Firewall, IDS a jak dále? Network security monitoring - FlowMon - kompletní řešení pro monitorování a bezpečnost počítačových sítí Jiří Tobola tobola@invea.cz Váš partner ve světě vysokorychlostních sítí
INVEA-TECH Česká společnost, univerzitní spin-off, spolupráce CESNET a univerzity, projekty EU 50 instalací během prvního roku působení na trhu Desítky provedených analýz a měření sítí, např. Zákaznické reference akademická sféra univerzity, knihovny, AV státní sféra magistráty, kraje, nemocnice soukromá sféra od malých až po největší společnosti poskytovatelé internetu Mnoho referencí i ze zahraničí, např. Korea Telecom 22.03.2011 FlowMon INVEA-TECH 2011 2/49
Síť = páteř Vašeho IT Na fungování sítě závisí: aplikace dostupnost dat uživatelé zákazníci obchody chod organizace image organizace Víte kolik Vaši organizaci nákladově stojí nefungování sítě či pomalá odezva síťových aplikací? Máte zajištěnu vnější i vnitřní bezpečnost sítě? Jsou správa sítě a nákup WAN / Internet konektivity cenově optimalizované? 22.03.2011 FlowMon INVEA-TECH 2011 3/49
Klíčové body proč monitorovat Neřešený monitoring datových toků v sítí Bezpečnost (firewall a antivir dnes opravdu nestačí) Detekujete snadno útoky DOS, DDOS a útoky na služby? Jste schopni odhalit viry a malware nepodchycený antiviry? Optimalizace infrastruktury Máte přehled o síťových komunikacích nejen do Internetu ale i v rámci WAN a LAN? Vidíte do sítě real-time i historicky? Neplatíte zbytečně moc poskytovali Internetu nebo WAN? Je vaše síť pomalá? Mají vaše síťové aplikace dlouhé odezvy? Efektivita zaměstnanců 22.03.2011 Spravujete síť jednoduše, přehledně? Vidíte do síťového provozu? Nejsou ve vaší síti zneužívány služby P2P a instant messaging? Nenavštěvují vaši zaměstnanci podezřelé webové stránky? FlowMon INVEA-TECH 2011 4/49
FlowMon síť pod kontrolou! Kompletní řešení pro monitorování sítě na základě IP toků Založeno na technologii NetFlow v5/v9 Poskytuje informace kdo, s kým, jak dlouho, jakým protokolem komunikoval a kolik přenesl dat Odpověď na všechny otázky z předcházejícího slajdu Nejlepší poměr cena/výkon na trhu Unikátní přínos pro uživatele Řešení pro sítě všech velikostí Technologie vytvořená v ČR 22.03.2011 FlowMon INVEA-TECH 2011 5/49
Technologické okénko Monitoring Bezpečnost SNMP Firewall IDS/IPS Antivir Antimalware Identity Management Network Security Monitoring 22.03.2011 NetFlow NBA/ADS FlowMon INVEA-TECH 2011 6/49
Počítače Domy
Kabely Cesty
Uživatelé Obyvatelé
Co je cílem
SNMP Monitoring
SNMP
Firewall
FIREWALL OK
Intrusion Detection System Intrusion Prevention System
IDS/IPS OK STOP
Anti Virus, Anti Spyware,
ANTI-X OK
Identity Management Network Access Control
IDENTITY MANAGEMENT
Network Security Monitoring (Bezpečnostní monitoring sítí)
Detekce známých vzorů nežádoucího chování
Detekce anomálií
Technologické okénko - shrnutí Monitoring Bezpečnost SNMP informace kolik paketů a dat, základní troubleshooting Firewall perimetr, pravidla IDS/IPS perimetr, vzory v paketech, ochrana proti známým hrozbám Antivir koncové stanice, vzory známých virů Antimalware koncové stanice, vzory známého malware Identity Management ověřování uživatelů Network Security Monitoring doplnění technologií výše 22.03.2011 NetFlow co se děje v síti (kdo, s kým, co, jak...) NBA/ADS odhalení i dosud neznámých hrozeb a nestandardního chování stanic FlowMon INVEA-TECH 2011 31/49
Gartner & Praxe Gartner Neexistuje bezpečnost bez monitoringu. Mnoho lidí bylo dlouho přesvědčeno že bezpečnost stačí budovat na perimetru a monitoring je zbytečná práce navíc. Opak je pravdou. bezpečná organizace = firewall + IPS + NBA/NBAD/ADS monitoring síťových komunikací a nework behavior analysis zařazen do TOP10 nejdůležitějších technologií roku 2010 Praxe 22.03.2011 90% organizací nemá implementován systém monitorování datových toků / síťových komunikací vzrůstající požadavky na monitoring a bezpečnost, audity finančních institucí, budování CSIRT týmů na mnoha úrovních chybějící nástroje pro podporu implementace a kontroly ISO 27000 FlowMon INVEA-TECH 2011 32/49
Gartner - doporučení 23.03.2011 FlowMon INVEA-TECH 2011 33/49
FlowMon architektura Pasivní FlowMon sondy zdroj síťových statistik (NetFlow dat) Kolektory NetFlow dat 22.03.2011 vizualizace a vyhodnocení síťových statistik FlowMon INVEA-TECH 2011 34/49
FlowMon monitorovací centrum Grafy a tabulky komunikací, formulář pro detailní analýzy Top N statistiky (uživatelé, služby, navštěvované servery) Předdefinovaná sada pohledů na standardní protokoly Uživatelsky definované pohledy (pobočky, servery, uživatelé) Upozornění na email - alerty, dynamické tresholdy 22.03.2011 FlowMon INVEA-TECH 2011 35/49
FlowMon Reporter Inteligentní reportovací nástroj, export do pdf, csv Přehled o tom co se dělo v síti za poslední den/týden/měsíc Statistiky online i offline v zadaném intervalu do emailu Report pro administrátora: Kdo nejvíce vytěžuje klíčový server s IS? Jak jsou vytíženy linky/služby? Report pro manažera: 22.03.2011 Kdo chodí nejvíce na web? Na které weby se nejvíce chodí? Kdo rozesílá nejvíce emailů? Kdo je král P2P sítí? FlowMon INVEA-TECH 2011 36/49
FlowMon ADS Detekce nežádoucích vzorů chování Behaviorální analýza Profily chování Detekce anomálií Sběr statistik Přehledné uživatelské rozhraní Vnitřní i vnější útoky Nežádoucí služby a aplikace Provozní a konfigurační problémy Dashboard s okamžitou indikací problémů a top statistik Interaktivní vizualizace událostí Integrace informací ze služeb DNS, WHOIS, geolokační služby Komplexní filtrování, alerting, reporting 22.03.2011 FlowMon INVEA-TECH 2011 37/49
FlowMon ADS Detekce nežádoucích vzorů chování 22.03.2011 Útoky (skenování portů, slovníkové útoky, denial of service, protokol telnet) Anomálie datového provozu (DNS, multicast, nestandardní komunikace) Anomálie v chování zařízení (změna dlouhodobého profilu chování zařízení) Nežádoucí aplikace (P2P sítě, instant messaging, anonymizační služby) Interní bezpečnostní problémy (viry, spyware, botnety) Poštovní provoz (odchozí spam) Provozní problémy (zpoždění, nadměrná zátěž, reverzní DNS záznamy) FlowMon INVEA-TECH 2011 38/49
FlowMon ADS Uživatelské rozhraní 22.03.2011 Moderní webové uživatelské rozhraní Řada alternativních pohledů na události Prohledávání profilů chování Interaktivní vizualizace událostí Česká lokalizace a on-line nápověda FlowMon INVEA-TECH 2011 39/49
FlowMon - pluginy 22.03.2011 FlowMon INVEA-TECH 2011 40/49
Typický projekt - menší Monitoring vnitřní sítě i Internetu s využitím SPAN/mirror portu aktivního prvku. Jednoportová gigabitová sonda. Dle počtu pluginů 75 150 tis Kč Reference: JIC, Nemocnice Olomouc, MVV Energie Alternativa pro 10/100 Mbps FlowMon Probe 100 Office 33 tis Kč 22.03.2011 FlowMon INVEA-TECH 2011 41/49
Typický projekt - střední Monitoring vnitřní sítě s využitím SPAN/mirror portu aktivního prvku. Monitoring komunikace za firewallem pomocí tapu. Čtyřportová gigabitová sonda. Dle počtu pluginů 150 500 tis Kč Reference: Aegon, Olomoucký kraj Akademie Věd, BFÚ 22.03.2011 FlowMon INVEA-TECH 2011 42/49
Typický projekt - rozsáhlý Monitoring více lokalit - sondy, kolektor či kolektory, pluginy Dle počtu lokalit 500 tis Kč 15 mil Kč Reference: AVG, Ministerstvo Obrany (přes VDI Meta) 22.03.2011 FlowMon INVEA-TECH 2011 43/49
Typický projekt - ISP Monitoring všech uplinek NIX, zahraniční tranzit Standardní velikost projektu Malý ISP, 1-2 gigabitové linky, 75 150 tis Kč Velký ISP, desetigigabitové linky, 0,5 15 mil Kč Reference: Sloane Park, ČD Telematika, Zenit Lipník 22.03.2011 FlowMon INVEA-TECH 2011 44/49
Přínosy pro administrátory.. Detailní přehled o dění v síti (LAN i WAN) jak v reálném čase, tak kdykoliv v minulosti Přesné, rychlé a efektivní řešení problémů Zvýšení bezpečnosti, odhalení vnitřních i vnějších útoků Snadné plánování kapacit a optimalizací sítě Dohled nad využitím Internetu, využitím aplikací Předcházení incidentům jako jsou zahlcení a výpadky sítě Odhalení špatných konfigurací 22.03.2011 FlowMon INVEA-TECH 2011 45/49
..bezpečnost a management.. Přínosy řešení pro bezpečnostní oddělení: detekce vnitřních i vnějších útoků, změn chování v síti kontrola přístupů uživatelů k datovým zdrojům dohledávání a prokazování bezpečnostních incidentů porovnání bezpečnostních politik se skutečným stavem v síti prevence před únikem informací ze společnosti Přínosy řešení pro management: 22.03.2011 snížení nákladů na správu a provoz sítě statistiky (tabulky, koláčové grafy) o využití sítě kontrola využívání elektronických zdrojů zaměstnanci (např. využití Internetu v pracovní době) omezení využívání p2p aplikací ap. FlowMon INVEA-TECH 2011 46/49
..poskytovatele internetu (ISP) Dlouhodobé uložení informací o přenesených datech Plánování síťových kapacit na základě trendů Optimalizace nákupu konektivity Optimalizace peering dohod Snadná kontrola a prokazování SLA Snadné splnění zákonných požadavků (485/2005) Účtování a fakturace na základě přenesených dat Možnost integrace grafů a tabulek do vlastního IS 22.03.2011 FlowMon INVEA-TECH 2011 47/49
Bezpečnostní analýzy sítí Detailní analýzy Vaší sítě se zaměřením na bezpečnost, výkonnost a optimální využití její kapacity Nejmodernější metody pro monitorování IP toků Nezávislé monitorovací sondy FlowMon Bohaté zkušenosti v oblasti sledování a zabezpečení sítí Přínosy bezpečnostních analýz: 22.03.2011 detailní znalost provozu na síti prevence potencionálních bezpečnostních problémů odhalení nesprávných konfigurací rychlé řešení problémů určení kritických míst sítě detailní statistiky aktivit uživatelů a služeb návrh řešení monitorování sítě na bázi NetFlow FlowMon INVEA-TECH 2011 48/49
Děkuji za pozornost Váš partner ve světě vysokorychlostních sítí Jiří Tobola tobola@invea.cz 602 647 684 INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno www.invea.cz 22.03.2011 FlowMon INVEA-TECH 2011 49/49