Novinky v řešení Flowmon

Transkript

1 Novinky v řešení Flowmon Flowmon Friday Pavel Minařík, CTO minarik@flowmon.com

2 Vizualizace a vizuální analýza

3 Potřebujeme vidět a vědět VISUAL ANALYTICS pro okamžitý vhled do dění na síti a zvýšení efektivity práce operátora/analytika

4 Flowmon Dashboard Centrální dashboard a reporty Kombinuje výstupy z jednotlivých Flowmon modulů Nabízí více dashboardů pro každého uživatele Spolupracuje s mobilní aplikací (viz dále) Více dashboardů per uživatel Widgety z Monitorovacího centra i ADS

5 Flowmon Mobile Dashboard Mobilní aplikace pro platformy Android a ios Dostupná přes standardní APP Store Zobrazuje Flowmon Dashboard přihlášeného uživatele Vyžaduje Flowmon 8.01 Mobilní aplikace URL, login, heslo

6 Flowmon Mobile Dashboard Mobilní aplikace pro platformy Android a ios Dostupná přes standardní APP Store Zobrazuje Flowmon Dashboard přihlášeného uživatele Vyžaduje Flowmon 8.01 Systémové zprávy Dashboard

7 Interaktivní vizualizace událostí Nová a rozšířená interaktivní vizualizace událostí Filtrování a vizualizace více událostí současně HTML/JavaScript bez nutnosti Adobe Flash

8 Události na mapě světa Odkud přicházejí útoky? (Kam útočí moje síť?) S jakými nestandardními destinacemi komunikuji?

9 Sledování aktivních zařízení Nový dashboard pro rychlou orientaci Grafická indikace výrobce zařízení logo

10 Monitorování na aplikační vrstvě Pro troubleshooting i bezpečnost

11 Analýza SMB protokolu SMB/Samba/CIFS sdílení souborů po síti nejrozšířenější protokol Proč analyzovat na aplikační vrstvě? Audit Přistupoval uživatel ke konkrétním souborům? Bez ohledu na platformu, aplikaci nebo uživatele Bezpečnost Jaké soubory vytvořila infikovaná stanice od okamžiku nákazy a kde jsou umístěny? Provoz Troubleshooting přístupu k síťovým zdrojům Monitorování využívání per sdílený prostředek

12 Analýza SMB protokolu Detekce výskytu a aktivit ransomware na síti Malware Locky, zaznamenáno i u našich zákazníků Filtr na název souboru Hlásit libovolný výskyt

13 Analýza SMB protokolu 1. Zkopírování souboru ze sdíleného úložiště na infikovanou stanici 2. Smazání souboru na sdíleném úložišti 3. Nahrání zašifrovaného souboru zpět na sdílené úložiště

14 Analýza SMB protokolu Sonda analyzuje a exportuje informace z L7 SMB1 typ operace SMB2 plná viditelnost SMB3 šifrování, není podporováno

15 Analýza DHCP provozu DHCP dynamické přidělování IP adresace základní síťová služba, nutná pro korektní fungování Proč analyzovat na aplikační vrstvě? Audit Kompletní log přidělování IP adres na síti Bez ohledu na typ DHCP serveru nebo klienta Bezpečnost Neautorizované DHCP servery Podvržené adresy a síťové konfigurace Provoz Troubleshooting a analýza výkonu DHCP serveru Analýza přidělování adres v případě DHCP relay

16 Analýza DHCP provozu Klient DHCP relay DHCP server DHCP request DHCP response IP a MAC DHCP serveru IP a MAC DHCP relay Chybí MAC klienta, agregováno, žádné L7

17 Analýza DHCP provozu Klient DHCP relay DHCP server DHCP request DHCP response DHCP request MAC klienta Název klienta Požadovaná IP DHCP response MAC klienta Přidělená IP Doba propůjčení Jednotlivé požadavky, plná L7 viditelnost

18 Analýza DHCP provozu

19 Analýza DNS provozu DNS překlad doménové jméno vs. IP adresa základní síťová služba, nutná pro korektní fungování Proč analyzovat na aplikační vrstvě? Audit Kompletní log transakcí DNS serveru Bez ohledu na typ DNS serveru nebo klienta Bezpečnost Stanice překládající závadné domény Využívání nestandardních DNS serverů Provoz Troubleshooting překladu název IP adresa Statistiky per typ dotazu, návratová hodnota,

20 Analýza DNS provozu Klient DNS server DNS query A record type kwqxumgrxdvynqj9.com DNS response NXDOMAIN L3/L4 L7

21 Analýza DNS provozu Klient DNS server DNS query A record type kwqxumgrxdvynqj9.com DNS response NXDOMAIN Detekce na základě známé C&C domény

22 Detekce NATu NAT = Network Address Translation překlad síťových adres za jednou IP adresou schovaných více zařízení Proč se NATy zabývat? Bezpečnost Připojování neautorizovaných zařízení do sítě Využívání sítě v rozporu s bezpečnostní politikou Ekonomika Přeprodej datové konektivity (ISP) Využívání sítě v rozporu s podmínkami služby k detekci využíváme informace z L3/L4 a rozšířené HTTP informace

23 Detekce NATu NAT Detective prodej a podpora ukončena Nahrazeno nativní funkcionalitou Sonda monitorování rozšířených L3/L4 informací Kolektor ukládání, analýza a reporting ADS automatická detekce NATů v síti

24 Detekce NATu NAT Detective prodej a podpora ukončena Nahrazeno nativní funkcionalitou Sonda monitorování rozšířených L3/L4 informací Kolektor ukládání, analýza a reporting ADS automatická detekce NATů v síti Využití L3/L4 indikátorů + informace o operačních systémech, odhad počtu IP adres za NATem

25 Behaviorální analýza a záznam provozu v plném rozsahu (packet capture)

26 Aktivita útočníka (port sken, útok na heslo)

27 Oběť útoku, následně vykazuje anomálie

28 Mapování cílů útoku útočníkem Útok na autentizaci SSH

29 Heslo prolomeno, malware instalován

30 Infikovaná stanice komunikuje s botnet C&C center

31 Identifikace botnetu s využitím Threat intelligence

32 Záchyt komunikace v plném rozsahu (PCAP)

33 Komunikace s botnet C&C center

34 Pokyn k exfiltraci dat přes ICMP

35 Pokyn ke zjištění serverů s RDP

36 Podezřelý ICMP provoz s payloadem

37 Opět PCAP k dispozici, co bylo odesláno?

38 /etc/passwd soubor s uživatelskými účty

39 Vyhledání Windows serverů s RDP Útok na službu RDP

40 Monitorování výkonu a odezvy aplikací Korelace mezi webem a databází

41 Za to já nemůžu, to je zase pomalá síť! správce aplikace loading, please wait Síť jede úplně v pohodě, ta aplikace má špatnou odezvu! správce sítě

42 Monitorování výkonu aplikace Uživatel Aplikační server Doba přenosu požadavku Doba přenosu odpovědi Doba odezvy aplikace Aplikace Síť

43 Monitorování výkonu databáze Uživatel Databázový Aplikační server Doba přenosu SQL dotazu Doba přenosu odpovědi Doba odezvy databázového serveru Databáze Síť

44 mirror Monitorování výkonu shrnutí Sledování doby odezvy a přenosu dat na síti uživatel aplikace aplikační server databázový server Pro všechny uživatele a transakce v reálném čase Uživatelé Webové / aplikační servery Databázové Servery Flowmon Sonda

45 Flowmon APM Unikátní bez-agentní řešení Žádný software na aplikačních serverech Žádné změny konfigurace nebo topologie sítě Zcela pasivní a bez vlivu na monitorované aplikace Nasazení a konfigurace v řádu minut Hlavní výstupy Odezva aplikace Doba přenosu dat Výskyt chyb

46 Flowmon APM 3.0 Podpora aplikačních protokolů Webové protokoly Databázové protokoly HTTP / 1.1 HTTP / 2.0 SSL dekrypce Korelace transakcí uživatel aplikace databáze

47 Korelace transakcí Transakce uživatel - aplikace Všechny relevantní transakce aplikační server - databáze Korelace transakcí uživatel aplikace databáze

48 Ochrana před útoky typu DDoS Aktivní mitigace útoků

49 Ochrana před útoky DDoS Podnikové sítě In-line řešení na perimetru Do rychlosti linky Páteřní sítě Detekce flow data Mitigace routery

50 Flowmon DDoS Defender 3.0 Rychlá detekce Profilování provozu a baselining v intervalu 30s Okamžité vyhodnocení útoku a spuštění mitigace BGP Flowspec Automatické stanovení signatury útoku (IP, porty) Mitigace s využitím routerů (BGP Flowspec, RFC 5575)

51 Mitigace pomocí BGP Flowspec Detekce DDoS útoku Řízení mitigace Sběr flow statistik Aktualizace baseline Access Flowmon with DDoS Defender Service Provider Core Povelování routerů pomocí BGP FlowSpec Dynamická signatura: Dst IP: /32 Dst Port: 135 Protocol IP: 17 (UDP) Drop DDoS Attack Edge Protected Segment 1 (IP: /16) Datové centrum, Lokální ISP, atd. Protected Segment 2 Drop Dst IP: /32 Dst Port: 135 Protocol IP: 17 (UDP)

52 Flowmon DDoS Defender 3.0 živá ukázka detekce a mitigace

53 Qtázky? Driving Network Visibility Pavel Minařík Flowmon Networks a.s. U Vodárny 2965/ Brno, Czech Republic