Pусский
English

19.11.2012. Forrester поддерживает усилия Lancope и Cisco по противодействию  современным сетевым угрозам

Согласно исследованию Forrester Consulting "Technology Adoption Profile": "Продвинутые организации уже используют возможности анализа сетевых потоков для укрепления своих систем безопасности, но часто терпят неудачу без включении дополнительных информационных связей, необходимых для точной идентификации подозрительной активности в сети".
Далее в отчете: "Для того, чтобы успешно справляться с современными угрозами, организации должны использовать новые мощные возможности определения и анализа вредоносных событий и процессов". Хотя на рынке и достаточно много решений, которые собирают и накапливают потоковые данные, или даже осуществляют базовый анализ, именно Lancope StealthWatch предоставляет ту "дополнительную информацию" и "мощные возможности обнаружения и анализа", как говорит Forester.

Сложный анализ поведения
Применяя сложные поведенческие алгоритмы к данным NetFlow, IPFIX и т.п., StealthWatch превращает их информацию, полезную для конкретных действий и быстрого решения сетевых проблем. Вместо того, чтобы использовать обновляемые сигнатуры для обнаружения атак, или фокусироваться только на определенных типах угроз и областях сети, StealthWatch осуществляет мониторинг поведения сети и хостов в целом, для того чтобы определить базовую линию поведения и быстро сигнализировать о широком диапазоне аномалий, связанных со всей инфраструктурой. Система идет даже на шаг вперед, передавая эти сигналы в собственную базу данных Concern Index (CI), которая автоматически приоритезирует наиболее затронутые хосты в сети, чтобы проблемы в первую очередь решались именно там.
В дополнение к процедуре контроля поведения сети высокого уровня, StealthWatch предоставляет возможность глубокого анализа отдельных сигналов опасности, хостов и шаблонов трафика для получения более подробного анализа проблемы. "Моментальные снимки хоста", например, предоставляют множество деталей об отдельных хостах, давая дополнительную информацию, необходимую для быстрого подавления потенциальных угроз безопасности.

Расширенный контекст безопасности
В отчете Forrester также утверждается, что "мониторинг безопасности без дополнительной контекстной информации не обеспечивает полноты знания, необходимого для обнаружения современных продвинутых угроз. Комплексная стратегия, опирающаяся на анализ потоков с связанной с ними контекстной информацией, сегодня просто обязательна к использованию в современных сетях". Forrester здесь упоминает IP-репутацию, данные об устройстве, осведомленность об идентичности и распознавание приложений как ключевые факторы обеспечения такой контекстной информацией. Система StealthWatch обладает всеми этими возможностями, как сама по себе, так и при взаимодействии с оборудованием своих технологических партнеров, входящих в список ведущих в отрасли, в частности, Cisco.

IP-репутация внутренних хостов и внешних ресурсов
StealthWatch обладает уникальной способностью получать данные о репутации, как внутренних хостов через Сoncern Index, так и внешних ресурсов, благодаря данным исследований StealthWatch Labs и партнерству с исследовательской организацией в области безопасности Team Cymru.

Идентичность и данные об устройствах
Пользователи системы Lancope могут получать идентификационные данные как с помощью устройства StealthWatch Identity, так и путем интеграции с Cisco Identity Services Engine (ISE). Cisco ISE предоставляет также подробную информацию об устройствах, что очень важно для обслуживания мобильных устройств в корпоративных сетях.

Информированность о приложениях
Lancope использует комбинацию глубокой инспекции пакетов (deep packet inspection) и поведенческого анализа для получения информации о приложениях, что позволяет упростить решение сетевых проблем. Расширенные данные об URL предоставляют дополнительный контекст для более эффективного подавления угроз.

Forrester в  заключение утверждает, что "решения, которые предлагают расширенные возможности контроля и получения связанной с потоками контекстной информации для быстрой идентификации и реакции на инциденты станут стратегическими инвестициями для предприятий".
Полный текст отчета можно скачать здесь.

13.11.2012. Не важно, часто или нет, но инсайдерские угрозы наносят вам вред.

Если вы взглянете на ситуацию в сфере информационной безопасности в мире в последние несколько лет, вы легко заметите, что инсайдерская угроза занимает, хотя и небольшое, но измеряемое место в системе обеспечения защиты сети организации. Какова эта доля, никто, естественно, не знает. В статье в CSO Magazine рассматриваются два недавно опубликованных отчета - от Cyber-Ark Software и Verizon (Verizon's 2012 Data Breach Investigations Report), в которых высказываются два различных мнения о частоте таких угроз.
Кроме того, и IBM в своем отчете X-Force 2012 Mid-Year Trend & Risk Report ставит ударение на использование в целях обеспечения защиты не систем обнаружения угроз на базе сигнатур, а решений на основе поведенческого анализа трафика, обращая таким образом большее внимание на внутренние угрозы для корпоративной безопасности.
Несмотря на небольшую, казалось, частоту инсайдерских угроз, потенциальный риск от них просто астрономический. Даже, если только 4% утечек данных в 2011 году связаны с инсайдерами, как говорит отчет Verizon, разве это является основанием для того, чтобы обращать меньше внимания на их обнаружение и предотвращение?
Как пишет CSO, с привилегией приходит опасность с точки зрения кибер-безопасности. Согласно статье, даже если количество привилегированных пользователей с "ключами от королевства", которые могут случайно нанести вред, мало, объем вреда, который они могут нанести - нет. А как насчет привилегированных пользователей, которые намеренно не делают ничего плохого, но чьи компьютеры, скажем, были заражены за пределами укрепленной границы инфраструктуры безопасности своей компании? Как я уже говорил ранее, дорогие IDS/IPS-системы и файерволы на границе сети, хотя и очень важны для защиты сети, но абсолютно не применимы, если пользователь, даже с благими намерениями, физически приносит угрозу через открытые для него двери. У вас есть возможность определить, что сегодняшнее поведение пользователя отличается от его традиционных правил? А что, если пользователь внезапно подключился к неизвестному хосту в Интернет, который работает как сервер, или пытается передать большое количество данных на внешний хост? А если пользователь загружает большое количество информации с внутренних хостов, на которых обычно он не был замечен с таким поведением? А может пользователь подключил зараженное устройство к сети?
Система Lancope StealthWatch позволяет рассмотреть все эти действия под одним "увеличительным стеклом", осуществить корреляцию аномального поведения хоста с именем пользователя или устройства, и помочь разрешить проблему, связанную с инсайдерской угрозой.

12.11.2012. Моим компьютером пользуются?

Недавно была опубликована информация о некоем сервисе, расположенном в России, который продает IP-адреса, имена и пароли компьютеров организаций, среди которых и компании, входящие в список Forune 500. Данные, которыми завладели злоумышленники, были получены при помощи протокола удаленного рабочего стола (Remote Desktop Protocol, RDP).
В связи с этим многие интересуются, можно ли как-то проверить, не находятся ли их серверы в этом списке. Но вопрос заключается вовсе не в этом, а в необходимости проверки того, не заражены ли ваши компьютеры вообще, поскольку российская хакерская группа не единственная, которая пытается проникнуть в системы через RDP.
Исследовательская группа Lancope, StealthLabs, имеет инструмент под названием Darknet, который мы используем для мониторинга Интернета на предмет обнаружения вредоносной активности. Согласно данным, собранным Darknet, RDP - это один из наиболее обычных сервисов, который используется для сканирования Интернета. Когда подобные сканеры обнаруживают открытый RDP-сервер, они тотчас же крадут имена пользователей и пароли. За последние 12 месяцев для этой цели использовался также самораспространяющийся червь Morto.  Кроме того, мы видели аналогичное сканирование с воровством паролей и имен и автоматическое распространение вредоносного кода, направленные на другие удаленно доступные сервисы аутентификации типа Secure Shell (SSH). Именно поэтому жизненно необходимо, чтобы удаленные сервисы типа этого были ограничены и контролируемы.
При использовании NetFlow/IPFIX можно быстро определить, происходит ли общение через RPD между вашей сетью и Интернетом. При помощи Lancope StealthWatch могут быть быстро обнаружены связанные с этим компьютеры путем использования отчета "Наиболее активные связи", в котором корпоративные хосты (внутренние хосты) являются серверами, а кто-то еще (внешние хосты) - клиентами:
computers-for-rent1.png

Пользователи могут также добавить фильтр для сервисов удаленного рабочего стола:

computers-for-rent2.png

Таким образом можно получить отчет о всех коммуникациях, которые осуществляют незащищенные RDP-серверы:

computers-for-rent3.png

* Отметим, что это список не только незащищенных хостов (в колонке Host) и зараженных хостов (колонка Peer), но и переданных байтов. Это полезно для определения, это была попытка соединения или уже состоявшееся соединение. Успешное соединение по RDP генерирует значительно больше трафика, чем попытка соединения. Если пользователь хочет определить тренд такого трафика, то можно запустить отчет "Трафик потоков" с этими же фильтрами и получить следующую гистограмму:

computers-for-rent4.png

Эти отчеты могут использовать данные за прошлые месяцы (или даже годы), чтобы определить, когда впервые началось подобное воздействие. В StealthWatch, если используется и решение по идентификации (например, StealthWatch Identity или Cisco ISE), можно определить, чьи полномочия были использованы при доступе через RDP. "Умный" анализ NetFlow может также сообщать, когда в будущем могут происходить похожие внедрения, используя политики Host Locking:

computers-for-rent5.png

Это очень печальная ситуация,когда мы вынуждены покупать услуги у хакеров, чтобы определить, не внедрились ли они к нам в сеть. Однако этого можно избежать, если вместо обращения к хакерам внедрить нормальную систему наблюдения за сетью, которая сможет вовремя определить нежелательные посещения. Умный анализ на основе данных NetFlow/IPFIX может дать своевременный ответ на вопросы, которые описаны в упомянутой публикации.
Дополнительную информацию можно получить по адресу:  http://www.lancope.com/solutions/security-operations/.

07.11.2012. NetFlow и IPFIX для соответствия требованиям PCI

pci.png

Периодически возникает вопрос, как NetFlow соответствует требованиям PCI. Вот вам практический совет. Существуют три ключевые области, где анализ NetFlow и IPFIX  может быть полезен предприятиям с точки зрения PCI:
Проверка контроля доступа и контроль изоляции серверов.
Ключевой аспект соответствия требованиям PCI - это защита данных платежных карт от непроверенных хостов из Интернет, среды BYOD (мобильные устройства) или гостевых сетей. Основной механизм, используемый для этого, это файерволы. По мере того, как усложняются эти устройства, использующие различные правила для действия, увеличивается возможность ошибки, которая потенциально может обеспечить доступ взломщиков к защищаемым данным. Для уточнения правил работы файервола могут использоваться анализаторы сетевых потоков. Администраторы могут использовать средства безопасности на базе сетевых потоков, которые будут сигнализировать в тех случаях, когда происходит нарушение правил доступа.

Исследование потенциальных угроз и быстрая реакция на них.
Коллектор NetFlow, такой как Lancope SteathWatch, осуществляет круглосуточный анализ всех сетевых коммуникаций. Каждая IP-коммуникация сохраняется  и индексируется в коллекторе. Этот постоянный процесс мониторинга относится ко всем устройствам, которые поддерживают NetFlow или IPFIX, например Cisco Catalyst, Extreme, файерволы Palo Alto, и даже серверы VMware. Если вам кто-то позвонит и скажет, что "наш сервер VisaNet что-то странно себя вел вчера в 7 вечера", то вы можете быстро просмотреть список всех активных соединений в это время. Затем вы сможете сравнить поведение сервера в этот же период, скажем, за день до этого, чтобы понять все ли было нормально. Потоки помогут вам в случае проникновения и позволят предотвратить дальнейший ущерб от атак типа APT (advanced persistent threats) или угроз инсайдеров. Вы обнаружите источник угроз быстрее в результате именно анализа потоков.

Удивить аудиторов
Когда аудитор подойдет к вам с вопросом "а как вы удостоверяетесь, что ваши данные не попадают в Интернет?" или "что вы делаете, когда происходит проникновение в сеть?", вы можете просто показать ему ваш анализатор NetFlow и сказать "мы используем технологию анализа сетевых потоков для аудита, перепроверки и быстрой реакции на потенциальные угрозы". Будьте уверены, аудитора это впечатлит. У вас все хорошо. У вашего начальника тоже все хорошо. Все победили.

22.10.2012.  Момент "Зеро" - когда его ждать?

Веб-угроза, известная под именем "zero-day", названа так потому, что промежуток времени между сообщением о ее существовании и началом ее действием равен нулю. Эта угроза особенно опасна, поскольку когда она начинает действовать, у вас нет ни соответствующих патчей, ни сигнатур в IPS. В некоторых случаях производители систем защиты вообще ничего не знают о затаившейся угрозе, которая начинает действовать в определенный день. Например, в последнем отчете Symantec Research labs упоминает атака такого типа: специалисты компании рассмотрели известную атаку, которая нанесла ущерб более, чем 11 миллионам компьютеров в феврале 2008 года, и выяснили, что это вредоносное ПО было загружено на эти компьютеры в среднем за 1 год до этого, в некоторых случаях даже около 30 месяцев до начала атаки. Т.е. прошло около года до того момента, когда IT-специалисты внезапно поняли, что их сеть заражена. Более того, авторы отчета считают, что еще много угроз типа "zero-day" остались не выявленными и в определенный день могут сработать.
Мы привыкли успокаивать себя двумя тезисами: "никто не нацелился на мою компанию" и "мы обнаружим атаку "zero-day", как только соответствующая сигнатура будет доступна". Symantec предупреждает, что оба тезиса не верны.
Одна из основных причин, почему хакеры могут так долго "сидеть" в сети необнаруженными, заключается в том, что как только они оказываются там, нет эффективного метода наблюдения за ними. Большинство операторов безопасности имеют только возможности, которые им предоставляют системы IDS или другие инструменты защиты, а они не способны обнаружить затаившегося врага.
Эти инструменты прекрасно работают, когда необходимо обнаружить задокументированные ранее угрозы, но редко позволяют обнаружить атаки "нулевого дня". Для таких целей больше подходят системы обнаружения аномального и подозрительного поведения трафика, такие как Lancope StealthWatch.  При работе это устройство может последовательно отслеживать действия хакеров, включая внутреннее сканирование сети ранее незаметно установленным ПО и соединения с не задокументированными контрольно-командными хакерскими серверами, не числящимися ни в одной базе данных по IP-репутации.
Тем не менее неверно думать, что StealthWatch обеспечивает 100%-защиту от угроз "zero-day" или таргетированных атак. Эти атаки выполняются очень умными злоумышленниками, которые постоянно совершенствуются, и это соревнование между хорошими и плохими будет еще долго продолжаться. Тем не менее, StealthWatch и NetFlow  сегодня предоставляют лучшие инструменты специалистам, отвечающим за защиту сети.
Главный вопрос, который вы должны себе поставить: "Как мне своевременно обнаружить угрозу класса "zero-day"? Согласно  отчету Symantec, нечего ждать, пока основанные на сигнатурах решения по защите сети помогут вам решить проблему и нечего думать, что такие угрозы не относятся к вашей компании. В настоящее время любая организация, которая владеет какой-либо интеллектуальной ценностью, будь то даже просто тексты контрактов, списки сотрудников и технические задания, может стать объектом изощренной атаки.

09.10.2012. Школа сетевой безопасности Форта Нокс. Урок 6.

images Урок 6: Реакция на инциденты

Если рассматривать историю нарушений систем безопасности, то, как правило, они связаны с неадекватными процедурами. Именно использование должных процедур означает различие между успехом и поражением.

Благословенные блок-схемы
Причина, по которым большинство людей считают разработку блок-схем потерей времени, заключается в том, что им кажется, что блок-схемы содержат просто очевидные понятия. Однако, польза в том, что блок-схемы часто показывают, что процессы действительно нуждаются в упрощении и очевидности, и мы понимаем это, когда тратим время, чтобы их задокументировать.
Многие операции в сфере сетевой безопасности не выполняются потому, что, когда сотрудники обнаруживают некое событие, они стараются создать процедуру для реагирования на нее, а в это же самое время ситуация может усложняться. В Форте Нокс проводят тренировки по реагированию на инциденты в широком диапазоне - от военной атаки до простых попыток проникновения в ворота. Сетевые администраторы, которые хотят отражать атаки также, как это делают военные в Форте Нокс, должны провести некоторое время, для предварительной разработки процедур реагирования на  инциденты, даже на такие, которые маловероятны.

Процессы на карандаше
Процесс описывает процедуры, выполняемые при инцидентах и отвечающие на вопрос "что мы делаем, если …?". Как говорилось раньше, большинство серьезных взломщиков обладают временем для того, чтобы провести разведку ваших процессов и инфраструктуры и перенастроить свои инструменты проникновения. Это означает, что ключом к победе в войне за вашу сеть является сбор всех возможных данных для анализа возможных атак и настройка ваших процессов для реагирования на них.

Джокеры опасны
Наиболее опасными атаками являются те, которые используют незнакомые вам ситуации. Элитные взломщики стараются избегать показа сценариев, которые они используют для внедрения. Это означает, что наиболее опасные атаки это не те, которые заставляют лаять собак, а те, которые заставляют вас удивленно поднимать брови.
Когда вы имеете дело с незнакомыми угрозами в сети, то вы должны предоставить им наивысший приоритет, по крайней мере до тех пор, пока они не будут категоризованы. В сетевой безопасности длительное раздумывание может вызвать больше вреда, чем быстрое решение типа "это наверняка уже аномалия". Считайте угрозу смертельно опасной и запускайте процесс обработки всей неизвестной активности до тех пор, пока "тайна" не будет разгадана.

Защита от выходных дней (и лени)
Самые худшие атаки начинаются в выходные дни. Элитные хакеры будут знать, когда основной оператор в отпуске и атакуют заместителя. По аналогии с крупнейшими военными атаками в прошлом, сетевые происшествия случаются в тумане и темноте ночи. Даже лучшие сетевые аналитики имеют свои плохие дни, и система должна считаться с этим.
Регистрация и отчетность по всем событиям, связанными с безопасностью, являются критически важными элементами системы, не позволяющей "бомбе взорваться". Блок-схема на стене не заставит выполняться процессы, которые на ней изображены. Необходимо проверить все действия, связать вместе все имеющие отношения к этому подразделения и людей, а также повсюду обеспечить качество выполнения процессов. Плохо организуя проверку правил безопасности, мы тем самым позволяем нашим лучшим аналитикам превратиться в лентяев  и сделать самую лучшую интеллектуальную инфраструктуру неработающей. Если оператор будет дремать во время возникновения потенциальной угрозы, то беду вам ждать недолго.

25.09.2012. Школа сетевой безопасности Форта Нокс. Урок 5.

1873750574_5a54449839Урок 5. Типы хакеров

Не все атакующие нашу сеть "враги" одинаковы. Давайте посмотрим на различные характеристики "как-бы грабителей" Форта Нокс и сравним их с различными типами атакующих, которые стараются получить доступ в нашу сеть.

Выбор цели
Одно из трех основных различий между преступниками заключается  в том, как они выбирают цель.  Можно многое понять об угрозах, разобравшись в том, как они добиваются желаемого для себя.

На золотом крыльце сидели ...
Когда похититель дамских сумочек осматривается вокруг, чтобы найти жертву, он ждет удобного случая (большая сумочка, маленькая женщина). Он не имеет никакой гарантии, что получит от этого что-либо существенное и ничего не знает заранее о своей жертве. Это то, что называется "случайное преступление", и вряд ли оно может случиться в Форте Нокс. В сфере информационной безопасности атаки, которые имеют своей целью какие-нибудь старые компьютеры, встречаются часто. Затрачиваются минимальные силы, и чтобы получить от этого прибыль, надо "заразить" много целей. Что-нибудь да выпадет…

Закрытые цели
Никто не сможет случайно когда-нибудь ограбить Форт Нокс. Если даже реальная попытка будет сделана, то цель будет детально изучена, поскольку преступление может принести очень большой "доход".
Аналогично и целевые атаки на сеть имеют специфические цели, начиная от попытки получения доступа к закрытой информации (шпионаж), перевода денег с чужого счета на свой, повреждения критичных Интернет- или инфраструктурных ресурсов (устройства, коммуникации), до создания различных схем вымогания. Подобные типы атак могут принести значительно больше ущерба, чем случайные атаки, но их и осуществить значительно сложнее.

Подготовка
Второе главное отличие между различными типами взломщиков - как в физическом, так и кибернетическом мире - это уровень подготовки, требуемый для проведения атак. Для большинства "обычных преступников" существующее давление (пища, наркотики, необходимость оплаты счетов, наконец) принуждает их совершать импульсивные преступления, и подготовка к ним минимальна. С другой стороны, группа преступников, которая планирует ограбить Форт Нокс, вынуждена потратить много времени на исследование объекта и подготовку грабежа.
В сфере сетевой безопасности когда атакующая группа аккуратно планирует и проводит направленную атаку, это называется элитная угроза. Подобный тип угроз начинается с разведки цели, иногда называемой fingerprinting. Продвинутые преступники затем начинают продумывать атаку, которая позволит им получить желаемое и избежать обнаружения. Хорошо задуманный сбор информации и изобретательное планирование - вот две основные "приметы" элитных взломщиков. Поскольку у них есть время для разработки стратегии преступления, которая может обойти механизмы автоматического обнаружения, они могут использовать опытных аналитиков, которые расширяют их возможности.

Ресурсы
Другая проблема, с которой сталкиваются любые преступники, надеющиеся ограбить Форт Нокс, это доступность ресурсов. Защита форта включает в себя сотни солдат, снабженных оборудованием, стоящим сотни миллионов долларов. Для достижения успеха в преодолении наиболее защищенной системы в мире требуется значительное количество оборудования и денег.
В Интернете большое количество обычных хакерских атак осуществляется необученными и неумелыми псевдо-хакерами, обычно называемыми "скрипт-детками". Они создают вредоносное ПО, не предназначенное для атаки на какую-то определенную цель, и не имеют денег для поддержки своих атак. С другой стороны элитные взломщики часто затрачивают много ресурсов для осуществления своих атак, особенно в тех случаях, когда преступление может принести значительную прибыль.
Спонсируемые государством элитные атаки (общепринятое название - advanced persistent threat или APT) обладают потенциалом получения практически "бездонных мешков" наличных, да и поддерживаемый корпорациями шпионаж также часто имеет неплохое финансирование.
Кроме денег на успех атаки влияет количество людей, принимающих в ней участие. Кибер-атаки, которые совместно осуществляются многочисленными, хорошо снабженными и имеющими средства взломщиками, имеют значительно больше шансов на успех и представляют существенно большую угрозу, чем беспорядочные и неподготовленные атаки.

Заключение
Обсудив эти три категории характеристик взломщиков, мы можем сделать вывод, что хорошо подготовленные, имеющие значительные ресурсы группы взломщиков, имеющие к тому же достаточно времени, представляют собой значительную опасность, когда нацеливаются на ценную мишень. Если механизмы обнаружения, такие как файерволы, системы предотвращения вторжений на базе сигнатур и  мониторинг логов сегодня легко могут защитить от "похитителей дамских кошельков", то элитные взломщики или APT для своего обнаружения требуют наличия качественных средств и технологий в руках опытных аналитиков. В следующей и последней части наших уроков мы рассмотрим процедуры реагирования на инциденты, необходимые для противодействия таким элитным атакам.

15.09.2012. Как обнаружить Flame

Flame - это цифровое шпионское средство, которое делает примерно, то что и человек-шпион: записывает телефонные разговоры, воруют фотографии и информацию. Очень часто эта угроза инициируется инфицированным хостом и легко обходит файерволы даже последнего поколения. Так как же его обнаружить?
Сначала мы должны обрисовать, как эта "инфекция" распространяется.

"Часто электронные письма направляются определенным людям и содержат при этом небольшое приложение, которое почти всегда является "зараженным" файлом типа PDF, который содержит код, помещающий шпионский исполняемый файл в компьютеры. Кроме того, группа хакеров IXESHE провела две специфические атаки, которые содержали код типа zero-day - одну в 2009 г., другую в 2011".

Trend Micro

Когда атака осуществляется, наиболее сложное шпионское ПО использует шифрование, но проблема атакующего в том, что его трафик включает "red flag" на сетевом уровне. Создатели Flame используют легко раскодируемое шифрование для скрытия атаки, а также меняют его в зависимости от размера всего кода", - говорит Ланс Джеймс, директор по анализу Vigilant. - "Они не хотят, чтобы вы их обнаружили, поэтому прячут все.  Они хотят, чтобы  этот код выглядел, как обычные данные".
Становится понятно, что вопрос "как обнаружить Flame" или аналогичную атаку, т.е. обнаружить Advanced Persistent Threats, не может быть адресован новым файерволам, антивирусам или систем предотвращения вторжений (intrusion detection system, IDS). Причина - такие атаки не обнаруживаются методом, использующим сигнатуры. В этом случае, самый лучший способ обнаружения - использование систем класса IP Host Reputation или систем анализа поведения трафика на базе технологий NetFlow, таких как StealthWatch. IP Host Reputation сравнивает IP-адреса источника и приемника в потоке с базой данных репутаций хостов и создает еще один слой обеспечения безопасности, который может обнаруживать атаки такого типа.

11.09.2012. Школа сетевой безопасности Форта Нокс. Урок 4.

27995Урок 4: Доступность данных

Перегрузка информацией
Форт Нокс расположен в удаленном районе Кентукки и его посещает очень небольшое количество визитеров. К сожалению, для современных сетей ситуация несколько иная. Для большинства сетей, количество данных, которые необходимо обрабатывать, превышает все мыслимые пределы. Проблема для систем мониторинга таким образом не в адекватности информации, а скорее в возможностях обрабатывать и передавать такие огромные массивы данных.
Данные о сети могут быть собраны из различных источников, начиная от log-файлов на тысячах сетевых компьютеров и заканчивая необработанными данными, проходящими по проводам. Во многих сетях количество таких "сырых" данных превышает несколько террабайтов в день. При необходимости обрабатывать все данные (как мы обсуждали в предыдущих уроках) мы становимся перед проблемой нереальной стоимости хранения такого количества информации. Понятно становится, почему многие организации просто поднимают руки вверх и перестают этим заниматься. Действительно, защитить современные сети становится даже сложней, чем обезопасить Форт Нокс!

Обработка по мере поступления

Обычный подход к сетевому мониторингу заключается в сохранении данных так долго, насколько это возможно, чтобы они были доступны для анализа, когда он потребуется. Однако современные исследователи в области безопасности, как физической, так и сетевой, вскоре поняли, что обрабатывать данные сразу после их получения более практично, чем сохранять их все и использовать их позже. Также как охрана в Форте Нокс сразу активно просматривает и анализирует поведение посетителей, а не оценивает их потом по видеозаписям.
В последние годы международные агентства по безопасности и анализу предприняли масштабные усилия, чтобы обеспечить анализ всей доступной информации об угрозе в реальном времени. Такой подход позволяет экспертам в сфере физической безопасности принимать более информационно обоснованные решения, поскольку они анализировали больше данных. Ценность анализа не зависит от того, как много информации хранится, а скорее от объема данных, которые были переработаны для анализа.

Доступность и ценность данных

В сфере сетевой безопасности мы сейчас полагаемся на следующую гипотезу, приводящую к успеху. Качество сетевого анализа зависит от "ширины" и "глубины" обрабатываемых данных и способности системы обработки точно классифицировать информацию. Самый лучший сорт данных, которые попадают в такую систему, это данные, которые были обработаны только в минимальной форме (максимально "сырые"). Если говорить о широте охвата данных, возможность обеспечения полной прозрачности сети требует, чтобы все коммуникации, которые выходят из сети, входят в нее, а также осуществляются вокруг нее, были направляемы в систему сбора и анализа. Как будет описано ниже,  для этого существуют различные методы сбора и анализа сетевых данных.

Сетевые зонды (пробы)

Традиционные решения по мониторингу сети требуют, чтобы сетевые данные проходили сквозь них (inline), или чтобы копия такого трафика направлялась в них (spanned). Такой подход требует наличия множества (иногда сотен) зондов трафика, распределенных в сети. Системы на базе анализа сигнатур требует именного такого типа доступа к коммуникациям, поскольку образцы (паттерны) сравниваются с данными в потоке. Такой метод сбора данных обеспечивает самый высокий уровень "глубины" данных, но достижение полного покрытия (широты охвата) может быть технически неосуществимым. Если сравнивать с Фортом Нокс, то это похоже на анализ каждого сказанного слова в каждом разговоре внутри, снаружи форта, а также в окрестностях радиусом нескольких миль от форта (что, как говорилось выше, еще более трудно достижимо в современных корпоративных сетях).

Резюме по методам обнаружения

Как мы обсуждали в Уроке 2, метод обнаружения угроз, основанный на анализе поведения, не требует использования всех данных, что необходимо для обнаружения на основе сигнатур. Как мы говорили, хотя сигнатурные методы и имеют свою ценность, они ограничены в возможности обнаружения современных и продвинутых угроз. Механизм сигнатурного обнаружения может использоваться как вспомогательный метод обеспечения безопасности, но для защиты от современных угроз технология анализа поведения является критичной для защиты сети.

NetFlow

Для того, чтобы получить возможность широкого охвата для сетевой безопасности, информация может собираться с сетевых устройств, используя NetFlow. NetFlow - технология, придуманная Cisco, которая записывает все события, связанные с сетевым устройством, а последние затем перенаправляются в коллектор NetFlow для анализа. Если сравнивать с физической безопасностью, это что-то типа технологии, которая записывает данные об участниках каждого разговора, как долго они разговаривали, цель их разговора (и многое другое), но не сохраняет реальные слова (данные). NetFlow не содержит весь пакет захваченной информации, а только критические компоненты сетевых коммуникаций, которые могут использоваться для поведенческого анализа, включая источник, приемник данных, используемые порты/протоколы, длина и размер коммуникации.

StealthWatch и NetFlow

Преимущество использования записей NetFlow заключается именно в том, что она помогает справиться, когда информация "выплескивается из кастрюли". Чтобы избежать переполнения информацией, системы, реагирующие на нарушение безопасности, нуждаются в умных решениях, которые будут подсказывать нужное направление действия. Именно здесь StealthWatch от компании Lancope выделяется среди конкурентных решений. Используя более 130 поведенческих алгоритмов к безмерному количеству данных NetFlow, StealthWatch способен определить почти любые нарушения сетевой безопасности или производительности. Созданный с самого начала для обнаружения неизвестных, самых современных угроз, это устройство предлагает инструмент, позволяющий увидеть угрозы, исходящие как от обычных преступников, так и от элитных хакеров, не полагаясь на постоянно обновляемые сигнатуры. Другими словами, он обеспечивает тот класс контроля данных, который обеспечивает персонал Форта Нокс в физической реальности.

Заключение

Мы только тогда можем помешать атаковать нашу сеть, когда может обеспечивать сложную и умную обработку всех необходимых данных. Защищенная сеть создана для обработки всех необходимых сетевых данных в тот момент, когда они становятся доступны, поэтому нам необходимы аналитические системы, предоставляющие нам инструменты защиты. На следующем уроке мы рассмотрим различные типы преступников, которые мечтают более близко познакомиться с нашей сетью.

03.09.2012. Школа сетевой безопасности Форта Нокс. Урок 3.

fortknox

Урок 3: Принципы действия атак

В Уроке 2 мы оценивали различные методы обнаружения атак, которые могут использоваться для отражения последних. Сейчас мы обратим наше внимание на то действие (payload), которое осуществляется после того, как проникновение (exploit) в сеть произошло.

Различие между Exploit и Payload
Для начала разберемся в различии между этими двумя терминами. Exploit - это метод обхода системы безопасности, а payload - то, что делается после осуществления доступа в сеть.

Обнаружение Payload
Ранее мы обсуждали, что атаки могут обнаруживаться путем проверки состава трафика (обнаружение на основе сигнатур) или его активности (обнаружение на основе анализа поведения). Подобные сигнатуры могут быть написаны и для обнаружения как exploit, так и payloads.

Сетевые payloads
Существует несколько различных вредоносных действий, которые осуществляются после проникновения в сетевые ресурсы.

Нарушение сервиса.
Вероятно, наиболее часто упоминаемое атакующее действие (payload) связано с нарушением оказания услуг. Атака типа denial-of-service (DoS) предназначена для препятствия серверу осуществлять свою функцию. В 1995 году печально известная атака DoS, названная "The Ping of Death", была запущена в быстро растущий Интернет. Вследствие посылки пакетов данных, значительно большего размера, чем обычный пакет ping (> 1000x), атакованная система переставала отзываться до тех пор, пока ее не перезагружали. Более привычный тип атак класса DoS заключается в посылке значительно большего количества запросов на обслуживания, чем сервер может физически обслужить. Когда географически распределенные компьютеры скоординировано атакуют хост атакой типа denial-of-service, то такое воздействие называется  "распределенной атакой типа отказа от обслуживания" (distributed denial-of-service, DDoS).
Атаку DoS "Ping of Death" можно обнаружить с помощью использования сигнатуры. А для обнаружения DoS типа "избыточного количества запросов" можно использовать только анализ аномалий/поведения трафика. Например, когда тысячи зараженных компьютеров (известных как ботнет или "зомби-сеть"), управляемые хакером, обращаются с запросом в атакуемый хост с максимально возможной частотой. Обнаружение на базе сигнатуры или эвристическое детектирование не сработает, поскольку состав трафика будет вполне нормальным (запрос к сайту), враждебной действие заключается в отклонении от нормальной частоты запросов.

Ботнеты
Успешная сетевая атака может быть не более, чем "вербовка" нового рекрута в сообщество. Иногда изощренные атаки используются для получения контроля над мощным сервером. Когда хакеры получают полный доступ к компьютеру, они называют это "овладеть" машиной. Чаще, чем стараться овладеть крупным сервером, атакующие просто рекрутируют пешек. По всему миру хакеры устанавливают свое шпионское ПО на тысячи компьютеров, получая таким образом армию компьютеров, стоящих в ожидании команды к действию. Одиночный компьютер, зараженный подобным образом, называется "бот". Все вместе компьютеры, находящиеся под контролем атаковавшего их, называются "ботнет" или иногда "зомби-сеть". Ботнеты используются для различных целей, начиная от рассылки спама и подавления онлайн-рекламщиков (click fraud), заканчивая DDoS и маскировкой инфильтрации в сеть.
С тех пор, как компании стали позволять своим сотрудникам подключать собственные устройства (ноутбуки, планшеты, смартфоны) в сеть (политика, носящая название "bring-your-own-device" или BYOD), они стали использоваться хакерами для создания ботов внутри сети, недоступной иным способом. Так же как очень сложно определить, когда до сих пор лояльный солдат стал предателем, очень трудно обнаружить бот, когда он неактивен. Обнаружение на базе сигнатур полагается на обнаружение коммуникаций с интернет-адресом из списка "плохих" сайтов, чтобы обнаружить, что внутренний хост подает сигнал своему контролеру (известному, как command-and-control server). Но, поскольку преступники в киберпространстве могут перемещаться намного легче, чем их аналоги в физическом мире, то это делает такие списки (и сигнатуры) малоэффективными. Методы обнаружения на базе анализа поведения могут заметить новые типы соединений, которые идут от недавно инфицированных хостов и обеспечить возможность своевременно отреагировать на инцидент.

Потери данных
Если возможность иметь в своей сети компьютеры, управляемые кем-то снаружи, вас пугает, то предположение, что ваша конфиденциальная информация отсылается на сервер, принадлежащий преступникам (или конкурентам), может вызвать у вас "понос и золотуху". Когда компьютер в вашей сети куда-то отсылает информацию, которая не должна покидать пределы сети, это называется "потеря данных или data loss". В сегодняшних условиях, когда усиливается ответственность за утерю персональных данных, данных кредитных карт или медицинской информации, любая неавторизованная утечка данных может серьезно повредить организации. Система защиты от утечек на базе сигнатур может выискивать образцы (patterns) SSN или кредитных карт в исходящем трафике. Они могут также проверять названия файлов, передаваемых по сети. Хакеры очень скоро обнаружили, что некоторые методы шифрования, которые используются для защиты от их атак, могут с успехом использоваться для обхода систем защиты от утечек на базе сигнатур. Используя зашифрованный коммуникационный канал для пересылки защищенной информации из сети, можно стать невидимым для сигнатурных систем. Поскольку поведенческие системы не нуждаются в просмотре передаваемых данных, они могут отловить компьютеры с защищенной информацией, которые начинают вести себя ненормально. Вместо обычного для сигнатурных систем сигнальных сообщений типа "Пересылаются подозрительные SSN-данные", поведенческая система будет сигнализировать об "Обнаружении подозрительных данных" или "Возможная потеря данных", основываясь на анализе отклонений в нормальном поведении трафика.

Заключение

Мы сделали краткий обзор того, что могут преступники сделать после проникновения через защитные механизмы. На следующем уроке мы рассмотрим, как имея более "интеллигентные" системы, чем у атакующих, можно эффективно защитить свою сеть.

 

26.08.2012. Школа сетевой безопасности Форта Нокс. Урок 2

knox01

Урок 2: Методы детектирования
В первой части мы рассмотрели файервол и решение контроля сетевого доступа и отметили, что эти необходимые и эффективные компоненты требуют дополнительных средств для закрытия возможных прорех в "защитной шапке". В дальнейшем мы рассмотрим, как технологии сетевого мониторинга укрепляют защиту. Начнем с оценки методологий, которые могут применяться для поиска сетевых атак.

Две корзины

Когда мы исследуем сетевой трафик на предмет наличия неразрешенной активности, то для этого существует две возможности, два метода. Первая опирается на контроль содержимого трафика, вторая - проверяет поведение хостов.

Проверка состава трафика

Первый метод определения угроз основан на исследовании характеристик происходящего. В физической безопасности он включает в себя анализ образцов в DNA, отпечатков пальцев, химического состава и физических параметров. В сетевой безопасности метод использует в основном проверки образцов (pattern) в передаваемых данных или компьютерных файлах.

Обнаружение с помощью сигнатур

Форт Нокс, как и другие военные учреждения, имеет различные методы обнаружения угроз, которые опираются на проверку характеристик объекта. Вынюхивающие бомбы собаки обучены лаять при наличии определенного запаха. Сканирование отпечатков пальцев и распознавание лиц помогает идентифицировать известных врагов.
В сетевой безопасности методы обнаружения атак, которые основаны на знании специфичного состава атаки, носят название "определение на основе сигнатур". Этот метод обнаружения угроз часто предпочитают как в системах физической, так и сетевой безопасности, так как он дает конкретный ответ, какое конкретно событие происходит. Лающий на бомбу пес сообщает о присутствии взрывчатого вещества и предоставляет возможность правильным образом отреагировать на угрозу. В сетевой безопасности может быть создан точный структурный образец (pattern) таких атак, как червь Conficker или "Web server vulnerability X" для того, чтобы информировать оператора о точном типе атаки.
Однако сигнатуры ограничены в своей возможности обнаруживать новые или неизвестные угрозы, поскольку они требуют проверки ее проявления для создания сигнатуры (т.е. невозможно определить преступника по отпечатку пальца, если его нет в базе данных). Поэтому обнаружение атак с помощью сигнатур неэффективно против только появившихся атак, но является исключительно эффективным методом борьбы с известными угрозами.

Эвристическое обнаружение
Пакеты, которые поступают в секретные учреждения, часто пропускают через рентгеновский аппарат, оператор которого пытается обнаружить в его содержимом подозрительные признаки. Например, он может выискивать там острые предметы (которые на самом деле могут быть не только ножом, но и, например, карандашом).
В сетевой безопасности обнаружение угроз путем идентификации потенциально опасных (хотя и не обязательно) характеристик известно как "эвристическое обнаружение". Этот тип детектирования основан на использовании переменных или частичных совпадений сигнатуры, но он не может конкретно объяснить принцип работы подозрительного события, в отличие от "сигнатурного обнаружения".

Обнаружение угроз на основе анализа поведения

Второе направление определения угроз фокусируется на поведении действующего фактора. Это называется "обнаружение на основе анализа поведения (behavioral detection)".

Обнаружение аномалий
В Форте Нокс если патруль не рапортует о том, что происходит, через регулярные интервалы времени, командир отметит, что это отклонение от обычного поведения и начнет расследование события. Если торговец приедет в машине другой марки, чем это было отмечено ранее, то это тоже будет помечено как аномалия.
Обнаружение угроз путем наблюдения активности, которая является отклонением от нормального (базовая линия) поведения, называется "методом обнаружения аномалий (anomaly detection)". В сетевой безопасности примеры аномалий включают в себя компьютеры, использующие или владеющие новыми сетевыми сервисами, требующими больше, чем обычно полосы пропускания или коммуницирующими с новыми типами внешних серверов. Такой метод обнаружения обеспечивает возможность раннего обнаружения новых или неизвестных угроз, но требует наличия опытных операторов и возможности просмотра большого объема данных, чтобы эффективно противостоять атаке.

Подозрительная активность
Второй компонент системы обнаружения на основе анализа поведения связан с наблюдением за подозрительной активностью (suspicious activity). Когда персонал или посетители Форта Нокс начинают проверять дверные замки, копировать документы или проникать в запрещенные для него места, мгновенно "поднимается красный флаг".
В сетевой безопасности подозрительная активность может ассоциироваться со сканированием хостов в сети (часто это говорит о наличии сетевого червя), коммуникацией с известными "плохими" внешними хостами (такими как ботнеты), попытками избыточных, ненужных соединений с сетевыми ресурсами (индикатор атак типа "отказ от обслуживания"). В то время, когда сигнатуры могут еще не существовать, реакция на событие может осуществляться немедленно, поскольку нет никакой нормальной причины для такой активности (похоже, как будто наблюдаешь за кем-то, кто ломится в секретное помещение). Этот метод позволяет обеспечить значительно меньшее время реагирования на атаки. А также уменьшает время, затрачиваемое сетевым аналитиком для определения проблемы в сети.

Заключение.
Во втором уроке мы рассмотрели два типа методов, используемых для определения угроз в сети: один основан на использовании сигнатур, а другой на анализе поведения. Иначе, обнаружение на базе сигнатур фокусируется на характеристиках события, а поведенческое обнаружение связано с анализом активностей. В части 3 мы рассмотрим различные типы нагрузок, которые могут быть связаны с сетевыми атаками.

Продолжение следует...

24.08.2012. Школа сетевой безопасности Форта Нокс. Урок 1

Fort Knox

Урок 1: Защита периметра

Название Форт Нокс во всем мире ассоциируется с максимальной безопасностью. Официально называемый как United States Bullion Depository, Форт Нокс считается самым безопасным местом в мире. Во время Второй мировой войны здесь хранилась не только Конституция и Декларация независимости США, но и королевские драгоценности королевы Великобритании.

Высокие стены
С тех пор, как Форт Нокс стал хранилищем золотого запаса США в 1936 году, не было ни одной попытки его ограбления. Хранилище защищено несколькими слоями защиты, начиная от военных патрулей с автоматическим оружием, заканчивая танками и вертолетами.  Можно провести множество параллелей между физической безопасностью Форта Нокса и лучшими примерами сетевой безопасности. В ближайшее время мы с помощью сотрудников компании Lancope рассмотрим каждую из этих параллелей. Начнем с защиты периметра.

Файервол на границе
Файервол (или брандмауэр) вообще - это защитный барьер от огня, мешающий ему распространиться от одной комнаты в другую. В компьютерной отрасли первые внедрения файервола имели похожие цели. Файервол создавался для предотвращения распространения сетевых проблем (например, червей) из одного сетевого сегмента в другой.
В корпоративных сетях файервол устанавливался для создания "границы" между сетью и Интернетом (или другими сетями). Согласно правилам файервол начинает с блокирования всего трафика, а затем создаются "отверстия" для пропускания трафика специализированных сетевых ресурсов и услуг. Списки контроля доступа (access control lists, ACL) файервола обладают способностью ограничивать доступ к ресурсам, которые могут использоваться посторонними пользователями.
В понимании физической безопасности эти "отверстия" в стене известны как ворота. В воротах Форта Нокса располагается вооруженная охрана, которая проверяет входящих и защищает секцию, в которую ведут ворота. Файервол сам по себе не обладает такими защитными способностями. (Позднее мы рассмотрим методы и технологии, которые отвечают за безопасность в таких "воротах").

Контроль сетевого доступа на границе
Граница сети - это место, где посторонние пытаются получить доступ к сетевым ресурсам. Когда внутренний корпоративный пользователь "входит" в сеть, он не "переходит" через границу, а получает доступ на ее "краю". Этот "край" включает в себя внутренние сетевые коммутаторы, беспроводные точки доступа и виртуальные приватные сети (VPN). Файервол защищает от внешних атак, в то время как контроль сетевого доступа (network access control, NAC) защищает от внутренних угроз.
Входящие в Форт Нокс получают доступ в него после проверки пропусков (что-то, что они имеют), паролей (что-то, что они знают) и биометрии (что-то, чем они являются). После проверки их идентичности (это - аутентификация) проверяются записи, имеют ли люди с такими данными право входа и в какие именно помещения они могут получить доступ (это  - авторизация).
Решения класса NAC, такие как Cisco's Identity Services Engine (ISE), осуществляют похожие функции для устройств, которые пытаются получить доступ в сеть. ISE оценивает хост и пользователя и предоставляет доступ к определенным сетевым ресурсам. Риск может быть минимизирован путем проведения интеллектуальной проверки и авторизации.
NAC, как и файервол, имеет свои ограничения. Как только устройство оказывается внутри сети, оно может попробовать перехитрить систему безопасности и провести неавторизованные действия. С такими же проблемами сталкивается и Форт Нокс. Реальная угроза связана не с посторонними, а с внутренними пользователями, которые могут себя вести неправильно.

Заключение
Первый урок, который мы можем использовать из опыта Форта Нокса, заключается в том, что нам надо иметь защищенный периметр. В дальнейшем мы увидим, как уроки из наиболее защищенного места в мире помогут нам уменьшить риск для наших сетей.

Продолжение следует...

16.08.2012. StealthWatch теперь поддерживает Cisco NGA

Компания Lancope объявила, что расширила функциональность своего флагманского продукта StealthWatch, добавив возможность поддержки Cisco NetFlow Generation Appliance (NGA). Cisco NGA обеспечивает высокоскоростную генерацию потоков со скоростью до 40 Гбит/с из нескольких платформ, включая серии Cisco Nexus 7000, Cisco Nexus 5000 и Catalyst 6500. Для таких мощных объемов данных организациям требуются высокоскоростные системы сбора потоков, такие как Lancope StealthWatch, которая может принимать до 120 000 потоков в секунду на один коллектор или до 3 млн. потоков в секунду всего, а также эффективно обрабатывать все эти данные и получать из них необходимую аналитическую информацию. По словам Джима Фрея (Jim Frey), управляющего директора по исследованиям Enterprise Management Association, "работая совместно, Lancope и Cisco создают очень ценное решение по мониторингу сети, которое разрушает барьер масштабируемости и позволяет во всей полноте использовать возможности NetFlow для работы в сетях любых масштабов".

12.08.2012. Прозрачность сети - ключ к предотвращению финансовых мошенничеств.

Недавняя статья в Dark Reading посвящена некоторым особенностям борьбы с инсайдерами в финансовом секторе. Основные идеи, отмеченные в статье, это:

  • Инсайдерские мошенничества как правило продолжаются более двух лет до их обнаружения.
  • Средние потери от таких мошенничеств составляют 382 000 USD.
  • Более 50% времени атакующие используют авторизованный доступ к критически важным финансовым данным.
  • Атаки часто являются не очень сложными технически.

И вот вопрос, если эти атаки такие простые, то каким образом похищаются данные стоимостью нескольких сотен тысяч долларов прямо под носом других сотрудников? Проблема заключается в одном из основных недостатков современных систем безопасности - недостатке полной прозрачности всех процессов в сети.
К сожалению, современные средства обеспечения безопасности базируются на обновляемых сигнатурах, которые помогают обнаружить ограниченное количество атак, либо фокусируются только на защите периметра и отпугивания "плохих людей" от своей сети. Но что делать, когда эти "плохие люди" работают на вас и имеют легальный доступ к вашим корпоративным данным? Или, если внешний мошенник получил реальные данные для доступа в вашу сеть от вашего сотрудника? В таких ситуациях файервол, антивирус, IDS/IPS и т.п. не смогут вам помочь.
Собирая и анализируя NetFlow и другие типы потоковых данных из существующей инфраструктуры организации смогут обеспечить полномасштабную визуализацию сети, позволяющую обнаруживать угрозы, как изнутри, так и извне сети.
Компании из списка Global 2000 и многие правительственные агентства по всему миру используют для этих целей Lancope StealthWatch, позволяющих осуществлять мониторинг потоков и фиксировать анормальное поведение, которое может свидетельствовать о возможности потерь данных - например, необычно большой объем передачи файлов или коммуникации с хостами из "черных списков". Вот, что говорят потребители системы StealthWatch:
U.S. Bank: "StealthWatch - это единственный  способ, с помощью которого мы можем в деталях видеть, что происходит у нас во всех уголках сети. Система работает с любыми устройствами, может без труда предоставлять нам детальную информацию и статистику, включая IP-адреса и объем трафика, который проходит через любое устройство".
Cisco: "Комбинируя уникальные возможности телеметрии NetFlow от инфраструктурных устройств с аналитическими возможностями Lancope StealthWatch, мы можем получить полный обзор возможных угроз внутри сети, где очень часто защита от атак слаба".
"Мы знаем, что объем новых атак и количество новых векторов угроз возрастают, поэтому стараемся противостоять этому, используя системы анализирующие поведение сети, - говорит Джейми Арнольд, старший сетевой аналитик Бирмингемского Университета. - StealthWatch была единственной системой из протестированных, которая не полагается только на технологии, использующие сигнатуры для идентификации вредоносного трафика".
"До появления StealthWatch мы вручную анализировали и сверяли наши данные по активности сети, - рассказывает Директор по информационной безопасности BlueCross BlueShield of Tennessee. - StealthWatch автоматически предоставляет нам детальный обзор сети с помощью легкого в использовании интерфейса, полностью устраивающего наши подразделения по безопасности и сетевым операциям".
AirTran Airways: "Система StealthWatch облегчила нам задачу установления политик... любая организация должна включить эту систему в свой первоочередной список необходимых приобретений".

14.07.2012.Преимущества StealthWatch по сравнению с конкурентными решениями

В условиях роста числа и сложности интернет-атак многие производители начали включать в свои решения системы мониторинга безопасности на базе NetFlow. В этих условиях необходимо уточнить отличия Lancope StealthWatch, как системы существующей на этом рынке с 2000 года, от большинства новых решений, чтобы пользователи могли разобраться, что к чему.
Существует 10 основных показателей, в которых StealthWatch отличается от большинства решений мониторинга на базе потоков:

  1. StealthWatch - давно отлаженный, "устоявшийся" продукт, работающий уже 13 лет.
  2. В отличие от большинства потоковых технологий мониторинга, которые разрабатывались для контроля сетевой производительности, а функционал контроля безопасности был добавлен много позже, Lancope фокусировался на сетевой безопасности с первого дня.
  3. В отличие от других потоковых технологий, предназначенных в первую очередь для небольших сетевых сред, StealthWatch может очень эффективно и недорого масштабироваться до 120 000 потоков/сек (fps) на коллектор или до 3 млн. fps всего, и защищать даже большие сети.
  4. Благодаря комбинации потокового мониторинга и контроля на уровне пакетов, StealthWatch обеспечивает полную прозрачность всей сети, даже для таких сред, как виртуальные или сети 10G.
  5. В то время, как большинство систем сбора NetFlow обладают очень ограниченными возможностями анализа, StealthWatch использует мощный поведенческий анализ и функционал глубинного анализа, разработанный для эффективного обнаружения в реальном времени ботнетов, атак типа APT (advanced persistent threats), инсайдерских угроз и других аномалий.
  6. StealthWatch имеет продвинутый функционал, включающий способность получения информации о приложениях, идентификации, мобильных устройствах, а также автоматическая приоритезация устройств и упрощение разрешения проблем для широкого ранга сетевых проблем.
  7. В дополнение к улучшенным возможностям в области безопасности и производительности, StealthWatch может быть легко расширен для поддержки дополнительных функций, включая Help Desk, планирование емкости, анализ сетевого поведения и т.п.
  8. Компания Lancope имеет давно налаженное технологическое партнерство и продуктовую интеграцию с ведущими производителями сетевого оборудования и систем безопасности.
  9. StealthWatch может приобретаться как в аппаратной форме, так и в виде виртуального устройства, предоставляя пользователям гибкость выбора во внедрении и структуре обслуживания.
  10. Cisco, разработчик NetFlow, использует Lancope как компонент мониторинга на базе потоков для своего решения Cisco Cyber Threat Defense.

Полную информацию о возможностях StealthWatch для мониторинга безопасности можно найти по адресу http://www.lancope.com/solutions/security-operations/.

06.07.2012. Lancope StealthWatch обеспечивает возврат инвестиций (ROI) в размере 259%
Исследования Forrester Consulting "Полное экономическое влияние Lancope StealthWatch", проведенные в июне 2012 г., показали, что Lancope StealthWatch обеспечивает возврат инвестиций (ROI) в размере 259% в течение трех лет.  В этом исследовании указано также, что StealthWatch окупается за 10 месяцев.
Полный список финансово значимых преимуществ StealthWatch, перечисленный в этом документе, включает в себя:

  • Отсутствие затрат, присущих альтернативным решениям
  • Экономия затрат на обслуживание при замене сторонних решений
  • Уменьшение затрат на определение и исправление инцидентов в сфере безопасности
  • Влияние улучшенной прозрачности сети на работу help desk и системы поддержки от tier-one до tier-three
  • Выигрыш в продуктивности подразделения обслуживания сети. 
Полный текст исследования можно найти здесь: http://www.lancope.com/resource-center/industry-reports/total-economic-impact-stealthwatch/

26.06.2012. Новый функционал StealthWatch для отслеживания особенно опасных и незаметных для других средств обнаружения кибер-атак внутри сети.

StealthWatch теперь включает в себя четыре новых информационных панелей для обзора угроз, связанных с сетевым прощупыванием, распространением внутреннего вредоносного ПО, трафиком класса command-and-control (CnC) и утечек данных.
Эти новые специально настроенные информационные панели позволяют организациям отслеживать эти особенно опасные и незаметные для других средств обнаружения кибер-атаки внутри сети.
Эти же информационные панели работают как ключевые компоненты нового решения Cisco Cyber Threat Defence. Это решение, комбинирующее самые лучшие функциональные возможности Lancope и Cisco, обеспечивает беспрецедентные возможности для контроля сети. Путем сбора и анализа NetFlow, IPFIX и других потоковых данных существующей инфраструктуры, StealthWatch обеспечивает глубокий контроль полного спектра внутренних и внешних угроз, с которыми сталкиваются сегодня корпоративные сети. Автоматическая приоритезация угроз и опциональная автоматическая смягчения их влияния решает многие проблемы и уменьшает время между идентификацией проблемы и ее разрешением.
Центром сбора, анализа, графической визуализации и отчетности состояния сети и безопасности для всей сети является StealthWatch Management Console, в рамках которой и работают новые информационные панели. Именно эти панели администраторы теперь могут видеть:

  • Сетевое прощупывание - зондирование сети для определения возможностей, которые затем будут использованы для настраиваемых кибер-атак
  • Распространение внутреннего вредоносного ПО - расползание этого ПО по хостам внутри сети, позволяющее получить информацию для прощупывания, украсть информацию или создавать "задние двери" для дальнейшей инфильтрации в сеть.
  • Трафик класса command-and-control - коммуникация ботнетов между атакующими и зараженными хостами в сети
  • "Просачивание" данных - экспортирование конфиденциальных данных в сторону атакующего, как правило с помощью коммуникаций типа command-and-control
Этот новый уровень интеллектуального контроля позволяет обеспечить возможность аналитику безопасности точнее скорректировать свои дальнейшие шаги для исключения любого типа риска.

13.05.2012. Мощный коллектор NetFlow: Анализ трафика предприятия

Коллектор NetFlow, поддерживающий большие объемы данных - это то устройство, которое просто необходимо для сервис-провайдеров и университетов. Из-за природы трафика, который производится этими типами организаций, производится просто гигантское количество потоков. Люди, посещающие поисковые сайты типа Google, или те из нас, кто просто кликает на различные линки в Facebook или YouTube, чаще всего создают новый поток с каждым кликом. 

VoIP, BitTorrent, Skype, iCloud и другие прелести нового Интернета, которые присутствуют в сети, создают все новые и новые потоки. Если рассматривать это с точки зрения отчетности на базе NetFlow или IPFIX, производители понимают, что только 2-3 параметра входят в игру, когда встает вопрос о масштабировании систем на базе NetFlow:sw_flowcollector.png

  • Количество устройств, экспортирующих потоки
  • Количество интерфейсов, во всех этих устройствах
  • Общее количество потоков в секунду

Высокоскоростной сбор NetFlow  имеет дело с очень большими таблицами баз данных. Эти таблицы, если они не индексируются или некорректно формируются, могут стать причиной плохой производительности систем анализа трафика. Именно то, как производитель обрабатывает огромные массивы потоковых данных, должно являться тем  критерием, по которому потребитель выбирает себе систему.

Большие объемы NetFlow не обязательно означают, что вам необходимо использовать множество распределенных коллекторов. Существуют системы, которые могут обрабатывать десятки тысяч или даже сотни тысяч потоков в секунду, такие как, например, Lancope StealthWatch. Распределенный сбор NetFlow следует использовать, когда не имеет смысл пересылать все потоки через широко распределенную сеть. Анализ NetFlow уровня в сети предприятия требует аккуратного определения целей, бюджетных возможностей и оценки потенциальных "бутылочных горлышек" в сети.

  • Цели: Нужен ли вам анализ NetFlow для всех частей вашей сети? Какие проблемы вы хотите решить?
  • Бюджет: Каким бюджетом вы располагаете для нового решения  по анализу трафика? Может ли он инвестироваться по частям? Сколько будет стоить годовой контракт на поддержку?
  • "Бутылочные горлышки":  Где находятся потенциально проблемные места сети?  Из-за ограничений бюджета возможно имеет смысл купить более дешевую лицензию. Акцентируя внимание на "бутылочных горлышках" и используя качественную проактивную отчетность, IT-специалисты могут, возможно, обойтись и без дальнейших затрат на лицензии.

Поработайте с вашим производителем, чтобы определить, что вам лучше подходит - отдельный коллектор потоков или система распределенного сбора NetFlow.

12.05.2012. Отчетность NetFlow: сравним Cisco ASA и Juniper SRX

Противостояние этих двух устройство очень бурно обсуждается на форуме Cisco. Нас это сравнение интересует исключительно только с точки зреия поддержки NetFlow и IPFIX. Когда речь идет об отчетности для для файервола, нас интересует:

  • Традиционная отчетность по потокам
  • Отчетность по логам
  • Другие интересные данные экспорта потоков (например, имена пользователей)

Что касается отчетности по логам, то почти все файерволы сегодня экспортируют syslogs, а некоторые экспортируют логи в датаграммах NetFlow. Файерволы Cisco ASA и SonicWall, например, поддерживают и то и другое.

Даже учитывая наличие некоторых проблем с экспортом NetFlow у Cisco ASA, мы получаем здесь отличные отчеты на базе NetFlow:
  • Крупнейшие потребители трафика, приложения, протоколы и т.п.
  • Имена пользователей, что очень полезно для мониторинга безопасности BYOD (мобильных систем)
  • Списки контроля нарушений доступа
  • Изменения сетевых адресов
Пример отчета для Cisco ASA NSEL:

cisco-asa-nsel-netflow-reporting

Juniper SRX не экспортирует логи и если вы посмотрите в конфигурацию J-Flow (аналог NetFlow, используемый компанией Juniper), то это в основном sampled NetFlow. Ну и кому понравится быть ограниченным  только этой возможностью? Это похоже на отчетность по sFlow.
Экспорт NetFlow также очень важен, если мы начинаем заниматься проблемой обнаружения продвинутых постоянных угроз (advanced persistent threats). Многие решения обеспечения безопасности на базе NetFlow
передают потоки в базу данных репутации хостов, чтобы определять коммуникации с известными вредоносными хостами. NetFlow Sampling, к сожалению, может не заметить отдельные угрозы.

Для информации.
Все крупнейшие игроки на рынке файерволов поддерживают технологию анализа пакетов. Cisco ASA, Juniper SRX (sampled), SonicWALL, Barracuda, Palo Alto Networks, Checkpoint и Fortinet (sFlow) - все они используют ее.

26.04.2012. ROI для NetFlow

Часто спрашивают , как технология сбора потоков и их анализа с помощью NetFlow влияет на затраты, необходимые для поддержки сети. Особенно часто сегодня, когда сети становятся все более сложными, а количество угроз все увеличивается, многие организации - государственные и частные - начинают смотреть на свою сетевую инфраструктуру с боязнью, не переставая думать, где же здесь следует ждать очередного крупного "прокола".
К сожалению, динамически изменяющаяся сетевая инфраструктура все менее эффективно защищается традиционными системами безопасности и мониторинга, а использование их становится все более дорогим.  Именно поэтому, многие организации начинают использовать NetFlow или IPFIX в качестве источника информации для обеспечения прозрачности сетевых процессов. Сегодня уже многие компании стали использовать StealthWatch для мониторинга на базе потоков для контроля всех "белых пятен" сети и, как результат, имеют сегодня более надежную систему защиты и мониторинга за меньшую цену. Как пример, Gartner оценивает, что NetFlow может обеспечить более, чем 80%-контроль всей сети. Эта аналитическая фирма при этом также утверждает, что "по мере того, как значение и удобство использования данных потоков возрастает, необходимость использования проб (зондов) будет уменьшаться, но никогда не исчезнет". 
Компания Lancope недавно подготовила новый отчет об окупаемости инвестиций (ROI, Return on Investment), которая может быть достигнута при использовании системы StealthWatch. Согласно отчету, при использовании этой системы:

  • Высшая морская школа (The Naval Postgraduate School) увеличила уровень визуализации внтреннего сетевого трафика в 10 раз, с 90 Мб/мин до 900 Мб/мин.
  • Дартмурский колледж (Dartmouth College) уменьшил количество сетевых угроз на 90%.
  • Медицинская компания Aurora Health Care уменьшила время, затрачиваемое на исследование сетевых инцидентов вдвое.  
  • Медицинский Puget Sound Blood Center сегодня экономит в среднем 22680 USD, которые он терял ранее за каждый час отказа сети.
  • Ротердамский Grafisch Lyceum сегодня тратит на поддержку инфраструктуры и ПО на 75% меньше по сравнению с другими технологиями мониторинга.
Полный текст отчета находится здесь.

20.04.2012. Cisco решила использовать в Catalyst 4948E NetFlow-Lite и IPFIX

catalyst4948ECisco выпустила Catalyst 4948E - первое устройство, которое поддерживает IPFIX в дополнение к поддержке NetFlow-Lite. Эта тенденция подчеркивает популярность IPFIX и его принятие компанией Cisco в области, которую до сих пор занимал протокол NetFlow. Основное различие в том, что IPFIX сейчас предлагается в качестве стандарта потока в RFC 5101 и 5102. Кстати, знаете ли вы, что Cisco является одним из основных пропагандистом IPFIX? А Flexible NetFlow, хотя и появился уже примерно 4 года назад и базируется на NetFlow v9, все еще менее популярен, чем NetFlow v5. Почему? В основном потому, что большинство пользовательских конфигураций требуют работ, по его внедрению, а также потому, что в нем пока не хватает достаточного количества новых функций, чтобы стимулировать это внедрение. И это при том, что большинство пользователей согласны на обновление IOS. NBAR,экспорт для мониторинга производительности и производительности маршрутизации с помощью Flexible NetFlow требуют IOS v15.X или более позднюю версию.
Как работает NetFlow-Lite?
Catalyst 4948E выбирает пробы (образцы) пакетов на одном или нескольких своих интерфейсах и посылает каждый пакет в nProbe в отдельной датаграмме NetFlow. nProbe работает как агрегатор NetFlow-Lite, который собирает пробы в потоки и затем отправляет потоки в NetFlow-коллектор, например, StealthWatch, который собирает данные и обеспечивает выдачу отчетности. nProbe оставляет в датаграмме IP-адрес источника нетронутым, когда отправляет потоки в систему мониторинга NetFlow. В свою очередь, система мониторинга думает, что получает данные непосредственно с Catalyst 4948E. Причем конфигурировать NetFlow-Lite в общем нетрудно.
NetFlow-Lite - это идеальная технология для тех, кто нуждается в "масштабировании вниз" для своего коллектора NetFlow. Действительно, хотя технология на базе потоков использует минимальную полосу пропускания (увеличивает на 2-3% активный трафик), сможет ли ваше оборудование сохранять 100 000 потоков в секунду?
sFlow Vs. NetFlow
NetFlow-Lite - это технология, использующая выборки, как и sFlow. Однако sFlow - вообще не потоковая технология. Это технология выборки пакетов, которая мало что делает с потоками. Поток представляет собой серии пакетов с одинаковым уникально определяемой последовательностью (tuple). Хотя sFlow и пользуется определенной популярностью, эта технология требует обновления.


 

13.04.2012. Защитите свою сеть от атак на Mac

По сообщениям прессы, троянская программа поразила более 650 тысяч компьютеров Mac, напугав пользователей, которые чувствовали себя вне опасности в отличие от пользователей Windows. Учитывая это, предприятиям, которые используют в работе мобильные устройства (bring-your-own-device, BYOD), необходимо укрепить свою защиту.
Компанию Apple всегда критиковали за медленный выпуск обновлений, связанных с критическими проблемами безопасности. Поскольку рыночная доля Apple постоянно увеличивается, пользователям, предприятиям и собственно Apple должны быть готовы росту количества и опасности атак, направленных на операционную систему Mac OS X.
В сегодняшних условиях размывания сетевого периметра и возрастания количества мобильных устройств в сетевой среде администраторам становится все труднее контролировать и защищать сеть . Сотрудники хотят иметь возможность использовать в работе любое устройство, которое им больше подходит, включая и домашний Mac. И, естественно, они будут входить в сеть с помощью этих устройств, тем самым подвергая значительному риску безопасность корпоративной информационной системы.
И как тогда администратор может помешать троянцу, такому как Flashback, пройти сквозь границы корпоративной сети, не имея возможности контролировать устройства, которые пользователи принесли с собой на работу? А также без возможности указывать им, какие инструменты обеспечения безопасности они должны инсталлировать на своих устройствах?
Единственное решение, которое позволяет решить проблему обеспечения безопасности при масштабном использовании BYOD, является NetFlow. Система, анализирующая данные NetFlow, позволяет глубоко просматривать процессы и активности, которые происходят во всей сети. Именно так можно получить возможность контролировать любое устройство, получившее доступ в сеть - без необходимости инсталлировать какое-либо ПО или устанавливать дорогостоящие пробы (зонды).
Например, система мониторинга потоков Lancope StealthWatch путем сбора ценной информации о персональных устройствах, включая тип устройства, идентификационные данные пользователя, безопасность ресурсов, к которым обращается устройство, физическое расположение устройства, может эффективно обеспечить безопасность и гарантировать, что мобильные устройства не загружают конфиденциальные данные или не заражают вредоносным ПО другие системы.


 

04.04.2012. Точка измерения NetFlow: octetDeltaCount

Давайте поговорим о точке наблюдения (измерения) NetFlow в устройствах Cisco, в частности о octetDeltaCount.
Мы многократно говорили о входящем (ingress) и выходящем (egress) NetFlow. Однако, что же это такое ingress и egress NetFlow? В какой точке измеряется значение утилизации полосы пропускания, которое я вижу в отчете?

Ключевые термины:

  • Shaper: Это в основном процесс, который модифицирует трафик. Это может быть Access Control List, Rate limiter и т.п. Шейпинг трафика "позволяет контролировать трафик, выходящий через интерфейс, для того, чтобы его поток соответствовал скорости удаленного принимающего интерфеса, а трафик соответствовал политикам, установленным для него".
  • MiddleBox Function: Это основная функция устройства. Например: коммутация трафика.
  • OP: Это точка наблюдения (observation point).

Что такое octetDeltaCount (ODC)? "Это количество октетов после предыдущего отчета (если был) о входящих пакетах для данного потока в OP. Количество октетов включает в себя IP header и IP payload". Если вы посмотрите внутрь пакета NetFlow, то octetDeltaCount представляет собой утилизацию полосы пропускания или количество байтов, ассоциированных с потоком.

Что такое postOctetDeltaCount (PODC)? То же самое, что и octetDeltaCount, "за исключением того, что он сообщает о потенциально модифицированном значении, вызванным middlebox function после того, как пакет прошел через OP".

NetFlow-Observation-Point-octetDeltaCountУ Cisco octetDeltaCount используется для экспорта всех входящих и выходящих потоков. Как показано на рисунке выше, существует 3 точки наблюдения NetFlow: Первичный процесс шейпинга трафика, middlebox function и конечный процесс шейпинга трафика.

OP1: отслеживает входящий (ingress) в Middlebox function и показывает:

  • flowDirection :Ingress
  • octetDeltaCount = ODC1
  • postOctetDeltaCount = PODC1

OP2: отслеживает Middlebox function и показывает:

  • octetDeltaCount = ODC2, где  ODC2 == PODC1
  • Указания направления нет.
  • postOctetDeltaCount = PODC2

OP3: отслеживает выходящий (egress) трафик из Middlebox и показывает:

  • flowDirection = Egress
  • octetDeltaCount = ODC3, где ODC3 == PODC2.
  • oostOctetDeltaCount = PODC3

Cisco-NetFlow-Oservation-Point1OP для входящего (ingress) трафика находится перед Middlebox, а OP для выходящего (egress) трафика - после Middlebox. Вот почему Cisco использует octetDeltaCount (ODC3) для выходящего трафика - в этой точке любой необходимый шейпинг трафика уже сделан (ODC3 == PODC2). Пример: сжатие WAAS.


21.03.2012. Сравнение SNMP и NetFlow для мониторинга

Как не странно это звучит, но еще есть компании, которые не знают, что такое анализ на базе NetFlow и используют для этого SNMP.
Давайте разберемся, в чем разница между NetFlow и SNMP.

  • SNMP может использоваться в реальном врмени (т.е. каждую секунду), а NetFlow не может работать так же, хотя и отмечает начало и конец каждого потока. В действительности, NetFlow в соответствии со значением параметра active timeout действительно не может обеспечивать подробности с меньшим интервалом, чем 1 минута, да и не для этого он используется. 
  • NetFlow  может сообщить вам, кто и каким образом "съедает" полосу пропускания, и это намного более значимо, чем та информация, которую может дать SNMP. Именно поэтому экспорт NetFlow значительно больше потребляет дискового пространства для хранения исторических данных.
  • SNMP может использоваться для сбора данных по утилизации CPU и памяти и это пока не доступно для NetFlow. Но это именно пока. Будущее NetFlow очень оптимистично.
Некоторые полагают, что нам еще нужен SNMP для получения таких данных, как названия интерфейсов роутера. Но это не так. Flexible NetFlow и IPFIX используют технологию NetFlow на новом уровне. Например, StealthWatch может экспортировать данные о задержках и информацию URL сс помощью IPFIX. разработчики sFlow также думают в этом направлении.

05.03.2012. Чем отличаются версии NetFlow: v5, v9, Flexible NetFlow и IPFIX?

NetFlow v5/v9, Flexible NetFlow и IPFIX - это наиболее популярные форматы IP-потоков. Коротко рассмотрим их, чтобы понять достоинства каждого из форматов.

NetFlow v5
: это наиболее популярный из всех рассматриваемых здесь форматов. Он идеален, если вы просто необходимо знать IP-адреса и номера портов источника и приемника, а также количество байтов передаваемых данных. Что отличает NetFlow v5 от его предшественников, так это добавление BGP-информации автономных систем и номеров последовательностей потоков. Единственное ограничение v5 заключается в том, что он позволяет экспортировать только входные (ingress) потоки на интерфейсе. Большинство устройств Cisco, которые работают под управлением IOS 11.1 и выше, поддерживают v5.

NetFlow v9: Это следующая версия после v5. Кроме традиционных данных v5, добавляется расширенная информация для поддержки различных технологий, такие как Multi-cast, IPSec и Multi Protocol Label Switching (MPLS).Эти расширения появились в основном благодаря поддержке экспорта выходных (egress) потоков. Эта версия поддерживается IOS 12.4 и выше.

Flexible NetFlow: Основная разница между NetFlow v9 и Flexible NetFlow - это возможность выборочного экспорта данных. Вы можете выбрать, какую информацию о потоках вы хотите экспортировать. Именно поэтому появился термин "flexible". Благодаря своей поддержки DPI (Deep Packet Inspection) он поддерживает мониторинг видео-трафика, VoIP и NBAR (Network Based Application Recognition). Кроме того, он работает с неограниченным количеством коллекторов, поддерживает IPv6 и многое другое. Большая часть последних версий Cisco IOS поддерживает Flexible NetFlow. 

IPFIX: Этот формат является продолжением NetFlow v9 и предлагается Cisco в качестве стандарта экспорта информации об IP-потоках. Некоторые вендоры уже приняли IPFIX (например, Juniper, Avaya, SonicWALL, nBox и др.).

 


27.02.2012. Мониторинг VoIP с помощью NetFlow

NetFlow VoIP Monitoring часто требует контроля QoS или значений DSCP. Ниже приведена некоторая статистика, которая может быть получена, когда осуществляется мониторинг сетевого трафика с помощью Flexible NetFlow.

Контроль VoIP с помощью NetFlow

  • Время "туда и обратно": время прохождения сигнала от хоста A до хоста B. Маршрутизатор измеряет это путем наблюдения за TCP hand shake между SYN, SYN ACK и ACK.
  • Время жизни: Эта метрика показывает максимальное количество hops, какое позволяет датаграмма.  Это значение уменьшается по мере прохождения через каждый очередной маршрутизатор. Когда значение становится равным нулю, оно не будет пересылаться.
  • Джиттер: Статистика о вариациях задержки пакетов, вызванных очередями, конкуренцией и передачей по частям при прохождении сети. Для выравнивания задержек могут использоваться буферы, но слишком большая буфферизация увеличивает задержку и мешает нормальному показу интерактивного видео.
  • Потери пакетов: Потери пакетов быстро отражается на слышимости и видимости. Вследствие особой природы видео-компрессии, одиночная потеря пакета может вызвать многосекундные артефакты, видимые на экране. Потери могут вызываться плохой связью (обычно в последней миле, либо при беспроводной связи), изменениями маршрутизации в сети или массой других причин.

Если вам необходимо контролировать VoIP, то забудьте традиционный экспорт NetFlow. Для того, чтобы получать подобные метрики, используйте Flexible NetFlow.

 


25.02.2012. Flexible NetFlow в Cisco Catalyst 6500

Инновационная карта управления и коммутации Supervisor Engine 2T в коммутаторах серии Cisco Catalyst 6500 теперь поддерживает Flexible NetFlow. Flexible NetFlow отличается архитектурой, которая может отслеживать одновременно множество NetFlow-приложений. Например, пользователь может создавать одновременно и отдельно Flow Monitor для анализа безопасности и анализа трафика. Предыдущие поколения Supervisor  для Cisco Catalyst 6500 не обладали подобной гибкостью.

Вы уже не ограничены опцией мониторинга только входящих (ingress) потоков, которые предлагали NetFlow v5 и конфигурационный параметр ip route-cache flow. Используя в своем Catalyst 6500 карту Supervisor Engine 2T , вы получает преимущества продвинутой системы отчетности, которую делает доступной Flexible NetFlow. Теперь вы можете контролировать весь трафик, как входящий (ingress), так и выходящий (egress), применять различные параметры мониторинга трафика к различным интерфейсам, использовать преимущества последних технологий Cisco в области экспорта трафика, такие как Cisco TrustSec (CTS).

Поддержка Egress NetFlow предоставляет возможность более легко управлять инфраструктурой, обеспечивает большую прозрачность процессов после того, как решение о перенаправлении потоков уже принято. Рассмотрим, скажем, ситуацию, когда пользователь маркирует Differentiated Services Code Point (DSCP) прежде, чем трафик покинет систему.

DSCP-Marking2

Если пользователь использует входящий NetFlow для контроля QoS операций, то он будет видеть только трафик с DSCP=40 в своих записях. Это происходит из-за того, что NetFlow собирается до того, как проводится операция перемаркировки DSCP. Если пользователь хочет контролировать QoS, чтобы убедиться, что процесс перемаркировки был успешен, необходимо использовать выходящий NetFlow, поскольку сбор информации NetFlow будет осуществляться после того, как DSCP станет равным 45.

 


9.02.2012. Sonicwall NetFlow Analyzer: Поддержка IPFIX и отчетность

Sonicwall NetFlow Analyzer не только поддерживает большинство стандартных протоколов IP-потоков, таких как sFlow, jFlow, NetFlow, Flexible Netflow и IPFIX, но и специализируется на NetFlow-отчетности
Кроме традиционных данных о потоках, IP-адресах и номерах портов SonicWall добавляет в отчетность и другую информацию, которая может использоваться в планировании и мониторинге сети, мониторинге приложений и пользователей, анализе безопасности и др.
SonicWALL IPFIX analyzer был специально создан для идентификации (и отчетности) NetFlow, генерируемой сетевыми устройствами SonicWALL. Отчеты при этом включают в себя:
SonicWALL Reporting

  • Приложения: Какие приложения "съедают" полосу пропускания? Например: Skype, Citrix, MSN Messenger, Facebook.
  • Проникновения, вирусы и вредоносное ПО: Детектирование потенциальных сетевых угроз.
  • Пользователи: При использовании "единого входа повсюду" (single sign on) файерволы SonicWALL, поддерживающие экспорт NetFlow, передают информацию о пользователях в коллекторы NetFlow. Тем самым позволяя создавать отчетность об аккаунтах пользователй, IP-адресах пользователей, доменах, а также потребляемой пользователем полосы пропускания.
  • VPN: Детальная информация о VPN -туннелях и их трафике.
  • VoIP: Информация о трафике VoIP, включающая в себя: джиттер, потери пакетов, ID звонящего, потребляемую полосу пропускания.
  • URL: Посещенные веб-сайты.

 


08.02.2012. Lancope расширила сферу анализа и защиты сети, включив в нее и мобильные устройства

Компания Lancope объявила, что ее флагманский продукт StealthWatch теперь может анализировать сеть, включающую и мобильные устройства, обеспечивая таким образом высокий уровень защищенности в среде т.н. bring-your-own-device (BYOD).
Используя возможности анализа информации с мобильных устройств, собранной через существующую сетевую инфраструктуру, StealthWatch без дополнительных затрат и необходимости установки дополнительного ПО или оборудования может детектировать все события, источником которых являются любое устройство в сети.
Традиционные механизмы определения угроз, такие как пробы, антивирусы и IDS/IPS очень быстро становятся слишком дорогими и неэффективными в среде BYOD. В отличие от этих технологий, StealthWatch использует NetFlow и другие потоковые данные, получаемые из сетевой инфраструктуры, для обеспечения полномасштабной визуализации всех процессов в условиях резко меняющейся сетевой среды и высокой степени риска.
"Мобильные пользователи очень часто подвергают риску корпоративную безопасность сети и сегодня становится очень сложно, а часто и вовсе невозможно, устанавливать систему безопасности для кажого нового устройства, - говорит Джо Ягер (Joe Yeager), директор по продукт-менеджменту компании Lancope. - "Около 75% компаний позволяют своим работникам применять личные мобильные устройства на работе, и теперь наступило время для систем, подобных StealthWatch, которые используют возможности существующей инфраструктуры для обеспечения мониторинга действий любых устройств, которые подключаются к сети".
Традиционные механизмы определения угроз, такие как пробы, антивирусы и IDS/IPS быстро становятся слишком дорогими и неэффективными в среде BYOD. В отличие от этих технологий, StealthWatch использует NetFlow и другие данные потоков, получаемые из инфраструктуры, для обеспечения полномасштабной визуализации сети в условиях резко меняющейся сетевой среды и высокой степени риска.
Используя возможности сложного поведенческого анализа, StealthWatch может фиксировать аномальное поведение в любом месте сети, включая и персональные смартфоны, планшеты или ноутбуки. Таким образом появляется возможность быстро и легко отражать внешние атаки, такие как ботнеты, черви или угрозы продолжительного действия, а также фиксировать внутренние риски, включая неправильное использование сети, нарушение политик безопасности, утечки данных. И при этом независимо от того, какие устройства используются для этого.

Дополнительные ссылки:  NetFlow, Network Security, Network Visibility, StealthWatch

См. видео Security for "Bring Your Own Device" Networks на сайте Lancope.

 


06.02.2012. Устройства Palo Alto Networks будут поддерживать NetFlow

Компания Palo Alto Networks palo Alto networksпредполагает в ближайшее время ввести поддержку NetFlow в свои продукты. Разработчики компании не только поддерживают традиционный функционал NetFlow, но и функцию глубокого анализа пакетов (DPI, Deep Packet Inspection) для идентификации приложений, таких как Skype, BitTorrent, Webex и др. Многие из современных средств анализа NetFlow ошибочно идентифицируют этот трафик как HTTP (TCP 80). Cisco NetFlow NBAR - это подобная технология, которая делает мониторинг сетевого трафика более информативным, особенно при попытке проведения анализа причин событий. Этой функции в экспорте Cisco ASA NetFlow нет.

Как можно увидить из скриншота экспортируется и имя пользователя. Поддержка этого функционала объявлена в Palo Alto Networks OS v4.1

 


26.01.2012. Гонка вооружений в киберпростанстве продолжается

War

Несмотря на 20 лет разработки систем информационной безопасности, уровень угроз остается постоянно высоким. Практически каждую неделю мы слышим об информационных  потерях, которые несут компании, например о краже кода антивируса Symantec, списка электронных адресов Epsilon или о проникновении в сеть Sony PlayStation. Даже компании, занимающиеся информационной безопасностью, такие как RSA Security, становятся жертвами атак

Методы атак и выбор субъектов нападений развиваются параллельно с технологиями информационной безопасности. Дополнительные сложности появляются и в связи со смещением IT-ландшафта в сторону новых технологий, таких как облачные вычисления, высокоскоростные 10 Гбит-сети, IPv6, новый мир социальных медиа. Хотя многие CIO и CISO определенно жаждут окончания игры "вор-полицейский" в информационных системах, истина, как это не печально, заключается в том, что гонка вооружений все еще продолжается.

Дорога, а не конец пути

Разрабатываются новые методы, чтобы защитить предприятия от рисков, которым они подвергаются. Атакующие в это время находят новые пути для своих атак, часто используя преимущества, которые появляются в условиях слияния технологий и сетей. В 90-х мы видели использование простых компьютерных вирусов и быстро "расползающихся" червей. Риск был связан с "падением" сетей и снижением продуктивности пользователей из-за потери файлов и замедления работы рабочих станций.  Персонал службы IT-безопасности боролся с этими проблемами с помощью файерволов, локальных антивирусных программ и технологий определения проникновений (IPS, intrusion prevention systems), которые контролировали сигнатуры или механизмы блокирования на уровне портов.

Тем временем злоумышленники поняли, что "шумные и мерзкие" черви и вирусы уже легко детектируются и легко удаляются. И начиная с конца 2000-х началось постепенное сползание в сторону "тихих и медленных" атак на базе ботнетов, часто замаскированных путем шифрования или нестандартным туннелированием портов. Гонка вооружений перешла в следующую фазу.

Information Security Evolution

Индустрия информационной безопасности ответила на это появлением технологий DLP (data loss prevention, предотвращение утечек информации), интеллектуальных файерволов и систем управления информационной безопасностью.

Проходит еще несколько лет и в 2011 году мы видим расцвет хаккерских групп, таких как Anonymous или LulzSec. Наступила эпоха направленных атак или длительных постоянных угроз (advanced persistent threat, APT). Новый тип атак стал результатом различных мотивирующих факторов, например:

  • Правительства и государственные ведомства начали осознавать важность кибероружия (напр., Stuxnet, Operation Aurora)
  • Появились политические, религизные и патриотические мотивации (например, у таких хаккерских груп как Anonymous и LulzSec)
  • Выросли движения, направленные на противодействие средствам информационной безопасности и желающие "преподать урок индустрии средств защиты" (т.е. организациям типа RSA, Stratfor, Symantec, HBGary Federal)
  • Желание прославиться, пусть и не совсем нормальным путем (те же Anonymous и LulzSec, а также их последователи)
  • Желание заработать деньги на фоне резкого увелеичения оборота денежных средств в киберпространстве в последние 5 лет (вспомним рекордные траты в праздничные дни 2011).

В этих условиях специалисты компаний-разработчиков средств безопасности начинают задумываться о новых методах борьбы в "гонке вооружений". Один из подобных методов заключается в использовании анализа сетевых потоков.

Подробнее...


16.12.2011. 5 главных угроз в области информационной безопасности в 2012 году по версии Lancope.

Компания опубликовала аналитический прогноз на 2012 год, где упомянуты
пять основных угроз в области информационной безопасности. Эти
предсказания касаются основных типов атак, которых следует ожидать в
будущем году, и объясняют какой риск несут эти атаки.
В 2011 году многие организации пострадали от подобных атак - вспомним
только публикации WikiLeaks или атаки Anonymous и LulzSec. В следующем
году следует ожидать подобной ситуации, если не более тяжелой.
Главные пять угроз по версии Lancope в 2012 году - это:

  1. Продвинутые непрерывные угрозы (Advanced persistent threats, APTs) будут преобладать.
  2. Потери от инсайдерской деятельности будут увеличиваться.
  3. Атаки на промышленные системы останутся на том же уровне.
  4. Угрозы, связанные с ошибочными действиями персонала, будут создавать постоянный риск.
  5. Количество полностью автоматизированных атак будет уменьшаться.

Далее...

Дополнительные ссылки:  NetFlow, Network Security, Network Visibility, StealthWatch


28.11.2011. Lancope StealthWatch получил награду GSN: Government Security News.

Компания была награждена за свои усилия по внедрению средств на базе NetFlow для защиты государственных и корпоративных сетей. Премией GSN Homeland Security Awards отмечают организации, которые приложили максимум усилий для обеспечения партнерства между государственными организациями всех уровней в США и производителями продуктов, решений и технологий в сфере информационной и физической защиты.  Системе Lancope StealthWatch доверили свои сети сотни государственных учреждений и корпораций, которые нуждались в надежной и интеллектуальной системе защиты информационных систем, обладающей возможностью реакции на возникающие инциденты. Далее...

Дополнительные ссылки:  NetFlow, Network Security, StealthWatch

 


19.11.2011. В чем бизнес-ценность StealthWatch?

Любой специалист, ответственный за IT-менеджмент, часто так загружен ежедневными задачами, связанными с технологиями или информационной безопасностью, что не имеет времени оценить их приоритеты для бизнеса, который они обслуживают. Компания Lancope подготовила несколько документов,  которые могут помочь IT-специалистам быстро оценить важность использования StealthWatch с точки зрения бизнес-перспектив. Полный документ "Мониторинг сети, безопасности и производительности приложений с точки зрения ценности и приоритетов бизнеса" находится на сайте компании. Из этого документа можно понять, как мониторинг данных потоков привносит дополнительные преимущества в процесс заполнения белых пятен сети и повышения прозрачности сетевых процессов, расширяет возможности традиционной защиты периметра IDS/IPS и управления производительностью приложений.

Далее...

Дополнительные ссылки:  NetFlow, StealthWatch

 


18.11.2011. Как отслеживать "червей" с помощью Lancope StealthWatch

 

Хотя и не так часто, как в недалеком прошлом, новые "черви" появляются и сегодня. За последние несколько месяцев мы видели, в частности, таких "червей", как Morto через RDP 3389/tcp и  Duqu через SMB 445/tcp. К счастью мы можем использовать данные потоков (flow data), чтобы идентифицировать эти типы хостов в сети. Что касается Morto, мы можем просто просканировать RDP-порт. Если вы не используете StealthWatch, то, если у вас есть некоторое количество темных IP-подсетей, вы можете достаточно легко делать это. Найдя незавершенные сессии в этом IP-диапазоне, вы можете поднимать "красный флаг". В случае Morto мы можем использовать тот же самый механизм при воздействии через SMB-порт, но надо понимать, что мы не можем идентифицировать все возможные воздействия Morto, поскольку этот "червь"  распространяется и с помощью электронной почты. Если же у вас установлен StealthWatch, то у вас появляется шанс зарегистрировать эти события. StealthWatch создает точки т.н. "проблемного перечня" (Concern Index) для сканируемой активности, даже если она осуществляется не через темное IP-пространство (см.ниже).

Существует даже "охотник за червями", который может использоваться для отслеживания его распространения по сети.  Далее...

Дополнительные ссылки:  NetFlow, Network Security, Network Visibility, StealthWatch


22.09.2011. Microsoft Hyper-V будет поддерживать NetFlow с помощью Cisco Nexus-1000v

Согласно последней информации компании Cisco, технология Microsoft Hyper-V вскоре будет поддерживать NetFlow через Cisco Nexus 1000v. Уже давно говорится о важности мониторинга виртуального пространства на основе анализа потоков. Потоки (flows) предоставляют великолепный механизм для обеспечения видимости всех процессов в виртуальной среде. Citrix имеет Open vSwitch для NetFlow, Vmware имеет собственную технологию поддержки NetFlow v5 (или использует Lancope FlowSensor VE), теперь и Microsoft влился в эти ряды. Далее..

Дополнительные ссылки:  Integration,  NetFlow,  Network Visibility

 


13.09.2011. Huawei и китайские военные: можем ли мы верить потокам NetStream?

В Вашингтон Таймс недавно появилась статья о возможных связях между Huawei и китайскими военными кругами. Пентагон опасается, что Huawei по просьбе военных могла добавить "заднюю дверь" в свое аппаратное или программное обеспечение маршрутизаторов и коммутаторов.

Оборудование Huawei  генерирует потоки NetStream. NetStream - это синоним NetFlow. Формат записей и даже команды, включающие NetStream, подобны форматам и командам, которые были в старых версиях Cisco IOS. Они даже используют термин NDE для "NetStream Data Exporter", а Cisco  использует NDE для обозначения  "NetFlow Data Export". StealthWatch FlowSensor VE компании Lancope поддерживает NetStream, но эта функциональность до сих пор очень редко востребовалась в США или Европе.

Huawei уже давно подозревались в краже технологий Cisco, поэтому информация из Пентагона не должна являться шоком.  Тем не менее основной вопрос заключается в том, насколько мы можем быть убеждены, что в  условиях глобального аутсорсинга и международного производства, какое-либо оборудование не содержит в себе "закладок" китайцев или кого-либо еще? Далее...

Дополнительные ссылки:  NetFlow

 


12.09.2011. VMware: vSphere 5.0 поддерживает NetFlow v5

Согласно сообщению из блога VMware, vSphere 5.0 будет обеспечивать поддержку NetFlow v5. Предыдущая версия продукта VMware поддерживала NetFlow, но эта возможность рассматривалась как экспериментальная и лишь несколько из администраторов VMware действительно подключали ее.  Поддержка NetFlow в vSphere v5 будет уже качественной и полностью поддерживаемой, поэтому можно ожидать более широкое внедрение.

К сожалению,  использование NetFlow v5 означает, что вы не будете получать MAC-адреса, состояние задержки, VM-имена, информацию приложений, HTTP URL-адреса или любые другие информационные элементы, которые включены в более новые версии NetFlow, такие как v9 или IPFIX. Далее...

Дополнительные ссылки:  NetFlow, Virtualization

 


21.06.2011. NetFlow для видеоконференций без сбоев

По мере того, как растут цены на авиаперелеты и деловые путешествия становятся все более дорогими, ценность и удобство видеоконференцсвязи повышается.  Однако любой корпоративный менеджер по организации видеоконференцсвязи или человек, отвечающий за видео-телеконференцию (ВТК) для крупных политиков знают, с каким стрессом сопряжено проведение такой встречи.

Появляются симптомы, что ВТК осуществляется не так, как надо, например, глаза перестают блестеть, поскольку видео "замерзло", или в разговоре появляется эхо, что свидетельствует о увеличении задержки. Эти проблемы наиболее трудно предсказать или предотвратить. Традиционный мониторинг SNMP сообщит вам несколько вещей, по большей мере реактивных. Например,  он может сообщить вам, что определенный интерфейс  был перегружен или что утилизация процессора определенного маршрутизатора была выше, чем обычно. Но ответы на наиболее важные вопросы останутся тайной.  Например, такие вопросы:

  1. Каково состояние определенного класса сервисов (QoS/DSCP) во время работы ВТК?
  2. По какому маршруту в сети проходят данные моей ВТК?
  3. Если возникают проблемы, кто виноват - сеть или мое приложение ВТК?

Ответить на такие вопросы легко, анализируя данные потоков с существующих сетевых устройств. Далее...

Дополнительные ссылки:  Network Visibility, Network Performance Monitoring, FlowSensor

 


01.06.2011. Большая новость от Cisco. Cisco Catalyst 3750-X будет поддерживать NetFlow

Мы много уже говорили об этом, но наконец Cisco решила ввести в свою популярную систему Catalyst 3750-X функцию поддержки экспорта NetFlow v9 .  Это очень хорошая новость для многих, учитывая тот факт, как много подробного оборудования установлено по всему миру. Далее...

Дополнительные ссылки: Flexible NetFlow, NetFlow, Network Performance Monitoring, Network Security, Network Visibility

 


20.05.2011. Всемирный IPv6-день почти наступил!

Информация об практическом "истощении" адресного пространства IPv4 уже достаточно давно мелькает в новостях и заголовках статей, но наверняка вы не удосуживались даже нажать на ссылку, чтобы прочесть, о чем там в этой статье идет речь. Для большинства корпоративных ИТ-специалистов IPv6 не является тем вопросом, на тему которого надо озаботиться (пока!). Для них это проблема завтрашнего дня. Нет сомнения, что они, как и все люди, не способны взглянуть на подобные события слишком глубоко. Будь то IPv6, глобальное потепление, рост народонаселения или что-то еще, нас не заботит то, что непосредственно нас в данный момент не касается.

Тем не менее более прозорливые люди из ISOC пытаются сделать IPv6 и будущий Интернет более реальной вещью и существенно более близкой, чем кажется вам. Они объявили о запуске обширной кампании, названной "Всемирный день IPv6", которая ставит своей целью образование людей и тестирование мировой IPv6-инфраструктуры. Далее...

Дополнительные ссылки:  Network Visibility, FlowSensor

 


12.05.2011. NetFlow улучшает производительность и безопасность сети организаций здравоохранения.

Измерение сетевой производительности и параметров безопасности сегодня играют значительную роль для сетей практически в любой отрасли, особенно в условиях динамически изменяемой сетевой среды. Однако есть несколько отраслей, в которых сети эволюционируют особенно быстро, чтобы соответствовать растущим потребностям пользователей и росту количества сложных кибер-атак. Одной из таких отраслей является здравоохранение.

Новейшие сетевые технологии особенно необходимы в здравоохранении в силу следующих причин:

  • Организации здравоохранения предоставляют очень важные услуги, которые сильно зависят от круглосуточной доступности электронных записей о пациентах и их болезнях, а также других аналогичных технологий. Когда технологии работают не должным образом, жизни могут пострадать.
  • Организации здравоохранения должны обеспечивать безопасность записей о пациентах согласно требованиям HIPAA и доверяющих им людям. Поскольку отрасль здравоохранения сейчас везде начинает переходить на безбумажные технологии, защита медицинских записей стала еще более важной задачей.
  • Далее...

Дополнительные ссылки:   NetFlow, Network Performance Monitoring, Network Security, StealthWatch

 


6.05.2011.Как NetFlow может улучшить сетевую среду розничной компании

Последние несколько месяцев компания Lancope почувствовала растущий интерес к сбору данных NetFlow и их анализу со стороны розничных компаний, в основном это являлось следствием усилением требований по стандарту PCI DSS.

Для того, чтобы удовлетворять требованиям PCI DSS и поддерживать жесткие требования к производительности сети и ее безопасности, розничным компаниям уже недостаточно обезопасить сетевой периметр, разработать политики и надеяться на лучшее. Сегодня таким организациям необходимо иметь полную прозрачность внутренней сети, чтобы иметь уверенность, что политики выполняются и что сотрудники не осуществляют действия, которые могут подвергнуть сеть или конфиденциальные данные клиентов риску.

Розничные сети являются идеальным кандидатом для проведения поведенческого анализа на базе потоков данных, поскольку сетевое окружение таких компаний не сильно меняется от магазина до магазина. Инфраструктура и приложения, которые там используются, практически одинаковы, и, кроме того, сетевая активность там также очень похожа. Это позволяет очень просто создать "базовую линию" нормального сетевого поведения и легко идентифицировать аномалии, которые связаны с рисками. Далее...

Дополнительные ссылки:  Integration,  NetFlow,  Network Visibility, Network Performance Monitoring, Network Security, StealthWatch,

 


13.04.2011. NetScaler и Exinda добавили поддержку NetFlow в свои продукты

Роль NetFlow как интегральной части системы управления сетью и мониторинга безопасности растет. Иной раз кажется, что мы слышим, что очередной продукт теперь поддерживает NetFlow, буквально каждую неделю. Очередные производители, которые объявили о добавлении функциональности экспорта потоков, это  Exinda со своей технологией оптимизации WAN и Citrix с балансировщиком серверной нагрузки NetScaler. Поддержка  NetFlow в технологии оптимизации WAN - это не новинка. Эту же поддержку включили в свои продукты и Riverbed, SilverPeak и ряд других вендоров.

Балансировщик нагрузки (или ускоритель приложений) как правило не использует NetFlow. Судя по всему, NetScaler стал первым подобным продуктом. И, как правило, если кто-то из производителей из определенного сегмента рынка включает в свой продукт поддержку NetFlow, то в ближайшее время и другие компании-конкуренты сделают аналогичный шаг. Далее...

Дополнительные ссылки:  IntegrationNetFlow

 


31.03.2011. TAP, который генерирует NetFlow? Расскажите мне об этом.

Как правило, TAP (Test Access Port) не играют никакой роли в анализе и отчетности о сетевом трафике. Эти устройства созданы, чтобы транслировать данные в системы класса IDS или сниферы пакетов. Компания NetOptics  намерена изменить эту ситуацию, выведя на рынок свой новый AppTap. AppTap обладает характеристиками, которые мы ожидаем от традиционных TAP: его устанавливают inline, он копирует фреймы Ethernet в порты мониторинга и при отключении просто превращается коннектор Cat-5, не мешая потокам трафика.

Но AppTap делает не только  это. Этот TAP действительно анализирует сетевой трафик, предоставляя возможность получения отчетности о  полосе пропускания и сетевой производительности прямо через свой веб-интерфейс. Далее...

Дополнительные ссылки: IntegrationNetFlow, Network Security, Network Visibility, Network Performance Monitoring

 


26.03.2011. NetFlow расширяет возможности ускорения WAN

Существуют две причины использовать NetFlow для оптимизации WAN. Наиболее простым  и общим случаем является возможность использования инструментов на базе NetFlow для оценки возможностей по ускорению/оптимизации производителя, которого вы выбираете.

Мне кажется важным предложить вам исследовать ваши потребности, прежде чем вы примите решение. NetFlow может быть великолепной возможностью для определения ваших действительных потребностей. Понимание типов трафика, который проходит через вашу WAN, позволит вам принять более обоснованное решение.

Какой процент трафика, проходящего внутри вашей WAN, имеет отношение к вашему бизнесу?

Если вы обнаружите, что более, чем 50% вашего трафика составляет нежелательный веб-трафик, то простое использование DSCP и очередей на базе классов позволит вам решить проблемы производительности для бизнес-приложений.

Далее...

Дополнительные ссылки:NetFlow,  Network Security, Network Visibility

 


25.03.2011. Forrester предлагает вам вытащить голову из песка

Согласно отчету аналитической компании Forrester , 48% атак на корпоративные данные в 2009 году были осуществлены внутренними инсайдерами, что на 26% превышает показатели 2008 года.  Быстро развивающаяся IT-консумеризация, мобильный интернет разрушают информационную защиту предприятий и аналитики сегодня все больше думают о том, как контролировать и защищать внутреннюю сеть, а не только периметр.

Этот отчет Forrester, носящий название  "Вытащите свою голову из песка и обернитесь: рассмотрим возможности анализа и обеспечения прозрачности сети", посвящен дискуссии о механизмах мониторинга сети и пользе, которую он приносит. Forrester рассматривает технологии класса NAV (Network Analysis and Visibility), такие как те, которые используются в Lancope StealthWatch. Далее...

Дополнительные ссылки: Network Security

01.03.2011. SonicWall объявила о поддержке NetFlow/IPFIX в своей SonicOS v.5.8

Все больше производителей начинает поддерживать NetFlow в своих продуктах. В частности, SonicWall недавно добавила поддержку NetFlow v5/v9/IPFIX в свою операционную систему SonicOS Enhanced v5.8.

Специалисты Lancope проверили новую систему и убедились - она работает. Теперь вы легко можете конфигурировать файервол SonicWall, который работает под управлением SonicOS v5.8, для передачи потоков в систему анализа данных StealthWatch . Теперь немного о деталях...

Рассмотрим настройку SonicWall и его механизм экспорта потоков в действии.

Далее...

Дополнительные ссылки:NetFlow,  Network Security, Network Visibility

10.02. 2011.Выпущен новый StealthWatch 6.0

После 14 месяцев разработки на свет появилась очередная версия StealthWatch - StealthWatch 6.0. Это наиболее серьезная модификация за 10-летнюю историю Lancope.

Новая модификация имеет массу функциональных особенностей, здесь мы остановимся только на некоторых.

1. Информация о приложениях в сети (Application Awareness)

Теперь StealthWatch  может получать информацию о приложениях путем получения данных с Layer 7 от таких устройств, как StealthWatch FlowSensor, Blue Coat PacketShaper  и т.п. FlowSensor, в частности, теперь имеет функциональность глубокой инспекции пакетов (Deep Packet Inspection), что позволяет ему идентифицировать приложения на Layer 7. Если потоки данных зашифрованы, специальная система поведенческого анализа начинает идентифицировать протоколы внутри зашифрованного трафика, типа BitTorrent или Skype.

StealthWatch FlowSensors, Cisco's NBAR-enabled NetFlow, or BlueCoat's PacketShaper appliances bring true Layer 7 application awareness to StealthWatch. Если же сеть не имеет источников информации, идентифицирующей приложения, это можно делать путем анализа IP-адресов сервера приложений. Например, вы можете мониторить трафик Facebook , используя известный вам диапазон его адресов.

Далее...

Дополнительные ссылки: NetFlow, Network Performance Monitoring,  StealthWatch, FlowSensor, Network Security, Network Visibility

25.01.2011.Обзор программ для генерации NetFlow.

Популярность и распространение NetFlow в сообществе сетевых специалистов продолжает расти. Одним из признаков такого роста является рост количества программных пакетов, позволяющих протестировать ваш коллектор NetFlow или сравнить результаты двух конкурирующих подобных устройств.

Хотя подобные системы могут быть полезными для тестирования простых функций коллекторов, они не могут сравниться с решением, когда реальный pcap-файл NetFlow пропускается обратно через коллектор с помощью утилиты tcpreplay. В компании Lancope это основной механизм для тестирования ее головного продукта StealthWatch. Недостаток каждой из таких систем - это невозможность создавать реалистичные структурные пары потока. Наиболее сложные коллекторы NetFlow на рынке (включая StealthWatch) используют технологию, носящую название "сшивание потока", которая монтирует каждую однонаправленную пару потока в единый "сдвоенный поток". С таким потоком намного более просто работать, более того его использование позволяет примерно в 15 раз уменьшить требуемый объем дисковой памяти по сравнению с "сырым" NetFlow.

Но пока еще никто не сделал шаг вверх и создал надежный "симулятор NetFlow" эти простые инструменты имеют право на существование. Рассмотрим основные подобные системы на базе Windows, которые вы можете использовать при минимуме усилий.

Далее...

Дополнительные ссылки: NetFlow, Network Performance MonitoringStealthWatch

14.01.2011. Дорогая Xfinity, батарея - это здорово. Ну, а теперь я могу иметь NetFlow?

Недавно я получил e-mail:

Моя награда, как одного из первых потребителей сервиса VoIP компании Comcast, заключается  в том, что у меня действительно старый кабельный модем. Этот сервис, по моему мнению, работает хорошо уже много лет  и  я не собираюсь на него жаловаться. Это очень хорошо, что Xfinity/Comcast разослал такое письмо, поскольку я, например, и не подозревал, что существует такая бесплатная функция. Большинство технических специалистов (и я, в том числе) используют модем, подключив его к источнику бесперебойного питания, но все равно это приятно тем, кто этого не делает. Сам факт, что они приложили так много усилий, чтобы убедиться, что у меня в модем вставлена батарейка, заставил меня задуматься, может есть какие-то правила, которые требуют, чтобы в интернет-телефоне была  она в обязательном порядке? Возможно, какие-то правила, связанные с сервисом 911?

Так что, дорогой Comcast, поскольку у меня модем подключен через UPS, могу ли я наконец иметь экспорт NetFlow, как это обеспечивает сервис dd-wrt (альтернативное ПО (firmware) на  базе Linux, подходящее для большинства маршрутизаторов WLAN и встроенных (embedded )систем )? Я не уверен, может мне лучше экспортировать потоки из моей домашней офисной системы в корпоративную систему сбора NetFlow, но, с другой стороны, ведь существует множество бесплатных сборщиков потоков, которые неплохо работают, например, при вашем же мониторинге использования домашнего Интернета (посмотрите, например, ntop или nfsen).

Дополнительные ссылки: NetFlow

09.01.2011. Как создатели NetFlow используют NetFlow?

Cisco Systems разработали NetFlow в 1996 году и улучшали первоначальную конструкцию все это время. Современные параметры параметров потока такие как NetFlow v9 и Flexible NetFlow делают Cisco очевидным лидером в области анализа логов на базе потоков. И в этом смысле правильно, что  собственные сотрудники Cisco входят в состав элиты в сфере сбора и анализа NetFlow.

Гэвин Райд из команды Cisco CSIRT недавно в своем блоге написал, как они используют NetFlow.

Я не буду тут слишком много "красть" из его блога, лучше почитайте это сами, но все-таки приведу несколько выдержек.

"NetFlow  занимает очень интересную позицию, являясь одновременно наиболее полезным и наименее используемым  инструментом".  Это моя любимая фраза, поскольку он настолько прав... Так много людей этого не понимают.

О том, почему они не очень много используют open source для сбора NetFlow: "...никому не нужны трудности в разработке и поддержке, которые несут с собой решения "выращенные на дому".

О важности полноценного логирования потоков и их анализа: "...потоки данных - это большая часть того, что необходимо знать о том, как мы обеспечиваем безопасность в нашем оборудовании, именно поэтому нам необходимо полные записи NetFlow  для аналитических исследований".

Далее...

Дополнительные ссылки: NetFlow, Network Security

6.01.2011. PCI DSS 2.0: Как может помочь NetFlow-анализ?

C нового года начинают действовать новые требования PCI DSS 2.0. Каждый, кто имеет отношение к процессингу кредитных карт должен поспешить провести требуемые изменения (официальный лист изменений можно найти здесь).

В основном значительных изменений по сравнению с предыдущей (1.2) версией PCI DSS нет. Новую версию следовало бы назвать 1.3, но не будем особенно обсуждать этот вопрос, поскольку версионность связана с трехгодичным циклом изменений. Т.е. в 2014 нам следует ожидать версию 3.0 и так далее.

Для обеспечения соблюдения стандартов PCI необходимо учитывать роль потоков. Хотя стандарт PCI и не говорит "используйте NetFlow для аудита ваших приложений по работе с кредитными картами", но в реальности анализ потоков может иметь очень большое значение для соблюдения требований стандарта PCI. Основное применение - это анализ, сбор информации о сети, аудит транзакций, но и в более простой форме анализ потоков позволяет заполнить "дыру", существующую  между логами приложений и событиями традиционных, основанных на сигнатурах системах IDS/IPS.

Существует несколько областей, в которых анализ потоков может помочь для соблюдения требований стандарта PCI. Это, в частности, следующие требования PCI DSS:

  • Внедрение централизованной системы логирования
  • Проверка и аудит ролей в виртуальной среде
  • Постоянный контроль активных портов и услуг
  • Верификация того, что все случаи административного доступа зашифрованы
  • Запрет хранения данных держателей карт на серверах, подключенных к Интернет

Далее...

Дополнительные ссылки: NetFlow, Network Security

26.12.2010. Война за цифровые права, консумеризация IT и другие предсказания на 2011 год

Многие аналитики отрасли сейчас высказывают свои ожидания от следующего года, давайте сделаем это и мы. Примем за факт, что анализ потоков имеет отношение как к мониторингу безопасности, так и мониторингу производительности, и обсудим обе темы отдельно (хотя в действительности они имеют много пересечений)

Сетевая безопасность в 2011 году

Консумеризация IT и внутренние угрозы. Появление созданных для обычного потребителя устройств в корпоративной сетевой среде изменит правила, которые мы рассматриваем при обеспечении безопасности предприятия. Защита на уровне периметра типа сетевых экранов и систем класса IDS уже недостаточна. Компании должны думать, как им иметь дело со смартфонами, MiFi-устройствами и тому подобными мобильными приборами.

Социально-направленное вредоносное ПО. Это, возможно, очевидно, но появление приложений класса social media типа FaceBook открывает совершенно новое поле действия, на которое будут ориентироваться мошенники. Зачем выискивать погрешности в приложениях и операционных системах, когда намного проще "хакнуть" человеческий мозг? К счастью, именно Microsoft лидирует в стремлении защитить пользователей от самих себя с помощью своего IE 9.0.

Заводы наконец озаботятся безопасностью. Появление Stuxnet стало последним звоночком для заводов, особенно тех, которые имеют дело с регулированием по стандартам NERC-CIP. Поскольку SCADA-инфраструктура заводов все более сближается с IP, необходимость в улучшении мер безопасности резко возросла. Самая большая сделка в энергетике  - это SmartGrid и сюда будут вкладываться большие деньги, чтобы развивать систему и расширять ее действие. Я не говорю, что в этом году будут атаки на заводы (хотя и это возможно), но предприятия Северной Америки уже сейчас очень сильно задумываются о возможности подобных атак, чего раньше они не делали.

Далее...

Дополнительные ссылки: Network Performance Monitoring, Network Security

30.11.2010. BitTorrent, NetFlow и департамент безопасности

Torrent-сообщество, по всей видимости, собирается построить свою собственную DNS-инфраструктуру на базе BitTorrent под названием "Децентрализованная открытая система доменных имен", которая будет противодействовать государственным структурам в  закрытии сайтов с помощью обычного захвата доменов.

Департамент безопасности США ( Department of Homeland Security) определил 83 домена, которые связаны с продажей поддельных товаров. Судя по всему существующая в рамках департамента агентство по соблюдению правопорядка в эмиграционной политике и таможенных правилах (Immigration and Customs Enforcement, ice.gov) имеет возможность захватить любое имя домена в США, получив соответствующий судебный ордер. Если вы посмотрите любой из упомянутых здесь сайтов, то сможете увидеть вот это:

Я конечно не большой пользователь Torrent (использую Zune и iTunes), хотя годами пользуюсь Интернетом, и могу сказать, что не знаком ни с одним сайтом, которые перечислены в списке захваченных. Если это агентство потратит хоть несколько минут на исследование популярных торрентов, то сможет обнаружить множество поисковых списков торрентов, которые покажут, какие сайты имеют наибольшее количество источников торрентов. Три минуты просмотра позволили мне определить такой список, который мне кажется правильным, основываясь на моем знании Torent-сообщества.

Так почему же ни один из этих сайтов не был замечен агентством ICE? Например, такие большие, как kickasstorrents.com. Должны быть причины, почему они игнорируют все главные источники торрентов и занимаются мелкими, никому не известными сайтами, не так ли?

Далее..

Дополнительные ссылки: NetFlow, Network Visibility

09.11.2010. Lancope StealthWatch назван лучшим решением по сетевой безопасности 2010 года.

Lancope's StealthWatch получил ежегодную награду журнала Network Computing & Computing Security .

Победитель определялся путем онлайн-голосования читателей журнала в различных категориях, которые отражают широкий диапазон приложений, которые характеризуют сегодняшнюю сетевую среду.

Далее...

Дополнительные ссылки: StealthWatch.

5.11.2010. Cisco начала продажи нового Cisco Catalyst 4500 Supervisor 7-E: Мощные возможности использования NetFlow

Исторически Catalyst 4500 всегда имел проблемы с NetFlow. Старый Supervisor IV вообще не поддерживал NetFlow, хотя можно было добавлять специальную сервисную карту для NetFlow за дополнительные 2000 USD. И даже если эта цена не отпугивала потенциальных потребителей, это делала сама мысль о необходимости инсталлировать дополнительную карту в каждый Catalyst 4500.

Наконец Cisco сама поняла необходимость в этом и поддержка Flexible NetFlow появилась в последнем обновлении Catalyst 4500 - в Supervisor Engine 7-E.

Специалисты Lancope совместно с экспертами Cisco протестировали возможности новой системы и были приятно удивлены. Cisco действительно отлично выполнили "домашнее задание". Вот только несколько новшеств:

  • 128K кэш NetFlow
  • Аппаратная поддержка NetFlow v9, что позволяет не загружать процессор или функции коммутации
  • Поддержка NetFlow для layer-2 - потоки могут создаваться для коммуникаций между VLAN
  • Поддержка Flexible NetFlow - в ISR/ISR2 обнаружены продвинутые методы конфигурирования NetFlow
  • Поддержка NetFlow для Ipv6.

Далее...

Дополнительные ссылки: Flexible NetFlow, NetFlow

29.10.2010. Организация видимости сети удаленного склада или филиала при помощи NetFlow.

Октябрьский семинар компании Lancope посвящен использованию NetFlow для мониторинга сетей удаленных подразделений. Речь идет о различных типах топологии WAN и ее влияния на возможность отслеживания процессов в сети.

Кликните здесь - WEBINAR , чтобы принять участие в вебинаре

или

Кликните здесь ПРЕЗЕНТАЦИЯ (13.2 MB), чтобы просто загрузить презентацию.

 

Дополнительные ссылки: FlowSensor, NetFlow, Network Performance Monitoring, Network Security, Network Visibility

 

25.10.2010. 5 главных принципов безопасности при удаленной работе

Недавно, когда мне приходилось путешествовать, я остановился в кафе Starbucks. Это одно из самых удобных мест для получения доступа в Интернет в пути. Кофе, World of Warcraft, бесплатный интернет - что еще нам нужно?

Starbucks всегда был лидером движения "интернетизации" кафе и даже сотрудничал с Yahoo, предлагая новые сервисы цифрового контента, которые были доступны только при подключении к бесплатному Starbucks WiFi.

Кстати, мобильные пользователи очень любят бесплатный WiFi.

При этом, как в любом другом случае, когда речь идет о подключении в Интернет в публичном месте, важным вопросом является обеспечение безопасности. Поэтому в таких местах следует соблюдать несколько несложных правил, которые позволят защитить компьютер и данные на нем от различных угроз. Вот эти правила:

  • Считайте, что все, что вы делаете, отслеживается.

Когда вы работаете в Интернете в публичном месте, то считайтесь с тем, что все в вашем браузере может отслеживаться. Вам не следует отправлять данные вашей корпоративной кредитной карты в заполненном кафе, если вы только не абсолютно убеждены в том, что ваше соединение зашифровано.

  • Обращайте внимание на ошибки сертификата.

Если вы похожи на меня или большинство остальных людей, то, вероятнее всего, вы игнорируете ошибки сертификата, которые вы видите в своем браузере. Если при вашем обращении в paypal.com или другую платежную систему вы видите сообщение "Invalid Certificate", то вероятнее всего где-то рядом злоумышленник. Поэтому лучше делайте свой бизнес где-то в ином месте, где такая проблема не возникнет.

Далее...

Дополнительные ссылки: Network Security

18.10.2010. Lancope объявил о начале продаж StealthWatch FlowSensor 250, позволяющего значительно расширить возможности визуализации сети с помощью данных NetFlow.

Новый недорогой продукт предназначен для использования в филиалах, удаленных офисах и предназначен для генерации потоков NetFlow совместно с метриками производительности на уровне пакетов и индикаторами поведения сети.

StealthWatch FlowSensor 250 имеет три сетевых интерфейса - один для управления и два для мониторинга через SPAN/mirror/tap...

Новое устройство удобно использовать в местах, где необходимо иметь возможность контролировать потоки, но:

  1. Не генерируются потоки NetFlow
  2. Не желательно использование дорогостоящих проб и "снифферов".

Новейший член семейства StealthWatch будет доступен для приобретения в США и Европе в декабре 2010 года.

Более подробно узнать о новом эффективном и недорогом устройстве можно узнать из пресс-релиза.

Дополнительные ссылки: FlowSensor, NetFlow, Network Visibility, StealthWatch

07.10.2010. 7 основных причин, почему внедрение NetFlow не получается

Многие, кто пытался внедрить стратегию сбора информации NetFlow, сталкивались с проблемами, которые часто приводили к серьезным проблемам или даже к остановке проекта. С нашей точки зрения существует 7 основных вещей, которые влияют на неуспех внедрения NetFlow:

    • Восприятие: разобраться с NetFlow сложно и у меня нет времени с этим разбираться
      Множество NetFlow-проектов не реализуются, поскольку люди думают, что понять, внедрить и сконфигурировать NetFlow сложно. Это не так. Ваш производитель системы сбора NetFlow (если они делают свою работу) должен сделать это простым для вас.
      Или вы можете посетить наш бесплатный семинар NetFlow 101. Там мы вам расскажем все о NetFlow и как его использовать.

  • Выбран неправильное устройство сбора NetFlow
    Существует много различных систем сбора информации NetFlow. Более 80, если считать проекты класса open source, вендоров SIM (Security Information Management), таких как ArcSight, решения нижнего уровня типа SolarWinds, а также игроков высшей лиги, таких как Lancope. При выборе действительно надо внимательно отнестись к списку функциональности, параметрам масштабируемости и цене. Ниже приведен рисунок, отражающий основные параметры, на которые надо обратить внимание (ниже приведен адрес вебинара, где более подробно об этом говорится).

    Примечание. Если вы представляете большую компанию с сотнями или тысячами маршрутизаторов, вам необходимо устройство от Lancope или другой компании подобного уровня. Если же выработает в небольшой организации (< 500 пользователей), то у вас может неплохо работать и продукт low-end. И, если вы супер мотивированы, вы можете использовать и решение open source.
Далее...

Дополнительные ссылки: NetFlow

25.09.2010. ArcSight теперь поддерживает Lancope FlowSensor

Хорошие новости для пользователей ArcSight! ArcSight добавил поддержку NetFlow v9 и, что более важно, устройств Lancope FlowSensor. ArcSight теперь может использовать визуализацию сети с помощью сетевых потоков без необходимости конфигурировать роутеры и загружать сетевых администраторов.

FlowSensor - это недорогое сетевое устройство, которое подключается к Ethernet SPAN-порту или TAP для генерации расширенные события NetFlow v9, считываемые непосредственно системами линейки ArcSight Express. Подробнее...

Дополнительные ссылки: FlowSensor, Integration

16.09.2010. Сравнение количества событий NetFlow с реальным сетевым трафиком: не всегда именно то, что вы ожидаете

На эту тему уже высказывались в предыдущей заметке, но давайте вернемся к ней с интересным фактом, который касается одного большого университета с высоким уровнем bps, pps, fps и т.п. Посмотрите на графики ниже. Каждый из них касается одного и того же периода времени, но отображает университетский трафик по разному. Верхний график показывает трафик последних 20 часов в бит/сек, второй отображает тот же трафик в пакетах в секунду, и третий (красный) - показывает количество потоков NetFlow в секунду, генерируемых тем же трафиком...
Подробнее...

Дополнительные ссылки: NetFlow

13.09.2010. Оцениваем объем NetFlow

Часто спрашивают, сколько трафика NetFlow следует ожидать увидеть в сети. К сожалению, несколько затруднительно просто указать какое-то число, поскольку чересчур много факторов влияют на него. Давайте рассмотрим список наиболее важных факторов, безо всякой сортировки по их значению.
1. Большое количество публичных IP-адресов.
Если в вашей сети большое количество публично доступных IP-адресов (например, класса B), вы будете жертвой массового сканирования намного более часто, чем организация с одним адресом класса C. Автоматическое сканирование "червями" и т.п. - это основная причина этого. Каждый сканируемый IP будет создавать как минимум одно событие NetFlow. Если ваш брандмауэр или маршрутизатор посылает "Network/Host Unreachable", вы получите еще событие NetFlow для ICMP, возвращаемого в адреса атакующего. Университеты, провайдеры и другие "открытые" сетевые среды серьезно страдают от этого.
2. Отсутствует межсетевой экран на сеансовом уровне.
Считается № 1, если вы имеете большое количество IP-адресов и не используете межсетевой экран или встроенный IPS для фильтрации трафика. Вы можете ожидать большое количество NetFlow.

Подробнее...
Дополнительные ссылки: NetFlow, StealthWatch, Network Performance Monitoring, Network Visibility, Network Security

8.09.2010. Выпивать через пожарный шланг: мысли о сетевой безопасности в университетском кампусе

Администраторы информационной безопасности в университетах занимаются интересной работой. Они выполняют все те функции, что и обычные корпоративные администраторы, и, кроме того, у них есть масса других обязанностей, которые характерны скорее для среды провайдеров.
Университетский кампус - это дом для тысяч студентов, и в то же время является хостингом для ключевых серверов, в которых содержится большое количество приватной информации. При этом в большинстве университетов сетевые администраторы стараются сохранить "открытое сетевое окружение", которое обеспечивает свободный доступ в сеть. Свобода доступа к информации и тому подобное...
Природа потребляемого трафика среднего студента - это порнография, игры, обмен файлами (P2P) и другие юношеские игрушки - прямой путь к нанесению вреда университетской сети. Еще более плохая ситуация в технических школах и университетах, где каждый студент имеет персональный компьютер и знает как им пользоваться, в том числе и для обхода защиты.
Проанализировав в течение нескольких часов атаки на университетский трафик, мы решили сформулировать "5 главных инициатив для обеспечения безопасности" для университетской сетевой среды. Этот список выглядит следующим образом:
1. Студенты и работники университета должны прочитать и понять политики "Минимальных стандартов обеспечения безопасности" для компьютеров и устройств, включенных в WLAN.

Подробнее...

Дополнительные ссылки: Network Security

12.08.2010. Lancope StealthWatch среди лидеров решений для мониторинга производительности приложений в сети

Агентство EMA выпустило новый исследовательский доклад, в котором провело оценку решений по управлению производительностью сетевых приложений (Application-Aware Network Performance Management, ANPM), в котором появились новые игроки. Компании CA, NetScout, OPNET и другие члены старой школы мониторинга сети теперь должны почаще оглядываться, поскольку производители решений на базе NetFlow приобретают все большую силу.
Как сказано в докладе, "Lancope является стабильной и быстро растущей компанией, имеющих собственное видение той роли, которую играет их решение, учитывая требования к ANPM, и главную свою ценность в мониторинге сетевой безопасности, что является основным отличием их решения от продуктов остальных производителей. Компания, кроме того, имеет очень агрессивные планы по заполнению пробелов в функциональности своего решения и хорошие партнерские отношения с другими вендорами сетевого оборудования, что позволяет надеяться на сохранение высокой ценности решения в течение долгого времени. В итоге, EMA рассматривает Lancope как очень стабильного и надежного провайдера решений класса ANPM".

Аналитик EMA Джим Фрей провел очень значительную работу, проведя глубокий анализ решений всех основных игроков на этом рынке, и создал ясную его картину, которая отображена на рисунке выше.
Важно отметить, что Lancope отсутствовал на этой диаграмме еще 18 месяцев назад, а теперь Lancope StealthWatch находится в лидирующей группе в категории "Strong Value". И нет сомнения, что после выхода новой версии (6.0) продукта в начале будущего года, Lancope переместится в группу "Value Leader".

Подробнее...

Дополнительные ссылки: NetFlow, StealthWatch, Network Performance Monitoring

07.08.2010. Как обнаружить активные "черви" в сети?

Продукт компании Lancope - StealthWatch - обладает функциями Alarm Summary и Alarm Table, которые могут идентифицировать новые угрозы в сети, такие, в частности, как "черви" или аналогичные существующие или потенциальные уязвимости.
StealthWatch помогает администраторам видеть:

  • На какую часть вашей сети влияет зараженный хост
  • Когда произошло заражение
  • Источник "червя"
  • Затронуты ли какие-либо критичные для бизнеса активы
  • Где вы можете блокировать зараженный хост

На другие подобные вопросы можно найти ответы ЗДЕСЬ

06.08.2010. Вебинар: Использование NetFlow для обнаружения и ликвидации современных кибер-атак в корпоративной сети

На вебинаре вы можете узнать, как организовать мониторинг сети для обнаружения и прекращения botnet-атак, повторяющихся угроз и другой вредоносной активности в сети предприятия. Здесь вы можете узнать, как самое передовое в отрасли решение по предотвращению botnet-атак от компании Damballa интегрируется с системой Lancope StealthWatch.

Подробнее о решении... Регистрация на семинар

6.08.2010. Cравнение цен: NetFlow против Packet Capture

Многие спрашивают: "Как соотносится с точки зрения стоимости технология NetFlow с традиционными технологиями захвата пакетов, которые используют SPAN-порты и виртуальные ethernet-адаптеры (TAP)?
Что же давайте просмотрим прайс-листы для США продуктов Lancope StealthWatch и NetScout InfiniStream. Допустим, заказчик хочет контролировать 100 пунктов (каждый 1 Гбит/с)...

Lancope StealthWatch Management Console = $29,995
Lancope StealthWatch Xe-1000 NetFlow Collector = $109,995 (w/100 sources)

NetScout nGenius Performance Manager Global Server = $57,659.99
NetScout nGenius InfiniStream 2906/GS = $2,094,199 (100 units @ $20,941.99 each)

Итого:
Lancope StealthWatch (с 100 NetFlow-источников): $139,990
NetScout's nGenius (с 100 gigabit-пробами): $2,151,858

Т.е. решение на базе NetFlow в 15 раз дешевле, чем решение на базе Packet Capture. Простите, коллеги из NetScout, но мы взяли эту информацию из ваших же открытых источников.
Подробнее...
Дополнительные ссылки: NetFlow, StealthWatch

29.07.2010. Появление 500-миллионного участника сообщества Facebook свидетельствует о возрастании рисков для компаний

Недавнее объявление о том, что в сообществе Facebook появился 500-миллионный пользователь, свидетельствует о взрывном росте технологий социальных медиа в интернет-сообществе. Существующая тенденция говорит о том, что миллиардный аккаунт в Facebook появится не позднее, чем через 12 месяцев.
Компании должны учитывать, что означают для них Facebook, Linkedin, Twitter, блоги и другие социальные медиа, формировать правила их использования и обучать им пользователей. Доступ к подобным ресурсам, как Facebook или Linkedin, очень полезен и позволяет улучшить мораль, взаимодействие и административную эффективность. К сожалению, в некоторых организациях риски могут перевесить преимущества.
ИТ-администраторы должны учитывать следующие риски в сфере производительности и безопасности, которые несут с собой сайты, подобные Facebook:
1. Нарушения производительности в рабочих процессах. Чат в Facebook или игры, подобные Mafia Wars или Farmville, могут значительно ухудшить производительность труда, если этому не препятствовать. Компании должны принять правила использования социальных сетевых приложений, контролируя доступ пользователей и блокируя определенные сайты, которые несут потенциальный риск. После того, как принимаются подобные правила, необходимо обучить пользователей тому, что означают эти правила для их ежедневной деятельности.

Подробнее...

Дополнительные ссылки: Network Visibility, Network Security, StealthWatch

 

20.07.2010. Внимание производители брандмауэров: Добавьте поддержку NetFlow!

Это открытое письмо всем производителям брандмауэров:
ПРОСИМ ВАС ДОБАВИТЬ ПОДДЕРЖКУ NETFLOW В ВАШИ ПРОДУКТЫ!

Ваши заказчики нуждаются в этом. Экспорт потоков выделит вас среди конкурентов, поскольку сейчас очень немногие производители поддерживают NetFlow. Брандмауэры являются "слепым пятном" сети с точки зрения сетевого контроля. К сожалению для ваших потребителей такие "слепые пятна" почти всегла располагаются в ключевых позициях сети. Мы получаем очень много запросов по этому поводу, поэтому мы решили перенаправить их вам.

Вот список основных производителей брандмауэров с указанием степени поддержки NetFlow:

 

Производитель Поддержка NetFlow Примечания
IPTABLES да Да здравствует ПО с открытым кодом!
Check Point частично Доступно в IPSO 6.1 Build 033. В настоящее время добавлено в Linux-версию
Cisco Systems частично Специальная версия NetFlow v9 "NSEL". Поддерживается в версии 8.2 и выше, хотя внедрений не было. Есть проблемы.
Fortinel частично Поддерживает sFlow, а не NetFlow. Требуется FortiOS 4.0MR или выше.
Vyatta частично При использовании модуля IPTABLE NetFlow
Astaro нет Множество запросов на поддержку NetFlow в форумах Astaro.
Barracuda Networks нет Поддержка отсутствует
iPolicy Networks нет Поддержка отсутствует
Juniper частично SRX поддерживает jflow v5. Не поддерживается в Netscreen. Хороший старт...
NETASQ нет Поддержка отсутствует
Palo Alto нет Приложение на базе NetFlow v9 для брандмауэра Palo Alto было бы великолепным решением
McAfeeNo нет Поддержка отсутствует
SonicWall нет Поддержка отсутствует
Stonesoft нет Поддержка отсутствует
Watchguard technologies нет Поддержка отсутствует

Дополнительные ссылки: NetFlow, Network Visibility, Network Security, Integrations

21.07.2010. Как я могу увидеть, какой хост "съедает" большую часть моей полосы пропускания и что за данные через него проходят?

StealthWatch может помочь определить того, кто в вашей сети занимается загрузкой большого количества непродуктивного контента, такого как MP3 или видео.

Используя экран "Zone Top Ten" вы можете видеть:

  • Какой хост ответственен за потребление большой полосы пропускания;
  • В какой части сети этот хост находится;
  • Какую часть полосы пропускания этот хост потребляет;
  • Какой сервис при этом используется.

Хотите узнать больше? Посмотрите StealthWatch в действии (видео).

19.07.2010. Контроль трафика Facebook с помощью StealthWatch и NetFlow. Как это?

В соответствии с информацией All Facebook к концу июля в Facebook будет 500 млн. аккаунтов. Это не означает, что в нем будет 500 млн. пользователей, поскольку часть аккаунтов - это маркетинговые или продукт-ориентированные страницы, но цифра все равно очень большая. С этой точки зрения, и мы все должны с этим согласиться, Facebook (и вообще подобные социальные сети) - это действительно большой проект, оказывающий влияние на многих.
Множество организаций пробуют определить, как влияет Facebook на их полосу пропускания, продуктивность сотрудников, на соблюдение информационной безопасности. В компании Lancope доступ в Facebook не запрещен, но, тем не менее, постоянно контролируется.
Если вы пользуетесь возможностями просмотра NetFlow средствами Lancope StealthWatch, то мониторинг трафика Facebook очень легок. Здесь мы расскажем, как это сделать.
Подробнее...

Дополнительные ссылки: NetFlow, Network Visibility, Network Performance Monitoring, StealthWatch

06.07.2010. Borderless Network Visibility с использованием NetFlow

Одна из тем, которая много обсуждалась в течение этого года и о которой говорят на проходящей Cisco Live 2010, это новые принципы дизайна сети, которые получили название Borderless Networking. Cisco дает такое определение этому:
"Cisco Borderless Networks обеспечивает новые возможности для создания рабочего пространства, соединяя всех, везде, используя любые устройства и ресурсы - безопасно, надежно, без помех".
Мы же описываем Borderless Networking следующим образом:
"Инициатива Cisco Borderless Networks - это набор продуктов, функциональных характеристик, концепций дизайна, который позволяет пользователям соединяться с любым сервисом или приложением компании, вне зависимости от того, где они или эти сервисы и приложения находятся".

Существуют четыре основных тренда, которые стали причиной необходимости возникновения новой концепции:

Расположение пользователя в сети не должно ни на что влиять. Находятся ли они дома, на работе или в дороге, они должны иметь доступ ко всему, что им необходимо для бизнеса. Традиционные брандмауэры и VPN стоят на пути этих требований и несколько не соответствуют новой концепции. Подробнее...

Дополнительные ссылки: NetFlow, Virtualization, Network Security, Network Visibility, Network Performance Monitoring,

01.06.2010. FlowSensor AE-3000: Непрерывный мониторинг 10 Гб сети

Давайте поговорим о новом Lancope FlowSensor AE-3000, который только появился на рынке. FlowSensor AE-3000 - это новое добавление в семейство устройств Lancope, предназначенное для постоянной генерации NetFlow и обеспечивающее таким образом непрерывный мониторинг сети.

ОСНОВНЫЕ ХАРАКТЕРИСТИКИ:
- Пропускная способность в 5 Гб/с
- Стоимость примерно $27 995 (сравнимо с предложением NetQoS, NetScout и других)
- 2 платы 10Gbps Intel PRO 10GbE SR-XFP NIC, позволяющие осуществлять непрерывный мониторинг сети
- Обеспечивает видимость NetFlow в областях сети, где нет традиционных возможностей NetFlow
- Генерирует записи NetFlow v9, которые могут передаваться почти в любой коллектор NetFlow v9. Подробнее...

Дополнительные ссылки: FlowSensor, NetFlow, StealthWatch

24.05.2010. XEN Cloud Platform теперь поддерживает NetFlow

Хорошие новости для пользователей Xen - NetFlow теперь поддерживается через Open vSwitch 1.0. Отметим, что наличие функционала NetFlow упомянуто первым в списке характеристик Open vSwitch 1.0 - похоже, что разработчики поняли важность учета и контроля на уровне потоков в vSwitch. Эта функция была необходима, поскольку VMWare уже предлагает поддержку NetFlow через Cisco Nexus1000v или "бесплатное" виртуальное устройство Lancope - FlowSensor VE. Подробнее...

19.05.2010. FlowSensor компании Lancope: будет ли он сочетаться с вашим оборудованием?

Краткая информация о FlowSensor.

Если вы еще незнакомы с продукцией Lancope, то поясним: FlowSensor - это дешевое сетевое устройство, которое подключается к SPAN-, TAP- или зеркальному порту на маршрутизаторе или коммутаторе. FlowSensor захватывает Ethernet-фреймы, преобразует их в записи NetFlow v9, а затем пересылает их через сеть в StealthWatch NetFlow collector. Это отличное решение для тех частей вашей сети, где у вас нет NetFlow-поддержки или в ситуациях, когда вы опасаетесь включить функцию поддержки NetFlow на своем маршрутизаторе из-за возможного влияния на работу сети. FlowSensor позволяет осуществлять даже мониторинг сред VMWare ESX 3.5 или 4.0.

Каждый FlowSensor имеет до 5 портов захвата и один порт управления (для экспорта потоков и доступа к веб-интерфейсу). FlowSensor имеет три модификации: 1 Gbps, 2.5 Gbps и 5 Gbps 9появится в ближайшее время).

Может ли он работать совместно с оборудованием других производителей?

Мы были очень удивлены, когда обнаружили, что FlowSensor приобретается не только заказчиками Lancope. Это связано с тем, что FlowSensor очень хорошо работает с почти любым NetFlow(v9)-коллектором. Здесь мы приводим список производителей, которые могут взаимодействовать с FlowSensor. Подробнее...

Дополнительные ссылки: FlowSensor, NetFlow, Virtualization, Integrations

17.05.2010. Бывший CEO компании SPI Dynamics Брайан Коэн (Brian Cohen) стал неисполнительным председателем совета директоров Lancope

Компания Lancope объявила, что независимый член совета директоров компании Брайан Коэн избран неисполнительным председателем совета директоров. Коэн занял этот пост после того, как Харланд Лавин (Harland LaVigne), исполнявший обязанности председателя, президента и CEO с 2002 года, принял решение уйти на пенсию.

Как неисполнительный председатель совета директоров Коэн теперь оказывает влияние на больший круг вопросов и взаимодействует в своей деятельности с недавно назначенным президентом и CEO Lancope Майком Поттсом (Mike Potts). Подробнее...

14.05.2010. Что случилось с Cisco IOS версий 13 и 14?

Не знаю, заметил ли кто-нибудь еще кроме меня, что когда Cisco в прошлом году анонсировал выход IOS v15.0 куда-то пропали версии 13.0 и 14.0. Последним релизом перед IOS v15.0 был 12.4. Подробнее...

10.05.2010. Передача NetFlow через «диод данных» для NERC CIP

Одной из тем, которая обсуждалась на прошлой неделе во время конференции SmartGrid в Хантсвилле, была концепция «диода данных» и его использования для безопасного получения данных (в частности, NetFlow), передаваемых между двумя независимыми сетями.

Диод данных - это устройство или сетевая конфигурация, которое создает однонаправленное соединение из одной сети в другую. Диод данных используется тогда, когда вам необходимо передать данные через сетевые границы и при этом быть на 100% уверенным, что «вредоносный» трафик не пройдет со стороны незащищенной стороны ("high") в защищенную ("low"). Диод данных более надежен с точки зрения безопасности, чем межсетевой экран, но намного менее гибок, поскольку пропускает только однонаправленные потоки данных на базе UDP. Подробнее...

Дополнительные ссылки: NetFlow, Network Security, Network Visibility

04.05.2010. Cisco Catalyst 6500: Всегда указывайте "mls flow ip interface-full" при включении NetFlow

Небольшая информация о том, что мы называем "вести с полей".

Не так давно к нам обратился клиент, у которого система Lancope StealthWatch стала работать несколько странно после того, как он включил NetFlow в нескольких маршрутизаторах Cisco Catalyst 6500. StealthWatch передавал статистику утилизации интерфейса надлежащим образом, но отдельные потоки вроде бы не показывались и (или) отсутствовала информация layer-4 (port number). Нас попросили разобраться в ситуации.Подробнее...

Дополнительные ссылки: NetFlow, Network Security, Network Visibility

29.04.2010. Fortinet теперь поддерживает sFlow

Компания Fortinet информирует, что устройства FortiGate UTM теперь поддерживают sFlow. Мы не часто упоминали здесь sFlow, но все, кто использует оборудование Extreme, HP Procurve или Brocade/Foundry, могут подтвердить его полезность, если при этом используется емкий коллектор sFlow.

sFlow сейчас поддерживается в системах FortiOS 4.0MR2 и выше. Подробнее...

Дополнительные ссылки: Integrations, NetFlow, Network Security, Network Visibility, sFlow

2.04.2010. Что такое NetFlow?: «телефонный счет для вашей сети»

Чтобы объяснить суть технологии NetFlow, по моему мнению, наиболее удобно сравнивать ее с традиционным телефонным счетом. Телефонные компании называют свои ежемесячные счета «детальная запись разговоров» (CDR, call detailed record).

Телефонные компании отсылают вам эти CDR в конце каждого месяца, чтобы вы могли посмотреть, с кем у вас был телефонный разговор, стоимость связи, во сколько обошелся вам каждый разговор и т.п. Эта информация, как правило, людьми игнорируется, несмотря на то, что в счете может быть что-то не так. Если же вы заметите, что сумма счета существенно превышает обычную, то вы тут же хватаете его и начинаете просматривать, стараясь определить, какие звонки стали причиной такого увеличения расходов. Вы не сможете еще раз прослушать этот разговор, но у вас будет достаточно подробностей, чтобы определить, в чем проблема.

NetFlow, в сущности, работает примерно также, как и ваш телефонный счет. Подробнее...

16.04.2010. Основные причины, по которым NetFlow особенно полезно использовать учебным заведениям

Удивительно, как много университетов уже используют собственные NetFlow-решения на базе бесплатных open source приложений типа CUFlow или аналогичных. Но, к сожалению, подобные приложения сложно использовать в течение длительного времени и именно поэтому специалисты, обслуживающие университетские сети, вынуждены обратить свое внимание на коммерческие решения.

Почему же так важно использовать NetFlow в университетских сетях? Подробнее...

Дополнительные ссылки: NetFlow, Network Security, Network Visibility

09.04.2010. Открыта видео-библиотека с материалами о преимуществах использования Lancope StealthWatch.

Компания Lancope разместила в Интернете ряд видеоматериалов, которые подробно разъясняют преимущества использования своего NetFlow-решения StealthWatch для целей управления сетевой безопасностью и производительностью. Адрес видео-библиотеки: www.lancope.com/videos.

Дополнительные ссылки: Flexible NetFlow, NetFlow, Network Performance Monitoring, Network Security, Network Visibility, StealthWatch

07.04.2010. Новые возможности регистрации подозрительных загрузок из внутренней сети в Интернет с помощью NetFlow и StealthWatch 5.10.1

Компания Lancope анонсировала выход версии 5.10.1 системы StealthWatch. В новом релизе исправлены несколько ошибок, а также появилась новая сигнальная функция «Подозрительная потеря данных» (Suspect Data Loss), предназначенная для определения подозрительных загрузок (upload) в Интернет.

Новая функция может использоваться совместно с вашими системами класса Data Loss Prevention (если вы их используете). DLP-технологии уже доказали свою ценность и сегодня предлагаются целым рядом производителей, такими, например, как CodeGreen Networks и др. Новая функция системы StealthWatch 5.10.1 использует интеллектуальный метод детектирования «интересных» загрузок без использования загружающего сеть анализа контента. Подробнее...

Дополнительные ссылки: Network Security, StealthWatch

24.03.2010. Спросите эксперта и получите ответы на все ваши вопросы о NetFlow.

Это не презентация и это не рекламное сообщение. Просто час ответов на вопросы аудитории о NetFlow и соответствующих технологиях для контроля производительности и мониторинга безопасности. Если вы интересуетесь примерами внедрений, методами оптимизации, различными подсказками по применению этих технологий, о текущем состоянии и будущем NetFlow, то вам самое время послушать этот webcast. Подробнее...

Дополнительные ссылки: NetFlow, Network Security, Network Visibility

 23.03.2010. Новая функция - предупреждение о возможной утечке информации в NetFlow-системе Lancope StealthWatch

Компания Lancope объявила о внедрении новой технологии предупреждения об утечке информации (Data Loss Alarming) в сети в своей NetFlow-системе StealthWatch, которая позволяет фиксировать потенциальные утечки информации в корпоративной сети, вне зависимости от формата данных, протокола или методов шифрования. Новая функция позволяет значительно расширить возможности StealthWatch по защите корпоративных сетей от утечек данных и улучшает контролируемость процессов в физических и виртуальных сетях. Подробнее...

Дополнительные ссылки: NetFlow, Network Security, Network Visibility, StealthWatch

23.03.2010. Оценка скорости (flows per second, fps) для Flexible NetFlow

Для определения производительности NetFlow коллектора наиболее общим критерием является скорость обработки потоков (flow per second). В этих терминах измеряются записи NetFlow, которые генерируются каким-либо маршрутизатором (коммутатором или другим устройством) в секунду.

Чем больше скорость обработки потока, тем более мощным должен быть коллектор в терминах процессора, памяти, дискового пространства и т.п. Коллекторы компании Lancope в настоящее время масштабируются до 40K fps в продолжительном режиме работы (с дедупликацией, сшиванием потока, с включенным определением клиент/сервер) с возможностью работы в режиме до 200K fps в течение коротких периодов.

Если настроить традиционный NetFlow с помощью команд типа "ip flow ingress" и "ip route-cache flow", можно легко определить скорость в терминах fps для маршрутизатора Cisco IOS. Достаточно только ввести команду "show ip cache flow" и можно получить отчет, в котором показана скорость обработки поток маршрутизатором. Легко убедиться, что скорость составляет 21,6 fps. Подробнее...

Дополнительные ссылки: Flexible NetFlow, NetFlow

17.03.2010. Подтверждено: FlowSensor компании Lancope работает совместно с NetQoS ReporterAnalyzer

Тесты показали, что NetFlow-генератор компании Lancope (FlowSensor) может работать вместе с NetQoS ReporterAnalyzer. Это хорошая новость, поскольку теперь все, у кого инсталлирована NetQoS, могут использовать FlowSensor для создания записей NetFlow v9 в точках сети, которые не поддерживают NetFlow. Подробнее...

Дополнительные ссылки: FlowSensor, Integrations, NetFlow

11.03.2010. Сюрприз! IPSO 6.2 компании Checkpoint поддерживает NetFlow v5/v9.

Во время проходившего недавно в Коннектикуте мероприятия NetFlow 101 Bootcamp один из посетителей обратил наше внимание на то т факт, что IPSO v6.2 компании Checkpoint поддерживает экспорт NetFlow. Обычно брандмауэры показываются как «мертвое пятно» в сети в терминах NetFlow и поэтому это очень хорошая новость. Будем надеяться, что и другие производители брандмауэров добавят в свои продукты аналогичные характеристики. Подробнее...

Дополнительные ссылки: Integrations, NetFlow, Network Visibility

09.03.2010. Lancope StealthWatch признан лучшим продуктом для NetFlow и Network Visibility в номинации Product Innovation Awards 2010 издания Network Product Guide.

Эта почётная награда отмечает инновационные и прорывные технологии. Ранее StealthWatch признавался лучшим продуктом для NetFlow в 2008 году, а также дважды признавался лучшим в анализе поведения сети (Best in Network Behavior Analysis) и однажды Лучшим в мониторинге виртуальных сред (Best in Virtual Visibility). Подробнее...

Дополнительные ссылки: NetFlow, network behavior analysis, Network Performance monitoring, security monitoring, sFlow, StealthWatch

24.02.2010. Форматы потоков, поддерживаемые Lancope StealthWatch

Мы составили список форматов потоков, которые поддерживает StealthWatch, опросив значительное количество сотрудников. Здесь приведен этот список с небольшими комментариями о каждом формате. Подробнее...

Дополнительные ссылки: FlowSensor, Integrations, NetFlow, sFlow, StealthWatch

22.02.2010. NetFlow-решение Lancope StealthWatch вошло в число финалистов конкурса Info Security Products Guide Global 2010 Awards.

Сегодня Info Security Products Guide, наиболее авторитетное издание на тему продуктов и технологий в области информационной безопасности, объявило о включении StealthWatch в список финалистов премии на Лучший мировой продукт в области информационной безопасности 2010 года в категории «Выбор редакции» (Editor's Choice). Подробнее...

16.02.2010. Просматриваем NetFlow в «сыром виде» с помощью Flexible NetFlow

На проходящем недавно семинаре NetFlow 101 Bootcamp мы провели много времени, настраивая Flexible NetFlow в Cisco IOS. Часть времени мы затратили на просмотр NetFlow в «сыром виде», поскольку потоки активированы в кэше (cache) маршрутизатора. Некоторые из старых команд, показывающие потоки в кэше , используемые с традиционным NetFlow (v5) в старых версиях IOS, уже не работают. Новая команда, которую мы использовали, чтобы показать «сырой» Flexible NetFlow, это:

R6# show flow monitor NAME cache format table

Где "NAME" - название монитора (monitor), содержащего интересующие нас потоки.

Подробнее...

Дополнительные ссылки: Flexible NetFlow, NetFlow

8.02.2010. Компания Lancope получила 4-й патент США на Network Service Zone Locking

Компания получила четвертый патент в сфере Управления сетевой производительностью и мониторинга безопасности на базе NetFlow. Функционал Network Service Zone Locking Technology в StealthWatch позволяет значительно усилить информационную безопасность в корпоративных сетях.

Новое изобретение позволяет увеличить точность и надежность StealthWatch при определении несанкционированного использования сети. В частности, Network Service Zone Locking предоставляет средства мониторинга и сигнализации при нарушении политик сети на уровне приложений между клиентом и сервером без необходимости размещения какого-либо сетевого устройства между двумя хостами. Подробнее...

29.01.2010. Слайды с вебинара «Cisco 3750, где твой NetFlow?»


Последний семинар был посвящен использования новых FlowSensor AE компании Lancope для генерации NetFlow при подключении к оборудованию Cisco. Здесь вы можете посмотреть презентацию в формате Power Point, если у вас нет времени ознакомиться с информацией вебинара.

Подробнее...

Дополнительные ссылки: FlowSensor, NetFlow

26.01.2010. Расписание NetFlow 101 Boot Camp

Здесь вы можете ознакомиться с расписание семинаров NetFlow 101 Boot Camps, которые будут проводиться в 2010 году.

Такие тренинги пользовались очень большой популярностью в прошлом году, наполняемость залов была почти стопроцентной практически во всех городах, где проходили эти мероприятия. В этом году мы значительно улучшили тематику лабораторных занятий, включив занятия по подробной конфигурации Cisco Flexible NetFlow, а также поиску и устранению неисправностей. Так что, если вы пропустили семинар NetFlow 101 в вашем городе в прошлом году, не забудьте вовремя зарегистрироваться в этом.

Подробнее...

Дополнительные ссылки: NetFlow

20.01.2010. Тонкая настройка определений записей потоков (flow record) Flexible NetFlow компании Cisco для экономии пропускной способности

Одной из ключевых характеристик Flexible NetFlow (FnF) компании Cisco и NetFlow v9 является способность точно определять, какие поля пересылаются из маршрутизатора в коллектор потоков. Существует возможность уменьшить пересылаемые поля до минимума для того, чтобы уменьшить размер каждой NetFlow-записи и, таким образом, снизить количество NetFlow-пакетов, пересылаемых маршрутизатором в коллектор. Сжатие записей NetFlow позволяет значительно уменьшить полосу пропускания, занимаемую трафиком NetFlow. Подробнее...

Дополнительные ссылки: Flexible NetFlow, NetFlow


Поделитесь информацией с друзьями:

Как обнаружить Flame.

Не важно, часто или нет, но угрозы инсайдеров наносят вам вред

Forrester поддерживает усилия Lancope и Cisco по противодействию  современным сетевым угрозам

Компания Web Control. Тел./факс: +7 (495) 925-7794
email: info@web-control.ru, 107023, г. Москва, Электрозаводская ул., д. 24
Яндекс.Метрика