1Budapesti Műszaki és Gazdaságtudományi EgyetemMéréstechnika és Információs Rendszerek Tanszék

Infrastruktúra-felderítés éskonfigurációmenedzsment-adatbázisok

Kocsis Imre, Szombath Istvánhttp://mit.bme.hu/~ikocsis

Intelligens rendszerfelügyelet

2

Infrastruktúra-felderítés: motiváció Miért kellene felderítenünk azt, amit

ismerünk?

IP szintű hálózati topológia?

3

Infrastruktúra-felderítés: motiváció

IP szintű hálózati topológia?

4

Infrastruktúra-felderítés: motivációBME gerinchálózat

IP szintű hálózati topológia?

5

Mihez kell a pontos rendszerkép? „Eszközök” (assets) leltárazása

o Hardvertől a licenszig

Megfelelőségi (compliance) vizsgálatoko Törvényi szabályozástól a belső eljárásrendig

Hibaok-keresés

Hatásanalíziso Lásd ITIL változáskezelés

…

6

Infrastruktúra-felderítés: miért? Elavult dokumentáció, felejtés, kommunikáció hiánya, …

Folyamatokat megkerülő változásoko Jószándékú változtatásoktól a munkahelyi magánszerverig és továbbo N.B.: ha van egyáltalán változáskezelés…

Rendszerek integrálása

Infrastrukturális elemek logikai kapcsolataio „Előre” jó modell: nehéz; zárt, menedzselt esetben iso Nem engedélyezett kapcsolatok?

…

7

Infrastruktúra-felderítés: rétegek

switch router

sheldon : NetBSD

raj : CentOS5

leonard : RHEL5

IP

IP

IP

TCP flow

TCP flow

1. Elemek2. Tulajdonságaik3. Kapcsolataik4. Rétegek közötti

függőségek

8

Infrastruktúra-felderítés: rétegek

sheldon : NetBSD

raj : CentOS5

leonard : RHEL5

IP

IP

IP

TCP flow

TCP flow

ws1 : AppServer Db2 : DBServer

ldap : DirectoryServer

apache : WebServer

ws2 : AppServer

HTTP

HTTP

db-native

LDAP

db-native

9

Infrastruktúra-felderítés: aspektusok

sheldon : NetBSD

raj : CentOS5

leonard : RHEL5

IP

IP

IP

TCP flow

TCP flow

ws1 : AppServer Db2 : DBServer

ldap : DirectoryServer

apache : WebServer

ws2 : AppServer

HTTP

HTTP

db-native

LDAP

db-native

10

Infrastruktúra-felderítés: aspektusok

sheldon : NetBSD

raj : CentOS5

leonard : RHEL5

IP

IP

IP

TCP flow

TCP flow

ws1 : AppServer Db2 : DBServer

ldap : DirectoryServer

apache : WebServer

ws2 : AppServer

HTTP

HTTP

db-native

LDAP

db-native

11

Tanulságok A kapcsolatok felderítése valódi feladat

„Rétegek” és kapcsolataik: komoly modellezési vetületo Sorvezető: CIMo Rétegeket összekapcsoló logika?

Támogató eszközök és automatizáció kell

12

Taxonómia

Hosztok és kapcsolataik felderítése

Ágens alapú

Ágens nélküli("agentless")

Hozzáférési jogosultsággal(credential-based host discovery)

Hozzáférési jogosultság nélkül (credential-less)

aktívpasszív

Hosztok és kapcsolataik felderítése

13

Felderítés Ágens alapú

o Értelemszerűen: ágenso Erőforrások?o Eseményvezérelt is lehet

Hozzáférési jogosultságokkaloWMI, SNMP, ssh (+ expect) + $foo, …• Akkor mitől „ágens nélküli”?

o Biztonsági rés / jelszavak karbantartása

14

Felderítés – „credential-less”, aktív intruzív, támadásokra hasonlít

o szűrések/tiltások! – nem mintha lenne tapasztalatunk

„felületi” információko azt azért feltételezhetjük, hogy nem Metasploit a következő

lépés…

ARP scan, ping sweep, port scan, TCP/IP stack (OS) fingerprinting, service fingerprinting, …

nmap

15

Felderítés – „credential-less”, passzív (3) hálózati forgalom „lehallgatása”

o Wiresharko Mély protokoll-analízis (deep inspection)o Kapcsolt Etherneten?

hálózati elemeken belüli forgalom-megfigyeléso IP szint: NetFlow

• szabvány: IP Flow Information eXport, IPFIX (RFC5101/5102)

o Klasszikusan egy „flow” ~: {source | dest}, {IP | port}, ingress if, IP ToS

o Router: flow record-okat ad ki

o „Deep (packet) inspection” is létezik

16

nmap

17

Demo nmap GUI scan

oWindows stock UbuntuoWindows Ubuntu + Apacheo Ubuntu Windows with FWo Ubuntu Windows w/o FW

Idegen hálózatban/eszközökön támadásnak minősül!

nmap

18

Központi konfiguráció-menedzsment adatbázis Hol tároljuk az adatokat?

o Hálózatmenedzsment eszközo Szoftverterítő és –karbantartó megoldáso Hardver leltáro Licenszkövető rendszero Szolgáltatási szint menedzsment rendszero …

Így viszont: o Nincsenek „menedzsment silók” közötti relációko Tipikus IT menedzsment folyamatok: több forrásból adat

19

Linux/UNIX hosztbázisú felderítés SNMP/CIMOM/Advanced Package Tool/…:

o Igen sok terület valójában jól lefedett

Problematikus terület: folyamatok/szolgáltatások belső függőségei (IPC!)o Fileo Signalo Socketo Message queueo Pipeo Shared memoryo …

Problematikus terület: távoli „kliens” és „szerver” összekapcsolásao TCP szintig: lsof, netstat, …

20

Központi konfiguráció-menedzsment adatbázis

21

Konfigurációs elemek (ITIL v3) A konfigurációs elemek (Configuration Item, CI)

olyan (rendszer)komponensek, melyek menedzselése szükséges valamely IT szolgáltatás nyújtásához. […]

Tipikusan CI-ként kezelt rendszerelemek:o IT szolgáltatásoko Hardver, szoftvero Épületek, emberi erőforrásoko Formális dokumentáció (folyamatok, SLA-k)o Folyamat-adatok (incidensek, problémák)

22

CMDB (ITIL v3)

Központosított „adatbázis” ami CI-k attribútumait és azok más CI-kkel való kapcsolatait tárolja.

Megjegyzéseko az ITIL alapvetően még mindig folyamat-gyűjteményo A definíció inkább funkcionális igény, mint specifikációo Általában relációs vagy OO technológia

Figyelem: ez egy egyszerűsített definíció(kimaradt pl. : CMS, CR, életciklus)

23

ITIL CMDB

2424

Általános követelmények (Gartner)

Federation – adatbázisok federációja

Reconciliation – adatforrások „kibékítése”(adategyeztetés)

Synchronization – szinkronizáció

Mapping and Visualization – leképezés és vizualizáció

25

Federáció Federált CMDB

o „Management Data Repository”-k (MDR) kombinációjao legalább egy federálja a többito menedzsment adatok aggregált nézete

Federáció: az „Extract-Transform-Load” (ETL) ellentéte

meta-DBMS

26

Adategyeztetés

Alapprobléma: ugyanazon CI más névvel / ID-val a különböző adatforrásokban

Konfigurációs elem integritásának megőrzése

Új összefüggések létrehozása

Erősen gyártóspecifikus

27

Termékek IBM Tivoli Application Dependency Discovery

Manager (TADDM)o Adatmodell alapja: CIM

HP Universal CMDB BMC Atrium CMDB Jónéhány kisebb/FOSS megoldás

Federáció nem jellemző Integrált felderítő-képességek Periodikus, teljes felderítés

28

IBM Tivoli Application Dependency Discovery Manager (TADDM)

IBM CMDB megvalósítása Fejlett IT infrastruktúra felderítés, követés, tárolás, …

o Szenzorok, adapterek, ágensek,…o ITIL folyamatok támogatása

Automatizálható Központosított Szabványos adattárolás, integrációs lehetőségek Nagyvállalati rendszerekre optimalizált http://www-01.ibm.com/software/tivoli/products/taddm/ http://www.redbooks.ibm.com/abstracts/sg247222.html?Open

29

Architektúra és Integráció

30

Adatmodell (részlet…)

31

Automatizált felderítés – kaszkád-logika

32

Automatizált felderítés – kaszkád-logika

33

Felderítés

34

35