1 Provozně-bezpečnostní monitoring datové infrastruktury Případová studie implementace FlowMon řešení Připravil: Milos.Nemec@kofola.cz
2
Výzvy 3 Rozsáhlá počítačová sít čítající více než 5 tisíc koncových IP zařízení, 100+ nezávislých LAN sítí, dvě datové centra, Stávající monitoring nebyl schopen poskytnout dostatečně kvalitně a efektivně potřebné informace pro správu sítě a síťovou bezpečnost Z provozně bezpečnostního pohledu bylo zapotřebí implementovat monitorovací řešení, poskytující informace o provozu v síti, jeho struktuře a vývoji v čase
Výchozí situace před implementací FlowMon 4 IT oddělení společnosti denně řeší desítky úkonů týkajících se běžné správy ICT systémů. Vzhledem k vysokému vytížení stávajících pracovníků běžnou operativou v dynamicky se rozrůstajícím prostředí a vzhledem k limitovaným IT personálním zdrojům ve výrobních závodech bylo zapotřebí implementovat kvalitnější monitoring datové komunikace splňující následující požadavky: Kompletní monitoring WAN jak pro výrobní, tak i obchodní pobočky, detailní monitoring LAN výrobních závodů, datových center a centrály, Efektivnější správa a dohled sítě, zjišťování chybných konfigurací a řešení problémů na síti, Potřeba jednoznačné dohledatelnosti identity původce provozně - bezpečnostních událostí a anomálií.
Řešení 5 Centrální Flowmon kolektor 1, 2 a 4portové Flowmon sony implementovaných v klíčových lokalitách pro zajištění detailního monitoringu LAN ADS Business Dalších 10+ aktivních prvků zasílajících NetFlow export data na centrální kolektor Dodávka a implementace realizována ve spolupráci s Dimension Data Czech Republic
Běžné monitorovací akce a využívané funkce 6 ADS: Detekce/analýza: SSH a DoS útoků na zařízení umístěné v Internetu/DMZ. Akce/Mitigace: zpravidla úprava konfigurace FW či konfigurace samotných zařízení v DMZ Komunikace Interních IP adres s Blacklisted IPs, následná kontrola pomocí vyfiltrování dalších událostí v ADS pro příslušnou IP zda není zdrojem dalších anomálií Akce/Mitigace: identifikace systému a uživatele, kontrola OS a případně edukace uživatele (ne)dostupnosti služeb po rekonfiguracích, aktualizacích a migracích (metoda SRVNA) Akce/Mitigace: kontrola/oprava Detekce L3 anomálií, konkrétně problémů se směrováním Akce/Mitigace: spolupráce s service providery na odstranění problému Detekce dalších anomálií jako např. abnormálního monožství SMTP, DNS, ICMP, Flowmon: Reporty, kontrola top statistik za den/týden Kontrola trendů ve vytížení LAN/WAN (proaktivní kontrola, kapacitní plánování, ) Detailní analýza událostí z ADS Analýza SIP komunikace
Hrubá čísla pro představu 7 Průměrně ADS celoročně analyzuje 850flows/s Běžné denní špičky +2000fps Počet toků vyžadujících zvýšenou pozornost a případnou analýzu je o 4-5 řádů nižší než počet zbývajících toků Cca 20-30 systémů/ips kontrolovaných za měsíc na základě detekovaných událostí v ADS
Přínosy řešení 8 Viditelnost do sítě včetně detailního přehledu o chování uživatelů a zařízení na síti Zvýšení bezpečnosti ICT infrastruktury a s tím související kontrola přístupu k ICT prostředkům. Efektivnější správa a dohled sítě, zjišťování chybných konfigurací a řešení problémů na síti.
Kontakt KOFOLA ČeskoSlovensko a.s. Nad Porubkou 2278/31a 708 00 OSTRAVA Tel.: +420 595 601 030 www.kofola.eu www.firma.kofola.cz www.firma.kofola.sk www.kofola.pl Děkujeme za pozornost!