Flow monitoring a NBA

Podobné dokumenty
Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Firewall, IDS a jak dále?

Firewall, IDS a jak dále?

Monitorování datových sítí: Dnes

FlowMon Vaše síť pod kontrolou

Flow Monitoring & NBA. Pavel Minařík

FlowMon Monitoring IP provozu

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Flow monitoring a NBA

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

FlowMon ADS praktické aplikace a případové studie. Pavel Minařík INVEA-TECH, a.s.

FlowMon Vaše síť pod kontrolou!

Proč, kde a jak nasazovat flow monitoring a behaviorální analýzu

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Kybernetické hrozby - existuje komplexní řešení?

FlowMon Vaše síť pod kontrolou!

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

FlowMon chytré české řešení pro bezpečnostní a provozní monitoring sítí. Jiří Tobola, Petr Špringl, INVEA-TECH

FlowMon Vaše síť pod kontrolou!

Flow monitoring a NBA

Co vše přináší viditelnost do počítačové sítě?

Nejlepší přítel správce sítě! Řešení bezpečnosti Vaší sítě v Cloudu. Pavel Minařík CTO, AdvaICT,a.s.

Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Koncept BYOD. Jak řešit systémově? Petr Špringl

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Kybernetické hrozby jak detekovat?

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Koncept. Centrálního monitoringu a IP správy sítě

Zákon o kybernetické bezpečnosti: kdo je připraven?

Co se skrývá v datovém provozu?

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Praktické ukázky, případové studie, řešení požadavků ZoKB

Bezpečná a efektivní IT infrastruktura

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Monitoring, správa IP adresního prostoru a řízení přístupu do sítí

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Koncept centrálního monitoringu a IP správy sítě

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Aktivní bezpečnost sítě

Jak využít NetFlow pro detekci incidentů?

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Provozně-bezpečnostní monitoring datové infrastruktury

Accelerate your ambition

OBJEDNÁVKA 014/2016/002/002/10

FlowMon. Představení FlowMon verze 7.0. Petr Špringl, Jan Pazdera, Pavel Minařík,

Multimediální služby v taktických IP sítích

Flowmon. Altron Congress Artur Kane, Flowmon Evangelist

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Technické aspekty zákona o kybernetické bezpečnosti

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

FlowMon novinky. Představení FlowMon verze 5.0. Petr Špringl

Detekce volumetrických útoků a jejich mi4gace v ISP

PB169 Operační systémy a sítě

SÍŤOVÁ INFRASTRUKTURA MONITORING

Sledování výkonu aplikací?

Network Measurements Analysis (Nemea)

Network Audit Komplexní provozní a bezpečnostní monitoring sítě

Smlouva o dílo. Dodávka systéme. síťového monitoringu. Smluvní strany

Systém detekce a pokročilé analýzy KBU napříč státní správou

Představení Kerio Control

Proč prevence jako ochrana nestačí? Luboš Lunter

Strategie sdružení CESNET v oblasti bezpečnosti

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

TOP 10 produktů a služeb

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Monitoring provozu poskytovatelů internetu

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.

Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow

Nasazení a využití měřících bodů ve VI CESNET

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

Monitorování datových sítí: Vize 2020

AddNet integrovaný DDI/NAC nástroj

IT které pomáhá a chrání. Kybernetická bezpečnost a povinnosti z ní vyplývající

Integrované řízení a zabezpečení sítě cesta k rychlé reakci na kybernetické hrozby

AddNet. Detailní L2 monitoring a spolehlivé základní síťové služby (DDI/NAC) základ kybernetické bezpečnosti organizace. Jindřich Šavel 19.9.

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Vyberte takový SIEM, který Vám skutečně pomůže. Robert Šefr

Koncept aktivní bezpečnosti a spolehlivosti IT infrastruktury. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.

Dohledové centrum egovernmentu. Aplikace ZoKB v praxi

Výzva k podání nabídky na veřejnou zakázku malého rozsahu na dodávku

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Aby vaše data dorazila kam mají. Bezpečně a včas.

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí

Č.j. MV /VZ-2014 V Praze 22. dubna 2015

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

Datové služby. Písemná zpráva zadavatele

Bezpečnostní projekt Případová studie

služby pro dostupnost síťového provozu jsou již dostupné

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

Optimalizaci aplikací. Ing. Martin Pavlica

Sledování provozu sítě

Transkript:

Flow monitoring a NBA Další krok pro zvýšení bezpečnosti počítačové sítě Petr Špringl springl@invea.cz

Čím se zabýváme? Monitoring sítě správa, optimalizace, troubleshooting Máte přehled o síťových komunikacích nejen do Internetu ale i v rámci WAN a LAN? Vidíte do sítě real-time i historicky? Neplatíte zbytečně moc poskytovali Internetu nebo WAN? Je vaše síť pomalá? Mají vaše síťové aplikace dlouhé odezvy? Jsou správci schopni odhalovat síťové problémy snadno a rychle? Nejsou ve vaší síti zneužívány služby P2P či přístup na web? Bezpečnost sítě detekce i hrozeb a útoků, které nejsou odhalitelné jinými nástroji Jste schopni detekovat viry a malware nepodchycený antiviry? Máte nástroj pro odhalování podezřelých změn chování v síti? 2/38

Monitoring sítě - možnosti SNMP pouze na úrovni základních čítačů, chybí detailní informace Monitoring toků detailní přehled o dění v síti Paketová analýza velmi detailní, ale časově velmi náročná 3/38

Monitorování toků

Proč flow monitoring? 80% administrátorů neví jaké je složení datových toků 10% uživatelů typicky vygeneruje 90% provozu kteří to jsou? kolik je v síti email a web serverů (legitimních nelegitimních)? až 50% toků někdy tvoří zbytečné komunikace SYN RESET kolik provozu se generuje na tiskárnu? => monitoring vnitřní sítě, alerting, reporting Jaké weby a další internetové služby jsou využívány v sítí ISP: vytvoření nového tarifu např. pro Facebook příznivce Standardní organizace: vydání nové směrnice pokud internetová rádia a videa tvoří 80% provozu na WAN linkách a zpomalují klíčový informační systém identifikace uživatelů řádících na ulož.to, youtube, P2P streamech.. 6/38

Proč flow monitoring? 99% uživatelů zažilo problém - síť je pomalá problém je typicky neřešitelný není důkaz zda za to může lokání síť, aplikace či síť poskytovatele Internetu, WAN => vyhodnocení odezev sítě a identifikace problému 50-90% provozu na Internetu tvoří P2P provoz je síť vaší organizace z tohoto pohledu bezproblémová? a co skype či instant messaging? => detekce bittorentů, skypů, IM (včetně šifrovaných) 7/38

Přínosy flow monitoringu Stoprocentní znalost a přehled o komunikacích v síti síť přestane být blackbox ve kterém běhají nějak pakety Řádové snížení času nutného k řešení problémů Vyšší efektivita správců sítě efektivní troubleshooting Kompletní reporting o dění na sítí Přehled o využití síťových služeb a šířek pásma aplikacemi Optimalizace síťové infrastruktury Dohled SLA (pobočky, poskytované služby) Vyšší efektivita zaměstnanců proaktivní přístup: blacklisting X whitelisting X proaktivní monitoring weby, messengery, rádia, videa, p2p sítě Předcházení incidentům a výpadkům sítě 8/38

Bezpečnostní sítě - trendy Nové trendy vyžadují používání nových technologií 9/38

Bezpečnostní sítě - trendy Již se nestačí bránit pouze na perimetru 10/38

Bezpečnostní nástroje Firewall IDS/IPS Antivir Network Behavior Analysis (NBA) SIEM (log management) 11/38

Network Behavior Analysis Network Behavior Analysis = analýza chování sítě Moderní nadstavba nad monitorováním datových toků Automatická pokročilá detailní analýza NetFlow dat Detekce nežádoucích vzorů chování vnitřní i vnější útoky nežádoucí služby a aplikace Behaviorální analýza profily chování detekce anomálií, podezřelého chování Účinné i pro moderní útoky psané na míru Behavior detection Network level Signature detection Host level 12/38

Detekce známých vzorů nežádoucího chování

Detekce anomálií

Doporučení Gartner Gartner: Pokud máte Firewall a IDS/IPS, zvažte jako další krok implementaci NBA, Gartner. INVEA-TECH identifikována Gartnerem v NBA segmentu 17/38

Gartner a realita Gartner Realita Neexistuje bezpečnost bez monitoringu. Mnoho lidí bylo dlouho přesvědčeno že bezpečnost stačí budovat na perimetru a monitoring je zbytečná práce navíc. Opak je pravdou. bezpečná organizace = firewall + IPS + NBA doporučení pro zákazníky: pokud máte FW a IPS, implementujte jako další krok NBA 90% organizací nemá implementován systém monitorování datových toků / síťových komunikací a behaviorální analýzy vzrůstající požadavky na monitoring a bezpečnost, audity finančních institucí, budování CSIRT týmů na mnoha úrovních chybějící nástroje pro podporu implementace a kontroly ISO 27000 18/38

Proč NBA? Počet napadených organizací neustále roste a tyto útoky mívají fatální následky Nejedná se pouze o útoky na velké společnosti, ale ty jsou nejvíce vidět ČR: státní správa, banky a pojišťovny ISS a INVEA-TECH 19/38

Proč NBA? Statistika Eurostat report únor 2011 84% počítačů v Evropě je chráněno anti-malware programem 31% počítačů v Evropě je nakaženo nějakým typem malware => FlowMon detekce malware na základě chování (scany atp)! SPAM nejenom dostáváme ale často i generujeme problém pokud se organizace dostane na black listy => FlowMon detekce odchozího spamu 20/38

Přínosy behaviorální analýzy Přínosy zvýšení nejen vnější ale zejména vnitřní bezpečnosti sítě detekce skenování sítí, slovníkových útoků, útoků typu denial of service (DoS, DDoS), útoků na aplikační protokoly, P2P aktivit, spyware, spamů, virů nebo botnet sítí identifikace nežádoucích služeb (např. podvodných web serverů) odhalení specifických i dosud neznámých hrozeb pro které neexistují signatury (a IPS ani antiviry je neodhalí) budování profilů chování jednotlivých zařízení a detekce změn komunikačních partnerů, objemů provozu či struktury provozu Instalace obrana proti sociálnímu inženýrství a úniky informací z organizace účinné i pro šifrovaný provoz network-based řešení - vše je monitorováno automaticky 21/38

Řešení FlowMon

FlowMon síť pod kontrolou! Kompletní řešení pro monitorování sítě na základě IP toků Založeno na technologii NetFlow v5/v9 Poskytuje informace kdo, s kým, jak dlouho, jakým protokolem komunikoval a kolik přenesl dat Nejlepší poměr cena/výkon na trhu Unikátní přínos pro uživatele Řešení pro sítě všech velikostí Technologie vytvořená v ČR 23/38

FlowMon architektura FlowMon sondy zdroj síťových statistik (NetFlow dat) FlowMon kolektory vizualizace a vyhodnocení síťových statistik 24/38

FlowMon sondy Výkonné autonomní NetFlow sondy - zdroj záznamů o IP tocích ve formátu NetFlow v5/v9/ipfix Mobilní, L2/L3 neviditelná zařízení transparentní pro monitorovanou síť, použitelná v libovolném bodě sítě Standardní a hardwarově akcelerované modely Vzdálená konfigurace přes intuitivní webové rozhraní Podpora 10/100/1000 Ethernetu, 10 GE, IPv4, IPv6, VLAN Vestavěný kolektor pro okamžité uložení a analýzu dat 25/38

Standardní modely Kompaktní 1U sondy s dobrým výkonem za nízkou cenu Vhodné pro většinu standardních sítí výkon více než 500 000 paketů za vteřinu u gigabitových modelů více než 1 500 000 paketů za vteřinu u desetigigabitových modelů Metalická i optická rozhraní, modely se SFP a SFP+ porty Modely FlowMon Probe 100 Office, 1000, 2000, 4000, 6000, 10000, 20000 Jeden administrativní a až 6 monitorovacích 1 GbE portů nebo až dva 10 GbE monitorovací porty 26/38

FlowMon kolektory Dlouhodobé uložení síťových statistik z několika zdrojů Kolektorová aplikace pro analýzu NetFlow/IPFIX/sFlow statistik FlowMon Monitorovací Centrum vždy v ceně zařízení Zobrazení a analýzy síťového provozu Profesionální řešení pro větší sítě RAID, redundantní napájení, úložná kapacita 1 TB 100 TB dohled nad sítí z centrálního bodu v síti 27/38

Webové rozhraní zařízení Intuitivní webové rozhraní se zabezpečeným přístupem Nastavení zařízení - FlowMon Konfigurační Centrum Vizualizace statistik - FlowMon Monitorovací Centrum 28/38

FlowMon Monitorovací Centrum Grafy a tabulky komunikací, formulář pro detailní analýzy Top N statistiky (uživatelé, služby, navštěvované servery) Předdefinovaná sada pohledů na standardní protokoly Uživatelsky definované pohledy (pobočky, servery, uživatelé) Reporty - online/offline, do emailu v PDF/CSV Upozornění na email - alerty, dynamické tresholdy 29/38

FlowMon - pluginy 30/38

FlowMon ADS Detekce nežádoucích vzorů chování vnitřní i vnější útoky nežádoucí služby a aplikace provozní a konfigurační problémy Behaviorální analýza profily chování detekce anomálií sběr statistik Přehledné uživatelské rozhraní dashboard s okamžitou indikací problémů a top statistik interaktivní vizualizace událostí integrace informací ze služeb DNS, WHOIS, geolokační služby Komplexní filtrování, alerting, reporting 31/38

FlowMon ADS Detekce nežádoucích vzorů chování útoky (skenování portů, slovníkové útoky, denial of service, protokol telnet) anomálie datového provozu (DNS, multicast, nestandardní komunikace) anomálie v chování zařízení (změna dlouhodobého profilu chování zařízení) nežádoucí aplikace (P2P sítě, instant messaging, anonymizační služby) interní bezpečnostní problémy (viry, spyware, botnety) poštovní provoz (odchozí spam) provozní problémy (zpoždění, nadměrná zátěž, reverzní DNS záznamy) 32/38

FlowMon ADS Profily chování Obecná role zařízení klient/server Objem provozu Unikátní komunikační partneři Využívané a poskytované služby Celkový poměr aktivity IP adresy 33/38

Typické projekty Flow monitoring a NBA nejsou drahé technologie a jsou dostupné pro většinu organizací Příklady nasazení: FlowMon sonda pro monitoring vnitřní sítě: 3.600 FlowMon sonda pro monitoring LAN, WAN, Internet: 8.500 rozšiřující modul NBA pro detekci anomálií: 7.000 34/38

Přínosy pro administrátory Detailní přehled o dění v síti (LAN i WAN) jak v reálném čase, tak kdykoliv v minulosti Přesné, rychlé a efektivní řešení problémů Zvýšení bezpečnosti, odhalení vnitřních i vnějších útoků Snadné plánování kapacit a optimalizací sítě Dohled nad využitím Internetu, využitím aplikací Předcházení incidentům jako jsou zahlcení a výpadky sítě Odhalení špatných konfigurací 35/38

..bezpečnost a management Přínosy řešení pro bezpečnostní oddělení: detekce vnitřních i vnějších útoků, změn chování v síti kontrola přístupů uživatelů k datovým zdrojům porovnání bezpečnostních politik se skutečným stavem v síti dohledávání a prokazování bezpečnostních incidentů prevence před únikem informací ze společnosti Přínosy řešení pro management: snížení nákladů na správu a provoz sítě statistiky (tabulky, koláčové grafy) o využití sítě kontrola využívání elektronických zdrojů zaměstnanci (např. využití Internetu v pracovní době) omezení využívání p2p aplikací ap. 36/38

Bezpečnostní analýzy sítí Detailní analýzy Vaší sítě se zaměřením na bezpečnost, výkonnost a optimální využití její kapacity Nejmodernější metody pro monitorování IP toků Nezávislé monitorovací sondy FlowMon Bohaté zkušenosti v oblasti sledování a zabezpečení sítí Přínosy bezpečnostních analýz: detailní znalost provozu na síti prevence potencionálních bezpečnostních problémů odhalení nesprávných konfigurací rychlé řešení problémů určení kritických míst sítě detailní statistiky aktivit uživatelů a služeb návrh řešení monitorování sítě na bázi NetFlow 37/38

Děkuji za pozornost Váš partner ve světě vysokorychlostních sítí Petr Špringl springl@invea.cz 511 205 252 INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno www.invea.cz 38/38

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář