SlideShare une entreprise Scribd logo

Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возможности и ограничения, плюсы и минусы.

Positive Hack Days
Positive Hack Days
Technologie
1  sur  34
SPAN-агрегация и анализ сетевого трафика на наличие угроз PHDays 2013 Андрей Дугин Инженер по защите информации Департамент информационной безопасности ОАО «Мобильные ТелеСистемы»
Цели и задачи  Подключение сетевых сенсоров (IDS, WAF, DLP, DBFW)  Выбор места установки сетевых сенсоров  Выбор линков для установки TAP  Подключение SPAN-агрегатора  Оптимизация анализируемого трафика 2
Содержание  Архитектура фрагмента корпоративной сети гипотетической компании  Сетевые угрозы  Подключение сетевых сенсоров в сегментах: • При помощи SPAN/VACL сессий • С использованием TAP-ответвлений • С использованием решения SPAN- агрегации  Расчет экономической эффективности внедрения решения SPAN-агрегации 3
Архитектура фрагмента корпоративной сети гипотетической компании 4
Фрагмент сети 5 InternetCorp
Сетевые угрозы  заражение вредоносным ПО  несанкционированный доступ со стороны других систем  атаки, направленные на перехват информации Для пользовательских ПК  для ОС, БД и ПО серверов, к которым они имеют доступ (взлом, заражение, нарушение работоспособности, искажение данных и т. п.)  для других пользовательских ПК  быть точкой утечки конфиденциальной информации компании От пользовательских ПК 6
Сетевые угрозы  несанкционированный доступ со стороны пользователей и других сегментов сети  недобросовестные действия администраторов  атаки из Интернет (для DMZ)  использование сервисов не по назначению, «обход» корпоративных политик безопасности Для серверов  возможный взлом других серверов  передача вредоносного кода на ПК пользователей  утечка информации  использование сервисов не по назначению, «обход» корпоративных политик безопасности От серверов 7
Подключение сетевых сенсоров в сегментах при помощи SPAN/VACL сессий 8
Параметры SPAN/VACL  Spanning-tree root, secondary root для интересующих VLAN.  Включен непосредственно в L3-устройство (router, firewall), либо является им.  Имеет uplink в ядро либо к провайдеру.  VLAN’ы внутри сегмента (если необходимо)  Uplink  DMZ (если есть)  Переходы между VRF (если есть) Где собрать SPAN/VACL? Что слушать? 9
Фрагмент сети 10 InternetCorp
Фрагмент сети 11 InternetCorp
Плюсы и минусы SPAN/VACL  Отсутствие дополнительной точки отказа и влияния на работу сети  Быстрое внедрение без необходимости физической реорганизации сети  Использование дополнительных ресурсов коммутатора (SPAN- сессии, порты)  Зависимость от конфигурации и сбоев активного сетевого оборудования  Зависимость от изменения L2, L3-дизайна сети Преимущества Недостатки 12
Подключение сетевых сенсоров в сегментах при помощи TAP-ответвлений 13
TAP-ответвления  Uplink в ядро либо к провайдеру  На входе-выходе из сегмента  Подключение к firewall Где установить? 14
Фрагмент сети 15 InternetCorp
Фрагмент сети 16 InternetCorp
Фрагмент сети 17 InternetCorp
Плюсы и минусы TAP  Не расходуются дополнительные ресурсы коммутатора (SPAN-сессии, порты)  Независимость от конфигурации и сбоев активного сетевого оборудования  Дополнительная точка отказа и влияния на работу сети  «Врезка» в линию при внедрении требует потери сервиса либо переключения трафика  Необходима коммутация и/или агрегация ответвлений Преимущества Недостатки 18
Подключение сетевых сенсоров в сегментах с использованием решения SPAN-агрегации 19
Решение SPAN-агрегации  К destination портам SPAN- сессий либо ответвляющим портам TAP – прием трафика  К «слушающим» портам сенсоров – подача агрегированного трафика  VLAN-теги – на транках  MPLS-метки  SRC/DST IP  Протоколы/порты Куда подключать? Параметры фильтрации 20
Фрагмент сети 21 InternetCorp Aggr Aggr
Фрагмент сети 22 InternetCorp Aggr Aggr
Фрагмент сети 23 InternetCorp Aggr Aggr
Фрагмент сети 24 InternetCorp Aggr Aggr
Фрагмент сети 25 InternetCorp Aggr Aggr
Фрагмент сети 26 InternetCorp Aggr Aggr
Плюсы и минусы SPAN-агрегатора  Не расходуются дополнительные ресурсы коммутатора (SPAN-сессии, порты)  Оптимизация коммутации, особенно при использовании TAP  Распределение трафика на L2-L4  Уменьшение нагрузки и затрат на сенсоры  Дополнительные затраты на оборудование, место и электропитание Преимущества Недостатки 27
Преимущества и недостатки технологий 28 SPAN TAP SPAN- Agg Отсутствие дополнительной точки отказа + - + Внедрение без переключения линии + - + Отсутствие использования доп. ресурсов коммутатора - + + Независимость от активного сетевого оборудования - + + Независимость от изменения L2,L3-дизайна сети - + + Оптимальная коммутация ± - + Распределение трафика на L2-L4 - - + Уменьшение нагрузки и затрат на сенсоры - - + Доп. затраты на оборудование, электропитание - ± -
Условное распределение трафика в сегменте 20% 10% 10% 15% 20% 25% HTTP HTTPS SMTP MYSQL Oracle Other  WAF (30% от всего трафика): • HTTP(20%) • HTTPS (10%)  DBFW (35% от всего трафика): • MySQL(15%) • Oracle(20%)  DLP (30% от всего трафика): • SMTP(10%) • HTTP (20%)  IDS/IPS (100%) Процент полезной нагрузки для сенсора 29
Экономический эффект внедрения 0% 20% 40% 60% 80% 100% 25% 100% 20% 100% 30% 100%  75% от цены WAF3G: WAF1G = 0.25xWAF3G  70% от цены DBFW3G: DBFW1G = 0.3xDBFW3G  80% от цены DLP3G: DLP1G = 0.2xDLP3G Экономия стоимости 30
Экономический эффект внедрения  Дано: • Стоимость = CAPEX (оборудование) + OPEX(поддержка) • Стоимость SPAN-агрегатора $150K + $30K • Cтоимость сенсора старшей модели $150K + $30K • Cтоимость сенсора младшей модели $60K + $15K • Нужны 2 сенсора: IDS и DLP  Решение: • Без SPAN-агрегатора : ($150K + $30K) x 2 = $300K + $60K • Со SPAN-агрегатором: ($150K + $30K) + ($60K + $15K) + ($150K + $30K) = $360K + $75K  Экономический эффект: $60K + $15K переплата Пример расчета экономической эффективности внедрения решения SPAN-агрегации 31
Экономический эффект внедрения  Дано: • Стоимость = CAPEX (оборудование) + OPEX(поддержка) • Стоимость SPAN-агрегатора $150K + $30K • Cтоимость сенсора старшей модели $150K + $30K • Cтоимость сенсора младшей модели $60K + $15K • Нужны 4 сенсора: IDS, DLP, WAF, DBFW  Решение: • Без SPAN-агрегатора : ($150K + $30K) x 4 = $600K + $120K • Со SPAN-агрегатором: ($150K + $30K) + ($60K + $15K) x 3 + ($150K + $30K) = $480K + $105K  Экономический эффект: $120K + $15K экономия Пример расчета экономической эффективности внедрения решения SPAN-агрегации 32
Вывод  При необходимости выборочного анализа по протоколам/портам/тегам/меткам  При использовании TAP-ответвлений для анализа трафика  При условии экономической эффективности – в любом варианте внедрения Внедрение решения SPAN-агрегации целесообразно: 33
Спасибо 34

Recommandé

Ixia NVS (rus)
Ixia NVS (rus)Ixia NVS (rus)
Ixia NVS (rus)MUK Extreme
 
Hawkeye proactive-monitoring-ru-new
Hawkeye proactive-monitoring-ru-newHawkeye proactive-monitoring-ru-new
Hawkeye proactive-monitoring-ru-newMUK Extreme
 
IXIA IxChariot
IXIA IxChariotIXIA IxChariot
IXIA IxChariotMUK Extreme
 
IXIA NVS Vision one
IXIA NVS Vision oneIXIA NVS Vision one
IXIA NVS Vision oneMUK Extreme
 
защита информации в беспроводных сетях на базе решений Cisco systems
защита информации в беспроводных сетях на базе решений Cisco systemsзащита информации в беспроводных сетях на базе решений Cisco systems
защита информации в беспроводных сетях на базе решений Cisco systemsMasha Rudnichenko
 
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf... Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...Cisco Russia
 
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуруDNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуруCisco Russia
 
Управление IWAN и AVC с Cisco Prime Infrastructure
Управление IWAN и AVC с Cisco Prime InfrastructureУправление IWAN и AVC с Cisco Prime Infrastructure
Управление IWAN и AVC с Cisco Prime InfrastructureCisco Russia
 

Recommandé

Ixia NVS (rus)
Ixia NVS (rus)Ixia NVS (rus)
Ixia NVS (rus)MUK Extreme
 
Hawkeye proactive-monitoring-ru-new
Hawkeye proactive-monitoring-ru-newHawkeye proactive-monitoring-ru-new
Hawkeye proactive-monitoring-ru-newMUK Extreme
 
IXIA IxChariot
IXIA IxChariotIXIA IxChariot
IXIA IxChariotMUK Extreme
 
IXIA NVS Vision one
IXIA NVS Vision oneIXIA NVS Vision one
IXIA NVS Vision oneMUK Extreme
 
защита информации в беспроводных сетях на базе решений Cisco systems
защита информации в беспроводных сетях на базе решений Cisco systemsзащита информации в беспроводных сетях на базе решений Cisco systems
защита информации в беспроводных сетях на базе решений Cisco systemsMasha Rudnichenko
 
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf... Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...Cisco Russia
 
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуруDNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуруCisco Russia
 
Управление IWAN и AVC с Cisco Prime Infrastructure
Управление IWAN и AVC с Cisco Prime InfrastructureУправление IWAN и AVC с Cisco Prime Infrastructure
Управление IWAN и AVC с Cisco Prime InfrastructureCisco Russia
 
Mininet CE
Mininet CEMininet CE
Mininet CEARCCN
 
Отличие NGFW и UTM
Отличие NGFW и UTMОтличие NGFW и UTM
Отличие NGFW и UTMDenis Batrankov, CISSP
 
GRANIT — Global Russian Advanced Network Initiative
GRANIT — Global Russian Advanced Network InitiativeGRANIT — Global Russian Advanced Network Initiative
GRANIT — Global Russian Advanced Network InitiativeARCCN
 
Treatface Solutions for Information Security
Treatface Solutions for Information SecurityTreatface Solutions for Information Security
Treatface Solutions for Information SecurityArthur Voslaev
 
Универсальный контроллер для сетей WiFI высокой плотности и его интеграция с ...
Универсальный контроллер для сетей WiFI высокой плотности и его интеграция с ...Универсальный контроллер для сетей WiFI высокой плотности и его интеграция с ...
Универсальный контроллер для сетей WiFI высокой плотности и его интеграция с ...ARCCN
 
Сергей Монин, ведущий программист-разработчик ЦПИКС Доклад на тему: «Совреме...
Сергей Монин, ведущий программист-разработчик ЦПИКС Доклад на тему: «Совреме...Сергей Монин, ведущий программист-разработчик ЦПИКС Доклад на тему: «Совреме...
Сергей Монин, ведущий программист-разработчик ЦПИКС Доклад на тему: «Совреме...ARCCN
 
Системы тестирования современных сетей и сервисов
Системы тестирования современных сетей и сервисовСистемы тестирования современных сетей и сервисов
Системы тестирования современных сетей и сервисовАлександр Земсков
 
Обзор решений по управлению и мониторингу сетей операторов связи. Cisco Prime...
Обзор решений по управлению и мониторингу сетей операторов связи. Cisco Prime...Обзор решений по управлению и мониторингу сетей операторов связи. Cisco Prime...
Обзор решений по управлению и мониторингу сетей операторов связи. Cisco Prime...Cisco Russia
 
Сеть как сенсор и средство контроля
Сеть как сенсор и средство контроляСеть как сенсор и средство контроля
Сеть как сенсор и средство контроляCisco Russia
 
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОДАрхитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОДCisco Russia
 
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...Cisco Russia
 
Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...
Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...
Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...ARCCN
 
Positive Hack Days. Комаров. Мастер-класс: Анализ защищенности SCADA
Positive Hack Days. Комаров. Мастер-класс: Анализ защищенности SCADAPositive Hack Days. Комаров. Мастер-класс: Анализ защищенности SCADA
Positive Hack Days. Комаров. Мастер-класс: Анализ защищенности SCADAPositive Hack Days
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI Cisco Russia
 
Ixia продукты и решения
Ixia продукты и решенияIxia продукты и решения
Ixia продукты и решенияMUK Extreme
 
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?S-Terra CSP
 
Обзор решения Prime Infrastructure 2.0.
Обзор решения Prime Infrastructure 2.0.Обзор решения Prime Infrastructure 2.0.
Обзор решения Prime Infrastructure 2.0.Cisco Russia
 
Управление оборудованием в корпоративной сети, построенной на решениях Cisco...
Управление оборудованием в корпоративной сети, построенной на решениях Cisco... Управление оборудованием в корпоративной сети, построенной на решениях Cisco...
Управление оборудованием в корпоративной сети, построенной на решениях Cisco...Cisco Russia
 
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктурой
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктуройОбзор возможностей Prime Infrastructure по управлению ИТ инфраструктурой
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктуройCisco Russia
 
Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...
Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...
Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...Cisco Russia
 
Межсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksМежсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksКРОК
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сетиDenis Batrankov, CISSP
 

Contenu connexe

Tendances

Mininet CE
Mininet CEMininet CE
Mininet CEARCCN
 
GRANIT — Global Russian Advanced Network Initiative
GRANIT — Global Russian Advanced Network InitiativeGRANIT — Global Russian Advanced Network Initiative
GRANIT — Global Russian Advanced Network InitiativeARCCN
 
Treatface Solutions for Information Security
Treatface Solutions for Information SecurityTreatface Solutions for Information Security
Treatface Solutions for Information SecurityArthur Voslaev
 
Универсальный контроллер для сетей WiFI высокой плотности и его интеграция с ...
Универсальный контроллер для сетей WiFI высокой плотности и его интеграция с ...Универсальный контроллер для сетей WiFI высокой плотности и его интеграция с ...
Универсальный контроллер для сетей WiFI высокой плотности и его интеграция с ...ARCCN
 
Сергей Монин, ведущий программист-разработчик ЦПИКС Доклад на тему: «Совреме...
Сергей Монин, ведущий программист-разработчик ЦПИКС Доклад на тему: «Совреме...Сергей Монин, ведущий программист-разработчик ЦПИКС Доклад на тему: «Совреме...
Сергей Монин, ведущий программист-разработчик ЦПИКС Доклад на тему: «Совреме...ARCCN
 
Системы тестирования современных сетей и сервисов
Системы тестирования современных сетей и сервисовСистемы тестирования современных сетей и сервисов
Системы тестирования современных сетей и сервисовАлександр Земсков
 
Обзор решений по управлению и мониторингу сетей операторов связи. Cisco Prime...
Обзор решений по управлению и мониторингу сетей операторов связи. Cisco Prime...Обзор решений по управлению и мониторингу сетей операторов связи. Cisco Prime...
Обзор решений по управлению и мониторингу сетей операторов связи. Cisco Prime...Cisco Russia
 
Сеть как сенсор и средство контроля
Сеть как сенсор и средство контроляСеть как сенсор и средство контроля
Сеть как сенсор и средство контроляCisco Russia
 
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОДАрхитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОДCisco Russia
 
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...Cisco Russia
 
Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...
Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...
Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...ARCCN
 
Positive Hack Days. Комаров. Мастер-класс: Анализ защищенности SCADA
Positive Hack Days. Комаров. Мастер-класс: Анализ защищенности SCADAPositive Hack Days. Комаров. Мастер-класс: Анализ защищенности SCADA
Positive Hack Days. Комаров. Мастер-класс: Анализ защищенности SCADAPositive Hack Days
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI Cisco Russia
 
Ixia продукты и решения
Ixia продукты и решенияIxia продукты и решения
Ixia продукты и решенияMUK Extreme
 
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?S-Terra CSP
 
Обзор решения Prime Infrastructure 2.0.
Обзор решения Prime Infrastructure 2.0.Обзор решения Prime Infrastructure 2.0.
Обзор решения Prime Infrastructure 2.0.Cisco Russia
 
Управление оборудованием в корпоративной сети, построенной на решениях Cisco...
Управление оборудованием в корпоративной сети, построенной на решениях Cisco... Управление оборудованием в корпоративной сети, построенной на решениях Cisco...
Управление оборудованием в корпоративной сети, построенной на решениях Cisco...Cisco Russia
 
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктурой
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктуройОбзор возможностей Prime Infrastructure по управлению ИТ инфраструктурой
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктуройCisco Russia
 
Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...
Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...
Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...Cisco Russia
 

Tendances (20)

Mininet CE
Mininet CEMininet CE
Mininet CE
 
Отличие NGFW и UTM
Отличие NGFW и UTMОтличие NGFW и UTM
Отличие NGFW и UTM
 
GRANIT — Global Russian Advanced Network Initiative
GRANIT — Global Russian Advanced Network InitiativeGRANIT — Global Russian Advanced Network Initiative
GRANIT — Global Russian Advanced Network Initiative
 
Treatface Solutions for Information Security
Treatface Solutions for Information SecurityTreatface Solutions for Information Security
Treatface Solutions for Information Security
 
Универсальный контроллер для сетей WiFI высокой плотности и его интеграция с ...
Универсальный контроллер для сетей WiFI высокой плотности и его интеграция с ...Универсальный контроллер для сетей WiFI высокой плотности и его интеграция с ...
Универсальный контроллер для сетей WiFI высокой плотности и его интеграция с ...
 
Сергей Монин, ведущий программист-разработчик ЦПИКС Доклад на тему: «Совреме...
Сергей Монин, ведущий программист-разработчик ЦПИКС Доклад на тему: «Совреме...Сергей Монин, ведущий программист-разработчик ЦПИКС Доклад на тему: «Совреме...
Сергей Монин, ведущий программист-разработчик ЦПИКС Доклад на тему: «Совреме...
 
Системы тестирования современных сетей и сервисов
Системы тестирования современных сетей и сервисовСистемы тестирования современных сетей и сервисов
Системы тестирования современных сетей и сервисов
 
Обзор решений по управлению и мониторингу сетей операторов связи. Cisco Prime...
Обзор решений по управлению и мониторингу сетей операторов связи. Cisco Prime...Обзор решений по управлению и мониторингу сетей операторов связи. Cisco Prime...
Обзор решений по управлению и мониторингу сетей операторов связи. Cisco Prime...
 
Сеть как сенсор и средство контроля
Сеть как сенсор и средство контроляСеть как сенсор и средство контроля
Сеть как сенсор и средство контроля
 
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОДАрхитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
 
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
 
Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...
Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...
Максим Игуменов – системный инженер Extreme Networks, «Примеры работающих при...
 
Positive Hack Days. Комаров. Мастер-класс: Анализ защищенности SCADA
Positive Hack Days. Комаров. Мастер-класс: Анализ защищенности SCADAPositive Hack Days. Комаров. Мастер-класс: Анализ защищенности SCADA
Positive Hack Days. Комаров. Мастер-класс: Анализ защищенности SCADA
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI
 
Ixia продукты и решения
Ixia продукты и решенияIxia продукты и решения
Ixia продукты и решения
 
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
 
Обзор решения Prime Infrastructure 2.0.
Обзор решения Prime Infrastructure 2.0.Обзор решения Prime Infrastructure 2.0.
Обзор решения Prime Infrastructure 2.0.
 
Управление оборудованием в корпоративной сети, построенной на решениях Cisco...
Управление оборудованием в корпоративной сети, построенной на решениях Cisco... Управление оборудованием в корпоративной сети, построенной на решениях Cisco...
Управление оборудованием в корпоративной сети, построенной на решениях Cisco...
 
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктурой
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктуройОбзор возможностей Prime Infrastructure по управлению ИТ инфраструктурой
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктурой
 
Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...
Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...
Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...
 

Similaire à Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возможности и ограничения, плюсы и минусы.

Межсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksМежсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksКРОК
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сетиDenis Batrankov, CISSP
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Denis Batrankov, CISSP
 
Технология Cisco Instant Access для упрощения структуры кампусных сетей.
Технология Cisco Instant Access для упрощения структуры кампусных сетей. Технология Cisco Instant Access для упрощения структуры кампусных сетей.
Технология Cisco Instant Access для упрощения структуры кампусных сетей. Cisco Russia
 
Портфель продуктов Cisco в промышленном исполнении
Портфель продуктов Cisco в промышленном исполненииПортфель продуктов Cisco в промышленном исполнении
Портфель продуктов Cisco в промышленном исполненииCisco Russia
 
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...DialogueScience
 
Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco Cisco Russia
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Cisco Russia
 
Технология Cisco Instant Access для упрощения структуры кампусных сетей
Технология Cisco Instant Access для упрощения структуры кампусных сетейТехнология Cisco Instant Access для упрощения структуры кампусных сетей
Технология Cisco Instant Access для упрощения структуры кампусных сетейCisco Russia
 
Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
Маршрутизаторы Cisco как устройства обеспечения информационной безопасности Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
Маршрутизаторы Cisco как устройства обеспечения информационной безопасностиCisco Russia
 
решения по построению сетей передачи данных фнс полигон 2015
решения по построению сетей передачи данных фнс полигон 2015решения по построению сетей передачи данных фнс полигон 2015
решения по построению сетей передачи данных фнс полигон 2015eucariot
 
Рекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейРекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейCisco Russia
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейЭЛВИС-ПЛЮС
 
SDN: Что это? Что оно нам дает и как его использовать
SDN: Что это? Что оно нам дает и как его использоватьSDN: Что это? Что оно нам дает и как его использовать
SDN: Что это? Что оно нам дает и как его использоватьCisco Russia
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Cisco Russia
 
Безопасность Центров Обработки Данных
Безопасность Центров Обработки ДанныхБезопасность Центров Обработки Данных
Безопасность Центров Обработки ДанныхCisco Russia
 
Extreme CloudIQ overview
Extreme CloudIQ overviewExtreme CloudIQ overview
Extreme CloudIQ overviewMUK Extreme
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANАльбина Минуллина
 
ащита удаленного доступа с помощью континент Tls vpn
ащита удаленного доступа с помощью континент Tls vpnащита удаленного доступа с помощью континент Tls vpn
ащита удаленного доступа с помощью континент Tls vpnOleg Boyko
 
Управление корпоративной сетью на основе SDN-технологий
Управление корпоративной сетью на основе SDN-технологий Управление корпоративной сетью на основе SDN-технологий
Управление корпоративной сетью на основе SDN-технологий ARCCN
 

Similaire à Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возможности и ограничения, плюсы и минусы. (20)

Межсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksМежсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto Networks
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сети
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод
 
Технология Cisco Instant Access для упрощения структуры кампусных сетей.
Технология Cisco Instant Access для упрощения структуры кампусных сетей. Технология Cisco Instant Access для упрощения структуры кампусных сетей.
Технология Cisco Instant Access для упрощения структуры кампусных сетей.
 
Портфель продуктов Cisco в промышленном исполнении
Портфель продуктов Cisco в промышленном исполненииПортфель продуктов Cisco в промышленном исполнении
Портфель продуктов Cisco в промышленном исполнении
 
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
 
Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...
 
Технология Cisco Instant Access для упрощения структуры кампусных сетей
Технология Cisco Instant Access для упрощения структуры кампусных сетейТехнология Cisco Instant Access для упрощения структуры кампусных сетей
Технология Cisco Instant Access для упрощения структуры кампусных сетей
 
Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
Маршрутизаторы Cisco как устройства обеспечения информационной безопасности Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
 
решения по построению сетей передачи данных фнс полигон 2015
решения по построению сетей передачи данных фнс полигон 2015решения по построению сетей передачи данных фнс полигон 2015
решения по построению сетей передачи данных фнс полигон 2015
 
Рекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейРекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалей
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетей
 
SDN: Что это? Что оно нам дает и как его использовать
SDN: Что это? Что оно нам дает и как его использоватьSDN: Что это? Что оно нам дает и как его использовать
SDN: Что это? Что оно нам дает и как его использовать
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...
 
Безопасность Центров Обработки Данных
Безопасность Центров Обработки ДанныхБезопасность Центров Обработки Данных
Безопасность Центров Обработки Данных
 
Extreme CloudIQ overview
Extreme CloudIQ overviewExtreme CloudIQ overview
Extreme CloudIQ overview
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
 
ащита удаленного доступа с помощью континент Tls vpn
ащита удаленного доступа с помощью континент Tls vpnащита удаленного доступа с помощью континент Tls vpn
ащита удаленного доступа с помощью континент Tls vpn
 
Управление корпоративной сетью на основе SDN-технологий
Управление корпоративной сетью на основе SDN-технологий Управление корпоративной сетью на основе SDN-технологий
Управление корпоративной сетью на основе SDN-технологий
 

Plus de Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке СиPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CorePositive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опытPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиPositive Hack Days
 

Plus de Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

Андрей Дугин. SPAN-агрегация и анализ сетевого трафика на наличие угроз: возможности и ограничения, плюсы и минусы.

  • 1. SPAN-агрегация и анализ сетевого трафика на наличие угроз PHDays 2013 Андрей Дугин Инженер по защите информации Департамент информационной безопасности ОАО «Мобильные ТелеСистемы»
  • 2. Цели и задачи  Подключение сетевых сенсоров (IDS, WAF, DLP, DBFW)  Выбор места установки сетевых сенсоров  Выбор линков для установки TAP  Подключение SPAN-агрегатора  Оптимизация анализируемого трафика 2
  • 3. Содержание  Архитектура фрагмента корпоративной сети гипотетической компании  Сетевые угрозы  Подключение сетевых сенсоров в сегментах: • При помощи SPAN/VACL сессий • С использованием TAP-ответвлений • С использованием решения SPAN- агрегации  Расчет экономической эффективности внедрения решения SPAN-агрегации 3
  • 6. Сетевые угрозы  заражение вредоносным ПО  несанкционированный доступ со стороны других систем  атаки, направленные на перехват информации Для пользовательских ПК  для ОС, БД и ПО серверов, к которым они имеют доступ (взлом, заражение, нарушение работоспособности, искажение данных и т. п.)  для других пользовательских ПК  быть точкой утечки конфиденциальной информации компании От пользовательских ПК 6
  • 7. Сетевые угрозы  несанкционированный доступ со стороны пользователей и других сегментов сети  недобросовестные действия администраторов  атаки из Интернет (для DMZ)  использование сервисов не по назначению, «обход» корпоративных политик безопасности Для серверов  возможный взлом других серверов  передача вредоносного кода на ПК пользователей  утечка информации  использование сервисов не по назначению, «обход» корпоративных политик безопасности От серверов 7
  • 8. Подключение сетевых сенсоров в сегментах при помощи SPAN/VACL сессий 8
  • 9. Параметры SPAN/VACL  Spanning-tree root, secondary root для интересующих VLAN.  Включен непосредственно в L3-устройство (router, firewall), либо является им.  Имеет uplink в ядро либо к провайдеру.  VLAN’ы внутри сегмента (если необходимо)  Uplink  DMZ (если есть)  Переходы между VRF (если есть) Где собрать SPAN/VACL? Что слушать? 9
  • 12. Плюсы и минусы SPAN/VACL  Отсутствие дополнительной точки отказа и влияния на работу сети  Быстрое внедрение без необходимости физической реорганизации сети  Использование дополнительных ресурсов коммутатора (SPAN- сессии, порты)  Зависимость от конфигурации и сбоев активного сетевого оборудования  Зависимость от изменения L2, L3-дизайна сети Преимущества Недостатки 12
  • 13. Подключение сетевых сенсоров в сегментах при помощи TAP-ответвлений 13
  • 14. TAP-ответвления  Uplink в ядро либо к провайдеру  На входе-выходе из сегмента  Подключение к firewall Где установить? 14
  • 18. Плюсы и минусы TAP  Не расходуются дополнительные ресурсы коммутатора (SPAN-сессии, порты)  Независимость от конфигурации и сбоев активного сетевого оборудования  Дополнительная точка отказа и влияния на работу сети  «Врезка» в линию при внедрении требует потери сервиса либо переключения трафика  Необходима коммутация и/или агрегация ответвлений Преимущества Недостатки 18
  • 19. Подключение сетевых сенсоров в сегментах с использованием решения SPAN-агрегации 19
  • 20. Решение SPAN-агрегации  К destination портам SPAN- сессий либо ответвляющим портам TAP – прием трафика  К «слушающим» портам сенсоров – подача агрегированного трафика  VLAN-теги – на транках  MPLS-метки  SRC/DST IP  Протоколы/порты Куда подключать? Параметры фильтрации 20
  • 27. Плюсы и минусы SPAN-агрегатора  Не расходуются дополнительные ресурсы коммутатора (SPAN-сессии, порты)  Оптимизация коммутации, особенно при использовании TAP  Распределение трафика на L2-L4  Уменьшение нагрузки и затрат на сенсоры  Дополнительные затраты на оборудование, место и электропитание Преимущества Недостатки 27
  • 28. Преимущества и недостатки технологий 28 SPAN TAP SPAN- Agg Отсутствие дополнительной точки отказа + - + Внедрение без переключения линии + - + Отсутствие использования доп. ресурсов коммутатора - + + Независимость от активного сетевого оборудования - + + Независимость от изменения L2,L3-дизайна сети - + + Оптимальная коммутация ± - + Распределение трафика на L2-L4 - - + Уменьшение нагрузки и затрат на сенсоры - - + Доп. затраты на оборудование, электропитание - ± -
  • 29. Условное распределение трафика в сегменте 20% 10% 10% 15% 20% 25% HTTP HTTPS SMTP MYSQL Oracle Other  WAF (30% от всего трафика): • HTTP(20%) • HTTPS (10%)  DBFW (35% от всего трафика): • MySQL(15%) • Oracle(20%)  DLP (30% от всего трафика): • SMTP(10%) • HTTP (20%)  IDS/IPS (100%) Процент полезной нагрузки для сенсора 29
  • 30. Экономический эффект внедрения 0% 20% 40% 60% 80% 100% 25% 100% 20% 100% 30% 100%  75% от цены WAF3G: WAF1G = 0.25xWAF3G  70% от цены DBFW3G: DBFW1G = 0.3xDBFW3G  80% от цены DLP3G: DLP1G = 0.2xDLP3G Экономия стоимости 30
  • 31. Экономический эффект внедрения  Дано: • Стоимость = CAPEX (оборудование) + OPEX(поддержка) • Стоимость SPAN-агрегатора $150K + $30K • Cтоимость сенсора старшей модели $150K + $30K • Cтоимость сенсора младшей модели $60K + $15K • Нужны 2 сенсора: IDS и DLP  Решение: • Без SPAN-агрегатора : ($150K + $30K) x 2 = $300K + $60K • Со SPAN-агрегатором: ($150K + $30K) + ($60K + $15K) + ($150K + $30K) = $360K + $75K  Экономический эффект: $60K + $15K переплата Пример расчета экономической эффективности внедрения решения SPAN-агрегации 31
  • 32. Экономический эффект внедрения  Дано: • Стоимость = CAPEX (оборудование) + OPEX(поддержка) • Стоимость SPAN-агрегатора $150K + $30K • Cтоимость сенсора старшей модели $150K + $30K • Cтоимость сенсора младшей модели $60K + $15K • Нужны 4 сенсора: IDS, DLP, WAF, DBFW  Решение: • Без SPAN-агрегатора : ($150K + $30K) x 4 = $600K + $120K • Со SPAN-агрегатором: ($150K + $30K) + ($60K + $15K) x 3 + ($150K + $30K) = $480K + $105K  Экономический эффект: $120K + $15K экономия Пример расчета экономической эффективности внедрения решения SPAN-агрегации 32
  • 33. Вывод  При необходимости выборочного анализа по протоколам/портам/тегам/меткам  При использовании TAP-ответвлений для анализа трафика  При условии экономической эффективности – в любом варианте внедрения Внедрение решения SPAN-агрегации целесообразно: 33