ผมเพิ่งจะ Implement CS-MARS ของ Cisco เสร็จไปหมาดๆ จำนวน 2 site เป็น Education และ Hospitality Account จึงได้วิธีหรือสูตรที่จะคิดจำนวนวัน ที่สามารถเก็บ Log file ได้มาแบ่งปันกันครับ Example สมมุติว่าเราใช้รุ่น MARS110R และ event โดยเฉลี่ยทุก 1 วินาทีประมาณ 100 event และ ขนาดของ event ใหญ่ 300 bytes
Day = Usable storage / (Event size x EPS x 86,400)
CS-MARS110R Total = 1,500 GB Available storage = 866GB >>> ประมาณว่าใช้งานได้เกินครึ่งมานิดเดียว ส่วนที่หายไปเนี่ยก็เป็นพวก OS, MARS Software (Protego Networks), Oracle database
Average Event size = 300 bytes EPS = 100 event/second, k = 86,000
Day = 866x10^9 / (300 x 100 x 86,000) = 335.65 วัน
CS-MARS110R Total = 1,500 GB Available storage = 866GB >>> ประมาณว่าใช้งานได้เกินครึ่งมานิดเดียว ส่วนที่หายไปเนี่ยก็เป็นพวก OS, MARS Software (Protego Networks), Oracle database
Average Event size = 300 bytes EPS = 100 event/second, k = 86,000
Day = 866x10^9 / (300 x 100 x 86,000) = 335.65 วัน
ดังนั้นวันที่เก็บได้ประมาณ 335 วัน ต้องทำการ archieve file ต่างๆ เหล่านี้ไปยัง backup server ผ่านทาง NFS protocol แต่จะเห็นกฎหมายให้เก็บแค่ 90 วัน ดังนั้น MARS ตัวนี้สามารถรองรับพรบ.คอมพิวเตอร์ได้อย่างสบายๆ
ผมได้ข้อคิดจาก MARS เผื่อคนที่คิดจะซื้อจะได้กลับมาดูก่อนว่า เหมาะสมกับโครงสร้างเครือข่ายของเราหรือเปล่า
1.คนที่กำลังจะซื้อ MARS ไปประดับบริษัท ควรจะมี Firewall ASA5500 Series ของ Cisco ถ้าให้ดีมี IPS Module เสียบไปด้วย จะทำ MARS วิเคราะห์ในรายละเอียดได้มาก เนื่องจาก Default Rule มักจะสร้างมาจากตัว ASA, IPS และเกิดเป็น Incident ต่างๆ ขึ้นมาบน Dashboard
2.MARS สามารถเก็บ RAW Message หรือ event ต่างๆ ของอุปกรณ์ที่ไม่ใช่ Cisco ก็ได้ เช่น Juniper Netscreen, Extreme, Checkpoint, Web Server ต่างๆ เป็นต้น ตลอดจน log ของ OS software ได้อีกด้วย แต่หากไม่มีอยู่ใน List ก็สามารถใช้ custom parser ในการ create patern ตาม syntax ของยี่ห้อนั้นๆ ได้เช่นเดียวกัน อันนี้ยาส์สสสสสกกกกกกก ..... เลยยยยย
3.คนที่คิดว่าจะเอา MARS ไปเก็บ log ของพวก Switch อย่างเดียว อยากจะบอกว่า คิดผิดแล้วครับ เพราะ switch มันไม่ค่อยผลิต log อะไรมากมาย นอกจาก up and down interface ครับ และ admin name ที่เข้ามาบริหารจัดการตัวอุปกรณ์ อาจจะผ่านทาง console, telnet หรือ ssh ครับ :)
4.เราสามารถ add topology ของ network ไปจนถึง เราเตอร์ของ ISP ได้เลย เพียงแค่บอก network ที่เราต้องการให้ MARS มัน update
5.ใครจะเอา netflow พ่นออกมาเก็บที่ MARS ตรงที่ MARS ควร Configure คลิ๊กแค่ Enable netflow เท่านั้น อย่างอื่นปล่อยมันไป มิฉะนั้น มันจะไปเก็บเป็น event (raw message) ไปด้วย
6.spanning tree ที่ switch จะต้อง Run เอาไว้ เพื่อที่จะทำหน้าที่ Layer 2 Discovery และ Mitigation นั่นเอง
7.Mitigation บน MARS ใน Layer2 สามารถกดปุ่ม push ได้เลย มันจะ write ไปผ่านทาง telnet, ssh ที่เราเปิดขึ้นมา และ snmp ที่เปิดเป็นแบบ rw หากเป็น Layer3 ต้อง manual CLI บนอุปกรณ์นั้นๆ
8.การ Add อุปกรณ์ NAC Appliance เข้าไป ผมไม่สามารถเห็นอุปกรณ์ NAC ใน topology ได้ แต่ดูจาก report มันเก็บ log มาเรียบร้อยแล้ว ก็งงๆ อยู่ว่าตกลงมันต้องเห็นหรือเปล่า ใครเคยทำแล้วช่วยตะโกนมาบอกผมหน่อยนะครับ ตกลงมันต้องเห็นใน topology หรือเปล่าครับ
ไว้แค่นี้ก่อน แล้วจะมาอัพเดทให้เรื่อยๆ ครับ :)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น