Proponujemy nowoczesne usługi teleinformatyczne usprawniające funkcjonowanie Państwa przedsiębiorstwa. Dzięki nim komunikacja zarówno wewnątrz firmy, jak i na zewnątrz będzie szybsza, efektywniejsza i co najważniejsze pozwoli na obniżenie kosztów funkcjonowania firmy.

FlowMon

Strona Główna FlowMon
FlowMon

Uzupełnienie rozwiązań bezpieczeństwa

Uzupełnieniem rozwiązań bezpieczeństwa może być zestaw narzędzi oferujących wgląd w ruch sieciowy nie tylko na urządzeniach brzegowych, ale na wszystkich systemach (także w sieci wewnętrznej), które pośredniczą w tym ruchu (przełączniki, routery, firewalle).

Na system FlowMon składa się kilka modułów

m.in. FlowMon Monitoring Center, FlowMon ADS, FlowMon APM, FlowMon DDoS Defender, FlowMon Packet Investigator, FlowMon Collector czy FlowMon Probe.

Do najczęściej wdrażanych dla Klientów nie będących usługodawcami (ISP) zaliczyć można:

Flowmon Collector

Flowmon Collector to urządzenie do monitorowania sieci, które przechwytuje, przechowuje i przetwarza dane typu „flow”, pozwalając na ich ujednolicenie, wizualizację i późniejszą analizę. Informacje dotyczące sieci oraz telemetrii są wyświetlane na konfigurowalnym pulpicie. Poprzez statystyki i wizualizację danych jest to narzędzie do efektywnego rozwiązywania zaobserwowanych problemów z łącznością i planowania wydajnośc sieci.
Wykorzystuje rozszerzone podejście do analizy NPMD (network performance monitoring and diagnostic), pozwala na monitorowanie stanu sieci, ruchu (w tym także do i od użytkowników końcowych). Obsługuje wiele standardów opisujących przepływ danych, m.in. NetFlow/IPFIX, sFlow, jFlow, NetStream .

Jest dostępny zarówno jako dedykowany sprzęt, jak również urządzenie wirtualne. Dobrze nadaje się do środowisk hybrydowych (w tym także do analizy ruchu „cloud” dla wybranych środowisk, w tym AWS, Azure i Google Cloud Platform).

System wspiera też rozszerzenia standardów dla wybranych producentów, m.in:

– Cisco (AVC, HTTP)
– Gigamon (HTTP, DNS, SSL, RADIUS)
– IXIA (HTTP)
– VMware NSX (rule ID, vmUUID, vncIndex)
– OneAccess (HTTP)
– VMware VDS
– AWS FlowLogs
– i wiele innych – lista zweryfikowanych dostawców jest ciągle rozbudowywana

Flowmon Monitoring Centre ( FMC )

FMC stanowi „serce” rozwiązania FlowMon. Należy traktować je jako skuteczne narzędzie do rozwiązywania problemów z siecią, monitorowania jej wydajności i planowania dalszego rozwoju infrastruktury. Zamiast lakonicznego statusu w kolorach czerwonym/zielonym – narzędzie pomaga w zrozumieniu, co dzieje się w sieci LAN oraz dalej na styku urządzeń brzegowych WAN.
Moduł umożliwia administratorom budowanie filtrów do dalszej analizy zdarzeń na przechowywanych danych telemetrycznych dotyczących sieci, pozwalając szybko i skutecznie znaleźć konkretne fragmenty odnoszące się do konkretnego ruchu, wychwycić zaistniałe incydenty lub anomalie.
Jest on też zoptymalizowany pod kątem przetwarzania i odfiltrowywania ważnych informacji wraz z wizualizacją dużych ilości danych pochodzących z sieci, w tym wybranych zdarzeń na warstwie aplikacji i danych telemetrycznych. System oferuje nowoczesną metodykę wykrywania złośliwych zagrożeń lub przynajmniej zwrócenia uwagi administratora na potencjalną możliwość naruszenia bezpieczeństwa (IoC – Indicator of Compromise) dla ruchu szyfrowanego SSL. Technika opiera się m.in. na pobieraniu tzw. „odcisków palca”, znanych jako JA3 fingerprinting.

JA3 łączy pięć parametrów komunikacji TLS (wersja, szyfry, rozszerzenia, krzywe eliptyczne i ich formaty) i tworzy skrót MD5. Na jego podstawie następuje klasyfikacja i dalsza ocena zaobserwowanego ruchu.

  • Predefiniowane widoki i „pulpit nawigacyjny”: Rozwiązanie można szybko skonfigurować, korzystając ze wstępnie zdefiniowanych pulpitów nawigacyjnych i rozszerzeń (w oparciu o tak zwane szablony konfiguracji). Ustawienia te są wstępne zaprojektowane w celu zmniejszenia nakładu pracy na konfigurację, minimalizując zadanie do zaledwie kilku kliknięć.
    Istnieje kilkanaście podstawowych szablonów odzwierciedlających najczęstsze potrzeby użytkowników (m.in.: Office 365, G Suite, sieci społecznościowe), liczne protokoły sieciowe i usługi (np, DNS, DHCP, …), etc.
  • Zaawansowana analityka: Dostępne są rozwijane opcje dla wizualizowanych danych na pulpicie nawigacyjnym. „Widżet”, „mapa ruchu”, wykres lub lista alertów, może zostać wyświetlona w widoku analitycznym /z opcją sortowania i filtrowania (np. według protokołów, okresów czasu lub źródłowych/docelowych adresów IP).
    Stamtąd można zejść głębiej, do poziomu przepływów czy pakietów, z możliwością wyświetlania bardzo konkretnych danych, dotyczących szczegółów ruchu, np.: jako aktywność wybranego adresu IP wraz z informacją o aktywnych urządzeniach, dostawcy lub źródła przepływu (jeśli dane te są dostępne) i wielu innych.

Anomaly Detection System

Moduł ADS wyposażony jest w inteligentny „silnik” wspierający tradycyjne metody wykrywania zagrożeń w sieci. Pozwala na zminimalizowanie luki w ochronie zasobów pomiędzy brzegiem sieci, a urządzeniami końcowymi. W przeciwieństwie do rozwiązań tradycujnych, bazujących wyłącznie na statystykach – moduł wykorzystuje dodatkowo algorytmy bazujące na tzw. „wzorcach zachowań” użytkownika końcowego i innych urządzeń znajdujących się w LAN.
W ten sposób narzędzie może pomóc w wychwyceniu ruchu, który z pozoru sprawia wrażenie poprawnego, niemniej jednak ukrywa w zawartości informacje, które mogą być krytyczne z punktu widzenia bezpieczeństwa sieci.

Moduł ADS można zcharakteryzować w kilku punktach:

  • Wykrywanie zagrożeń wewnętrznych – Niezależnie od tego, czy incydenty są spowodowane przez nieostrożnego użytkownika, czy złośliwą działalność „trzeciej strony” system pomaga w ochronie sieci „od wewnątrz” .
  • Wykrywanie nieznanych zagrożeń – Dzięki rozpoznawaniu wzorców zachowań system może wykrywać nieznane zagrożenia na wczesnych etapach ich wystąpienia, zanim dojdzie do poważniejszych strat w obszarze bezpieczeństwa sieci. Funkcja ta pozwala na implementację ochrony znanej jako tzw. „ zero-day” .
  • Reagowanie na incydenty i dalsza analiza zdarzeń – Dzięki modułom mechanizmów uczenia maszynowego i analizy danych, które współpracują ze sobą, administratorzy są wspierani w swych działaniach poprzez tzw. „kontekstową inteligencję”, prowadzącą do skrócenia czasu reakcji i odpowiedzi na zdarzenia.
  • Rozwiązywanie problemów i analityka po zaistnieniu incydentu Flowmon ADS dzięki przechowywaniu szerokego spektrum danych zaobserwowanego ruchu pozwala na analizę i odpowiedź na pytania o źródło zagrożeń a także pozwala na zebranie dowodów zaistnienia zdarzeń do celów audytowych i prewencyjnych.

Flowmon APM

Flowmon Application Performance Monitoring (APM) to system do pomiaru poziomu komfortu pracy użytkownika z dedykowanymi dla niego systemami i analizy wydajności aplikacji w ramach tzw. „user experience”. Zazwyczaj analizie tego typu poddawane są aplikacje o znaczeniu krytycznym dla biznesu.
Zastosowanie powyższej metodyki pozwala na skrócenie czasu rozwiązywania zidentyfikowanych problemów.

Dodatkowo moduł ten ułatwia zebranie danych kluczowych dla właściwego poziomu świadczenia usług zgodnie z umową SLA, zebraniu informacji dotyczących wskaźników błędów, etc., pomagając w ten sposób minimalizować odpływ klientów i stworzyć komfortowe warunki dla pracowników celem umożliwienia im świadczenia wydajnej pracy.

System ułatwia odpowiedź na pytania, co stanowi „wąskie gardło” w ramach zaobserwowanych nieprawidłowości: czy jest to
infrastruktura sieci i zdarzenia w niej występujące, aplikacja webowa („frontend”), czy może baza danych (jako tzw. „backend”).

Co ważne, APM pracuje w trybie „agentless” i jego praca nie zależy od konkretnego rozwiązania aplikacyjnego, systemu
operacyjnego czy też bazy danych.

Flowmon Probe

W sytuacji, gdy dane zebrane w postaci „flow” są niewystarczające (np. z uwagi na ograniczenia samego urządzenia i posadowionego na nim oprogramowania), bądź też urządzenie nie zapewnia obsługi „flow” w żadnym ze standardów oferowanych przez FlowMon – możliwe jest posadowienie zewnętrznej sondy, realizującej zbieranie potrzebnych danych.
Dzięki takiemu rozwiązaniu osiąganych jest kilka korzyści, m.in.:
  • Sonda zapewnia skalowalność: Pojedyncza sonda Flowmon może zapewnić wszystko, co jest potrzebne do monitorowania niewielkiej sieci, lub też zapewnić łączność z kolektorem, celem monitorowania ruchu dużych, rozproszonych sieci lub o złożonej ich architekturze.
  • Redukcja „szumu informacyjnego: Flowmon Probe zbiera dane sieciowe i wstępnie je filtruje pod kątem oczekiwanych informacji dla jaśniejszej analizy i wizualizacji zebranych danych przy jednoczesnym oszczędzaniu zużycia zasobów i minimalizowaniu czasu potrzebnego na analizę zebranego materiału.
  • Elastyczność wyboru miejsca posadowienia sondy: Sondę Flowmon Probe można wdrożyć w dowolnym miejscu infrastruktury bez jakiegokolwiek wpływu na oryginalny ruch sieciowy, przy zachowaniu przepływności w zakresie od 10 Mb/s do 100 Gb/s. Sonda może być też uruchomiona jako urządzenie wirtualne, a następnie być wdrażana w środowiskach wirtualnych, takich jak VMWare, Hyper-V, OpenStack KVM lub jako aplikacja chmurowa w ramach AWS, Azure i Google Cloud.
  • Nieinwazyjne wdrożenie: Sonda łączy się pasywnie przez port SPAN lub interfejs sieciowy TAP, a zatem nie stanowi potencjalnego punktu awarii. Jest przezroczysta na poziomie warstw L2/L3. W razie potrzeby sonda obsługuje sesje zdalnego monitorowania za pośrednictwem protokołu GRE, lub też w oparciu o ERSPAN lub VxLAN.
  • Statystyki zbierane są ze wszystkich warstw sieci: Sondy natywnie zbierają informacje L2 – L4 o adresach IP, użytych protokołach, czasach odpowiedzi serwera, informacji RTT, „jitter”, czasach odpowiedzi serwea i innych parametrach ruchu . Poprzez wykorzystanie standardu IPFIX – Flowmon zbiera również dodatkowe dane na poziomie L7, takie jak nazwy hostów, adresy URL, informacje o przeglądarce w ramach ruchu HTTP(S) oraz inne atrybuty w ramach m.in. protokołów, takich jak DNS, DHCP, SQL, SMTP lub Samba/CIFS.

Źródło: Broszury Produktowe FlowMon

Skontaktuj się z nami !