Your SlideShare is downloading. ×
Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возможности и ограничения, плюсы и минусы.
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возможности и ограничения, плюсы и минусы.

265
views

Published on

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
265
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. SPAN-агрегация ианализ сетевоготрафика на наличиеугрозPHDays 2013Андрей ДугинИнженер по защите информацииДепартамент информационной безопасностиОАО «Мобильные ТелеСистемы»
  • 2. Цели и задачи Подключение сетевых сенсоров (IDS, WAF,DLP, DBFW) Выбор места установки сетевых сенсоров Выбор линков для установки TAP Подключение SPAN-агрегатора Оптимизация анализируемого трафика2
  • 3. Содержание Архитектура фрагмента корпоративной сетигипотетической компании Сетевые угрозы Подключение сетевых сенсоров в сегментах:• При помощи SPAN/VACL сессий• С использованием TAP-ответвлений• С использованием решения SPAN-агрегации Расчет экономической эффективностивнедрения решения SPAN-агрегации3
  • 4. Архитектура фрагментакорпоративной сетигипотетической компании4
  • 5. Фрагмент сети5InternetCorp
  • 6. Сетевые угрозы заражение вредоносным ПО несанкционированныйдоступ со стороны другихсистем атаки, направленные наперехват информацииДля пользовательских ПК для ОС, БД и ПО серверов, ккоторым они имеют доступ(взлом, заражение,нарушениеработоспособности,искажение данных и т. п.) для других пользовательскихПК быть точкой утечкиконфиденциальнойинформации компанииОт пользовательских ПК6
  • 7. Сетевые угрозы несанкционированныйдоступ со стороныпользователей и другихсегментов сети недобросовестные действияадминистраторов атаки из Интернет (для DMZ) использование сервисов непо назначению, «обход»корпоративных политикбезопасностиДля серверов возможный взлом другихсерверов передача вредоносного кодана ПК пользователей утечка информации использование сервисов непо назначению, «обход»корпоративных политикбезопасностиОт серверов7
  • 8. Подключение сетевыхсенсоров в сегментах припомощи SPAN/VACL сессий8
  • 9. Параметры SPAN/VACL Spanning-tree root, secondaryroot для интересующихVLAN. Включен непосредственно вL3-устройство (router,firewall), либо является им. Имеет uplink в ядро либо кпровайдеру. VLAN’ы внутри сегмента(если необходимо) Uplink DMZ (если есть) Переходы между VRF (еслиесть)Где собрать SPAN/VACL? Что слушать?9
  • 10. Фрагмент сети10InternetCorp
  • 11. Фрагмент сети11InternetCorp
  • 12. Плюсы и минусы SPAN/VACL Отсутствие дополнительнойточки отказа и влияния наработу сети Быстрое внедрение безнеобходимости физическойреорганизации сети Использование дополнительныхресурсов коммутатора (SPAN-сессии, порты) Зависимость от конфигурации исбоев активного сетевогооборудования Зависимость от изменения L2,L3-дизайна сетиПреимущества Недостатки12
  • 13. Подключение сетевыхсенсоров в сегментах припомощи TAP-ответвлений13
  • 14. TAP-ответвления Uplink в ядро либо к провайдеру На входе-выходе из сегмента Подключение к firewallГде установить?14
  • 15. Фрагмент сети15InternetCorp
  • 16. Фрагмент сети16InternetCorp
  • 17. Фрагмент сети17InternetCorp
  • 18. Плюсы и минусы TAP Не расходуютсядополнительные ресурсыкоммутатора (SPAN-сессии,порты) Независимость отконфигурации и сбоевактивного сетевогооборудования Дополнительная точка отказаи влияния на работу сети «Врезка» в линию привнедрении требует потерисервиса либо переключениятрафика Необходима коммутацияи/или агрегация ответвленийПреимущества Недостатки18
  • 19. Подключение сетевыхсенсоров в сегментах сиспользованием решенияSPAN-агрегации19
  • 20. Решение SPAN-агрегации К destination портам SPAN-сессий либо ответвляющимпортам TAP – приемтрафика К «слушающим» портамсенсоров – подачаагрегированного трафика VLAN-теги – на транках MPLS-метки SRC/DST IP Протоколы/портыКуда подключать? Параметры фильтрации20
  • 21. Фрагмент сети21InternetCorpAggrAggr
  • 22. Фрагмент сети22InternetCorpAggrAggr
  • 23. Фрагмент сети23InternetCorpAggrAggr
  • 24. Фрагмент сети24InternetCorpAggrAggr
  • 25. Фрагмент сети25InternetCorpAggrAggr
  • 26. Фрагмент сети26InternetCorpAggrAggr
  • 27. Плюсы и минусы SPAN-агрегатора Не расходуютсядополнительные ресурсыкоммутатора (SPAN-сессии,порты) Оптимизация коммутации,особенно при использованииTAP Распределение трафика наL2-L4 Уменьшение нагрузки изатрат на сенсоры Дополнительные затраты наоборудование, место иэлектропитаниеПреимущества Недостатки27
  • 28. Преимущества и недостаткитехнологий28SPAN TAP SPAN-AggОтсутствие дополнительной точки отказа + - +Внедрение без переключения линии + - +Отсутствие использования доп. ресурсовкоммутатора- + +Независимость от активного сетевогооборудования- + +Независимость от изменения L2,L3-дизайна сети - + +Оптимальная коммутация ± - +Распределение трафика на L2-L4 - - +Уменьшение нагрузки и затрат на сенсоры - - +Доп. затраты на оборудование, электропитание - ± -
  • 29. Условное распределениетрафика в сегменте20%10%10%15%20%25%HTTP HTTPSSMTP MYSQLOracle Other WAF (30% от всего трафика):• HTTP(20%)• HTTPS (10%) DBFW (35% от всего трафика):• MySQL(15%)• Oracle(20%) DLP (30% от всего трафика):• SMTP(10%)• HTTP (20%) IDS/IPS (100%)Процент полезной нагрузкидля сенсора29
  • 30. Экономический эффектвнедрения0%20%40%60%80%100%25%100%20%100%30%100% 75% от цены WAF3G:WAF1G = 0.25xWAF3G 70% от цены DBFW3G:DBFW1G = 0.3xDBFW3G 80% от цены DLP3G:DLP1G = 0.2xDLP3GЭкономия стоимости30
  • 31. Экономический эффектвнедрения Дано:• Стоимость = CAPEX (оборудование) + OPEX(поддержка)• Стоимость SPAN-агрегатора $150K + $30K• Cтоимость сенсора старшей модели $150K + $30K• Cтоимость сенсора младшей модели $60K + $15K• Нужны 2 сенсора: IDS и DLP Решение:• Без SPAN-агрегатора : ($150K + $30K) x 2 = $300K + $60K• Со SPAN-агрегатором: ($150K + $30K) + ($60K + $15K) +($150K + $30K) = $360K + $75K Экономический эффект: $60K + $15K переплатаПример расчета экономической эффективности внедрениярешения SPAN-агрегации31
  • 32. Экономический эффектвнедрения Дано:• Стоимость = CAPEX (оборудование) + OPEX(поддержка)• Стоимость SPAN-агрегатора $150K + $30K• Cтоимость сенсора старшей модели $150K + $30K• Cтоимость сенсора младшей модели $60K + $15K• Нужны 4 сенсора: IDS, DLP, WAF, DBFW Решение:• Без SPAN-агрегатора : ($150K + $30K) x 4 = $600K + $120K• Со SPAN-агрегатором: ($150K + $30K) + ($60K + $15K) x 3 +($150K + $30K) = $480K + $105K Экономический эффект: $120K + $15K экономияПример расчета экономической эффективности внедрениярешения SPAN-агрегации32
  • 33. Вывод При необходимости выборочного анализа попротоколам/портам/тегам/меткам При использовании TAP-ответвлений для анализатрафика При условии экономической эффективности – влюбом варианте внедренияВнедрение решения SPAN-агрегациицелесообразно:33
  • 34. Спасибо34