Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возможности и ограничения, плюсы и минусы.
1. SPAN-агрегация и
анализ сетевого
трафика на наличие
угроз
PHDays 2013
Андрей Дугин
Инженер по защите информации
Департамент информационной безопасности
ОАО «Мобильные ТелеСистемы»
2. Цели и задачи
Подключение сетевых сенсоров (IDS, WAF,
DLP, DBFW)
Выбор места установки сетевых сенсоров
Выбор линков для установки TAP
Подключение SPAN-агрегатора
Оптимизация анализируемого трафика
2
3. Содержание
Архитектура фрагмента корпоративной сети
гипотетической компании
Сетевые угрозы
Подключение сетевых сенсоров в сегментах:
• При помощи SPAN/VACL сессий
• С использованием TAP-ответвлений
• С использованием решения SPAN-
агрегации
Расчет экономической эффективности
внедрения решения SPAN-агрегации
3
6. Сетевые угрозы
заражение вредоносным ПО
несанкционированный
доступ со стороны других
систем
атаки, направленные на
перехват информации
Для пользовательских ПК
для ОС, БД и ПО серверов, к
которым они имеют доступ
(взлом, заражение,
нарушение
работоспособности,
искажение данных и т. п.)
для других пользовательских
ПК
быть точкой утечки
конфиденциальной
информации компании
От пользовательских ПК
6
7. Сетевые угрозы
несанкционированный
доступ со стороны
пользователей и других
сегментов сети
недобросовестные действия
администраторов
атаки из Интернет (для DMZ)
использование сервисов не
по назначению, «обход»
корпоративных политик
безопасности
Для серверов
возможный взлом других
серверов
передача вредоносного кода
на ПК пользователей
утечка информации
использование сервисов не
по назначению, «обход»
корпоративных политик
безопасности
От серверов
7
9. Параметры SPAN/VACL
Spanning-tree root, secondary
root для интересующих
VLAN.
Включен непосредственно в
L3-устройство (router,
firewall), либо является им.
Имеет uplink в ядро либо к
провайдеру.
VLAN’ы внутри сегмента
(если необходимо)
Uplink
DMZ (если есть)
Переходы между VRF (если
есть)
Где собрать SPAN/VACL? Что слушать?
9
12. Плюсы и минусы SPAN/VACL
Отсутствие дополнительной
точки отказа и влияния на
работу сети
Быстрое внедрение без
необходимости физической
реорганизации сети
Использование дополнительных
ресурсов коммутатора (SPAN-
сессии, порты)
Зависимость от конфигурации и
сбоев активного сетевого
оборудования
Зависимость от изменения L2,
L3-дизайна сети
Преимущества Недостатки
12
18. Плюсы и минусы TAP
Не расходуются
дополнительные ресурсы
коммутатора (SPAN-сессии,
порты)
Независимость от
конфигурации и сбоев
активного сетевого
оборудования
Дополнительная точка отказа
и влияния на работу сети
«Врезка» в линию при
внедрении требует потери
сервиса либо переключения
трафика
Необходима коммутация
и/или агрегация ответвлений
Преимущества Недостатки
18
27. Плюсы и минусы SPAN-агрегатора
Не расходуются
дополнительные ресурсы
коммутатора (SPAN-сессии,
порты)
Оптимизация коммутации,
особенно при использовании
TAP
Распределение трафика на
L2-L4
Уменьшение нагрузки и
затрат на сенсоры
Дополнительные затраты на
оборудование, место и
электропитание
Преимущества Недостатки
27
28. Преимущества и недостатки
технологий
28
SPAN TAP SPAN-
Agg
Отсутствие дополнительной точки отказа + - +
Внедрение без переключения линии + - +
Отсутствие использования доп. ресурсов
коммутатора
- + +
Независимость от активного сетевого
оборудования
- + +
Независимость от изменения L2,L3-дизайна сети - + +
Оптимальная коммутация ± - +
Распределение трафика на L2-L4 - - +
Уменьшение нагрузки и затрат на сенсоры - - +
Доп. затраты на оборудование, электропитание - ± -
29. Условное распределение
трафика в сегменте
20%
10%
10%
15%
20%
25%
HTTP HTTPS
SMTP MYSQL
Oracle Other
WAF (30% от всего трафика):
• HTTP(20%)
• HTTPS (10%)
DBFW (35% от всего трафика):
• MySQL(15%)
• Oracle(20%)
DLP (30% от всего трафика):
• SMTP(10%)
• HTTP (20%)
IDS/IPS (100%)
Процент полезной нагрузки
для сенсора
29
31. Экономический эффект
внедрения
Дано:
• Стоимость = CAPEX (оборудование) + OPEX(поддержка)
• Стоимость SPAN-агрегатора $150K + $30K
• Cтоимость сенсора старшей модели $150K + $30K
• Cтоимость сенсора младшей модели $60K + $15K
• Нужны 2 сенсора: IDS и DLP
Решение:
• Без SPAN-агрегатора : ($150K + $30K) x 2 = $300K + $60K
• Со SPAN-агрегатором: ($150K + $30K) + ($60K + $15K) +
($150K + $30K) = $360K + $75K
Экономический эффект: $60K + $15K переплата
Пример расчета экономической эффективности внедрения
решения SPAN-агрегации
31
32. Экономический эффект
внедрения
Дано:
• Стоимость = CAPEX (оборудование) + OPEX(поддержка)
• Стоимость SPAN-агрегатора $150K + $30K
• Cтоимость сенсора старшей модели $150K + $30K
• Cтоимость сенсора младшей модели $60K + $15K
• Нужны 4 сенсора: IDS, DLP, WAF, DBFW
Решение:
• Без SPAN-агрегатора : ($150K + $30K) x 4 = $600K + $120K
• Со SPAN-агрегатором: ($150K + $30K) + ($60K + $15K) x 3 +
($150K + $30K) = $480K + $105K
Экономический эффект: $120K + $15K экономия
Пример расчета экономической эффективности внедрения
решения SPAN-агрегации
32
33. Вывод
При необходимости выборочного анализа по
протоколам/портам/тегам/меткам
При использовании TAP-ответвлений для анализа
трафика
При условии экономической эффективности – в
любом варианте внедрения
Внедрение решения SPAN-агрегации
целесообразно:
33