Cisco Cyber Threat Defense

Cisco Cyber Threat Defense v. 1.

Segyik István – rendszermérnök ([email protected]) Cisco Global Virtual Engineering

Február, 2014.

Tartalom • 

A Cisco Cyber Threat Defense röviden

• 

NetFlow és egyéb Flow-k

• 

Lancope Stealthwatch technológia

• 

Lancope Stealthwatch kontra más NetFlow feldolgozó rendszerek

© 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

2

Cisco Cyber Threat Defense • 

Elsősorban hálózatbiztonsági telemetria rendszer.

• 

A rendszer komponensei: NetFlow (ha lehet v9) adat exportálásra képes Cisco eszközök; •  Lancope Stealthwatch telemetria rendszer. • 

• 

A Lancope Stealthwatch rendszer elemei megtalálhatóak a Cisco árlistában. (Nem mindegyik, amit a Lancope OEM szerződéssel árul, az nem. Ezekre van Cisco helyettesítő megoldás.)

• 

Azonban lényeges megjegyezni: A terméktámogatást a Lancope komponensekre a Lancope biztosítja; •  Nem OEM termék: nincs Cisco logo, nincs Cisco specifikus szoftver vagy hardver verzió; •  A Cisco Security Intelligence Operations (SIO) egyelőre nem látja el a rendszert reputációs input-tal. • 

(Ugyanakkor technikailag képes lenne rá.)


Cisco Public

3

NetFlow


Cisco Public

4

NetFlow röviden • 

A NetFlowTM egy Cisco technológia,

• 

Egy technológia, amely forgalmi paramétereket és statisztikákat rögzít.

• 

Hasonló egy tűzfal naplóhoz, DE:

• 

• 

• 

Nem ‚flow’ eseményeket rögzít, hanem ‚flow’ paramétereket és statisztikákat;

• 

Általában sokkal részletesebb.

A NetFlow folyamatosan fejlődik: • 

v5: Elterjedt, sok régebbi eszközben támogatott;

• 

v9: Flexible NetFlow – relatív új technológia, jelenleg a legjobb, az IPFIX (IETF szabvány) protokoll alapja.

Pontosság alapján megkülönböztetünk: • 

Mintavételezett: csak X csomagot az Y-ból vesz figyelembe a statisztikai rekordok generálásánál;

• 

Teljeskörű: minden csomag feldolgozásra kerül.


Cisco Public

5

Más Flow reporting technológiák • 

IPFIX: Cisco NetFlow v9 alapokon nyugvó IETF szabvány, néhány Cisco eszköz már támogatja;

• 

Jflow vagy cflowd: Juniper Networks

• 

NetStream: 3Com/HP

• 

NetStream: Huawei Technologies

• 

Cflowd: Alcatel-Lucent

• 

Rflow: Ericsson

• 

AppFlow: Citrix

• 

sFlow: IETF szabvány, főleg switch-eken alkalmazott, (erősen) mintavételezett.


Cisco Public

6

OpenFlow? • 

Open Network Foundation (ONF) által szponzorált protokoll.

• 

Nem monitorozási, hanem adattovábbítási technológia (NetFlow is annak indult, de a CEF leváltotta).

• 

Egyes Cisco Nexus platformokon támogatott.


Cisco Public

7

NetFlow v9 • 

Széleskörben támogatott Cisco és más gyártók eszközein.

• 

Számos paramétert rögzíthet (80+): •  •  •  •  •  •  •  • 

Fizikai interfész; L2 mezők (pl. VLAN id); MPLS tag; IPv4 és IPv6 paraméterek; L4-L7 Alkalmazás információk NBAR(2); Csomag tartalmának első X byte-ja; Különböző- a csomagban nem megtalálható meta-adatok (pl. BGP AS, RTT); Stb.

• 

A rekordok testreszabhatóak, a ‚Collector’ számára az ‚Exporter’ sémát küld minden csomagban.

• 

Több információ: http://www.cisco.com/en/US/docs/ios-xml/ios/fnetflow/configuration/xe-3s/fnf-xe-3s-book.html


Cisco Public

8

NetFlow v9 csomag példa struktúra


Cisco Public

9

NetFlow v9 csomag példa PCAP


Cisco Public

10

NetFlow Cisco eszközökön • 

Router platformok: •  • 

• 

ISR (IOS) platformok: teljeskörű NetFlow v5/9 támogatás szoftveresen. ASR (IOS XE) platformok: teljeskörű NetFlow v5/9 támogatás hardveresen.

LAN switch-ek: •  •  •  •  • 

Catalyst 2960X: limitált mezőkkel, mintavételezett (1/32-1/1022) – NetFlow Lite. Catalyst 3560X, 3750X: széleskörű NetFlow csak uplink-en speciális 10G uplink modullal (akár mintavételezés nélkül). Catalyst 3850: széleskörű NetFlow hardverben támogatva (akár mintavételezés nélkül). Catalyst 4500: Supervisor 7-től széleskörű NetFlow támogatás hardveresen támogatva (csak mintavételezés nélküli). Catalyst 6500: széleskörű NetFlow támogatás hardveresen támogatva (régebbi supervisor-ok esetén lehetnek limitációk).


Cisco Public

11

NetFlow Cisco eszközökön • 

Adatközponti platformok: •  • 

• 

Nexus 3548: Nexus 3000: sFlow; Nexus 5500, 5600: - , NetFlow elérhető lesz Márciusban; Nexus 6000: - , NetFlow elérhető lesz Márciusban;

• 

Nexus 7000: NetFlow.

•  •  • 

• 

Nexus 1000v: NetFlow; Nexus 31xx: sFlow;

Cisco NetFlow Generation Appliance-ek: • 

SPAN portra kapcsolható; NetFlow v5, v9 and IPFIX támogatás;

• 

Kb. 40 Gbps forgalom teljeskörű elemzése (3240-es modell).

• 


Cisco Public

12

NetFlow (NSEL) az ASA tűzfalakban • 

ASA NSEL-t (Network Security Event Logging) támogat.

• 

A Cisco CTD rendszer ezt is támogatja.

• 

NetFlow (v9) alapú telemetria elérhető a Cisco ASA tűzfalakban ASA OS 8.4-től.

• 

Néhány fontos különbség: •  •  • 

• 

Nem testreszabhatóak a rekordok; Előre definiált sémák vannak, amelyek egyazon vagy eltérő kollektorokhoz küldhetőek. Tűzfal specifikus mezők, mint például ASA ASP (stateful FW, NAT, stb.) paraméterek.

Kisebb teljesítmény igénye van, mint a részletes Syslog alapú naplózásnak.


Cisco Public

13

NetFlow konfiguráció – ennyire egyszerű is lehet J interface Dialer 1 ip flow ingress ip flow egress ! ip cache flow ip flow-export TheWall#sh source Vlan1 packet9 size distribution (20380379 total packets): ip flow-export IP version 1-32 64 10.100.0.134 96 128 160 ip flow-export destination 9996192 224 256 288 320 352 384 416 448 480 .000 .263 .056 .060 .031 .004 .002 .002 .037 .001 .001 .001 .002 .001 .001 ! ip flow-top-talkers ... top 10 sort-by bytes Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) match protocolProtocol tcp -------Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet 788 0.0 1 58 0.0 0.1 15.3 TCP-FTP 65 0.0 5 64 0.0 1.2 10.9 ... SrcIf Di1 Vl1 ... © 2013-2014 Cisco and/or its affiliates. All rights reserved.

SrcIPaddress 64.103.25.233 195.56.3.67

DstIf Local Di1*

DstIPaddress 195.56.3.67 144.254.221.39

Pr SrcP DstP 06 C814 1146 11 EB76 1194

Pkts 69 4955

Cisco Public

14

NetFlow konfiguráció – vagy ennyire szofisztikált J flow record input-usage-record flow record output-usage-record match interface input match interface output flow record tr-record match flow direction match flow direction match connection transaction-id match application name account-onmatch application name account-oncollect ipv4 protocol resolution resolution collect ipv4 source address collect interface output collect interface input collect ipv4 destination address collect counter bytes long GigabitEthernet0/1/1 collect counter bytes long interface collect transport source-port collect counter packets collect counter packets description *** ingress ***** transport destinationcollect timestamp ip sys-uptime first flow monitorcollect tr-monitor collect timestamp sys-uptime first address 1.1.1.254 255.255.255.0 port collect timestamp ip sys-uptime last input-usage-monitor record tr-record collect timestamp sys-uptime last flow monitor input collect interface input exporter exp1 collect connectionipnew-connections collect connection new-connections flow monitor tr-monitor sampler my-sampler input collect output collect connection sum-duration eventinterface transaction-end collect connection sum-duration cache timeout collect cache entries 30000flow direction collect flow sampler collect counter bytes long collect counter packets flow monitor output-usage-monitor flow monitor input-usage-monitor collect timestamp sys-uptime record output-usage-record record input-usage-record first exporter exp1 exporter exp1 collect timestamp sys-uptime last flow exporter exp1 cache timeout inactive 300 cache timeout inactive 300 collect application name destination 10.56.128.231 cache timeout active 300 cache timeout active 300 collect flow end-reason transport udp 2055 cache entries 5000 cache entries 5000 collect timeout connection option interface-table 300 initiator option sampler-table timeout 300 sampler my-sampler option application-table timeout 300 mode random 1 out-of 1000 granularity Connection © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

15

Lancope


TM Stealthwatch

Cisco Public

16

A probléma bejuthat vagy éppen keletkezhet is belül...


Cisco Public

17

A probléma bejuthat vagy éppen keletkezhet is belül... • 

A legtöbb rendszerben telemetria adatokat csak néhány ponton gyűjtünk és elemzünk: •  •  •  • 

Internet peremzóna (tűzfalnapló, ALG napló fájlok); DC peremzóna (tűzfalnapló, még ez is ritka); LAN Access zóna (Hozzáférést vezérlő rendszer eseményei); Honeypot-ok (főleg IPS megoldásokkal, ez sem elterjedt).

• 

A fentiek meglehetősen inhomogén és esetenként drága megoldások.

• 

A Lancope StealthwatchTM: •  •  •  • 

Rálátást biztosít a forgalom mennyiségére, forgalmi vektorokra, hosztokra és alkalmazásokra a belső hálózat egészére kiterjedően; Riaszt potenciális incidensek keletkezésekor; Jelentéseket készít a forgalmi statisztikákról és az észlelt incidensekről; Be is avatkozhat (egyelőre nem elterjedt telepítési mód).


Cisco Public

18

Lancope Stealthwatch architektúra


Cisco Public

19

Milyen információkat gyűjt a Stealthwatch? • 

A Stealthwatch NetFlow (és egyéb ...flow) rekordokat gyűjt;

• 

Ha lehet, akkor teljeskörű- nem mintavételezett módon generáltakat;

• 

Opcionálisan SNMP Poll-t is használhat az eszköz interfész állapotának és nevének kiolvasására;

• 

Mit NEM gyűjt: • 

Flow Records

SNMP MIB statisztikákat; (legtöbbször 5 perces átlag értékek, nem elég pontosak);

• 

Tűzfal, IPS, stb. eseményeket Syslog-ban vagy SDEE, eStreamer stb. protokollokon.


Cisco Public

20

NetFlow rekord feldolgozás Stealthwatch-ben • 

A ‚Flow Collector’-oknak meglehetősen nagy adatmennyiséget kell feldolgozniuk.

• 

A ‚Flow Collector’-ok a feldolgozott statisztikai adatokat küldik csak el a Management Console számára.

• 

A kezdeti feldolgozás: •  •  • 

• 

Deduplikáció (több eszköz is jelenthet ugyanarről az adatfolyamról), de úgy, hogy teljes forgalmi vektor információ megmarad. Aggregáció (egy adatfolyam több rekordból áll össze: minél tovább él, annál több rekord). Hosztonkénti és hoszt csoportonkénti viselkedés-analízis dinamikus „normál érték” tanulással.

A Lancope jelenleg élen jár a hatékonyságban és a feldolgozási kapacitásban.


Cisco Public

21

Viselkedés-analízis a Stealthwatch rendszerben • 

Összetett „normál érték” menedzsment.

• 

Dinamikusan tanulhat „normál értékeket”.

• 

Egyedülálló feldolgozási logika amely „Concern IndexTM” mérőszámokat eredményez:

Hosztonként és hoszt csoportonkénti részletességgel.

•  •  • 

• 

Concern Index: magas értéke potenciálisan fertőzött hosztot jelöl; Target Index: magas értéke potenciálisan „Flood” típusú támadás célpontjait jelöli; File Sharing Index: magas értéke potenciálisan Peer-to-Peer forgalmat bonyolító hosztot jelöl.

Látványos és könnyen értelmezhető grafikus megjelenítés.


Cisco Public

22

Viselkedés-analízis a Stealthwatch rendszerben


Cisco Public

23

Alkalmazás felismerés a Stealthwatch rendszerben • 

A Stealthwatch képes a hálózati alkalmazások felismerésére.

• 

Alkalmazás-felismerési módszerek: •  •  • 

• 

Cisco, illetve más gyártók alkalmazás felismerési motorjai – flow rekordban elküldött alkalmazás azonosító; Stealthwatch Flow Sensor-ral gyűjtött adatok esetén Lancope elemző motor által generált azonosító IPFIX rekordban; Flow Collector-on történő feldolgozás során generált alkalmazás azonosító.

A Flow Sensor és Flow Collector elemző motorjai szoftver frissítés során tanulnak meg új alkalmazásokat.


Cisco Public

24

Adatok grafikus reprezentációja a Stealthwatch rendszerben • 

Fejlett grafikus interfész: •  •  • 

Egymásból generálható táblázatok; Speciális ábrák; Aktív térképek.

• 

Testreszabható „dashboard”-ok.

• 

Egyszerűsítik a használatot.

• 

Látványossabbá teszik az eredményeket J


Cisco Public

25

Adatok grafikus reprezentációja a Stealthwatch rendszerben


Cisco Public

26

„Context” információk a Stealthwatch rendszerben • 

Azonosítási és reputációs információk külső hosztokról: •  • 

Statikus Lancope geolokációs adatbázis; Stealthwatch API külső reputációs információk lekérdezéséhez; A Cisco SIO reputációs adatbázis egyenlőre nem támogatott.

• 

Azonosítási és reputációs információk belső hosztokról: • 

Lancope által OEM szerződés keretein belül árult „Identity Management” megoldás. Értelemszerűen Cisco-n keresztül, Cisco cikkszám alatt nem elérhető.

•  • 

A Stealthwatch le tudja kérdezni az ISE-t a ‚Session API’-n keresztül felhasználónév-IP cím összerendelés céljából. Statikus attribútumokkal láthatunk el hosztokat és hoszt csoportokat.


Cisco Public

27

Lancope Stealthwatch architektúra


Cisco Public

28

Lancope Stealthwatch rendszer skálázhatósága Komponens Cisco NDE képes Catalyst switch-ek Cisco NBAR és NDE képes IOS(XE) routerek

Max eszköz

Maximum 50.000 NetFlow forrás

Rendszer skálázhatósága

-

Cisco ASA tűzfalak Cisco Identity Services Engine SMC

1 rendszer 2 (1 redundáns)

Max. 250.000 konkurens végpont per rendszer Max. 25 Flow Collector menedzsmentje

FlowCollector 4000

25

Max. 120.000 flow/second per FlowCollector

FlowReplicator

1

Maximum 20.000 pps befelé, 60.000 pps kifelé


Cisco Public

29

Lancope Stealthwatch Management Console

Modell

Max. FlowCollector

Adatbázis

Méret

!  SMC-500

1

1 TB

1U

!  SMC-1000

Max. 5

1 TB

2U

!  SMC-2000

Max. 25

2 TB

2U

Mindegyik platform RAID 5 hot-swap disk alrendszerrel és redundáns táppal szerelt.


Cisco Public

30

Lancope Stealthwatch Flow Collector

Modell

Maximum Flow per Second

Ajánlott Exporter (db.)

Max. Exporter (db.)

Ajánlott hoszt kapacitás (db.)

Maximum hoszt kapacitás (db.)

Adatbázis

!  FC-1000

30,000

250

500

150,000

250,000

1 TB

!  FC-2000

60,000

500

1000

300,000

500,000

2 TB

!  FC-4000

120,000

1000

2000

600,000

1,000,000

4 TB

FONTOS: ugyanaz a Flow Collector nem kezelhet Netflow-t és sFlow-t. Mindegyik platform RAID 5 hot-swap disk alrendszerrel és redundáns táppal szerelt.


Cisco Public

31

Lancope Stealthwatch Flow Sensor

Modell

Feldolgozási kapacitás

Monitorozó interfész

Interfész sebesség

Média

Méret

Redundáns táp

!  FS-250 !  FS-250x

100 Mbps

2

10/100/1000

UTP

1U-Rövid

Nincs

!  FS-1000

1Gbps

3

10/100/1000

UTP

1U-Rövid

Nincs

!  FS-2000

2.5 Gbps

5

10/100/1000

UTP vagy SFP

1U

Van

!  FS-3000

5 Gbps

1 or 2

10Gb

SFP

1U

Van

A Flow Sensor IPFIX rekordokat generál részletes QoS paraméterekkel. A Cisco NGA (40Gbps NetFlow v9) egy alternatíva nagyobb kapacitással, de kevésbbé részletes rekordokkal.


Cisco Public

32

Lancope Stealthwatch Flow Replicator

Modell

Feldolgozási kapacitás

Physical Layer

Form Factor

Redundant Power

FR-1000

10,000 pps bejövő 20,000 pps kimenő

UTP

1U rövid

Nincs

FR-2000

20,000 pps bejövő 60,000 pps kimenő

UTP vagy SFP

1U

Van

Replikálhat NetFlow-t, más Flow export technológiát, illetve akármilyen UDP alapú protokollt, pl. SNMP vagy Syslog.


Cisco Public

33

Lancope Stealth Watch kontra más NetFlow feldolgozó rendszerek


Cisco Public

34

A Lancope Stealthwatch egy SIEM rendszer? • 

Nem, nem az.

• 

A Stealthwatch nem gyűjt eseményeket és riasztásokat külső eszközöktől.

• 

A Lancope a Splunk-ot ajánlja integrált riasztás és esemény menedzsment céljára. (a Sourcefire is...)


Cisco Public

35

Stealthwatch kontra Cisco NetFlow feldolgozó rendszerek • 

Cisco Network Analysis Module (és NAM appliance): • 

NetFlow rekord kollektor és NetFlow rekord ‚generátor’ egyben.

• 

Speciális protokollokat is kezel, mint: Cisco Security Group Tag, PPPoE, IPIP, VxLAN, OTV, LISP, FabricPath, CAPWAP. Packet Capture képesség (PCAP). Képes riasztásokra, de statikus szabályrendszer alapján. Inkább hálózat menedzsment jellegű feldolgozás, mintsem biztonsági.

•  •  • 

• 

Cisco Prime Infrastructure: •  • 

NetFlow rekordokat is gyűjthet, egyéb paraméterek mellett (SNMP, speciálist API-k). Infrastruktúra menedzsment alkalmazás.


Cisco Public

36

Stealthwatch kontra Cisco NetFlow feldolgozó rendszerek • 

Cisco Insight Manager: •  •  •  • 

• 

Kifejezetten az ASR 1000-es routereken kínált Application Visibility Control alrendszer monitorozására. Linux alapú virtuális appliance. OEM szoftver komponenseket használ. Forgalmi és alkalmazás statisztikák generálására ajánlott.

Sourcefire Defense Center: •  •  •  • 

A NetFlow rekord feldolgozás csak opcionális részfunkciója. Igazából csak megerősíti a begyűjtött és feldolgozott adatok pontosságát, illetve a szabályrendszer működését. A NetFlow-n ‚mért’ forgalomnak át is kelle haladnia egy 3D NGIPS/NGFW appliance-en. A FireSIGHT context monitorozó alrendszer rendkívül részletes és hasznos, a gyűjtött és feldolgozott információk beépíthetőek a szabályrendszerbe. Ugyanakkor ott működik, ahol 3D appliance-en keresztül megy a forgalom.


Cisco Public

37

Köszönjük!

Cisco Cyber Threat Defense

Recommend Documents