NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture)

Petr Špringl [email protected]

Monitoring sítě

Network visibility  & security

Perimeter security

End point  security

© INVEA‐TECH 2014

Gartner doporučuje…  Gartner doporučuje vnitřní monitoring sítě za  použití Flow Monitoringu a NBA.

© INVEA‐TECH 2014

FlowMon řešení

© INVEA‐TECH 2014

FlowMon architektura • FlowMon sondy  Pasivní zdroje NetFlow/IPFIX

• FlowMon kolektory  Sběr, vizualizace a analýza dat

• FlowMon ADS  Detekce bezpečnostních hrozeb a anomálií v provozu

© INVEA‐TECH 2014

Umístění FlowMon v infrastruktuře

© INVEA‐TECH 2014

Výhody z hlediska monitoringu sítě • Nová generace monitoringu provozu  a výkonu sítě (NetFlow/IPFIX)    

Poskytuje náhled – “oko” do provozu sítě Šetří čas a peníze správcům sítě Zefektivňuje hledání příčin problémů Snižuje náklady na správu sítě

© INVEA‐TECH 2014

Výhody z hlediska zabezpečení • Nová generace zabezpečení sítě ‐ Analýza chování & Detekce anomálií  Detekuje podezřelé změny v chování  Reportuje anomálie a dlouhodobé útoky  Odhaluje útoky, které se nedají detekovat standardními  metodami používajícími signatury

© INVEA‐TECH 2014

FlowMon ADS Srovnání s tradičními metodami

Umístění v  infrastruktuře Detekční metoda Typy útoků Scale

Tradiční metody

FlowMon ADS

Perimetr sítě

LAN, datové centrum,  perimetr sítě

Analyzuje L7 na základě  signatur

Analyzuje L3/L4 vrstvy,  statistiky, chování

Známe/zmapované útoky

Známe i neznámé útoky  na vrstvách L3/L4

Bezpečnost sítě

Bezpečnost, správa,  provoz sítě

Cílem FlowMon ADS je řešení, které doplňuje tradiční  způsoby zabezpečení sítě nasazením detekčního  systému změn chování v síti a tím zvyšuje bezpečnost. © INVEA‐TECH 2014

Novinky ve FlowMon 7.0 Network Performance Monitoring © INVEA‐TECH 2014

Network Performance Monitoring • Administrátoři potřebují znát jak je jejich síť  využívána a jakými aplikacemi  tradiční flow monitoring přináší informace  o komunikacích v síti na úrovni IP adresy, porty,  statistické informace   to však již nestačí  je potřeba detekovat o jaké aplikace se jedná   detekce aplikací (Cisco NBAR2)  u aplikací je potřeba detekovat jejich výkonové  parametry (ztráta paketů, zpoždění, jitter)   performance monitoring (Cisco AVC ‐ ART) © INVEA‐TECH 2014

Network Performance Monitoring • FlowMon sonda  Detailní analýza výkonových parametrů provozu  Export statistik prostřednictvím IPFIX protokolu

• FlowMon kolektor  Příjem a analýza exportovaných statistik  Podpora příjmu a analýzy Cisco AVC ‐ ART (Application Visibility and  Control – Application Response Time)

© INVEA‐TECH 2014

Network Performance Monitoring TCP handshake

Syn

Ack

Syn,  Ack

RTT

Client request

Server response

Req

Ack

Data

SRT

Data

Data

Data

Delay

Round Trip Time – zpoždění sítě Server Response Time – zpoždění serveru/aplikace Delay (min, max, průměr, odchylka) ‐ mezipaketové mezery klient/server Jitter (min, max, průměr, odchylka) ‐ rozptyl mezipaket. mezer klient/server © INVEA‐TECH 2014

Network Performance Monitoring

© INVEA‐TECH 2014

Novinky ve FlowMon 7.0 Monitorování a analýza VoIP provozu © INVEA‐TECH 2014

FlowMon 7.0 • U VoIP (SIP/RTP) provozu jsme se rozhodli pro  velmi detailní analýzu  Množství VoIP provozu neustále roste  Stále častěji se setkáváme s tím, že zákazníci mají  problém s VoIP provozem a potřebují jej analyzovat  Dedikované nástroje pro VoIP analýzu jsou drahé  Pokud je již řešení FlowMon nasazeno, tak se nabízí jej  pro tyto účely také využít

© INVEA‐TECH 2014

Monitorování, analýza VoIP provozu • FlowMon sonda  detekce a analýza (L7/DPI) VoIP provozu  export statistik prostřednictvím IPFIX protokolu

• FlowMon kolektor  příjem a analýza exportovaných VoIP statistik

© INVEA‐TECH 2014

Monitorování, analýza VoIP provozu • Analýza signalizace  Calling party, Called party, časové informace, ….

• Analýza přenosu hlasu/dat (RTP/RTCP)  Deklarované statistiky – ztráta paketů, jitter, codec….  Měření statistik – ztráta paketů, jitter, zpoždění…

• Detailní analýza a vizualizace průběhu celého hovoru

© INVEA‐TECH 2014

Nový FlowMon plugin pro záchyt a analýzu kompletního provozu © INVEA‐TECH 2014

FlowMon Traffic Recorder • Kdy flow data nestačí a pro analýzu problému  potřebujete celé pakety?  Aplikace nefunguje korektně  Problémy s kompatibilitou, zmatený obsah

• Možnosti  Speciální DPI nástroj ‐ typicky drahé  Notebook s tcpdump ‐ možné, ale složité  FlowMon Traffic Recorder – snadné, vždy dostupné, i  ve vzdálených lokalitách a až pro 10Gb/s

© INVEA‐TECH 2014

FlowMon Traffic Recorder • Nový modul pro FlowMon sondy • Nahrávání kompletního síťového  provozu (L2‐L7) • Ukládání do PCAP souboru • Na základě definovaného filtru • Jednotlivé záznamy jako úlohy

© INVEA‐TECH 2014

FlowMon Traffic Recorder • • • •

Distribuovaná architektura Konfigurace záznamu provozu z kolektoru Výběr sond a rozhraní pro záznam Centrální správa sond prostřednictvím FlowMon Configuration Center

© INVEA‐TECH 2014

Nový FlowMon plugin pro Application Performance Monitoring © INVEA‐TECH 2014

FlowMon APM • Představte si, že můžete sledovat transakce všech  uživatelů vaší aplikace v reálném čase  Měřit dobu odezvy  Oddělit vliv sítě a skutečné zpoždění v aplikaci  Bez jakéhokoliv vlivu na sledovanou aplikaci

© INVEA‐TECH 2014

FlowMon APM • Nový plugin pro FlowMon sond • Application Performance Monitoring  TCP reassembly na vrstvě L7  Měří odezvy a celkovou výkonnost  Nyní podpora HTTP & HTTPS aplikací

• Metriky    

APM index – výkon aplikace měřené jedním číslem Server Response Time – zpoždění serveru Transport time – zpoždění sítě Trending, percentiles, users, error codes, etc. © INVEA‐TECH 2014

FlowMon APM Principle Req 2,3,4

Req 1

Res 2

Res 1

RT1 TT1

RT2

Res 3

RT3

Res 4

RT4

TT4

RT = Server Response Time – zpoždění způsobené serverem TT = Transport Time – zpoždění způsobené sítí © INVEA‐TECH 2014

FlowMon APM • Jak aplikace (či její části) fungují reálným uživatelům • Problém zjistíte dříve, než si začnou uživatelé stěžovat • Usnadňuje lokalizaci chyb, způsobující zhoršení  aplikační výkonnosti • Umožňuje reportování skutečné odezvy aplikací

© INVEA‐TECH 2014

FlowMon shrnutí • Viditelnost do sítě, objem a struktura provozu, reporting  Flow Monitoring

• Automatická detekce bezpečnostních a provozních incidentů  Network Behavior Analysis (NBA)

• Sledování výkonnostních ukazatelů sítě  Network Performance Monitoring (NPM)

• Záchyt a analýza kompletního provozu  Packet Capture

• Sledování výkonnosti aplikací  Application Performance Monitoring (APM)

© INVEA‐TECH 2014

INVEA‐TECH • Česká společnost, univerzitní spin‐off, spolupráce  CESNET a univerzity, projekty EU • Založena 2007 • Oblasti působení:  Flow Monitoring  Network Behavior Analysis  Network Performance Monitoring

• Přes 500 instalací řešení FlowMon

© INVEA‐TECH 2014

Děkuji za pozornost!

High‐Speed Networking Technology Partner

Petr Špringl [email protected] +420 724 899 760

INVEA‐TECH a.s.  U Vodárny 2965/2 616 00  Brno, Czech Republic www.invea.com

© INVEA‐TECH 2014