cs-mars 소개 for partners - cisco · cs-mars 소개 for partners solution se team, korea jaemi...

© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1

CS-MARS 소개for Partners

Solution SE Team, Korea

Jaemi Lee ( [email protected] )

2008.3.28


Agenda

CS-MARS Overview

MARS Architecture

Setup Process

Product Update

주요 기능


CS-MARSOverview


CS-MARS 필요성

보안 인프라 구성요소

• 다양한 보안 장비 설치 및 운영

• 관리 솔루션은 대부분 개별 관리

• 관리장비

방화벽

침입방지시스템

라우터

스위치

VPN 장비

안티바이러스

취약점 분석 시스템

…..


Internet/Customer Network

확인해야 할 정보들이 너무나 많다!!!

CS-MARS의 필요성

장애 or 공격 발생시 ?


대응단계:1. 경고단계향상2. 조사3. 정리4. 차단

네트워크운영

보안운영

방화벽

IDS/IPS

VPN 취약성

분석

인증

서버

라우터/스위치

Anti-virus

10K Win, 100’s UNIXCollect Network Diagram

Read and AnalyzeTONS of Data…

Repeat

항상늦다!!!

CS-MARS 필요성

공격에 대한 대응 방법 및 시간


우리 모두가 원하는 것!- 고객, 네트워크 운영자, 보안 관리자 etc..

우리 모두가 원하는 것!- 고객, 네트워크 운영자, 보안 관리자 etc..

• 효과적인 대처를 위한 의미 있는Message

• Attack에 실시간 응대할 수 있는 다양한 대처방안 제공

• 보안 관점에서의 네트워크 View 제공

로그서버

SIM ( Security Information Management )

SEM( Security Event Management )

좋은점

간단한 incident/correlation 기능Event / Log 통합 & Reporting

문제점네트워크 정보 통합이 되지 않음Attack분석 정보가 부족성능 이슈고가의 유지비용공격 또는 방안에 대한 제시 미비


CS-MARS (Monitoring, Analysis and Response System)

CS-MARS는 네트워크와 보안 장비로부터의 원시 데이터를, 조치를 취할 수있는(actionable) 정보로 바꾸어 주어, 보안의 실질적인 위협을 차단하고 회사의 보안정책을 유지하는데 적용된다.

네트워크의 지능적 연동

사건(Incident) 확인

공격 가시화

자동화된 조사

공격 차단

정책 준수 관리

고성능

낮은 총 소유 비용

설치 편리 / 관리(web based) 용이

분산형 구조 지원 (확장성)

Red

uctio

n

Cor

rela

tion Sessions

Rules

Verify

VA ScannerNetflowRouter Cfg.

App LogNAT Cfg.Switch Cfg.

AV AlertFirewall Cfg.Switch Log

Server LogIDS EventFirewall Log

Isolated Events


CS-MARS의 차별성

중앙에서 로그를 수집 … 제한된이벤트 감소와 상호 연계 분석만제공

네트워크 지능성 결여…개별 장비의 이벤트

기본적인 경고, workflow, 그리고 리포트적시 적절한 대응을 위한 상세가 부족

탁월한 이벤트 통합, 감소, 그리고 상호 연계분석을 위한 통합 네트워크 지능성 제공

가시적인 네트워크 구성도와 사건 유효화; Layer 2/3의 공격 상세 패스와 차단 명령어제공

이벤트들은 동적으로 NAT Resolving, 상호 연계 분석, 그룹화, 그리고 유효화됨

CS-MARS

구매와 설치 관리가 고비용 최저의 TCO; 즉각적인 결과, 손쉬운 사용과 비용효율적인 적용

좋지 않은 성능; 고 비용으로 가능할 수있거나, 클러스터링으로 제공

초당 1만개이상의 이벤트와 초당 3십만플로우의 완벽한 상호 연계 분석

타 SIMS 제품


CS-MARSArchitecture


Cisco Security MARS Technologies

• CorrelationNetFlow를 활용한 Traffic Profiling

비정상적인 Traffic 감지

Events를 Session별 Grouping (Correlate)

정의된 Correlation Rules을 적용하여 Incidents 정의

• Vector Analysis공격성 여부를 위해 incidents 분석

경로분석

서버 취약성 여부 분석

Scanner correlation 취약성

• Mitigation가장 근접한 문제 근원지 확인

대처를 위한 commands 제시 및 사용자에 의해 적용/검증

Configuration 변경 사용자 알림

Correlation

Vector Analysis

Mitigation


CS-MARS Event 처리 절차

CS-MARS

syslog

ReportingDevice

netflow

snmp querytelnetsshftp

RDEP / SDEEover http

snmp trap

PARSER

CSMARSEvent Type

Normalization

Normalization : 다양한 장비에서 수집되는 정보들을 CS-MARS 시스템 Event로 전환하는 과정

(CSMARS는 약 16,500개의 System Event를 가지고 있음)

Sessionization : 각 Event들을 Session으로 구별

Correlation Rules : 사전에 정의한 의미의 연관성을 지닌 Rule Matching 작업으로 incidents 구별

Vulnerability Assessment : 해당 incidents의 취약점 분석

InspectionRule

DropRule

Sessionization

DropLog to DB

False Positive

VA ( Nessus )

IncidentsCreation

EmbeddedOracle

DB

SrcIPSrcPortDstIP

DstPortProtocol


CS-MARS Traffic Base lining

CS-MARS

Netflow

ReportingDevices

EventsFW Log

Base Lining( 7 days ~ 2 weeks)

Port별 trafficSrc-Dst별 traffic

Etc.

Netflow 및 FW Log를 통하여 Traffic Trend 분석 ( Base Lining을 위하여 NetFlow Enable이 필요)

비정상 Traffic 유형 감지

Base Lining은 일반적인 Traffic Trend로 정상 Traffic Flow에 대한 기준을 설정

AAA Log

Threshold 설정

Threshold 초과시Events

Netflow 설정 Tips

[ Export Point ]

Distribution Switch/Router에서 Enable

Internet Face Router Enable

[ 설정 시 유의사항]

시스템 성능 검증을 위해Traffic이 적은 VLAN부터점차적으로적용

Enable시 장비 CPU monitoring 필요

Traffic이 많은 VLAN에대해서는 Sampling을권장하며 불필요한 Flow에대해서는 Include/Exclude Filter 설정으로 최적화

v5 / v7을 지원버전별 처리에는 차이가 없음


CS-MARS 적용 ProcessCS-MARS의 활용도를 극대화 하기 위하여 순차적인 단계로 적용하도록 권장함

PlanPlan DesignDesign ImplementImplement Optimization

OptimizationPreparePrepare OperateOperate

- 고객 요구사항및 MARS 기능조율(사용목적 규정)

- 현 네트워크분석(관리장비 종류주요 서비스 )

- EPS 및Data Retension

(필요한Resource 분석)

- 관리장비리스트

- MARs 관리 IP 및 위치 선정

- 관리장비/모듈Bootstrap

- Event 사전 분석( Log Server를활용하여일반적인 Trend확인)

-서비스 Type 및서비스Group 정의

- 장비 관리 Group정의

- 운영자/관리자Group 및 ID정의

- Notification 정책

- 관리장비 등록

-장비 Discover확인 (오류여부체크)

-MARS 데이터수집여부 모니터링

- Unknown DeviceUnknown Event Type 확인

(Reporting IP 및unknown event type의미 파악)

- 모니터링(Event 및 성능)

- Report 설정

-다양한 Query실행

- 2주정도시운영을 통해망에서 실제로발생하는Event/incident 분석

- False PositiveDrop Rule 정의및 적용

- 자주 사용하는Query 기반으로User Report 정의(my report)

- Rule Action설정

- Backup 방안( File/DB )

- Upgrade 방안


CS-MARSSetup Process

(사전 고려사항)


CS-MARS 관리 정책 설정

MARS의 효용성을 높이기 위해서는 내부적인 관리, 감시, 장애 응대에 대한 정책이 사전에 필요

또는 시범 운영 기간을 통한 Log / Traffic Trend 확인 후 정책 구체화

보안 정책

• 회사의 보안 목적

• 보호해야 할 Resource 정의

• 현 네트워크 Infrastructure 정리

• 정책적으로 보호, 감시해야 하는 시스템 정리

감시 정책

• 주 관리 Traffic Flow, 사용자, Resource, service, 모니터링 시간 정의

• 모니터링 기준이 되는 VA 및 Security 정보 정리

• 주요한 자원에 대한 네트워크 접근 정보를 줄 수 있는 구성 및 Point 체크

• 관리 장비들의 Logging Level, Avalibility 확인

대응 정책

• 주요 관리 장비의 접근 차단이 가능한 Point 체크 (정책 적용 장비)• Layer2 / Layer3 장비의 공격에 대한 차단 정책 정의

• Host / Application단의 공격에 대한 차단 정책 정의

• 네트워크 운영자, 보안 담당자, 서버 운영자의 역할 분담 및 팀웍 구성

• 침해 발생시 처리 절차 (통보, 응대 )• 네트워크 상황에 맞는 침해 규칙 규정 (Custom Rule / Parser 활용)


System Sizing (1)

CS-MARS는 Appliance로 이미 Hardware Optimization이 되어있음.

초기 Sizing이 제대로 이루어 지지 않으면 향후 확장성 또는 유지 경비에 큰 손실을 가져올 수 있음.

Sizing시 아래의 요소들이 고려되어야 함

Enabled Service

Access-List 숫자

네트워크 Traffic의 복잡도

IDS / IPS 작동 여부

사용자 숫자

얼마나 오랫동안 Data를 DB에 저장하고 있어야 하나? (Data Retension )

향후 네트워크는 확장될 것인가?

(확장이 되는 네트워크일 경우 GC 기반 Design을 권장)

MARS를 통해 관리될 장비 종류

네트워크의 구성이 지역적으로 분리가 되는지 여부 (GC – LC 기반 구성)

제한하는 Performance의 70%를 유지하는 선에서 결정 (대형 공격에 대비)

네트워크 및 네트워크 장비 현황

운영 방안에 대한 고려사항


System Sizing (2)가장 중요한 고려사항

Event Per Sec.초당 처리해야 하는 Event 수(사전에 별도의 syslog server 를 통해 Event수 및 Type 분석 권장)

1. 장비수 * 장비 평균 syslog 수

2. IDS (RDEP or SDEE) Events * 평균 Event 수3. Hosts 수 * 평균 Events 수4. Local Storage Requirements4. NetFlow 장비 수 * 평균 Netflow Sessions수

위의 정보를 수집하여 EPS 계산기를 활용하여 Sizing

http://wwwin-people.cisco.com/gkellogg/epsCalc/main.php


설치 & 관리 장비 선택

설치 시고려사항

CS-MARS는 사내 네트워크의 취약점 정보를 가지고 있는 중요한

시스템이므로 안전한 위치에 두며, 가능한 별도의

Management VLAN에 두는 것을 권장

(확인 사항)

설치 위치 : 모니터링하고자 하는 네트워크를 볼 수 있는 곳

Access-lists : ACL을 통하여 MARS에 Reporting하는 장비의 IP/Protocol에 대해서만 접근 허용

Interface분리: 모니터링 용도와 관리 용도 Interface를 구별

Encryption : 터널을 활용하여 최대한 Tunnel을 통해 통신하도록 권장

관리 장비선택

효율적인 운영을 위해서는 MARS를 통해 관리할 장비를 사전에 정의하며 등록 후에도

등록 상태를 정확히 파악해야 함

장비 선택 기준 : 위치, 제공하는 정보, 운영 레벨, MARS에 필요한 정보 제공 여부

1.운영 장비들의 Logs / Data에 대해 확인 후 네트워크상의 일반적인 Activity Log 선정

2.각 네트워크 Segment당 Mitigation용 장비 여부 확인

(Attack 감지 시 Segment 보호를 위해)3. NetFlow 설정 시에는 중복정보를 최소화

4. AAA, Mail Server, DNS등도 관리 범위에 포함하여 STM이 가능하도록 함


CS-MARSProduct Updates


MA

RS

1stG

ener

atio

nA

pplia

nces

50 500 1000 3000 EPS

Cisco Security MARS Appliance Overview

MA

RS

2nd

Gen

erat

ion

App

lianc

es

10000

MARS 20R

MARS 20

MARS 50

5000

MARS 100E

MARS 100

MARS 110R

MARS 110

MARS 210

MARS 200

MARS GC2 & GC2R

MARS GC & GCm

7500 150004500EPS

Hardware Redundancy

MARS 25R

MARS 25

MARS 55

150075050

March 2008

EoSApr 08


Cisco Security MARS 상세 Spec

1TB RAID10Hot SwappableN/ACS-MARS-GCM-K9

120GB500CS-MARS-20-K9

120GB RAID01,000CS-MARS-50-K9

750GB RAID10Hot Swappable3,000CS-MARS-100E-K9

1TB RAID10Hot SwappableN/ACS-MARS-GC-K9

Performance

1TB RAID10Hot Swappable10,000CS-MARS-200-K9

750GB RAID10Hot Swappable5,000CS-MARS-100-K9

StorageEvents /sec

Cisco Part Number

1500GB RAID10Hot Swappable7,500CS-MARS-110-K9

1500GB RAID10Hot Swappable4,500CS-MARS-110R-K9

2TB RAID10Hot Swappable15,000CS-MARS-210-K9

2TB RAID10Hot SwappableN/ACS-MARS-GC2R-K9

250GB75CS-MARS-25R-K9

250GB RAID0750CS-MARS-25R-K9

500GB RAID10Hot Swappable1500CS-MARS-55R-K9

2TB RAID10Hot SwappableN/ACS-MARS-GC-K9

PerformanceStorage

Events /secCisco Part Number

Gen1 Gen2


CS-MARS주요기능


Gain Network IntelligenceTopology, traffic flow, device configuration, and enforcement devices

ContextCorrelation™Correlates, reduces and categorizes eventsValidates incidents

Valid Incidents

Sessions

Rules

Verify

Isolated Events

Correlation Redu

ctio

n

Router Cfg.

Firewall Log

Switch Cfg.Switch Log

Server LogAV AlertApp Log

VA Scanner

Firewall Cfg.

NetflowNAT Cfg.

IDS Event

...

CS-MARS


CS-MARS


CS-MARS

SureVector™ AnalysisVisible and accurate attack pathDrill-down, full incident and raw event detailsPinpoint the true sources of anomalous and attack behaviorMore complete and accurate story

1. Host A Port Scans Target X2. Host A Buffer Overflow Attacks

XWhere X is behind NAT device and

Where X is Vulnerable to attack3. Target X executes Password

Attacks Target Y locateddownstream from NAT Device


CS-MARS

Use control capabilities within your infrastructureLayer 2/3 attack path is clearly visibleMitigation enforcement devices are identifiedExact mitigation command is provided

Firewall

Router

Switch

]


CS-MARS: Compliance ReportsPopular reports with customization and distribution optionsQueries saved as rules or reports – intuitive framework (no SQL)


CS-MARS: Correlation and Reduction

Descriptive rule framework and incident details

Significant consolidation


CS-MARS: Attack Path with Layer 2 MitigationCS-MARS: Attack Path with Layer 2 Mitigation

cs-mars 소개 for partners - cisco · cs-mars 소개 for partners solution se team, korea jaemi...

Documents