Novinky v řešení Flowmon

Podobné dokumenty
Monitorování datových sítí: Vize 2020

Flowmon Roadmap. Pavel Minařík, CTO

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Co se skrývá v síťovém provozu?

Co vše přináší viditelnost do počítačové sítě?

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Kybernetické hrozby jak detekovat?

Proč prevence jako ochrana nestačí? Luboš Lunter

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Kybernetické hrozby - existuje komplexní řešení?

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Monitorování datových sítí: Dnes

Sledování výkonu aplikací?

Bezpečnost NFC v rámci autentizačního procesu. Simona Buchovecká, ICT Security Consultant

Úložiště elektronických dokumentů GORDIC - WSDMS

Jak využít NetFlow pro detekci incidentů?

Flow Monitoring & NBA. Pavel Minařík

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

SIS INSTALAČNÍ PŘÍRUČKA (SITE INFORMATION SYSTEM) Datum vytvoření: Datum aktualizace: Verze: v 1.3 Reference:

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

Detekce volumetrických útoků a jejich mi4gace v ISP

FlowMon Monitoring IP provozu

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Aktivní bezpečnost sítě

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Jak se měří síťové toky? A k čemu to je? Martin Žádník

KyBez na MPO. aneb zavádění Zákona o kybernetické bezpečnosti. KyBez na MPO. Ing. Miloslav Marčan Ředitel odboru informatiky

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Kybernetická bezpečnost Ochrana systémů v energetice

Monitoring, správa IP adresního prostoru a řízení přístupu do sítí

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Úvod do síťových technologií

Návod na připojení do WiFi sítě eduroam Microsoft Windows XP

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Systém detekce a pokročilé analýzy KBU napříč státní správou

FlowMon. Představení FlowMon verze 7.0. Petr Špringl, Jan Pazdera, Pavel Minařík,

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Audit bezpečnosti počítačové sítě

Koncept centrálního monitoringu a IP správy sítě

TWA 01. Úvod do tvorby www stránek. Ing. Martin Dosedla

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

INTEGROVANÁ STŘEDNÍ ŠKOLA TECHNICKÁ BENEŠOV Černoleská 1997, Benešov. Tematický okruh. Ročník 1. Inessa Skleničková. Datum výroby 21.8.

Co se skrývá v datovém provozu?

Monitoring provozu poskytovatelů internetu

AVG Instalace DataCenter na databázi Firebird

Dell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.

Flow monitoring a NBA

Komunikace v sítích TCP/IP (1)

Mapa nabídek Nástroje

Poznámky k verzi Remote Support Platform 3.0

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Nasazení a využití měřících bodů ve VI CESNET

Přenosy hlasu/multimédií v IP sítích příští generace. Zbyněk Linhart VRS 2001, Praha 21. března

AddNet. Detailní L2 monitoring a spolehlivé základní síťové služby (DDI/NAC) základ kybernetické bezpečnosti organizace. Jindřich Šavel 19.9.

CCNA Network Upgrade

profil společnosti www. veracomp.cz

Proč, kde a jak nasazovat flow monitoring a behaviorální analýzu

Nejlepší přítel správce sítě! Řešení bezpečnosti Vaší sítě v Cloudu. Pavel Minařík CTO, AdvaICT,a.s.

Koncept BYOD. Jak řešit systémově? Petr Špringl

Budování sítě v datových centrech

Flow monitoring a NBA

BankKlient. FAQs. verze 9.50

HUAWEI Echolife HG520i

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

Obsah. Kapitola 1. Kapitola 2. V této knize 13 V každé kapitole...13 Úspěch při správě dosáhnete, pokud...13

Praktické zkušenosti s provozováním SIEM RSA envision. Bc. Jiří Kout, Michal Miklánek Česká pošta s.p.

Identifikátor materiálu: ICT-3-03

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

PB169 Operační systémy a sítě

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Infor Performance management. Eva Janečková Jakub Urbášek

Zákon o kybernetické bezpečnosti: kdo je připraven?

Úspěch Wi-Fi přineslo využívání bezlicenčního pásma, což má negativní důsledky ve formě silného zarušení příslušného frekvenčního spektra a dále

Firewall, IDS a jak dále?

DLNA- Průvodce instalací

Firewall, IDS a jak dále?

FlowMon ADS praktické aplikace a případové studie. Pavel Minařík INVEA-TECH, a.s.

X36PKO Úvod Protokolová rodina TCP/IP

Integrované řízení a zabezpečení sítě cesta k rychlé reakci na kybernetické hrozby

Implementační rozdíly ve vývoji IS při použití bezschémové a relační databáze

Aplikace DigiArchiv z pohledu administrátora a operátora. Systém, metody, postupy

Bezpečná výměna dat. Petr Dolejší Project manager, Solution consultant

Průvodce implementací aplikace Symantec Endpoint Protection Small Business Edition

Bezpečnostní projekt Případová studie

Novinky v Maple T.A. 10

FlowMon Vaše síť pod kontrolou

DDoS útoky a jak se jim bránit

Připravte si prosím tyto produkty Instalace hardwaru Výchozí nastavení z výroby

12. Bezpečnost počítačových sítí

FlowMon Vaše síť pod kontrolou!

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Transkript:

Novinky v řešení Flowmon Flowmon Friday 27.5.2016 Pavel Minařík, CTO minarik@flowmon.com

Vizualizace a vizuální analýza

Potřebujeme vidět a vědět VISUAL ANALYTICS pro okamžitý vhled do dění na síti a zvýšení efektivity práce operátora/analytika www.d3js.org

Flowmon Dashboard Centrální dashboard a reporty Kombinuje výstupy z jednotlivých Flowmon modulů Nabízí více dashboardů pro každého uživatele Spolupracuje s mobilní aplikací (viz dále) Více dashboardů per uživatel Widgety z Monitorovacího centra i ADS

Flowmon Mobile Dashboard Mobilní aplikace pro platformy Android a ios Dostupná přes standardní APP Store Zobrazuje Flowmon Dashboard přihlášeného uživatele Vyžaduje Flowmon 8.01 Mobilní aplikace URL, login, heslo

Flowmon Mobile Dashboard Mobilní aplikace pro platformy Android a ios Dostupná přes standardní APP Store Zobrazuje Flowmon Dashboard přihlášeného uživatele Vyžaduje Flowmon 8.01 Systémové zprávy Dashboard

Interaktivní vizualizace událostí Nová a rozšířená interaktivní vizualizace událostí Filtrování a vizualizace více událostí současně HTML/JavaScript bez nutnosti Adobe Flash

Události na mapě světa Odkud přicházejí útoky? (Kam útočí moje síť?) S jakými nestandardními destinacemi komunikuji?

Sledování aktivních zařízení Nový dashboard pro rychlou orientaci Grafická indikace výrobce zařízení logo

Monitorování na aplikační vrstvě Pro troubleshooting i bezpečnost

Analýza SMB protokolu SMB/Samba/CIFS sdílení souborů po síti nejrozšířenější protokol Proč analyzovat na aplikační vrstvě? Audit Přistupoval uživatel ke konkrétním souborům? Bez ohledu na platformu, aplikaci nebo uživatele Bezpečnost Jaké soubory vytvořila infikovaná stanice od okamžiku nákazy a kde jsou umístěny? Provoz Troubleshooting přístupu k síťovým zdrojům Monitorování využívání per sdílený prostředek

Analýza SMB protokolu Detekce výskytu a aktivit ransomware na síti Malware Locky, zaznamenáno i u našich zákazníků Filtr na název souboru Hlásit libovolný výskyt

Analýza SMB protokolu 1. Zkopírování souboru ze sdíleného úložiště na infikovanou stanici 2. Smazání souboru na sdíleném úložišti 3. Nahrání zašifrovaného souboru zpět na sdílené úložiště

Analýza SMB protokolu Sonda analyzuje a exportuje informace z L7 SMB1 typ operace SMB2 plná viditelnost SMB3 šifrování, není podporováno

Analýza DHCP provozu DHCP dynamické přidělování IP adresace základní síťová služba, nutná pro korektní fungování Proč analyzovat na aplikační vrstvě? Audit Kompletní log přidělování IP adres na síti Bez ohledu na typ DHCP serveru nebo klienta Bezpečnost Neautorizované DHCP servery Podvržené adresy a síťové konfigurace Provoz Troubleshooting a analýza výkonu DHCP serveru Analýza přidělování adres v případě DHCP relay

Analýza DHCP provozu Klient DHCP relay DHCP server DHCP request DHCP response IP a MAC DHCP serveru IP a MAC DHCP relay Chybí MAC klienta, agregováno, žádné L7

Analýza DHCP provozu Klient DHCP relay DHCP server DHCP request DHCP response DHCP request MAC klienta Název klienta Požadovaná IP DHCP response MAC klienta Přidělená IP Doba propůjčení Jednotlivé požadavky, plná L7 viditelnost

Analýza DHCP provozu

Analýza DNS provozu DNS překlad doménové jméno vs. IP adresa základní síťová služba, nutná pro korektní fungování Proč analyzovat na aplikační vrstvě? Audit Kompletní log transakcí DNS serveru Bez ohledu na typ DNS serveru nebo klienta Bezpečnost Stanice překládající závadné domény Využívání nestandardních DNS serverů Provoz Troubleshooting překladu název IP adresa Statistiky per typ dotazu, návratová hodnota,

Analýza DNS provozu Klient DNS server DNS query A record type kwqxumgrxdvynqj9.com DNS response NXDOMAIN L3/L4 L7

Analýza DNS provozu Klient DNS server DNS query A record type kwqxumgrxdvynqj9.com DNS response NXDOMAIN Detekce na základě známé C&C domény

Detekce NATu NAT = Network Address Translation překlad síťových adres za jednou IP adresou schovaných více zařízení Proč se NATy zabývat? Bezpečnost Připojování neautorizovaných zařízení do sítě Využívání sítě v rozporu s bezpečnostní politikou Ekonomika Přeprodej datové konektivity (ISP) Využívání sítě v rozporu s podmínkami služby k detekci využíváme informace z L3/L4 a rozšířené HTTP informace

Detekce NATu NAT Detective prodej a podpora ukončena Nahrazeno nativní funkcionalitou Sonda monitorování rozšířených L3/L4 informací Kolektor ukládání, analýza a reporting ADS automatická detekce NATů v síti

Detekce NATu NAT Detective prodej a podpora ukončena Nahrazeno nativní funkcionalitou Sonda monitorování rozšířených L3/L4 informací Kolektor ukládání, analýza a reporting ADS automatická detekce NATů v síti Využití L3/L4 indikátorů + informace o operačních systémech, odhad počtu IP adres za NATem

Behaviorální analýza a záznam provozu v plném rozsahu (packet capture)

Aktivita útočníka (port sken, útok na heslo)

Oběť útoku, následně vykazuje anomálie

Mapování cílů útoku útočníkem Útok na autentizaci SSH

Heslo prolomeno, malware instalován

Infikovaná stanice komunikuje s botnet C&C center

Identifikace botnetu s využitím Threat intelligence

Záchyt komunikace v plném rozsahu (PCAP)

Komunikace s botnet C&C center

Pokyn k exfiltraci dat přes ICMP

Pokyn ke zjištění serverů s RDP

Podezřelý ICMP provoz s payloadem

Opět PCAP k dispozici, co bylo odesláno?

/etc/passwd soubor s uživatelskými účty

Vyhledání Windows serverů s RDP Útok na službu RDP

Monitorování výkonu a odezvy aplikací Korelace mezi webem a databází

Za to já nemůžu, to je zase pomalá síť! správce aplikace loading, please wait Síť jede úplně v pohodě, ta aplikace má špatnou odezvu! správce sítě

Monitorování výkonu aplikace Uživatel Aplikační server Doba přenosu požadavku Doba přenosu odpovědi Doba odezvy aplikace Aplikace Síť

Monitorování výkonu databáze Uživatel Databázový Aplikační server Doba přenosu SQL dotazu Doba přenosu odpovědi Doba odezvy databázového serveru Databáze Síť

mirror Monitorování výkonu shrnutí Sledování doby odezvy a přenosu dat na síti uživatel aplikace aplikační server databázový server Pro všechny uživatele a transakce v reálném čase Uživatelé Webové / aplikační servery Databázové Servery Flowmon Sonda

Flowmon APM Unikátní bez-agentní řešení Žádný software na aplikačních serverech Žádné změny konfigurace nebo topologie sítě Zcela pasivní a bez vlivu na monitorované aplikace Nasazení a konfigurace v řádu minut Hlavní výstupy Odezva aplikace Doba přenosu dat Výskyt chyb

Flowmon APM 3.0 Podpora aplikačních protokolů Webové protokoly Databázové protokoly HTTP / 1.1 HTTP / 2.0 SSL dekrypce Korelace transakcí uživatel aplikace databáze

Korelace transakcí Transakce uživatel - aplikace Všechny relevantní transakce aplikační server - databáze Korelace transakcí uživatel aplikace databáze

Ochrana před útoky typu DDoS Aktivní mitigace útoků

Ochrana před útoky DDoS Podnikové sítě In-line řešení na perimetru Do rychlosti linky Páteřní sítě Detekce flow data Mitigace routery

Flowmon DDoS Defender 3.0 Rychlá detekce Profilování provozu a baselining v intervalu 30s Okamžité vyhodnocení útoku a spuštění mitigace BGP Flowspec Automatické stanovení signatury útoku (IP, porty) Mitigace s využitím routerů (BGP Flowspec, RFC 5575)

Mitigace pomocí BGP Flowspec Detekce DDoS útoku Řízení mitigace Sběr flow statistik Aktualizace baseline Access Flowmon with DDoS Defender Service Provider Core Povelování routerů pomocí BGP FlowSpec Dynamická signatura: Dst IP: 1.1.1.1/32 Dst Port: 135 Protocol IP: 17 (UDP) Drop DDoS Attack Edge Protected Segment 1 (IP: 1.1.1.1/16) Datové centrum, Lokální ISP, atd. Protected Segment 2 Drop Dst IP: 1.1.1.1/32 Dst Port: 135 Protocol IP: 17 (UDP)

Flowmon DDoS Defender 3.0 živá ukázka detekce a mitigace

Qtázky? Driving Network Visibility Pavel Minařík minarik@flowmon.com +420 733 713 703 Flowmon Networks a.s. U Vodárny 2965/2 616 00 Brno, Czech Republic www.flowmon.com

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář