splunklive! milan 2015 - unibo
TRANSCRIPT
Copyright © 2014 Splunk Inc.
Alma Mater Studiorum Università di Bologna
2
Riccardo Dodi
Francesco Sinopoli
3
Chi siamo
Alma Mater Studiorum
Università di Bologna
la più antica università del mondo occidentale
Area Sistemi Informativi e Applicazioni – Cesia
Settore Reti e Sicurezza
4
Di cosa ci occupiamo L’ Area Sistemi Informativi e Applicazioni si occupa di progettare, realizzare,
gestire e presidiare i principali servizi informatici dell’Ateneo:
• Infrastruttura di rete dati
• Server Farm di Ateneo
• Sistemi di Identity
• Servizi applicativi
• Helpdesk e assistenza
• Presidio della sicurezza informatica
• Telefonia
5
Di cosa si occupa il settore
Progettazione infrastruttura rete dati di Ateneo, sia cablata che wireless
Configurazione e gestione dell'infrastruttura di rete e della sicurezza informatica
Manutenzione dell’infrastruttura
Gestione degli incidenti informatici
6
Alcuni numeri
• 84.200 Studenti
• 5.900 persone (docenti, tecnici-amministrativi)
• Struttura Multicampus con sedi distribuite pricipalmente su 5 città del territorio emiliano-romagnolo
• 600 Apparati di rete (diversi vendor)
• 900 Apparati wireless in infrastruttura centralizzata
• 10.000 computer joinati e circa 100.000 utenti attivi
7
Esigenze
• Trouble shooting
– Ambito sistemistico
• Rispetto delle normative vigenti
– Controllo degli accessi
• Amministratori
•Utenti
8
Requisiti
Architettura ridondata
Livello di prestazioni elevato
Scalabilità
Flessibilità
Profilazione dell’utente
9
Architettura (Splunk v.6)
Syslog
Heavy Forwarder
Indexer
Search Head
Cluster Manager
Load Balancer
Legenda
41 x
10
Casi d’uso
Monitoraggio attività porte degli Switch
Monitoraggio Assegnamento indirizzi dinamici (DHCP)
Attività di individuazione di incidenti informatici
11
Monitoraggio attività porte degli Switch
Consultazione log su ogni apparato
# show logging
$ grep …..
12
Monitoraggio attività porte degli Switch (2)
Dashboard che mostra le attivà delle porte per una sottorete
13
Monitoraggio DHCP
Centinaia di VM richiedono un IP
<190>CP_FireWall: 19Feb2015 19:46:58 10.192.1.248 > default_device_message: <30>dhcpd: DHCPINFORM from 10.201.230.124 via bond40.3801(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network;
<190>CP_FireWall: 19Feb2015 19:46:58 10.192.1.248 > default_device_message: <30>dhcpd: DHCPREQUEST for 10.201.188.208 from 00:50:56:bf:41:48 (ECONOMIALAB-15) via bond40.3801(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network;
<190>CP_FireWall: 19Feb2015 19:46:58 10.192.1.248 > default_device_message: <30>dhcpd: DHCPACK to 10.205.227.225 (00:50:56:a6:73:02) via bond40.3805(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network;
<190>CP_FireWall: 19Feb2015 19:46:57 10.192.1.248 > default_device_message: <30>dhcpd: DHCPINFORM from 10.205.253.243 via bond40.3805(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network;
<190>CP_FireWall: 19Feb2015 19:46:56 10.192.1.248 > default_device_message: <30>dhcpd: DHCPREQUEST for 10.201.191.230 from 00:50:56:bf:3b:c6 (STR51000-VIEW70) via bond40.3801(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network;
<190>CP_FireWall: 19Feb2015 19:46:56 10.192.1.248 > default_device_message: <30>dhcpd: DHCPINFORM from 10.205.253.247 via bond40.3805(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network;
<190>CP_FireWall: 19Feb2015 19:46:55 10.192.1.248 > default_device_message: <30>dhcpd: DHCPINFORM from 10.205.239.202 via bond40.3805(+); facility: system daemons; syslog_severity: Informational; product: Syslog; product_family: Network;
14
Monitoraggio DHCP (2) Diagramma che rappresenta il processo di assegnazione dinamica degli indirizzi IP
DON'T PANIC!
15
Monitoraggio DHCP (3)
Evidenti anomalie
OK, PANIC!
16
Incidente informatico
• Individuazione incidente informatico
Time src(nat) srcport dst dstport
23-03-15 10:15:26 137.204.256.100 5555 213.256.100.123 8080
Log Firewall Log Dhcp Server Log Radius Server
Durata ~1 ora
User Name IP privato Mac Address
17
Incidente informatico (2)
Ricerca salvata con parametri 2 m | savedsearch who_is time= srcip= srcport= dstip= dstport=
2 minuti
18
Who_is index=ias [search $d$ $t$ | convert timeformat=%H:%M:%S mktime(time) AS reftime | eval earliest=reftime-21600 | eval latest=reftime+21600 | return earliest latest] granted [search index=fw [search $d$ $t$ | convert timeformat=%H:%M:%S mktime(time) AS reftime | eval earliest=reftime-(60*$timeoffset$) | eval latest=reftime+(60*$timeoffset$) | return earliest latest] dhcp_msg="ACK" [search index=fw [search $d$ $t$ | convert timeformat=%H:%M:%S mktime(time) AS reftime | eval earliest=reftime-180 | eval latest=reftime+180 | return earliest latest] (tran_ip=$src$ AND tran_port=$src_p$) OR (tran_sip=$src$ AND tran_sport=$src_p$) dst=$dst$ dst_port=$dst_p$| rename src AS search] | table mac | dedup mac | stats count(mac) AS n_MAC, values(mac) AS mac | eval MAC=CASE(n_MAC=="0","Warning: Ip non assegnato",n_MAC=="1",mac,n_MAC>"1","Warning: Più mac associati all'ip") | rex field=MAC mode=sed "s/\://1" | rex field=MAC mode=sed "s/\://2" | rex field=MAC mode=sed "s/\://3" | rex field=MAC mode=sed "s/:/./g"| rename MAC AS search ] | rex field=Message "[uU]ser (?<UserID>.*) was " | table UserID,Calling_Station_Identifier,_time | rename Calling_Station_Identifier as Mac | sort - _time
19
Conclusione
Utilizzo anche in altri settori
Portale
Sviluppo
Identity
Sistemi
Grazie per l’attenzione Domande?