Osnova Organizace predmetu Motivace Opakovaní protokolu sady TCP/IP PV210 Bezpečnostní analýza síťového provozu Organizace předmětu a úvod RNDr. Jan Vykopal, Ph.D. doc. Ing. Pavel Čeleda, Ph.D. 17. 9. 2014 Osnova Motivace Opakování protokolů sady TCP/IP Organizace předmětu Motivace Opakování protokolů sady TCP/IP Osnova Organizace předmětu Motivace Opakování protokolů sady TCP/IP Aktuální informace o předmětu • Předmět stále ve vývoji, letos rozšíření přednášek. • Loni nově zavedená cvičení se osvědčila, i letos nepovinná cvičení 1x za 14 dnů (pá 12-14). • Přednášky s ukázkami a diskuzí, cvičení, (domácí) analytické úkoly, závěrečný test s pohovorem. • Slídy nejsou skripta, účast na přednáškách nepovinná, ale silně doporučená. • Interakce velmi vítána! Osnova Organizace predmetu Motivace Opakovaní protokolu sady TCP/IP Ukončení předmětu • Tři domácí úkoly v průběhu semestru (15, 25 a 10 % celkového hodnocení). • Povinný písemný test s ústním pohovorem na konci semestru (50%). • Zisk kolokvia = alespoň 60%. • Domácí úkoly bez možnosti opravy test s pohovorem možno opakovat jednou. • Možnost získání bonusových bodů (10%) ve cvičení na forenzní analýzu. Osnova Organizace predmetu Motivace Opakovaní protokolu sady TCP/IP Domáci úkoly • Nedílná součást předmětu. • Samostatná analytická činnost, protiváha přednášek. • Odevzdávají se formou Odpovědníků v IS MU do určené středy 16.00 (přesně). • Hodnocení se objeví v Poznámkovém bloku (nejpozději týden po odevzdání). • Pro konzultaci každého úkolu úkolu je vyhrazeno cvičení. Osnova Organizace predmetu Motivace Opakovaní protokolu sady TCP/IP Rozvrh přednášek I • 17.9. Úvod. Opakování TCP/IP. Vykopal Čeleda • 24. 9. Útoky podle vrstev sítě I. Vykopal • 1.10. Útoky podle vrstev sítě II. Vykopal • 8. 10. Základní prvky zabezpečení sítě. Vykopal Zadání 1. domácího úkolu. • 15. 10. Úvod do bezpečnostního monitorování sítě. Jirsík • 22. 10. Jednoduché metody zpracovávající síťové toky. Odevzdání 1. úkolu. Vykopal • 29. 10. Automatické systémy detekce a vizualizace toků. Čeleda Osnova Organizace predmetu Motivace Opakovaní protokolu sady TCP/IP Rozvrh přednášek II • 5.11. Odhalování botnetů pomocí statistik síťového provozu (botnet Chuck Norris), útoky na HTTPS. Čeleda Zadání 2. domácího úkolu • 12. 11. Pokročilé metody zpracovávající síťové toky. Jirsík • 19.11. Incident handling, základní služba CSIRT. Vykopal Odevzdání 2. úkolu. Zadání 3. úkolu • 26. 11. Služby CSIRT. Vykopal • 3. 12. Úvod do forenzní analýzy Procházka M./Kouřil Odevzdání 3. úkolu. Zadání bonusového úkolu. • 10. 12. Analýza probíhajícího incidentu, ex-post analýza Procházka M./Kouřil Osnova Organizace predmetu Motivace Opakovaní protokolu sady TCP/IP Rozvrh přednášek III • 17. 12. Dva řádné termíny kolokvia = test + pohovor. První termín v době přednášky, další bude upřesněn podle volné místnosti. Odevzdání bonusového úkolu. • Případný opravný termín kolokvia v lednu 2015. Osnova Organizace předmětu Motivace Opakování protokolů sady TCP/IP Rozvrh cvičení I První skupina (PV210/01): • 26. 9. Wireshark a hloubková analýza paketů. Vykopal 19. 9. je děkanské volno • 10. 10. První úkol - hledání útoku v PCAPu (Wireshark). Vykopal • 24. 10. Nástroje nfdump a ipfixcol a síťové toky. Velan • 7. 11. Druhý úkol - hledání útoku v síťových tocích (nfdump/ipfixcol) Velan • 21.11. Incident handling. Třetí úkol. Vykopal • 5. 12. Analýza simulovaného incidentu, práce s daty různého typu a z více zdrojů. Procházka M., Kouřil Osnova Organizace předmětu Motivace Opakování protokolů sady TCP/IP Rozvrh cvičení II Druhá skupina (PV210/02): • 3. 10. Wireshark a hloubková analýza paketů. Vykopal • 17. 10. První úkol - hledání útoku v PCAPu (Wireshark). Vykopal • 31. 10. Nástroje nfdump a ipfixcol a síťové toky. Velan • 14. 11. Druhý úkol - hledání útoku v síťových tocích (nfdump/ipfixcol) Velan • 28. 11. Incident handling. Třetí úkol. Vykopal • 12. 12. Analýza simulovaného incidentu, práce s daty různého typu a z více zdrojů. Procházka M., Kouřil Osnova Organizace předmětu Motivace Opakování protokolů sady TCP/IP Motivace I Co očekáváte od předmětu? Jaké máte zkušenosti? Osnova Organizace předmětu Motivace Opakování protokolů sady TCP/IP Motivace II Proč se zabývat analýzou síťového provozu? • Je to zajímavé. • Je to užitečné. • Je to obtížné. Organizace předmětu Motivace Opakování protokolů sady TCP/IP Osnova Organizace předmětu Motivace Opakování protokolů sady TCP/IP Motivace IV Sep 14 17:52:31 nfsen sshd[21349]: Accepted publickey for flowmon from 88.83.176.254 port 48930 ssh2 2013-09-14 17:52:42.837 6.943 TCP 88.83.176.254:48930 -> 147.251.14.40:22 68 7845 1 254 . 176.83.88.in-addr.arpa domain name pointer dsl-d03pool-254.cust.termsnet.cz. Osnova Organizace predmetu Motivace Opakovaní protokolu sady TCP/IP ISO/OSI a TCP/IP I Application -4..........................»• Applicatio Peer-to-peer Transport 4..........................► Transpot 1 í Internet Internet Internet Internet 1 í I 1 I i J^J^ ^^J^^^ jjj^ Osnova Organizace predmetu Motivace Opakovaní protokolu sady TCP/IP Osnova Organizace předmětu Motivace Opakování protokolů sady TCP/IP Praktický příklad File Edit View Go Captur S M (K Analyze Statistic i h s e & I 5 - I ^ Expression... ^ Vymazat ť^Použít No.. |Time Source 1 Destination | Protoco 1 Info 1 G.OGQOQQ 2 0.027162 172.29.2.201 147.251.5.37 147.251.5.37 172.29.2.2D1 TCP TCP 41749 http > http >■ 41749 [SYN] [SYN, Seq=0 Win=584G L ACK] Seq=0 Ack=l 3 0.027213 172.29.2.201 147.251.5.37 TCP 41749 > http [ACK] Seq=l Ack=l Win= 4 G.0276BS 172.29.2.201 147.251.5.37 HTTP GET / HTTP/1 1 ► > Fram 4 (543 bytes on w re, 543 bytes captured] > Ethe net II, Src: Hewle tP ad:16:dc (HG:15:6G:ad:16:dc), Dst: Asustekc 24:f5:52 (G0:13:d4: 74-ŤS-52] > Inte net Protocol, Src: 172.29.2.201 [172.29.2.201], Dst: 147.251.5.37 [147.251.5.37] > > Hype text Transfer Prot col X'OO 45 00 mnriH HHF- 301G 02 11 f 9 b a 40 00 40 05 f 7 25 ac Id 02 c5 _-.'3 f b ... .\...... 3020 35 25 a.1 15 30 50 33 S3 :lc ba f 1 ab 55 43 5C 1S ..p.. .....c.. 30 30 □G 5c 4Ji 3á 30 30 31 31 3S 3a □G 2G 25 33 30 30 ■ \J..... ... )... 3040 30 30 47 45 54 20 2f 20 43 54 54 50 if 31 2* 31 . . GET / HTTP/1.1 3050 3d 3.i 4Í ■•t 73 74 3a 20 77 77 77 2í 5:1 75 5í 5 = ..Host: *rww.muni 3060 2i s:- 7a Od 3a 55 73 55 72 2d 41 57 55 5e 74 3a .cz..Use r-Agent: jC~C 2G 4.:l ■f.f 7a 5c 5c 51 2f 35 2í 30 20 23 53 31 MoziLla /5.G (xi 303:0 31 3b 20 55 3b 20 4c 55 5e 75 7Í 20 55 3'": 3S 3'i 1; U; Li nux 1686 30vC 31: 2G 5- 73 2:1 43 5á 3b 2C 72 70 3á 31 2~ 35 2- ; cs-CZ; ru:1.9. 30.sC 30 2* 31 25 20 47 55 53 31: 3f 2t 32 30 30 36 30 0.1] Get ko/20080 30b G 37 Š2 38 r2 30 2C 4<: o3 72 55 if-fc" 5f 7:ť 2f 3* 2e 72820 Fi refox/3. 30c C HO 2i 31 Od 3a 41 S3 ■■7 55 70 74 3a 20 74 55 73 3.1..Act apt: tea 30.:lG 74 2f 53 74 5d 5c 2c 51 70 70 :.c 55 53 51 ^4 55 t/html,a pplicati 30*0 of 5c- 2f 7E 53 74 3d 5c 21: 7E 3d 5c 2c 51 7G 7G on/xhtml +xml,app 30f 0 5C 55 53 51 74 5Í ôs 2f 73 5d 5c 3b 71 3d 30 lication rtml;q=0 0100 2e 39 2c 2a 2f 2a 3b 71 3d 30 2ň 33 Od Oa 41 S3 .9.*/*;o =0.8..Ac Ether let eth]. ľ byl Packets 27Ě Di played: 278 Marked: d D opped: □ Profile: Default Organizace předmětu Motivace Opakování protokolů sady TCP/IP Pozorování Protokoly sady TCP/IP používané dodnes vznikly v době, kdy bezpečnost nebyla „na pořadu dne".