Pokloni za geek-a | PC Press
PCPress.rs Image
Business Technology 

InSight softver u praksi

PC Press

InSight softver mogao bi se uporediti s rendgenom, samo za nadzor Internet mreže, ili pak s termovizijskim kamerama. U oba slučaja, akcenat je upravo na otkrivanju elemenata i događaja koji su inače potpuno nevidljivi. Ovi nevidljivi mrežni podaci do sada su promicali usled nepostojanja adekvatnog alata za njihovu identifikaciju, analizu, ekstrapolaciju i vizuelizaciju.

PCPress.rs Image
Početni ekran Internet Security modula softvera InSight

Autor: Lena Perović, founder and CGO at Developico

Datalab serveri

InSight je softversko rešenje za telemetriju IKT mreža, bazirano na sFlow podacima, a firma Serbian Open eXchange (SOX), kao kritična IKT infrastruktura Republike Srbije, kontinuirano ulaže napore u prevenciju bezbednosnih pretnji, smetnji i otkaza i kao takva bila je idealna za ulogu saveznika u razvoju i prvog testera.

Rendgen ili FLIR – termovizijska kamera

Korišćenjem InSight alata u potpunosti je promenjen način na koji je SOX posmatrao Internet saobraćaj. Na osnovu neprocenjivih sFlow informacija o količini i raspodeli Internet saobraćaja, iz korena je promenjen celokupan dizajn SOX mreže uz direktan i ključan uticaj na bezbednost i skalabilnost.
Ušavši još dalje u svet telemetrije, otvorila su se nova polja za istraživanje, a sve bez narušavanja privatnosti, s obzirom na to da se pristupa analizi metapodataka iz zaglavlja IP paketa i Ethernet frame-ova.

Korišćenjem InSight alata u potpunosti je promenjen način na koji je SOX posmatrao Internet saobraćaj. Na osnovu neprocenjivih sFlow informacija o količini i raspodeli Internet saobraćaja, iz korena je promenjen celokupan dizajn SOX mreže uz direktan i ključan uticaj na bezbednost i skalabilnost

Mi pak najradije pravimo analogiju između rezultata koje daje InSight softver i rezultata analize krvi. Poput rezultata analize krvi, na osnovu uzorkovanja mrežnih podataka iz InSight softvera, dolazimo do jasnih indikacija o zdravlju mreže, zajedno sa uputom šta da pregledamo ili testiramo sledeće.

PCPress.rs Image
Broj root-DNS servera u SEE

Kao i u slučaju opšteg zdravstvenog stanja, i za analizu uzorkovanih mrežnih podataka potreban je ekspert i njegovo stručno mišljenje. Upravo zato u alat smo integrisali svoje znanje i iskustvo u oblasti mreže, uz dodatak ML/AI (mašinskog učenja i veštačke inteligencije), dodajući podacima značenje, svrhu i prošlost. Sveobuhvatan pregled i analiza podataka koju smo ovim putem postigli, van domašaja je svakog pojedinca, koliko god iskusnog u ovoj oblasti. Upravo zato je upotreba ML/AI bila pravo rešenje.

Širom otvorenih očiju

U današnje doba jasno je da u Internet mreži makar i treptaj oka može dovesti do previda neke cyber pretnje, pokušaja prodora ili krađe podataka. Ono što je tom prilikom svakako ukradeno, jeste naš mir.
Korišćenjem InSight alata, postiže se:

  • osećaj sigurnosti i kontrole,
  • produbljivanje znanja o sopstvenoj Internet mreži,
  • razumevanje normalnih i bezbednih pattern-a saobraćaja,
  • bezbednost ključnih elemenata sistema,
  • dodatna tačnost zbog korišćenja ML/AI i manji false positive i
  • optimizacija i jednostavnost planiranja budućeg širenja mreže.

U daljem tekstu predstavili smo dva primera upotrebe InSight alata. Prvi primer je nešto jednostavniji, ali veoma izražen u svakodnevnom radu SOC/NOC timova – napad velikom količinom saobraćaja s različitih polaznih adresa – DDoS. Drugi primer je studija slučaja na primeru našeg partnera i korisnika, firme SOX,
koja ukazuje na vrednosti analitike i na veoma konkretne korake i rezultate koji su iz korišćenja InSight softvera proistekli.

PCPress.rs Image
RTT kašnjenje iz Srbije

Primer 1: Detekcija i rešavanje DDoS napada u mreži ISP

U mreži jednog od korisnika InSight softvera došlo je do DDoS napada. Iako je mreža bila zaštićena raznim sistemima za detekciju i prevenciju napada (IDS/IPS), kako od natprovajdera, tako i unutar same mreže, DDoS napad „se provukao“ i preopteretio linkove i centralne procesore. Pristup mreži i mogućnost konfigurisanja bili su izuzetno ograničeni, a administratori bez alata kojima bi mogli da analiziraju izvor problema.

InSight softver je bio tajni sastojak uspeha SOX-a u prethodnih 15 godina postojanja, koji je sada dostupan i drugima

InSight u SaaS opciji rešio je problem kroz iterativni postupak i omogućio brzu i konkretnu reakciju administratorima na rešavanju problema.

  • InSight Saas instanca se host-uje van mreže ISP, pa samim tim nije bila ugrožena DDoS napadom.
  • Na prvoj strani modula za Internet Security softvera InSight, vidi se značajan porast broja alarma, s jasnom vremenskom korelacijom.
  • Na prikazu aktivnih alarma se lako mogu uočiti MAC adrese s najvećim dolaznim saobraćajem, kao i značajna promena u raspodeli destination ASN-ova.

Korelacija MAC adrese sa AS brojem ugrožene mreže dovela je do identifikacije mreže ugroženog korisnika, za kojeg se ispostavilo da je novi korisnik u mreži ISP, bez istorije ponašanja i bez sumnje da bi mogao biti predmet DDoS napada. InSight alat je, među ostalim podacima, istakao i oznaku uređaja i porta i omogućio administratorima brzu reakciju.

Odmah po identifikaciji pokrenuta je akcija čišćenja saobraćaja od DDoS napada, kako kod natprovajdera, koji su sada imali detalje napada i mogli da sprovedu brze akcije, tako i aktiviranje blackholing-a i remote blackholing-a kroz partnerske mreže.

Urađena je root-cause analiza i digitalna forenzika od ISP-a, ali i InSight tima kako bi se ovakve situacije izbegle u budućnosti, a najbolje prakse su ugrađene u sam InSight alat.

Korišćenjem sva tri raspoloživa InSight programska modula (BI/NOC/SOC), SOX je postigao rezultate vidljive na celom IKT tržištu Srbije

Primer 2: InSight analitika u službi unapređenja bezbednosti, kvaliteta i stabilnosti srpskog Interneta

SOX, nacionalna tačka za razmenu Internet saobraćaja i kritična infrastruktura po mnogim kriterijuma, već godinama je zadovoljni korisnik InSight alata u tri scenarija:

  • SOC/Security – praćenje naglih promena i korelacija, kao i iskakanje iz parametara sezonalnosti i raspodele saobraćaja u vremenu.
  • BI/Poslovna analitika – s kojom mrežom se povezati, kada, gde i zašto?
  • NOC/Bezbednost i kontinuitet poslovanja – praćenje zauzetosti kapaciteta mreže, izbegavanje uskih grla i proaktivno ugovaranje kapaciteta za koje je po pravilu potrebno tri do šest meseci, pa je pravovremena reakcija neophodna.

InSight analitika ugrađena je u samu arhitekturu SOX mreže, ali i u operativne i bezbednosne procedure u nadzoru i upravljanju SOX mrežom i SOX uslugama.

PCPress.rs Image
Kvalitet Interneta u Srbiji

Korišćenjem sva tri raspoloživa InSight programska modula (BI/NOC/SOC), SOX je postigao rezultate vidljive na celom IKT tržištu Srbije:

  • Prepoznata je važnost bezbednog i brzog pristupa javnim DNS resolver-ima i uspostavljena je najdirektnija moguća saradnja sa 1.1.1.1, 9.9.9.9, 8.8.8.8, a što se može proveriti sa lg.sox.rs.
  • Prepoznata je potreba za bezbednim, direktnim vezama 100G kapaciteta s najvećim svetskim CDN (Content Delivery Networks), kao što su Google, Akamai, ByteDance, Meta, M247, CDN77, Valve (Steam), Hetzner, Netflix i drugima. Veze su realizovane u prethodnom periodu.
  • Prepoznata je potreba za širom regionalnom saradnjom s drugim operaterima mreža za razmenu Internet saobraćaja iz Austrije, Češke, Mađarske, Rumunije, Bugarske, Severne Makedonije, Ukrajine, Poljske, što je donelo bezbedniju komunikaciju visokih performansi. Veze su realizovane u prethodnom periodu.
  • Prepoznata je potreba za zaštitom od DDoS napada s javnog Interneta i uspostavljena je saradnja s globalnim cloud provajderom DDoS zaštite Voxility pre više od sedam godina.
  • Prepoznata je potreba za dovođenjem root-DNS servera u Srbiju, što je povećalo brzinu otvaranja sajtova za sve korisnike u Srbiji, povećalo je otpornost na kratke i duže prekide međunarodnih linkova i postavilo Srbiju na mapu root-servers.org.
  • Prepoznata je potreba za konstantnim praćenjem kvaliteta Interneta u Srbiji kroz uvođenje 10+ sistema za merenje kvaliteta Interneta testmyspeed.sox.rs.
  • Prepoznata je potreba za host-ovanjem lokalnih Linux repozitorijuma i napravljena najveća mirror Linux distribucija u ovom delu SEE regiona mirror1.sox.rs.
  • Prepoznata je potreba za praćenjem kvaliteta globalne vidljivosti SOX mreže iz sveta i uspostavljena saradnja s: ris.ripe.net/peerlist/all.shtml, www.routeviews.org/routeviews/collectors/, www.caida.org/projects/ark/statistics/monitor/beg-rs/map_rtts.html, a natprovajderi su testirani i menjani na osnovu kvaliteta, raspoloživosti i bezbednosti usluge i InSight analitike saobraćaja. HE, RETN, GTT, NTT, Arelion, Cogent, Zayo, ZET-NET, samo su neki od globalnih provajdera koji su izabrani upravo na osnovu InSight analitika.

Rezultat je vidljiv apsolutno svim korisnicima Interneta u Srbiji, jer saobraćaj umesto preko javnog (nebezbednog i nestabilnog) Interneta dolazi bezbednim i najkraćim mogućim putem od servera u zemlji i regionu do računara, laptopa, telefona, IoT uređaja, bez bespotrebnog kruženja po Evropi i svetu. Internet stranice se otvaraju munjevito, a otkazi pojedinačnih linkova i kablova prilikom grubih građevinskih radova u SEE regionu nemaju direktnog uticaja na korišćenje Internet usluga u Srbiji.

PCPress.rs Image
Trenutna raspodela brzine Interneta + Trend poboljšanja kvaliteta Interneta u Srbiji

InSight softver je bio tajni sastojak uspeha SOX-a u prethodnih 15 godina postojanja, koji je sada dostupan i drugima, a najbolja iskustva upravljanja SOX mrežom koja se prostire u četiri zemlje, devet gradova, 20 data centara ugrađena su u InSight softver i dostupna kroz upotrebu sva tri InSight programska modula.

insight.rs

Facebook komentari:

Leave a Reply

Your email address will not be published. Required fields are marked *