Flowmon Roadmap. Pavel Minařík, CTO

Flowmon Roadmap

Pavel Minařík, CTO [email protected]

Aktuální témata

Distribuovaná architektura • Zvýšení výkonu pro velké instalace • Vysoká dostupnost a škálovatelnost Master Unit •Konfigurace •Management •Reporting •…

Slave Units •Úložiště •Analýza Lokace •Geografické •Logické

Data Centrum 1

Data Centrum …

Data Centrum N

Šifrovaný flow export • Tradiční NetFlow/IPFIX export protokol

UDP, speciální formát, ale plain text

• IPFIX přes TCP s použitím TLS (RFC 5153) TCP, spolehlivý, šifrovaný

 Založený na SSL certifikátech  Připravený pro nasazení v cloudu  Splňuje RFC (budoucí použití)

flow forwarding

Uživatelsky definované detekce • Uživatel může definovat vlastní detekční metody pro Flowmon ADS  Syntaxe podobná SQL 

V budoucnu s podporou regulárních výrazů

 Událost je detekována a reportována standardní cestou  Zpracování události      

Perspektivy Notifikace Reporty Log management/SIEM Skriptování Spouštění záchytu paketů

retefe2 banking tojan destination_port IN (80,443) AND hurl LIKE '/ICECVREU.js?%' AND #src_filter#

Users accessing porn sites? destination_port IN (80,443) AND hhost LIKE '%porn%' AND #src_filter#

DDoS Defender UI & Funkce • Nové uživatelské rozhraní Flowmon DDoS Defender  Dashboard pro uživatele s plným přístupem  Dashboard definovaný per uživatel  Integrované reporty do Flowmon Dashboard  REST API pro získávání informací o útoku  Zobrazení baselines per chráněný segment  Hromadná úprava chráněných segmentů  Zobrazení dynamické signatury útoku i bez podpory BGP Flowspec

H2/2016

Architektura tradičního dávkového zpracování

Architektura zpracování flow

5 minut Profily, aktualizace reportů Reportování událostí

Detekce útoků

Architektura streamového zpracování

Architektura zpracování flow

Ve vývoji Dostupné v 8.01

30s profily Události v reporty, alerty real-time

30s detekce 1s detekce

+ celkové zvýšení výkonu, zejména Flowmon ADS

Podpora virtualizace

2015 2013

2016

Zvýšení viditelnosti do HTTP • Cisco HTTP viditelnost (AVC)  HTTP hostname & URL  Řetězce proměnné délky exportované přes NetFlow v10 (IPFIX)

• HTTP typ metody  CONNECT, HEAD, GET, PUT, …

• SSL certifikát      

Rozšířená viditelnost

Bezpečnost TLS_CLI_VER: TLS Client Version Slabé certifikáty TLS_SER_VER: TLS Server Version TLS_SER_CIPS: TLS Cipher Suite chosen by server Zranitelnosti TLS_PKEY_LENGTH: RSA Public key length TLS_PKEY_EXPONENT: RSA Public key exponent TLS_PKEY_ALGORITHM: Public key algorithm used in cetificate

Grafy a vizualizace NPM • Metriky pro Network Performance Monitoring vizualizovány přímo v grafech provozu  Další Y osa pro výkonnostní metriky  RTT, SRT, jitter, … ms

RTT

Grafy a vizualizace NPM • Kapacita a reálné využití rozhraní/linky (utilizace) zobrazená v grafech a součástí reportů  Získané přes SNMP nebo manuálně nastavené uživatelem per interface 1Gbps

SNMP informace Aktuální využití 2 %, průměr 8 %

„Přehrání“ flow a PCAP • Zachycený plný provoz (PCAP) převedený do flow PCAP file upload

Flowmon Sonda

Flow data

• Zachycené flows v PCAP „přehrány“ do kolektoru Flowmon Kolektor flows in PCAP file

upload

replay

• Zjednodušená diagnostika a analýza problémů • Data mohou být znovupoužita v modulech FMC, ADS, DDoS Defender

Budoucí vývoj APM • Přepočítávání skupinových metrik  Pro přepočítání historických dat při založení nové skupiny

• Uživatelsky definované agregace a pohledy  Uživatelé zaznamenávající nejpomalejší odezvy  Počet transakcí na uživatele  …

• Vizualizace a výkonnostní metriky • Notifikace a změny metrik • Podpora REST API, Flowmon Dashboard a centrální reporting

REQ TT RT REP TT

Strategie vývoje produktu výhled 2017-2020

ITOA: IT Operations Analytics • Získávání, analýza a reportování dat pro podporu a automatizaci IT operations • Hlavní oblasti zájmu  Korelace flow a ADS/APM dat pro ITOA  Root cause analýza, baselining, profiling a předpovídání  Konfigurační wizzardy, předdefinované pohledy, reporty

Ochrana před DDoS útoky • Nová generace Flowmon DDoS Defender  Rozsáhlé instalace  Detekce a reakce v reálném čase  Různé možnosti mitigace  

BGP Flowspec jako standard SDN v budoucnu

 Úrovně mitigace   



Pravidla pro mitigaci útoků na různých úrovních Využití infrastruktury pro mitigaci Integrace s mitigačními zařízeními třetích strach Podpora pro mitigaci s využitím srubbing center

Záchyt paketů a analýza • Nová generace Flowmon Traffic Recorder  Rozšířené možnosti filtrace/záchytu 

L3/L4 + L7, kombinace filtrů

 Vestavěné webové GUI pro analýzu PCAP 

Nikoliv náhrada za Wireshark

 Hlubší integrace s FMC 

Spouštění záchytu přímo z analýzy ve FMC

 Use-casy pro pokročilou analýzu  Možnosti extrakce dat  V souladu s trendy ITOA

Dotazy?

Driving Network Visibility

Pavel Minařík [email protected] +420 733 713 703

Flowmon Networks a.s. U Vodárny 2965/2 616 00 Brno, Czech Republic www.flowmon.com