Sledování IP provozu sítě

Tato skupina služeb je určena především pro správce a bezpečnostní týmy institucí připojených k páteřní síti velké infrastruktury CESNET (VI CESNET), případně pro výzkumné týmy a projekty účastníků, které potřebují sledovat, analyzovat a vyhodnocovat provoz realizovaný IP protokolem. V případě některých variant (viz níže) je možné službu realizovat i pro externí subjekty (mimo komunitu uživatelů VI CESNET).

Pozn.: vzhledem k tomu, že VI CESNET je neveřejná infrastruktura, má i přístup těmto službám neveřejný charakter.

Služba spočívá ve zprostředkování informací o přeneseném IP provozu (IPv4, IPv6). Primárním zdrojem těchto informací jsou provozní informace o IP tocích (tzv. NetFlow) exportované směrovači nebo specializovanými sondami (např. FlowMon vyvinutý sdružením CESNET). Tyto provozní informace jsou průběžně zpracovávány systémem FTAS vyvíjeným sdružením CESNET. Informace o provozu obsahují údaje vyňaté z hlaviček protokolů TCP/IP (IP adresy, čísla protokolů, portů, objemy paketů, bytů apod.) a rozšiřující informace vytvořené systémem FTAS (např. administrativní členění VI CESNET). Informace o provozu neobsahují žádné údaje z uživatelské části přenášených datových bloků – tudíž je již z principu metody chráněno soukromí koncových uživatelů. Systém FTAS je vybaven komplexním aparátem pro vstupní zpracování, klasifikaci, filtraci, ukládání provozních záznamů i jejich následné statistické zpracování. Vyhledávací a vizualizační aparát uživatelského rozhraní systému umožňuje v principu realizovat libovolně složité vyhledávání v uložených datech bez jakékoli předchozí přípravy. Pro představu o základních typech výstupů systému jsou k dispozici ukázky.

Služba je ustanovena vždy ve spolupráci s uživateli tak, aby reflektovala konkrétní požadavky uživatele. Při ustanovení služby je vždy kladen důraz na zachování soukromí ostatních účastníků (zprostředkované informace se musí týkat provozu uživatele).

Základní rámcové varianty služby

Vyhotovení detailní analýzy IP provozu přeneseného páteřní sítí na základě ad hoc požadavku

Varianta je určena pouze uživatelům VI CESNET, přesněji správcům připojených sítí a členům bezpečnostních týmů. Předpokládá vytvoření výstupu o požadovaném provozu (na základě uživatelem specifikovaných podmínek a rozsahu vyhledání nebo indikace anomálií apod.) a jeho doručení uživateli (elektronickou formou). Minimální doba uchování dat pro detailní analýzu provozu je aktuálně 4 týdny – tato doba vymezuje historii pro možné vyhledání dat. Dostupnost služby je standardně v pracovní době, podle možností i v ostatní době. Služba je poskytována na principu best effort  – doba vyhotovení výstupu je dána složitostí vyhledávacích podmínek, časovému rozsahu vyhledávání a kumulací požadavků (standardně v řádu hodin až dnů). Varianta služby je vzhledem k dostupným lidským zdrojům vhodná pro akutní případy nahodilého typu (provozní anomálie, síťový útok apod.).

  • Kontaktní místo pro zadání požadavku: prostřednictvím hierarchie bezpečnostních týmů nebo ftas@cesnet.cz

Informace o IP provozu přeneseném páteřní sítí pomocí uživatelského rozhraní systému FTAS

Varianta je určena pouze uživatelům VI CESNET – především bezpečnostním týmům, správcům sítí, výzkumným týmům apod. Varianta předpokládá zřízení přístupu k uživatelskému rozhraní instalace systému FTAS, která zpracovává provozní informace z páteřní sítě VI CESNET. Pro uživatele je vytvořena v systému FTAS samostatná konfigurační entita, která umožní oddělené ukládání informací o provozu (nebo jeho části) uživatele v dohodnuté struktuře, rozsahu a případně s následným statistickým zpracováním podle konkrétních potřeb. Přístup uživatelů je omezen na nakonfigurované množiny zpracovaných dat. Doba na zřízení služby se pohybuje v řádu dnů (předpokládá se postupná iterace a optimalizace vzhledem k očekávání uživatele). Služba je poskytována na principu best effort s dostupností 24×7. Varianta služby je vhodná v případě, kdy přístup k informacím o externím provozu z/do sítě je chápán jako standardní podpůrná služba pro správu sítě a řešení incidentů.

Zprostředkování informací o IP provozu přeneseném v síti uživatele pomocí instalace systému FTAS v síti uživatele na vlastním HW

Varianta je určena uživatelům VI CESNET (především bezpečnostním týmům, správcům sítí, výzkumným týmům), případně externím subjektům. Varianta předpokládá zřízení instalace systému FTAS (licence FTAS) na HW uživatele, který je pod společnou správou. Systém FTAS je nakonfigurován podle potřeb uživatele. Doba na zřízení služby se předpokládá v řádu dnů (od okamžiku dostupného HW s nainstalovaným OS). Služba je poskytována na principu best effort s dostupností 24×7. Varianta služby je vhodná v případě, kdy přístup k informacím o provozu vlastní sítě (nebo její části) je chápán jako standardní podpůrná služba pro správu sítě a řešení incidentů a zároveň objem provozních informací nebo bezpečnostní politika sítě odůvodní investice do vlastního HW.

  • Kontaktní místo pro zřízení služby: sluzby@cesnet.cz
  • Kontaktní místo pro hlášení závad, nedostupnosti: podle dohody s uživatelem
  • Kontaktní místo pro technické a analytické konzultace: podle dohody s uživatelem

Informace o IP provozu přeneseném v síti uživatele pomocí uživatelského rozhraní systému FTAS ve VI CESNET

Varianta je určena uživatelům VI CESNET (především bezpečnostním týmům, správcům sítí, výzkumným týmům), případně externím subjektům. Varianta předpokládá zřízení přístupu k uživatelskému rozhraní instalace systému FTAS, která je určena ke zpracování provozních informací ze sítě uživatele. Pro uživatele je vytvořena v systému FTAS samostatná konfigurační entita, která zpracovává provozní informace exportované ze sítě uživatele dohodnutým způsobem v dohodnuté struktuře a rozsahu. Přístup uživatelů je omezen na nakonfigurované množiny zpracovaných dat. Podmínkou realizace je možnost průběžného exportu primárních provozních informací ze sítě uživatele k místu zpracování. Doba na zřízení služby se předpokládá v řádu dnů (předpokládá se postupná iterace směrem k očekávání uživatele). Služba je poskytována na principu best effort s dostupností 24×7. Varianta služby je vhodná v případě, kdy přístup k informacím o provozu vlastní sítě (nebo její části) je chápán jako standardní podpůrná služba pro správu sítě a řešení incidentů a zároveň objem provozních informací i bezpečnostní politika sítě umožňují externí zpracování (resp. investice do vlastního HW pro zpracování by nebyla efektivní).

V případě zájmu o další informace o možnostech realizace služeb sledování a analýzy IP provozu se obracejte na: sluzby@cesnet.cz.

Poslední změna: 1.2.2013