FlowMon 8.0 Představení novinek v řešení FlowMon Petr Špringl, Jan Pazdera {springl pazdera}@invea.com
Přehled řešení FlowMon FlowMon Monitorování datových toků Bezpečnost (NBA) Záznam komunikace v plném rozsahu Měření výkonu aplikací Ochrana před DDoS útoky 2013 2014 2015
FlowMon 8.0 Síťoví i bezpečnostní administrátoři potřebují vědět, jak je jejich síť využívána, jakými aplikacemi i jakými uživateli tradiční flow monitoring přináší informace o komunikacích v síti na úrovni IP adresy, porty, statistické informace to však již nestačí FlowMon detekuje aplikace (Cisco NBAR2) často je náročné k IP adrese dohledat konkrétního uživatele FlowMon nově zahrnuje uživatelské identity
Uživatelské identity autentication Time, login, IP address NetFlow (Time, IP, )
Uživatelské identity Flow statistiky rozšířené o identitu uživatele Nativní součást NetFlow záznamu Dotazy src uid minarik and port Reporty (např. top 10 uživatelů určité služby) FlowMon kolektor jako syslog server Podpora pro různé autentizační mechanismy Otevřená architektura, parsovací pravidla Active Directory, Cisco ISE, DHCP, a další
Uživatelské identity Živá ukázka
FlowMon 8.0 Viditelnost do síťového provozu, detekce aplikací, podpora uživatelských identit to vše je fajn Ale vzhledem k stále rozšířenějšímu konceptu BYOD (Bring Your Own Device) je pro síťové i bezpečnostní administrátory důležité sledovat i další informace jaká zařízení se do sítě připojují? jaké jsou na nich operační systémy? jsou bezpečné? FlowMon nově zahrnuje identifikaci zařízení
Identifikace zařízení Rozšíření viditelnosti do HTTP provozu UserAgent jako zdroj identifikace zařízení Linux; Android 4.2.2; GT-l9195 Build/JDQ39 AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.114 + MAC adresa, IP adresa, VLAN tag, zdroj dat
Identifikace zařízení Živá ukázka
Nové možnosti analýzy Nejenom Top N statistika, ale nově také Poměr mezi Top N a ostatním provozem Zobrazení Top N v čase - s rozlišením 1minuta
FlowMon Dashboard Centrální dashboard s možností zobrazení informací z jakéhokoliv/všech FlowMon modulů již není třeba řešit dashboard samostatně per modul Uživatelský, konfigurovatelný Podpora uživatelských rolí a oprávnění Nová placka na rozcestníku
FlowMon Dashboard Živá ukázka
RESTful API Přidáno API pro získávání dat z řešení FlowMon do vlastního systému (např. pro zákazníky) Možnost získávat data z FMC a FlowMon ADS Možnost konfigurovat FMC, ADS (od 8.0) REST query JSON reply
Automatický záchyt provozu Možnost automaticky ukládat kompletní provoz FlowMon ADS v kombinaci s Traffic Recorder Záchyt provozu na základě definovaných pravidel Detekovaná událost ve FlowMon ADS Daná událost spustí záchyt předmětného provozu Získáváme PCAP následující komunikace dané události pro forenzní analýzu Event detected by ADS Capture set automatically (IPs, ports, time) PCAPs available in ADS, FTR
L7 viditelnost do DNS provozu L7 viditelnost do DNS (Domain Name System) provozu přináší nové možnosti v oblasti Detekce malware Detekce podvržených domén Řešení problémů FlowMon analyzuje DNS dotazy a odpovědi doména, typ dotazu, návratová hodnota FlowMon sonda exportuje informace o DNS FlowMon kolektor Ukládá DNS informace jako součást flow záznamu Obecně použitelné (profily, dashboard, reporty, filtrování)
FlowMon Threat Intelligence FlowMon ADS využívá externí informace o aktuálních hrozbách, útocích a zranitelnostech Nové IP a host reputační databáze na základě reverse engineeringu malware predikce botnet C&C domén update přes services.invea.com součást služby Gold Support Malware and traditional botnets Host reputation Vulnerabilities and attacks Flow signatures FlowMon ADS P2P botnets IP reputation Flow signatury pro nové typy hrozeb s možností tvorby vlastních flow signatur (FlowMon ADS 8.x)
FlowMon Threat Intelligence Živá ukázka
FAQ Kdy bude dostupná verze 8.0? léto 2015 Kdo má nárok upgradovat na verzi 8.0? každý zákazník s platnou zákaznickou podporou Gold Support Jak upgradovat na verzi 8.0? automatické aktualizace stažení instalačního balíčku ze zákaznického portálu Kde je možné získat další informace o řešení FlowMon? web www.invea.com zákaznický portál - www.invea.com/support youtube kanál - InveaTechFlowMon linkedin, twitter
Těšíme se na Vaši zpětnou vazbu - poznámky, postřehy, připomínky
Děkujeme za pozornost! High-Speed Networking Technology Partner info@invea.com 511 205 250 support@invea.com 511 205 251 INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno www.invea.com