NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com
Monitoring sítě Network visibility &security Perimeter security End point security
Gartner doporučuje Gartner doporučuje vnitřní monitoring sítě za použití Flow Monitoringu a NBA.
FlowMon řešení
FlowMon architektura FlowMon sondy Pasivní zdroje NetFlow/IPFIX FlowMon kolektory Sběr, vizualizace a analýza dat FlowMon ADS Detekce bezpečnostních hrozeb a anomálií v provozu
Umístění FlowMon v infrastruktuře
Výhody z hlediska monitoringu sítě Nová generace monitoringu provozu a výkonu sítě (NetFlow/IPFIX) Poskytuje náhled oko do provozu sítě Šetří čas a peníze správcům sítě Zefektivňuje hledání příčin problémů Snižuje náklady na správu sítě
Výhody z hlediska zabezpečení Nová generace zabezpečení sítě Analýza chování & Detekce anomálií Detekuje podezřelé změny v chování Reportuje anomálie a dlouhodobé útoky Odhaluje útoky, které se nedají detekovat standardními metodami používajícími signatury
FlowMon ADS Srovnání s tradičními metodami Tradiční metody FlowMon ADS Umístění v infrastruktuře Detekční metoda Typy útoků Perimetr sítě Analyzuje L7 na základě signatur Známe/zmapované útoky LAN, datové centrum, perimetr sítě Analyzuje L3/L4 vrstvy, statistiky, chování Známe i neznámé útoky na vrstvách L3/L4 Scale Bezpečnost sítě Bezpečnost, správa, provoz sítě Cílem FlowMon ADS je řešení, které doplňuje tradiční způsoby zabezpečení sítě nasazením detekčního systému změn chování v síti a tím zvyšuje bezpečnost.
Novinky ve FlowMon 7.0 Network Performance Monitoring
Network Performance Monitoring Administrátoři potřebují znát jak je jejich síť využívána a jakými aplikacemi tradiční flow monitoring přináší informace o komunikacích v síti na úrovni IP adresy, porty, statistické informace to však již nestačí je potřeba detekovat o jaké aplikace se jedná detekce aplikací (Cisco NBAR2) u aplikací je potřeba detekovat jejich výkonové parametry (ztráta paketů, zpoždění, jitter) performance monitoring (Cisco AVC ART)
Network Performance Monitoring FlowMon sonda Detailní analýza výkonových parametrů provozu Export statistik prostřednictvím IPFIX protokolu FlowMon kolektor Příjem a analýza exportovaných statistik Podpora příjmu a analýzy Cisco AVC ART (Application Visibility and Control Application Response Time)
Network Performance Monitoring TCP handshake Client request Server response Syn Ack Req Syn, Ack Ack Data Data Data Data RTT SRT Delay Round Trip Time zpoždění sítě Server Response Time zpoždění serveru/aplikace Delay (min, max, průměr, odchylka) mezipaketové mezery klient/server Jitter (min, max, průměr, odchylka) rozptyl mezipaket. mezer klient/server
Network Performance Monitoring
Novinky ve FlowMon 7.0 Monitorování a analýza VoIP provozu
FlowMon 7.0 U VoIP (SIP/RTP) provozu jsme se rozhodli pro velmi detailní analýzu Množství VoIP provozu neustále roste Stále častěji se setkáváme s tím, že zákazníci mají problém s VoIP provozem a potřebují jej analyzovat Dedikované nástroje pro VoIP analýzu jsou drahé Pokud je již řešení FlowMon nasazeno, tak se nabízí jej pro tyto účely také využít
Monitorování, analýza VoIP provozu FlowMon sonda detekce a analýza (L7/DPI) VoIP provozu export statistik prostřednictvím IPFIX protokolu FlowMon kolektor příjem a analýza exportovaných VoIP statistik
Monitorování, analýza VoIP provozu Analýza signalizace Calling party, Called party, časové informace,. Analýza přenosu hlasu/dat (RTP/RTCP) Deklarované statistiky ztráta paketů, jitter, codec. Měření statistik ztráta paketů, jitter, zpoždění Detailní analýza a vizualizace průběhu celého hovoru
Nový FlowMon plugin pro záchyt a analýzu kompletního provozu
FlowMon Traffic Recorder Kdy flow data nestačí a pro analýzu problému potřebujete celé pakety? Aplikace nefunguje korektně Problémy s kompatibilitou, zmatený obsah Možnosti Speciální DPI nástroj typicky drahé Notebook s tcpdump možné, ale složité FlowMon Traffic Recorder snadné, vždy dostupné, i ve vzdálených lokalitách a až pro 10Gb/s
FlowMon Traffic Recorder Nový modul pro FlowMon sondy Nahrávání kompletního síťového provozu (L2 L7) Ukládání do PCAP souboru Na základě definovaného filtru Jednotlivé záznamy jako úlohy
FlowMon Traffic Recorder Distribuovaná architektura Konfigurace záznamu provozu z kolektoru Výběr sond a rozhraní pro záznam Centrální správa sond prostřednictvím FlowMon Configuration Center
Nový FlowMon plugin pro Application Performance Monitoring
FlowMon APM Představte si, že můžete sledovat transakce všech uživatelů vaší aplikace v reálném čase Měřit dobu odezvy Oddělit vliv sítě a skutečné zpoždění v aplikaci Bez jakéhokoliv vlivu na sledovanou aplikaci
FlowMon APM Nový plugin pro FlowMon sond Application Performance Monitoring TCP reassembly na vrstvě L7 Měří odezvy a celkovou výkonnost Nyní podpora HTTP & HTTPS aplikací Metriky APM index výkon aplikace měřené jedním číslem Server Response Time zpoždění serveru Transport time zpoždění sítě Trending, percentiles, users, error codes, etc.
FlowMon APM Principle Req 1 Req 2,3,4 Res 1 Res 2 Res 3 Res 4 RT1 RT2 RT3 RT4 TT4 TT1 RT = Server Response Time zpoždění způsobené serverem TT = Transport Time zpoždění způsobené sítí
FlowMon APM Jak aplikace (či její části) fungují reálným uživatelům Problém zjistíte dříve, než si začnou uživatelé stěžovat Usnadňuje lokalizaci chyb, způsobující zhoršení aplikační výkonnosti Umožňuje reportování skutečné odezvy aplikací
FlowMon shrnutí Viditelnost do sítě, objem a struktura provozu, reporting Flow Monitoring Automatická detekce bezpečnostních a provozních incidentů Network Behavior Analysis (NBA) Sledování výkonnostních ukazatelů sítě Network Performance Monitoring (NPM) Záchyt a analýza kompletního provozu Packet Capture Sledování výkonnosti aplikací Application Performance Monitoring (APM)
INVEA TECH Česká společnost, univerzitní spin off, spolupráce CESNET a univerzity, projekty EU Založena 2007 Oblasti působení: Flow Monitoring Network Behavior Analysis Network Performance Monitoring Přes 500 instalací řešení FlowMon
Děkuji za pozornost! High Speed Networking Technology Partner Petr Špringl springl@invea.com +420 724 899 760 INVEA TECH a.s. U Vodárny 2965/2 616 00 Brno, Czech Republic www.invea.com