Jak ochráníte svoji síť v roce 2015? Michal Motyčka motycka@invea.com
Gartner doporučuje Gartner doporučuje monitorovat vnitřní síť pomocí Flow Monitoringu a NBA INVEA-TECH 2015
Přehled síťové bezpečnosti Viditelnost do sítě & bezpečnost Bezpečnost na perimetru Bezpečnost Koncových stanic INVEA-TECH 2015
Úlovky
Útok na HTTP autentizaci Zdravotnictví Vedeno z IP adresy v Indonésii Pokusy o uhodnutí hesla do phpmyadmin Detaily ze sedmé vrstvy (hostname, URL)
Porušování politik Průmyslová výroba TOR (Onion router) klient na koncové stanici Uživatel obchází bezpečnostní opatření Pro přístup k zablokovaným zdrojům
Infikovaná stanice Informační technologie Botnetem infikovaná stanice z lokální sítě zavlečená do DDoS útoků na Spamhaus
DNS Changer Informační technologie Změna používaného DNS serveru na stanici Možnost manipulace s DNS záznamy a přístupem na webové servery
Chybná konfigurace Průmyslová výroba Chybně nakonfigurovaný řídící systém Pokusy o navazování komunikace do Internetu V systému od výroby bez možnosti změny
Únik dat Obchodní společnost Zaměstnanec ve výpovědi Uložení interních dokumentů na sdílený disk poskytovaný službou Yahoo Zaznamenáno jako pohyb dat z LAN do internetu Po prošetření poměrně závažný incident
Odposlech provozu Služby Pokročilý malware přesměroval provoz na infikovanou stanici prostřednictvím DHCP
FlowMon řešení
Přehled technologií
FlowMon architektura Monitorováni síťového provozu FlowMon Sondy samostatné pasivní zdroje statistik ze sítě Sběr - statistik NetFlow o / IPFIX data provozu FlowMon Kolektor úložiště, vizualizace a vyhodnocení síťových statistik FlowMon ADS Vizualizace a detekce anomálií detekce anomálií, behaviorální analýza INVEA-TECH 2015
FlowMon řešení
FlowMon Monitoring Center
Network Monitoring Benefits Monitorování provozu sítě nové generace & Performance Monitoring (NetFlow/IPFIX) Informace o aktivních zařízeních v síti, Reporting & Alerting system na základě Vámi vytvořených profilů Viditelnost až do aplikační vrstvy L7 (URL, hostnames) Značně snižuje náklady na síťové implementace a jejich správu INVEA-TECH 2015
FlowMon řešení
FlowMon ADS
Bezpečnostní analýza Síťová bezpečnost nové generace Behaviorální analýza & detekce anomálií Odhaluje a rozpoznává útoky, které nejsou detekovány řešeními postavenými na signaturách Detekuje podezřelé změny chování Reportuje anomálie, DDoS i Advanced Persistant Threats INVEA-TECH 2015
IPS vs. NBA (IDS vs. ADS) IPS (Intrusion Prevention System) Detekce útoků založená na rozpoznávání signatur Založeno na analýze aplikací L7 Ochrana proti známým hrozbám již detekovaným a pojmenovaným Závislé na databázi vzorů výrobce Působí na perimetru, neefektivní proti vnitřním hrozbám Nepoužitelné pro šifrovaný provoz Blokuje podezřelý provoz NBA (Network Behavior Analysis) Detekce změn chování a podezřelé komunikace Založeno na analýze IP statistik Detekce pokročilých útoků, Zero- Day útoků Nepoužívá žádné signatury LAN, WAN, analýza perimetru - odhalí vnitřní hrozby Pracuje i s šifrovaným provozem Pasivní pouze informuje Signature detection Host or network level INVEA-TECH 2015 Behavior detection Network level
Shrnutí
FlowMon řešení
FlowMon Traffic Recorder
FlowMon Traffic Recorder Záznam vybraného provozu datové sítě on demand v plném rozsahu (L2-L7) Podpora 10 Gbps sítí Výsledky ve formátu PCAP pro následnou analýzu Široké možnosti filtrace a kritérií pro záznam provozu Distribuovaná architektura pro zadávání požadavků z centrálního kolektoru
FlowMon řešení
FlowMon APM
Technický přehled Nový FlowMon plug-in Application Performance Monitoring Pracuje na L7, rekonstrukce TCP spojení Distribuovaná architektura (Sonda, Kolektor) Měření doby odezvy a výkonu aplikace Navrženo pro HTTP&HTTPS aplikace Co měříme? APM index výkon aplikace v jednom čísle Doba odezvy serveru Doba přenosu dat Trendy, percentily, uživatelé, chybové kódy, atd. loading, please wait
FlowMon řešení
FlowMon DDoS Defender
Co umí DDoS Defender? Detekce útoků typu DoS a DDoS a upozornění uživatele v reálném čase Pokročilé možnosti okamžité reakce (spuštění skriptu, mitigace) Postačuje základní kvalita flow dat z běžných aktivních prvků (NetFlow v5/v9, IPFIX, jflow, NetStream, sflow) Přesměrování provozu do čističky či scrubbing centra Výsledek? Významné zrychlení reakční doby na útok
FlowMon řešení
INVEA-TECH Česká společnost, univerzitní spin-off, spolupráce CESNET a univerzity, projekty EU Založena 2007 Oblasti působení: Flow Monitoring Network Behavior Analysis NPM, APM, Packet Capture Přes 500 instalací řešení FlowMon
Kontakt High-Speed Networking Technology Partner Michal Motyčka motycka@invea.com +420 739 865 333 INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno Czech Republic www.invea-tech.com