Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz
Čím se zabýváme? Monitoring sítě správa, optimalizace, troubleshooting Máte přehled o síťových komunikacích nejen do Internetu ale i v rámci WAN a LAN? Vidíte do sítě real-time i historicky? Neplatíte zbytečně moc poskytovali Internetu nebo WAN? Je vaše síť pomalá? Mají vaše síťové aplikace dlouhé odezvy? Jsou správci schopni odhalovat síťové problémy snadno a rychle? Nejsou ve vaší síti zneužívány služby P2P či přístup na web? Bezpečnost sítě detekce i hrozeb a útoků, které nejsou odhalitelné jinými nástroji Jste schopni detekovat viry a malware nepodchycený antiviry? Máte nástroj pro odhalování podezřelých změn chování v síti? 2/29
Monitoring sítě - možnosti SNMP Monitoring toků pouze na úrovni základních čítačů, chybí detailní informace detailní přehled o dění v síti Paketová analýza velmi detailní, ale časově velmi náročná 3/29
Monitorování toků
Monitorování toků
Proč flow monitoring? Vidět! 6/29
Proč flow monitoring? 80% administrátorů neví jaké je složení datových toků 10% uživatelů typicky vygeneruje 90% provozu kteří to jsou? kolik je v síti email a web serverů (legitimních nelegitimních)? až 50% toků někdy tvoří zbytečné komunikace SYN RESET kolik provozu se generuje na tiskárnu? => FlowMon monitoring vnitřní sítě, alerting, reporting Jaké weby a další internetové služby jsou využívány v sítí ISP: vytvoření nového tarifu např. pro Facebook příznivce Standardní organizace: vydání nové směrnice pokud internetová rádia a videa tvoří 80% provozu na WAN linkách a zpomalují klíčový informační systém identifikace uživatelů řádících na ulož.to, youtube, P2P streamech.. 7/29
Proč flow monitoring? 99% uživatelů zažilo problém - síť je pomalá problém je typicky neřešitelný není důkaz zda za to může lokání síť, aplikace či síť poskytovale Internetu, WAN => FlowMon vyhodnocení odezev síťě a identifikace problému 50-90% provozu na Internetu tvoří P2P provoz je síť vaší organizace z tohoto pohledu bezproblémová? a co skype či instant messaging? => FlowMon detekce bittorentů, skypů, IM (včetně šifrovaných) 8/29
Přínosy flow monitoringu Stoprocentní znalost a přehled o komunikacích v síti síť přestane být blackbox ve kterém běhají nějak pakety Řádové snížení času nutného k řešení problémů Vyšší efektivita správců sítě efektivní troubleshooting Kompletní reporting o dění na sítí Přehled o využití síťových služeb a šířek pásma aplikacemi Optimalizace síťové infrastruktury Dohled SLA (pobočky, poskytované služby) Vyšší efektivita zaměstnanců proaktivní přístup: blacklisting X whitelisting X proaktivní monitoring weby, messengery, rádia, videa, p2p sítě Předcházení incidentům a výpadkům sítě 9/29
Bezpečnost sítě - trendy Nové trendy vyžadují používání nových technologií 10/29
Bezpečnost sítě - trendy Již se nestačí bránit pouze na perimetru 11/29
Nutné používat nové nástroje Historicky Nedávno velmi otevřené prostředí zákopové války obrana perimetru sítě Nyní sofistikované útoky na míru 12/29
Bezpečnostní nástroje Firewall IDS/IPS Antivir Network Behavior Analysis (NBA) SIEM (log management) 13/29
Network Behavior Analysis Network Behavior Analysis = analýza chování sítě Moderní nadstavba nad monitorováním datových toků Automatická pokročilá detailní analýza NetFlow dat Detekce nežádoucích vzorů chování Behaviorální analýza vnitřní i vnější útoky nežádoucí služby a aplikace profily chování detekce anomálií, podezřelého chování Účinné i pro moderní útoky psané na míru 14/29
Network Behavior Analysis (NBA) Detekce nežádoucích vzorů chování
NBA Detekce nežádoucích vzorů chování
Network Behavior Analysis (NBA) Detekce anomálií
NBA Detekce anomálií
Doporučení Gartner Pokud máte Firewall a IDS/IPS, zvažte jako další krok implementaci NBA, Gartner. INVEA-TECH identifikována Gartnerem v NBA segmentu 19/29
Gartner a realita Gartner Neexistuje bezpečnost bez monitoringu. Mnoho lidí bylo dlouho přesvědčeno že bezpečnost stačí budovat na perimetru a monitoring je zbytečná práce navíc. Opak je pravdou. bezpečná organizace = firewall + IPS + NBA doporučení pro zákazníky: pokud máte FW a IPS, implementujte jako další krok NBA Realita 90% organizací nemá implementován systém monitorování datových toků / síťových komunikací a behaviorální analýzy vzrůstající požadavky na monitoring a bezpečnost, audity finančních institucí, budování CSIRT týmů na mnoha úrovních chybějící nástroje pro podporu implementace a kontroly ISO 27000 20/29
Proč NBA? Počet napadených organizací neustále roste a tyto útoky mívají fatální následky Nejedná se pouze o útoky na velké společnosti, ale ty jsou nejvíce vidět ČR: státní správa, banky a pojišťovny ISS a INVEA-TECH 21/29
Proč NBA? Statistika Eurostat report únor 2011 84% počítačů v Evropě je chráněno anti-malware programem 31% počítačů v Evropě je nakaženo nějakým typem malware => FlowMon detekce malware na základě chování (scany atp)! SPAM nejenom dostáváme ale často i generujeme problém pokud se organizace dostane na black listy => FlowMon detekce odchozího spamu 22/29
Přínosy behaviorální analýzy Přínosy zvýšení nejen vnější ale zejména vnitřní bezpečnosti sítě detekce skenování sítí, slovníkových útoků, útoků typu denial of service (DoS, DDoS), útoků na aplikační protokoly, P2P aktivit, spyware, spamů, virů nebo botnet sítí (např. Chuck Norris) identifikace nežádoucích služeb (např. podvodných web serverů) odhalení specifických i dosud neznámých hrozeb pro které neexistují signatury (a IPS ani antiviry je neodhalí) budování profilů chování jednotlivých zařízení a detekce změn komunikačních partnerů, objemů provozu či struktury provozu obrana proti sociálnímu inženýrství a úniky informací z organizace účinné i pro šifrovaný provoz Instalace network-based řešení - vše je monitorováno automaticky 23/29
FlowMon architektura FlowMon sondy FlowMon kolektory zdroj síťových statistik (NetFlow dat) vizualizace a vyhodnocení síťových statistik FlowMon plugin aplikace s přidanou funkcionalitou 24/29
FlowMon - výstupy Spousta možností v závislosti na používaných pluginech průběhové grafy, koláčové grafy, Top statistiky, události, syslog (CEF pro napojení na SIEM), email/sms, výpisy komunikací... 25/29
Řešení FlowMon Jedno řešení pro síťové i bezpečnostní oddělení 26/29
Typické projekty Flow monitoring a NBA nejsou drahé technologie a jsou dostupné pro většinu organizací Příklady nasazení: FlowMon sonda pro monitoring vnitřní sítě: 75tis Kč FlowMon sonda pro monitoring LAN, WAN, Internet: 200tis Kč rozšiřující modul NBA pro detekci anomálií: 200tis Kč rozšiřující modul pro pokročilý reporting: 50tis Kč 27/29
Klíčové přínosy & shrnutí Flow monitoring a NBA umožní Vám vidět do sítě pomohou spravovat Vaši síť efektivněji a levněji povýší bezpečnost sítě na vyšší stupeň Řešení FlowMon úplná řada produktů pro monitorování všech sítí dostupné také jako virtuální zařízení pokročilé bezpečností nadstavby (NBA) škálovatelné a flexibilní řešení unikátní přínos pro uživatele 28/29
Děkuji za pozornost Váš partner ve světě vysokorychlostních sítí Petr Špringl springl@invea.cz 724 899 760 INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno www.invea.cz 29/29