Monitorování datových sítí: Dnes FlowMon Friday, 29.5.2015 Petr Špringl springl@invea.com
Obsah Monitorování datových toků = Flow monitoring Flow monitoring a bezpečnost sítě = Network Behavior Analysis (NBA) FlowMon = řešení pro monitorování a bezpečnost sítí
Monitorování sítě SNMP (monitoring) pouze na úrovni základních čítačů, chybí detailní informace Flow monitoring = monitorování datových toků detailní přehled o dění v síti Paketová analýza velmi detailní, ale časově velmi náročná, občas potřebná
Flow monitoring Měření na základě IP toků Analyzují se hlavičky paketů, obsah paketů není monitorován ani uchováván Moderní metoda monitorování sítí, Cisco standard Redukce dat cca 500:1
Flow monitoring Telefonní účet - výpis hovorů Počítačová síť - flow monitoring
Flow monitoring - architektura Zdroje NetFlow/IPFIX dat přepínače, směrovače jako přidaná funkcionalita sondy dedikovaná zařízení firewally, UTM zařízení a další Kolektory centrální úložiště a analýza dat
Shrnutí přínosů flow monitoringu Detailní přehled o dění v síti (LAN i WAN) jak v reálném čase, tak kdykoliv v minulosti Přesné, rychlé a efektivní řešení problémů Zvýšení bezpečnosti, odhalení vnitřních i vnějších útoků Snadné plánování kapacit a optimalizací sítě Dohled nad využitím Internetu, využitím aplikací Předcházení incidentům jako jsou zahlcení a výpadky sítě Odhalení špatných konfigurací
Flow monitoring a bezpečnost sítě
Bezpečnost na perimetru Firewall, IDS/IPS, UTM, aplikační firewall, web filtr, email security, vzdálený přístup
Bezpečnost koncových stanic Antivir, personální firewall, antimalware, antirootkit, endpoint DLP
To však již nestačí!
Moderní kybernetické hrozby Pokročilé hrozby (Advanced Persistent Threats) Cílené útoky a průmyslová špionáž Zero-day útoky a polymorfní malware Společné vlastnosti Přesně cílené na prostředí oběti Šifrované a skryté v gigabitech běžného provozu Signatury nejsou dostupné Neviditelné pro tradiční řešení (AV, IDS/IPS, firewall ) které chrání před známými hrozbami a útočníky
Bezpečnost vnitřní sítě Viditelnost do sítě flow monitoring, NBA behaviorální analýza, automatická detekce anomálií
Fyzická vs. síťová bezpečnost
Network Behavior Analysis Network Behavior Analysis = analýza chování sítě Moderní nadstavba nad monitorováním datových toků Automatická detailní analýza NetFlow/IPFIX dat Detekce nežádoucích vzorů chování vnitřní i vnější útoky nežádoucí služby a aplikace Behaviorální analýza profily chování detekce anomálií, podezřelého chování
NBA trend v bezpečnosti Gartner: Pokud máte Firewall a IDS/IPS, zvažte jako další krok implementaci NBA. Cisco: Pokud ve své síti neodhalíte žádné útoky, tak to ještě neznamená, že tam nejsou ale pravděpodobně je jen nejste schopni detekovat. Cílem NBA je detekovat hrozby, které nelze detekovat ostatními technologiemi
Shrnutí přínosů NBA Detekce vnitřních i vnějších útoků Upozornění na změny chování v síti Odhalování běžného i neznámého malware Identifikace potenciálních úniků dat Dohledávání a prokazování provozních a bezpečnostních incidentů
Řešení FlowMon
Řešení FlowMon FlowMon Monitorování datových toků Bezpečnost (NBA) Záznam komunikace v plném rozsahu Měření odezvy sítě a aplikací Ochrana před útoky typu DDoS 2013 2014 2015
FlowMon architektura Monitorování síťového provozu FlowMon sondy samostatné pasivní zdroje statistik ze sítě Sběr - statistik NetFlow o / IPFIX data provozu FlowMon kolektor úložiště, vizualizace a vyhodnocení síťových statistik FlowMon moduly Vizualizace a detekce anomálií detekce anomálií, záznam provozu, monitorování výkonu aplikací
Z pohledu uživatele Monitorování provozu v síti (NetFlow/IPFIX) Kompletní viditelnost do dění v síti Real-time a historická data pro LAN & WAN & komunikaci do Internetu Optimalizace správy a provozu sítě Efektivní troubleshooting Bezpečnost datové sítě (NBA, NBAD) Jediný způsob, jak detekovat pokročilé hrozby Založeno na behaviorální analýze Detekce pokročilého malware, zero-day útoků, podezřelých přenosů dat, změn chování a dalších incidentů
Z pohledu uživatele Záznam provozu v plném rozsahu Na vyžádání při řešení problémů a incidentů Distribuovaná architektura Podpora sítí 1G/10G/40G Monitorování výkonu aplikací Sledování uživatelských transakcí bez SW agentů Rozlišení zpoždění aplikace/sítě, sledování SLA Určeno pro HTTP/HTTPS aplikace a MS SQL databáze Ochrana před DDoS útoky Detekce volumetrických útoků Aktivní řízení směrování provozu a mitigace
Děkuji za pozornost High-Speed Networking Technology Partner Petr Špringl springl@invea.com 724 899 760 INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno www.invea.com