• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возможности и ограничения, плюсы и минусы.
 

Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возможности и ограничения, плюсы и минусы.

on

  • 656 views

 

Statistics

Views

Total Views
656
Views on SlideShare
656
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возможности и ограничения, плюсы и минусы. Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возможности и ограничения, плюсы и минусы. Presentation Transcript

    • SPAN-агрегация ианализ сетевоготрафика на наличиеугрозPHDays 2013Андрей ДугинИнженер по защите информацииДепартамент информационной безопасностиОАО «Мобильные ТелеСистемы»
    • Цели и задачи Подключение сетевых сенсоров (IDS, WAF,DLP, DBFW) Выбор места установки сетевых сенсоров Выбор линков для установки TAP Подключение SPAN-агрегатора Оптимизация анализируемого трафика2
    • Содержание Архитектура фрагмента корпоративной сетигипотетической компании Сетевые угрозы Подключение сетевых сенсоров в сегментах:• При помощи SPAN/VACL сессий• С использованием TAP-ответвлений• С использованием решения SPAN-агрегации Расчет экономической эффективностивнедрения решения SPAN-агрегации3
    • Архитектура фрагментакорпоративной сетигипотетической компании4
    • Фрагмент сети5InternetCorp
    • Сетевые угрозы заражение вредоносным ПО несанкционированныйдоступ со стороны другихсистем атаки, направленные наперехват информацииДля пользовательских ПК для ОС, БД и ПО серверов, ккоторым они имеют доступ(взлом, заражение,нарушениеработоспособности,искажение данных и т. п.) для других пользовательскихПК быть точкой утечкиконфиденциальнойинформации компанииОт пользовательских ПК6
    • Сетевые угрозы несанкционированныйдоступ со стороныпользователей и другихсегментов сети недобросовестные действияадминистраторов атаки из Интернет (для DMZ) использование сервисов непо назначению, «обход»корпоративных политикбезопасностиДля серверов возможный взлом другихсерверов передача вредоносного кодана ПК пользователей утечка информации использование сервисов непо назначению, «обход»корпоративных политикбезопасностиОт серверов7
    • Подключение сетевыхсенсоров в сегментах припомощи SPAN/VACL сессий8
    • Параметры SPAN/VACL Spanning-tree root, secondaryroot для интересующихVLAN. Включен непосредственно вL3-устройство (router,firewall), либо является им. Имеет uplink в ядро либо кпровайдеру. VLAN’ы внутри сегмента(если необходимо) Uplink DMZ (если есть) Переходы между VRF (еслиесть)Где собрать SPAN/VACL? Что слушать?9
    • Фрагмент сети10InternetCorp
    • Фрагмент сети11InternetCorp
    • Плюсы и минусы SPAN/VACL Отсутствие дополнительнойточки отказа и влияния наработу сети Быстрое внедрение безнеобходимости физическойреорганизации сети Использование дополнительныхресурсов коммутатора (SPAN-сессии, порты) Зависимость от конфигурации исбоев активного сетевогооборудования Зависимость от изменения L2,L3-дизайна сетиПреимущества Недостатки12
    • Подключение сетевыхсенсоров в сегментах припомощи TAP-ответвлений13
    • TAP-ответвления Uplink в ядро либо к провайдеру На входе-выходе из сегмента Подключение к firewallГде установить?14
    • Фрагмент сети15InternetCorp
    • Фрагмент сети16InternetCorp
    • Фрагмент сети17InternetCorp
    • Плюсы и минусы TAP Не расходуютсядополнительные ресурсыкоммутатора (SPAN-сессии,порты) Независимость отконфигурации и сбоевактивного сетевогооборудования Дополнительная точка отказаи влияния на работу сети «Врезка» в линию привнедрении требует потерисервиса либо переключениятрафика Необходима коммутацияи/или агрегация ответвленийПреимущества Недостатки18
    • Подключение сетевыхсенсоров в сегментах сиспользованием решенияSPAN-агрегации19
    • Решение SPAN-агрегации К destination портам SPAN-сессий либо ответвляющимпортам TAP – приемтрафика К «слушающим» портамсенсоров – подачаагрегированного трафика VLAN-теги – на транках MPLS-метки SRC/DST IP Протоколы/портыКуда подключать? Параметры фильтрации20
    • Фрагмент сети21InternetCorpAggrAggr
    • Фрагмент сети22InternetCorpAggrAggr
    • Фрагмент сети23InternetCorpAggrAggr
    • Фрагмент сети24InternetCorpAggrAggr
    • Фрагмент сети25InternetCorpAggrAggr
    • Фрагмент сети26InternetCorpAggrAggr
    • Плюсы и минусы SPAN-агрегатора Не расходуютсядополнительные ресурсыкоммутатора (SPAN-сессии,порты) Оптимизация коммутации,особенно при использованииTAP Распределение трафика наL2-L4 Уменьшение нагрузки изатрат на сенсоры Дополнительные затраты наоборудование, место иэлектропитаниеПреимущества Недостатки27
    • Преимущества и недостаткитехнологий28SPAN TAP SPAN-AggОтсутствие дополнительной точки отказа + - +Внедрение без переключения линии + - +Отсутствие использования доп. ресурсовкоммутатора- + +Независимость от активного сетевогооборудования- + +Независимость от изменения L2,L3-дизайна сети - + +Оптимальная коммутация ± - +Распределение трафика на L2-L4 - - +Уменьшение нагрузки и затрат на сенсоры - - +Доп. затраты на оборудование, электропитание - ± -
    • Условное распределениетрафика в сегменте20%10%10%15%20%25%HTTP HTTPSSMTP MYSQLOracle Other WAF (30% от всего трафика):• HTTP(20%)• HTTPS (10%) DBFW (35% от всего трафика):• MySQL(15%)• Oracle(20%) DLP (30% от всего трафика):• SMTP(10%)• HTTP (20%) IDS/IPS (100%)Процент полезной нагрузкидля сенсора29
    • Экономический эффектвнедрения0%20%40%60%80%100%25%100%20%100%30%100% 75% от цены WAF3G:WAF1G = 0.25xWAF3G 70% от цены DBFW3G:DBFW1G = 0.3xDBFW3G 80% от цены DLP3G:DLP1G = 0.2xDLP3GЭкономия стоимости30
    • Экономический эффектвнедрения Дано:• Стоимость = CAPEX (оборудование) + OPEX(поддержка)• Стоимость SPAN-агрегатора $150K + $30K• Cтоимость сенсора старшей модели $150K + $30K• Cтоимость сенсора младшей модели $60K + $15K• Нужны 2 сенсора: IDS и DLP Решение:• Без SPAN-агрегатора : ($150K + $30K) x 2 = $300K + $60K• Со SPAN-агрегатором: ($150K + $30K) + ($60K + $15K) +($150K + $30K) = $360K + $75K Экономический эффект: $60K + $15K переплатаПример расчета экономической эффективности внедрениярешения SPAN-агрегации31
    • Экономический эффектвнедрения Дано:• Стоимость = CAPEX (оборудование) + OPEX(поддержка)• Стоимость SPAN-агрегатора $150K + $30K• Cтоимость сенсора старшей модели $150K + $30K• Cтоимость сенсора младшей модели $60K + $15K• Нужны 4 сенсора: IDS, DLP, WAF, DBFW Решение:• Без SPAN-агрегатора : ($150K + $30K) x 4 = $600K + $120K• Со SPAN-агрегатором: ($150K + $30K) + ($60K + $15K) x 3 +($150K + $30K) = $480K + $105K Экономический эффект: $120K + $15K экономияПример расчета экономической эффективности внедрениярешения SPAN-агрегации32
    • Вывод При необходимости выборочного анализа попротоколам/портам/тегам/меткам При использовании TAP-ответвлений для анализатрафика При условии экономической эффективности – влюбом варианте внедренияВнедрение решения SPAN-агрегациицелесообразно:33
    • Спасибо34