F o xS t a t

1. FoxStat Change the Net.Work Nástroj pro záznam a analýzu síťového provozu

2. Problémy síťového administrátora • Zátěž linky • Obsah a debug komunikace až na úroveň paketů • Dohledání bezpečnostních incidentů, dokazování • Flashback problému 2/45 Change the Net.Work

3. Zapojení ve Vaší síti • pasivně sleduje provoz na lince • dekóduje data • ukládá data do databáze • zpřístupnění analýz přes webové rozhraní Snímač 3/45 Change the Net.Work

4. FoxStat moduly Snímač • sleduje provoz na lince Sonda • dekóduje data ze snímače Kolektor • ukládá data o komunikaci Klient • webové uživatelské rozhraní Představení 4/45 Change the Net.Work

5. FoxStat příklad - dotaz • Vytvoříme dotaz • pojmenujeme dotaz • Vybereme formu grafu • ze 7 možných • Určíme hodnoty • sloupce, hodnoty přenosu • Navolíme podmínky • čas, rozhraní, protokoly,… • Spustíme dotaz Představení 5/45 Change the Net.Work

6. FoxStat příklad - graf • Výsledky: • Graf • poměr jednotlivých protokolů • Tabulka Představení 6/45 Change the Net.Work

7. FoxStat příklad - tabulka • Výsledky: • Graf • poměr jednotlivých protokolů • Tabulka • hodnoty zvolené do sloupců Představení 7/45 Change the Net.Work

8. FoxStat je… • Nástroj • optimalizovaný pro: • velmi rychlý návrh dotazu • velmi rychlou úpravu dotazu • velmi rychlé zjištění zdroje problému Představení 8/45 Change the Net.Work

9. FoxStat hlavní cíle Snímání Dekódování Ukládání Analýza 9/45 Change the Net.Work

10. MOŽNOSTI SNÍMAČE Network Tap • Port mirror / SPAN Proxy FireWall NetFlow LinuxBox / SecureBox 11/45 11/45 Change the Net.Work

11. Network Tap • pasivní snímání • přesnost bez ztrát či zpoždění • metalické i optické linky • současné sledování více linek • potřeba dvou portů pro každý směr přenosu Možnosti snímače 12/45 Change the Net.Work

12. SPAN / Port Mirror • stávající switche • velké množství portů • otagování VLAN • rychlé změny • minimální kabeláž • posoudit možnosti switche Možnosti snímače 13/45 13/45 Change the Net.Work

13. NetFlow • stávající routery • velké množství rozhraní • rychlé změny • minimální kabeláž • NEOBSAHUJE rozšířené detekce, dekódování ani detaily komunikace Možnosti snímače 14/45 Change the Net.Work

14. LinuxBox / SecureBox • stávající servery • sonda přímo na serveru • vhodnější umístění kolektoru • NAT, proxy, FW • minimální kabeláž • více sond na jeden kolektor Možnosti snímače 15/45 Change the Net.Work

15. DISTRIBUCE • Bundle Sdílený kolektor • LinuxBox / SecureBox Proxy FireWall 16/45 Change the Net.Work

16. distribuce - Bundle • sonda + kolektor • střední sítě či samostatné pobočky • nižší náklady na jednoduchá řešení • celé řešení v 1U • možnost více sond Distribuce 17/45 Change the Net.Work

17. distribuce – sdílenýkolektor • rozsáhlé sítě • srovnání dat z různých sond • nižší náklady rozsáhlých řešení • providerům umožňuje provozovat samostatnou instanci pro zákazníka Distribuce 18/45 Change the Net.Work

18. distribuce – LinuxBox / SecureBox • stávající uživatelé LinuxBox / SecureBox serveru • řeší NAT, proxy, FW,... • analyzuje provoz VPN linek • nejjednodušší řešení (sleduje se síťové rozhraní serveru) Distribuce Proxy FireWall 19/45 Change the Net.Work

19. KLÍČOVÉVLASTNOSTI • pasivní odposlech • analýza v reálném čase • pohled do historie • detekce protokolů • záznam síťového provozu • dekódování NAT adres 20/45 Change the Net.Work

20. pasivníodposlech • pouze se „odposlouchává“ provoz na síti jako zdroj pro záznam a analýzu • bez jakéhokoli zásahu do provozu sítě • více možností zapojení Klíčové vlastnosti 21/45 Change the Net.Work

21. analýza v reálném čase • aktuální „online“ provoz protokolů • aktuálně přenášená /přenesená data • aktuální velikost přenášených dat • aktuální výpisy spojení a detaily komunikace Klíčové vlastnosti 22/45 Change the Net.Work

22. pohled do historie • historický provoz protokolů • časové pravítko pro vyhledání dat kdykoli v minulosti • historie spojení • dohledání a sestavení komunikace i několik měsíců zpět Klíčové vlastnosti 23/45 Change the Net.Work

23. detekce protokolů • detekuje protokoly bez ohledu na jejich složitost nebo čísla portů • protokol se určuje na základě hlaviček paketů • detekce proměnlivých portů P2P (DC++, Bittorrent, Kazza,…) • RTSP, ICQ, SIP, HTTP,… Klíčové vlastnosti 24/45 Change the Net.Work

24. záznam síťového provozu • detail paketu (hlavička, celý obsah) • skládání souvisejících paketů (komunikace) • cesta paketu • výpis spojení zdroje a cíle • export do .pcap • využití WireShark Klíčové vlastnosti 25/45 Change the Net.Work

25. dekódování NAT adres • adresace jednotlivých spojení • čitelná vazba jednotlivých spojení zdrojové a cílové IP • adresace probíhá ještě před průchodem samotným NATem Klíčové vlastnosti 26/45 Change the Net.Work

26. PARAMETRY ZAŘÍZENÍ • sonda • kolektor • webový klient 27/45 Change the Net.Work

27. Sonda • detekce 144 protokolů v 19 skupinách (obsah, port, typ souboru...) • dekódování FTP, SMB, SIP, HTTP, SMTP, POP3, IMAP… • informace ze tří úrovní • IP • informace o obsahu • volitelně celá komunikace Parametry zařízení 28/45 Change the Net.Work

28. Kolektor • standardně od 500GB do 12TB • RAID1 nebo RAID5 či jiné • PostgreSQL – bez nákladů • vteřinové vzorky • data za několik měsíců • překlad IP na DNS, GeoIP • SNMP protokol a spojení SW • FoxStat – HTTPS, neomezený počet klientů Parametry zařízení 29/45 Change the Net.Work

29. Webový klient • IE, FireFox, Opera, Chrome, Safari • žádný plugin či SW • 7 základních typů analýzy • komplexní reporty s integrovaným editorem • exportvýpisujako .pcap (WireShark) • nové záložky bez ztráty dat Parametry zařízení 30/45 Change the Net.Work

30. Ukázka z praxe - zadání • Problém • garantovaná linka • zahlcení linky • výpadky linky • nemožnost komunikace • nefunkčnost aplikace • nadměrné přenosy dat • Jak zjistíme co se stalo? Ukázka z praxe 32/45 Change the Net.Work

31. Ukázka z praxe - dotaz • Problém • garantovaná linka • zahlcení linky • výpadky linky • nemožnost komunikace • nefunkčnost aplikace • nadměrné přenosy dat • Jak zjistíme co se stalo? Ukázka z praxe 33/45 Change the Net.Work

32. Ukázka z praxe - graf • Výsledky: • Graf • poměr jednotlivých protokolů • Tabulka Ukázka z praxe 34/45 Change the Net.Work

33. Ukázka z praxe - tabulka • Výsledky: • Graf • poměr jednotlivých protokolů • Tabulka • hodnoty zvolené do sloupců Ukázka z praxe 35/45 Change the Net.Work

34. Ukázka z praxe – graf, tabulka • Alternativní výsledky: • Graf • poměr paketů/přeneseným bitům • Tabulka • poměr paketů/přeneseným bitům Ukázka z praxe 36/45 Change the Net.Work

35. PŘÍNOSY Vytížení linky Analýza provozu Úniky informací 37/45 Change the Net.Work

36. FoxStat& přínosy • Vytížení linky • přímoúměrná souvislost mezi zahlcením linky a ztrátami financí z výpadku • analyzuje vytížení linky jako prevenci před zahlcením Přínosy 38/45 Change the Net.Work

37. FoxStat& přínosy • Analýza provozu • vytížení linky na placených kanálech (garantovaná linka) • analyzuje vytížení linky v souvislosti s jednotlivými protokoly Přínosy 39/45 Change the Net.Work

38. FoxStat& přínosy • Úniky informací • odhalení a zamezení úniku informací z podnikové sítě • analyzuje provoz linky a odchozí firemní data • kontroluje VPN – síťové tunelování Přínosy 40/45 Change the Net.Work

39. FoxStat výhody • rychlé dohledání zátěže a problému v síti • zpětné dohledání v historii uložených dat • zjištění zdroje úniku citlivých informací • detekce používání nestandardních portů • možnost záznamu kompletní komunikace • optimalizace využití pásma datových linek • snadná instalace Výhody 41/45 Change the Net.Work

40. demoverze & zápůjčky • Na www.foxstat.com • demoverze • datasheet • prezentace • screencast • školení • servis • Zapůjčení • individuálně, viz. ceník • ukázková analýza u Vás Demoverze 42/45 Change the Net.Work

41. FoxStat.com Dotazy? 43/45 Change the Net.Work

42. Děkuji za pozornost Radoslav Dubný FoxStat Change the Net.Work