Monitorování datových sítí: Dnes

Monitorování datových sítí: Dnes FlowMon Friday, 29.5.2015

Petr Špringl [email protected]

Obsah • Monitorování datových toků = Flow monitoring

• Flow monitoring a bezpečnost sítě = Network Behavior Analysis (NBA)

• FlowMon = řešení pro monitorování a bezpečnost sítí

Monitorování sítě • SNMP (monitoring)  pouze na úrovni základních čítačů, chybí detailní informace

• Flow monitoring = monitorování datových toků  detailní přehled o dění v síti

• Paketová analýza  velmi detailní, ale časově velmi náročná, občas potřebná

Flow monitoring • Měření na základě IP toků • Analyzují se hlavičky paketů, obsah paketů není monitorován ani uchováván • Moderní metoda monitorování sítí, Cisco standard • Redukce dat cca 500:1

Flow monitoring Telefonní účet - výpis hovorů

Počítačová síť - flow monitoring

Flow monitoring - architektura • Zdroje NetFlow/IPFIX dat   

přepínače, směrovače – jako přidaná funkcionalita sondy – dedikovaná zařízení firewally, UTM zařízení a další

• Kolektory – centrální úložiště a analýza dat

Shrnutí přínosů flow monitoringu • Detailní přehled o dění v síti (LAN i WAN) – jak v reálném čase, tak kdykoliv v minulosti • Přesné, rychlé a efektivní řešení problémů • Zvýšení bezpečnosti, odhalení vnitřních i vnějších útoků • Snadné plánování kapacit a optimalizací sítě • Dohled nad využitím Internetu, využitím aplikací • Předcházení incidentům jako jsou zahlcení a výpadky sítě • Odhalení špatných konfigurací

Flow monitoring a bezpečnost sítě

Bezpečnost na perimetru • Firewall, IDS/IPS, UTM, aplikační firewall, web filtr, email security, vzdálený přístup

Bezpečnost koncových stanic • Antivir, personální firewall, antimalware, antirootkit, endpoint DLP

To však již nestačí!

Moderní kybernetické hrozby … • Pokročilé hrozby (Advanced Persistent Threats) • Cílené útoky a průmyslová špionáž • Zero-day útoky a polymorfní malware • Společné vlastnosti    

Přesně cílené na prostředí oběti Šifrované a skryté v gigabitech běžného provozu Signatury nejsou dostupné Neviditelné pro tradiční řešení (AV, IDS/IPS, firewall…) které chrání před známými hrozbami a útočníky

Bezpečnost vnitřní sítě • Viditelnost do sítě – flow monitoring, NBA – behaviorální analýza, automatická detekce anomálií

Fyzická vs. síťová bezpečnost

Network Behavior Analysis • Network Behavior Analysis = analýza chování sítě • Moderní „nadstavba“ nad monitorováním datových toků • Automatická detailní analýza NetFlow/IPFIX dat • Detekce nežádoucích vzorů chování  vnitřní i vnější útoky  nežádoucí služby a aplikace

• Behaviorální analýza  profily chování  detekce anomálií, podezřelého chování

NBA – trend v bezpečnosti • Gartner:  „Pokud máte Firewall a IDS/IPS, zvažte jako další krok implementaci NBA.“

• Cisco:  „Pokud ve své síti neodhalíte žádné útoky, tak to ještě neznamená, že tam nejsou – ale pravděpodobně je jen nejste schopni detekovat.“

• Cílem NBA je detekovat hrozby, které nelze detekovat ostatními technologiemi

Shrnutí přínosů NBA • • • • •

Detekce vnitřních i vnějších útoků Upozornění na změny chování v síti Odhalování běžného i neznámého malware Identifikace potenciálních úniků dat Dohledávání a prokazování provozních a bezpečnostních incidentů

Řešení FlowMon

Řešení FlowMon

FlowMon Monitorování datových toků

Bezpečnost (NBA)

2013

Záznam komunikace v plném rozsahu

Měření odezvy sítě a aplikací

2014

Ochrana před útoky typu DDoS

2015

FlowMon architektura

Monitorování síťového provozu

FlowMon sondy • samostatné pasivní zdroje statistik Sběr- statistik o ze sítě NetFlow / IPFIX data provozu FlowMon kolektor • úložiště, vizualizace a vyhodnocení síťových statistik FlowMon moduly Vizualizace a detekce anomálií • detekce anomálií, záznam provozu, monitorování výkonu aplikací …

Z pohledu uživatele • Monitorování provozu v síti (NetFlow/IPFIX)  Kompletní viditelnost do dění v síti  Real-time a historická data pro LAN & WAN & komunikaci do Internetu  Optimalizace správy a provozu sítě  Efektivní troubleshooting

• Bezpečnost datové sítě (NBA, NBAD)  Jediný způsob, jak detekovat pokročilé hrozby  Založeno na behaviorální analýze  Detekce pokročilého malware, zero-day útoků, podezřelých přenosů dat, změn chování a dalších incidentů

Z pohledu uživatele • Záznam provozu v plném rozsahu  Na vyžádání při řešení problémů a incidentů  Distribuovaná architektura  Podpora sítí 1G/10G/40G

• Monitorování výkonu aplikací  Sledování uživatelských transakcí bez SW agentů  Rozlišení zpoždění aplikace/sítě, sledování SLA  Určeno pro HTTP/HTTPS aplikace a MS SQL databáze

• Ochrana před DDoS útoky  Detekce volumetrických útoků  Aktivní řízení směrování provozu a mitigace

Děkuji za pozornost

High-Speed Networking Technology Partner

Petr Špringl [email protected] 724 899 760

INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno www.invea.com