Co vše přináší viditelnost do počítačové sítě? Flowmon Friday 27.5.2016 Petr Špringl, Product Director springl@flowmon.com
Čím se zabýváme? Viditelnost do síťového provozu (Network Visibility) Na základě detailní analýzy síťového provozu
Analýza síťového provozu Různé technologie a přístupy: SNMP (monitoring) pouze na úrovni základních čítačů, chybí detailní informace Flow monitoring = monitorování datových toků detailní přehled o dění v síti Paketová analýza velmi detailní, ale časově velmi náročná, občas potřebná
Viditelnost do síťového provozu Proč? K čemu to je? Není možné efektivně spravovat a zabezpečit něco, o čem nemám přehled. Do čeho nevidím.
Viditelnost do síťového provozu Network Visibility Správa a provoz (IT Operations) Bezpečnost (Security) Detailní přehled o síti i aplikacích Efektivní řešení problémů Odhalení špatných konfigurací Plánování kapacit a optimalizace Přehled o výkonu sítě i aplikací Předcházení incidentům jako jsou zahlcení či výpadky Zvýšení bezpečnosti Odhalení vnitřních a vnějších útoků Doplnění bezpečnostních nástrojů na bázi signatur (IDS/IPS, antivir) Detekce anomálií a podezřelého chování
Viditelnost do síťového provozu Network Visibility Správa a provoz (IT Operations) Bezpečnost (Security) Network Performance Monitoring and Diagnostics Application Performance Monitoring Network Behavior Analysis NPMD APM NBA DDoS Detection & Mitigation Monitorování výkonu sítě
Monitorování výkonu sítě NPMD
NPMD Nástroje určené pro síťové administrátory Poskytují informace o výkonu sítě a její využití Umožňují určení příčiny problémů v síti Ukazují na možnosti optimalizace sítě Gartner - MQ NPMD, 2016
NPMD Flowmon: Flow + L7 pokryje 95% problémů
NPMD ukázka Přehled o dění v síti
NPMD ukázka Detailnější informace o provozu daných stanic Analýza až na úroveň jednotlivých komunikací Stanice s největším objemem odeslaných dat
Viditelnost do síťového provozu Network Visibility Správa a provoz (IT Operations) Bezpečnost (Security) Network Performance Monitoring and Diagnostics NPMD Application Performance Monitoring APM Network Behavior Analysis NBA DDoS Detection & Mitigation Monitorování výkonu sítě Monitorování výkonu aplikací
Monitorování výkonu aplikací APM
APM Monitorování výkonu a dostupnosti aplikací Je aplikace dostatečně rychlá? Jsou zákazníci spokojeni s aplikací? Neodchází pryč? Musí zaměstnanci dlouho čekat na aplikaci? Kde je příčina zpomalení aplikace? Jaký uživatel má problém? Kdy? S jakou částí aplikace? Vhodné pro Jakoukoliv společnost, která používá aplikace, se kterou pracují zákazníci nebo zaměstnanci Administrátory, které zajímá, jak se aplikace chová jejich uživatelům
APM Výzvy a přínosy Nedostupnost a špatná odezva aplikací znamená finanční ztráty Zákazníci odcházejí, sdílí špatné zkušenosti Zaměstnanci nepracují efektivně Měření uživatelské zkušenosti a spokojenosti všech uživatelů Rozlišení mezi zpožděním na síti, aplikací, či databází Monitorování a korelace transakcí Nalezení problému a jeho opravení dříve, než postihnou uživatele Gartner s industry surveys estimate the cost of downtime to $5,600/min.
APM ukázka Centrální pohled na výkon aplikací
APM ukázka Metriky Hodnoty Počet transakcí 5 275 217 Celkový objem dat 62,03 GB Průměrná doba odezvy 1,116 s Medián doby odezvy 0,043 s 95% percentil 7,667 s Rozdíl mezi průměrnou dobou odezvy a mediánem znamená výskyt problémových transakcí 95% percentil znamená, že 5% transakcí bylo vyřízeno za více než 7,6 sekund.
APM ukázka Seznam všech uživatelských transakcí včetně URL, user agent, naměřených metrik a dalších informací
APM ukázka Seznam SQL transakcí včetně jednotlivých SQL dotazů a naměřených výkonnostních metrik
Viditelnost do síťového provozu Network Visibility Správa a provoz (IT Operations) Bezpečnost (Security) Network Performance Monitoring and Diagnostics Application Performance Monitoring Network Behavior Analysis NPMD APM NBA Analýza chování sítě DDoS Detection & Mitigation
Detekce anomálií a analýza chování sítě (NBA)
Bezpečnostní nástroje Viditelnost do sítě & bezpečnost Bezpečnost na perimetru Bezpečnost Koncových stanic
NBA doporučení Gartner Pokud máte firewall a IDS/IPS, zvažte jako další krok implementaci NBA. Schopnost detekce a reakce je důležitější než blokování a prevence. Neil MacDonald VP Distinguished Analyst Gartner Security & Risk Management Summit Monitoring a analýza by měla být základem nové generace bezpečnostních platforem.
NBA Pokrývá bezpečnostní mezeru mezi koncovými stanicemi a perimetrem Automaticky identifikuje hrozby, útoky, incidenty a konfigurační problémy Doplňuje tradiční nástroje na bázi signatur Proaktivně upozorňuje na možné zdroje a příčiny problémů Detekuje nežádoucí aktivity uživatelů a zneužívání datové sítě Analýzou chování lze odhalit i statisticky nevýznamné anomálie v provozu na síti
NBA NBA Principy detekce Strojové učení Adaptivní baselining Heuristiky Znalost sítě Reputační databáze
NBA ukázka Přehled detekovaných události
NBA ukázka Přehled dle priorit i agregované zobrazení událostí
NBA ukázka Podrobnosti k událostem až na úroveň jednotlivých komunikací
Viditelnost do síťového provozu Network Visibility Správa a provoz (IT Operations) Bezpečnost (Security) Network Performance Monitoring and Diagnostics Application Performance Monitoring Network Behavior Analysis NPMD APM NBA Analýza chování sítě DDoS Detection & Mitigation Ochrana před DDoS útoky
Ochrana před DDoS útoky
Dopady DDoS útoků Zahlcení linky Nedostupnost síťových služeb Finanční ztráty Poškození reputace Nástroj konkurenčního boje DDoS Attack as a service
Proč detekovat DDoS flow technologií? Rychlá a efektivní detekce volumetrických útoků Okamžité získání detailní charakteristiky útoku pro jeho efektivní zastavení či přesměrování Vhodné primárně pro ISP/DC a velké organizace Využití stávající infrastruktury (routerů, switchů s podporou IPFIX/NetFlow/sFlow) Zajímavý poměr cena / výkon Efektivní eliminace DDoS útoku a předcházení finančním ztrátám a poškození dobrého jména
DDoS ukázka nasazení Detekce DDoS útoku Spuštění mitigace Přesměrování provozu pomocí BGP injekce Flowmon s DDoS Defender Scrubbing Center Nastavení bezp. politiky včetně baseline pomocí Vision REST API Sběr flow statistik Tvorba baseline Provoz s útokem Čistý provoz Service Provider Core Chráněný segment 1 Datové centrum, Lokální ISP, atd. Edge Chráněný segment 2 Access Out-of-band DDoS mitigace
DDoS ukázka nasazení Detekce DDoS útoku Spuštění mitigace Přesměrování provozu pomocí BGP injekce Flowmon s DDoS Defender Scrubbing Center Nastavení bezp. politiky včetně baseline pomocí Vision REST API Mitigace DDoS útoku Sběr flow statistik Tvorba baseline Provoz s útokem Čistý provoz Service Provider Core Chráněný segment 1 Datové centrum, Lokální ISP, atd. Edge Chráněný segment 2 Access Out-of-band DDoS mitigace
Viditelnost do síťového provozu Network Visibility Správa a provoz (IT Operations) Bezpečnost (Security) Network Performance Monitoring and Diagnostics Application Performance Monitoring Network Behavior Analysis NPMD APM NBA DDoS Detection & Mitigation Monitorování výkonu sítě Monitorování výkonu aplikace Analýza chování sítě Ochrana před DDoS útoky
Řešení Flowmon
Flowmon architektura Monitorování síťového provozu Flowmon sondy samostatné pasivní zdroje statistik ze sítě Sběr - statistik NetFlow o / IPFIX data provozu Flowmon kolektor úložiště, vizualizace a vyhodnocení síťových statistik Flowmon moduly Vizualizace a detekce anomálií detekce anomálií, záznam provozu, monitorování výkonu aplikací
Z pohledu uživatele NPMD Monitorování provozu v síti (NetFlow/IPFIX) Kompletní viditelnost do dění v síti Real-time a historická data pro LAN & WAN & komunikaci do Internetu Optimalizace správy a provozu sítě Efektivní troubleshooting Záznam provozu v plném rozsahu (packet capture) Na vyžádání při řešení problémů a incidentů Distribuovaná architektura Podpora sítí 1G/10G/40G/100G
Z pohledu uživatele APM Monitorování výkonu aplikací Měření výkonu aplikací z pohledu uživatele Na základě zachytávání síťového provozu a jeho následné analýze (vyžaduje Flowmon sondy) Bez-agentní řešení monitorující doby odezvy aplikace Rozlišení zpoždění aplikace/sítě, sledování SLA Určeno pro HTTP/HTTPS aplikace, SQL/ORACLE databáze
Z pohledu uživatele Security Bezpečnost datové sítě (NBA, NBAD) Jediný způsob, jak detekovat pokročilé hrozby Založeno na behaviorální analýze Detekce pokročilého malware, zero-day útoků, podezřelých přenosů dat, změn chování a dalších incidentů Ochrana před DDoS útoky Detekce volumetrických útoků Aktivní řízení směrování provozu a mitigace
Viditelnost do provozu na síti má smysl nejen v běžné operativě, ale také jako proaktivní bezpečnostní opatření proti kybernetickým hrozbám.
Děkuji za pozornost Driving Network Visibility Petr Špringl springl@flowmon.com +420 724 899 760 Flowmon Networks, a.s. U Vodárny 2965/2 616 00 Brno www.flowmon.com