PLNOG15: Farm machine, taxi or armored car and maybe all in one – in other words how to use NetFlow for traffic engineering, service delivery and network security - Klaudyna Busza
PLNOG15: Farm machine, taxi or armored car and maybe all in one – in other words how to use NetFlow for traffic engineering, service delivery and network security
infraxstructure: Stas Levitan, "Always On" business in cloud - 2016"
Similar to PLNOG15: Farm machine, taxi or armored car and maybe all in one – in other words how to use NetFlow for traffic engineering, service delivery and network security - Klaudyna Busza
Similar to PLNOG15: Farm machine, taxi or armored car and maybe all in one – in other words how to use NetFlow for traffic engineering, service delivery and network security - Klaudyna Busza (20)
PLNOG15: Farm machine, taxi or armored car and maybe all in one – in other words how to use NetFlow for traffic engineering, service delivery and network security - Klaudyna Busza
1. Klaudyna Busza
Maszyna rolnicza, taksówka czy wóz pancerny, czyli
jak wykorzystać NetFlow do inżynierii ruchu,
świadczenia usług i ochrony sieci?
busza@invea.com
support@invea.com
5. 1. Inżynieria ruchu
• Długotrwałe przechowywanie statystyk z wielu źródeł (Data Retention),
wizualizacja i analiza
• Niezależność od wyposażenia sieci, producentów sprzętu sieciowego i
topologii
• Informacje o tym kto komunikuje się z kim, jak długo, jaki protokół, ilość
ruchu i więcej (Troubleshooting)
• Wsparcie rozpoznawania aplikacji NBAR2 / swoje definicje
• Optymalizacja kosztów operacyjnych i łączy
6. 1. Inżynieria ruchu
Analiza obciążenia urządzeń i interfejsów (jaki ruch/dokąd)
Service Provider Core
Access
Edge
R2
R1
R3 R4
R5
7. 1. Inżynieria ruchu
Analiza ruchu przychodzącego/wychodzącego do sąsiednich AS
Service Provider Core
Access
Edge Customer 2
Customer 1AS 1
AS 2
8. 2. Bezpieczeństwo
• Zaawansowana analiza Netflow – Anomaly Detection System
Uzupełnia lukę pozostawioną przez rozwiązania do zabezpieczenia
brzegu sieci oraz ochronę antywirusową
Detekcja anomalii bazująca na analizie behawioralnej
Detekcja polymorphic malwares, ataków zero days, podejrzanych
transferów danych, zmian zachowania i różnych problemów
operacyjnych i konfiguracyjnych
• Wsparcie dla SIEM
• Raporty e-mail, pdf
9. 2. Bezpieczeństwo
• Detekcja i eliminacja ataków DDoS
Skoncentrowane na wolumetrycznym ataku
Używa danych o flow z różnych źródeł (router, probe)
Przewidywana wielkość ruchu używając dynamicznych profili ruchu
Dostarcza charakterystyki ataku i powiadomienia
Wsparcie dla FlowSpec –już krótce!
• Uniwersalny scenariusz wdrożeniowy
FlowMon DDoS Defender
Standalone
Out-of-band elimination
of DDoS attack
(PBR, BGP)
Scrubbing Center
10. 3. Świadczenie usług
• Wykorzystanie tych samych modułów
Konta użytkowników dla klientów
Różne rodzaje uprawnień
Możliwość analizy swoich danych
Możliwość tworzenia alarmów i raportów
Automatycznie generowane raporty-utworzone przez administratora
11. Rozwiązanie FlowMon
• FlowMon Collectors
Zbieranie Netflow z różnych źródeł, raportowanie, analiza
• FlowMon Probes
Sondy generują statystyki Netflow dla kolektora
• FlowMon plugins
Możliwości rozbudowy systemu: ADS, DDoS, APM, FTR, DR