Что такое телеметрия NetFlow с точки зрения мониторинга сетевого трафика? Это автоматические измерения для обеспечения контроля сети с помощью NetFlow, sFlow или IPFIX.

Телеметрия NetFlow может включать в себя не только возможности предоставления отчетов, но и обеспечивать контроль проникновения и сетевых атак. Основной термин при этом - "автоматизация". Вот пример такой автоматизации обнаружения угроз при помощи системы компании Plixer:

 

... Читать дальше »

Advanced Persistent Threat - тип атак, при которых  канал нападения не определен, так как злоумышленник осуществляет атаку в течение продолжительного времени, перебирая различные виды угроз и уязвимостей до получения результата.

Обнаружение атак типа Advanced Persistent Threats (APT) и других сетевых угроз с помощью NetFlow или IPFIX требует использовать сложный анализ потоков. Например, информация о наиболее популярных хостах и приложениях, наиболее часто встречающиеся значения DSCP и т.п. - все это значительная информация и может использоваться как реактивно, так и проактивно, но это только "верхушка айсберга" того, что может нам сообщить NetFlow о различных типах аномалий трафика, которые остались незамеченными другими системами защиты.
Например, хост, сканирующий сеть, вызывает множество потоков, но потребл ... Читать дальше »

Ключевые термины:

Что собой представляет сервис мониторинга IT? Некоторым компаниям необходим мониторинг трафика, другим нужен мониторинг только мобильного (BYOD) трафика. Современное рабочее место постоянно "атакуется" различными устройствами пользователей. Системы Android и iPhones постоянно ищут возможность подключиться к сети и к сервисам, которые могут быть доступны в этой сети.
И как вы можете быть уверены. что все эти мобильные устройства соблюдают ваши политики использования Интернета (Internet Acceptable Use Policy, IAUP)? Для этого используется технология распознавания поведения приложений в сети (Network Behavior Application Recognition, NBAR), которая сегодня поддерживается, например, устройствами Lancope StealthWatch, файерволами SonicWall, Palo Alto Networks, маршрутизаторами Cisco, и которая может избавить вас от головной боли определения приложений во внутренней сети. Мы можем видеть, что пользователь вошел в Интернет, но м ... Читать дальше »

NetFlow VoIP Monitoring часто требует контроля QoS или значений DSCP. Ниже приведена некоторая статистика, которая может быть получена, когда осуществляется мониторинг сетевого трафика с помощью Flexible NetFlow.

Контроль VoIP с помощью NetFlow

• Время "туда и обратно": время прохождения сигнала от хоста A до хоста B. Маршрутизатор измеряет это путем наблюдения за TCP hand shake между SYN, SYN ACK и ACK.
• Время жизни: Эта метрика показывает максимальное количество hops, какое позволяет датаграмма.  Это значение уменьшается по мере прохождения через каждый очередной маршрутизатор. Когда значение становится равным нулю, оно не будет пересылаться.
  
• Джиттер: Статистика о вариациях задержки пакетов, вызванных очередями, конкуренцией и передачей по частям при прохождении сети. Для выравнивания задержек могут использоваться буферы, но слишком большая буфферизация увеличивает задержку и мешает нормальному показу интерактивного видео.
  
• ... Читать дальше »