Nástroj pro záznam a analýzu

síťového provozu

FoxStatChange the Net.Work

• Zátěž linky

• Obsah a debug komunikace až na úroveň paketů

• Dohledání bezpečnostních incidentů, dokazování

• Flashback problému

Problémy síťového administrátora

Change the Net.Work2/45

Zapojení ve Vaší síti

• pasivně sleduje provoz na lince

• dekóduje data

• ukládá data do databáze

• zpřístupnění analýz přes webové rozhraní

Change the Net.Work3/45

Snímač

Snímač• sleduje provoz na lince

Sonda• dekóduje data ze snímače

Kolektor• ukládá data o komunikaci

Klient• webové uživatelské

rozhraní

FoxStat moduly

Change the Net.Work4/45

Před

stav

ení

FoxStat příklad - dotaz

Vytvoříme dotaz• pojmenujeme dotaz

Vybereme formu grafu• ze 7 možných

Určíme hodnoty• sloupce, hodnoty přenosu

Navolíme podmínky• čas, rozhraní, protokoly,…

Spustíme dotaz

Change the Net.Work5/45

Před

stav

ení

FoxStat příklad - graf

Výsledky:

Graf• poměr jednotlivých protokolů

Tabulka

Change the Net.Work6/45

Před

stav

ení

FoxStat příklad - tabulka

Výsledky:

Graf• poměr jednotlivých protokolů

Tabulka• hodnoty zvolené do sloupců

Change the Net.Work7/45

Před

stav

ení

FoxStat je…

Nástroj optimalizovaný pro:

• velmi rychlý návrh dotazu

• velmi rychlou úpravu dotazu

• velmi rychlé zjištění zdroje problému

Change the Net.Work8/45

Před

stav

ení

Snímání Dekódování

FoxStat hlavní cíle

Change the Net.Work9/45

Ukládání Analýza

MOŽNOSTI SNÍMAČE

11/45

Port mirror / SPAN

NetFlow LinuxBox / SecureBox

Change the Net.Work11/45

Network Tap

Proxy

FireWall

• pasivní snímání

• přesnost bez ztrát či zpoždění

• metalické i optické linky

• současné sledování více linek

• potřeba dvou portů pro každý směr přenosu

Network Tap

Change the Net.Work12/45

Mož

nosti

sní

mač

e

• stávající switche

• velké množství portů

• otagování VLAN

• rychlé změny

• minimální kabeláž

• posoudit možnosti switche

SPAN / Port Mirror

13/45

Mož

nosti

sní

mač

e

Change the Net.Work13/45

• stávající routery

• velké množství rozhraní

• rychlé změny

• minimální kabeláž

• NEOBSAHUJE rozšířené detekce, dekódování ani detaily komunikace

NetFlow

Mož

nosti

sní

mač

e

Change the Net.Work14/45

• stávající servery

• sonda přímo na serveru

• vhodnější umístění kolektoru

• NAT, proxy, FW

• minimální kabeláž

• více sond na jeden kolektor

LinuxBox / SecureBox

Mož

nosti

sní

mač

e

Change the Net.Work15/45

DISTRIBUCE

Bundle Sdílený kolektor

LinuxBox / SecureBox

Change the Net.Work16/45

Proxy

FireWall

sonda + kolektor

• střední sítě či samostatné

pobočky

• nižší náklady na jednoduchá

řešení

• celé řešení v 1U

• možnost více sond

distribuce - Bundle

Dist

ribuc

e

Change the Net.Work17/45

• rozsáhlé sítě

• srovnání dat z různých sond

• nižší náklady rozsáhlých

řešení

• providerům umožňuje

provozovat samostatnou

instanci pro zákazníka

distribuce – sdílený kolektor

Dist

ribuc

e

Change the Net.Work18/45

• stávající uživatelé

LinuxBox / SecureBox

serveru

• řeší NAT, proxy, FW,...

• analyzuje provoz VPN linek

• nejjednodušší řešení

(sleduje se síťové rozhraní

serveru)

distribuce – LinuxBox / SecureBox

Dist

ribuc

e

Change the Net.Work19/45

Proxy

FireWall

KLÍČOVÉ VLASTNOSTI

1. pasivní odposlech

2. analýza v reálném čase

3. pohled do historie

4. detekce protokolů

5. záznam síťového provozu

6. dekódování NAT adres

Change the Net.Work20/45

• pouze se „odposlouchává“ provoz na síti jako zdroj pro záznam a analýzu

• bez jakéhokoli zásahu do provozu sítě

• více možností zapojení

pasivní odposlech

Klíč

ové

vlas

tnos

ti

Change the Net.Work21/45

• aktuální „online“ provoz protokolů

• aktuálně přenášená /přenesená data

• aktuální velikost přenášených dat

• aktuální výpisy spojení a detaily komunikace

analýza v reálném čase

Klíč

ové

vlas

tnos

ti

Change the Net.Work22/45

• historický provoz protokolů

• časové pravítko pro vyhledání dat kdykoli v minulosti

• historie spojení

• dohledání a sestavení komunikace i několik měsíců zpět

pohled do historie

Change the Net.Work23/45

Klíč

ové

vlas

tnos

ti

• detekuje protokoly bez ohledu na jejich složitost nebo čísla portů

• protokol se určuje na základě hlaviček paketů

• detekce proměnlivých portů P2P (DC++, Bittorrent, Kazza,…)

• RTSP, ICQ, SIP, HTTP,…

detekce protokolů

Klíč

ové

vlas

tnos

ti

Change the Net.Work24/45

• detail paketu (hlavička, celý obsah)

• skládání souvisejících paketů (komunikace)

• cesta paketu

• výpis spojení zdroje a cíle

• export do .pcap

• využití WireShark

záznam síťového provozu

Klíč

ové

vlas

tnos

ti

Change the Net.Work25/45

dekódování NAT adres

• adresace jednotlivých spojení

• čitelná vazba jednotlivých spojení zdrojové a cílové IP

• adresace probíhá ještě před průchodem samotným NATem

Klíč

ové

vlas

tnos

ti

Change the Net.Work26/45

sonda

kolektor

webový klient

PARAMETRY ZAŘÍZENÍ

Change the Net.Work27/45

• detekce 144 protokolů v 19

skupinách (obsah, port, typ

souboru...)

• dekódování FTP, SMB, SIP,

HTTP, SMTP, POP3, IMAP…

• informace ze tří úrovní IP informace o obsahu volitelně celá

komunikace

Sonda

Para

met

ry za

řízen

í

Change the Net.Work28/45

• standardně od 500GB do

12TB

• RAID1 nebo RAID5 či jiné

• PostgreSQL – bez nákladů

• vteřinové vzorky

• data za několik měsíců

• překlad IP na DNS, GeoIP

• SNMP protokol a spojení SW

• FoxStat – HTTPS, neomezený

počet klientů

Kolektor

Para

met

ry za

řízen

í

Change the Net.Work29/45

Para

met

ry za

řízen

í

• IE, FireFox, Opera, Chrome,

Safari

• žádný plugin či SW

• 7 základních typů analýzy

• komplexní reporty s

integrovaným editorem

• export výpisu jako .pcap

(WireShark)

• nové záložky bez ztráty dat

Webový klient

Change the Net.Work30/45

Ukázka z praxe - zadání

Problém

• garantovaná linka

• zahlcení linky

• výpadky linky

• nemožnost komunikace

• nefunkčnost aplikace

• nadměrné přenosy dat

Jak zjistíme co se stalo?

Uká

zka

z pr

axe

Change the Net.Work32/45

Ukázka z praxe - dotaz

Problém

• garantovaná linka

• zahlcení linky

• výpadky linky

• nemožnost komunikace

• nefunkčnost aplikace

• nadměrné přenosy dat

Jak zjistíme co se stalo?

Uká

zka

z pr

axe

Change the Net.Work33/45

Ukázka z praxe - graf

Výsledky:

Graf• poměr jednotlivých

protokolů

Tabulka

Uká

zka

z pr

axe

Change the Net.Work34/45

Ukázka z praxe - tabulka

Výsledky:

Graf• poměr jednotlivých

protokolů

Tabulka• hodnoty zvolené do

sloupců

Uká

zka

z pr

axe

Change the Net.Work35/45

Ukázka z praxe – graf, tabulka

Alternativní výsledky:

Graf• poměr paketů/přeneseným

bitům

Tabulka• poměr paketů/přeneseným

bitům

Uká

zka

z pr

axe

Change the Net.Work36/45

Vytížení linky Analýza provozu

PŘÍNOSY

Change the Net.Work37/45

Úniky informací

FoxStat & přínosy

Vytížení linky

• přímoúměrná souvislost mezi zahlcením linky a ztrátami financí z výpadku

• analyzuje vytížení linky jako prevenci před zahlcením

Přín

osy

Change the Net.Work38/45

Analýza provozu

• vytížení linky na placených kanálech (garantovaná linka)

• analyzuje vytížení linky v souvislosti s jednotlivými protokoly

FoxStat & přínosy

Přín

osy

Change the Net.Work39/45

Úniky informací

• odhalení a zamezení úniku informací z podnikové sítě

• analyzuje provoz linky a odchozí firemní data

• kontroluje VPN – síťové tunelování

FoxStat & přínosy

Přín

osy

Change the Net.Work40/45

• rychlé dohledání zátěže a problému v síti

• zpětné dohledání v historii uložených dat

• zjištění zdroje úniku citlivých informací

• detekce používání nestandardních portů

• možnost záznamu kompletní komunikace

• optimalizace využití pásma datových linek

• snadná instalace

FoxStat výhody

Výho

dy

Change the Net.Work41/45

Na www.foxstat.com

• demoverze

• datasheet

• prezentace

• screencast

• školení

• servis

Zapůjčení• individuálně, viz. ceník• ukázková analýza u Vás

demoverze & zápůjčky

Dem

over

ze

Change the Net.Work42/45

Dotazy?

FoxStat.com

Change the Net.Work43/45

Radoslav Dubný

Děkuji za pozornost

FoxStatChange the Net.Work