Firewall, IDS a jak dále?

Firewall, IDS a jak dále? Network security monitoring - FlowMon - kompletní řešení pro monitorování a bezpečnost počítačových sítí Jiří Tobola [email protected] Váš partner ve světě vysokorychlostních sítí

INVEA-TECH ●

● ● ●

Česká společnost, univerzitní spin-off, spolupráce CESNET a univerzity, projekty EU 50 instalací během prvního roku působení na trhu Desítky provedených analýz a měření sítí, např. Zákaznické reference    

●

akademická sféra – univerzity, knihovny, AV státní sféra – magistráty, kraje, nemocnice soukromá sféra – od malých až po největší společnosti poskytovatelé internetu

Mnoho referencí i ze zahraničí, např. Korea Telecom

22.03.2011

FlowMon © INVEA-TECH 2011

2/49

Síť = páteř Vašeho IT ●

Na fungování sítě závisí:       

●

● ●

aplikace dostupnost dat uživatelé zákazníci obchody chod organizace image organizace

Víte kolik Vaši organizaci nákladově stojí nefungování sítě či pomalá odezva síťových aplikací? Máte zajištěnu vnější i vnitřní bezpečnost sítě? Jsou správa sítě a nákup WAN / Internet konektivity cenově optimalizované?

22.03.2011


3/49

Klíčové body proč monitorovat ●

Neřešený monitoring datových toků v sítí 

●

Bezpečnost (firewall a antivir dnes opravdu nestačí)  

●

Detekujete snadno útoky DOS, DDOS a útoky na služby? Jste schopni odhalit viry a malware nepodchycený antiviry?

Optimalizace infrastruktury  

●

Máte přehled o síťových komunikacích nejen do Internetu ale i v rámci WAN a LAN? Vidíte do sítě real-time i historicky?

Neplatíte zbytečně moc poskytovali Internetu nebo WAN? Je vaše síť pomalá? Mají vaše síťové aplikace dlouhé odezvy?

Efektivita zaměstnanců   

22.03.2011

Spravujete síť jednoduše, přehledně? Vidíte do síťového provozu? Nejsou ve vaší síti zneužívány služby P2P a instant messaging? Nenavštěvují vaši zaměstnanci podezřelé webové stránky? FlowMon © INVEA-TECH 2011

4/49

FlowMon – síť pod kontrolou! ● ● ●

● ● ● ● ●

Kompletní řešení pro monitorování sítě na základě IP toků Založeno na technologii NetFlow v5/v9 Poskytuje informace kdo, s kým, jak dlouho, jakým protokolem komunikoval a kolik přenesl dat Odpověď na všechny otázky z předcházejícího slajdu Nejlepší poměr cena/výkon na trhu Unikátní přínos pro uživatele Řešení pro sítě všech velikostí Technologie vytvořená v ČR

22.03.2011


5/49

Technologické okénko ●

Monitoring 

●

Bezpečnost     

●

SNMP Firewall IDS/IPS Antivir Antimalware Identity Management

Network Security Monitoring  

22.03.2011

NetFlow NBA/ADS


6/49

Počítače

Domy

Kabely

Cesty

Uživatelé

Obyvatelé

Co je cílem

SNMP Monitoring

SNMP

Firewall

FIREWALL

OK

Intrusion Detection System Intrusion Prevention System

IDS/IPS

OK

STOP

Anti Virus, Anti Spyware, …

ANTI-X

OK

Identity Management Network Access Control

IDENTITY MANAGEMENT

Network Security Monitoring (Bezpečnostní monitoring sítí)

Detekce známých vzorů nežádoucího chování

Detekce anomálií

Technologické okénko - shrnutí ●

Monitoring 

●

Bezpečnost  

  

●

SNMP – informace kolik paketů a dat, základní troubleshooting Firewall – perimetr, pravidla IDS/IPS – perimetr, vzory v paketech, ochrana proti známým hrozbám Antivir – koncové stanice, vzory známých virů Antimalware – koncové stanice, vzory známého malware Identity Management – ověřování uživatelů

Network Security Monitoring – doplnění technologií výše  

22.03.2011

NetFlow – co se děje v síti (kdo, s kým, co, jak...) NBA/ADS – odhalení i dosud neznámých hrozeb a nestandardního chování stanic FlowMon © INVEA-TECH 2011

31/49

Gartner & Praxe ●

Gartner 

 

●

„Neexistuje bezpečnost bez monitoringu. Mnoho lidí bylo dlouho přesvědčeno že bezpečnost stačí budovat na perimetru a monitoring je zbytečná práce navíc. Opak je pravdou.“ bezpečná organizace = firewall + IPS + NBA/NBAD/ADS monitoring síťových komunikací a nework behavior analysis zařazen do TOP10 nejdůležitějších technologií roku 2010

Praxe 





22.03.2011

90% organizací nemá implementován systém monitorování datových toků / síťových komunikací vzrůstající požadavky na monitoring a bezpečnost, audity finančních institucí, budování CSIRT týmů na mnoha úrovních chybějící nástroje pro podporu implementace a kontroly ISO 27000


32/49

Gartner - doporučení

23.03.2011


33/49

FlowMon architektura ●

Pasivní FlowMon sondy 

●

zdroj síťových statistik (NetFlow dat)

Kolektory NetFlow dat 

22.03.2011

vizualizace a vyhodnocení síťových statistik


34/49

FlowMon monitorovací centrum ● ● ● ● ●

Grafy a tabulky komunikací, formulář pro detailní analýzy Top N statistiky (uživatelé, služby, navštěvované servery) Předdefinovaná sada pohledů na standardní protokoly Uživatelsky definované pohledy (pobočky, servery, uživatelé) Upozornění na email - alerty, dynamické tresholdy

22.03.2011


35/49

FlowMon Reporter ● ● ●

●

Inteligentní reportovací nástroj, export do pdf, csv Přehled o tom co se dělo v síti za poslední den/týden/měsíc Statistiky online i offline v zadaném intervalu do emailu Report pro administrátora:  

●

Kdo nejvíce vytěžuje klíčový server s IS? Jak jsou vytíženy linky/služby?

Report pro manažera:    

22.03.2011

Kdo chodí nejvíce na web? Na které weby se nejvíce chodí? Kdo rozesílá nejvíce emailů? Kdo je král P2P sítí?


36/49

FlowMon ADS ●

Detekce nežádoucích vzorů chování   

●

Behaviorální analýza   

●

Profily chování Detekce anomálií Sběr statistik

Přehledné uživatelské rozhraní   

●

Vnitřní i vnější útoky Nežádoucí služby a aplikace Provozní a konfigurační problémy

Dashboard s okamžitou indikací problémů a top statistik Interaktivní vizualizace událostí Integrace informací ze služeb DNS, WHOIS, geolokační služby

Komplexní filtrování, alerting, reporting

22.03.2011


37/49

FlowMon ADS ●

Detekce nežádoucích vzorů chování

22.03.2011



Útoky (skenování portů, slovníkové útoky, denial of service, protokol telnet)



Anomálie datového provozu (DNS, multicast, nestandardní komunikace)



Anomálie v chování zařízení (změna dlouhodobého profilu chování zařízení)



Nežádoucí aplikace (P2P sítě, instant messaging, anonymizační služby)



Interní bezpečnostní problémy (viry, spyware, botnety)



Poštovní provoz (odchozí spam)



Provozní problémy (zpoždění, nadměrná zátěž, reverzní DNS záznamy)


38/49

FlowMon ADS ●

Uživatelské rozhraní

22.03.2011



Moderní webové uživatelské rozhraní



Řada alternativních pohledů na události



Prohledávání profilů chování



Interaktivní vizualizace událostí



Česká lokalizace a on-line nápověda


39/49

FlowMon - pluginy

22.03.2011


40/49

Typický projekt - menší ●

● ● ●

Monitoring vnitřní sítě i Internetu s využitím SPAN/mirror portu aktivního prvku. Jednoportová gigabitová sonda. Dle počtu pluginů 75 – 150 tis Kč Reference: JIC, Nemocnice Olomouc, MVV Energie Alternativa pro 10/100 Mbps FlowMon Probe 100 Office 33 tis Kč

22.03.2011


41/49

Typický projekt - střední ●

● ●

Monitoring vnitřní sítě s využitím SPAN/mirror portu aktivního prvku. Monitoring komunikace za firewallem pomocí tapu. Čtyřportová gigabitová sonda. Dle počtu pluginů 150 – 500 tis Kč Reference: Aegon, Olomoucký kraj Akademie Věd, BFÚ

22.03.2011


42/49

Typický projekt - rozsáhlý ● ● ●

Monitoring více lokalit - sondy, kolektor či kolektory, pluginy Dle počtu lokalit 500 tis Kč – 15 mil Kč Reference: AVG, Ministerstvo Obrany (přes VDI Meta)

22.03.2011


43/49

Typický projekt - ISP ● ●

Monitoring všech uplinek – NIX, zahraniční tranzit Standardní velikost projektu  

●

Malý ISP, 1-2 gigabitové linky, 75 – 150 tis Kč Velký ISP, desetigigabitové linky, 0,5 – 15 mil Kč

Reference: Sloane Park, ČD Telematika, Zenit Lipník

22.03.2011


44/49

Přínosy pro administrátory.. ●

● ● ● ● ● ●

Detailní přehled o dění v síti (LAN i WAN) – jak v reálném čase, tak kdykoliv v minulosti Přesné, rychlé a efektivní řešení problémů Zvýšení bezpečnosti, odhalení vnitřních i vnějších útoků Snadné plánování kapacit a optimalizací sítě Dohled nad využitím Internetu, využitím aplikací Předcházení incidentům jako jsou zahlcení a výpadky sítě Odhalení špatných konfigurací

22.03.2011


45/49

..bezpečnost a management.. ●

Přínosy řešení pro bezpečnostní oddělení:     

●

detekce vnitřních i vnějších útoků, změn chování v síti kontrola přístupů uživatelů k datovým zdrojům dohledávání a prokazování bezpečnostních incidentů porovnání bezpečnostních politik se skutečným stavem v síti prevence před únikem informací ze společnosti

Přínosy řešení pro management:   



22.03.2011

snížení nákladů na správu a provoz sítě statistiky (tabulky, koláčové grafy) o využití sítě kontrola využívání elektronických zdrojů zaměstnanci (např. využití Internetu v pracovní době) omezení využívání p2p aplikací ap.


46/49

..poskytovatele internetu (ISP) ● ● ● ● ● ● ● ●

Dlouhodobé uložení informací o přenesených datech Plánování síťových kapacit na základě trendů Optimalizace nákupu konektivity Optimalizace peering dohod Snadná kontrola a prokazování SLA Snadné splnění zákonných požadavků (485/2005) Účtování a fakturace na základě přenesených dat Možnost integrace grafů a tabulek do vlastního IS

22.03.2011


47/49

Bezpečnostní analýzy sítí ●

● ● ● ●

Detailní analýzy Vaší sítě se zaměřením na bezpečnost, výkonnost a optimální využití její kapacity Nejmodernější metody pro monitorování IP toků Nezávislé monitorovací sondy FlowMon Bohaté zkušenosti v oblasti sledování a zabezpečení sítí Přínosy bezpečnostních analýz:       

22.03.2011

detailní znalost provozu na síti prevence potencionálních bezpečnostních problémů odhalení nesprávných konfigurací rychlé řešení problémů určení kritických míst sítě detailní statistiky aktivit uživatelů a služeb návrh řešení monitorování sítě na bázi NetFlow FlowMon © INVEA-TECH 2011

48/49

Děkuji za pozornost

Váš partner ve světě vysokorychlostních sítí

Jiří Tobola [email protected] 602 647 684 INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno www.invea.cz

22.03.2011


49/49

Firewall, IDS a jak dále?

Recommend Documents