Flowmon Roadmap Pavel Minařík, CTO minarik@flowmon.com
Aktuální témata
Distribuovaná architektura Zvýšení výkonu pro velké instalace Vysoká dostupnost a škálovatelnost Master Unit Konfigurace Management Reporting Slave Units Úložiště Analýza Lokace Geografické Logické Data Centrum 1 Data Centrum Data Centrum N
Šifrovaný flow export Tradiční NetFlow/IPFIX export protokol UDP, speciální formát, ale plain text IPFIX přes TCP s použitím TLS (RFC 5153) TCP, spolehlivý, šifrovaný Založený na SSL certifikátech Připravený pro nasazení v cloudu Splňuje RFC (budoucí použití) flow forwarding
Uživatelsky definované detekce Uživatel může definovat vlastní detekční metody pro Flowmon ADS Syntaxe podobná SQL V budoucnu s podporou regulárních výrazů Událost je detekována a reportována standardní cestou Zpracování události Perspektivy Notifikace Reporty Log management/siem Skriptování Spouštění záchytu paketů retefe2 banking tojan destination_port IN (80,443) AND hurl LIKE '/ICECVREU.js?%' AND #src_filter# Users accessing porn sites? destination_port IN (80,443) AND hhost LIKE '%porn%' AND #src_filter#
DDoS Defender UI & Funkce Nové uživatelské rozhraní Flowmon DDoS Defender Dashboard pro uživatele s plným přístupem Dashboard definovaný per uživatel Integrované reporty do Flowmon Dashboard REST API pro získávání informací o útoku Zobrazení baselines per chráněný segment Hromadná úprava chráněných segmentů Zobrazení dynamické signatury útoku i bez podpory BGP Flowspec
H2/2016
Architektura tradičního dávkového zpracování Architektura zpracování flow 5 minut Profily, aktualizace reportů Reportování událostí Detekce útoků
Architektura streamového zpracování Architektura zpracování flow Ve vývoji Dostupné v 8.01 30s profily reporty, alerty Události v real-time 30s detekce 1s detekce + celkové zvýšení výkonu, zejména Flowmon ADS
Podpora virtualizace 2013 2015 2016
Zvýšení viditelnosti do HTTP Cisco HTTP viditelnost (AVC) HTTP hostname & URL Řetězce proměnné délky exportované přes NetFlow v10 (IPFIX) HTTP typ metody CONNECT, HEAD, GET, PUT, SSL certifikát TLS_CLI_VER: TLS Client Version TLS_SER_VER: TLS Server Version TLS_SER_CIPS: TLS Cipher Suite chosen by server TLS_PKEY_LENGTH: RSA Public key length TLS_PKEY_EXPONENT: RSA Public key exponent Rozšířená viditelnost Bezpečnost Slabé certifikáty Zranitelnosti TLS_PKEY_ALGORITHM: Public key algorithm used in cetificate
Grafy a vizualizace NPM Metriky pro Network Performance Monitoring vizualizovány přímo v grafech provozu Další Y osa pro výkonnostní metriky RTT, SRT, jitter, ms RTT
Grafy a vizualizace NPM Kapacita a reálné využití rozhraní/linky (utilizace) zobrazená v grafech a součástí reportů Získané přes SNMP nebo manuálně nastavené uživatelem per interface 1Gbps SNMP informace Aktuální využití 2 %, průměr 8 %
Přehrání flow a PCAP Zachycený plný provoz (PCAP) převedený do flow PCAP file upload Flowmon Sonda Flow data Zachycené flows v PCAP přehrány do kolektoru flows in PCAP file upload Flowmon Kolektor replay Zjednodušená diagnostika a analýza problémů Data mohou být znovupoužita v modulech FMC, ADS, DDoS Defender
Budoucí vývoj APM Přepočítávání skupinových metrik Pro přepočítání historických dat při založení nové skupiny Uživatelsky definované agregace a pohledy Uživatelé zaznamenávající nejpomalejší odezvy Počet transakcí na uživatele Vizualizace a výkonnostní metriky Notifikace a změny metrik Podpora REST API, Flowmon Dashboard a centrální reporting REQ TT RT REP TT
Strategie vývoje produktu výhled 2017-2020
ITOA: IT Operations Analytics Získávání, analýza a reportování dat pro podporu a automatizaci IT operations Hlavní oblasti zájmu Korelace flow a ADS/APM dat pro ITOA Root cause analýza, baselining, profiling a předpovídání Konfigurační wizzardy, předdefinované pohledy, reporty
Ochrana před DDoS útoky Nová generace Flowmon DDoS Defender Rozsáhlé instalace Detekce a reakce v reálném čase Různé možnosti mitigace BGP Flowspec jako standard SDN v budoucnu Úrovně mitigace Pravidla pro mitigaci útoků na různých úrovních Využití infrastruktury pro mitigaci Integrace s mitigačními zařízeními třetích strach Podpora pro mitigaci s využitím srubbing center
Záchyt paketů a analýza Nová generace Flowmon Traffic Recorder Rozšířené možnosti filtrace/záchytu L3/L4 + L7, kombinace filtrů Vestavěné webové GUI pro analýzu PCAP Nikoliv náhrada za Wireshark Hlubší integrace s FMC Spouštění záchytu přímo z analýzy ve FMC Use-casy pro pokročilou analýzu Možnosti extrakce dat V souladu s trendy ITOA
Dotazy? Driving Network Visibility Pavel Minařík minarik@flowmon.com +420 733 713 703 Flowmon Networks a.s. U Vodárny 2965/2 616 00 Brno, Czech Republic www.flowmon.com