Jump to content

Организация безопасности в сети

ALex_hha
 Share

Recommended Posts

ALex_hha

ALex_hha

Posted
Posted

Собственно столкнулся с проблемой. Начальство хочет в любой момент времени знать - кто, куда и зачем ходил, даже внутри локальной сети. Можно ли такое организовать? Псомотрел в сторону sflow, но по ходу он не обеспечит такой детальной статистики

dignity

dignity

Posted
Posted (edited)

port mirror + snort

я бы советовал затянуть выполнение работы + посчитать затраты времени, может расхочет))

в реальности отчетов прокси достаточно.

Edited by dignity
ALex_hha

ALex_hha

Posted
  • Author
Posted (edited)
port mirror + snort

> snort

насколько помню это IDS. Это не совсем то, что мне нужно

 

> port mirror

на данный момент есть 6 свитчей по 48 портов, по LACP двумя гигабитными портами идут в гигабитный свитч (назовем его условно ядро). Если я буду делать port mirror это ж какое железо надо будет ставить на другой стороне, чтобы оно скушало весь трафик?

 

> реальности отчетов прокси достаточно.

ошибаетесь, прокси, если имеется ввиду squid это лишь http трафик. А меня интересует весь! Да и использовать внутри локалки прокси как то не очень

Edited by ALex_hha
[S]

[S]

Posted
Posted (edited)

Дак оно не только IDS. То есть, оно IDS, конечно, но крутить можно по-всякому.

 

Вопрос в объеме такого анализа: вы 6 свичей в "ядре" слить не планируете, но планируете хранить огромные объемы данных обращений пользователя А к пользователю В.

 

И что конкретно хочется видеть? Как Вася Пете слил 20Гб музыки и 400 Гб фильмов?

Edited by [S]
ALex_hha

ALex_hha

Posted
  • Author
Posted
И что конкретно хочется видеть?

кокретный пример - "на компьютере А был установлен VNC/MySQL/FireBird". Хочу знать кто с 13 до 14 обращался на эти порты. Т.е. надо фиксировать даже единичный случай, что с sflow как я понял не получится

 

Дак оно не только IDS. То есть, оно IDS, конечно, но крутить можно по-всякому.

да и толку от него или вы предлагаете ставить его на все клиентские машины?

dignity

dignity

Posted
Posted

Я бы посоветовал Вам для начала перестроить сеть на маршрутизируемую с ядром сети. Поставить в ядре port-mirror на тазик с линуксом, настроить netflow и хранить его, анализу подлежит любому.

Skylaer

Skylaer

Posted
Posted

Каждый порт во влан, все вланы через транк в Л3 свич, на нем миррор порта.

Дальше Тазик и сбор нетфлоу.

если трафика много - 2-3 линка в Л3 свич, 2-3 миррора.

ALex_hha

ALex_hha

Posted
  • Author
Posted
Я бы посоветовал Вам для начала перестроить сеть на маршрутизируемую с ядром сети.

сейчас L3 выполняет linux, который так же по LACP подключен к гигабитному свитчу

 

Поставить в ядре port-mirror на тазик с линуксом, настроить netflow и хранить его, анализу подлежит любому.

тут вопрос:

 

1. если на т.н. ядро заходят 6 агрегатов по 2 Гб, как это ядро пропустит их на linux?

2. netflow вроде только у цсики есть, нее?

 

Каждый порт во влан, все вланы через транк в Л3 свич, на нем миррор порта.

Дальше Тазик и сбор нетфлоу.

если трафика много - 2-3 линка в Л3 свич, 2-3 миррора.

на 350 портов замучаюсь вланы поднимать, слишком уж сурово :)

dignity

dignity

Posted
Posted

или так, или netflow только на каждом настроить, если cisco. SFLOW вам не даст 100% результата)

 

я думаю, что perl мог бы спасти отца русской демократии..

ALex_hha

ALex_hha

Posted
  • Author
Posted
или так, или netflow только на каждом настроить, если cisco.

hp и dlink

 

SFLOW вам не даст 100% результата)

а разве netflow зарегестрирует даже единственную попытку конекта? Кстати какие модели у cisco поддерживают netflow? Имеется ввиду L2

 

я думаю, что perl мог бы спасти отца русской демократии..

не совсем понял вашу мысль :)

BiWiS

BiWiS

Posted
Posted

Вам предлагают:

1 весь трафик вести через роутер, т.е. каждая машина в своем влане (что там у вас стоит, L3 свитч или на никсах машина)

2 на линуксе поднять netflowd (том же самом, что роутер или отдельном)

3 отмиррорить трафик на этот отдельный линукс и там его анализировать

Тогда вы будете видеть вообще весь трафик между пользователями.

SergeiK

SergeiK

Posted
Posted
И что конкретно хочется видеть?

кокретный пример - "на компьютере А был установлен VNC/MySQL/FireBird". Хочу знать кто с 13 до 14 обращался на эти порты. Т.е. надо фиксировать даже единичный случай, что с sflow как я понял не получится

Вот в такой ситуации работает только зеркалирование всего трафика и его дальнейший анализ по выбору.

Даже NetFlow вам на свитчах, тех что умеют, не даст полной информации. На свитчах он урезан возможностями чипа, а роутер для свитчинга в LAN - это слишком сурово.

 

Если вы хотите смотреть не каждый с каждым, а только определенные хосты - можно поставить Firewall/IDS/IPS, в том числе и в прозрачном L2 режиме, который будет не только собирать, но и управлять трафиком на защищаемые хосты.

ALex_hha

ALex_hha

Posted
  • Author
Posted
Чудовищно.

Может начальству надо аудит доступа к файлом просто, которой средствами ОС ведется?

нет конечно, это слишком просто и реализуется средствами самбы ;)

 

1 весь трафик вести через роутер, т.е. каждая машина в своем влане (что там у вас стоит, L3 свитч или на никсах машина)

2 на линуксе поднять netflowd (том же самом, что роутер или отдельном)

3 отмиррорить трафик на этот отдельный линукс и там его анализировать

Тогда вы будете видеть вообще весь трафик между пользователями.

Идею я понял, но если каждого из 350 пользователей пихать в отдельный vlan, то это будет просто писец :) Да и вопрос, какой же должен быть линк с linux машиной, на которой будет запущен netflowd для сбора трафика с 350 машин? 10G что ли?

dignity

dignity

Posted
Posted (edited)

обычно на такое количество абонентов достаточно 2x1G (ну может 4x1G) в ядро, если у вас там не супервычисления)

а VLAN на абонента - нормальная ситуация, никаких сложностей нет... у многих провайдеров так все и работает... да... и /31 на абонента ip unnumbered то есть)

Edited by dignity
ALex_hha

ALex_hha

Posted
  • Author
Posted

Да, но тогда мы нарушаем золтое правило 80/20. 80% трафика должно быть локальным (т.е. не маршрутизироваться) и лишь 20% выходить на L3 (маршрутизироваться). А у нас получится 100% трафика L3

dignity

dignity

Posted
Posted (edited)

а кто сказал что для "ВАШИХ УСЛОВИЙ" это правило "золотое"?

 

не, ну Вы интересный, поставьте у каждого юзера FW+AV+NetFlow/другой инструмент анализа трафика и сделайте централизованную настройку и забудьте о проблеме.

Edited by dignity
casperrr

casperrr

Posted
Posted

Собственно столкнулся с проблемой. Начальство хочет в любой момент времени знать - кто, куда и зачем ходил, даже внутри локальной сети. Можно ли такое организовать? Псомотрел в сторону sflow, но по ходу он не обеспечит такой детальной статистики

В локальной сети - можно по разному понять. Вообще любой локальный трафик, в том числе в пределах сегмента (если это не влан на юзера)? Или трафик до каких-то сервисов в локальной сети?

ALex_hha

ALex_hha

Posted
  • Author
Posted
В локальной сети - можно по разному понять. Вообще любой локальный трафик, в том числе в пределах сегмента (если это не влан на юзера)? Или трафик до каких-то сервисов в локальной сети?

на данный момент у меня vlan не per user, а per department :)

 

Или трафик до каких-то сервисов в локальной сети?

интересует трафик как до сервисов, хотя в малой степени ибо почти все они на linux, а там есть iptables + -j LOG. А так же трафик между вланами и в пределах одного влана.

 

Между вланами тут проблем нет, так как трафик все равно будет проходить через linux, а вот в пределах одного влана (подсети) уже не все так просто.

h1vs2

h1vs2

Posted
Posted
В локальной сети - можно по разному понять. Вообще любой локальный трафик, в том числе в пределах сегмента (если это не влан на юзера)? Или трафик до каких-то сервисов в локальной сети?

на данный момент у меня vlan не per user, а per department :)

 

Или трафик до каких-то сервисов в локальной сети?

интересует трафик как до сервисов, хотя в малой степени ибо почти все они на linux, а там есть iptables + -j LOG. А так же трафик между вланами и в пределах одного влана.

 

Между вланами тут проблем нет, так как трафик все равно будет проходить через linux, а вот в пределах одного влана (подсети) уже не все так просто.

 

Делайте private-vlan/traffic_segmentation, на линупсах поднимайте local proxy arp и в путь, если Вас не будет смущать, что весь трафик будет бегать через эти самые линупсы.

[S]

[S]

Posted
Posted

да и толку от него или вы предлагаете ставить его на все клиентские машины?

 

Вам уже предложили: весь трафик поднимается до ядра (либо до аггрегатора, где есть netflow-сенсор), сваливается на netflow-сенсор и анализатору сливается для последующего изврата.

 

да и толку от него или вы предлагаете ставить его на все клиентские машины?

Snort можно настроить на параноидальную чувствительность и весь трафик, завернуть на него (см. выше), и дальше использовать надстройку, типа, BASE, смотреть что надо.

 

Я так понимаю у вас не физики, а некая корпоративная сеть, ибо, для физиков я не понимаю такого изврата :)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.