FlowMon Představení FlowMon verze 7.0
Petr Špringl,
[email protected] Jan Pazdera,
[email protected] Pavel Minařík,
[email protected]
Obsah • FlowMon řešení co to je, co zahrnuje?
• FlowMon novinky posledních měsíců (6.x) představení novinek – verze 7.0
• FlowMon ADS novinky posledních měsíců (6.x) představení novinek – verze 7.0
• Další novinky
Řešení FlowMon • FlowMon sondy zdroj síťových statistik (NetFlow/IPFIX dat)
• FlowMon kolektory vizualizace a vyhodnocení síťových statistik
• FlowMon ADS detekce bezpečnostních událostí a anomálií
Řešení FlowMon • FlowMon Configuration Center • FlowMon Monitoring Center • FlowMon ADS
FlowMon • FlowMon 5.0 – 2012 Kompletně nové uživatelské rozhraní Nová hardwarová platforma
• Neustále rozšiřování funkcí i rozhraní Na základě trendů a požadavků uživatelů Uživatelský dashboard Automatické reporty Integrace FMC a ADS Konfigurační možnosti
Detekce aktiv. zařízení (BYOD) Pokročilé analytické možnosti Nové hardwarové modely a další…
FlowMon 6.x (aktuální řada) • • • •
Rozpoznávání aplikací – podpora Cisco NBAR2 Monitorování HTTP provozu Automatická detekce nových zdrojů dat Přepracovaný Dashboard ve FlowMon ADS
FlowMon 6.x (aktuální řada) • Vylepšená administrace uživatelů, multitenance Možnost vytvářet podprofily Udělování práv na základě modulů i dat (profilů a zdrojů dat)
FlowMon 6.x (aktuální řada) • Logování činnosti uživatelů a systému Log přihlašování a provádění změn Systémový log Systémové zprávy
FlowMon 6.x (aktuální řada) • Podpora pro desítky zdrojů na kolektoru Profiled/non-profiled zdroj a interface
Grafický/tabulkový pohled, vyhledávání
FlowMon 6.x (aktuální řada) • Dotazy na pozadí
Podpora dotazování delších časových intervalů Dotazy automaticky spouštěny na pozadí Lze dále pracovat a výsledek si vyzvednout později Paměť posledních 10 výsledků per uživatel
FlowMon 6.x (aktuální řada) • Alerty nad pohyblivým průměrem Počítány 5-minutové průměry (počty toků, paketů, provozu) za poslední měsíc V rámci jednotlivých dnů porovnávány aktuální hodnoty s průměry a dle nastavených podmínek jsou zasílána upozornění
FlowMon 6.x (aktuální řada) • Automatické aktualizace Dostupné přes portál services.invea.com Pokud je nová verze dostupná, FlowMon nabídne uživateli aktualizaci Podpora připojení přes proxy server Politika aktualizací
Nejnovější release jde vždy do beta programu Po ověření označen jako stable verze
FlowMon 6.x (aktuální řada) • • • •
Customizace reportů - logo, grafika, barva, text Plovoucí statistika kanálů Přechod z dashboardu přímo do Analýzy Monitoring ARP (L2) - detekce problémů na úrovni L2 • sledování L2 provozu v LAN a datových centrech
Představení FlowMon verze 7.0
FlowMon 7.0 • Administrátoři potřebují znát jak je jejich síť využívána a jakými aplikacemi tradiční flow monitoring přináší informace o komunikacích v síti na úrovni IP adresy, porty, statistické informace to však již nestačí je potřeba detekovat o jaké aplikace se jedná detekce aplikací (Cisco NBAR2) u aplikací je potřeba detekovat jejich výkonové parametry (ztráta paketů, zpoždění, jitter) performance monitoring (Cisco AVC - ART)
FlowMon 7.0 Performance monitoring • FlowMon sonda Detailní analýza výkonových parametrů provozu Export statistik prostřednictvím IPFIX protokolu
• FlowMon kolektor Příjem a analýza exportovaných statistik Podpora příjmu a analýzy Cisco AVC - ART (Application Visibility and Control – Application Response Time)
Performance Monitoring TCP handshake
Syn
Ack
Syn, Ack
RTT
Client request
Server response
Req
Ack
SRT
Data
Data
Data
Data
Delay
Round Trip Time – zpoždění sítě Server Response Time – zpoždění serveru/aplikace Delay (min, max, průměr, odchylka) - mezipaketové mezery klient/server Jitter (min, max, průměr, odchylka) - rozptyl mezipaket. mezer klient/server
FlowMon 7.0 • U VoIP (SIP/RTP) provozu jsme se rozhodli jít ještě dále a analyzovat jej velmi detailně Množství VoIP provozu neustále roste Stále častěji se setkáváme s tím, že zákazníci mají problém s VoIP provozem a potřebují jej analyzovat Dedikované nástroje pro VoIP analýzu jsou drahé Pokud je již řešení FlowMon nasazeno, tak se nabízí jej pro tyto účely také využít
FlowMon 7.0 Monitorování a analýza VoIP provozu • FlowMon sonda detekce a analýza (L7/DPI) VoIP provozu export statistik prostřednictvím IPFIX protokolu
• FlowMon kolektor příjem a analýza exportovaných VoIP statistik
FlowMon 7.0 Monitorování a analýza VoIP provozu • Analýza signalizace Calling party, Called party, časové informace, ….
• Analýza přenosu hlasu/dat (RTP/RTCP) Deklarované statistiky – ztráta paketů, jitter, codec…. Měření statistik – ztráta paketů, jitter, zpoždění…
• Detailní analýza a vizualizace průběhu celého hovoru
FlowMon ADS verze 6.x
FlowMon ADS 6.x (aktuální řada) • Agregace událostí Snížení počtu událostí jejich seskupením Snížení náročnosti analýzy a zvýšení efektivity práce
FlowMon ADS 6.x (aktuální řada) • Zlepšení práce s false positives
Možnost definovat předem pro další adresy a události Možnost automatické expirace Komentáře k pravidlu Počet použití pravidla Datum a čas posledního použití
FlowMon ADS 6.x (aktuální řada) • Uživatelská oprávnění (multitenance) Na základě definovaných perspektiv a filtrů Využití pro přístup do GUI i reportování událostí
FlowMon ADS 6.x (aktuální řada) • PDF reporty Předdefinované kapitoly, možnost definice vlastních Zobrazení v GUI a pravidelné zasílání e-mailem
FlowMon ADS 6.x (aktuální řada) • Změna způsobu zpracování NetFlow dat
NetFlow/IPFIX statistiky již do ADS nepřeposíláme ADS je navázáno na profily monitorovacího centra Zvýšení výkonu a lepší možnosti konfigurace Inteligentní samplování přímo v ADS
Představení FlowMon ADS verze 7.0
FlowMon ADS 7.0 • Detekce anomálií a útoků ve VoIP provozu • Při konfiguraci zdroje dat Podpora SIP na daném zdroji
• Detekce útoků a incidentů VoIP telefonie OPTIONS, REGISTER a INVITE skeny INVITE a REGISTER záplavy
FlowMon ADS 7.0 • Detekce anomálií a útoků ve VoIP provozu Dvojice nových metod SIPSCAN, SIPFLOOD, další metody plánovány Vyžadují data o telefonních hovorech jako součást NetFlow záznamů
FlowMon ADS 7.0 • Nové a vylepšené detekční metody REFLECTDOS – detekce zneužití NTP a DNS serverů k tzv. reflection/amplification útokům Známé zranitelnosti, časté zdroje DDoS útoků
FlowMon ADS 7.0 • Nové a vylepšené detekční metody Event interest index – události seřazeny dle nové metriky tzv. „zajímavosti“ Analýza MAC adres (ARP poisoning apod.) SCANS – nové možnosti konfigurace, detekce skenů na ARP i skenů bez TCP příznaků UPLOAD – sledování párů síťové komunikace, obtížné maskování současným stahováním dat ze stejné IP OUTSPAM – rozšířeno na port tcp/587 SSHDICT, RDPDICT – nové možnosti konfigurace, sledování na libovolných portech
FlowMon ADS 7.0 • Nové modely pro ISP prostředí Optimalizovány pro práci nad vzorkovanými daty Nyní dostupné i pro malé ISP
• Úprava licenčního modelu Odstraněn pojem zdroj dat fcp instance (flow collection & processing instance)
počet nezávislých instancí zpracovávající flow data
Odstraněno omezení na počet souběžně pracujících uživatelů
FlowMon Traffic Recorder plugin
FlowMon Traffic Recorder • Nový modul pro FlowMon sondy • Nahrávání kompletního síťového provozu (L2-L7) • Ukládání do PCAP souboru • Na základě definovaného filtru • Jednotlivé záznamy jako úlohy
FlowMon Traffic Recorder • • • •
Distribuovaná architektura Konfigurace záznamu provozu z kolektoru Výběr sond a rozhraní pro záznam Centrální správa sond prostřednictvím FlowMon Configuration Center
FlowMon Sondy a Kolektory nové modely
FlowMon 7.0 • FlowMon sondy a kolektory aktualizovány hardwarové sestavy pro zvýšení výkonu všechna zařízení nově obsahují rozhraní pro vzdálenou správu (remote management)
• Nové modely FlowMon sond 2x 40GbE QSFP+ (také jako 8x 10GbE SFP+)
dostupný v Q3/2014
1x 100GbE CFP2 monitorovací rozhraní
dostupný v Q4/2014
FlowMon 7.0 • FlowMon virtuální zařízení (VA) Jediná OVF šablona pro nasazení sondy a kolektoru
Po nahrání licence jsou aktivovány požadované funkce Stejný aktualizační balíček pro sondu i kolektor
FlowMon sonda VA již neobsahuje vestavěný kolektor
Výrazně nižší cena
FlowMon kolektor VA obsahuje 2 monitorovací porty pro generování NetFlow/IPFIX dat (funkcionalitu sondy)
Cena nezměněna Stačí nasadit jediné zařízení pro monitorování rozsáhlé sítě včetně virtuálního prostředí
FAQ • Kdy bude dostupná verze 7.0? začátek července 2014
• Kdo má nárok upgradovat na verzi 7.0? každý zákazník s platnou zákaznickou podporou – Gold Support
• Jak upgradovat na verzi 7.0? automatické aktualizace stažení instalačního balíčku ze zákaznického portálu
• Kde je možné získat další informace? zákaznický portál - www.invea.com/support youtube kanál - InveaTechFlowMon twitter účet - @InveaFlowMon
Těšíme se na Vaši zpětnou vazbu poznámky, postřehy, připomínky
Otázky?
High-Speed Networking Technology Partner
[email protected] 511 205 250
[email protected] 511 205 251
INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno, Czech Republic www.invea.com