infrastruktúra-felderítés és konfigurációmenedzsment-adatbázisok
DESCRIPTION
Intelligens rendszerfelügyelet. Infrastruktúra-felderítés és konfigurációmenedzsment-adatbázisok. Kocsis Imre, Szombath István http://mit.bme.hu/~ikocsis. Infrastruktúra-felderítés: motiváció. Miért kellene felderítenünk azt, amit ismerünk?. IP szintű hálózati topológia?. - PowerPoint PPT PresentationTRANSCRIPT
1Budapesti Műszaki és Gazdaságtudományi EgyetemMéréstechnika és Információs Rendszerek Tanszék
Infrastruktúra-felderítés éskonfigurációmenedzsment-adatbázisok
Kocsis Imre, Szombath Istvánhttp://mit.bme.hu/~ikocsis
Intelligens rendszerfelügyelet
2
Infrastruktúra-felderítés: motiváció Miért kellene felderítenünk azt, amit
ismerünk?
IP szintű hálózati topológia?
3
Infrastruktúra-felderítés: motiváció
IP szintű hálózati topológia?
4
Infrastruktúra-felderítés: motivációBME gerinchálózat
IP szintű hálózati topológia?
5
Mihez kell a pontos rendszerkép? „Eszközök” (assets) leltárazása
o Hardvertől a licenszig
Megfelelőségi (compliance) vizsgálatoko Törvényi szabályozástól a belső eljárásrendig
Hibaok-keresés
Hatásanalíziso Lásd ITIL változáskezelés
…
6
Infrastruktúra-felderítés: miért? Elavult dokumentáció, felejtés, kommunikáció hiánya, …
Folyamatokat megkerülő változásoko Jószándékú változtatásoktól a munkahelyi magánszerverig és továbbo N.B.: ha van egyáltalán változáskezelés…
Rendszerek integrálása
Infrastrukturális elemek logikai kapcsolataio „Előre” jó modell: nehéz; zárt, menedzselt esetben iso Nem engedélyezett kapcsolatok?
…
7
Infrastruktúra-felderítés: rétegek
switch router
sheldon : NetBSD
raj : CentOS5
leonard : RHEL5
IP
IP
IP
TCP flow
TCP flow
1. Elemek2. Tulajdonságaik3. Kapcsolataik4. Rétegek közötti
függőségek
8
Infrastruktúra-felderítés: rétegek
sheldon : NetBSD
raj : CentOS5
leonard : RHEL5
IP
IP
IP
TCP flow
TCP flow
ws1 : AppServer Db2 : DBServer
ldap : DirectoryServer
apache : WebServer
ws2 : AppServer
HTTP
HTTP
db-native
LDAP
db-native
9
Infrastruktúra-felderítés: aspektusok
sheldon : NetBSD
raj : CentOS5
leonard : RHEL5
IP
IP
IP
TCP flow
TCP flow
ws1 : AppServer Db2 : DBServer
ldap : DirectoryServer
apache : WebServer
ws2 : AppServer
HTTP
HTTP
db-native
LDAP
db-native
10
Infrastruktúra-felderítés: aspektusok
sheldon : NetBSD
raj : CentOS5
leonard : RHEL5
IP
IP
IP
TCP flow
TCP flow
ws1 : AppServer Db2 : DBServer
ldap : DirectoryServer
apache : WebServer
ws2 : AppServer
HTTP
HTTP
db-native
LDAP
db-native
11
Tanulságok A kapcsolatok felderítése valódi feladat
„Rétegek” és kapcsolataik: komoly modellezési vetületo Sorvezető: CIMo Rétegeket összekapcsoló logika?
Támogató eszközök és automatizáció kell
12
Taxonómia
Hosztok és kapcsolataik felderítése
Ágens alapú
Ágens nélküli("agentless")
Hozzáférési jogosultsággal(credential-based host discovery)
Hozzáférési jogosultság nélkül (credential-less)
aktívpasszív
Hosztok és kapcsolataik felderítése
13
Felderítés Ágens alapú
o Értelemszerűen: ágenso Erőforrások?o Eseményvezérelt is lehet
Hozzáférési jogosultságokkaloWMI, SNMP, ssh (+ expect) + $foo, …• Akkor mitől „ágens nélküli”?
o Biztonsági rés / jelszavak karbantartása
14
Felderítés – „credential-less”, aktív intruzív, támadásokra hasonlít
o szűrések/tiltások! – nem mintha lenne tapasztalatunk
„felületi” információko azt azért feltételezhetjük, hogy nem Metasploit a következő
lépés…
ARP scan, ping sweep, port scan, TCP/IP stack (OS) fingerprinting, service fingerprinting, …
nmap
15
Felderítés – „credential-less”, passzív (3) hálózati forgalom „lehallgatása”
o Wiresharko Mély protokoll-analízis (deep inspection)o Kapcsolt Etherneten?
hálózati elemeken belüli forgalom-megfigyeléso IP szint: NetFlow
• szabvány: IP Flow Information eXport, IPFIX (RFC5101/5102)
o Klasszikusan egy „flow” ~: {source | dest}, {IP | port}, ingress if, IP ToS
o Router: flow record-okat ad ki
o „Deep (packet) inspection” is létezik
16
nmap
17
Demo nmap GUI scan
oWindows stock UbuntuoWindows Ubuntu + Apacheo Ubuntu Windows with FWo Ubuntu Windows w/o FW
Idegen hálózatban/eszközökön támadásnak minősül!
nmap
18
Központi konfiguráció-menedzsment adatbázis Hol tároljuk az adatokat?
o Hálózatmenedzsment eszközo Szoftverterítő és –karbantartó megoldáso Hardver leltáro Licenszkövető rendszero Szolgáltatási szint menedzsment rendszero …
Így viszont: o Nincsenek „menedzsment silók” közötti relációko Tipikus IT menedzsment folyamatok: több forrásból adat
19
Linux/UNIX hosztbázisú felderítés SNMP/CIMOM/Advanced Package Tool/…:
o Igen sok terület valójában jól lefedett
Problematikus terület: folyamatok/szolgáltatások belső függőségei (IPC!)o Fileo Signalo Socketo Message queueo Pipeo Shared memoryo …
Problematikus terület: távoli „kliens” és „szerver” összekapcsolásao TCP szintig: lsof, netstat, …
20
Központi konfiguráció-menedzsment adatbázis
21
Konfigurációs elemek (ITIL v3) A konfigurációs elemek (Configuration Item, CI)
olyan (rendszer)komponensek, melyek menedzselése szükséges valamely IT szolgáltatás nyújtásához. […]
Tipikusan CI-ként kezelt rendszerelemek:o IT szolgáltatásoko Hardver, szoftvero Épületek, emberi erőforrásoko Formális dokumentáció (folyamatok, SLA-k)o Folyamat-adatok (incidensek, problémák)
22
CMDB (ITIL v3)
Központosított „adatbázis” ami CI-k attribútumait és azok más CI-kkel való kapcsolatait tárolja.
Megjegyzéseko az ITIL alapvetően még mindig folyamat-gyűjteményo A definíció inkább funkcionális igény, mint specifikációo Általában relációs vagy OO technológia
Figyelem: ez egy egyszerűsített definíció(kimaradt pl. : CMS, CR, életciklus)
23
ITIL CMDB
2424
Általános követelmények (Gartner)
Federation – adatbázisok federációja
Reconciliation – adatforrások „kibékítése”(adategyeztetés)
Synchronization – szinkronizáció
Mapping and Visualization – leképezés és vizualizáció
25
Federáció Federált CMDB
o „Management Data Repository”-k (MDR) kombinációjao legalább egy federálja a többito menedzsment adatok aggregált nézete
Federáció: az „Extract-Transform-Load” (ETL) ellentéte
meta-DBMS
26
Adategyeztetés
Alapprobléma: ugyanazon CI más névvel / ID-val a különböző adatforrásokban
Konfigurációs elem integritásának megőrzése
Új összefüggések létrehozása
Erősen gyártóspecifikus
27
Termékek IBM Tivoli Application Dependency Discovery
Manager (TADDM)o Adatmodell alapja: CIM
HP Universal CMDB BMC Atrium CMDB Jónéhány kisebb/FOSS megoldás
Federáció nem jellemző Integrált felderítő-képességek Periodikus, teljes felderítés
28
IBM Tivoli Application Dependency Discovery Manager (TADDM)
IBM CMDB megvalósítása Fejlett IT infrastruktúra felderítés, követés, tárolás, …
o Szenzorok, adapterek, ágensek,…o ITIL folyamatok támogatása
Automatizálható Központosított Szabványos adattárolás, integrációs lehetőségek Nagyvállalati rendszerekre optimalizált http://www-01.ibm.com/software/tivoli/products/taddm/ http://www.redbooks.ibm.com/abstracts/sg247222.html?Open
29
Architektúra és Integráció
30
Adatmodell (részlet…)
31
Automatizált felderítés – kaszkád-logika
32
Automatizált felderítés – kaszkád-logika
33
Felderítés
34
35