Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl [email protected]

Čím se zabýváme? ●

Monitoring sítě – správa, optimalizace, troubleshooting 

   

●

Máte přehled o síťových komunikacích nejen do Internetu ale i v rámci WAN a LAN? Vidíte do sítě real-time i historicky? Neplatíte zbytečně moc poskytovali Internetu nebo WAN? Je vaše síť pomalá? Mají vaše síťové aplikace dlouhé odezvy? Jsou správci schopni odhalovat síťové problémy snadno a rychle? Nejsou ve vaší síti zneužívány služby P2P či přístup na web?

Bezpečnost sítě – detekce i hrozeb a útoků, které nejsou odhalitelné jinými nástroji  

25.5.2012

Jste schopni detekovat viry a malware nepodchycený antiviry? Máte nástroj pro odhalování podezřelých změn chování v síti?

Flow monitoring a NBA © INVEA-TECH 2012

2/29

Monitoring sítě - možnosti ●

SNMP 

●

Monitoring toků 

●

pouze na úrovni základních čítačů, chybí detailní informace detailní přehled o dění v síti

Paketová analýza 

25.5.2012

velmi detailní, ale časově velmi náročná


3/29

Monitorování toků

Monitorování toků

Proč flow monitoring? ●

Vidět!

25.5.2012


6/29


80% administrátorů neví jaké je složení datových toků    

●

10% uživatelů typicky vygeneruje 90% provozu – kteří to jsou? kolik je v síti email a web serverů (legitimních – nelegitimních)? až 50% toků někdy tvoří zbytečné komunikace SYN – RESET kolik provozu se generuje na tiskárnu? => FlowMon – monitoring vnitřní sítě, alerting, reporting

Jaké weby a další internetové služby jsou využívány v sítí  

ISP: vytvoření nového tarifu např. pro Facebook příznivce Standardní organizace: ●

●

25.5.2012

vydání nové směrnice pokud internetová rádia a videa tvoří 80% provozu na WAN linkách a zpomalují klíčový informační systém identifikace uživatelů řádících na ulož.to, youtube, P2P streamech..


7/29


99% uživatelů zažilo problém - „síť je pomalá“ 

●

problém je typicky neřešitelný – není důkaz zda za to může lokání síť, aplikace či síť poskytovale Internetu, WAN => FlowMon – vyhodnocení odezev síťě a identifikace problému

50-90% provozu na Internetu tvoří P2P provoz  

25.5.2012

je síť vaší organizace z tohoto pohledu bezproblémová? a co skype či instant messaging? => FlowMon – detekce bittorentů, skypů, IM (včetně šifrovaných)


8/29

Přínosy flow monitoringu ●

● ● ● ● ● ● ●

Stoprocentní znalost a přehled o komunikacích v síti – síť přestane být blackbox ve kterém běhají nějak pakety Řádové snížení času nutného k řešení problémů Vyšší efektivita správců sítě – efektivní troubleshooting Kompletní reporting o dění na sítí Přehled o využití síťových služeb a šířek pásma aplikacemi Optimalizace síťové infrastruktury Dohled SLA (pobočky, poskytované služby) Vyšší efektivita zaměstnanců  

●

proaktivní přístup: blacklisting X whitelisting X proaktivní monitoring weby, messengery, rádia, videa, p2p sítě

Předcházení incidentům a výpadkům sítě

25.5.2012


9/29

Bezpečnost sítě - trendy ●

Nové trendy vyžadují používání nových technologií

25.5.2012


10/29

Bezpečnost sítě - trendy ●

Již se nestačí bránit pouze na perimetru

25.5.2012


11/29

Nutné používat nové nástroje ●

Historicky 

●

Nedávno  

●

velmi otevřené prostředí

„zákopové války“ obrana perimetru sítě

Nyní 

25.5.2012

sofistikované útoky na míru


12/29

Bezpečnostní nástroje ● ● ● ● ●

Firewall IDS/IPS Antivir Network Behavior Analysis (NBA) SIEM (log management)

25.5.2012


13/29

Network Behavior Analysis ● ● ● ●

Network Behavior Analysis = analýza chování sítě Moderní „nadstavba“ nad monitorováním datových toků Automatická pokročilá detailní analýza NetFlow dat Detekce nežádoucích vzorů chování  

●

Behaviorální analýza  

●

vnitřní i vnější útoky nežádoucí služby a aplikace profily chování detekce anomálií, podezřelého chování

Účinné i pro moderní útoky psané na míru

25.5.2012


14/29

Network Behavior Analysis (NBA) Detekce nežádoucích vzorů chování

NBA – Detekce nežádoucích vzorů chování

Network Behavior Analysis (NBA) Detekce anomálií

NBA – Detekce anomálií

Doporučení Gartner ●

●

„Pokud máte Firewall a IDS/IPS, zvažte jako další krok implementaci NBA“, Gartner.

INVEA-TECH identifikována Gartnerem v NBA segmentu

25.5.2012


19/29

Gartner a realita ●

Gartner 

 

●

„Neexistuje bezpečnost bez monitoringu. Mnoho lidí bylo dlouho přesvědčeno že bezpečnost stačí budovat na perimetru a monitoring je zbytečná práce navíc. Opak je pravdou.“ bezpečná organizace = firewall + IPS + NBA doporučení pro zákazníky: „pokud máte FW a IPS, implementujte jako další krok NBA“

Realita 





25.5.2012

90% organizací nemá implementován systém monitorování datových toků / síťových komunikací a behaviorální analýzy vzrůstající požadavky na monitoring a bezpečnost, audity finančních institucí, budování CSIRT týmů na mnoha úrovních chybějící nástroje pro podporu implementace a kontroly ISO 27000


20/29

Proč NBA? ●

●

●

●

Počet napadených organizací neustále roste a tyto útoky mívají fatální následky Nejedná se pouze o útoky na velké společnosti, ale ty jsou nejvíce vidět ČR: státní správa, banky a pojišťovny ISS a INVEA-TECH

25.5.2012


21/29

Proč NBA? ●

Statistika Eurostat report – únor 2011  

●

84% počítačů v Evropě je chráněno anti-malware programem 31% počítačů v Evropě je nakaženo nějakým typem malware => FlowMon – detekce malware na základě chování (scany atp)!

SPAM nejenom dostáváme ale často i generujeme 

25.5.2012

problém pokud se organizace dostane na black listy => FlowMon – detekce odchozího spamu


22/29

Přínosy behaviorální analýzy ●

Přínosy  

 



 

●

zvýšení nejen vnější ale zejména vnitřní bezpečnosti sítě detekce skenování sítí, slovníkových útoků, útoků typu denial of service (DoS, DDoS), útoků na aplikační protokoly, P2P aktivit, spyware, spamů, virů nebo botnet sítí (např. Chuck Norris) identifikace nežádoucích služeb (např. podvodných web serverů) odhalení specifických i dosud neznámých hrozeb pro které neexistují signatury (a IPS ani antiviry je neodhalí) budování profilů chování jednotlivých zařízení a detekce změn komunikačních partnerů, objemů provozu či struktury provozu obrana proti sociálnímu inženýrství a úniky informací z organizace účinné i pro šifrovaný provoz

Instalace 

25.5.2012

network-based řešení - vše je monitorováno automaticky Flow monitoring a NBA © INVEA-TECH 2012

23/29

FlowMon architektura ●

FlowMon sondy 

●

FlowMon kolektory 

●

zdroj síťových statistik (NetFlow dat) vizualizace a vyhodnocení síťových statistik

FlowMon plugin 

25.5.2012

aplikace s přidanou funkcionalitou


24/29

FlowMon - výstupy ●

Spousta možností v závislosti na používaných pluginech 

25.5.2012

průběhové grafy, koláčové grafy, Top statistiky, události, syslog (CEF pro napojení na SIEM), email/SMS, výpisy komunikací...


25/29

Řešení FlowMon ●

Jedno řešení pro síťové i bezpečnostní oddělení

25.5.2012


26/29

Typické projekty ●

●

Flow monitoring a NBA nejsou drahé technologie a jsou dostupné pro většinu organizací Příklady nasazení:    

25.5.2012

FlowMon sonda pro monitoring vnitřní sítě: 75tis Kč FlowMon sonda pro monitoring LAN, WAN, Internet: 200tis Kč rozšiřující modul NBA pro detekci anomálií: 200tis Kč rozšiřující modul pro pokročilý reporting: 50tis Kč


27/29

Klíčové přínosy & shrnutí ●

Flow monitoring a NBA   

●

umožní Vám vidět do sítě pomohou spravovat Vaši síť efektivněji a levněji povýší bezpečnost sítě na vyšší stupeň

Řešení FlowMon     

25.5.2012

úplná řada produktů pro monitorování všech sítí dostupné také jako virtuální zařízení pokročilé bezpečností nadstavby (NBA) škálovatelné a flexibilní řešení unikátní přínos pro uživatele


28/29

Děkuji za pozornost

Váš partner ve světě vysokorychlostních sítí

Petr Špringl [email protected] 724 899 760 INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno www.invea.cz

25.5.2012


29/29

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl

Recommend Documents