FlowMon Představení FlowMon verze 7.0 Petr Špringl, springl@invea.com Jan Pazdera, pazdera@invea.com Pavel Minařík, minarik@invea.com
Obsah FlowMon řešení co to je, co zahrnuje? FlowMon novinky posledních měsíců (6.x) představení novinek verze 7.0 FlowMon ADS novinky posledních měsíců (6.x) představení novinek verze 7.0 Další novinky
Řešení FlowMon FlowMon sondy zdroj síťových statistik (NetFlow/IPFIX dat) FlowMon kolektory vizualizace a vyhodnocení síťových statistik FlowMon ADS detekce bezpečnostních událostí a anomálií
Řešení FlowMon FlowMon Configuration Center FlowMon Monitoring Center FlowMon ADS
FlowMon FlowMon 5.0 2012 Kompletně nové uživatelské rozhraní Nová hardwarová platforma Neustále rozšiřování funkcí i rozhraní Na základě trendů a požadavků uživatelů Uživatelský dashboard Automatické reporty Integrace FMC a ADS Konfigurační možnosti Detekce aktiv. zařízení (BYOD) Pokročilé analytické možnosti Nové hardwarové modely a další
FlowMon 6.x (aktuální řada) Rozpoznávání aplikací podpora Cisco NBAR2 Monitorování HTTP provozu Automatická detekce nových zdrojů dat Přepracovaný Dashboard ve FlowMon ADS
FlowMon 6.x (aktuální řada) Vylepšená administrace uživatelů, multitenance Možnost vytvářet podprofily Udělování práv na základě modulů i dat (profilů a zdrojů dat)
FlowMon 6.x (aktuální řada) Logování činnosti uživatelů a systému Log přihlašování a provádění změn Systémový log Systémové zprávy
FlowMon 6.x (aktuální řada) Podpora pro desítky zdrojů na kolektoru Profiled/non-profiled zdroj a interface Grafický/tabulkový pohled, vyhledávání
FlowMon 6.x (aktuální řada) Dotazy na pozadí Podpora dotazování delších časových intervalů Dotazy automaticky spouštěny na pozadí Lze dále pracovat a výsledek si vyzvednout později Paměť posledních 10 výsledků per uživatel
FlowMon 6.x (aktuální řada) Alerty nad pohyblivým průměrem Počítány 5-minutové průměry (počty toků, paketů, provozu) za poslední měsíc V rámci jednotlivých dnů porovnávány aktuální hodnoty s průměry a dle nastavených podmínek jsou zasílána upozornění
FlowMon 6.x (aktuální řada) Automatické aktualizace Dostupné přes portál services.invea.com Pokud je nová verze dostupná, FlowMon nabídne uživateli aktualizaci Podpora připojení přes proxy server Politika aktualizací Nejnovější release jde vždy do beta programu Po ověření označen jako stable verze
FlowMon 6.x (aktuální řada) Customizace reportů - logo, grafika, barva, text Plovoucí statistika kanálů Přechod z dashboardu přímo do Analýzy Monitoring ARP (L2) - detekce problémů na úrovni L2 sledování L2 provozu v LAN a datových centrech
Představení FlowMon verze 7.0
FlowMon 7.0 Administrátoři potřebují znát jak je jejich síť využívána a jakými aplikacemi tradiční flow monitoring přináší informace o komunikacích v síti na úrovni IP adresy, porty, statistické informace to však již nestačí je potřeba detekovat o jaké aplikace se jedná detekce aplikací (Cisco NBAR2) u aplikací je potřeba detekovat jejich výkonové parametry (ztráta paketů, zpoždění, jitter) performance monitoring (Cisco AVC - ART)
FlowMon 7.0 Performance monitoring FlowMon sonda Detailní analýza výkonových parametrů provozu Export statistik prostřednictvím IPFIX protokolu FlowMon kolektor Příjem a analýza exportovaných statistik Podpora příjmu a analýzy Cisco AVC - ART (Application Visibility and Control Application Response Time)
Performance Monitoring TCP handshake Client request Server response Syn Ack Req Syn, Ack Ack Data Data Data Data RTT SRT Delay Round Trip Time zpoždění sítě Server Response Time zpoždění serveru/aplikace Delay (min, max, průměr, odchylka) - mezipaketové mezery klient/server Jitter (min, max, průměr, odchylka) - rozptyl mezipaket. mezer klient/server
FlowMon 7.0 U VoIP (SIP/RTP) provozu jsme se rozhodli jít ještě dále a analyzovat jej velmi detailně Množství VoIP provozu neustále roste Stále častěji se setkáváme s tím, že zákazníci mají problém s VoIP provozem a potřebují jej analyzovat Dedikované nástroje pro VoIP analýzu jsou drahé Pokud je již řešení FlowMon nasazeno, tak se nabízí jej pro tyto účely také využít
FlowMon 7.0 Monitorování a analýza VoIP provozu FlowMon sonda detekce a analýza (L7/DPI) VoIP provozu export statistik prostřednictvím IPFIX protokolu FlowMon kolektor příjem a analýza exportovaných VoIP statistik
FlowMon 7.0 Monitorování a analýza VoIP provozu Analýza signalizace Calling party, Called party, časové informace,. Analýza přenosu hlasu/dat (RTP/RTCP) Deklarované statistiky ztráta paketů, jitter, codec. Měření statistik ztráta paketů, jitter, zpoždění Detailní analýza a vizualizace průběhu celého hovoru
FlowMon ADS verze 6.x
FlowMon ADS 6.x (aktuální řada) Agregace událostí Snížení počtu událostí jejich seskupením Snížení náročnosti analýzy a zvýšení efektivity práce
FlowMon ADS 6.x (aktuální řada) Zlepšení práce s false positives Možnost definovat předem pro další adresy a události Možnost automatické expirace Komentáře k pravidlu Počet použití pravidla Datum a čas posledního použití
FlowMon ADS 6.x (aktuální řada) Uživatelská oprávnění (multitenance) Na základě definovaných perspektiv a filtrů Využití pro přístup do GUI i reportování událostí
FlowMon ADS 6.x (aktuální řada) PDF reporty Předdefinované kapitoly, možnost definice vlastních Zobrazení v GUI a pravidelné zasílání e-mailem
FlowMon ADS 6.x (aktuální řada) Změna způsobu zpracování NetFlow dat NetFlow/IPFIX statistiky již do ADS nepřeposíláme ADS je navázáno na profily monitorovacího centra Zvýšení výkonu a lepší možnosti konfigurace Inteligentní samplování přímo v ADS
Představení FlowMon ADS verze 7.0
FlowMon ADS 7.0 Detekce anomálií a útoků ve VoIP provozu Při konfiguraci zdroje dat Podpora SIP na daném zdroji Detekce útoků a incidentů VoIP telefonie OPTIONS, REGISTER a INVITE skeny INVITE a REGISTER záplavy
FlowMon ADS 7.0 Detekce anomálií a útoků ve VoIP provozu Dvojice nových metod SIPSCAN, SIPFLOOD, další metody plánovány Vyžadují data o telefonních hovorech jako součást NetFlow záznamů
FlowMon ADS 7.0 Nové a vylepšené detekční metody REFLECTDOS detekce zneužití NTP a DNS serverů k tzv. reflection/amplification útokům Známé zranitelnosti, časté zdroje DDoS útoků
FlowMon ADS 7.0 Nové a vylepšené detekční metody Event interest index události seřazeny dle nové metriky tzv. zajímavosti Analýza MAC adres (ARP poisoning apod.) SCANS nové možnosti konfigurace, detekce skenů na ARP i skenů bez TCP příznaků UPLOAD sledování párů síťové komunikace, obtížné maskování současným stahováním dat ze stejné IP OUTSPAM rozšířeno na port tcp/587 SSHDICT, RDPDICT nové možnosti konfigurace, sledování na libovolných portech
FlowMon ADS 7.0 Nové modely pro ISP prostředí Optimalizovány pro práci nad vzorkovanými daty Nyní dostupné i pro malé ISP Úprava licenčního modelu Odstraněn pojem zdroj dat fcp instance (flow collection & processing instance) počet nezávislých instancí zpracovávající flow data Odstraněno omezení na počet souběžně pracujících uživatelů
FlowMon Traffic Recorder plugin
FlowMon Traffic Recorder Nový modul pro FlowMon sondy Nahrávání kompletního síťového provozu (L2-L7) Ukládání do PCAP souboru Na základě definovaného filtru Jednotlivé záznamy jako úlohy
FlowMon Traffic Recorder Distribuovaná architektura Konfigurace záznamu provozu z kolektoru Výběr sond a rozhraní pro záznam Centrální správa sond prostřednictvím FlowMon Configuration Center
FlowMon Sondy a Kolektory nové modely
FlowMon 7.0 FlowMon sondy a kolektory aktualizovány hardwarové sestavy pro zvýšení výkonu všechna zařízení nově obsahují rozhraní pro vzdálenou správu (remote management) Nové modely FlowMon sond 2x 40GbE QSFP+ (také jako 8x 10GbE SFP+) dostupný v Q3/2014 1x 100GbE CFP2 monitorovací rozhraní dostupný v Q4/2014
FlowMon 7.0 FlowMon virtuální zařízení (VA) Jediná OVF šablona pro nasazení sondy a kolektoru Po nahrání licence jsou aktivovány požadované funkce Stejný aktualizační balíček pro sondu i kolektor FlowMon sonda VA již neobsahuje vestavěný kolektor Výrazně nižší cena FlowMon kolektor VA obsahuje 2 monitorovací porty pro generování NetFlow/IPFIX dat (funkcionalitu sondy) Cena nezměněna Stačí nasadit jediné zařízení pro monitorování rozsáhlé sítě včetně virtuálního prostředí
FAQ Kdy bude dostupná verze 7.0? začátek července 2014 Kdo má nárok upgradovat na verzi 7.0? každý zákazník s platnou zákaznickou podporou Gold Support Jak upgradovat na verzi 7.0? automatické aktualizace stažení instalačního balíčku ze zákaznického portálu Kde je možné získat další informace? zákaznický portál - www.invea.com/support youtube kanál - InveaTechFlowMon twitter účet - @InveaFlowMon
Těšíme se na Vaši zpětnou vazbu - poznámky, postřehy, připomínky
Otázky? High-Speed Networking Technology Partner info@invea.com 511 205 250 support@invea.com 511 205 251 INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno, Czech Republic www.invea.com