Presentación de Daniel Concepción Pérez, Director de Sistemas Globales de Produban, empresa propiedad del Grupo Santander, e Iñaki Murcia García, Director Regional de Nextel S.A.-Madrid durante el evento Securmática 2012.
2. Índice
• Sobre Nextel
• Open Source
• Nuestro Open Source: Eneo y redBorder
• Proyecto IPS para el Grupo Santander
• Los retos
• Las respuestas
• Y ahora qué?
• Nuevas fases
• Liberación del proyecto
•Nuevos Proyectos
6. ¿Por qué código abierto para una solución
de Seguridad “Enterprise Class”?
Sin posiciones radicales, encontramos muchos
argumentos, entre otros:
•Libertad
• Adaptabilidad
• Por que aquí podemos hacer grandes cosas
• Por que funciona y cumple las expectativas
• Por liderazgo, comunidad, independencia…
• Seguridad (si!... Seguridad!!)
• Y… claro que si!!! Por la pasta!!!
7. Proyecto GSNET IPS: Los retos
Al menos rendimientos de 3 Gb/s
Gestión de parque extenso y jerarquizado (>50 dispositivos en
primera fase)
Gestión unificada: sistema, reglas y políticas
Appliances de alto rendimiento con cualquier clase de interfaces
en cobre y fibra (hasta 10G) y Bypass integrado
Fiabilidad, flexibilidad y calidad en la inspección.
Reducción dramática de costes vs soluciones tradicionales
8.
9. Snort, un buen principio
Es el IPS con mayor implantación en el mundo (400.000 usuarios
registrados)
Es el standard “de facto” de detección y prevención de intrusión
Fuertemente implementado en Gobierno e Instituciones militares
de los Estados Unidos
El poder y el alcance de Snort: La Comunidad
Sin embargo, no es un producto adaptado a las necesidades
“enterprise” como lo haría una solución convencional.
10.
11. ¿Qué necesita snort para poder ser
desplegado en igualdad con las
soluciones enterprise tradicionales?
Consola de Un
Mayor
Gestión Hardware
rendimiento
Integrada adecuado
12. Gestión
Para la gestión centralizada de redBorder IPS, hemos metido en la misma consola
una gestión completa multidominio, jerquizada, multirol y auditable. Hemos
desarrollado, siguiendo el “look&Feel” de Snorby un gestor de reglas y los hemos
integrado con el resto de los elementos. Ahora se comporta y parece un único
producto. Magia? Open Source!
Chef
• Gestor de configuraciones
Snorby
• Monitorización, Logs y alertas
Gestor de reglas
SNMP
• Simple Network Management Protocol
13.
14. Rendimiento
Seguramente será nuestra mayor aportación a Snort. Hemos multiplicado por 4 la
velocidad del IPS y las nuevas versiones seguirán aportando más prestaciones!
Forwarding basado en pf_ring
• Colaboración internacional con Luca Deri
Optimización Multicore
• Balanceo de cores y segmentos
• Aprovechamiento del HW
Colaboración internacional para la mejora
de DAQ
• Snort Data AcQuisition library for packet I/O
15.
16. Rendimiento
Seguramente será nuestra mayor aportación a Snort. Hemos multiplicado por 4 la
velocidad del IPS y las nuevas versiones seguirán aportando más prestaciones!
Forwarding basado en pf_ring
• Colaboración internacional con Luca Deri
Optimización Multicore
• Balanceo de cores y segmentos
• Aprovechamiento del HW
Colaboración internacional para la mejora
de DAQ
• Snort Data AcQuisition library for packet I/O
17.
18. Appliance
Hemos seleccionado y customizado un appliance para el proyecto. En la primera
versión se trata de un dispositivo de 1U, con 3 modulos frontales de red (hasta 6
segmentos, todos FailPass), Procesador Intel XEON E3, 32 Gb RAM
4x 1G Intel 82580 Cobre
4x 1G Intel 82580 Fibra
2x 10G Intel 82599
Branding redBorder + Cliente
Software preinstalado
19.
20. Firmas
Sin firmas un IPS no es nada. El proyecto incluye suscripción a VRT
Idénticas firmas y de forma simultánea a las del
producto comercial SourceFire
El vulnerability Research Team trabaja siguiendo el sol
con el vasto apoyo y entusiasmo de la comunidad Open
Source de Snort y de las cientos de miles de sondas
desplegadas
EL VRT es el equipo con más capacidad en esta industria
y trabajan en él algunos de los más renombrados
profesionales de la seguridad.
Podemos usar otras fuentes, de forma concurrente o no
como Emerging Threats, etc…
Y, obviamente, estos es Open Source y por tanto
tenemos la libertad de diseñar firmas específicas para
situaciones específicas…
21. ¿Qué hay para las siguientes
versiones?
NBA Soporte
Inventario (Network para Otras
Rendimiento
automático Behavior tráfico ideas…
Analysis) asimétrico
Nuevas … Aceleración
mejoras del
Optimizaciones por
HW (XEON E5)
SW Hardware…
25. … bien… y ahora, qué?
Ahora, con el imprescindible apoyo de nuestros
amigos de Produban,
liberamos el proyecto!
• Para devolverle a la comunidad algo a cambio de
todo lo que nos ha dado.
• Para que lo puedas implementar, si quieres, en
tu empresa o institución
• Porque somos muy majos…
• y, claro, para que el proyecto esté vivo… muy
vivo.