Pavel Minařík
Flow Monitoring & NBA
minarik@invea.cz
2/26
• Zákazník požaduje řešení pro monitorování a analýzu
provozu datové sítě
 Měření provozu v prostředí multi-10Gbps infrastruktury
 Historie 1 rok zpětně s možností data analyzovat až na úroveň
jednotlivých spojení
 Reportování a přehled dle segmentů, IP, portů, protokolů, atd.
 Automatická analýza v reálném čase a identifikace útoků,
malware, potenciálních úniků dat
 Identifikace nežádoucích aplikací a to i šifrovaných
Formulace zadání
FlowMon © INVEA-TECH 20133.4.2013
3/26
Monitoring sítě - možnosti
• SNMP
 pouze na úrovni základních čítačů, chybí detailní informace
• Monitoring toků
 detailní přehled o dění v síti
• Paketová analýza
 velmi detailní, ale časově velmi náročná
3.4.2013 FlowMon © INVEA-TECH
4/26
SNMP
3.4.2013 FlowMon © INVEA-TECH
5/26
Flow Monitoring
• Měření na základě IP toků
• Analyzují se pouze hlavičky paketů, obsah paketů není
monitorován ani uchováván
• Moderní metoda monitorování sítí, Cisco standard v5/v9
• Redukce dat cca 500:1
3.4.2013 FlowMon © INVEA-TECH
6/26
Packet Analysis
• Zachycení provozu v plném rozsahu, vč. obsahu
• Extrémní požadavky na výkon a diskovou kapacitu
• Nástroje
 tcpdump
 Wireshark
 …
3.4.2013 FlowMon © INVEA-TECH
7/26
Moderní hrozby
• APT (Advanced Persitent Threats)
• Zero-day útoky a polymorfní malware
• Postranní komunikační kanály
• Společné rysy
 Často šité na míru cílovému prostředí
 Neexistují signatury nebo nejsou dostupné včas
 Neviditelné pro běžné bezpečnostní nástroje
FlowMon © INVEA-TECH3.4.2013
8/26
• Jak technicky provoz sledovat
 Inline
 SPAN/mirror
 TAP
Měření provozu
FlowMon © INVEA-TECH 20133.4.2013
9/26
• SNMP
 Nevyhovuje, pouze objemy, nepoužitelné
Ukládání provozu
FlowMon © INVEA-TECH 20133.4.2013
1Gbps linka
vytížená na 10%
Paketová analýza Flow monitoring
Disková kapacita na 1 den
provozu
Cca 1TB Cca 2 GB
Propustnost měřícího
systému
Stejná jako měřený provoz Stejná jako měřený
provoz, ale zpracují se jen
hlavičky
Propustnost úložiště a
analytického systému
100Mbps, stejná jako
měřený provoz
cca 200kbps
10/26
Splnění požadavků
Provozní i bezpečnostní využití
• Struktura a charakter provozu
• Identifikace provozních problémů a jejich příčin
• Odhalování infikovaných stanic, útoků a pokročilých hrozeb
• Odhalování nežádoucích aplikací
FlowMon © INVEA-TECH 20133.4.2013
11/26
Struktura a charakter provozu
FlowMon © INVEA-TECH 2013
• 10% uživatelů typicky vygeneruje 90% provozu – kteří to jsou?
• Jak jsou využívány služby a proč byla včera síť tak pomalá?
3.4.2013
12/26
Provozní problémy a příčiny
FlowMon © INVEA-TECH 2013
• Chybné konfigurace a výpadky služeb
3.4.2013
13/26
Neznámý malware
FlowMon © INVEA-TECH 20133.4.2013
14/26
Neznámý malware
FlowMon © INVEA-TECH 20133.4.2013
15/26
Útoky
FlowMon © INVEA-TECH 20133.4.2013
16/26
Úniky dat
FlowMon © INVEA-TECH 20133.4.2013
17/26
Nežádoucí aplikace
FlowMon © INVEA-TECH 2013
• The Onion Router
 Klient pro různé OS
 Nevyžaduje zvláštní schopnosti
 Není možné detekovat analýzou obsahu
 Vhodné pro obcházení politik a omezení
3.4.2013
18/26
Podpora konceptu BYOD
FlowMon © INVEA-TECH 2013
• Monitorování aktivních zařízení v síti
• Sledování přiřazení IP adresa – MAC adresa
• Identifikace výrobce zařízení
3.4.2013
19/26
Architektura řešení
• Pasivní FlowMon sondy
 zdroj síťových statistik (NetFlow dat)
• Kolektory NetFlow dat
 vizualizace a vyhodnocení síťových statistik
• FlowMon ADS
 detekce bezpečnostních událostí a anomálií
FlowMon © INVEA-TECH 20133.4.2013
20/26
FlowMon sondy
• Výkonné autonomní NetFlow sondy - zdroj záznamů o IP tocích
ve formátu NetFlow v5/v9/IPFIX
• Mobilní, L2/L3 neviditelná zařízení – transparentní pro
monitorovanou síť, použitelná v libovolném bodě sítě
• Vzdálená konfigurace přes intuitivní webové rozhraní
• Podpora 10/100/1000 Ethernetu, 10 GE, IPv4, IPv6, VLAN, MPLS
• Vestavěný kolektor pro okamžité uložení a analýzu dat
3.4.2013 FlowMon technická © INVEA-TECH
21/26
FlowMon kolektory
• Dlouhodobé uložení síťových statistik z několika zdrojů
• Kolektorová aplikace pro analýzu NetFlow/IPFIX/sFlow
statistik – FlowMon Monitorovací Centrum
 vždy v ceně zařízení
• Zobrazení a analýzy síťového provozu
• Profesionální řešení pro větší sítě
 RAID, redundantní napájení, úložná kapacita 1 TB – 100 TB
 dohled nad sítí z centrálního bodu v síti
3.4.2013 FlowMon technická © INVEA-TECH
22/26
FlowMon ADS
• Řešení pro automatickou analýzu provozu datové sítě
• Určeno k detekci provozních a bezpečnostních problémů
a podezřelých aktivit
3.4.2013 FlowMon technická © INVEA-TECH
Network
Security
(Bezpečnost)
User and Application
Control
(Uživatelé, aplikace)
Network
Performance
Monitoring
(Výkon)
23/26
Typické nasazení – enterprise
• Sondy v jednotlivých lokalitách, centrální kolektory
• Monitorování provozu
 Klienti – servery
 Klienti – WAN
 Servery – WAN
• Výstupy
 Webové rozhraní
 E-mailové alerty
 SIEM (syslog)
FlowMon © INVEA-TECH 20133.4.2013
24/26
Typické nasazení – ISP
• Sondy na jednotlivých up-linkách – NIX, zahraniční tranzit
• Monitorování provozu
 Všechny IP obsluhované daným ISP
3.4.2013 FlowMon technická © INVEA-TECH
25/26
FlowMon shrnutí
Srovnání s tradičním přístupem
• Cílem řešen FlowMon je doplnit a rozšířit schopnosti tradičních
nástrojů pro ochranu sítě a detekci anomálií!
3.4.2013 FlowMon technická © INVEA-TECH
Tradiční metody a
přístupy
FlowMon
Místo instalace Perimetr LAN, datové centrum,
perimetr
Metoda detekce Analýza L7, na základě
signatur
Analýza L3/L4, statistika,
chování
Druh hrozeb Známé hrozby Známé L3/L4 a neznámé
hrozby
Rozsah Bezpečnostní hrozby Bezpečnostní, provozní
a výkonnostní problémy
26/26
• Česká společnost, univerzitní spin-off, spolupráce CESNET
a univerzity, projekty EU
• Založena 2007
• Oblasti působení:
 Flow Monitoring
 Network Behavior Analysis
• Přes 200 instalací řešení FlowMon na českém trhu
• Vybrané reference:
INVEA-TECH
FlowMon © INVEA-TECH 20133.4.2013