Monitoring datových toků - nový pohled na správu a bezpečnost datové sítě AdvaICT, a.s., ing. Ladislav Chodák, člen představenstva Úvod Vliv IT infrastruktury na fungování organizací je stále větší a ta se postupně stává jejich nervovou soustavou. To sebou nese zvyšující nároky na rozsah a kvalitu správy IT infrastruktury. Na potíže se přichází pozdě a jejich odstraňování má negativní vliv na chod organizace. Infikovaný počítač, který začne rozesílat SPAM způsobí, že se firma ocitne na černé listině (blacklist) a než se situace vysvětlí je její e-mailová komunikace ostatními servery blokována. Neustále se řeší, proč je občas síť či aplikace pomalé, vina se přehazuje mezi dodavateli a IT oddělením a lidé jsou zdržování při práci. Investice do rozvoje IT infrastruktury nejsou podloženy reálným stavem a potřebami. Obtížný a nedostatečný dohled nad sítí láká zaměstnance k jejímu zneužívání k osobním účelům a v neposlední řadě je také lákadlem pro různé amatérské či profesionální útočníky. Shrňme si klíčové manažerské otázky spojené s využíváním IT infrastruktury: Kolik stojí správa IT infrastruktury? Jaké jsou důsledky, když síť či její služby chvíli nefungují? Jaká bezpečnostní rizika IT infrastruktura představuje? Jak se okolní svět stará o to, zda je naše IT infrastruktura v pořádku? Jaké sankce nám hrozí, když naše IT infrastruktura v pořádku nebude? Se všemi těmito problémy se jako správce sítě či IT manager dříve nebo později setkáte a pro jejich odhalení, doložení a vyřešení se bez vhodných nástrojů neobejdete. Neefektivně udržovaná a spravovaná síť stojí středně velkou společnost (cca 250 počítačů) dle analýz sdružení Network Security Monitoring Cluster milión až dva korun ročně, nehledě na bezpečnost dané firemní IT infrastruktury. Dlouhá léta byl synonymem pro monitorování a dohled nad počítačovou sítí protokol SNMP, který však poskytuje jen souhrnné informace o provozu a neumožňuje vidět, co se v síti doopravdy děje. Díky technologii SNMP se sice dozvíte, že vaše internetová přípojka je vytížena o dvojnásobně než je obvyklé, ale jaké je rozložení provozu a kdo síť nejvíce zatěžuje, zůstává utajeno. SNMP dohled serverů a služeb odhalí nedostupnost, ale s měřením skutečné dostupnosti a kvality služby nepomůže. Současná doba si žádá modernější a efektivnější prostředky. Ty musí v reálném čase poskytovat analyzovat a vyhodnocovat detailní statistiky o síťovém provozu, právě to je klíčové pro efektivní správu a účinné zabezpečení počítačových sítí. Dostáváme se tak k bezpečnostnímu a provozními monitoringu datové sítě, behaviorální analýze (Network Behavior Analysis) a technologii datových toků. Datové toky Pro první přiblížení technologie datových toků lze říci, že datové toky v síti jsou to, co výpis telefonních hovorů v telekomunikacích. Dozvíte se, kdo se s kým bavil, kdy a jak dlouho to trvalo. Obsah rozhovoru zůstává utajen. Technologii monitoringu datových toků v síti reprezentuje průmyslový standard NetFlow. Tok je v terminologii NetFlow definován jako sekvence paketů se shodnou pěticí údajů: cílová/zdrojová IP adresa, cílový/zdrojový port a číslo protokolu. Pro každý tok
je zaznamenávána doba jeho vzniku, délka jeho trvání, počet přenesených paketů a bajtů a další údaje (příznaky spojení a další pole hlaviček přenosových protokolů). NetFlow statistiky byly až do nedávna doménou pokročilých a nákladných směrovačů (routerů) a přepínačů (switchů). Použití základních prvků IT infrastruktury pro generová NetFlow statistik však naráželo na řadu bariér a výkonnostních omezení.
Tyto nevýhody a bariéry odstranila česká společnost INVEA-TECH, která na základě výsledků výzkumu a vývoje realizovaného na CESNETu uvedla pod názvem FlowMon na trh specializovaná zařízení, tzv. sondy, schopné generovat NetFlow statistiky z libovolného bodu v síti. Sonda přitom není žádné atypické zařízení. Jde o 1U appliance (server) zařízení určené ke generování NetFlow statistik. V případě hardwarově akcelerovaného modelu je sonda vybavena i speciálním hardware založeným na hradlových polích, který garantuje zpracování všech paketů i na rychlosti 10 Gbps. Sondy se typicky umisťují na vstupní a výstupní body sítě, do centrálních bodů sítě a na kritická místa či linky s největšími přenosy dat. NetFlow statistiky jsou exportovány na kolektor, kde probíhá jejich automatické vyhodnocení s cílem odhalit provozní a bezpečnostní problémy na síti. Právě to je úkolem systému behaviorální analýzy FlowMon ADS, který je produktem společnosti AdvaICT. Původ tohoto systému najdeme na Masarykově univerzitě v Brně, kde základ technologie Network Behavior Analysis v českém podání vznikl. Network Behavior Analysis Co přesně je Network Behavior Analysis (NBA) a jak může pomoci při odhalování bezpečnostních a provozních problémů na síti? Dosažené výsledky prokazují, že datové toky je možné využít například při odhalování cílených útoků, zneužití sítě nebo anomálií, které se projevují pouze v několika datových tocích s minimálním objemem provozu. Typické úlohy pro NBA jsou: heuristická analýza datových toků a odhalování nežádoucího chování nebo služeb, aktualizace profilů chování jednotlivých zařízení v síti, odhalování anomálií na základě změny profilu chování. Nežádoucí chování zahrnuje útoky, zneužití sítě zaměstnanci, aktivity virů, anomálie komunikačních protokolů, používání vybraných aplikací nebo služeb, atd. Profily chování jsou celkovým přehledem o chování vybraného zařízení na síti. Tyto profily zahrnují informace jako typické počty spojení nebo objemů dat generovaných daným zařízením. Na základě profilů chování je možné vybudovat on-line
konfigurační databázi a vyhledávat využívání nebo poskytování konkrétních služeb. Tím však možnosti nekončí, behaviorální analýza může pomoci při odhalování nežádoucích aplikací, špatně nakonfigurovaných zařízení, využívání anonymizačních služeb v síti internet, uživatelů, kteří nejvíce vytěžují síť, nebo dokonce identifikovat zdroj zpoždění na síti. Díky profilům chování jsme schopni rozlišit servery a klienty v síti a získat přehled o využívaných a poskytovaných službách. Přirozeně se dostáváme k dalšímu tématu, kterým je analýza a vyhodnocení generovaných událostí. Vhodnou technikou je interaktivní vizualizace událostí, která zobrazuje provoz na počítačové síti ve formě orientovaného grafu. Uzly představují jednotlivá síťová zařízení adresou a hrany reprezentují datové přenosy mezi těmito zařízeními. Interaktivní vizualizace nabízí variabilní úrovně podrobnosti zobrazení s možností zaměřit se od agregované komunikace mezi zařízeními na síti až na úroveň jednotlivých spojení včetně interaktivního průchodu grafem (další informace na vyžádání).
Příklady použití Pojďme se podívat na dva konkrétní případy užití technologie NBA: odchozí SPAM a zpoždění na síti. Oba dva vychází z reálně řešených problémů v prostředí vybraných zákazníků společnosti AdvaICT. Pravděpodobně všichni známe následující scénář. Přichází zpráva od poskytovatele připojení k internetu (ISP) upozorňující na šíření SPAMu z vaší sítě. Rozesílání SPAMu je typickou aktivitou nežádoucích aplikací typu spyware/botnet, kterou autor spyware nebo botnetu vydělává peníze. Obdržení této zprávy je noční můrou pro IT oddělení. Musí vyhledat infikované zařízení ve své síti dříve, než ISP zablokuje přístup k mailovým službám nebo v nejhorším případě odpojí celou datovou síť. Pro vyřešení problému byl nasazen systém FlowMon ADS, který identifikoval prostřednictvím heuristiky šířící se SPAM ihned po nasazení. Podezření bylo v zápětí potvrzeno statistikou top stanic z hlediska počtu spojení.
Tento příklad ukazuje schopnost technologie NBA odhalit podezřelé aktivity virů, spyware a botnetů na síti. Ačkoliv není možné technologií NBA infekci stanice zabránit, je možné předcházet jak jejímu šíření, tak i hrozbě zařazení na blacklist, díky okamžitému odhalení nežádoucího chování. Zařazení na blacklist znamená nemožnost odesílat z dané sítě e-maily. Každý si tak může odpovědět sám, jaké následky má taková situace pro vlastní síť. Každá organizace s více pobočkami řeší problém spolehlivého spojení s centrálou. V případě výpadků a zvyšujícího se zpoždění jsou dotazy směřovány na poskytovatele připojení k internetu, jehož typickou odpovědí je „všechno je v pořádku, problém musí být na vaší straně“. Zákazník tak potřebuje důkaz, který je možné získat analýzou datových toků se zaměřením na zpoždění. Jeden z korporátních zákazníků opakovaně reklamoval u svého poskytovatele parametry pronajatého datového okruhu. Následovalo měření prostřednictvím FlowMon ADS, které prokázalo kolísání zpoždění.
Závěr Tradiční pohled na bezpečnost IT infrastruktur se mění. Technologie měření a analýza datových toků na síti je označována jako Network Behavior Analysis (NBA) a nasazení této technologie je doporučováno nezávislými poradenskými společnostmi, např. Gartner nebo Aberdeen Research Group jako doplněk k funkcionalitě zajišťované firewallem, antivirem, systémem IDS/IPS a běžným SNMP dohledem. Technologie NBA přináší efektivnější procesy dohledu a správy, zvyšuje bezpečnost IT infrastruktury, snižuje náklady na správu a zvyšuje produktivitu práce. Podívejme se na přínosy podrobněji: Efektivnější procesy o
Problémy jsou odhaleny a rozkryty včas – dříve než způsobí noční směny, výpadky, rozčílené uživatele a zákazníky
o
Administrátoři přestanou být zavaleni operativními problémy, mohou se věnovat rozvoji infrastruktury a poskytovaných služeb
Úspora nákladů o
Významné snížení pracnosti správy IT infrastruktury
o
Minimalizace nákladů vyplývajících z náprav škod způsobených bezpečnostními incidenty
o
Kontrola dodržování SLA dodavatelů služeb
o
Optimalizace licencí síťových aplikací
Bezpečnější infrastruktura o
Infrastruktura je lépe chráněna před novými bezpečnostními hrozbami (sociální inženýrství, útoky zevnitř, úniky dat, odchozí SPAM, …)
o
Bezpečnostní incidenty jsou odhaleny včas a je možné je rozkrýt a dokladovat
o
Lze eliminovat užití nelegálního softwaru a služeb, zneužívání sítě zaměstnanci
Tuto technologii je možné využít v infrastrukturách různého typu díky jednoduchosti nasazení, vysokého výkonu a škálovatelnosti, která vychází z nezávislosti technologie na topologie sítě a bez nutnosti cokoliv instalovat na jednotlivé stanice nebo servery. Produkt FlowMon ADS byl díky těmto vlastnostem oceněn v soutěži Inovace roku 2010. Díky společnosti AdvaICT a její službě NetHound (www.nethound.eu) je tato technologie dostupná formou vzdáleně poskytované služby rovněž menším sítím do 100 počítačů. O společnosti AdvaICT AdvaICT, a.s. je společnost poskytující komplexní řešení v oblasti monitorování, správy a bezpečnosti počítačových sítí. Společnost byla založena v roce 2006 jako spin-off Masarykovy univerzity. Mezi zákazníky AdvaICT patří společnosti, pro které je IT infrastruktura kritická a dbají na její vysokou úroveň zabezpečení a kvalitu služeb. Produkty a služby společnosti AdvaICT slouží k efektivní správě počítačových sítí, jsou ideálním doplňkem běžných bezpečnostních a dohledových nástrojů (firewally, antiviry, …). Hlavním cílem je automaticky odhalit provozní a bezpečnostní problémy, které jsou nezjistitelné běžně používanými prostředky. Díky produktům a službám AdvaICT je možné snadno odhalit příčiny problémů a tyto problémy eliminovat. AdvaICT nabízí profesionální službu jednorázového auditu síťové infrastruktury a kontrolu síťového provozu. Prostřednictvím této služby zjistí zákazník snadno skutečné parametry své infrastruktury i způsob jejího využití.
Případové studie FlowMon ADS Veletrhy Brno, a.s. jsou nejvýznamnější veletržní správou ve střední Evropě, hlavní činností společnosti je pořádání veletrhů a výstav. K dalším aktivitám patří výstavba veletržních expozic, pronájem všech prostor brněnského výstaviště, pořádání doprovodných programů k veletrhům a zajištění veškerých služeb, které s realizací veletrhů souvisí. Síť v areálu brněnského výstaviště má kaskádovanou hvězdicovou strukturu. Hlavním prvkem této sítě je centrální switch, přes který prochází veškerý příchozí a odchozí provoz a komunikace mezi klienty a servery. Druhý významný switch, ke kterému je připojen mimo jiné i externí webový server, je umístěn v DMZ. Síťová infrastruktura je postavena výhradně na aktivních prvcích firmy Cisco. Díky tomu je možné v případě potřeby kdykoliv řešení FlowMon rozšířit a využít schopnosti zařízení Cisco ke generování statistik o datových tocích – NetFlow a tato data zpracovávat nasazeným FlowMon ADS. Při výběru vhodného řešení formuloval zákazník následující požadavky: Účinně kontrolovat dodržování bezpečnostních směrnic a předpisů Vlastnit nástroj pro odhalení a rychlé rozkrytí vnitřních i vnějších útoků Detekovat úniky citlivých informací, sociální inženýrství Dokladovat skutečnou kvalitu služeb, zpoždění sítě a služeb Eliminovat nežádoucích aplikace, sdílení obsahu Detekovat infikovaná zařízení v síti Průběžně optimalizovat konfiguraci sítě a síťových zařízení Nasazení řešení FlowMon ADS Zařízení FlowMon Probe 2000 obsahující dva monitorovací porty je připojeno ke SPAM portu centrálního switche a SPAM portu switche v DMZ, které do těchto dvou monitorovacích portů zrcadlí veškerý provoz na síti. FlowMon ADS 101 průběžně a zcela automaticky analyzuje nasbíraná data, generuje události a reporty. Ing. Jiří Heršálek, systémový administrátor, zhodnotil nasazení řešení takto: "Dříve jsme monitorovali počítačovou síť naší společnosti tak, že jsme sbírali pouze informace o objemech přenesených dat na IP vrstvě a klíčových protokolů. Pokud jsme chtěli zkontrolovat určité datové toky, které se nám jevily jako podezřelé, nezbývalo nám než se vydat trnitou cestou manuální analýzy. Tato cesta se ukázala jako značně problematická, zejména kvůli extrémní časové náročnosti. Tímto způsobem nám taktéž mohli uniknout některé anomálie, či útoky, které byly rozloženy v delším čase, a probíhaly s menší intenzitou. Díky řešení FlowMon ADS, které behaviorální analýzu provádí automaticky, budeme schopni provoz na síti kompletně rozkrýt, odhalit problémy a útoky v reálném čase a tím pádem na ně pružně reagovat."
Network Traffic Audit
Teplárny Brno, a.s. zajišťují výrobu a rozvod tepelné a elektrické energie v jihomoravské metropoli. Provozují rozsáhlou datovou síť zahrnující jak počítače, tak i specializovaná technologická zařízení. Jedná se o desítky vzájemně propojených lokalit. V prosinci 2010 byl proveden společností AdvaICT, a.s. audit provozu datové sítě. Zařízení pro sběr a analýzu provozu na síti bylo umístěno do uzlu, kde probíhá hlavní komunikace mezi hlavními lokalitami Tepláren Brno (Okružní, Špitálka), které jsou datově nejexponovanější. Na základě prezentovaných výsledků analýzy a představeného řešení FlowMon ADS uvádí ing. Vladislav Kovář, asistent pro informatiku generálního ředitele společnosti: „Implementace systému pro audit provozu datové sítě je velmi jednoduchá, rychlá, žádným způsobem neovlivňuje provoz na síti. Výsledky jsou prezentovány zdařilou formou přehledných grafů a tabulek. Systém nabízí téměř neomezené pohledy a dotazy na analyzované datové toky, snadnou identifikaci maximálních a jinak zajímavých parametrů. Systém najde využití i u zákazníků, kteří se neřadí mezi síťové specialisty, protože odstiňuje uživatele od vlastních analyzovaných dat a poskytuje přehledné konsolidované informace s požadovanou podrobností. Trvalé nasazení řešení v datových sítích považuji za maximálně přínosné z důvodů převzetí absolutní kontroly nad děním v datové síti a možnosti proaktivního řešení případných incidentů a potenciálních rizik.“ Společnost InfoTel spol. s r.o. se zabývá výstavbou a provozem telekomunikačních sítí. Provozuje centralizovanou infrastrukturu s pobočkami připojenými prostřednictvím virtuální privátní sítě. V březnu 2011 se potýkali s přetížením virtuální privátní sítě, jehož příčinu odhalil audit realizovaný společností AdvaICT. Jeho výsledky hodnotí manažer IT, Michael Janek: „Naše společnost využívá ke spojení se svými pobočkami 22 stálých VPN tunelů. Od nedefinovaného okamžiku začalo docházet k náhodnému zahlcování těchto tunelů, které někdy vedlo až k přetížení aktivních prvků. Tím pádem kolabovalo i centrální připojení k internetu se všemi nepříjemnými důsledky z toho vyplývajícími. Ani cestou výměny aktivních a pasivních prvků sítě ani posilováním konektivity se nedařilo problém několik týdnů vyřešit. Ve spolupráci se společností AdvaICT, a.s. jsme využili službu Network Traffic Audit, kdy se během jednoho týdne zaznamenával provoz na síti. Po následné analýze byl problém nalezen a jeho odstranění už bude úkolem technického týmu dodavatele konkrétního software. Společnost AdvaICT, a.s. tak dokázala rychle a přesně lokalizovat problém, který jsme standardními prostředky nebyli schopni odhalit.“