cs-mars 소개 for partners - cisco · cs-mars 소개 for partners solution se team, korea jaemi...
TRANSCRIPT
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1
CS-MARS 소개for Partners
Solution SE Team, Korea
Jaemi Lee ( [email protected] )
2008.3.28
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 2
Agenda
CS-MARS Overview
MARS Architecture
Setup Process
Product Update
주요 기능
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3
CS-MARSOverview
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4
CS-MARS 필요성
보안 인프라 구성요소
• 다양한 보안 장비 설치 및 운영
• 관리 솔루션은 대부분 개별 관리
• 관리장비
방화벽
침입방지시스템
라우터
스위치
VPN 장비
안티바이러스
취약점 분석 시스템
…..
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5
Internet/Customer Network
확인해야 할 정보들이 너무나 많다!!!
CS-MARS의 필요성
장애 or 공격 발생시 ?
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 6
대응단계:1. 경고단계향상2. 조사3. 정리4. 차단
네트워크운영
보안운영
방화벽
IDS/IPS
VPN 취약성
분석
인증
서버
라우터/스위치
Anti-virus
10K Win, 100’s UNIXCollect Network Diagram
Read and AnalyzeTONS of Data…
Repeat
항상늦다!!!
CS-MARS 필요성
공격에 대한 대응 방법 및 시간
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 7
우리 모두가 원하는 것!- 고객, 네트워크 운영자, 보안 관리자 etc..
우리 모두가 원하는 것!- 고객, 네트워크 운영자, 보안 관리자 etc..
• 효과적인 대처를 위한 의미 있는Message
• Attack에 실시간 응대할 수 있는 다양한 대처방안 제공
• 보안 관점에서의 네트워크 View 제공
로그서버
SIM ( Security Information Management )
SEM( Security Event Management )
좋은점
간단한 incident/correlation 기능Event / Log 통합 & Reporting
문제점네트워크 정보 통합이 되지 않음Attack분석 정보가 부족성능 이슈고가의 유지비용공격 또는 방안에 대한 제시 미비
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 8
CS-MARS (Monitoring, Analysis and Response System)
CS-MARS는 네트워크와 보안 장비로부터의 원시 데이터를, 조치를 취할 수있는(actionable) 정보로 바꾸어 주어, 보안의 실질적인 위협을 차단하고 회사의 보안정책을 유지하는데 적용된다.
네트워크의 지능적 연동
사건(Incident) 확인
공격 가시화
자동화된 조사
공격 차단
정책 준수 관리
고성능
낮은 총 소유 비용
설치 편리 / 관리(web based) 용이
분산형 구조 지원 (확장성)
Red
uctio
n
Cor
rela
tion Sessions
Rules
Verify
VA ScannerNetflowRouter Cfg.
App LogNAT Cfg.Switch Cfg.
AV AlertFirewall Cfg.Switch Log
Server LogIDS EventFirewall Log
Isolated Events
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 9
CS-MARS의 차별성
중앙에서 로그를 수집 … 제한된이벤트 감소와 상호 연계 분석만제공
네트워크 지능성 결여…개별 장비의 이벤트
기본적인 경고, workflow, 그리고 리포트적시 적절한 대응을 위한 상세가 부족
탁월한 이벤트 통합, 감소, 그리고 상호 연계분석을 위한 통합 네트워크 지능성 제공
가시적인 네트워크 구성도와 사건 유효화; Layer 2/3의 공격 상세 패스와 차단 명령어제공
이벤트들은 동적으로 NAT Resolving, 상호 연계 분석, 그룹화, 그리고 유효화됨
CS-MARS
구매와 설치 관리가 고비용 최저의 TCO; 즉각적인 결과, 손쉬운 사용과 비용효율적인 적용
좋지 않은 성능; 고 비용으로 가능할 수있거나, 클러스터링으로 제공
초당 1만개이상의 이벤트와 초당 3십만플로우의 완벽한 상호 연계 분석
타 SIMS 제품
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 10
CS-MARSArchitecture
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 11
Cisco Security MARS Technologies
• CorrelationNetFlow를 활용한 Traffic Profiling
비정상적인 Traffic 감지
Events를 Session별 Grouping (Correlate)
정의된 Correlation Rules을 적용하여 Incidents 정의
• Vector Analysis공격성 여부를 위해 incidents 분석
경로분석
서버 취약성 여부 분석
Scanner correlation 취약성
• Mitigation가장 근접한 문제 근원지 확인
대처를 위한 commands 제시 및 사용자에 의해 적용/검증
Configuration 변경 사용자 알림
Correlation
Vector Analysis
Mitigation
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 12
CS-MARS Event 처리 절차
CS-MARS
syslog
ReportingDevice
netflow
snmp querytelnetsshftp
RDEP / SDEEover http
snmp trap
PARSER
CSMARSEvent Type
Normalization
Normalization : 다양한 장비에서 수집되는 정보들을 CS-MARS 시스템 Event로 전환하는 과정
(CSMARS는 약 16,500개의 System Event를 가지고 있음)
Sessionization : 각 Event들을 Session으로 구별
Correlation Rules : 사전에 정의한 의미의 연관성을 지닌 Rule Matching 작업으로 incidents 구별
Vulnerability Assessment : 해당 incidents의 취약점 분석
InspectionRule
DropRule
Sessionization
DropLog to DB
False Positive
VA ( Nessus )
IncidentsCreation
EmbeddedOracle
DB
SrcIPSrcPortDstIP
DstPortProtocol
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 13
CS-MARS Traffic Base lining
CS-MARS
Netflow
ReportingDevices
EventsFW Log
Base Lining( 7 days ~ 2 weeks)
Port별 trafficSrc-Dst별 traffic
Etc.
Netflow 및 FW Log를 통하여 Traffic Trend 분석 ( Base Lining을 위하여 NetFlow Enable이 필요)
비정상 Traffic 유형 감지
Base Lining은 일반적인 Traffic Trend로 정상 Traffic Flow에 대한 기준을 설정
AAA Log
Threshold 설정
Threshold 초과시Events
Netflow 설정 Tips
[ Export Point ]
Distribution Switch/Router에서 Enable
Internet Face Router Enable
[ 설정 시 유의사항]
시스템 성능 검증을 위해Traffic이 적은 VLAN부터점차적으로적용
Enable시 장비 CPU monitoring 필요
Traffic이 많은 VLAN에대해서는 Sampling을권장하며 불필요한 Flow에대해서는 Include/Exclude Filter 설정으로 최적화
v5 / v7을 지원버전별 처리에는 차이가 없음
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 14
CS-MARS 적용 ProcessCS-MARS의 활용도를 극대화 하기 위하여 순차적인 단계로 적용하도록 권장함
PlanPlan DesignDesign ImplementImplement Optimization
OptimizationPreparePrepare OperateOperate
- 고객 요구사항및 MARS 기능조율(사용목적 규정)
- 현 네트워크분석(관리장비 종류주요 서비스 )
- EPS 및Data Retension
(필요한Resource 분석)
- 관리장비리스트
- MARs 관리 IP 및 위치 선정
- 관리장비/모듈Bootstrap
- Event 사전 분석( Log Server를활용하여일반적인 Trend확인)
-서비스 Type 및서비스Group 정의
- 장비 관리 Group정의
- 운영자/관리자Group 및 ID정의
- Notification 정책
- 관리장비 등록
-장비 Discover확인 (오류여부체크)
-MARS 데이터수집여부 모니터링
- Unknown DeviceUnknown Event Type 확인
(Reporting IP 및unknown event type의미 파악)
- 모니터링(Event 및 성능)
- Report 설정
-다양한 Query실행
- 2주정도시운영을 통해망에서 실제로발생하는Event/incident 분석
- False PositiveDrop Rule 정의및 적용
- 자주 사용하는Query 기반으로User Report 정의(my report)
- Rule Action설정
- Backup 방안( File/DB )
- Upgrade 방안
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 15
CS-MARSSetup Process
(사전 고려사항)
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 16
CS-MARS 관리 정책 설정
MARS의 효용성을 높이기 위해서는 내부적인 관리, 감시, 장애 응대에 대한 정책이 사전에 필요
또는 시범 운영 기간을 통한 Log / Traffic Trend 확인 후 정책 구체화
보안 정책
• 회사의 보안 목적
• 보호해야 할 Resource 정의
• 현 네트워크 Infrastructure 정리
• 정책적으로 보호, 감시해야 하는 시스템 정리
감시 정책
• 주 관리 Traffic Flow, 사용자, Resource, service, 모니터링 시간 정의
• 모니터링 기준이 되는 VA 및 Security 정보 정리
• 주요한 자원에 대한 네트워크 접근 정보를 줄 수 있는 구성 및 Point 체크
• 관리 장비들의 Logging Level, Avalibility 확인
대응 정책
• 주요 관리 장비의 접근 차단이 가능한 Point 체크 (정책 적용 장비)• Layer2 / Layer3 장비의 공격에 대한 차단 정책 정의
• Host / Application단의 공격에 대한 차단 정책 정의
• 네트워크 운영자, 보안 담당자, 서버 운영자의 역할 분담 및 팀웍 구성
• 침해 발생시 처리 절차 (통보, 응대 )• 네트워크 상황에 맞는 침해 규칙 규정 (Custom Rule / Parser 활용)
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 17
System Sizing (1)
CS-MARS는 Appliance로 이미 Hardware Optimization이 되어있음.
초기 Sizing이 제대로 이루어 지지 않으면 향후 확장성 또는 유지 경비에 큰 손실을 가져올 수 있음.
Sizing시 아래의 요소들이 고려되어야 함
Enabled Service
Access-List 숫자
네트워크 Traffic의 복잡도
IDS / IPS 작동 여부
사용자 숫자
얼마나 오랫동안 Data를 DB에 저장하고 있어야 하나? (Data Retension )
향후 네트워크는 확장될 것인가?
(확장이 되는 네트워크일 경우 GC 기반 Design을 권장)
MARS를 통해 관리될 장비 종류
네트워크의 구성이 지역적으로 분리가 되는지 여부 (GC – LC 기반 구성)
제한하는 Performance의 70%를 유지하는 선에서 결정 (대형 공격에 대비)
네트워크 및 네트워크 장비 현황
운영 방안에 대한 고려사항
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 18
System Sizing (2)가장 중요한 고려사항
Event Per Sec.초당 처리해야 하는 Event 수(사전에 별도의 syslog server 를 통해 Event수 및 Type 분석 권장)
1. 장비수 * 장비 평균 syslog 수
2. IDS (RDEP or SDEE) Events * 평균 Event 수3. Hosts 수 * 평균 Events 수4. Local Storage Requirements4. NetFlow 장비 수 * 평균 Netflow Sessions수
위의 정보를 수집하여 EPS 계산기를 활용하여 Sizing
http://wwwin-people.cisco.com/gkellogg/epsCalc/main.php
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 19
설치 & 관리 장비 선택
설치 시고려사항
CS-MARS는 사내 네트워크의 취약점 정보를 가지고 있는 중요한
시스템이므로 안전한 위치에 두며, 가능한 별도의
Management VLAN에 두는 것을 권장
(확인 사항)
설치 위치 : 모니터링하고자 하는 네트워크를 볼 수 있는 곳
Access-lists : ACL을 통하여 MARS에 Reporting하는 장비의 IP/Protocol에 대해서만 접근 허용
Interface분리: 모니터링 용도와 관리 용도 Interface를 구별
Encryption : 터널을 활용하여 최대한 Tunnel을 통해 통신하도록 권장
관리 장비선택
효율적인 운영을 위해서는 MARS를 통해 관리할 장비를 사전에 정의하며 등록 후에도
등록 상태를 정확히 파악해야 함
장비 선택 기준 : 위치, 제공하는 정보, 운영 레벨, MARS에 필요한 정보 제공 여부
1.운영 장비들의 Logs / Data에 대해 확인 후 네트워크상의 일반적인 Activity Log 선정
2.각 네트워크 Segment당 Mitigation용 장비 여부 확인
(Attack 감지 시 Segment 보호를 위해)3. NetFlow 설정 시에는 중복정보를 최소화
4. AAA, Mail Server, DNS등도 관리 범위에 포함하여 STM이 가능하도록 함
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 20
CS-MARSProduct Updates
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 21
MA
RS
1stG
ener
atio
nA
pplia
nces
50 500 1000 3000 EPS
Cisco Security MARS Appliance Overview
MA
RS
2nd
Gen
erat
ion
App
lianc
es
10000
MARS 20R
MARS 20
MARS 50
5000
MARS 100E
MARS 100
MARS 110R
MARS 110
MARS 210
MARS 200
MARS GC2 & GC2R
MARS GC & GCm
7500 150004500EPS
Hardware Redundancy
MARS 25R
MARS 25
MARS 55
150075050
March 2008
EoSApr 08
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 22
Cisco Security MARS 상세 Spec
1TB RAID10Hot SwappableN/ACS-MARS-GCM-K9
120GB500CS-MARS-20-K9
120GB RAID01,000CS-MARS-50-K9
750GB RAID10Hot Swappable3,000CS-MARS-100E-K9
1TB RAID10Hot SwappableN/ACS-MARS-GC-K9
Performance
1TB RAID10Hot Swappable10,000CS-MARS-200-K9
750GB RAID10Hot Swappable5,000CS-MARS-100-K9
StorageEvents /sec
Cisco Part Number
1500GB RAID10Hot Swappable7,500CS-MARS-110-K9
1500GB RAID10Hot Swappable4,500CS-MARS-110R-K9
2TB RAID10Hot Swappable15,000CS-MARS-210-K9
2TB RAID10Hot SwappableN/ACS-MARS-GC2R-K9
250GB75CS-MARS-25R-K9
250GB RAID0750CS-MARS-25R-K9
500GB RAID10Hot Swappable1500CS-MARS-55R-K9
2TB RAID10Hot SwappableN/ACS-MARS-GC-K9
PerformanceStorage
Events /secCisco Part Number
Gen1 Gen2
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 23
CS-MARS주요기능
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 24
Gain Network IntelligenceTopology, traffic flow, device configuration, and enforcement devices
ContextCorrelation™Correlates, reduces and categorizes eventsValidates incidents
Valid Incidents
Sessions
Rules
Verify
Isolated Events
Correlation Redu
ctio
n
Router Cfg.
Firewall Log
Switch Cfg.Switch Log
Server LogAV AlertApp Log
VA Scanner
Firewall Cfg.
NetflowNAT Cfg.
IDS Event
...
CS-MARS
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 25
CS-MARS
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 26
CS-MARS
SureVector™ AnalysisVisible and accurate attack pathDrill-down, full incident and raw event detailsPinpoint the true sources of anomalous and attack behaviorMore complete and accurate story
1. Host A Port Scans Target X2. Host A Buffer Overflow Attacks
XWhere X is behind NAT device and
Where X is Vulnerable to attack3. Target X executes Password
Attacks Target Y locateddownstream from NAT Device
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 27
CS-MARS
Use control capabilities within your infrastructureLayer 2/3 attack path is clearly visibleMitigation enforcement devices are identifiedExact mitigation command is provided
Firewall
Router
Switch
]
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 28
CS-MARS: Compliance ReportsPopular reports with customization and distribution optionsQueries saved as rules or reports – intuitive framework (no SQL)
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 29
CS-MARS: Correlation and Reduction
Descriptive rule framework and incident details
Significant consolidation
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 30
CS-MARS: Attack Path with Layer 2 MitigationCS-MARS: Attack Path with Layer 2 Mitigation
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 31