Hegyi Béla, technikai tanácsadó
Cisco MARS Bemutatása
Tartalom • Hálózati eszközök menedzsmentje – a probléma • CS-MARS terminológia, alapfogalmak • MARS termékcsalád • MARS bevezetése • A megvalósított megoldás előnyei, tapasztalatok
Hálózati eszközök menedzsmentje • Problémák – – – –
Túl sok és elosztott információ, nehéz kiválasztani az igazán fontosakat Nehezen értelmezhető naplóüzenetek Lassú reakció Emberi erőforrásigény magas
• Igények – – – – –
Gyors reakció Hatékony válaszlépések Csak a szükséges üzenetek megjelenítése Támadás nyomon követése, összefüggések felismerése Riportok készítése
Hálózati eszközök menedzsmentje
MARS terminológia
on
Verify
Valid Incidents
du c ti o
a ti
Rules
n
Sessions
l rre
• Incident: szabályra illeszkedő, korrelált események által kiváltott riasztás.
...
Isolated Events
Co
• Session: korrelált event-ek (események).
IDS Event Server Log Firewall Cfg. AV Alert NAT Cfg. App Log Netflow VA Scanner
Re
• Event: MARS-ra riportoló eszközök által küldött „nyers” log-üzenetek.
Firewall Log Switch Log Switch Cfg. Router Cfg.
MARS termékcsalád • Egyszerű telepítés • Agent nélküli esemény gyűjtés • Incidensek topológiai megjelenítése • L2, L3 védekezési mechanizmusok • Hibajegy kezelés • Magas rendelkezésre állás
MARS termékcsalád • Web interface és CLI
MARS termékcsalád • Támogatott eszköztípusok – – – – – – – – – – –
Router Switch Tűzfal IDS/IPS VPN Anti-vírus Operációs rendszerek Web-szerverek Adatbázis szerverek AAA szerverek …
• Támogatott gyártók – Cisco eszközök nagy része – Alapértelmezetten támogatott gyártók – Egyedileg illesztett megoldások (Custom Parser)
MARS termékcsalád • Local Controller – Global Controller architektúra
MARS termékcsalád Local Controller Models
Event/sec
NetFlows/Sec
Storage
Cisco Security MARS 20R
50
1.500
120 GB (non-RAID)
Cisco Security MARS 20
500
15.000
120 GB (non-RAID)
Cisco Security MARS 50
1.000
30.000
240 GB RAID 0
Cisco Security MARS 100e
3.000
75.000
750 GB RAID 10 hot-swappable
Cisco Security MARS 100
5.000
150.000
750 GB RAID 10 hot-swappable
Cisco Security MARS 200
10.000
300.000
1,000 GB RAID 10 hot-swappable
Cisco Security MARS 110R
4.500
75.000
1,500 GB RAID 10 hot-swappable
Cisco Security MARS 110
7.500
150.000
1,500 GB RAID 10 hot-swappable
Cisco Security MARS 210
15000
300.000
2,000 GB RAID 10 hot-swappable
MARS termékcsalád
Global Controller Models
LC Models Supported
Maximum Connections
Storage
Cisco Security MARS GCm
MARS 20/50 only
5
1 TB RAID 10 hotswappable
Cisco Security MARS GC
MARS 20/50/100/100e/200 only
Not currently restricted
1 TB RAID 10 hotswappable
Cisco Security MARS GC2 R
MARS 20/50 only
5
2 TB RAID 10 hotswappable
Cisco Security MARS GC2
All Cisco Security MARS
Not currently restricted
2 TB RAID 10 hotswappable
MARS bevezetés • Sok log-üzenet • Logok tárolása hosszú időre visszamenőleg • Szerepkör alapú adminisztráció • Incidensek/riasztások küldése célcsoportoknak • Magas rendelkezésre állás • Törvényi előírások • PSZÁF ajánlások
MARS bevezetés • PSZÁF ajánlások – Mai állapot előzményének a 2000-ben megjelent felügyeleti ajánlás tekinthető – A Pénzügyi Szervezetek Állami Felügyelete Felügyeleti Tanácsának 11/2006. számú ajánlása a belső védelmi vonalak kialakításáról és működtetéséről – A Pénzügyi Szervezetek Állami Felügyeletének 1/2007. számú módszertani útmutatója a pénzügyi szervezetek informatikai rendszerének védelméről (COBIT 3. verzió hivatkozásokkal)
MARS bevezetés „Az informatika biztonsági felelősnek gondoskodnia kell arról, hogy a biztonságot érintő eseményekről nyilvántartást vezessenek, továbbá arról, hogy a rendszer a biztonsági intézkedések megsértésére utaló jelzésekről azonnal értesítse az összes, belső és külső, érintett felet és kellő időben megtegyék a szükséges válaszlépéseket.” „A rendszerek által készített naplók biztonsági szempontú elemzését folyamatosan, dokumentált módon kell végezni. Több rendszer, vagy nagyobb szervezet esetén a naplóelemzés megfelelő informatikai támogatásának biztosítása szinte elengedhetetlen a megfelelő színvonalú és költség-hatékony munkához.”
MARS bevezetés • MARS modell kiválasztása – MARS-ra riportoló eszközök száma – Eszközök jelenlegi logolási beállításainak vizsgálata • Logolási szintek vizsgálata
– Tárkapacitás figyelembe vétele • Days = Usable storage / (Event size * EPS *86.400)
MARS bevezetés Model
Total storage
Available storage
MARS-20R
120 GB
77 GB
MARS-20
120 GB
77 GB
MARS-50
240 GB
155 GB
MARS-100E
750 GB
565 GB
MARS-100
750 GB
565 GB
MARS-200
1000 GB
795 GB
MARS-110R
1500 GB
866 GB
MARS-110
1500 GB
866 GB
MARS-210
2000 GB
1221 GB
MARS bevezetés • MARS modell kiválasztása – Átlagos és maximum EPS • Megfelelő tartalék
– Jelenlegi logkezelés, archiválás áttekintése • Az új rendszer feleljen meg a jelenlegi rendszerrel szemben támasztott követelményeknek is. • Mentési rendszerhez való illeszthetőség vizsgálata
– Jövőbeli igények
MARS bevezetés
• Szerepkör alapú adminisztráció – Konfigurációs jogok beállítása – Riasztások beállítása – Megfelelő riasztások a megfelelő személyeknek – Csoportok bevezetése
MARS bevezetés
• Szerepkörök – Admin – Security Analyst – Operator – Notifications Only
MARS bevezetés • Szabály létrehozása – Cél/Forrás IP cím – Szolgáltatás – Esemény – Eszköz – Kulcsszó – Eseményszám – Eseménysorozatok – …
MARS bevezetés • „Action” beállítása szabályonként • Példa – riasztás küldése email-ben – E-mail címzettek testre szabása: csoportok, felhasználók
• Riasztást a szükséges incidensekről, a megfelelő személyeknek, csoportoknak
A bevezetett rendszer előnyei
• Kisebb emberi erőforrás igény • Gyorsabb reakció az incidensekre, eseményekre • Az incidensekről csak a megfelelő személyek kapnak tájékoztatást – letisztult jogkörök, feladatok • Egyedi igényeinek megfelelő szabályok létrehozása
A bevezetett rendszer előnyei • Könnyen összeállítható lekérdezések • Gyors riportkészítési lehetőségek
További információk
• www.cisco.com/go/mars • www.synergon.hu • Hegyi Béla (
[email protected])
Hegyi Béla, technikai tanácsadó
Köszönöm figyelmüket!
