WWW.TAKTIS.EU
FlowMon – Monitoring IP provozu Ing. Martin Ťupa 10. 03. 2016 Brno
TAKTIS CZ s.r.o. Havlíčkovo nám. 152/4 Žďár nad Sázavou 591 01 Sídlo společnosti: Mezi Vodami 639/27, Praha 4 143 00
Reálná zkušenost s DDoS útokem • • • • •
Distributed Denial of Service Nedostupnost služeb Saturace aktivního prvku/serveru Objednávka DDoS útoku!!! Jaká je obrana?
TAKTIS CZ s.r.o. Havlíčkovo nám. 152/4, Žďár nad Sázavou 591 01 Sídlo společnosti: Mezi Vodami 639/27, Praha 4 143 00
[email protected]
+420 734 837 006
Další bezpečnostní hrozby Infikovaná stanice Vnitřní útoky, sofistikovaný útok hackerů: • Informační technologie • Botnetem infikovaná stanice z lokální sítě zavlečená do DDoS útoků – Neobvyklé komunikace – Odchylky od standardního chování stanic a celé sítě
TAKTIS CZ s.r.o. Havlíčkovo nám. 152/4, Žďár nad Sázavou 591 01 Sídlo společnosti: Mezi Vodami 639/27, Praha 4 143 00
[email protected]
+420 734 837 006
Další bezpečnostní hrozby DNS Changer Pokročilá hrozba, únik dat: • Informační technologie • Změna používaného DNS serveru na stanici
– Možnost manipulace s DNS záznamy a přístupem na webové servery, Geolokace
TAKTIS CZ s.r.o. Havlíčkovo nám. 152/4, Žďár nad Sázavou 591 01 Sídlo společnosti: Mezi Vodami 639/27, Praha 4 143 00
[email protected]
+420 734 837 006
Další bezpečnostní hrozby útok na HTTP autentizaci Vnější útok, sociální inženýrství: • Průmyslová výroba • Pokusy o uhodnutí hesla pro phpMyAdmin – Vedeno z IP adresy v Indonésii – Detaily ze sedmé vrstvy (hostname, URL)
TAKTIS CZ s.r.o. Havlíčkovo nám. 152/4, Žďár nad Sázavou 591 01 Sídlo společnosti: Mezi Vodami 639/27, Praha 4 143 00
[email protected]
+420 734 837 006
FlowMon architektura •
FlowMon sondy
•
FlowMon kolektory
•
FlowMon pluginy
– Pasivní zdroj síťových statistik (NetFlow) – Sběr, vizualizace a analýza síťových statistik
– Další funkce – ADS (detekce anomálií, behaviorální analýza), DR (data retention)
TAKTIS CZ s.r.o. Havlíčkovo nám. 152/4, Žďár nad Sázavou 591 01 Sídlo společnosti: Mezi Vodami 639/27, Praha 4 143 00
[email protected]
+420 734 837 006
FlowMonitoring - princip
TAKTIS CZ s.r.o. Havlíčkovo nám. 152/4, Žďár nad Sázavou 591 01 Sídlo společnosti: Mezi Vodami 639/27, Praha 4 143 00
[email protected]
+420 734 837 006
Přínos pro administrátory … • Detailní přehled o dění v síti (LAN i WAN) – jak v reálném čase, tak kdykoliv v minulosti • Přesné, rychlé a efektivní řešení síťových problémů • Snadné plánování kapacit a optimalizací sítě
• Dodržení zákona č. 357/2012 • Předcházení zahlcení aktivních prvků a výpadků sítě
• Snížení nákladů na provoz síťě
TAKTIS CZ s.r.o. Havlíčkovo nám. 152/4, Žďár nad Sázavou 591 01 Sídlo společnosti: Mezi Vodami 639/27, Praha 4 143 00
[email protected]
+420 734 837 006
Nasazení - enterprise • Sondy v jednotlivých lokalitách, centrální kolektory – Redundantní nasazení, vysoká dostupnost
• Monitorování provozu – Klienti – servery – Klienti – WAN – Servery – WAN
• Výstupy – Webové rozhraní – E-mailové alerty – SIEM (syslog)
TAKTIS CZ s.r.o. Havlíčkovo nám. 152/4, Žďár nad Sázavou 591 01 Sídlo společnosti: Mezi Vodami 639/27, Praha 4 143 00
[email protected]
+420 734 837 006
Network Behavior Analysis = analýza chování sítě Cílem NBA je detekovat hrozby, které nelze detekovat ostatními technologiemi
Cisco: „Pokud ve své síti neodhalíte žádné útoky, tak to ještě neznamená, že tam nejsou – ale pravděpodobně je jen nejste schopni detekovat.“
TAKTIS CZ s.r.o. Havlíčkovo nám. 152/4, Žďár nad Sázavou 591 01 Sídlo společnosti: Mezi Vodami 639/27, Praha 4 143 00
[email protected]
+420 734 837 006
Přínosy NBA • Detekce nežádoucích vzorů chování – Vnitřní i vnější útoky – Nežádoucí služby a aplikace – Provozní a konfigurační problémy
• Profily chování – Podle dat, počtu spojení, množství komunikací mezi partnery,..
• Detekce anomálií
– Neobvyklé komunikace – Odchylky od standardního chování stanic a celé sítě
TAKTIS CZ s.r.o. Havlíčkovo nám. 152/4, Žďár nad Sázavou 591 01 Sídlo společnosti: Mezi Vodami 639/27, Praha 4 143 00
[email protected]
+420 734 837 006
..bezpečnost a management.. • Přínosy řešení pro bezpečnostní oddělení: – detekce vnitřních i vnějších útoků, změn chování v síti – kontrola přístupů uživatelů k datovým zdrojům – porovnání bezpečnostních politik se skutečným stavem v síti – dohledávání a prokazování bezpečnostních incidentů – prevence před únikem informací ze společnosti • Přínosy řešení pro management: – snížení nákladů na správu a provoz sítě – statistiky (tabulky, koláčové grafy) o využití sítě – kontrola využívání elektronických zdrojů zaměstnanci (např. využití Internetu v pracovní době) – omezení využívání p2p aplikací ap.
TAKTIS CZ s.r.o. Havlíčkovo nám. 152/4, Žďár nad Sázavou 591 01 Sídlo společnosti: Mezi Vodami 639/27, Praha 4 143 00
[email protected]
+420 734 837 006
Řešení FlowMon – Vaše síť pod kontrolu • Kompletní řešení pro monitorování sítě na základě IP toků • Založeno na technologii NetFlow v5/v9 • Poskytuje informace kdo, s kým, jak dlouho, jakým protokolem komunikoval a kolik přenesl dat • Data Retention – zákonná povinnost pro ISP • Unikátní přínos pro uživatele • Řešení pro sítě všech velikostí • Technologie vytvořená v ČR
TAKTIS CZ s.r.o. Havlíčkovo nám. 152/4, Žďár nad Sázavou 591 01 Sídlo společnosti: Mezi Vodami 639/27, Praha 4 143 00
[email protected]
+420 734 837 006
[email protected] TAKTIS CZ s.r.o. Havlíčkovo nám. 152/4 Žďár nad Sázavou 591 01 Sídlo společnosti: Mezi Vodami 639/27, Praha 4 143 00
WWW.TAKTIS.EU
+420 734 837 006
