Jak využít NetFlow pro detekci incidentů?

Podobné dokumenty
FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Co se skrývá v datovém provozu?

Kybernetické hrozby - existuje komplexní řešení?

Monitorování datových sítí: Dnes

Flow Monitoring & NBA. Pavel Minařík

FlowMon Vaše síť pod kontrolou

FlowMon Monitoring IP provozu

Koncept BYOD. Jak řešit systémově? Petr Špringl

Kybernetické hrozby jak detekovat?

Monitoring, správa IP adresního prostoru a řízení přístupu do sítí

Flow monitoring a NBA

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Co vše přináší viditelnost do počítačové sítě?

Flow monitoring a NBA

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Monitorování datových sítí: Vize 2020

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Praktické ukázky, případové studie, řešení požadavků ZoKB

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Koncept. Centrálního monitoringu a IP správy sítě

Sledování výkonu aplikací?

FlowMon ADS praktické aplikace a případové studie. Pavel Minařík INVEA-TECH, a.s.

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Aktivní bezpečnost sítě

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Bezpečná a efektivní IT infrastruktura

Provozně-bezpečnostní monitoring datové infrastruktury

Firewall, IDS a jak dále?

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Network Measurements Analysis (Nemea)

Firewall, IDS a jak dále?

Koncept centrálního monitoringu a IP správy sítě

Accelerate your ambition

Flow monitoring a NBA

Systém detekce a pokročilé analýzy KBU napříč státní správou

Zákon o kybernetické bezpečnosti: kdo je připraven?

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

Proč prevence jako ochrana nestačí? Luboš Lunter

Nejlepší přítel správce sítě! Řešení bezpečnosti Vaší sítě v Cloudu. Pavel Minařík CTO, AdvaICT,a.s.

FlowMon chytré české řešení pro bezpečnostní a provozní monitoring sítí. Jiří Tobola, Petr Špringl, INVEA-TECH

FlowMon. Představení FlowMon verze 7.0. Petr Špringl, Jan Pazdera, Pavel Minařík,

Výzkum v oblasti kybernetické bezpečnosti

Detekce volumetrických útoků a jejich mi4gace v ISP

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Monitoring provozu poskytovatelů internetu

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

AddNet integrovaný DDI/NAC nástroj

Sledování provozu sítě

Multimediální služby v taktických IP sítích

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák

DNS provoz 150k přípojek Česká republika a Slovensko Různé typy připojení uživatelů

Integrované řízení a zabezpečení sítě cesta k rychlé reakci na kybernetické hrozby

Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR

AddNet. Detailní L2 monitoring a spolehlivé základní síťové služby (DDI/NAC) základ kybernetické bezpečnosti organizace. Jindřich Šavel 19.9.

SÍŤOVÁ INFRASTRUKTURA MONITORING

Flowmon. Altron Congress Artur Kane, Flowmon Evangelist

Integrovaný DDI/NAC a vizualizace komunikace IT aktiv, jako základ rychlé reakce SOC

FlowMon Vaše síť pod kontrolou!

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Strategie sdružení CESNET v oblasti bezpečnosti

Síťová visibilita a integrovaná správa sítě - nezbytná součást SOC strategie. AddNet a BVS. Jindřich Šavel NOVICOM s.r.o

Proč, kde a jak nasazovat flow monitoring a behaviorální analýzu

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

FlowMon Vaše síť pod kontrolou!

Sledování sítě pomocí G3

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

Co se skrývá v síťovém provozu?

FlowMon novinky. Představení FlowMon verze 5.0. Petr Špringl

IPFIXCOL MODULÁRNÍ KOLEKTOR SÍŤOVÝCH TOKŮ. Lukáš Huták CESNET. 4. listopad 2018 OpenAlt, Brno

FlowMon Vaše síť pod kontrolou!

Koncept aktivní bezpečnosti a spolehlivosti IT infrastruktury. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.

Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o

NETWORK MANAGEMENT HAS NEVER BEEN EASIER

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Obsah. Úvod 13. Věnování 11 Poděkování 11

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích

Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o

BEZPEČNOSTNÍ MONITORING SÍTĚ

Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow

Bezpečně nemusí vždy znamenat draze a neefektivně

Seminář pro správce univerzitních sí4

Aby vaše data dorazila kam mají. Bezpečně a včas.

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

PB169 Operační systémy a sítě

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Č.j. MV /VZ-2014 V Praze 24. dubna 2015

AddNet I tegrova á správa sítě -

Flowmon Networks a.s.

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Bezpečnost je jedna, v drátu i bezdrátu

Nasazení a využití měřících bodů ve VI CESNET

Bezpečnostní monitoring sítě

Aktivní prvky: přepínače

Transkript:

Jak využít NetFlow pro detekci incidentů? Řešení FlowMon, ukázky použi? Pavel Minařík, CTO minarik@invea.com

Princip technologie

Kde monitorovat provoz?

Hlavní využia NetFlow Viditelnost do sítě, objem a struktura provozu, reporhng Flow Monitoring AutomaHcká detekce bezpečnostních a provozních incidentů Network Behavior Analysis Sledování výkonnostních ukazatelů Network Performance Monitoring

Požadavky na řešení VlastnosH a funkce Podpora verzí NetFlow Disková kapacita Úroveň detailu ReporHng & alerhng Behaviorální analýza Sledování akhvních zařízení Technické řešení Co je dobré vědět NetFlow v5, v9, v10 (IPFIX) a hlavní rozdíly Pro uložení provozu v plném rozsahu, agregovaná data při incidentu nestačí Individuální toky, i pro historická data Na základě libovolných atributů, definovatelné Thresholdy nejsou behaviorální analýza, požadujte automahckou detekci incidentů Flow na úrovni přístupové vrstvy, sledování MAC- IP a podpora konceptu BYOD Sohware vs. HW vs. Virtual

Příklad použia (1) Jak vypadal provoz naší sítě během jednoho dne? Je všechno v souladu s naším očekáváním?

Příklad použia (2) Podívejme se na špičku. To bude v pořádku, IT oddělení provádí migraci dat, nic zvláštního. Opravdu? Nebo bychom měli prozkoumat provoz z jiného úhlu pohledu?

Příklad použia (3) Podívejme se na provoz z pohledu bezpečnostní analýzy, co je červená špička kolem jedné ráno?

Příklad použia (4) Jde o útok z dvojice IP adres, které se nachází v Číně, navíc jde o známé útočníky (reputace IP).

Příklad použia (5) Oba útoky nebyly úspěšné, můžeme se podívat na detaily až na úroveň jednotlivých toků.

Vybrané incidenty

Infekce botnetem Finanční inshtuce Botnetem infikováno několik stanic Podvržené čínské adresy útočí do vietnamu

DDoS útok a opět botnet Informační technologie Stanice z lokální sítě pod kontrolou útočníka Provádí DDoS útok na povel C&C centra Detekováno jako DDoS útok odcházející z dané infrastruktury

Manipulace s DNS Informační technologie Změna používaného DNS serveru na stanici Možnost manipulace s DNS záznamy a přístupem na webové servery

Odposlech provozu Služby Pokročilý malware přesměroval provoz na infikovanou stanici prostřednictvím DHCP

Řešení FlowMon

Z pohledu uživatele Monitorování provozu v síh (NetFlow/IPFIX) Kompletní viditelnost do dění v síh Real- Hme a historická data pro LAN & WAN & komunikaci do Internetu OpHmalizace správy a provozu sítě EfekHvní troubleshoohng Bezpečnost datové sítě (NBA, NBAD) Založeno na behaviorální analýze, nikoliv známých signaturách Detekce pokročilého malware, zero- day útoků, podezřelých přenosů dat, změn chování a dalších incidentů

Architektura FlowMon Kolektor sběr a vizualizace síťových stahshk dlouhodobé uložení a reporhng FlowMon ADS detekce bezpečnostních a provozních událos? a anomálií SW součást výbavy kolektoru

Nasazení řešení Centralizovaná architektura Sběr NetFlow z jednoho nebo několika core přepínačů Ukládání a vyhodnocování na centrálním kolektoru Sledovaný provoz KlienH WAN KlienH servery Servery WAN Vhodné pro Datová centra Velké podniky

Nasazení řešení Decentralizovaná architektura Sběr NetFlow z řady hraničních routerů Ukládání a vyhodnocování na centrálním kolektoru Sledovaný provoz Lokalita WAN Lokalita MPLS Lokalita DC Vhodné pro Pobočky Velký počet lokalit

Rekapitulace

INVEA- TECH Česká společnost, univerzitní spin- off, spolupráce CESNET a univerzity, projekty EU Založena 2007 OblasH působení: Flow Monitoring Network Behavior Analysis Network Performance Monitoring Přes 500 instalací řešení FlowMon

Jak dál? Obraťte se na nás pro více informací Případové studie a reference www.invea.cz/spolecnost/reference www.invea.cz/produkty- sluzby/flowmon/flowmon- pripadove- studie Pilotní projekt řešení FlowMon ve Vaší datové síh

Otázky? High- Speed Networking Technology Partner Pavel Minařík minarik@invea.com +420 733 713 703 INVEA- TECH a.s. U Vodárny 2965/2 616 00 Brno Czech Republic www.invea- tech.com

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář