SPAN-агрегация ианализ сетевоготрафика на наличиеугрозPHDays 2013Андрей ДугинИнженер по защите информацииДепартамент инфор...
Цели и задачи Подключение сетевых сенсоров (IDS, WAF,DLP, DBFW) Выбор места установки сетевых сенсоров Выбор линков для...
Содержание Архитектура фрагмента корпоративной сетигипотетической компании Сетевые угрозы Подключение сетевых сенсоров ...
Архитектура фрагментакорпоративной сетигипотетической компании4
Фрагмент сети5InternetCorp
Сетевые угрозы заражение вредоносным ПО несанкционированныйдоступ со стороны другихсистем атаки, направленные наперехва...
Сетевые угрозы несанкционированныйдоступ со стороныпользователей и другихсегментов сети недобросовестные действияадминис...
Подключение сетевыхсенсоров в сегментах припомощи SPAN/VACL сессий8
Параметры SPAN/VACL Spanning-tree root, secondaryroot для интересующихVLAN. Включен непосредственно вL3-устройство (rout...
Фрагмент сети10InternetCorp
Фрагмент сети11InternetCorp
Плюсы и минусы SPAN/VACL Отсутствие дополнительнойточки отказа и влияния наработу сети Быстрое внедрение безнеобходимост...
Подключение сетевыхсенсоров в сегментах припомощи TAP-ответвлений13
TAP-ответвления Uplink в ядро либо к провайдеру На входе-выходе из сегмента Подключение к firewallГде установить?14
Фрагмент сети15InternetCorp
Фрагмент сети16InternetCorp
Фрагмент сети17InternetCorp
Плюсы и минусы TAP Не расходуютсядополнительные ресурсыкоммутатора (SPAN-сессии,порты) Независимость отконфигурации и сб...
Подключение сетевыхсенсоров в сегментах сиспользованием решенияSPAN-агрегации19
Решение SPAN-агрегации К destination портам SPAN-сессий либо ответвляющимпортам TAP – приемтрафика К «слушающим» портамс...
Фрагмент сети21InternetCorpAggrAggr
Фрагмент сети22InternetCorpAggrAggr
Фрагмент сети23InternetCorpAggrAggr
Фрагмент сети24InternetCorpAggrAggr
Фрагмент сети25InternetCorpAggrAggr
Фрагмент сети26InternetCorpAggrAggr
Плюсы и минусы SPAN-агрегатора Не расходуютсядополнительные ресурсыкоммутатора (SPAN-сессии,порты) Оптимизация коммутаци...
Преимущества и недостаткитехнологий28SPAN TAP SPAN-AggОтсутствие дополнительной точки отказа + - +Внедрение без переключен...
Условное распределениетрафика в сегменте20%10%10%15%20%25%HTTP HTTPSSMTP MYSQLOracle Other WAF (30% от всего трафика):• H...
Экономический эффектвнедрения0%20%40%60%80%100%25%100%20%100%30%100% 75% от цены WAF3G:WAF1G = 0.25xWAF3G 70% от цены DB...
Экономический эффектвнедрения Дано:• Стоимость = CAPEX (оборудование) + OPEX(поддержка)• Стоимость SPAN-агрегатора $150K ...
Экономический эффектвнедрения Дано:• Стоимость = CAPEX (оборудование) + OPEX(поддержка)• Стоимость SPAN-агрегатора $150K ...
Вывод При необходимости выборочного анализа попротоколам/портам/тегам/меткам При использовании TAP-ответвлений для анали...
Спасибо34
Upcoming SlideShare
Loading in...5
×

Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возможности и ограничения, плюсы и минусы.

319

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
319
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возможности и ограничения, плюсы и минусы.

  1. 1. SPAN-агрегация ианализ сетевоготрафика на наличиеугрозPHDays 2013Андрей ДугинИнженер по защите информацииДепартамент информационной безопасностиОАО «Мобильные ТелеСистемы»
  2. 2. Цели и задачи Подключение сетевых сенсоров (IDS, WAF,DLP, DBFW) Выбор места установки сетевых сенсоров Выбор линков для установки TAP Подключение SPAN-агрегатора Оптимизация анализируемого трафика2
  3. 3. Содержание Архитектура фрагмента корпоративной сетигипотетической компании Сетевые угрозы Подключение сетевых сенсоров в сегментах:• При помощи SPAN/VACL сессий• С использованием TAP-ответвлений• С использованием решения SPAN-агрегации Расчет экономической эффективностивнедрения решения SPAN-агрегации3
  4. 4. Архитектура фрагментакорпоративной сетигипотетической компании4
  5. 5. Фрагмент сети5InternetCorp
  6. 6. Сетевые угрозы заражение вредоносным ПО несанкционированныйдоступ со стороны другихсистем атаки, направленные наперехват информацииДля пользовательских ПК для ОС, БД и ПО серверов, ккоторым они имеют доступ(взлом, заражение,нарушениеработоспособности,искажение данных и т. п.) для других пользовательскихПК быть точкой утечкиконфиденциальнойинформации компанииОт пользовательских ПК6
  7. 7. Сетевые угрозы несанкционированныйдоступ со стороныпользователей и другихсегментов сети недобросовестные действияадминистраторов атаки из Интернет (для DMZ) использование сервисов непо назначению, «обход»корпоративных политикбезопасностиДля серверов возможный взлом другихсерверов передача вредоносного кодана ПК пользователей утечка информации использование сервисов непо назначению, «обход»корпоративных политикбезопасностиОт серверов7
  8. 8. Подключение сетевыхсенсоров в сегментах припомощи SPAN/VACL сессий8
  9. 9. Параметры SPAN/VACL Spanning-tree root, secondaryroot для интересующихVLAN. Включен непосредственно вL3-устройство (router,firewall), либо является им. Имеет uplink в ядро либо кпровайдеру. VLAN’ы внутри сегмента(если необходимо) Uplink DMZ (если есть) Переходы между VRF (еслиесть)Где собрать SPAN/VACL? Что слушать?9
  10. 10. Фрагмент сети10InternetCorp
  11. 11. Фрагмент сети11InternetCorp
  12. 12. Плюсы и минусы SPAN/VACL Отсутствие дополнительнойточки отказа и влияния наработу сети Быстрое внедрение безнеобходимости физическойреорганизации сети Использование дополнительныхресурсов коммутатора (SPAN-сессии, порты) Зависимость от конфигурации исбоев активного сетевогооборудования Зависимость от изменения L2,L3-дизайна сетиПреимущества Недостатки12
  13. 13. Подключение сетевыхсенсоров в сегментах припомощи TAP-ответвлений13
  14. 14. TAP-ответвления Uplink в ядро либо к провайдеру На входе-выходе из сегмента Подключение к firewallГде установить?14
  15. 15. Фрагмент сети15InternetCorp
  16. 16. Фрагмент сети16InternetCorp
  17. 17. Фрагмент сети17InternetCorp
  18. 18. Плюсы и минусы TAP Не расходуютсядополнительные ресурсыкоммутатора (SPAN-сессии,порты) Независимость отконфигурации и сбоевактивного сетевогооборудования Дополнительная точка отказаи влияния на работу сети «Врезка» в линию привнедрении требует потерисервиса либо переключениятрафика Необходима коммутацияи/или агрегация ответвленийПреимущества Недостатки18
  19. 19. Подключение сетевыхсенсоров в сегментах сиспользованием решенияSPAN-агрегации19
  20. 20. Решение SPAN-агрегации К destination портам SPAN-сессий либо ответвляющимпортам TAP – приемтрафика К «слушающим» портамсенсоров – подачаагрегированного трафика VLAN-теги – на транках MPLS-метки SRC/DST IP Протоколы/портыКуда подключать? Параметры фильтрации20
  21. 21. Фрагмент сети21InternetCorpAggrAggr
  22. 22. Фрагмент сети22InternetCorpAggrAggr
  23. 23. Фрагмент сети23InternetCorpAggrAggr
  24. 24. Фрагмент сети24InternetCorpAggrAggr
  25. 25. Фрагмент сети25InternetCorpAggrAggr
  26. 26. Фрагмент сети26InternetCorpAggrAggr
  27. 27. Плюсы и минусы SPAN-агрегатора Не расходуютсядополнительные ресурсыкоммутатора (SPAN-сессии,порты) Оптимизация коммутации,особенно при использованииTAP Распределение трафика наL2-L4 Уменьшение нагрузки изатрат на сенсоры Дополнительные затраты наоборудование, место иэлектропитаниеПреимущества Недостатки27
  28. 28. Преимущества и недостаткитехнологий28SPAN TAP SPAN-AggОтсутствие дополнительной точки отказа + - +Внедрение без переключения линии + - +Отсутствие использования доп. ресурсовкоммутатора- + +Независимость от активного сетевогооборудования- + +Независимость от изменения L2,L3-дизайна сети - + +Оптимальная коммутация ± - +Распределение трафика на L2-L4 - - +Уменьшение нагрузки и затрат на сенсоры - - +Доп. затраты на оборудование, электропитание - ± -
  29. 29. Условное распределениетрафика в сегменте20%10%10%15%20%25%HTTP HTTPSSMTP MYSQLOracle Other WAF (30% от всего трафика):• HTTP(20%)• HTTPS (10%) DBFW (35% от всего трафика):• MySQL(15%)• Oracle(20%) DLP (30% от всего трафика):• SMTP(10%)• HTTP (20%) IDS/IPS (100%)Процент полезной нагрузкидля сенсора29
  30. 30. Экономический эффектвнедрения0%20%40%60%80%100%25%100%20%100%30%100% 75% от цены WAF3G:WAF1G = 0.25xWAF3G 70% от цены DBFW3G:DBFW1G = 0.3xDBFW3G 80% от цены DLP3G:DLP1G = 0.2xDLP3GЭкономия стоимости30
  31. 31. Экономический эффектвнедрения Дано:• Стоимость = CAPEX (оборудование) + OPEX(поддержка)• Стоимость SPAN-агрегатора $150K + $30K• Cтоимость сенсора старшей модели $150K + $30K• Cтоимость сенсора младшей модели $60K + $15K• Нужны 2 сенсора: IDS и DLP Решение:• Без SPAN-агрегатора : ($150K + $30K) x 2 = $300K + $60K• Со SPAN-агрегатором: ($150K + $30K) + ($60K + $15K) +($150K + $30K) = $360K + $75K Экономический эффект: $60K + $15K переплатаПример расчета экономической эффективности внедрениярешения SPAN-агрегации31
  32. 32. Экономический эффектвнедрения Дано:• Стоимость = CAPEX (оборудование) + OPEX(поддержка)• Стоимость SPAN-агрегатора $150K + $30K• Cтоимость сенсора старшей модели $150K + $30K• Cтоимость сенсора младшей модели $60K + $15K• Нужны 4 сенсора: IDS, DLP, WAF, DBFW Решение:• Без SPAN-агрегатора : ($150K + $30K) x 4 = $600K + $120K• Со SPAN-агрегатором: ($150K + $30K) + ($60K + $15K) x 3 +($150K + $30K) = $480K + $105K Экономический эффект: $120K + $15K экономияПример расчета экономической эффективности внедрениярешения SPAN-агрегации32
  33. 33. Вывод При необходимости выборочного анализа попротоколам/портам/тегам/меткам При использовании TAP-ответвлений для анализатрафика При условии экономической эффективности – влюбом варианте внедренияВнедрение решения SPAN-агрегациицелесообразно:33
  34. 34. Спасибо34

×