1
Provozně-bezpečnostní monitoring datové infrastruktury
Případová studie implementace FlowMon řešení Připravil:
[email protected]
2
Provozně-bezpečnostní monitoring datové infrastruktury
Výzvy
• Rozsáhlá počítačová sít čítající více než 5 tisíc koncových IP zařízení, 100+ nezávislých LAN sítí, dvě datové centra,… • Stávající monitoring nebyl schopen poskytnout dostatečně kvalitně a efektivně potřebné informace pro správu sítě a síťovou bezpečnost • Z provozně – bezpečnostního pohledu bylo zapotřebí implementovat monitorovací řešení, poskytující informace o provozu v síti, jeho struktuře a vývoji v čase
Provozně-bezpečnostní monitoring datové infrastruktury
3
Výchozí situace před implementací FlowMon
IT oddělení společnosti denně řeší desítky úkonů týkajících se běžné správy ICT systémů. Vzhledem k vysokému vytížení stávajících pracovníků běžnou operativou v dynamicky se rozrůstajícím prostředí a vzhledem k limitovaným IT personálním zdrojům ve výrobních závodech bylo zapotřebí implementovat kvalitnější monitoring datové komunikace splňující následující požadavky: • Kompletní monitoring WAN jak pro výrobní, tak i obchodní pobočky, detailní monitoring LAN výrobních závodů, datových center a centrály, • Efektivnější správa a dohled sítě, zjišťování chybných konfigurací a řešení problémů na síti, • Potřeba jednoznačné dohledatelnosti identity původce provozně bezpečnostních událostí a anomálií.
Provozně-bezpečnostní monitoring datové infrastruktury
4
Řešení
• Centrální Flowmon kolektor • 1, 2 a 4portové Flowmon sony implementovaných v klíčových lokalitách pro zajištění detailního monitoringu LAN • ADS Business • Dalších 10+ aktivních prvků zasílajících NetFlow export data na centrální kolektor • Dodávka a implementace realizována ve spolupráci s Dimension Data Czech Republic
Provozně-bezpečnostní monitoring datové infrastruktury
5
Běžné monitorovací akce a využívané funkce ADS: Detekce/analýza: • SSH a DoS útoků na zařízení umístěné v Internetu/DMZ. • Akce/Mitigace: zpravidla úprava konfigurace FW či konfigurace samotných zařízení v DMZ • Komunikace Interních IP adres s Blacklisted IPs, následná kontrola pomocí vyfiltrování dalších událostí v ADS pro příslušnou IP zda není zdrojem dalších anomálií • Akce/Mitigace: identifikace systému a uživatele, kontrola OS a případně edukace uživatele • (ne)dostupnosti služeb po rekonfiguracích, aktualizacích a migracích (metoda SRVNA) • Akce/Mitigace: kontrola/oprava • Detekce L3 anomálií, konkrétně problémů se směrováním • Akce/Mitigace: spolupráce s service providery na odstranění problému • Detekce dalších anomálií jako např. abnormálního monožství SMTP, DNS, ICMP,…
Flowmon: • • • •
Reporty, kontrola top statistik za den/týden Kontrola trendů ve vytížení LAN/WAN (proaktivní kontrola, kapacitní plánování,…) Detailní analýza událostí z ADS Analýza SIP komunikace
Provozně-bezpečnostní monitoring datové infrastruktury
6
Hrubá čísla pro představu
• • • •
Průměrně ADS celoročně analyzuje 850flows/s Běžné denní špičky +2000fps Počet toků vyžadujících zvýšenou pozornost a případnou analýzu je o 4-5 řádů nižší než počet zbývajících toků Cca 20-30 systémů/IPs kontrolovaných za měsíc na základě detekovaných událostí v ADS
Provozně-bezpečnostní monitoring datové infrastruktury
7
Přínosy řešení
• Viditelnost do sítě včetně detailního přehledu o chování uživatelů a zařízení na síti • Zvýšení bezpečnosti ICT infrastruktury a s tím související kontrola přístupu k ICT prostředkům. • Efektivnější správa a dohled sítě, zjišťování chybných konfigurací a řešení problémů na síti.
Provozně-bezpečnostní monitoring datové infrastruktury
8
Kontakt
KOFOLA ČeskoSlovensko a.s. Nad Porubkou 2278/31a 708 00 OSTRAVA Tel.: +420 595 601 030 www.kofola.eu www.firma.kofola.cz www.firma.kofola.sk www.kofola.pl
Děkujeme za pozornost!