Flowmon Networks

Společnost Flowmon Networks je od roku 2007 výrobcem FPGA řešení pro síťový provoz. Od roku 2015 se samostatným vývojem HW zabývá její sesterská společnost Netcope Technologies. Její portfolio obsahuje samostatné karty, zařízení i platformu pro vývoj firmware. Flowmon dále vyvýjí související řešení pro síťový monitoring.

Na základě těchto zkušeností se zpracováním síťového provozu vzniklo monitorovací řešení FlowMon. Jak již název napovídá, využívá protokolu NetFlow původně vyvinutým společnosti CISCO k monitorování IP toků. Z toho vychází architektura celého řešení, které typicky používá exportéry pro sběr informací a kolektory k jejich interpretaci. Druhy dat, které je možno získat, závisí na použité verzi NetFlow, přičemž nejširší škálu informací lze získat prostřednictvím konfigurovatelné verze 9, nebo jejího nástupce IPFIX. NetFlow monitorovací řešení si za dobu své existence prošlo vývojem nejen z hlediska exportovatelných informací. Díky otevřenosti došlo k rozšíření funkcionalit. To sebou nese vyšší zátěž na sestavení NetFlow na sondě.

Protokol a jeho architektura původně určená pouze pro export z přepínačů se dnes se zvyšujícími nároky posouvá spíše na sondy a servery a to z několika důvodů. Především, na přepínačích dochází k zahazování chybných rámců a ne vždy je přepínač schopen podat o tom informaci. Při zpracování provozu dochází k nerovnoměrnému zpoždění, které v případě zřetězení přepínačů může vést k vytváření shluků rámců tzv. burstům, které pak v dalším přepínači mohou vést k zahazování rámců Navíc v některých případech je monitoring pomocí NetFlow nedostačující a přepínače tak bývají zatíženy množstvím SPAN portů. Problémem zde může být i potřeba NetFlow. Přepínače na těchto portech nebývají schopny pracovat s plně zatíženou linkou. K zahazování rámců tak může dojít, i když se hodnota provozu neblíží přenosové kapacitě. Toto nebezpečí při použití sond odpadá. Nespornou výhodou je i svobodnější umístění v síti a architektuře. Samozřejmě, také monitoring v místech kde nejsou prvky exportující NetFlow. Sondy mají více monitorovacích portů a tak je možné jednou sledovat více segmentů sítě. Důležitou vlastností je také možnost kombinovat v kolektoru data z rozdílných portů sond. Na jednom kolektoru tak lze mít informace o celé síti nebo jednotlivých segmentech bez ohledu na její komplikovanost. Případně lze rozdělit statistiky pro jednotlivá IT oddělení. Například; o sledování segmentů před a za firewallem bude mít zájem oddělení bezpečnosti. O celkový přehled bude stát oddělení provozu sítě a další oddělení bude zajímat provoz firemních serverů atd. Toto je umožněno použitím profilů kde se vybírají zdroje dat a aplikují filtry.

Flowmon Reporter

Na kolektorech jsou dostupné tři druhy statistik podle použitého pluginu. První je jako jediný k dispozici také na sondách a jedná se o FlowMon Reporter. Jeho dostupnost na sondách umožňuje získat informace o dění na síti a tedy konkrétnější nastavení exportních profilů. Samotný Reporter obsahuje dvě základní sady statistik. První slouží k rychlému zorientování pomocí Top statistik. Ty zobrazují kvantitativně nejvýznamnější parametry sítě jako přenesená data, počet flow, nejpoužívanější servery, nejčastější TCP a UDP služby atd. Druhou sadou je celkový přehled o provozu rozdělený podle dat přenesených na portech, prostřednictvím různých aplikačních protokolů nebo směrovacích protokolů. Z těchto statistik pak lze automatizovaně vytvořit reporty.

Flowmon FMC

Druhým pluginem je FlowMon Monitoring Center (FMC), který obsahuje statistiky pro hlubší analýzu. Používá se na kolektorech, kde sbírá data ze sond, která jsou přístupná buď v části analýzy, nebo v profilech. Zde je možné vybírat zdroje NetFlow a aplikovat na ně řadu filtrů. Sledovaný časový úsek pak lze porovnat s předchozími daty v různých časových periodách (týdně, měsíčně, ročně). Což poskytuje perspektivu potřebnou k odhalení anomálií uvnitř jednotlivých druhů provozu. Část analýza slouží k bližšímu prozkoumání odchylek od běžného stavu, které jsou viditelné v sekci profily. Po vybrání podezřelého časového úseku lze hledat anomálie vzhledem k zdrojům NetFlow nebo prostřednictvím dodatečného filtrování.

Flowmon ADS

Významným modulem je ADS – Anomaly Detection System. Právě tento modul povyšuje celé řešení FlowMon na úroveň, která je ve svém oboru zcela unikátní. ADS modul provádí behaviorální analýzu z NetFlow záznamů a sám vyhledává anomálie. Modul obsahuje řadu samostatně nastavitelných detekčních metod, které spolu s přednastavenými filtry, popisujícími konkrétní podobu datové sítě. Odchylky od normálního stavu jsou detekovány jako anomálie. To je výhoda oproti stávajícím řešením, které porovnávají provoz se známými signaturami. ADS tak může odhalit zero day útok.

Samozřejmostí je detekce DDoS útoků. ADS dokáže odhalit nejen běžné útoky na TCP ale také nové typy. Například reflexní útoky nebo zneužití vlastností NTP, DNS nebo DHCP. Díky detekci anomálií, která je nezávislá na obsahu paketu, je možné zjistit i útoky v šifrovaném provozu, např. slovníkový útok na SSH.

Další anomálie mohou představovat nežádoucí komunikaci, způsobenou např. malwarem na infikované stanici, chybnou konfigurací nějaké stanice nebo i nedovoleným počínáním uživatele. Jiným typem anomálie může být např. náhlé navýšení objemu jinak legitimní komunikace atd. Každá detekční metoda se zaměřuje na vyhodnocování konkrétního aspektu komunikace. Díky multiuživatelskému prostředí je možné na anomálie pohlížet z různých perspektiv. Alarmy generované anomáliemi na vstupním perimetru budou putovat do jiného oddělení než ty vytvořené na základě nezvyklého chování DHCP ve vnitřní síti.

Flowmon DDoS Defender

Kvůli vzrůstajícímu počtu DDoS útoků přichází Flowmon Networks s řešením pro jejich detekci a mitigaci. Základem DDoS Defenderu je sada detekčních metod, která vychází z behaviorální analýzy. Samotný SW modul Defenderu zprostředkuje cílený pohled na útok a umožňuje personálu reagovat na útoky dnes nejčastěji používanými metodami. Obvykle jde o mitigaci provozu na vlastních směrovačích prostřednictvím BGP, PBR a RTBH. Těmito způsoby lze čistit všechen, nebo jen specifický provoz nad jednou linkou nebo subnetem. Takováto mitigace se obejde se bez dodatečných investic. V případě nutnosti, je možné využít externí mitigační zařízení nebo službu scrubbibg centra.

Flowmon APM

Flowmon Aplication Performance Management je určen především pro dohled aplikací, které využívají webový front-end a databázový back-end. Jde o softwarový modul navázaný na Flowmon sondy a kolektor. Ve spojení s FMC tak nabízí širší možnosti troubleshootingu aplikací.

Produkty Flowmon Networks se vyznačují snadnou úvodní konfigurací. Stejně je tomu i v tomto případě. Po základním síťovém nastavení a definici SLA již získáváte použitelné statistiky. Vývojáře i administrátory potěší automatická detekce URL i s tvorbou statistik. Vytvoření seznamu nejhůře přístupných URL si vyžádá jen pár kliků.

Při vývoji a dohledu aplikací se nemusíte spoléhat jen na debuggery a logy. Můžete využít řešení s mnohem větší informační hustotou, díky sběru aplikačních metadat a NetFlow.

Web výrobce Flowmon Networks

Služby

Nabízíme služby v oblasti testování a analýzy síťových služeb. Provozujeme nebo zprostředkováváme TaaS v oblastech kapacitního plánování, aplikačního a bezpočnostního testování etc.

Která služba je pro vás vhodná?

Produkty

Dlouhodobě spolupracuje především se dvěmap partnery. Pro potřeby testování je to Ixia. Pro analýzu je to Viavi Solutions

Možnosti testování

Možnosti analýzy

O Nás

Kontakty a Reference.

Zde