jak$využít netflow$pro$detekci$incidentů?$...požadavky&na&řešení$...
TRANSCRIPT
![Page 1: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/1.jpg)
Pavel Minařík, CTO
Jak využít NetFlow pro detekci incidentů? Řešení FlowMon, ukázky použi?
![Page 2: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/2.jpg)
Princip technologie
![Page 3: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/3.jpg)
Kde monitorovat provoz?
![Page 4: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/4.jpg)
Hlavní využiA NetFlow
• Viditelnost do sítě, objem a struktura provozu, reporHng § Flow Monitoring
• AutomaHcká detekce bezpečnostních a provozních incidentů § Network Behavior Analysis
• Sledování výkonnostních ukazatelů § Network Performance Monitoring
![Page 5: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/5.jpg)
Požadavky na řešení
VlastnosH a funkce Co je dobré vědět Podpora verzí NetFlow NetFlow v5, v9, v10 (IPFIX) a hlavní rozdíly Disková kapacita Pro uložení provozu v plném rozsahu,
agregovaná data při incidentu nestačí Úroveň detailu Individuální toky, i pro historická data ReporHng & alerHng Na základě libovolných atributů,
definovatelné Behaviorální analýza Thresholdy nejsou behaviorální analýza,
požadujte automaHckou detekci incidentů Sledování akHvních zařízení Flow na úrovni přístupové vrstvy, sledování
MAC-‐IP a podpora konceptu BYOD Technické řešení Sohware vs. HW vs. Virtual
![Page 6: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/6.jpg)
Příklad použiA (1)
• Jak vypadal provoz naší sítě během jednoho dne? Je všechno v souladu s naším očekáváním?
![Page 7: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/7.jpg)
Příklad použiA (2)
• Podívejme se na špičku. To bude v pořádku, IT oddělení provádí migraci dat, nic zvláštního.
Opravdu? Nebo bychom měli prozkoumat provoz z jiného úhlu pohledu?
![Page 8: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/8.jpg)
Příklad použiA (3)
• Podívejme se na provoz z pohledu bezpečnostní analýzy, co je červená špička kolem jedné ráno?
![Page 9: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/9.jpg)
Příklad použiA (4)
• Jde o útok z dvojice IP adres, které se nachází v Číně, navíc jde o známé útočníky (reputace IP).
![Page 10: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/10.jpg)
Příklad použiA (5)
• Oba útoky nebyly úspěšné, můžeme se podívat na detaily až na úroveň jednotlivých toků.
![Page 11: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/11.jpg)
Vybrané incidenty
![Page 12: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/12.jpg)
Infekce botnetem
• Finanční insHtuce • Botnetem infikováno několik stanic • Podvržené čínské adresy útočí do vietnamu
![Page 13: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/13.jpg)
DDoS útok a opět botnet
• Informační technologie • Stanice z lokální sítě pod kontrolou útočníka • Provádí DDoS útok na povel C&C centra • Detekováno jako DDoS útok odcházející z dané infrastruktury
![Page 14: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/14.jpg)
Manipulace s DNS
• Informační technologie • Změna používaného DNS serveru na stanici • Možnost manipulace s DNS záznamy a přístupem na webové servery
![Page 15: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/15.jpg)
Odposlech provozu
• Služby • Pokročilý malware přesměroval provoz na infikovanou stanici prostřednictvím DHCP
![Page 16: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/16.jpg)
Řešení FlowMon
![Page 17: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/17.jpg)
• Monitorování provozu v síH (NetFlow/IPFIX) § Kompletní viditelnost do dění v síH § Real-‐Hme a historická data pro LAN & WAN & komunikaci do Internetu
§ OpHmalizace správy a provozu sítě § EfekHvní troubleshooHng
• Bezpečnost datové sítě (NBA, NBAD) § Založeno na behaviorální analýze, nikoliv známých signaturách
§ Detekce pokročilého malware, zero-‐day útoků, podezřelých přenosů dat, změn chování a dalších incidentů
Z pohledu uživatele
![Page 18: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/18.jpg)
Architektura
• FlowMon Kolektor § sběr a vizualizace síťových staHsHk § dlouhodobé uložení a reporHng
• FlowMon ADS § detekce bezpečnostních a provozních událos? a anomálií § SW součást výbavy kolektoru
![Page 19: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/19.jpg)
Nasazení řešení
• Centralizovaná architektura § Sběr NetFlow z jednoho nebo několika core přepínačů § Ukládání a vyhodnocování na centrálním kolektoru
• Sledovaný provoz § KlienH – WAN § KlienH – servery § Servery – WAN
• Vhodné pro § Datová centra § Velké podniky
![Page 20: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/20.jpg)
Nasazení řešení
• Decentralizovaná architektura § Sběr NetFlow z řady hraničních routerů § Ukládání a vyhodnocování na centrálním kolektoru
• Sledovaný provoz § Lokalita – WAN § Lokalita – MPLS § Lokalita – DC
• Vhodné pro § Pobočky § Velký počet lokalit
![Page 21: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/21.jpg)
Rekapitulace
![Page 22: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/22.jpg)
• Česká společnost, univerzitní spin-‐off, spolupráce CESNET a univerzity, projekty EU
• Založena 2007 • OblasH působení:
§ Flow Monitoring § Network Behavior Analysis § Network Performance Monitoring
• Přes 500 instalací řešení FlowMon
INVEA-‐TECH
![Page 23: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/23.jpg)
• Obraťte se na nás pro více informací • Případové studie a reference
§ www.invea.cz/spolecnost/reference § www.invea.cz/produkty-‐sluzby/flowmon/flowmon-‐pripadove-‐studie
• Pilotní projekt řešení FlowMon ve Vaší datové síH
Jak dál?
![Page 24: Jak$využít NetFlow$pro$detekci$incidentů?$...Požadavky&na&řešení$ VlastnosH&a&funkce& Cojedobrévědět& Podporaverzí$ NetFlow$ NetFlow$v5,$v9,$v10$(IPFIX)$ahlavní$rozdíly$](https://reader033.vdocuments.mx/reader033/viewer/2022051904/5ff5adb903edda3559588830/html5/thumbnails/24.jpg)
INVEA-‐TECH a.s. U Vodárny 2965/2 616 00 Brno Czech Republic www.invea-‐tech.com
High-‐Speed Networking Technology Partner
Otázky?
Pavel Minařík [email protected] +420 733 713 703