1 / 8

Real-time Layer 2/3 ARP/IP address manage & Layer 3/4 flow anomaly detection

1. Real-time Layer 2/3 ARP/IP address manage & Layer 3/4 flow anomaly detection.

shaina
Download Presentation

Real-time Layer 2/3 ARP/IP address manage & Layer 3/4 flow anomaly detection

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 1 Real-time Layer 2/3 ARP/IP address manage & Layer 3/4 flow anomaly detection ISOinsight 不同於一般的資安產品設備為單一目的而設計,它是依據ISO精神設計的產品,建立企業ISO27000 IT security運營的平台。它以探針的方式學習或探測或管理內網VLAN內部廣播異常的封包,亦或同時探測或展現不同VLAN之間的TCP/UDP/ICMP網路流量資源與異常威脅的來源;可廣泛探測網路內部各角落(VLAN)的異常網路行為,以期即早偵測或發現那些尚未被探測出特徵的病毒或駭客攻擊。ISO insight 包含有四大可獨立運作的部份: (一)Resource Manager 企業組織與IT網路設備資產管理與監視子系統 (二)ARP sensorLayer 2 VLAN廣播檢測器子系統 (三) Flow analyzer Layer ¾ 流量分析、tcp服務效能、異常網路行為等分析資訊子系統 (四)Event manager本機異常分析及第三方資安設備事件管理子系統 - 詳細記錄網路事件日誌,攻擊源追蹤(Location Tracking)協助防禦管理,以幫助管理員監視與管理網路安全。 ISOinsight 主要特色: • (1) Resource manager網路資源監視與管理 • 以組織、網路拓樸為基礎建構完整IT網路運作的全貌 • 網路設備介面、 CPU 臨界值監視及告警 • VLAN內廣播臨界值監視及告警 • 網路迴路監視 • 伺服器服務監視與效能分析 • 攻擊源與異常的追蹤 • 中央MAC、IP機台管理與策略管理、制定、分發派送 • (3) Flow analyzer流量分析子系統 • 長期流量的分析 - Top-N IP, TCP, ICMP使用流 量的分析, 對流交叉分析 • 組織內與外多重網域的流量分析 • 蠕蟲行為、流量額度設定與偵測 • 異常流量與行為分析 • (2) ARP sensor封包檢測子系統 • 自動學習網路用戶MAC/IP地址,並可即時檢測 • 非法入侵的網路設備。 • DHCP server, DHCP強制執行, 非法DHCP偵測。 • ARP異常偵測。 • MAC/IP/Port 在線列表 • ARPup/down 紀錄 • 即時防禦遠端非法的存取。 • (4) Event manager 事件管理器 • syslog server 與第三方資安設備管理 • 觸發防衛條件的定義 • 事件與防衛管理 • 手動或自動化的隔離方式 • 佈告欄 • 可選購自動化Web通知伺服器

  2. 2 Real-time Layer 2/3 ARP/IP address manage & Layer 3/4 flow anomaly detection Resource manager 網路資源監視與管理子系統 ISOinsight 是基於ISO27000精神設計的 IT security運營的平台。這樣一具完善的網路資源暨威脅管理伺服器在於有關所涵蓋的處理與管理功能層面涵蓋有:(1)企業組織與IT網路設備資產管理資料庫 – 以企業組織、網路拓樸為基礎建構企業完整IT網路運作的全貌 (2)MAC/IP中央資料庫 – 建構企業內部授權用戶機台基本資料, 保障企業網路存取基礎的安全 (3)網路資源監視 – 監視IT網路運作的順暢,協助網路管理員監視網路資源各項運作合理參數,及時處理異常,以保障網路穩定的運營。 資產、組織、拓樸管理 ISOinsight協助IT經理建構企業IT網路資源暨威脅監視的管理平台,提供『組織與網路』子系統協助管理者掌握企業行政組織與網路運作的關連,並提供企業IT運作設備資產的資料庫管理,包括網路交換器、路由器、閘道器、伺服器、用戶主機等。而經由這些『基礎資料庫平台』便可以讓管理員透過『控制台』、『MAC/IP管理』、『流量及異常分析』等子系統來監視、控制、管理、追蹤 Location tracking 網路行為與威脅防禦的管理,以幫助管理員稽核与管理網絡的安全。 ISO 網路資源監視 • 計算核心網路各個VLAN內廣播總數及各類廣播的統計圖、臨界值及觸發異常(發送syslog)示警 • 計算各網路設備介面TX/RX/error/Broadcast、臨界值及觸發異常(發送syslog)示警 • 偵測迴路與私接路由器 • 伺服器資料庫效能 • 交換器內的MAC、ARP table • 特定交換器CPU使用率 • 異常事件追蹤 位置追蹤 location tracking • 位置追蹤最主要的用途是要協助管理員找出攻擊者的來源,當ISOinsight從ARP sensor、flow analyzer子系統或其他的入侵偵測設備接受到網路攻擊或衝突的syslog時,管理員最需要的就是根據syslog上的IP或MAC地址來搜尋攻擊者的位置,進而加以處理以阻止網絡的傷害漫延擴大。 • ISOinsight 可以依據MAC或IP逐一搜尋比對網絡組織設備表內SNMP switch 並找出該IP來自那個switch的那個介面端口。 • 位置追蹤的結果可以顯示在網路拓樸圖及交換器面板上 ,並可以獲取該埠傳輸與廣播封包的狀態,管理員並可以採取關閉埠的動作。 中央身份資料庫 Central MAC/IP database: ISOinsight Head-Quarter版本具備有中央身分資料庫,透過ISOinsight本身的ARP sensor子系統、ISOsensor、NBADswitch II等,紀錄所有Intranet 總部與分公司、辦事處的MAC/IP client的身份資料。並藉由Web的UI協助管理員以自動化的方式維護企業的合法MAC/IP的配對,再進一步以派送的方式減輕管理員的負擔。

  3. 3 Real-time Layer 2/3 ARP/IP address manage & Layer 3/4 flow anomaly detection ARP sensor 封包檢測子系統 ARPsensor封包檢測器-是可應用於任何網路環境支援IEEE 802.1Q之封包檢測器(packet sensor),此設備不僅可以檢測骨幹網路內各個Layer 2層VLAN內網路是否有異常ARP攻擊,並可檢查使用者是否有不符合規定之網路入侵。 ARP sensor主要目的是收集乙太網路VLAN內部MAC/IP資料庫與存取的安全管理, 同時檢測是否有ARP攻擊封包以即時提醒管理員留意異常的發生。 MAC/IP 存取安全管理 • 自動學習–VLAN區網內MAC、IP及使用者電腦名稱收集,供管理者容易快速建立網路使用者資料庫。並可自動偵測MAC/IP位址的新增、異動及衝突事件功能,並可將相關系統訊息儲存於資料庫管理系統。 • 實施綁定– MAC、IP綁定的網路存取安全策略,以防止使用者私自竄改IP發生使用同一IP的衝突問題。避免個人電腦與重要設備、伺服器之網路IP位址衝突,以保障重要設備或伺服器之服務。 • 資料管理– 系統支援單筆資料的維護外並提供整個資料庫的匯入、匯出、清除管理。系統也支持SNMP Private MIB提供網管軟體或其他類似ISOmanager管理軟體的存取介面。 DHCP IP位址管理 • DHCP容錯服務器–內建DHCP伺服器功能,提供授權與非授權兩種型態之DHCP服務,並支援兩台設備互為備援機制之功能。 • MAC/IP綁定派送– DHCP服務器除支援標準DHCP IP租賃服務,可定義IP Range for multi VLANs,並派發成功之外,並可整合授權之MAC/IP資料庫,提供MAC/IP綁定派送功能,以確定要求路服務之節點為合法之電腦設備後,始得由DHCP派發特定的IP。 • 派發記錄與例外管理–提供DHCP派發歷史記錄查詢及匯出功能。本系統亦可由管理者自定IP派發政策,可區分為固定IP用戶及或由系統自行派發等,可例外管理部份之私設固定IP並。 • 用戶端DHCP管理 – (1)私設DHCP服務器阻斷 - LAN環境內私自架設不合法DHCP Server會被ARP sensor阻隔無效 (2)DHCP強制 - 可限制端點只能使用DHCP方式取得IP,任何私自設定IP位址之終端設備無論所設定IP位址是否為合法IP皆禁止其使用網路 。 異常偵測管理 • IP Scan 掃描偵測–設定IP Scan門檻,可偵測用戶執行 IP scan時,IP Scan值是否累計,超過時應可根據Lock Action進行動作(Lock by MAC, send event log, send notify page)。 • ARP異常偵測– 偵測器提供區網內ARP欺騙攻擊偵測功能包括:ARP 掃瞄偵測 – 可偵測LAN內部ARP掃描行為。ARP異常偵測 - 則是偵測LAN內部哪些用戶送一些不合法封包。ARP攻擊偵測 - 主要目的是偵測出哪些用戶遭受攻擊。 • 廣播風暴偵測 – 可偵測區域內網VLAN是否有超過異常之廣播發生,並通知管理者。

  4. 縣網中心 flow analyzer 組織A小學 組織B小學 組織Z小學 組織Y小學 群組 群組 群組 群組 網 段 1 網 段 1 網 段 4 網 段 4 網 段 2 網 段 2 網 段 3 網 段 3 對流分析 協定分析 4 Real-time Layer 2/3 ARP/IP address manage & Layer 3/4 flow anomaly detection Flow analyzer 流量分析子系統 flow analyzer Real time monitor主要目的是讓管理者可以對網絡的狀態可以一目了然,包括組織表上的設備主體与介面端口的狀態(具備SNMP能力者)、SNMP trap與syslog最新網絡上發生事件的記錄、組織內網路上IP flow的即時流量顯示、TCP應用服務與Client/Server間效能、彙總后整體網絡的Top-N IP流量使用排行表等等。 • flow analyzer IP flow監視架構 • flow analyzer系統使用標準的netflow或sflow格式,具備Source IP、Destination IP、Source port、Destination port、bytes transferred、Network Time、Server Time、TCP Flags、Application performance等資料,可提供提供TCP連線及Flow分析報表 。 • ISO analyzer系統提供即時多樣時間區段網路流量分析能力,其分析時間區段可支援second層級,並可依秒、分、時、日及月等多種時間刻度分析資料。 • ISO analyzer系統提供效能分析數據可包括: Connection、Average Server Time、Average Network Time、Throughput等資料,並提供Client、Server及Application端提供TCP效能分析數據 Top-N IP流量即時分析 – NM-9100以SNMP彙總組織內所有NBADswitch內neflow log,NM-9200則自硬盤資料庫內取最近5分鐘netflow/sflow記錄,然后再加以排序累計並排名整體網絡上IP使用量排名。 對流分析(to who) –管理員自排行榜上可選擇某IP的對流分析,以了解該IP對外的通訊的交叉分析。 協定分析(do what) - 管理員自排行榜上可選擇某IP的協定分析,以了解該IP對外的通訊使用的TCP服務分析。 組織流量分析 - 24小時流量圖、主機流量排行、對流分析、協定分析 組織對外網流量分析 外網對組織內流量分析 組織內群組間流量分析 組織內網段間流量分析 目的主機數排行分析(內對外或外對內或內對內) 組織流量歷史分析(內對外或外對內或內對內) (週/月/年報) 1 • 異常分析 • 發生異常時可透過郵件通知管理者。 • 支援CISCO L3 閘道器。 • 支援封鎖排除名單並可根據不同網段設定其相對應的封鎖閘道器。 • 規則分析-可依據來源位址、來源埠、目的位址、目的埠、封包數、流量數等條件設定規則。 • 提供偵測已知病毒 (Code-Red、Nimda、W32.Sasser.Worm、W32.Blaster.Worm DDos-DP445)等異常狀況。 • 超流分析 • 提供設定封鎖型態及統計流量間隔時間。 • 可依據網路型態、傳輸型態、超流臨界值等條件設定超流規則。 Gateway Gateway Gateway Gateway Core Switch Core Switch Core Switch Core Switch 3 2 4

  5. 5 Real-time Layer 2/3 ARP/IP address manage & Layer 3/4 flow anomaly detection Event manager 事件管理子系統 ISOinsight 依據ISO精神產品目的是協助企業建立ISO27001 IT security運營的平台。ISO 27002 ISMS作業規範 第13章資訊安全事故管理說明企業IT運作ISOinsight事件管理子系統的需要性,他的運作模式包括有(1)事件伺服器 - 詳細記錄與維護網路事件日誌 (2)隔離管理 - 針對syslog裡違反特定觸發條件的Client採取隔離的措施 (3)佈告管理 - 針對被隔離的用戶手動或自動的鎖定列表,輔以Device & Service manager 設備及網路服務管理子系統協助防禦管理,以幫助管理員監視與管理網路安全 (4) 異常事件的分析– 如何協助管理員分析異常發生的原因。 事件伺服器 syslog server ISOinsight所支持的資安事件記錄syslog主要來至二個來源:一是ISOinsight本身異常分析所發出的syslog,亦支持格式自定義來定義第三方資安設備所發出來的syslog格式。精確記錄事件發生的各項資訊,包括事件發生時間、來源IP、嚴重等級、事件說明等等。另外,很多的資安設備亦藉由syslog的通訊將往來交通的資料流紀錄送至syslog serer,ISOinsight 支援將這些syslog重導至Flow analyzer 流量分析子系統,以進行IP/TCP/UDP流量與網路效能的分析。 隔離管理 Quarantine manager 隔離管理最主要的目的是隔離對網路造成傷害的攻擊源,當syslog server接收到『特定條件』的資安事件記錄時,便啟動防衛隔離的機制。 • 觸發條件 – 觸發防衛動作的『特定條件』,這些條件通常包括『嚴重等級』當發生的資安的事件超過特定的嚴重等級、 或事件說明內『特定關鍵字』等。 • 封鎖方式 – 當資安事件符合觸發條件時,便啟動了封鎖的動作,方式分別有”自動”與”手動”兩種。 • 封鎖型態 – 指的是封鎖的手法,封鎖交換埠?MAC連線切斷? 還是路由器ACL的IP過濾。 • 封鎖時間 -封鎖後自動解放的時間。 • 佈告管理 : • 佈告管理的目的是通告被封鎖者的訊息,說明封鎖的原因,封鎖的時間等。佈告的對象分為管理員與非管理員,佈告管理功能列表有四: • 手動封鎖列表 – 此列表產生源自『隔離管理』事件的觸發條件成立,而為了避免事件的誤判,在封鎖攻擊源之前所採取保守的動作,也就是手動封鎖列表,讓管理員以手動的方式封鎖攻擊源。 • 封鎖列表 – 當攻擊源被『自動』或『手動』封鎖的時的列表,本向列表可以開放給非管理員的查詢。 • 封鎖歷史查詢 • 異常事件原因的追蹤– 如何協助管理員分析異常發生的原因,在特定期間內該設備可能發生異常原因與檢測數據的匯總包括如CPU、廣播、syslog 、流量等數據的分析。 嚴重異常事件防衛示意圖 ISOinsight

  6. 6 Real-time Layer 2 packet & Layer 4 flow inspector and analyzer Order information ISOinsight NSA-100 ISOinsight Branch版本, 2FE, 1U height with1GB RAM, 80GB HDD, 128 IP 授權.. NSA-200 ISOinsight Branch版本, 2FE, 1U height with 1GB RAM, 160GB HDD, 256 IP 授權. NSA-500 ISOinsight Branch版本, 2GbE, 1U height with1GB RAM, 250GB HDD, 512 IP 授權. NSA-1000 ISOinsight Branch版本, 2GbE, 1U height with2GB RAM, 500GB HDD, 1024 IP 授權. NSA-2000 ISOinsight Branch版本, 2GbE, 1U height with4GB RAM, 1TB HDD, 2,048 IP 授權 *NSA-5100 ISOinsight Head-Quarter版本, 2GbE, 2U height with 8GB RAM, 1.5TB RAID 5, 1024 IP 授權, full function. *NSA-5200 ISOinsight Head-Quarter版本, 2GbE, 2U height with 16GB RAM, 2TBRAID 6(4顆1TB HDD), 1024 IP 授權, full function. NSA-5000-1000 ISOinsight Head-Quarter版本,add on 1,000 IP 授權. NSA-5000-2000 ISOinsight Head-Quarter版本,add on 2,000 IP 授權 NSA-5000-5000 ISOinsight Head-Quarter版本,add on 5,000 IP 授權 NSA-4910 ISOinsight Head-Quarter版本, 2GbE, 1U height with4GB RAM, 1TBHDD, 2048 IP 授權, exclude ARP sensor. *NSA-4920 ISOinsight Head-Quarter版本, 2GbE, 2U height with8GB RAM, 1.5TB RAID 5, 4096 IP 授權, exclude ARP sensor. *NSA-4930 ISOinsight Head-Quarter版本, 2GbE, 2U height with 16GB RAM, 2TB RAID 10, 無限 IP 授權, exclude ARP sensor. ISO ARP sensor NS1-800S ISO sensor, 2GbE, 1U height, ASIC-base ARP sensor, 256 IP 授權 NS2-800S ISO sensor, 2GbE, 1U height, ASIC-base ARP sensor, 512 IP 授權 NS2-800S-1000 ISO sensor, 2GbE, 1U height, ASIC-base ARP sensor, 1024 IP 授權 NS2-800S-2000 ISO sensor, 2GbE, 1U height, ASIC-base ARP sensor, 2048 IP 授權 ISO Flow Analyzer NA-9200L ISO analyzer, 2 GbE, 1U height with 2GB RAM, 500G HDD, 1024 IP 授權. NA-9210 ISO analyzer, 2 GbE, 1U height with 4GB RAM, 1TB HDD, 2048 IP 授權.. *NA-9220 ISO analyzer, 2 GbE, 2U height with 8GB RAM, 1.5TB RAID 5, 4096 IP 授權 *NA-9230 ISO analyzer, 2 GbE, 2U height with 16GB RAM, 2TBRAID 10, 無限 IP 授權 NBAD series NIS-100-K12 NBADinsight, 2FE, 1U height with1GB RAM, 80GBHDD, 256 IP 授權 NIS-200-K12 NBADinsight, 2FE, 1U height with1GB RAM, 160GBHDD, 768 IP 授權 NAM-9200 NBADinsight, 2GbE, 1U height with 2GB RAM, 500GBHDD,1024 IP 授權 NAM-9210 NBADinsight, 2GbE, 1U height with 4GB RAM, 1TBHDD, 2048 IP 授權 *NAM-9220 NBADinsight , 2GbE,2U height with 8GB RAM, 1.5TB RAID 5, 4096 IP 授權 *NAM-9230 NBADinsight, 2GbE,2U height with 16GB RAM, 2TBHDD RAID 10, 無限 IP授權 NM-9110 ISO manager with windows & SQL, 1U height with, 2GB RAM, 500GBHDDwith 2,048 IP 授權 * Call for availability 產品比較表

  7. ISO27000-base Network security & Behavior audit’s Console 內網安全與效能監視 ISO基礎網路資源管理 Layer 2 異常ARP檢測與示警 Layer ¾ 流量與效能分析與異常檢測 事件管理與防衛、示警佈告 授權經銷商

More Related