Hegyi Béla, technikai tanácsadó Cisco MARS Bemutatása
Tartalom Hálózati eszközök menedzsmentje a probléma CS-MARS terminológia, alapfogalmak MARS termékcsalád MARS bevezetése A megvalósított megoldás előnyei, tapasztalatok
Hálózati eszközök menedzsmentje Problémák Túl sok és elosztott információ, nehéz kiválasztani az igazán fontosakat Nehezen értelmezhető naplóüzenetek Lassúreakció Emberi erőforrásigény magas Igények Gyors reakció Hatékony válaszlépések Csak a szükséges üzenetek megjelenítése Támadás nyomon követése, összefüggések felismerése Riportok készítése
Hálózati eszközök menedzsmentje
MARS terminológia Event: MARS-ra riportoló eszközök által küldött nyers log-üzenetek. Firewall Log Switch Log Switch Cfg. Router Cfg. IDS Event Firewall Cfg. NAT Cfg. Netflow. Server Log AV Alert App Log VA Scanner Session: korrelált event-ek (események). Incident: szabályra illeszkedő, korrelált események által kiváltott riasztás. Correlation Isolated Events Sessions Rules Verify Valid Incidents Reduction
MARS termékcsalád Egyszerű telepítés Agent nélküli esemény gyűjtés Incidensek topológiai megjelenítése L2, L3 védekezési mechanizmusok Hibajegy kezelés Magas rendelkezésre állás
MARS termékcsalád Web interface és CLI
MARS termékcsalád Támogatott eszköztípusok Router Switch Tűzfal IDS/IPS VPN Anti-vírus Operációs rendszerek Web-szerverek Adatbázis szerverek AAA szerverek Támogatott gyártók Cisco eszközök nagy része Alapértelmezetten támogatott gyártók Egyedileg illesztett megoldások (Custom Parser)
MARS termékcsalád Local Controller Global Controllerarchitektúra
MARS termékcsalád Local Controller Models Event/sec NetFlows/Sec Storage Cisco Security MARS 20R 50 1.500 120 GB (non-raid) Cisco Security MARS 20 500 15.000 120 GB (non-raid) Cisco Security MARS 50 1.000 30.000 240 GB RAID 0 Cisco Security MARS 100e 3.000 75.000 750 GB RAID 10 hot-swappable Cisco Security MARS 100 5.000 150.000 750 GB RAID 10 hot-swappable Cisco Security MARS 200 10.000 300.000 1,000 GB RAID 10 hot-swappable Cisco Security MARS 110R 4.500 75.000 1,500 GB RAID 10 hot-swappable Cisco Security MARS 110 7.500 150.000 1,500 GB RAID 10 hot-swappable Cisco Security MARS 210 15000 300.000 2,000 GB RAID 10 hot-swappable
MARS termékcsalád Global Controller Models LC Models Supported Maximum Connections Storage Cisco Security MARS GCm MARS 20/50 only 5 1 TB RAID 10 hotswappable Cisco Security MARS GC MARS 20/50/100/100e/200 only Not currently restricted 1 TB RAID 10 hotswappable Cisco Security MARS GC2 R MARS 20/50 only 5 2 TB RAID 10 hotswappable Cisco Security MARS GC2 All Cisco Security MARS Not currently restricted 2 TB RAID 10 hotswappable
MARS bevezetés Sok log-üzenet Logok tárolása hosszú időre visszamenőleg Szerepkör alapú adminisztráció Incidensek/riasztások küldése célcsoportoknak Magas rendelkezésre állás Törvényi előírások PSZÁF ajánlások
MARS bevezetés PSZÁF ajánlások Mai állapot előzményének a 2000-ben megjelent felügyeleti ajánlás tekinthető A Pénzügyi Szervezetek Állami Felügyelete Felügyeleti Tanácsának 11/2006. számú ajánlása a belső védelmi vonalak kialakításáról és működtetéséről A Pénzügyi Szervezetek Állami Felügyeletének 1/2007. számú módszertani útmutatója a pénzügyi szervezetek informatikai rendszerének védelméről (COBIT 3. verzió hivatkozásokkal)
MARS bevezetés Az informatika biztonsági felelősnek gondoskodnia kell arról, hogy a biztonságot érintő eseményekről nyilvántartást vezessenek, továbbáarról, hogy a rendszer a biztonsági intézkedések megsértésére utaló jelzésekről azonnal értesítse az összes, belső és külső, érintett felet és kellő időben megtegyék a szükséges válaszlépéseket. A rendszerek által készített naplók biztonsági szempontú elemzését folyamatosan, dokumentált módon kell végezni. Több rendszer, vagy nagyobb szervezet esetén a naplóelemzés megfelelő informatikai támogatásának biztosítása szinte elengedhetetlen a megfelelő színvonalú és költség-hatékony munkához.
MARS bevezetés MARS modell kiválasztása MARS-ra riportoló eszközök száma Eszközök jelenlegi logolási beállításainak vizsgálata Logolási szintek vizsgálata Tárkapacitás figyelembe vétele Days = Usable storage / (Event size * EPS *86.400)
MARS bevezetés Model Total storage Available storage MARS-20R 120 GB 77 GB MARS-20 120 GB 77 GB MARS-50 240 GB 155 GB MARS-100E 750 GB 565 GB MARS-100 750 GB 565 GB MARS-200 1000 GB 795 GB MARS-110R 1500 GB 866 GB MARS-110 1500 GB 866 GB MARS-210 2000 GB 1221 GB
MARS bevezetés MARS modell kiválasztása Átlagos és maximum EPS Megfelelő tartalék Jelenlegi logkezelés, archiválás áttekintése Az új rendszer feleljen meg a jelenlegi rendszerrel szemben támasztott követelményeknek is. Mentési rendszerhez való illeszthetőség vizsgálata Jövőbeli igények
MARS bevezetés Szerepkör alapú adminisztráció Konfigurációs jogok beállítása Riasztások beállítása Megfelelő riasztások a megfelelő személyeknek Csoportok bevezetése
MARS bevezetés Szerepkörök Admin Security Analyst Operator Notifications Only
MARS bevezetés Szabály létrehozása Cél/Forrás IP cím Szolgáltatás Esemény Eszköz Kulcsszó Eseményszám Eseménysorozatok
MARS bevezetés Action beállítása szabályonként Példa riasztás küldése e- mail-ben E-mail címzettek testre szabása: csoportok, felhasználók Riasztást a szükséges incidensekről, a megfelelő személyeknek, csoportoknak
A bevezetett rendszer előnyei Kisebb emberi erőforrás igény Gyorsabb reakcióaz incidensekre, eseményekre Az incidensekről csak a megfelelő személyek kapnak tájékoztatást letisztult jogkörök, feladatok Egyedi igényeinek megfelelő szabályok létrehozása
A bevezetett rendszer előnyei Könnyen összeállíthatólekérdezések Gyors riportkészítési lehetőségek
További információk www.cisco.com/go/mars www.synergon.hu Hegyi Béla (hegyi.bela@synergon.hu)
Hegyi Béla, technikai tanácsadó Köszönöm figyelmüket!