FlowMon Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon INVEA-TECH a.s.
[email protected]
INVEA-TECH • Česká společnost, univerzitní spin-‐off, spolupráce CESNET a univerzity, projekty EU • Založena 2007 • OblasI působení:
Flow Monitoring Network Behavior Analysis Network Performance Monitoring
• Přes 500 instalací řešení FlowMon • Vybrané reference:
10/3/13
FlowMon © INVEA-‐TECH 2013
2/29
NetFlow – princip technologie
10/3/13
FlowMon © INVEA-‐TECH 2013
3/29
NetFlow – sledování provozu
10/3/13
FlowMon © INVEA-‐TECH 2013
4/29
NetFlow – výběr řešení Klíčové vlastnos< Podpora verzí NetFlow
NetFlow v5 nestačí, požadujte v9 i IPFIX
Disková kapacita
Pro uložení provozu alespoň 1 rok zpětně
Úroveň detailu
Individuální toky, i pro historická data
ReporIng & alerIng
Na základě libovolných NetFlow atributů, uživatelsky definovatelné
Behaviorální analýza
Thresholdy nejsou behaviorální analýza, požadujte automaIckou detekci incidentů
Sledování akIvních zařízení
Na úrovni přístupové vrstvy, sledování MAC-‐IP a podpora konceptu BYOD
Technické řešení
Preferujte appliance, prosté SW řešení nevyhoví požadavků enterprise segmentu
10/3/13
FlowMon © INVEA-‐TECH 2013
5/29
NetFlow – využití • Viditelnost do sítě, objem a struktura provozu, reporIng
Flow Monitoring
• AutomaIcká detekce bezpečnostních a provozních incidentů
Network Behavior Analysis
• Sledování výkonnostních ukazatelů
10/3/13
Network Performance Monitoring
FlowMon © INVEA-‐TECH 2013
6/29
Co se skrývá v datovém provozu? • Jak vypadal provoz naší sítě během jednoho dne? Je všechno v souladu s naším očekáváním?
10/3/13
FlowMon © INVEA-‐TECH 2013
7/29
Co se skrývá v datovém provozu? • Podívejme se na špičku. To bude v pořádku, IT oddělení provádí migraci dat. Nic zvláštního tam není.
Opravdu? Nebo bychom měli prozkoumat provoz z jiného úhlu pohledu?
10/3/13
FlowMon © INVEA-‐TECH 2013
8/29
Co se skrývá v datovém provozu? • Podívejme se na provoz z pohledu bezpečnostní analýzy, co je červená špička kolem jedné ráno?
10/3/13
FlowMon © INVEA-‐TECH 2013
9/29
Co se skrývá v datovém provozu? • Jde o útok z dvojice IP adres, které se nachází v Číně • Obě adresy jsou známí útočníci
10/3/13
FlowMon © INVEA-‐TECH 2013
10/29
Co se skrývá v datovém provozu? • Oba útoky nebyly úspěšné, můžeme se podívat na detaily až na úroveň jednotlivých spojení (toků)
10/3/13
FlowMon © INVEA-‐TECH 2013
11/29
Co se skrývá v datovém provozu? • Vraťme se zpět k přehledu provozu • Časové okno 1:00 – 2:00 • Pouze SSH provoz našeho serveru
Musíte vědět co hledáte nebo používat odpovídající nástroje pro analýzu provozu
10/3/13
FlowMon © INVEA-‐TECH 2013
12/29
Malware v korporátních sítích • Že o něm nevíte, neznamená, že tam není • Žádná 100% prevence neexistuje, pouze včasná detekce
10/3/13
FlowMon © INVEA-‐TECH 2013
13/29
Malware v korporátních sítích
10/3/13
FlowMon © INVEA-‐TECH 2013
14/29
Úniky dat
10/3/13
FlowMon © INVEA-‐TECH 2013
15/29
Šíření SPAMu
10/3/13
FlowMon © INVEA-‐TECH 2013
16/29
Nežádoucí aplikace • The Onion Router
10/3/13
Klient pro různé OS Nevyžaduje zvláštní schopnosI Není možné detekovat analýzou obsahu Vhodné pro obcházení poliIk a omezení
FlowMon © INVEA-‐TECH 2013
17/29
Podpora konceptu BYOD • Monitorování akIvních zařízení v síI • Sledování přiřazení IP adresa – MAC adresa
Zpracování a analýza NetFlow z přístupové vrstvy
• IdenIfikace výrobce zařízení
10/3/13
FlowMon © INVEA-‐TECH 2013
18/29
Řešení FlowMon • FlowMon Kolektor
sběr a vizualizace síťových staIsIk dlouhodobé uložení a reporIng
• FlowMon ADS
10/3/13
detekce bezpečnostních a provozních událos{ a anomálií SW součást výbavy kolektoru
FlowMon © INVEA-‐TECH 2013
19/29
Nasazení řešení • Centralizovaná architektura
Sběr NetFlow z jednoho nebo několika core přepínačů Ukládání a vyhodnocování na centrálním kolektoru
• Sledovaný provoz
KlienI – WAN KlienI – servery Servery – WAN
• Vhodné pro
10/3/13
Datová centra Velké podniky
FlowMon © INVEA-‐TECH 2013
20/29
Nasazení řešení • Decentralizovaná architektura
Sběr NetFlow z řady hraničních routerů Ukládání a vyhodnocování na centrálním kolektoru
• Sledovaný provoz
Lokalita – WAN Lokalita – MPLS Lokalita – DC
• Vhodné pro
10/3/13
Pobočky
FlowMon © INVEA-‐TECH 2013
21/29
Shrnutí na konec
NBA v akci Srovnání technologií
10/3/13
FlowMon © INVEA-‐TECH 2013
22/29
NBA v akci 28.5. 9:00 …
Nevím, co se děje Většina z nás se nedostane na Internet Ale informační systém je funkční Ve školící místnosI je vše v pořádku
10/3/13
FlowMon © INVEA-‐TECH 2013
23/29
NBA v akci 28.5. 9:05 … 78 port skenů? DNS anomálie?
10/3/13
FlowMon © INVEA-‐TECH 2013
24/29
NBA v akci 28.5. 9:10 … Jaký DNS server se používá? 192.168.0.53? To je notebook! Jak se mu to podařilo?
10/3/13
FlowMon © INVEA-‐TECH 2013
25/29
NBA v akci 28.5. 9:15 … Zdá se, že máme v síI nový DHCP server Ale to je notebook Novákové…
10/3/13
FlowMon © INVEA-‐TECH 2013
26/29
NBA v akci 28.5. 11:00 … A co vy? Kolik máte infikovaných zařízení v síI?
10/3/13
FlowMon © INVEA-‐TECH 2013
27/29
Srování technologií
10/3/13
FlowMon © INVEA-‐TECH 2013
28/29
Děkuji za pozornost
Váš partner ve světě vysokorychlostních sí{
INVEA-TECH a.s.
[email protected] 511 205 250
INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno www.invea.cz
10/3/13
FlowMon © INVEA-‐TECH 2013
29/29