Novinky v řešení Flowmon Flowmon Friday 27.5.2016
Pavel Minařík, CTO
[email protected]
Vizualizace a vizuální analýza
Potřebujeme vidět a vědět • VISUAL ANALYTICS pro okamžitý vhled do dění na síti a zvýšení efektivity práce operátora/analytika
www.d3js.org
Flowmon Dashboard • Centrální dashboard a reporty Kombinuje výstupy z jednotlivých Flowmon modulů Nabízí více dashboardů pro každého uživatele Spolupracuje s mobilní aplikací (viz dále) Více dashboardů per uživatel
Widgety z Monitorovacího centra i ADS
Flowmon Mobile Dashboard • Mobilní aplikace pro platformy Android a iOS • Dostupná přes standardní APP Store Zobrazuje Flowmon Dashboard přihlášeného uživatele Vyžaduje Flowmon 8.01
Mobilní aplikace
URL, login, heslo
Flowmon Mobile Dashboard • Mobilní aplikace pro platformy Android a iOS • Dostupná přes standardní APP Store Zobrazuje Flowmon Dashboard přihlášeného uživatele Vyžaduje Flowmon 8.01 Systémové zprávy
Dashboard
Interaktivní vizualizace událostí • Nová a rozšířená interaktivní vizualizace událostí Filtrování a vizualizace více událostí současně HTML/JavaScript bez nutnosti Adobe Flash
Události na mapě světa • Odkud přicházejí útoky? (Kam útočí moje síť?) • S jakými nestandardními destinacemi komunikuji?
Sledování aktivních zařízení • Nový dashboard pro rychlou orientaci • Grafická indikace výrobce zařízení – logo
Monitorování na aplikační vrstvě Pro troubleshooting i bezpečnost
Analýza SMB protokolu • SMB/Samba/CIFS – sdílení souborů po síti nejrozšířenější protokol
• Proč analyzovat na aplikační vrstvě?
Audit
Bezpečnost Provoz
• Přistupoval uživatel ke konkrétním souborům? • Bez ohledu na platformu, aplikaci nebo uživatele • Jaké soubory vytvořila infikovaná stanice od okamžiku nákazy a kde jsou umístěny? • Troubleshooting přístupu k síťovým zdrojům • Monitorování využívání per sdílený prostředek
Analýza SMB protokolu • Detekce výskytu a aktivit ransomware na síti Malware Locky, zaznamenáno i u našich zákazníků
Filtr na název souboru Hlásit libovolný výskyt
Analýza SMB protokolu
1. Zkopírování souboru ze sdíleného úložiště na infikovanou stanici 2. Smazání souboru na sdíleném úložišti 3. Nahrání zašifrovaného souboru zpět na sdílené úložiště
Analýza SMB protokolu • Sonda analyzuje a exportuje informace z L7 SMB1 – typ operace SMB2 – plná viditelnost SMB3 – šifrování, není podporováno
Analýza DHCP provozu • DHCP – dynamické přidělování IP adresace základní síťová služba, nutná pro korektní fungování
• Proč analyzovat na aplikační vrstvě?
Audit
Bezpečnost Provoz
• Kompletní log přidělování IP adres na síti • Bez ohledu na typ DHCP serveru nebo klienta • Neautorizované DHCP servery • Podvržené adresy a síťové konfigurace • Troubleshooting a analýza výkonu DHCP serveru • Analýza přidělování adres v případě DHCP relay
Analýza DHCP provozu Klient
DHCP relay
DHCP server
DHCP request DHCP response IP a MAC DHCP serveru
IP a MAC DHCP relay
Chybí MAC klienta, agregováno, žádné L7
Analýza DHCP provozu Klient
DHCP relay
DHCP server
DHCP request DHCP response DHCP request MAC klienta Název klienta Požadovaná IP
DHCP response MAC klienta Přidělená IP Doba propůjčení
Jednotlivé požadavky, plná L7 viditelnost
Analýza DHCP provozu
Analýza DNS provozu • DNS – překlad doménové jméno vs. IP adresa základní síťová služba, nutná pro korektní fungování
• Proč analyzovat na aplikační vrstvě?
Audit
Bezpečnost Provoz
• Kompletní log transakcí DNS serveru • Bez ohledu na typ DNS serveru nebo klienta • Stanice překládající závadné domény • Využívání nestandardních DNS serverů • Troubleshooting překladu název – IP adresa • Statistiky per typ dotazu, návratová hodnota, …
Analýza DNS provozu DNS server
Klient
DNS query A record type kwqxumgrxdvynqj9.com
DNS response NXDOMAIN
L3/L4
L7
Analýza DNS provozu Klient
DNS server
DNS query A record type kwqxumgrxdvynqj9.com
DNS response NXDOMAIN
Detekce na základě známé C&C domény
Detekce NATu • NAT = Network Address Translation překlad síťových adres za jednou IP adresou schovaných více zařízení
• Proč se NATy zabývat?
Bezpečnost
• Připojování neautorizovaných zařízení do sítě • Využívání sítě v rozporu s bezpečnostní politikou
Ekonomika
• Přeprodej datové konektivity (ISP) • Využívání sítě v rozporu s podmínkami služby
k detekci využíváme informace z L3/L4 a rozšířené HTTP informace
Detekce NATu • NAT Detective prodej a podpora ukončena • Nahrazeno nativní funkcionalitou Sonda – monitorování rozšířených L3/L4 informací Kolektor – ukládání, analýza a reporting ADS – automatická detekce NATů v síti
Detekce NATu • NAT Detective prodej a podpora ukončena • Nahrazeno nativní funkcionalitou Sonda – monitorování rozšířených L3/L4 informací Kolektor – ukládání, analýza a reporting ADS – automatická detekce NATů v síti
Využití L3/L4 indikátorů + informace o operačních systémech, odhad počtu IP adres za NATem
Behaviorální analýza a záznam provozu v plném rozsahu (packet capture)
Aktivita útočníka (port sken, útok na heslo)
Oběť útoku, následně vykazuje anomálie
Mapování cílů útoku útočníkem
Útok na autentizaci SSH
Heslo prolomeno, malware instalován
Infikovaná stanice komunikuje s botnet C&C center
Identifikace botnetu s využitím „Threat intelligence“
Záchyt komunikace v plném rozsahu (PCAP)
Komunikace s botnet C&C center
Pokyn k exfiltraci dat přes ICMP
Pokyn ke zjištění serverů s RDP
Podezřelý ICMP provoz s payloadem
Opět PCAP k dispozici, co bylo odesláno?
/etc/passwd soubor s uživatelskými účty
Vyhledání Windows serverů s RDP
Útok na službu RDP
Monitorování výkonu a odezvy aplikací Korelace mezi webem a databází
Za to já nemůžu, to je zase pomalá síť! správce aplikace
loading, please wait
Síť jede úplně v pohodě, ta aplikace má špatnou odezvu! správce sítě
Monitorování výkonu aplikace Aplikační server
Uživatel
Doba přenosu požadavku Doba odezvy aplikace Doba přenosu odpovědi
Aplikace
Síť
Monitorování výkonu databáze Databázový Aplikační server server
Uživatel
Doba přenosu SQL dotazu
Doba odezvy databázového serveru
Doba přenosu odpovědi
Databáze
Síť
Monitorování výkonu – shrnutí • Sledování doby odezvy a přenosu dat na síti uživatel – aplikace aplikační server – databázový server
• Pro všechny uživatele a transakce v reálném čase Webové / aplikační servery
mirror
Uživatelé
Flowmon Sonda
Databázové Servery
Flowmon APM • Unikátní bez-agentní řešení
Žádný software na aplikačních serverech Žádné změny konfigurace nebo topologie sítě Zcela pasivní a bez vlivu na monitorované aplikace Nasazení a konfigurace v řádu minut
• Hlavní výstupy Odezva aplikace Doba přenosu dat Výskyt chyb
Flowmon APM 3.0 Podpora aplikačních protokolů Webové protokoly
Databázové protokoly
HTTP / 1.1 HTTP / 2.0 SSL dekrypce Korelace transakcí uživatel – aplikace – databáze
Korelace transakcí
Transakce uživatel - aplikace
Všechny relevantní transakce aplikační server - databáze
Korelace transakcí uživatel – aplikace – databáze
Ochrana před útoky typu DDoS Aktivní mitigace útoků
Ochrana před útoky DDoS Podnikové sítě In-line řešení na perimetru Do rychlosti linky
Páteřní sítě Detekce – flow data Mitigace – routery
Flowmon DDoS Defender 3.0
Rychlá detekce BGP Flowspec
• Profilování provozu a baselining v intervalu 30s • Okamžité vyhodnocení útoku a spuštění mitigace
• Automatické stanovení signatury útoku (IP, porty) • Mitigace s využitím routerů (BGP Flowspec, RFC 5575)
Mitigace pomocí BGP Flowspec
Povelování routerů pomocí BGP FlowSpec Detekce DDoS útoku Řízení mitigace
Flowmon with DDoS Defender
Dynamická signatura: Dst IP: 1.1.1.1/32 Dst Port: 135 Protocol IP: 17 (UDP) Drop Sběr flow statistik Aktualizace baseline
Protected Segment 1 (IP: 1.1.1.1/16) Datové centrum, Lokální ISP, atd.
DDoS Attack Service Provider Core
Protected Segment 2
Edge Access
Drop Dst IP: 1.1.1.1/32 Dst Port: 135 Protocol IP: 17 (UDP)
Flowmon DDoS Defender 3.0 živá ukázka – detekce a mitigace
Qtázky?
Driving Network Visibility
Pavel Minařík
[email protected] +420 733 713 703
Flowmon Networks a.s. U Vodárny 2965/2 616 00 Brno, Czech Republic www.flowmon.com
