Mnitring datvých tků - nvý phled na správu a bezpečnst datvé sítě Úvd AdvaICT, a.s., ing. Ladislav Chdák, člen představenstva Vliv IT infrastruktury na fungvání rganizací je stále větší a ta se pstupně stává jejich nervvu sustavu. T sebu nese zvyšující nárky na rzsah a kvalitu správy IT infrastruktury. Na ptíže se přichází pzdě a jejich dstraňvání má negativní vliv na chd rganizace. Infikvaný pčítač, který začne rzesílat SPAM způsbí, že se firma citne na černé listině (blacklist) a než se situace vysvětlí je její e-mailvá kmunikace statními servery blkvána. Neustále se řeší, prč je bčas síť či aplikace pmalé, vina se přehazuje mezi ddavateli a IT ddělením a lidé jsu zdržvání při práci. Investice d rzvje IT infrastruktury nejsu pdlženy reálným stavem a ptřebami. Obtížný a nedstatečný dhled nad sítí láká zaměstnance k jejímu zneužívání k sbním účelům a v nepslední řadě je také lákadlem pr různé amatérské či prfesinální útčníky. Shrňme si klíčvé manažerské tázky spjené s využíváním IT infrastruktury: Klik stjí správa IT infrastruktury? Jaké jsu důsledky, když síť či její služby chvíli nefungují? Jaká bezpečnstní rizika IT infrastruktura představuje? Jak se klní svět stará t, zda je naše IT infrastruktura v přádku? Jaké sankce nám hrzí, když naše IT infrastruktura v přádku nebude? Se všemi těmit prblémy se jak správce sítě či IT manager dříve neb pzději setkáte a pr jejich dhalení, dlžení a vyřešení se bez vhdných nástrjů nebejdete. Neefektivně udržvaná a spravvaná síť stjí středně velku splečnst (cca 250 pčítačů) dle analýz sdružení Netwrk Security Mnitring Cluster milión až dva krun rčně, nehledě na bezpečnst dané firemní IT infrastruktury. Dluhá léta byl synnymem pr mnitrvání a dhled nad pčítačvu sítí prtkl SNMP, který však pskytuje jen suhrnné infrmace prvzu a neumžňuje vidět, c se v síti dpravdy děje. Díky technlgii SNMP se sice dzvíte, že vaše internetvá přípjka je vytížena dvjnásbně než je bvyklé, ale jaké je rzlžení prvzu a kd síť nejvíce zatěžuje, zůstává utajen. SNMP dhled serverů a služeb dhalí nedstupnst, ale s měřením skutečné dstupnsti a kvality služby nepmůže. Sučasná dba si žádá mdernější a efektivnější prstředky. Ty musí v reálném čase pskytvat analyzvat a vyhdncvat detailní statistiky síťvém prvzu, právě t je klíčvé pr efektivní správu a účinné zabezpečení pčítačvých sítí. Dstáváme se tak k bezpečnstnímu a prvzními mnitringu datvé sítě, behavirální analýze (Netwrk Behavir Analysis) a technlgii datvých tků. Datvé tky Pr první přiblížení technlgie datvých tků lze říci, že datvé tky v síti jsu t, c výpis telefnních hvrů v telekmunikacích. Dzvíte se, kd se s kým bavil, kdy a jak dluh t trval. Obsah rzhvru zůstává utajen. Technlgii mnitringu datvých tků v síti reprezentuje průmyslvý standard NetFlw. Tk je v terminlgii NetFlw definván jak sekvence paketů se shdnu pěticí údajů: cílvá/zdrjvá IP adresa, cílvý/zdrjvý prt a čísl prtklu. Pr každý tk
je zaznamenávána dba jeh vzniku, délka jeh trvání, pčet přenesených paketů a bajtů a další údaje (příznaky spjení a další ple hlaviček přensvých prtklů). NetFlw statistiky byly až d nedávna dménu pkrčilých a nákladných směrvačů (ruterů) a přepínačů (switchů). Pužití základních prvků IT infrastruktury pr genervá NetFlw statistik však narážel na řadu bariér a výknnstních mezení. Tyt nevýhdy a bariéry dstranila česká splečnst INVEA-TECH, která na základě výsledků výzkumu a vývje realizvanéh na CESNETu uvedla pd názvem FlwMn na trh specializvaná zařízení, tzv. sndy, schpné genervat NetFlw statistiky z libvlnéh bdu v síti. Snda přitm není žádné atypické zařízení. Jde 1U appliance (server) zařízení určené ke genervání NetFlw statistik. V případě hardwarvě akcelervanéh mdelu je snda vybavena i speciálním hardware zalženým na hradlvých plích, který garantuje zpracvání všech paketů i na rychlsti 10 Gbps. Sndy se typicky umisťují na vstupní a výstupní bdy sítě, d centrálních bdů sítě a na kritická místa či linky s největšími přensy dat. NetFlw statistiky jsu exprtvány na klektr, kde prbíhá jejich autmatické vyhdncení s cílem dhalit prvzní a bezpečnstní prblémy na síti. Právě t je úklem systému behavirální analýzy FlwMn ADS, který je prduktem splečnsti AdvaICT. Půvd tht systému najdeme na Masarykvě univerzitě v Brně, kde základ technlgie Netwrk Behavir Analysis v českém pdání vznikl. Netwrk Behavir Analysis C přesně je Netwrk Behavir Analysis (NBA) a jak může pmci při dhalvání bezpečnstních a prvzních prblémů na síti? Dsažené výsledky prkazují, že datvé tky je mžné využít například při dhalvání cílených útků, zneužití sítě neb anmálií, které se prjevují puze v něklika datvých tcích s minimálním bjemem prvzu. Typické úlhy pr NBA jsu: heuristická analýza datvých tků a dhalvání nežáducíh chvání neb služeb, aktualizace prfilů chvání jedntlivých zařízení v síti, dhalvání anmálií na základě změny prfilu chvání. Nežáducí chvání zahrnuje útky, zneužití sítě zaměstnanci, aktivity virů, anmálie kmunikačních prtklů, pužívání vybraných aplikací neb služeb, atd. Prfily chvání jsu celkvým přehledem chvání vybranéh zařízení na síti. Tyt prfily zahrnují infrmace jak typické pčty spjení neb bjemů dat genervaných daným zařízením. Na základě prfilů chvání je mžné vybudvat n-line
knfigurační databázi a vyhledávat využívání neb pskytvání knkrétních služeb. Tím však mžnsti neknčí, behavirální analýza může pmci při dhalvání nežáducích aplikací, špatně naknfigurvaných zařízení, využívání annymizačních služeb v síti internet, uživatelů, kteří nejvíce vytěžují síť, neb dknce identifikvat zdrj zpždění na síti. Díky prfilům chvání jsme schpni rzlišit servery a klienty v síti a získat přehled využívaných a pskytvaných službách. Přirzeně se dstáváme k dalšímu tématu, kterým je analýza a vyhdncení genervaných událstí. Vhdnu techniku je interaktivní vizualizace událstí, která zbrazuje prvz na pčítačvé síti ve frmě rientvanéh grafu. Uzly představují jedntlivá síťvá zařízení adresu a hrany reprezentují datvé přensy mezi těmit zařízeními. Interaktivní vizualizace nabízí variabilní úrvně pdrbnsti zbrazení s mžnstí zaměřit se d agregvané kmunikace mezi zařízeními na síti až na úrveň jedntlivých spjení včetně interaktivníh průchdu grafem (další infrmace na vyžádání). Příklady pužití Pjďme se pdívat na dva knkrétní případy užití technlgie NBA: dchzí SPAM a zpždění na síti. Oba dva vychází z reálně řešených prblémů v prstředí vybraných zákazníků splečnsti AdvaICT. Pravděpdbně všichni známe následující scénář. Přichází zpráva d pskytvatele připjení k internetu (ISP) upzrňující na šíření SPAMu z vaší sítě. Rzesílání SPAMu je typicku aktivitu nežáducích aplikací typu spyware/btnet, kteru autr spyware neb btnetu vydělává peníze. Obdržení tét zprávy je nční můru pr IT ddělení. Musí vyhledat infikvané zařízení ve své síti dříve, než ISP zablkuje přístup k mailvým službám neb v nejhrším případě dpjí celu datvu síť. Pr vyřešení prblému byl nasazen systém FlwMn ADS, který identifikval prstřednictvím heuristiky šířící se SPAM ihned p nasazení. Pdezření byl v zápětí ptvrzen statistiku tp stanic z hlediska pčtu spjení.
Tent příklad ukazuje schpnst technlgie NBA dhalit pdezřelé aktivity virů, spyware a btnetů na síti. Ačkliv není mžné technlgií NBA infekci stanice zabránit, je mžné předcházet jak jejímu šíření, tak i hrzbě zařazení na blacklist, díky kamžitému dhalení nežáducíh chvání. Zařazení na blacklist znamená nemžnst desílat z dané sítě e-maily. Každý si tak může dpvědět sám, jaké následky má takvá situace pr vlastní síť. Každá rganizace s více pbčkami řeší prblém splehlivéh spjení s centrálu. V případě výpadků a zvyšujícíh se zpždění jsu dtazy směřvány na pskytvatele připjení k internetu, jehž typicku dpvědí je všechn je v přádku, prblém musí být na vaší straně. Zákazník tak ptřebuje důkaz, který je mžné získat analýzu datvých tků se zaměřením na zpždění. Jeden z krprátních zákazníků pakvaně reklamval u svéh pskytvatele parametry prnajatéh datvéh kruhu. Následval měření prstřednictvím FlwMn ADS, které prkázal klísání zpždění.
Závěr Tradiční phled na bezpečnst IT infrastruktur se mění. Technlgie měření a analýza datvých tků na síti je značvána jak Netwrk Behavir Analysis (NBA) a nasazení tét technlgie je dpručván nezávislými pradenskými splečnstmi, např. Gartner neb Aberdeen Research Grup jak dplněk k funkcinalitě zajišťvané firewallem, antivirem, systémem IDS/IPS a běžným SNMP dhledem. Technlgie NBA přináší efektivnější prcesy dhledu a správy, zvyšuje bezpečnst IT infrastruktury, snižuje náklady na správu a zvyšuje prduktivitu práce. Pdívejme se na přínsy pdrbněji: Efektivnější prcesy Prblémy jsu dhaleny a rzkryty včas dříve než způsbí nční směny, výpadky, rzčílené uživatele a zákazníky Administrátři přestanu být zavaleni perativními prblémy, mhu se věnvat rzvji infrastruktury a pskytvaných služeb Úspra nákladů Významné snížení pracnsti správy IT infrastruktury Minimalizace nákladů vyplývajících z náprav škd způsbených bezpečnstními incidenty Kntrla ddržvání SLA ddavatelů služeb Optimalizace licencí síťvých aplikací Bezpečnější infrastruktura Infrastruktura je lépe chráněna před nvými bezpečnstními hrzbami (sciální inženýrství, útky zevnitř, úniky dat, dchzí SPAM, ) Bezpečnstní incidenty jsu dhaleny včas a je mžné je rzkrýt a dkladvat Lze eliminvat užití nelegálníh sftwaru a služeb, zneužívání sítě zaměstnanci Tut technlgii je mžné využít v infrastrukturách různéh typu díky jednduchsti nasazení, vyskéh výknu a škálvatelnsti, která vychází z nezávislsti technlgie na tplgie sítě a bez nutnsti ckliv instalvat na jedntlivé stanice neb servery. Prdukt FlwMn ADS byl díky těmt vlastnstem ceněn v sutěži Invace rku 2010. Díky splečnsti AdvaICT a její službě NetHund (www.nethund.eu) je tat technlgie dstupná frmu vzdáleně pskytvané služby rvněž menším sítím d 100 pčítačů. O splečnsti AdvaICT AdvaICT, a.s. je splečnst pskytující kmplexní řešení v blasti mnitrvání, správy a bezpečnsti pčítačvých sítí. Splečnst byla zalžena v rce 2006 jak spin-ff Masarykvy univerzity. Mezi zákazníky AdvaICT patří splečnsti, pr které je IT infrastruktura kritická a dbají na její vysku úrveň zabezpečení a kvalitu služeb. Prdukty a služby splečnsti AdvaICT služí k efektivní správě pčítačvých sítí, jsu ideálním dplňkem běžných bezpečnstních a dhledvých nástrjů (firewally, antiviry, ). Hlavním cílem je autmaticky dhalit prvzní a bezpečnstní prblémy, které jsu nezjistitelné běžně pužívanými prstředky. Díky prduktům a službám AdvaICT je mžné snadn dhalit příčiny prblémů a tyt prblémy eliminvat. AdvaICT nabízí prfesinální službu jednrázvéh auditu síťvé infrastruktury a kntrlu síťvéh prvzu. Prstřednictvím tét služby zjistí zákazník snadn skutečné parametry své infrastruktury i způsb jejíh využití.
Případvé studie FlwMn ADS Veletrhy Brn, a.s. jsu nejvýznamnější veletržní správu ve střední Evrpě, hlavní činnstí splečnsti je přádání veletrhů a výstav. K dalším aktivitám patří výstavba veletržních expzic, prnájem všech prstr brněnskéh výstaviště, přádání dprvdných prgramů k veletrhům a zajištění veškerých služeb, které s realizací veletrhů suvisí. Síť v areálu brněnskéh výstaviště má kaskádvanu hvězdicvu strukturu. Hlavním prvkem tét sítě je centrální switch, přes který prchází veškerý příchzí a dchzí prvz a kmunikace mezi klienty a servery. Druhý významný switch, ke kterému je připjen mim jiné i externí webvý server, je umístěn v DMZ. Síťvá infrastruktura je pstavena výhradně na aktivních prvcích firmy Cisc. Díky tmu je mžné v případě ptřeby kdykliv řešení FlwMn rzšířit a využít schpnsti zařízení Cisc ke genervání statistik datvých tcích NetFlw a tat data zpracvávat nasazeným FlwMn ADS. Při výběru vhdnéh řešení frmulval zákazník následující pžadavky: Účinně kntrlvat ddržvání bezpečnstních směrnic a předpisů Vlastnit nástrj pr dhalení a rychlé rzkrytí vnitřních i vnějších útků Detekvat úniky citlivých infrmací, sciální inženýrství Dkladvat skutečnu kvalitu služeb, zpždění sítě a služeb Eliminvat nežáducích aplikace, sdílení bsahu Detekvat infikvaná zařízení v síti Průběžně ptimalizvat knfiguraci sítě a síťvých zařízení Nasazení řešení FlwMn ADS Zařízení FlwMn Prbe 2000 bsahující dva mnitrvací prty je připjen ke SPAM prtu centrálníh switche a SPAM prtu switche v DMZ, které d těcht dvu mnitrvacích prtů zrcadlí veškerý prvz na síti. FlwMn ADS 101 průběžně a zcela autmaticky analyzuje nasbíraná data, generuje událsti a reprty. Ing. Jiří Heršálek, systémvý administrátr, zhdntil nasazení řešení takt: "Dříve jsme mnitrvali pčítačvu síť naší splečnsti tak, že jsme sbírali puze infrmace bjemech přenesených dat na IP vrstvě a klíčvých prtklů. Pkud jsme chtěli zkntrlvat určité datvé tky, které se nám jevily jak pdezřelé, nezbýval nám než se vydat trnitu cestu manuální analýzy. Tat cesta se ukázala jak značně prblematická, zejména kvůli extrémní časvé nárčnsti. Tímt způsbem nám taktéž mhli uniknut některé anmálie, či útky, které byly rzlženy v delším čase, a prbíhaly s menší intenzitu. Díky řešení FlwMn ADS, které behavirální analýzu prvádí autmaticky, budeme schpni prvz na síti kmpletně rzkrýt, dhalit prblémy a útky v reálném čase a tím pádem na ně pružně reagvat."
Netwrk Traffic Audit Teplárny Brn, a.s. zajišťují výrbu a rzvd tepelné a elektrické energie v jihmravské metrpli. Prvzují rzsáhlu datvu síť zahrnující jak pčítače, tak i specializvaná technlgická zařízení. Jedná se desítky vzájemně prpjených lkalit. V prsinci 2010 byl prveden splečnstí AdvaICT, a.s. audit prvzu datvé sítě. Zařízení pr sběr a analýzu prvzu na síti byl umístěn d uzlu, kde prbíhá hlavní kmunikace mezi hlavními lkalitami Tepláren Brn (Okružní, Špitálka), které jsu datvě nejexpnvanější. Na základě prezentvaných výsledků analýzy a představenéh řešení FlwMn ADS uvádí ing. Vladislav Kvář, asistent pr infrmatiku generálníh ředitele splečnsti: Implementace systému pr audit prvzu datvé sítě je velmi jednduchá, rychlá, žádným způsbem nevlivňuje prvz na síti. Výsledky jsu prezentvány zdařilu frmu přehledných grafů a tabulek. Systém nabízí téměř nemezené phledy a dtazy na analyzvané datvé tky, snadnu identifikaci maximálních a jinak zajímavých parametrů. Systém najde využití i u zákazníků, kteří se neřadí mezi síťvé specialisty, prtže dstiňuje uživatele d vlastních analyzvaných dat a pskytuje přehledné knslidvané infrmace s pžadvanu pdrbnstí. Trvalé nasazení řešení v datvých sítích pvažuji za maximálně přínsné z důvdů převzetí abslutní kntrly nad děním v datvé síti a mžnsti praktivníh řešení případných incidentů a ptenciálních rizik. Splečnst InfTel spl. s r.. se zabývá výstavbu a prvzem telekmunikačních sítí. Prvzuje centralizvanu infrastrukturu s pbčkami připjenými prstřednictvím virtuální privátní sítě. V březnu 2011 se ptýkali s přetížením virtuální privátní sítě, jehž příčinu dhalil audit realizvaný splečnstí AdvaICT. Jeh výsledky hdntí manažer IT, Michael Janek: Naše splečnst využívá ke spjení se svými pbčkami 22 stálých VPN tunelů. Od nedefinvanéh kamžiku začal dcházet k náhdnému zahlcvání těcht tunelů, které někdy vedl až k přetížení aktivních prvků. Tím pádem klabval i centrální připjení k internetu se všemi nepříjemnými důsledky z th vyplývajícími. Ani cestu výměny aktivních a pasivních prvků sítě ani psilváním knektivity se nedařil prblém něklik týdnů vyřešit. Ve splupráci se splečnstí AdvaICT, a.s. jsme využili službu Netwrk Traffic Audit, kdy se během jednh týdne zaznamenával prvz na síti. P následné analýze byl prblém nalezen a jeh dstranění už bude úklem technickéh týmu ddavatele knkrétníh sftware. Splečnst AdvaICT, a.s. tak dkázala rychle a přesně lkalizvat prblém, který jsme standardními prstředky nebyli schpni dhalit.