Provozně-bezpečnostní monitoring datové infrastruktury

1

Provozně-bezpečnostní monitoring datové infrastruktury

Případová studie implementace FlowMon řešení Připravil: [email protected]

2


Výzvy

• Rozsáhlá počítačová sít čítající více než 5 tisíc koncových IP zařízení, 100+ nezávislých LAN sítí, dvě datové centra,… • Stávající monitoring nebyl schopen poskytnout dostatečně kvalitně a efektivně potřebné informace pro správu sítě a síťovou bezpečnost • Z provozně – bezpečnostního pohledu bylo zapotřebí implementovat monitorovací řešení, poskytující informace o provozu v síti, jeho struktuře a vývoji v čase


3

Výchozí situace před implementací FlowMon

IT oddělení společnosti denně řeší desítky úkonů týkajících se běžné správy ICT systémů. Vzhledem k vysokému vytížení stávajících pracovníků běžnou operativou v dynamicky se rozrůstajícím prostředí a vzhledem k limitovaným IT personálním zdrojům ve výrobních závodech bylo zapotřebí implementovat kvalitnější monitoring datové komunikace splňující následující požadavky: • Kompletní monitoring WAN jak pro výrobní, tak i obchodní pobočky, detailní monitoring LAN výrobních závodů, datových center a centrály, • Efektivnější správa a dohled sítě, zjišťování chybných konfigurací a řešení problémů na síti, • Potřeba jednoznačné dohledatelnosti identity původce provozně bezpečnostních událostí a anomálií.


4

Řešení

• Centrální Flowmon kolektor • 1, 2 a 4portové Flowmon sony implementovaných v klíčových lokalitách pro zajištění detailního monitoringu LAN • ADS Business • Dalších 10+ aktivních prvků zasílajících NetFlow export data na centrální kolektor • Dodávka a implementace realizována ve spolupráci s Dimension Data Czech Republic


5

Běžné monitorovací akce a využívané funkce ADS: Detekce/analýza: • SSH a DoS útoků na zařízení umístěné v Internetu/DMZ. • Akce/Mitigace: zpravidla úprava konfigurace FW či konfigurace samotných zařízení v DMZ • Komunikace Interních IP adres s Blacklisted IPs, následná kontrola pomocí vyfiltrování dalších událostí v ADS pro příslušnou IP zda není zdrojem dalších anomálií • Akce/Mitigace: identifikace systému a uživatele, kontrola OS a případně edukace uživatele • (ne)dostupnosti služeb po rekonfiguracích, aktualizacích a migracích (metoda SRVNA) • Akce/Mitigace: kontrola/oprava • Detekce L3 anomálií, konkrétně problémů se směrováním • Akce/Mitigace: spolupráce s service providery na odstranění problému • Detekce dalších anomálií jako např. abnormálního monožství SMTP, DNS, ICMP,…

Flowmon: • • • •

Reporty, kontrola top statistik za den/týden Kontrola trendů ve vytížení LAN/WAN (proaktivní kontrola, kapacitní plánování,…) Detailní analýza událostí z ADS Analýza SIP komunikace


6

Hrubá čísla pro představu

• • • •

Průměrně ADS celoročně analyzuje 850flows/s Běžné denní špičky +2000fps Počet toků vyžadujících zvýšenou pozornost a případnou analýzu je o 4-5 řádů nižší než počet zbývajících toků Cca 20-30 systémů/IPs kontrolovaných za měsíc na základě detekovaných událostí v ADS


7

Přínosy řešení

• Viditelnost do sítě včetně detailního přehledu o chování uživatelů a zařízení na síti • Zvýšení bezpečnosti ICT infrastruktury a s tím související kontrola přístupu k ICT prostředkům. • Efektivnější správa a dohled sítě, zjišťování chybných konfigurací a řešení problémů na síti.


8

Kontakt

KOFOLA ČeskoSlovensko a.s. Nad Porubkou 2278/31a 708 00 OSTRAVA Tel.: +420 595 601 030 www.kofola.eu www.firma.kofola.cz www.firma.kofola.sk www.kofola.pl

Děkujeme za pozornost!

Provozně-bezpečnostní monitoring datové infrastruktury

Recommend Documents