Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Transkript

1 Novinky ve FlowMon 6.x/FlowMon ADS 6.x FlowMon je kompletní řešení pro monitorování a bezpečnost počítačových sítí, které je založeno na technologii sledování IP toků (NetFlow/IPFIX/sFlow) a analýze chování sítě (NBA Network Behavior Analysis). Řešení poskytuje detailní přehled o dění v sítí a díky tomu umožňuje: zvýšení bezpečnosti sítě, sledování aktivit uživatelů i služeb, monitorování síťového provozu v reálném čase, dlouhodobé uložení statistik o síťovém provozu, detekci vnitřních i vnějších útoků, efektivní dohledání a řešení incidentů v síti, dohlížení nad využitím Internetu, a mnohé další. FlowMon verze 6.x včetně systému FlowMon ADS verze 6.x přináší řadu nových změn a vlastností do celého řešení s cílem poskytnout ještě detailnější informace a reporty o síťovém provozu, zefektivnit práci uživatelům, umožnit čelit novým hrozbám a reagovat na nové trendy. Monitorování HTTP provozu Řešení FlowMon od verze 6.0 umožňuje detailní monitoring HTTP provozu, díky čemuž mohou uživatelé snadno získat přehled např. o nejnavštěvovanějších webových serverech, největších surfařích či jednotlivých HTTP komunikacích a to včetně informace o hostname a URL. Monitorování HTTP provozu v řešení FlowMon je realizováno následujícím způsobem: FlowMon sondy detekují a analyzují HTTP provoz, extrahují z něj položky jako jsou URL či hostname a exportují tyto informace prostřednictvím IPFIX protokolu na kolektor (či vestavěný kolektor) k uložení a zpracování. FlowMon kolektor podporuje příjem dat včetně HTTP položek prostřednictvím IPFIX protokolu a umožňuje nad nimi zobrazovat statistiky, vytvářet reporty a provádět analýzy. 1/6

2 Automatická detekce nových zdrojů dat FlowMon kolektory verze 6.0 přináší automatickou detekci zdrojů dat (NetFlow/IPFIX atd.), která přináší nejenom větší přehled o provozu v jednotlivých částech počítačové sítě, ale také zjednodušuje konfiguraci a správu kolektoru. Tuto novou funkcionalitu uvítají především administrátoři rozsáhlejších sítí, kteří nově nemusí manuálně přidávat na kolektor každý nový zdroj dat a pouze na daném zdroji dat nastaví export statistik na kolektor. Kolektor automaticky detekuje nové zdroje dat, prostřednictvím SNMP vyčítá informace o daném zdroji (hostname, počet portů a název, stav a MAC adresu jednotlivých portů) a automaticky vytváří: profil členěný dle zdrojů dat, který tak zobrazuje kompletní monitorovaný provoz včetně informace, z jakého zdroje pochází (tzn. jakým místem sítě prochází), profil pro každý zdroj dat členěný dle portů zdroje, díky čemuž je možné snadno zjistit např. průběh množství provozu procházející prostřednictvím jednotlivých portů přepínače/směrovače. 2/6

3 Rozpoznávání aplikací podpora NBAR2 FlowMon kolektory řady 6 umožňují monitorování a detekci aplikací nejen na úrovni IP adresa a port, ale také prostřednictvím podpory Cisco NBAR2 technologie. Tato nová technologie definuje více než 1000 aplikací, které jsou detekovány prostřednictvím L7 analýzy provozu. Síťové prvky s podporou NBAR2 (moderní aktivní prvky Cisco ASR routery, Catalyst 3850) pak informaci o detekované aplikaci exportují v NetFlow datech a v návaznosti na to je možné tyto informace využívat při analýze, reportování a alertování na kolektoru. Detekce aplikací a podpora NBAR2 také na FlowMon sondách bude uvolněna v Q4/2013. Geolokace Řešení FlowMon nově také u komunikací ukládaná ke každé IP adrese informaci o jejím umístění (na základě vestavěné GEO databáze). Díky tomu je možné analyzovat a filtrovat provoz na základě toho, z/do jakého místa komunikace probíhala. Vylepšené filtry FlowMon sondy a kolektory podporují monitorování stále více položek (jako např. NEL, NSEL, NBAR2, HTPP, GEO, AS, MAC ), přičemž jednotlivé hodnoty je možné si uživatelsky pojmenovat. Proto byl do řešení přidán našeptávač klíčových slov a pojmenovaných hodnot při definici filtru. 3/6

4 FlowMon ADS 6.x FlowMon ADS je moderní systém detekce anomálií a nežádoucího chování na síti, jehož hlavním cílem je odhalení provozních problémů a zvýšení vnější i vnitřní bezpečnosti datové sítě. Systém FlowMon ADS je volitelnou součástí řešení FlowMon, která je dostupná formou softwarového modul. FlowMon ADS verze 6.x přináší uživatelům řadu novinek a vlastností včetně sjednoceného rozhraní s celým řešením FlowMon. Nový přehledný dashboard, grafická reprezentace událostí FlowMon ADS přináší nový dashboard zobrazující oklasifikovaný provoz ve formě průběhového grafu, ve kterém jsou barevně odlišeny detekované události seskupené dle priority. Uživatelé tak mohou okamžitě zjistit, jaká část provozu byla vyhodnocena jako zcela legitimní a naopak jaká část provozu je potenciálně nežádoucí či riziková a to včetně její závažnosti. Výpisy událostí obsahují grafickou reprezentaci jejich priorit, jež jsou signalizovány ikonami: C = CRITICAL H = HIGH M = MEDIUM L = LOW I = INFORMATION 4/6

5 Více instancí detekčních metod FlowMon ADS 6.0 umožňuje vytvořit více instancí detekčních metod. Díky tomu je možné detailně nastavit způsob analýzy flow statistik a citlivost v různých částech sítě. Například jiným způsobem reagovat na slovníkový útok v LAN a na perimetru. Vylepšený konfigurační průvodce Ve FlowMon ADS 6.0 byl přepracován a rozšířen konfigurační průvodce, jenž výrazně zjednodušuje a zrychluje konfiguraci systému. Uživatel potřebuje znát pouze základní informace o síti, IP adresaci a význačných serverech. Zadání těchto informací průvodce postupně vyžaduje a na základě nich provádí nastavení FlowMon ADS. Díky tomu konfigurace systému zabere pouze pár minut. Přepracovaná detekce DDoS útoků, detekce obecných anomálií FlowMon ADS 6.0 přináší přepracovanou metodu pro detekci DDoS (Distributed Denial of Service) útoků v síti. Nová metoda DOS používá tradiční detekci volumetrického útoků a detekuje stanice, které jsou do DDoS útoku zapojeny. 5/6

6 Nová metoda ANOMALY slouží pro detekci obecných anomálií v datovém provozu. Sleduje vybrané parametry a na základě historie predikuje jejich vývoj do budoucna. Pokud se skutečný stav od predikované liší, tak je na tuto skutečnost uživatel upozorněn. Přepracovaná metoda BLACKLIST Metoda BLACKLIST slouží pro detekci komunikací s IP adresou na blacklistu, který obsahuje seznam známých adres provádějících nežádoucí aktivity. Díky tomu je možné detekovat řadu různých útoků zdrojů malware. Botnet C&C, odesílání spamu a další. Od řady 6.x je zavedeno centrální řízení a distribuce blacklistů do FlowMon ADS. Dochází k syntéze důvěryhodných volně dostupných blacklistů, které jsou distribuovány prostřednictvím portálu services.invea.cz. Integrace s helpdesky, export informací FlowMon ADS 6.0 podporu napojení na ticketovací systému prostřednictvím ových zpráv, jež obsahují nový formát vhodný pro efektivní incident handling. Systém také podporuje řadu dalších možností pro export informací tabulky a grafy jako obrázky, události včetně detailů a výpisu toků jako CSV, detaily událostí jako TXT a další. Kontakt Pro více informací ohledně řešení FlowMon 6.x či možnostech jeho otestování kontaktujte prosím svého systémového integrátora či přímo nás (info@invea.cz, ). 6/6