)• and when any of Packets (custom) match ^[1|2]$ (conex sin
respuesta)Too many Firewall accepts with no answer• when the event Excessive Firewall Accepts with no answer• and when at least 2 events are seen with the same Source IP in 4
hour(s) (2x4h)
![Page 13: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/13.jpg)
Reglas
Excessive Firewall Accepts with no answer Slow
• when any of these BB:CategoryDefinition: Firewall or ACL Accept with the same source IP more than 2 times, across more than 40 destination IP within 24 hours (2x40x24h)
• and when the event context is Remote to Local (from internet)• and when the IP protocol is one of the following TCP (TCP)• and when any of Packets (custom) match ^[1|2]$ (conex sin
respuesta)
![Page 14: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/14.jpg)
Resultados 2018
u Filtramos usando PBF
u Recibimos unos 200Mill de conexiones diarias (src Zona Internet)
u Filtramos unas 140M conx/dia
u Permitimos unas 60M conx/dia
u Si solo miramos conex a las redes de usuarios (dst Zona Campus)
u Filtrando el 92-97% de las conexiones.
u Permitiendo entre el 3-8% de las conexiones
![Page 15: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/15.jpg)
Aplicando Minemeld y luego SinMalos
![Page 16: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/16.jpg)
Aplicando SinMalos y luego Minemeld
![Page 17: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/17.jpg)
Dst Red Campus: Filtrado vs Permitido
![Page 18: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/18.jpg)
Conclusiones
u Minemeld mola
u Minemeld + SinMalos mola más
u Estamos mucho mejor que en el 2016
u No hemos vuelto a tener impacto en los FW por DoS
u Nuestra implementación de SinMalos no es exportable
u Pero la idea de SinMalos si
u Intelligence Gathering Network
u Compartir es amar
![Page 19: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/19.jpg)
Resultados de la encuesta
![Page 20: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/20.jpg)
![Page 21: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/21.jpg)
![Page 22: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/22.jpg)
![Page 23: Proyecto SinMalos - GGTT Ciudad RealProyecto SinMalos - GGTT Ciudad Real Created Date: 12/3/2018 7:27:24 AM ...](https://reader034.fdocumento.com/reader034/viewer/2022051904/5ff61bd09182a21f1c2e9194/html5/thumbnails/23.jpg)
?