Proč, kde a jak nasazovat flow monitoring a behaviorální analýzu

Proč, kde a jak nasazovat flow monitoring a behaviorální analýzu

Motivační body ● ● ● ● ● ●

● ● ● ●

09/19/11

Víte o všem co se děje ve Vaší síti? Jste si jistí bezpečnostní Vaší sítě? Je Vaše síť chráněna proti vnějším i vnitřním útokům? Máte možnost sledovat síťový provoz v reálném čase? Odhalujete problémy na síti rychle a jednoduše? Máte dostatek informací pro optimalizaci a rozšiřování síťové infrastruktury? Snadno dohledáváte a prokazujete bezpečnostní incidenty? Víte, kteří uživatelé a které služby nejvíce zatěžují Vaši síť? Znáte reálné využití Internetu? Kontrolujete dodržování peering dohod a SLA?

FlowMon © INVEA-TECH 2011

2/56

Přehled technologií

09/19/11


3/56

Proč flow monitoring? ●

09/19/11

Vidět!


4/56

Přínosy flow monitoringu ●

● ● ● ● ● ● ●

Stoprocentní znalost a přehled o komunikacích v síti – síť přestane být blackbox ve kterém běhají nějak pakety Řádové snížení času nutného k řešení problémů Vyšší efektivita správců sítě – efektivní troubleshooting Kompletní reporting o dění na sítí Přehled o využití síťových služeb a šířek pásma aplikacemi Optimalizace síťové infrastruktury Dohled SLA (pobočky, poskytované služby) Vyšší efektivita zaměstnanců  

●

09/19/11

proaktivní přístup: blacklisting X whitelisting X proaktivní monitoring weby, messengery, rádia, videa, p2p sítě

Předcházení incidentům a výpadkům sítě FlowMon © INVEA-TECH 2011

5/56

Proč behaviorální analýza? ●

kdysi dávno 

●

nedávno 

●

DMZ, obrana na perimetru ~ zákopové války

nyní 

09/19/11

otevřené sítě, veřejné IP adresy ~ války ve středověku

nebezpečí hrozí zvenku ale zejména i zevnitř sítě ~ zásahová komanda, speciální jednotky


6/56

Přínosy behaviorální analýzy ●

Přínosy  

 



 

●

Instalace 

09/19/11

zvýšení nejen vnější ale zejména vnitřní bezpečnosti sítě detekce skenování sítí, slovníkových útoků, útoků typu denial of service (DoS, DDoS), útoků na aplikační protokoly, P2P aktivit, spyware, spamů, virů nebo botnet sítí (např. Chuck Norris) identifikace nežádoucích služeb (např. podvodných web serverů) odhalení specifických i dosud neznámých hrozeb pro které neexistují signatury (a IPS ani antiviry je neodhalí) budování profilů chování jednotlivých zařízení a detekce změn komunikačních partnerů, objemů provozu či struktury provozu obrana proti sociálnímu inženýrství a úniky informací z organizace účinné i pro šifrovaný provoz network-based řešení - vše je monitorováno automaticky FlowMon © INVEA-TECH 2011

7/56

Kde nasadit flow monitoring ● ●

09/19/11

1. LAN 2. Internet / DMZ


8/56

Jak nasadit flow monitoring a behaviorální analýzu s využitím řešení FlowMon

FlowMon – síť pod kontrolou! ●

Kompletní řešení pro monitorování sítě na základě IP toků   

● ●

● ●

09/19/11

zařízení pro monitorování sítě – FlowMon sondy zařízení pro sběr a analýzu statistik o sítě – FlowMon kolektory aplikace s přidanou funkcionalitou – FlowMon pluginy

Založeno na technologii NetFlow v5/v9 Poskytuje informace kdo, s kým, jak dlouho, jakým protokolem komunikoval a kolik přenesl dat Řešení pro sítě všech velikostí Technologie vytvořená v ČR


10/56

Technologie NetFlow ●

Měření na základě IP toků 

● ●

Moderní metoda monitorování sítí, Cisco standard v5/v9 Redukce dat cca 500:1 

09/19/11

analyzují se pouze hlavičky paketů, obsah paketů není monitorován ani uchováván (ochrana osobních údajů)

sdružování do toků, obsah paketů není monitorován


11/56

Technologie NetFlow ●

TCP/IP tok je definován pěticí údajů.   

09/19/11

Source and Destination IP address Source and Destination Port Layer 4 Protocol (TCP/UDP/ICMP)


12/56

FlowMon architektura ●

Pasivní FlowMon sondy 

●

Kolektory NetFlow dat 

09/19/11

zdroj síťových statistik (NetFlow dat) vizualizace a vyhodnocení síťových statistik


13/56

FlowMon architektura ●

Možné nasadit v jakékoliv síti 

●

Dostupné jako zařízení/appliance  

●

fyzické zařízení (HW box - sonda, kolektor) virtuální zařízení (sonda, kolektor) pro VMware

Postavené na NetFlow technologii  



09/19/11

nezáleží na topologii sítě ani výrobci síťových prvků

kompatibilní s NetFlow zařízeními jiných výrobců možnost použít jako zdroj NetFlow dat i zařízení jiných výrobců – např. Cisco switche, Cisco routery možnost data přeposílat k uložení také na kolektorové aplikace třetí strany


14/56

Zapojení FlowMon sond v síti

Mirror port aktivního prvku ● SPAN mode ● monitoring LAN

09/19/11

Metalický/optický rozbočovač ● TAP mode ● páteřní linky ● připojení k internetu


15/56

Zapojení FlowMon sond v síti ●

Monitoring virtuálního prostředí pomocí virtuální sondy

●

Monitoring fyzické sítě pomocí virtuální sondy

09/19/11


16/56

FlowMon sondy ●

●

● ● ● ●

09/19/11

Výkonné autonomní NetFlow sondy - zdroj záznamů o IP tocích ve formátu NetFlow v5/v9 Mobilní, L2/L3 neviditelná zařízení – transparentní pro monitorovanou síť, použitelná v libovolném bodě sítě Dostupné jako fyzické či virtuální zařízení Standardní a hardwarově akcelerované modely Podpora 10/100/1000 Ethernetu, 10 GE, IPv4, IPv6, VLAN Vestavěný kolektor pro okamžité uložení a analýzu dat


17/56

Standardní modely ● ●

● ●

●

09/19/11

Kompaktní 1U sondy s dobrým výkonem za nízkou cenu Vhodné pro většinu standardních sítí (výkon více než 500 000 paketů za vteřinu u gigabitových modelů, více než 1 500 000 paketů za vteřinu u desetigigabitových modelů) Metalická i optická rozhraní, modely se SFP a SFP+ porty Modely FlowMon Probe 100 Office, 1000, 2000, 4000, 6000, 10000, 20000 Jeden administrativní a až 6 monitorovacích 10/100/1000 Ethernet portů nebo až dva 10 GE monitorovací porty


18/56

Akcelerované modely ● ● ● ● ● ● ●

09/19/11

Využití technologie programovatelného hardware Maximální výkon a stabilita Neunikne žádný paket, zpracování na rychlosti linky 15 miliónů paketů za vteřinu na 10GE lince Vhodné pro velké sítě a páteřní linky Modely FlowMon Probe 4000 Pro, 20000 Pro 4 monitorovaná 10/100/1000 Ethernet rozhraní či 2 desetigigabitové monitorované rozhraní


19/56

FlowMon kolektor ● ●

Dlouhodobé uložení NetFlow statistik z několika zdrojů Zařízení pro analýzu a vizualizaci síťového provozu  

● ● ●

Dostupné jako fyzické či virtuální zařízení Stejné rozhraní jako u vestavěného kolektoru na sondě Profesionální řešení pro větší sítě  

09/19/11

FlowMon monitorovací centrum – vždy v ceně zařízení možnost zvolit další analytické aplikace dle požadavků – FlowMon pluginy

RAID, redundantní napájení, úložná kapacita 1 TB – 100 TB dohled nad sítí z centrálního bodu v síti


20/56

Webové rozhraní FlowMona ● ●

●

●

09/19/11

Intuitivní webové rozhraní se zabezpečeným přístupem Nastavení parametrů sondy/kolektoru - FlowMon Configuration Center Vizualizace síťových statistik na vestavěném kolektoru – FlowMon Monitoring Center Komunikace se sondou přes administrativní síťový port


21/56

FlowMon konfig. centrum ● ●

09/19/11

Konfigurace a správa parametrů sondy Nastavení cíle exportů, správa uživatelů a další


22/56

FlowMon monitor. centrum ● ● ● ● ●

09/19/11

Integrovaný kolektor pro ukládání a vizualizaci statistik Grafy a tabulky komunikací, formulář pro detailní analýzy Top N statistiky (uživatelé, služby, navštěvované servery) Předdefinovaná sada pohledů na standardní protokoly Uživatelsky definované pohledy (pobočky, servery, uživatelé)


23/56

FlowMon monitor. centrum ● ● ●

09/19/11

Dlouhodobý detailní záznam o provozu na síti Podpora profilů a upozornění na email (alerty) Dohledání libovolné komunikace v síti


24/56

FlowMon rozšiřující moduly ● ●

Rozšiřující aplikační moduly Integrace do webového rozhraní sondy/kolektoru    

09/19/11

inteligentní reportovací nástroj NBA, detekce anomálií a infikovaných počítačů dohledové nástroje logování navštívených URL, detekce NAT a další


25/56

Pluginy - případy využití

Potřebujete přehledné koláčové grafy pro manažery?

09/19/11


26/56

FlowMon Reporter ● ● ●

09/19/11

Inteligentní reportovací nástroj, export do pdf, csv Přehled o tom co se dělo v síti za poslední den/týden/měsíc Statistiky online i offline v zadaném intervalu do emailu


27/56

FlowMon Reporter ●

Report pro administrátora:    

●

Report pro manažera:    

09/19/11

Jak je vytížená připojovací linka k internetu? Jaké se využívají jednotlivé služby v síti? Kdo nejvíce vytěžuje klíčový server s IS? Nejsou v komunikacích výrazné odchylky?

Kdo chodí nejvíce na web? Na které weby se nejvíce chodí? Kdo rozesílá nejvíce emailů? Kdo je král P2P sítí?


28/56


Tušíte, že bezpečnost Vaší vnitřní sítě není úplně v pořádku? Řešíte opakovaně konfigurační a provozní problémy ve Vaší síti? Jsou Vaši zaměstnanci ukáznění? Nepoužívají nežádoucí služby a aplikace?

09/19/11


29/56

FlowMon ADS ●

Detekce nežádoucích vzorů chování   

●

Behaviorální analýza   

●

 

09/19/11

Profily chování Detekce anomálií Sběr statistik

Přehledné uživatelské rozhraní 

●

Vnitřní i vnější útoky Nežádoucí služby a aplikace Provozní a konfigurační problémy

Dashboard s okamžitou indikací problémů a top statistik Interaktivní vizualizace událostí Integrace informací ze služeb DNS, WHOIS, geolokační služby

Komplexní filtrování, alerting, reporting FlowMon © INVEA-TECH 2011

30/56

FlowMon ADS ●

09/19/11

Detekce nežádoucích vzorů chování 

Útoky (skenování portů, slovníkové útoky, denial of service, protokol telnet)



Anomálie datového provozu (DNS, multicast, nestandardní komunikace)



Anomálie v chování zařízení (změna dlouhodobého profilu chování zařízení)



Nežádoucí aplikace (P2P sítě, instant messaging, anonymizační služby)



Interní bezpečnostní problémy (viry, spyware, botnety)



Poštovní provoz (odchozí spam)



Provozní problémy (zpoždění, nadměrná zátěž, reverzní DNS záznamy)


31/56

FlowMon ADS ●

09/19/11

Behaviorální analýza 

Profily chování (klient/server, objem dat, partneři, struktra provozu)



Detekce anomálií (srovnání aktuálního chování s naučeným profilem)



Sběr statistik (kontirnuální měření vybraných ukazatelů chování sítě)


32/56

FlowMon ADS ●

09/19/11

Uživatelské rozhraní 

Moderní webové uživatelské rozhraní



Řada alternativních pohledů na události



Prohledávání profilů chování



Interaktivní vizualizace událostí



Česká lokalizace a on-line nápověda


33/56


Máte obavy z útoků na míru, malwaru nebo jiných bezpečnostních hrozeb?

09/19/11


34/56

Cognitive Analyst ●

●

09/19/11

Efektivní obrana proti útokům psaným na míru i samomodifikujícímu se malwaru Detekce virů, trojských koní, botnetů, P2P sítí a další


35/56


Víte, na které weby chodí Vaši uživatelé?

09/19/11


36/56

FlowMon HTTP Logger ● ●

09/19/11

Přehled nejnavštěvovanějších webových stránek Většina zaměstnanců na web vůbec nechodí..nebo?:)


37/56


Nemáte jednoduchý nástroj pro dohled aktivních prvků, serverů a služeb?

09/19/11


38/56

Zabbix ●

● ●

09/19/11

Dostaňte upozornění od automatického systému dříve než od šéfa / zákazníka / uživatele Dohled síťových prvků, serverů, služeb ICMP, SNMP, agenti pro monitoring místa na disku atd.


39/56

Pluginy - případy využití - ISP

Potřebujete detekovat NATy v síti?

09/19/11


40/56

FlowMon NAT Detective ● ●

09/19/11

Odhalení kolik uživatelů se skrývá za jednou IP adresou Detekce nežádoucích bezdrátových přístupových bodů


41/56

Pluginy - případy využití - ISP

Nemáte splněn zákon o elektronické komunikaci (DR či LI)?

09/19/11


42/56

FlowMon DR & LI ● ●

● ●

09/19/11

Splnění zákona o elektronické komunikaci Strukturovaný výpis datové komunikace - kdo s kým kdy komunikoval a kolik přenesl dat Datové odposlechy Certifikováno ministerstvem vnitra


43/56

FlowMon online demo

09/19/11


44/56

Typický projekt - menší ●

● ● ●

09/19/11

Monitoring vnitřní sítě i Internetu s využitím SPAN/mirror portu aktivního prvku. Jednoportová gigabitová sonda. Dle počtu pluginů 75 – 150 tis Kč Reference: JIC, Nemocnice Olomouc, MVV Energie Alternativa pro 10/100 Mbps FlowMon Probe 100 Office 33tis Kč bez DPH


45/56

JIC – Technologický Inkubátor ●

O Jihomoravském Inovačním Centru   

●

Požadavky     

09/19/11

podporuje inovační podnikání v Jihomoravském kraji během 6 let pomohlo vzniknout více než 50 firmám poskytuje finance, prostory a služby inkubovaným firmám

přehled o stavu sítě a využívaných služeb automatická detekce používání torentů a P2P sítí kontrola nadměrného downloadu a uploadu ze sítě JIC při výskytu incidentu upozornění e-mailem dohledový systém pro správu síťových zařízení FlowMon © INVEA-TECH 2011

46/56

JIC – Technologický Inkubátor ●

Řešení   

●

Vyjádření ICT manažera pana Ing. Jiřího Valy 

09/19/11

nasazena 1-portová sonda FlowMon Probe 1000 monitorována LAN a připojení do Internetu plugin Zabbix pro dohled serverů a služeb

„Díky řešení FlowMon máme kompletní přehled o tom, co se v naší sítí děje a jak je využívána jednotlivými firmami. Jsme schopni velmi rychle a automaticky detekovat porušení pravidel či využívání zakázaných aplikací jako jsou P2P sítě.“


47/56

Typický projekt - střední ●

● ●

09/19/11

Monitoring vnitřní sítě s využitím SPAN/mirror portu aktivního prvku. Monitoring komunikace za firewallem pomocí tapu. Čtyřportová gigabitová sonda. Dle počtu pluginů 150 – 500 tis Kč Reference: Aegon, Olomoucký kraj Akademie Věd, MVV Energie


48/56

Aegon SK ●

O společnosti AEGON 

 

●

Požadavky IT oddělení 



   

09/19/11

jedna z největších světových společností v oblasti životního pojištění a penzijního připojištění, jejíž kořeny sahají do roku 1759 více než 40 milionů klientů na celém světě svěřeno více než 368 miliard euro kompletní monitorování ředitelství SK (síť se stovkami PC), WAN linek na místní pobočky a zahraniční konektivity do centrály splnění legislativních norem a požadavku externího auditora na monitoring datových komunikací zvýšení bezpečnosti počítačové sítě kontrola přístupu k datovým zdrojům efektivnější správa sítě a zjišťování chybných konfigurací dohledový systém pro správu síťových zařízení FlowMon © INVEA-TECH 2011

49/56

Aegon SK ●

Řešení  

 

●

nasazena 4-portová sonda FlowMon Probe 4000 monitorována LAN, DMZ, připojení do Internetu a připojení místních poboček plugin Zabbix pro dohled serverů a služeb plugin FlowMon Reporter pro automatickou tvorbu reportů

Vyjádření ředitele IT pana Štěrbáka „Projekt nasazení řešení FlowMon se podařil realizovat ve velmi krátké době a díky němu nyní nejenom splňujeme bezpečnostní legislativní požadavky na monitoring sítě, ale také jsme výrazně zrychlili a zefektivnili správu naší sítě. V každém okamžiku víme, co se v naší síti děje a můžeme na danou situaci ihned reagovat.“

09/19/11


50/56

Typický projekt - rozsáhlý ● ● ●

09/19/11

Monitoring více lokalit - sondy, kolektor či kolektory, pluginy Dle počtu lokalit 500 tis Kč – 15 mil Kč Reference: AVG, Ministerstvo Obrany (přes VDI Meta)


51/56

AVG Technologies ●

O společnosti AVG Technologies    

●

Požadavky IT oddělení     

09/19/11

výrobce produktů pro ochranu dat komplexní nabídka celosvětově používaného bezpečnostního SW více než 450 zaměstnanců v ČR v roce 2010 přesáhl počet uživatelů hranici 110 milionů

rozkrytí datové komunikace na síti centrální správa a monitoring sítě integrace do současné infrastruktury a s používanými nástroji nasazení ve dvou lokalitách kompletní SNMP dohled


52/56

AVG Technologies ●

Řešení 



 

●

Zkušenosti bezpečnostního týmu se systémem   

09/19/11

lokalita 1 – nasazena 4-portová sonda FlowMon Probe 4000 lokalita 2 – statistiky generovány centrálním aktivním prvkem sběr a analýza dat FlowMon kolektorem na kolektoru Zabbix plugin pro SNMP dohled

výrazné zvýšení bezpečnosti sítě, snadné dohledání incidentů kompletní přehled o síťovém provozu v centrále i na pobočce okamžitá reakce při výpadku či nedostupnosti služby


53/56

Typický projekt - ISP ● ●

Monitoring všech uplinek – NIX, zahraniční tranzit Standardní velikost projektu  

●

09/19/11

Malý ISP, 1-2 gigabitové linky, 75 – 150tis Kč Velký ISP, desetigigabitové linky, 0,5 – 15 mil Kč

Reference: Sloane Park, ČD Telematika, KT Přerov


54/56

Bezpečnostní analýzy sítí ●

● ● ● ●

Detailní analýzy Vaší sítě se zaměřením na bezpečnost, výkonnost a optimální využití její kapacity Nejmodernější metody pro monitorování IP toků Nezávislé monitorovací sondy FlowMon Bohaté zkušenosti v oblasti sledování a zabezpečení sítí Přínosy bezpečnostních analýz:       

09/19/11

detailní znalost provozu na síti prevence potencionálních bezpečnostních problémů odhalení nesprávných konfigurací rychlé řešení problémů určení kritických míst sítě detailní statistiky aktivit uživatelů a služeb návrh řešení monitorování sítě na bázi NetFlow FlowMon © INVEA-TECH 2011

55/56

Kontaktní informace

Váš partner ve světě vysokorychlostních sítí

INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno www.invea.cz

09/19/11


56/56

Proč, kde a jak nasazovat flow monitoring a behaviorální analýzu

Recommend Documents