Flow monitoring a NBA Další krok pro zvýšení bezpečnosti počítačové sítě Petr Špringl
[email protected]
Čím se zabýváme? • Monitoring sítě – správa, optimalizace, troubleshooting
Máte přehled o síťových komunikacích nejen do Internetu ale i v rámci WAN a LAN? Vidíte do sítě real-time i historicky? Neplatíte zbytečně moc poskytovali Internetu nebo WAN? Je vaše síť pomalá? Mají vaše síťové aplikace dlouhé odezvy? Jsou správci schopni odhalovat síťové problémy snadno a rychle? Nejsou ve vaší síti zneužívány služby P2P či přístup na web?
• Bezpečnost sítě – detekce i hrozeb a útoků, které nejsou odhalitelné jinými nástroji
31.10.2012
Jste schopni detekovat viry a malware nepodchycený antiviry? Máte nástroj pro odhalování podezřelých změn chování v síti? FlowMon © INVEA-TECH 2012
2/38
Monitoring sítě - možnosti • SNMP
pouze na úrovni základních čítačů, chybí detailní informace
• Monitoring toků
detailní přehled o dění v síti
• Paketová analýza
31.10.2012
velmi detailní, ale časově velmi náročná
FlowMon © INVEA-TECH 2012
3/38
Monitorování toků
Proč flow monitoring? • 80% administrátorů neví jaké je složení datových toků
10% uživatelů typicky vygeneruje 90% provozu – kteří to jsou? kolik je v síti email a web serverů (legitimních – nelegitimních)? až 50% toků někdy tvoří zbytečné komunikace SYN – RESET kolik provozu se generuje na tiskárnu? => monitoring vnitřní sítě, alerting, reporting
• Jaké weby a další internetové služby jsou využívány v sítí
ISP: vytvoření nového tarifu např. pro Facebook příznivce Standardní organizace: vydání nové směrnice pokud internetová rádia a videa tvoří 80% provozu na WAN linkách a zpomalují klíčový informační systém identifikace uživatelů řádících na ulož.to, youtube, P2P streamech..
31.10.2012
FlowMon © INVEA-TECH 2012
6/38
Proč flow monitoring? • 99% uživatelů zažilo problém - „síť je pomalá“
problém je typicky neřešitelný – není důkaz zda za to může lokání síť, aplikace či síť poskytovatele Internetu, WAN => vyhodnocení odezev sítě a identifikace problému
• 50-90% provozu na Internetu tvoří P2P provoz je síť vaší organizace z tohoto pohledu bezproblémová? a co skype či instant messaging? => detekce bittorentů, skypů, IM (včetně šifrovaných)
31.10.2012
FlowMon © INVEA-TECH 2012
7/38
Přínosy flow monitoringu • Stoprocentní znalost a přehled o komunikacích v síti – síť přestane být blackbox ve kterém běhají nějak pakety • Řádové snížení času nutného k řešení problémů • Vyšší efektivita správců sítě – efektivní troubleshooting • Kompletní reporting o dění na sítí • Přehled o využití síťových služeb a šířek pásma aplikacemi • Optimalizace síťové infrastruktury • Dohled SLA (pobočky, poskytované služby) • Vyšší efektivita zaměstnanců
proaktivní přístup: blacklisting X whitelisting X proaktivní monitoring weby, messengery, rádia, videa, p2p sítě
• Předcházení incidentům a výpadkům sítě 31.10.2012
FlowMon © INVEA-TECH 2012
8/38
Bezpečnostní sítě - trendy • Nové trendy vyžadují používání nových technologií
31.10.2012
FlowMon © INVEA-TECH 2012
9/38
Bezpečnostní sítě - trendy • Již se nestačí bránit pouze na perimetru
31.10.2012
FlowMon © INVEA-TECH 2012
10/38
Bezpečnostní nástroje • • • • •
Firewall IDS/IPS Antivir Network Behavior Analysis (NBA) SIEM (log management)
31.10.2012
FlowMon © INVEA-TECH 2012
11/38
Network Behavior Analysis • • • •
Network Behavior Analysis = analýza chování sítě Moderní „nadstavba“ nad monitorováním datových toků Automatická pokročilá detailní analýza NetFlow dat Detekce nežádoucích vzorů chování
vnitřní i vnější útoky nežádoucí služby a aplikace
• Behaviorální analýza
profily chování detekce anomálií, podezřelého chování
Behavior detection
Signature detection
Network level
Host level
• Účinné i pro moderní útoky psané na míru
31.10.2012
FlowMon © INVEA-TECH 2012
12/38
Detekce známých vzorů nežádoucího chování
Detekce anomálií
Doporučení Gartner • Gartner:
„Pokud máte Firewall a IDS/IPS, zvažte jako další krok implementaci NBA“, Gartner.
INVEA-TECH identifikována Gartnerem v NBA segmentu
31.10.2012
FlowMon © INVEA-TECH 2012
17/38
Gartner a realita • Gartner
„Neexistuje bezpečnost bez monitoringu. Mnoho lidí bylo dlouho přesvědčeno že bezpečnost stačí budovat na perimetru a monitoring je zbytečná práce navíc. Opak je pravdou.“ bezpečná organizace = firewall + IPS + NBA doporučení pro zákazníky: „pokud máte FW a IPS, implementujte jako další krok NBA“
• Realita
31.10.2012
90% organizací nemá implementován systém monitorování datových toků / síťových komunikací a behaviorální analýzy vzrůstající požadavky na monitoring a bezpečnost, audity finančních institucí, budování CSIRT týmů na mnoha úrovních chybějící nástroje pro podporu implementace a kontroly ISO 27000 FlowMon © INVEA-TECH 2012
18/38
Proč NBA? • Počet napadených organizací neustále roste a tyto útoky mívají fatální následky • Nejedná se pouze o útoky na velké společnosti, ale ty jsou nejvíce vidět • ČR: státní správa, banky a pojišťovny • ISS a INVEA-TECH 31.10.2012
FlowMon © INVEA-TECH 2012
19/38
Proč NBA? • Statistika Eurostat report – únor 2011 84% počítačů v Evropě je chráněno anti-malware programem 31% počítačů v Evropě je nakaženo nějakým typem malware => FlowMon – detekce malware na základě chování (scany atp)!
• SPAM nejenom dostáváme ale často i generujeme problém pokud se organizace dostane na black listy => FlowMon – detekce odchozího spamu
31.10.2012
FlowMon © INVEA-TECH 2012
20/38
Přínosy behaviorální analýzy • Přínosy
zvýšení nejen vnější ale zejména vnitřní bezpečnosti sítě detekce skenování sítí, slovníkových útoků, útoků typu denial of service (DoS, DDoS), útoků na aplikační protokoly, P2P aktivit, spyware, spamů, virů nebo botnet sítí identifikace nežádoucích služeb (např. podvodných web serverů) odhalení specifických i dosud neznámých hrozeb pro které neexistují signatury (a IPS ani antiviry je neodhalí) budování profilů chování jednotlivých zařízení a detekce změn komunikačních partnerů, objemů provozu či struktury provozu obrana proti sociálnímu inženýrství a úniky informací z organizace účinné i pro šifrovaný provoz
• Instalace
31.10.2012
network-based řešení - vše je monitorováno automaticky FlowMon © INVEA-TECH 2012
21/38
Řešení FlowMon
FlowMon – síť pod kontrolou! • Kompletní řešení pro monitorování sítě na základě IP toků • Založeno na technologii NetFlow v5/v9 • Poskytuje informace kdo, s kým, jak dlouho, jakým protokolem komunikoval a kolik přenesl dat • Nejlepší poměr cena/výkon na trhu • Unikátní přínos pro uživatele • Řešení pro sítě všech velikostí • Technologie vytvořená v ČR
31.10.2012
FlowMon © INVEA-TECH 2012
23/38
FlowMon architektura • FlowMon sondy
zdroj síťových statistik (NetFlow dat)
• FlowMon kolektory
31.10.2012
vizualizace a vyhodnocení síťových statistik
FlowMon © INVEA-TECH 2012
24/38
FlowMon sondy • Výkonné autonomní NetFlow sondy - zdroj záznamů o IP tocích ve formátu NetFlow v5/v9/IPFIX • Mobilní, L2/L3 neviditelná zařízení – transparentní pro monitorovanou síť, použitelná v libovolném bodě sítě • Standardní a hardwarově akcelerované modely • Vzdálená konfigurace přes intuitivní webové rozhraní • Podpora 10/100/1000 Ethernetu, 10 GE, IPv4, IPv6, VLAN • Vestavěný kolektor pro okamžité uložení a analýzu dat
31.10.2012
FlowMon © INVEA-TECH 2012
25/38
Standardní modely • Kompaktní 1U sondy s dobrým výkonem za nízkou cenu • Vhodné pro většinu standardních sítí
výkon více než 500 000 paketů za vteřinu u gigabitových modelů více než 1 500 000 paketů za vteřinu u desetigigabitových modelů
• Metalická i optická rozhraní, modely se SFP a SFP+ porty • Modely FlowMon Probe 100 Office, 1000, 2000, 4000, 6000, 10000, 20000 • Jeden administrativní a až 6 monitorovacích 1 GbE portů nebo až dva 10 GbE monitorovací porty
31.10.2012
FlowMon © INVEA-TECH 2012
26/38
FlowMon kolektory • Dlouhodobé uložení síťových statistik z několika zdrojů • Kolektorová aplikace pro analýzu NetFlow/IPFIX/sFlow statistik – FlowMon Monitorovací Centrum
vždy v ceně zařízení
• Zobrazení a analýzy síťového provozu • Profesionální řešení pro větší sítě
31.10.2012
RAID, redundantní napájení, úložná kapacita 1 TB – 100 TB dohled nad sítí z centrálního bodu v síti
FlowMon © INVEA-TECH 2012
27/38
Webové rozhraní zařízení • Intuitivní webové rozhraní se zabezpečeným přístupem • Nastavení zařízení - FlowMon Konfigurační Centrum • Vizualizace statistik - FlowMon Monitorovací Centrum
31.10.2012
FlowMon © INVEA-TECH 2012
28/38
FlowMon Monitorovací Centrum • • • •
Grafy a tabulky komunikací, formulář pro detailní analýzy Top N statistiky (uživatelé, služby, navštěvované servery) Předdefinovaná sada pohledů na standardní protokoly Uživatelsky definované pohledy (pobočky, servery, uživatelé)
• Reporty - online/offline, do emailu v PDF/CSV
• Upozornění na email - alerty, dynamické tresholdy
31.10.2012
FlowMon © INVEA-TECH 2012
29/38
FlowMon - pluginy
31.10.2012
FlowMon © INVEA-TECH 2012
30/38
FlowMon ADS • Detekce nežádoucích vzorů chování
vnitřní i vnější útoky nežádoucí služby a aplikace provozní a konfigurační problémy
• Behaviorální analýza
profily chování detekce anomálií sběr statistik
• Přehledné uživatelské rozhraní
dashboard s okamžitou indikací problémů a top statistik interaktivní vizualizace událostí integrace informací ze služeb DNS, WHOIS, geolokační služby
• Komplexní filtrování, alerting, reporting 31.10.2012
FlowMon © INVEA-TECH 2012
31/38
FlowMon ADS • Detekce nežádoucích vzorů chování
31.10.2012
útoky (skenování portů, slovníkové útoky, denial of service, protokol telnet) anomálie datového provozu (DNS, multicast, nestandardní komunikace) anomálie v chování zařízení (změna dlouhodobého profilu chování zařízení) nežádoucí aplikace (P2P sítě, instant messaging, anonymizační služby) interní bezpečnostní problémy (viry, spyware, botnety) poštovní provoz (odchozí spam) provozní problémy (zpoždění, nadměrná zátěž, reverzní DNS záznamy)
FlowMon © INVEA-TECH 2012
32/38
FlowMon ADS • Profily chování
31.10.2012
Obecná role zařízení – klient/server Objem provozu Unikátní komunikační partneři Využívané a poskytované služby Celkový poměr aktivity IP adresy
FlowMon © INVEA-TECH 2012
33/38
Typické projekty • Flow monitoring a NBA nejsou drahé technologie a jsou dostupné pro většinu organizací • Příklady nasazení:
31.10.2012
FlowMon sonda pro monitoring vnitřní sítě: 3.600 € FlowMon sonda pro monitoring LAN, WAN, Internet: 8.500 € rozšiřující modul NBA pro detekci anomálií: 7.000 €
FlowMon © INVEA-TECH 2012
34/38
Přínosy pro administrátory… • Detailní přehled o dění v síti (LAN i WAN) – jak v reálném čase, tak kdykoliv v minulosti • Přesné, rychlé a efektivní řešení problémů • Zvýšení bezpečnosti, odhalení vnitřních i vnějších útoků • Snadné plánování kapacit a optimalizací sítě • Dohled nad využitím Internetu, využitím aplikací • Předcházení incidentům jako jsou zahlcení a výpadky sítě • Odhalení špatných konfigurací
31.10.2012
FlowMon © INVEA-TECH 2012
35/38
..bezpečnost a management • Přínosy řešení pro bezpečnostní oddělení:
detekce vnitřních i vnějších útoků, změn chování v síti kontrola přístupů uživatelů k datovým zdrojům porovnání bezpečnostních politik se skutečným stavem v síti dohledávání a prokazování bezpečnostních incidentů prevence před únikem informací ze společnosti
• Přínosy řešení pro management:
31.10.2012
snížení nákladů na správu a provoz sítě statistiky (tabulky, koláčové grafy) o využití sítě kontrola využívání elektronických zdrojů zaměstnanci (např. využití Internetu v pracovní době) omezení využívání p2p aplikací ap. FlowMon © INVEA-TECH 2012
36/38
Bezpečnostní analýzy sítí • Detailní analýzy Vaší sítě se zaměřením na bezpečnost, výkonnost a optimální využití její kapacity • Nejmodernější metody pro monitorování IP toků • Nezávislé monitorovací sondy FlowMon • Bohaté zkušenosti v oblasti sledování a zabezpečení sítí • Přínosy bezpečnostních analýz:
31.10.2012
detailní znalost provozu na síti prevence potencionálních bezpečnostních problémů odhalení nesprávných konfigurací rychlé řešení problémů určení kritických míst sítě detailní statistiky aktivit uživatelů a služeb návrh řešení monitorování sítě na bázi NetFlow FlowMon © INVEA-TECH 2012
37/38
Děkuji za pozornost
Váš partner ve světě vysokorychlostních sítí
Petr Špringl
[email protected] 511 205 252
INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno www.invea.cz
31.10.2012
FlowMon © INVEA-TECH 2012
38/38