Co se skrývá v síťovém provozu? Konference Internet a komunikace 2015, 4.6.2015 Petr Špringl springl@invea.com
Obsah Monitorování datových toků = Flow monitoring Flow monitoring a bezpečnost sítě = Network Behavior Analysis (NBA) Úlovky z praxe
Monitorování sítě SNMP (monitoring) pouze na úrovni základních čítačů, chybí detailní informace Flow monitoring = monitorování datových toků detailní přehled o dění v síti Paketová analýza velmi detailní, ale časově velmi náročná, občas potřebná
Flow monitoring Měření na základě IP toků Analyzují se hlavičky paketů, obsah paketů není monitorován ani uchováván Moderní metoda monitorování sítí, Cisco standard Redukce dat cca 500:1
Flow monitoring Telefonní účet - výpis hovorů Počítačová síť - flow monitoring
Flow monitoring - architektura Zdroje NetFlow/IPFIX dat přepínače, směrovače jako přidaná funkcionalita sondy dedikovaná zařízení firewally, UTM zařízení a další Kolektory centrální úložiště a analýza dat
Flow monitoring - jak funguje?
Shrnutí přínosů flow monitoringu Detailní přehled o dění v síti (LAN i WAN) jak v reálném čase, tak kdykoliv v minulosti Přesné, rychlé a efektivní řešení problémů Zvýšení bezpečnosti, odhalení vnitřních i vnějších útoků Snadné plánování kapacit a optimalizací sítě Dohled nad využitím Internetu, využitím aplikací Předcházení incidentům jako jsou zahlcení a výpadky sítě Odhalení špatných konfigurací
Flow monitoring a bezpečnost sítě
Bezpečnost na perimetru Firewall, IDS/IPS, UTM, aplikační firewall, web filtr, email security, vzdálený přístup
Bezpečnost koncových stanic Antivir, personální firewall, antimalware, antirootkit, endpoint DLP
To však již nestačí!
FIREWALL OK
IDS/IPS OK STOP
ANTI-X OK
IDENTITY MANAGEMENT
Moderní kybernetické hrozby Pokročilé hrozby (Advanced Persistent Threats) Cílené útoky a průmyslová špionáž Zero-day útoky a polymorfní malware Společné vlastnosti Přesně cílené na prostředí oběti Šifrované a skryté v gigabitech běžného provozu Signatury nejsou dostupné Neviditelné pro tradiční řešení (AV, IDS/IPS, firewall ) které chrání před známými hrozbami a útočníky
Bezpečnost vnitřní sítě Viditelnost do sítě flow monitoring, NBA behaviorální analýza, automatická detekce anomálií
Network Behavior Analysis Network Behavior Analysis = analýza chování sítě Moderní nadstavba nad monitorováním datových toků Automatická detailní analýza NetFlow/IPFIX dat Detekce nežádoucích vzorů chování vnitřní i vnější útoky nežádoucí služby a aplikace Behaviorální analýza profily chování detekce anomálií, podezřelého chování
NBA trend v bezpečnosti Gartner: Pokud máte Firewall a IDS/IPS, zvažte jako další krok implementaci NBA. Cisco: Pokud ve své síti neodhalíte žádné útoky, tak to ještě neznamená, že tam nejsou ale pravděpodobně je jen nejste schopni detekovat. Cílem NBA je detekovat hrozby, které nelze detekovat ostatními technologiemi
Monitorování síťového provozu
NBA Detekce známých vzorů nežádoucího chování
NBA Detekce anomálií
Fyzická vs. síťová bezpečnost
Shrnutí přínosů NBA Detekce vnitřních i vnějších útoků Upozornění na změny chování v síti Odhalování běžného i neznámého malware Identifikace potenciálních úniků dat Dohledávání a prokazování provozních a bezpečnostních incidentů
Úlovky
Útok na HTTP autentizaci Zdravotnictví Vedeno z IP adresy v Indonésii Pokusy o uhodnutí hesla do phpmyadmin Detaily ze sedmé vrstvy (hostname, URL)
Porušování politik Průmyslová výroba TOR (Onion router) klient na koncové stanici Uživatel obchází bezpečnostní opatření Pro přístup k zablokovaným zdrojům
Infikovaná stanice Informační technologie Botnetem infikovaná stanice z lokální sítě zavlečená do DDoS útoků na Spamhaus
DNS Changer Informační technologie Změna používaného DNS serveru na stanici Možnost manipulace s DNS záznamy a přístupem na webové servery
Chybná konfigurace Průmyslová výroba Chybně nakonfigurovaný řídící systém Pokusy o navazování komunikace do Internetu V systému od výroby bez možnosti změny
Únik dat Obchodní společnost Zaměstnanec ve výpovědi Uložení interních dokumentů na sdílený disk poskytovaný službou Yahoo Zaznamenáno jako pohyb dat z LAN do internetu Po prošetření poměrně závažný incident
Odposlech provozu Služby Pokročilý malware přesměroval provoz na infikovanou stanici prostřednictvím DHCP
INVEA-TECH Česká společnost, univerzitní spin-off, spolupráce CESNET a univerzity, projekty EU Založena 2007 Oblasti působení: Flow Monitoring Network Behavior Analysis Network & Application Performance Monitoring Přes 500 instalací řešení FlowMon celosvětově
Děkuji za pozornost High-Speed Networking Technology Partner Petr Špringl springl@invea.com +420 724 899 760 INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno www.invea.com