Post on 03-Jan-2020
McAfee IPS -ovi u mreži HT-aMcAfee IPS ovi u mreži HT a
Slaven Vištica, 20.09.2011.
Uvod
zašto IPS-ovi ?
izbor IPS-ova -> vrsta i broj uređaja
McAfee IPS-ovi u HT-u
M Af N k S i M McAfee Network Security Manager
događaji i sigurnosni incidenti
statistika događaja u HTg j
plan odgovora na incidente
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 2
Arhitektura mreže - zašto IPS-ovi?
• brodogradnja, pregrađivanje • mreža, segmentiranje
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 3
Arhitektura mreže - zašto IPS-ovi?
• brodogradnja, pregrađivanje • mreža, segmentiranje
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 4
Arhitektura mreže - zašto IPS-ovi?
• brodogradnja, pregrađivanje • mreža, segmentiranje
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 5
Arhitektura mreže - zašto IPS-ovi?
Otvorena pitanja ove arhitekture:
• komunikacija mora postojati
• firewalli rade do određene razine OSI ref. modela
• detekcija ishodišta incidenta
• praćenje trendova -> definiranje sigurnosne politikeg p
• ili, općenito: što nam se na mreži događa ??
implementacija IDS/IPS-ova
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 6
Izbor IPS-a - zašto McAfee?
model uređaja, karakteristike, kriteriji za odabir:
performanse
b ( ) baza potpisa (signatures set)
virtualizacija
active/active failover - asimetrični promet/ č p
modularni, standalone, integrirani sa Fw (?)
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 7
Izbor IPS-a - broj uređaja
praksa: NFw ≥ NIPS , NSZ ≥ NIPS
NFw - broj firewalla na mrežižNSZ - broj sigurnosnih zona na mreži
NIPS - broj IPS-ova na mreži ako NIPS NFw ondaIPS Fw
povećava se količina administracije
povećavaju se troškovi održavanja sustava
ako NIPS 0 onda
povećava se rizik od sigurnosnog incidenta na mreži i upada u sigurnosne (štićene) zone
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 8
Implementacija McAfee IPS-ova u HT-u
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 9
McAfee Network Security Manager - administracija i nadzor
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 10
Primjer događaja - "false positive" ili "false negative" (?)
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 11
Primjer događaja - "false positive" ili "false negative" (?), analiza
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 12
Statistika (1)
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 13
Statistika (2)
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 14
Statistika (3)
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 15
Statistika (4)
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 16
Statistika (5)
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 17
Plan odgovora na incident
d l d k d b l k nije dovoljno imati opremu za detekciju incidenata bez plana za reakciju na iste
plan (procedura) opisuje faze, postupke i odgovornosti u odgovoru na incidente:
formiranje tima za odgovor na sigurnosne incidentej g g
aktivnosti koordinira voditelj tima ili njegov zamjenik
faze u proceduri odgovora:
detekcija incidenta ("false negative"),
prijava incidenta i aktiviranje tima,
klasifikacija,klasifikacija,
ograničavanje,
utrvđivanje uzroka (istraga) i otklanjanje uzroka,
oporavak,
izvješćivanje i učenje.
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 18
Rezime
McAfee IPS-ovi donose dobru vrijednost za novac ("value for money")
optimalan broj uređaja ovisan o procjeni potreba i arhitekturi mrežel k M Af NS M d implementacija kroz McAfee NS Manager jednostavna
rad opreme bi trebalo i organizacijski pratiti => procedura za odgovor na incidente
IPS-ovi pomažu u radu, podižu razinu sigurnosti, no nema potpuno sigurne mrežep , p g , p p g
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 19
Hvala!Hvala!
20.09.2011.– public – Slaven Vištica / Primjena McAfee IPS u HT 20