Using ntopng to Improve Corporate Security

Posted · Add Comment

Today we report how ntopng has been used by Alabus AG to improve the corporate security (German version down this page).

Enjoy !

PS. ntop users are very welcome to contact us reporting how they use ntop tools.

ntop is used as a basis for analyzing the entire network traffic and it generates a very large number of daily alerts, which are caused by known and unknown anomalies and then it historizes all network flow data for possible later forensics.
As an SME, we do not have the necessary resources to process all these alerts manually on a 24/7 basis.

Alerts over 15h

However, the flexibility of ntop enabled us to create our own add-in with our software platform. All flow and host alerts from level warning onwards are read out immediately across all interfaces via the ntop API, pre-filtered and aggregated according to our own rules.

The information is then enriched with the help of AbuseIP DB and public blocklists. If a detected IP address is found both in AbuseIPDB and in another blocklist, it is automatically added to our own blocklist and as a result we do have a near-time, not supervised active response system.

Automatically consolidated block list over 15h

These simple additions aggregate the ntop alert data by 98% and lead to a few residual alerts that can be mastered by SMEs.

The decision to switch to the open-source solution ntop and to add a little of our own effort has given us much greater network transparency and traceability and, finally reduced our network monitoring costs by factors.

alabus is a Swiss technology company that offers standard solutions for the insurance market (software and operations) in Switzerland. As a technology supplier and operator of standard solutions in a regulated market, certifications such as ISO 27001 are a basis for ensuring risk management in a traceable and transparent manner.

 


 

ntop wird zur Analyse des gesamten Netzwerk-Traffics als Basis verwendet, generiert daraus täglich eine sehr grosse Anzahl von Alerts, welche durch bekannte Anomalien verursacht werden und historisiert anschliessend sämtliche Netzwerk-Flow-Daten für eine allfällige spätere Forensik.

Für die manuelle 7/24 Abarbeitung all dieser Alerts stehen uns als KMU jedoch die notwendigen Ressourcen nicht zur Verfügung. Die schiere Menge an Alert-Meldungen ist in allen gängigen regelbasierten Überwachungssystemen häufig ein Human-Ressourcenissue.

Die Flexibilität von ntop ermöglichte es uns jedoch, ein eigenes Add-On mit unserer Software-Plattform zu erstellen. Dabei werden alle Flow- und Host-Alerts ab Level Warning via ntop API über sämtliche Interfaces zeitnah ausgelesen und nach eigenen Regeln vorgefiltert und aggregiert.
Anschliessend findet eine Anreicherung der Informationen mit Hilfe von AbuseIPDB sowie öffentlichen Blocklists statt. Wird eine entdeckte IP-Adresse sowohl in AbuseIPDB als auch in einer weiteren Blockliste gefunden, so wird diese vollautomatisch auf die eigene Blocklist gesetzt und es entsteht ein Near Time Active Response System.
Diese einfachen Ergänzungen aggregieren die ntop Alert-Daten um 98% und führen zu einer Anzahl Rest-Alerts, die auch als KMU zu meistern sind.

Die Entscheidung, auf die OpenSource Lösung ntop zu wechseln und ein wenig Eigenleistung beizufügen, hat uns eine wesentlich höhere Netzwerk-Transparenz und Nachvollziehbarkeit gebracht und last but not least konnten unsere Netzwerk-Überwachungs-Kosten stark reduziert werden.

 

alabus ist ein Schweizer Technologieunternehmen, welches Standardlösungen für den Versicherungsmarkt (Software und Betrieb) in der Schweiz anbietet.

Als Technologielieferant und Betreiber von Standard Lösungen in einem regulierten Markt, sind entsprechende Zertifizierungen wie ISO 27001 eine Basis, um Risiko-Management nachvollziehbar und transparent sicherzustellen.

Die damit verbundenen Aufgaben wurden in der Vergangenheit im Bereich Netzwerk und Security mit kommerziellen Produkten adressiert, erfüllten aber nie die eigenen Qualitätsansprüche, welche sich im Wesentlichen auf Anpassbarkeit und Flexibilität beziehen.

Auf der Suche nach einer Weiterentwicklung in der Unterstützung der Netzwerk Überwachung und Sicherheit stiessen wir auf die Open-Source Lösung ntop, welche durch Luca Deri, einem italienischen Wissenschafter an der Universität Pisa, 1998 initiiert wurde.

Der Einsatz von ntop, sowie die Möglichkeit, unsere individuellen Wünsche einfach und effizient selber erweitern zu können, führte dazu, dass sämtliche im Einsatz befindlichen kommerziellen Produkte ersetzt werden konnten, und wir nun in der Lage sind, unseren Kunden nachvollziehbar, transparent und automatisiert die Sicherheit im Netz zu garantieren.