Flow monitoring a NBA Kdy, kde a jak? Petr Špringl springl@invea.com
Obsah Monitorování datových toků = Flow monitoring Flow monitoring a bezpečnost sítě = Network Behavior Analysis (NBA)
Monitorování sítě SNMP (monitoring) pouze na úrovni základních čítačů, chybí detailní informace Flow monitoring = monitorování datových toků detailní přehled o dění v síti Paketová analýza velmi detailní, ale časově velmi náročná, občas potřebná
Flow monitoring Měření na základě IP toků Analyzují se hlavičky paketů, obsah paketů není monitorován ani uchováván Moderní metoda monitorování sítí, Cisco standard Redukce dat cca 500:1
Flow monitoring Telefonní účet - výpis hovorů Počítačová síť - flow monitoring
Flow monitoring - architektura Zdroje NetFlow/IPFIX dat přepínače, směrovače jako přidaná funkcionalita sondy dedikovaná zařízení firewally, UTM zařízení a další Kolektory centrální úložiště a analýza dat
Flow monitoring - jak funguje?
Flow monitoring - standardy Cisco standard Nezávislý IETF standard NetFlow v5 NetFlow v9 ( Flexible NetFlow ) IPFIX ( NetFlow v10 ) fixní formát pouze základní položky monitorovány není IPv6, VLAN flexibilní formát používá šablony rozšiřitelný o řadu polí (včetně IPv6, VLAN a další) stále používanější, ještě flexibilnější než NetFlow v9 Huawei NetStream v podstatě stejné jako NetFlow v9 Juniper jflow podobné jako NetFlow v9, ale problematická práce s časovými známkami
Flow monitoring - standardy Příbuzné standardy Cisco NEL, NSEL využívá NetFlow formát pro přenos informací neobsahuje informace o komunikacích, ale o událostech typicky firewally, NAT, UTM atp. sflow pracuje na bázi vzorkování paketů není skutečný flow monitoring zcela nevhodné pro bezpečnostní účely Trend rozšiřování monitorovaných položek (aplikační informace) NBAR (L7 detekce aplikací) rozšiřování podpory u dalších zařízení
Přínosy flow monitoringu Oči do síťového provozu a přehled o tom co se v síti a infrastruktuře děje drill-down až na úroveň jednotlivých komunikací, záznam o všem co se stalo
Přínosy flow monitoringu 10% uživatelů typicky vygeneruje 90% provozu kteří to jsou? Jak jsou využívány jednotlivé služby a proč byla včera síť tak pomalá?
Shrnutí přínosů flow monitoringu Detailní přehled o dění v síti (LAN i WAN) jak v reálném čase, tak kdykoliv v minulosti Přesné, rychlé a efektivní řešení problémů Zvýšení bezpečnosti, odhalení vnitřních i vnějších útoků Snadné plánování kapacit a optimalizací sítě Dohled nad využitím Internetu, využitím aplikací Předcházení incidentům jako jsou zahlcení a výpadky sítě Odhalení špatných konfigurací
Flow monitoring a bezpečnost sítě
Bezpečnost na perimetru Firewall, IDS/IPS, UTM, aplikační firewall, web filtr, email security, vzdálený přístup
Bezpečnost koncových stanic Antivir, personální firewall, antimalware, antirootkit, endpoint DLP
Bezpečnost vnitřní sítě Viditelnost do sítě flow monitoring, NBA behaviorální analýza, automatická detekce anomálií
Centrální bezpečnostní mozek SIEM, log management
Bezpečnostní nástroje Všechny zmíněné nástroje jsou z pohledu bezpečnosti velmi důležité Většina je zaměřena na ochranu před známými hrozbami a útočníky Proto je důležité průběžné monitorování a detailní informace o tom se v síti děje Perimeter security End point security
Fyzická vs. síťová bezpečnost
Network Behavior Analysis Network Behavior Analysis = analýza chování sítě Moderní nadstavba nad monitorováním datových toků Automatická detailní analýza NetFlow/IPFIX dat Detekce nežádoucích vzorů chování vnitřní i vnější útoky nežádoucí služby a aplikace Behaviorální analýza profily chování detekce anomálií, podezřelého chování Účinné i pro moderní útoky psané na míru
NBA trend v bezpečnosti Gartner: Pokud máte Firewall a IDS/IPS, zvažte jako další krok implementaci NBA. Cisco: Pokud ve své síti neodhalíte žádné útoky, tak to ještě neznamená, že tam nejsou ale pravděpodobně je jen nejste schopni detekovat. Cílem NBA je detekovat hrozby, které nelze detekovat ostatními technologiemi
Přehled technologií NBA - nadstavba nad technologií flow monitoringu
Přínosy NBA Neznámý malware > 84% stanic má antivirus > 31% je infikováno malwarem Nejsem součástí nějakého útoku/botnetu? Různé útoky na síťové služby, slovníkové útoky, DoS/DDoS a další
Přínosy NBA Jsem chráněn proti cíleným útokům? Jsem schopen detekovat obcházení firemních politik?
Shrnutí přínosů NBA Detekce vnitřních i vnějších útoků Upozornění na změny chování v síti Odhalování běžného i neznámého malware Identifikace potenciálních úniků dat Dohledávání a prokazování provozních a bezpečnostních incidentů
Shrnutí
Z pohledu uživatele Monitorování provozu v síti (NetFlow/IPFIX) Kompletní viditelnost do dění v síti Real-time a historická data pro LAN & WAN & komunikaci do Internetu Optimalizace správy a provozu sítě Efektivní troubleshooting Bezpečnost datové sítě (NBA, NBAD) Jediný způsob, jak detekovat pokročilé hrozby Založeno na behaviorální analýze Detekce pokročilého malware, zero-day útoků, podezřelých přenosů dat, změn chování a dalších incidentů
Výběr řešení Klíčové vlastnosti Podpora verzí NetFlow Disková kapacita Úroveň detailu Reporting & alerting Behaviorální analýza Sledování aktivních zařízení Technické řešení NetFlow v5 nestačí, požadujte v9 i IPFIX Pro uložení provozu alespoň 1 rok zpětně Individuální toky, i pro historická data Na základě libovolných NetFlow atributů, uživatelsky definovatelné Thresholdy nejsou behaviorální analýza, požadujte automatickou detekci incidentů Na úrovni přístupové vrstvy, sledování MAC-IP a podpora konceptu BYOD Preferujte appliance, prosté SW řešení nevyhoví požadavkům enterprise segmentu
Otázky? High-Speed Networking Technology Partner Petr Špringl springl@invea.com 724 899 760 INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno, Czech Republic www.invea.com