Flow monitoring a NBA Kdy, kde a jak? Petr Špringl, Zdeněk Vrbka, Michal Holub
[email protected],
[email protected],
[email protected]
Obsah • Monitorování datových toků = Flow monitoring
• Flow monitoring a bezpečnost sítě
• Flow monitoring a Data retention
31.5.2013
FlowMon © INVEA-TECH 2013
2/40
Monitorování sítě • SNMP (monitoring)
pouze na úrovni základních čítačů, chybí detailní informace
• Flow monitoring = monitorování datových toků
detailní přehled o dění v síti
• Paketová analýza
31.5.2013
velmi detailní, ale časově velmi náročná
FlowMon © INVEA-TECH 2013
3/40
Flow monitoring • Měření na základě IP toků • Analyzují se hlavičky paketů, obsah paketů není monitorován ani uchováván (pomalu se mění) • Moderní metoda monitorování sítí, Cisco standard • Redukce dat cca 500:1
31.5.2013
FlowMon © INVEA-TECH 2013
4/40
Flow monitoring
Telefonní účet - výpis hovorů
Počítačová síť - flow monitoring
31.5.2013
FlowMon © INVEA-TECH 2013
5/40
Flow monitoring - standardy Cisco standard • NetFlow v5
fixní formát pouze základní položky monitorovány – není IPv6, VLAN
• NetFlow v9 (Flexible NetFlow)
flexibilní formát používá šablony – rozšiřitelný o řadu polí (včetně IPv6, VLAN a další)
Nezávislý IETF standard • IPFIX („NetFlow v10“)
stále používanější, ještě flexibilnější než NetFlow
• Trend
31.5.2013
rozšiřování monitorovaných položek (aplikační informace) rozšiřování podpory u dalších zařízení FlowMon © INVEA-TECH 2013
6/40
Flow monitoring - architektura • Zdroje NetFlow/IPFIX dat
přepínače, směrovače – jako přidaná funkcionalita sondy – dedikovaná zařízení firewally, UTM zařízení a další
• Kolektory – centrální úložiště a analýza dat
31.5.2013
FlowMon © INVEA-TECH 2013
7/40
Flow monitoring – jak funguje?
31.5.2013
FlowMon © INVEA-TECH 2013
8/40
Přínosy flow monitoringu • „Oči“ do síťového provozu a přehled o tom co se v síti a infrastruktuře děje
31.5.2013
• „drill-down“ až na úroveň jednotlivých komunikací, záznam o všem co se stalo
FlowMon © INVEA-TECH 2013
9/40
Přínosy flow monitoringu • 10% uživatelů typicky vygeneruje 90% provozu – kteří to jsou?
31.5.2013
• Jak jsou využívány jednotlivé služby a proč byla včera síť tak pomalá?
FlowMon © INVEA-TECH 2013
10/40
Přínosy flow monitoringu • Jaké jsou nejvytěžovanější servery v mé síti? Je to v souladu s naším interním řádem? Odpovídá seznam serverů v plánech realitě?
31.5.2013
• Jaká zařízení komunikují v síti? Jak jsou aktivní v průběhu času, jaké využívají IP adresy?
FlowMon © INVEA-TECH 2013
11/40
Shrnutí přínosů flow monitoringu • Detailní přehled o dění v síti (LAN i WAN) – jak v reálném čase, tak kdykoliv v minulosti • Přesné, rychlé a efektivní řešení problémů • Zvýšení bezpečnosti, odhalení vnitřních i vnějších útoků • Snadné plánování kapacit a optimalizací sítě • Dohled nad využitím Internetu, využitím aplikací • Předcházení incidentům jako jsou zahlcení a výpadky sítě • Odhalení špatných konfigurací
31.5.2013
FlowMon © INVEA-TECH 2013
12/40
Flow monitoring a bezpečnost sítě
31.5.2013
NBA
• není National Basketball Association
• ale Network Behavior Analysis
31.5.2013
FlowMon © INVEA-TECH 2013
14/40
NBA – reálný příklad užití
31.5.2013
FlowMon © INVEA-TECH 2013
15/40
Motivace pro NBA V současné situaci není otázkou jak vyloučit napadení sítě, ale jak toto napadení odhalit co nejdříve.
31.5.2013
FlowMon © INVEA-TECH 2013
16/40
NBA - fungování • Detekce nežádoucích vzorů chování
Vnitřní i vnější útoky Nežádoucí služby a aplikace Provozní a konfigurační problémy
• Profily chování
Dle přenosu dat, počtu spojení, počtu komunikačních partnerů,..
• Detekce anomálií
31.5.2013
Neobvyklé komunikace Odchylky od standardního chování stanic i celé sítě
FlowMon © INVEA-TECH 2013
17/40
Neznámý malware
31.5.2013
FlowMon © INVEA-TECH 2013
18/40
Neznámý malware
31.5.2013
FlowMon © INVEA-TECH 2013
19/40
Útoky
31.5.2013
FlowMon © INVEA-TECH 2013
20/40
Úniky dat
31.5.2013
FlowMon © INVEA-TECH 2013
21/40
Obcházení politik a opatření • • • •
TOR - klient pro různé OS Nevyžaduje zvláštní schopnosti Není možné detekovat analýzou obsahu Vhodné pro obcházení politik a omezení
31.5.2013
FlowMon © INVEA-TECH 2013
22/40
Shrnutí • APT (Advanced Persitent Threats) • Zero-day útoky a polymorfní malware • Postranní komunikační kanály • Společné rysy
31.5.2013
Často šité na míru cílovému prostředí Neexistují signatury nebo nejsou dostupné včas Neviditelné pro běžné bezpečnostní nástroje
FlowMon © INVEA-TECH 2013
23/40
NBA – bezpečnostní trend NBA doporučuje Gartner jako další bezpečnostní trend
Cílem NBA je detekovat hrozby, které nelze detekovat ostatními technologiemi. 31.5.2013
FlowMon © INVEA-TECH 2013
24/40
Nasazení • NBA jako nadstavba nad technologií flow monitoringu • Dostupná pro všechny organizace nad 50 PC v síti
31.5.2013
FlowMon © INVEA-TECH 2013
25/40
Flow monitoring a Data Retention
31.5.2013
Data Retention
31.5.2013
FlowMon © INVEA-TECH 2013
27/40
EU vyhláška
EU - směrnice o uchovávání provozních údajů ČR - zákon o elektronických komunikacích a vyhláška č. 357/2012 ze 17. října 2012 ISP jsou povinni uchovávat 6 měsíců údaje o elektronické komunikaci Strukturovaný výpis ve formátu specifikovaném v příloze vyhlášky
31.5.2013
FlowMon © INVEA-TECH 2013
28/40
Data Retention a Flow Monitoring?
31.5.2013
FlowMon © INVEA-TECH 2013
29/40
Příklad
31.5.2013
FlowMon © INVEA-TECH 2013
30/40
Příklad
31.5.2013
FlowMon © INVEA-TECH 2013
31/40
Příklad
31.5.2013
FlowMon © INVEA-TECH 2013
32/40
Příklad
31.5.2013
FlowMon © INVEA-TECH 2013
33/40
Příklad
31.5.2013
FlowMon © INVEA-TECH 2013
34/40
Příklad
31.5.2013
FlowMon © INVEA-TECH 2013
35/40
Příklad
31.5.2013
FlowMon © INVEA-TECH 2013
36/40
Nasazení
31.5.2013
FlowMon © INVEA-TECH 2013
37/40
Nasazení
Nově vyžadováno měření před/za NATem
31.5.2013
FlowMon © INVEA-TECH 2013
38/40
Shrnutí Požadavek Data Retention na ISP daný směrnicí EU i zákonem ČR
NetFlow pro splnění Data Retention
31.5.2013
FlowMon © INVEA-TECH 2013
39/40
Děkuji za pozornost
Váš partner ve světě vysokorychlostních sítí
INVEA-TECH a.s.
[email protected] 511 205 250
INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno www.invea.cz
31.5.2013
FlowMon © INVEA-TECH 2013
40/40
