Flow monitoring a NBA

Flow monitoring a NBA Další krok pro zvýšení bezpečnosti počítačové sítě Petr Špringl [email protected]

Čím se zabýváme? • Monitoring sítě – správa, optimalizace, troubleshooting 

   

Máte přehled o síťových komunikacích nejen do Internetu ale i v rámci WAN a LAN? Vidíte do sítě real-time i historicky? Neplatíte zbytečně moc poskytovali Internetu nebo WAN? Je vaše síť pomalá? Mají vaše síťové aplikace dlouhé odezvy? Jsou správci schopni odhalovat síťové problémy snadno a rychle? Nejsou ve vaší síti zneužívány služby P2P či přístup na web?

• Bezpečnost sítě – detekce i hrozeb a útoků, které nejsou odhalitelné jinými nástroji  

31.10.2012

Jste schopni detekovat viry a malware nepodchycený antiviry? Máte nástroj pro odhalování podezřelých změn chování v síti? FlowMon © INVEA-TECH 2012

2/38

Monitoring sítě - možnosti • SNMP 

pouze na úrovni základních čítačů, chybí detailní informace

• Monitoring toků 

detailní přehled o dění v síti

• Paketová analýza 

31.10.2012

velmi detailní, ale časově velmi náročná

FlowMon © INVEA-TECH 2012

3/38

Monitorování toků

Proč flow monitoring? • 80% administrátorů neví jaké je složení datových toků     

10% uživatelů typicky vygeneruje 90% provozu – kteří to jsou? kolik je v síti email a web serverů (legitimních – nelegitimních)? až 50% toků někdy tvoří zbytečné komunikace SYN – RESET kolik provozu se generuje na tiskárnu? => monitoring vnitřní sítě, alerting, reporting

• Jaké weby a další internetové služby jsou využívány v sítí  

ISP: vytvoření nového tarifu např. pro Facebook příznivce Standardní organizace:  vydání nové směrnice pokud internetová rádia a videa tvoří 80% provozu na WAN linkách a zpomalují klíčový informační systém  identifikace uživatelů řádících na ulož.to, youtube, P2P streamech..

31.10.2012


6/38

Proč flow monitoring? • 99% uživatelů zažilo problém - „síť je pomalá“ 

problém je typicky neřešitelný – není důkaz zda za to může lokání síť, aplikace či síť poskytovatele Internetu, WAN => vyhodnocení odezev sítě a identifikace problému

• 50-90% provozu na Internetu tvoří P2P provoz je síť vaší organizace z tohoto pohledu bezproblémová?  a co skype či instant messaging? => detekce bittorentů, skypů, IM (včetně šifrovaných) 

31.10.2012


7/38

Přínosy flow monitoringu • Stoprocentní znalost a přehled o komunikacích v síti – síť přestane být blackbox ve kterém běhají nějak pakety • Řádové snížení času nutného k řešení problémů • Vyšší efektivita správců sítě – efektivní troubleshooting • Kompletní reporting o dění na sítí • Přehled o využití síťových služeb a šířek pásma aplikacemi • Optimalizace síťové infrastruktury • Dohled SLA (pobočky, poskytované služby) • Vyšší efektivita zaměstnanců  

proaktivní přístup: blacklisting X whitelisting X proaktivní monitoring weby, messengery, rádia, videa, p2p sítě

• Předcházení incidentům a výpadkům sítě 31.10.2012


8/38

Bezpečnostní sítě - trendy • Nové trendy vyžadují používání nových technologií

31.10.2012


9/38

Bezpečnostní sítě - trendy • Již se nestačí bránit pouze na perimetru

31.10.2012


10/38

Bezpečnostní nástroje • • • • •

Firewall IDS/IPS Antivir Network Behavior Analysis (NBA) SIEM (log management)

31.10.2012


11/38

Network Behavior Analysis • • • •

Network Behavior Analysis = analýza chování sítě Moderní „nadstavba“ nad monitorováním datových toků Automatická pokročilá detailní analýza NetFlow dat Detekce nežádoucích vzorů chování  

vnitřní i vnější útoky nežádoucí služby a aplikace

• Behaviorální analýza  

profily chování detekce anomálií, podezřelého chování

Behavior detection

Signature detection





Network level

Host level





• Účinné i pro moderní útoky psané na míru

31.10.2012


12/38

Detekce známých vzorů nežádoucího chování

Detekce anomálií

Doporučení Gartner • Gartner: 

„Pokud máte Firewall a IDS/IPS, zvažte jako další krok implementaci NBA“, Gartner.



INVEA-TECH identifikována Gartnerem v NBA segmentu

31.10.2012


17/38

Gartner a realita • Gartner 

 

„Neexistuje bezpečnost bez monitoringu. Mnoho lidí bylo dlouho přesvědčeno že bezpečnost stačí budovat na perimetru a monitoring je zbytečná práce navíc. Opak je pravdou.“ bezpečná organizace = firewall + IPS + NBA doporučení pro zákazníky: „pokud máte FW a IPS, implementujte jako další krok NBA“

• Realita 



 

31.10.2012

90% organizací nemá implementován systém monitorování datových toků / síťových komunikací a behaviorální analýzy vzrůstající požadavky na monitoring a bezpečnost, audity finančních institucí, budování CSIRT týmů na mnoha úrovních chybějící nástroje pro podporu implementace a kontroly ISO 27000 FlowMon © INVEA-TECH 2012

18/38

Proč NBA? • Počet napadených organizací neustále roste a tyto útoky mívají fatální následky • Nejedná se pouze o útoky na velké společnosti, ale ty jsou nejvíce vidět • ČR: státní správa, banky a pojišťovny • ISS a INVEA-TECH 31.10.2012


19/38

Proč NBA? • Statistika Eurostat report – únor 2011 84% počítačů v Evropě je chráněno anti-malware programem  31% počítačů v Evropě je nakaženo nějakým typem malware => FlowMon – detekce malware na základě chování (scany atp)! 

• SPAM nejenom dostáváme ale často i generujeme problém pokud se organizace dostane na black listy => FlowMon – detekce odchozího spamu 

31.10.2012


20/38

Přínosy behaviorální analýzy • Přínosy  

 







zvýšení nejen vnější ale zejména vnitřní bezpečnosti sítě detekce skenování sítí, slovníkových útoků, útoků typu denial of service (DoS, DDoS), útoků na aplikační protokoly, P2P aktivit, spyware, spamů, virů nebo botnet sítí identifikace nežádoucích služeb (např. podvodných web serverů) odhalení specifických i dosud neznámých hrozeb pro které neexistují signatury (a IPS ani antiviry je neodhalí) budování profilů chování jednotlivých zařízení a detekce změn komunikačních partnerů, objemů provozu či struktury provozu obrana proti sociálnímu inženýrství a úniky informací z organizace účinné i pro šifrovaný provoz

• Instalace 

31.10.2012

network-based řešení - vše je monitorováno automaticky FlowMon © INVEA-TECH 2012

21/38

Řešení FlowMon

FlowMon – síť pod kontrolou! • Kompletní řešení pro monitorování sítě na základě IP toků • Založeno na technologii NetFlow v5/v9 • Poskytuje informace kdo, s kým, jak dlouho, jakým protokolem komunikoval a kolik přenesl dat • Nejlepší poměr cena/výkon na trhu • Unikátní přínos pro uživatele • Řešení pro sítě všech velikostí • Technologie vytvořená v ČR

31.10.2012


23/38

FlowMon architektura • FlowMon sondy 

zdroj síťových statistik (NetFlow dat)

• FlowMon kolektory 

31.10.2012

vizualizace a vyhodnocení síťových statistik


24/38

FlowMon sondy • Výkonné autonomní NetFlow sondy - zdroj záznamů o IP tocích ve formátu NetFlow v5/v9/IPFIX • Mobilní, L2/L3 neviditelná zařízení – transparentní pro monitorovanou síť, použitelná v libovolném bodě sítě • Standardní a hardwarově akcelerované modely • Vzdálená konfigurace přes intuitivní webové rozhraní • Podpora 10/100/1000 Ethernetu, 10 GE, IPv4, IPv6, VLAN • Vestavěný kolektor pro okamžité uložení a analýzu dat

31.10.2012


25/38

Standardní modely • Kompaktní 1U sondy s dobrým výkonem za nízkou cenu • Vhodné pro většinu standardních sítí 



výkon více než 500 000 paketů za vteřinu u gigabitových modelů více než 1 500 000 paketů za vteřinu u desetigigabitových modelů

• Metalická i optická rozhraní, modely se SFP a SFP+ porty • Modely FlowMon Probe 100 Office, 1000, 2000, 4000, 6000, 10000, 20000 • Jeden administrativní a až 6 monitorovacích 1 GbE portů nebo až dva 10 GbE monitorovací porty

31.10.2012


26/38

FlowMon kolektory • Dlouhodobé uložení síťových statistik z několika zdrojů • Kolektorová aplikace pro analýzu NetFlow/IPFIX/sFlow statistik – FlowMon Monitorovací Centrum 

vždy v ceně zařízení

• Zobrazení a analýzy síťového provozu • Profesionální řešení pro větší sítě  

31.10.2012

RAID, redundantní napájení, úložná kapacita 1 TB – 100 TB dohled nad sítí z centrálního bodu v síti


27/38

Webové rozhraní zařízení • Intuitivní webové rozhraní se zabezpečeným přístupem • Nastavení zařízení - FlowMon Konfigurační Centrum • Vizualizace statistik - FlowMon Monitorovací Centrum

31.10.2012


28/38

FlowMon Monitorovací Centrum • • • •

Grafy a tabulky komunikací, formulář pro detailní analýzy Top N statistiky (uživatelé, služby, navštěvované servery) Předdefinovaná sada pohledů na standardní protokoly Uživatelsky definované pohledy (pobočky, servery, uživatelé)

• Reporty - online/offline, do emailu v PDF/CSV

• Upozornění na email - alerty, dynamické tresholdy

31.10.2012


29/38

FlowMon - pluginy

31.10.2012


30/38

FlowMon ADS • Detekce nežádoucích vzorů chování   

vnitřní i vnější útoky nežádoucí služby a aplikace provozní a konfigurační problémy

• Behaviorální analýza   

profily chování detekce anomálií sběr statistik

• Přehledné uživatelské rozhraní 

 

dashboard s okamžitou indikací problémů a top statistik interaktivní vizualizace událostí integrace informací ze služeb DNS, WHOIS, geolokační služby

• Komplexní filtrování, alerting, reporting 31.10.2012


31/38

FlowMon ADS • Detekce nežádoucích vzorů chování   

   

31.10.2012

útoky (skenování portů, slovníkové útoky, denial of service, protokol telnet) anomálie datového provozu (DNS, multicast, nestandardní komunikace) anomálie v chování zařízení (změna dlouhodobého profilu chování zařízení) nežádoucí aplikace (P2P sítě, instant messaging, anonymizační služby) interní bezpečnostní problémy (viry, spyware, botnety) poštovní provoz (odchozí spam) provozní problémy (zpoždění, nadměrná zátěž, reverzní DNS záznamy)


32/38

FlowMon ADS • Profily chování   

 

31.10.2012

Obecná role zařízení – klient/server Objem provozu Unikátní komunikační partneři Využívané a poskytované služby Celkový poměr aktivity IP adresy


33/38

Typické projekty • Flow monitoring a NBA nejsou drahé technologie a jsou dostupné pro většinu organizací • Příklady nasazení:   

31.10.2012

FlowMon sonda pro monitoring vnitřní sítě: 3.600 € FlowMon sonda pro monitoring LAN, WAN, Internet: 8.500 € rozšiřující modul NBA pro detekci anomálií: 7.000 €


34/38

Přínosy pro administrátory… • Detailní přehled o dění v síti (LAN i WAN) – jak v reálném čase, tak kdykoliv v minulosti • Přesné, rychlé a efektivní řešení problémů • Zvýšení bezpečnosti, odhalení vnitřních i vnějších útoků • Snadné plánování kapacit a optimalizací sítě • Dohled nad využitím Internetu, využitím aplikací • Předcházení incidentům jako jsou zahlcení a výpadky sítě • Odhalení špatných konfigurací

31.10.2012


35/38

..bezpečnost a management • Přínosy řešení pro bezpečnostní oddělení:     

detekce vnitřních i vnějších útoků, změn chování v síti kontrola přístupů uživatelů k datovým zdrojům porovnání bezpečnostních politik se skutečným stavem v síti dohledávání a prokazování bezpečnostních incidentů prevence před únikem informací ze společnosti

• Přínosy řešení pro management:   



31.10.2012

snížení nákladů na správu a provoz sítě statistiky (tabulky, koláčové grafy) o využití sítě kontrola využívání elektronických zdrojů zaměstnanci (např. využití Internetu v pracovní době) omezení využívání p2p aplikací ap. FlowMon © INVEA-TECH 2012

36/38

Bezpečnostní analýzy sítí • Detailní analýzy Vaší sítě se zaměřením na bezpečnost, výkonnost a optimální využití její kapacity • Nejmodernější metody pro monitorování IP toků • Nezávislé monitorovací sondy FlowMon • Bohaté zkušenosti v oblasti sledování a zabezpečení sítí • Přínosy bezpečnostních analýz:       

31.10.2012

detailní znalost provozu na síti prevence potencionálních bezpečnostních problémů odhalení nesprávných konfigurací rychlé řešení problémů určení kritických míst sítě detailní statistiky aktivit uživatelů a služeb návrh řešení monitorování sítě na bázi NetFlow FlowMon © INVEA-TECH 2012

37/38

Děkuji za pozornost

Váš partner ve světě vysokorychlostních sítí

Petr Špringl [email protected] 511 205 252

INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno www.invea.cz

31.10.2012


38/38

Flow monitoring a NBA

Recommend Documents