Flowmon
Flowmon DDoS Defender
Flowmon DDoS Defender staví mezi útočníky a kritické aplikace pokročilou umělou inteligenci. Řešení využívá technologie monitorování datových toků k detekci útoků, mitigace pak probíhá na úrovni vaší infrastruktury nebo pomocí řešení třetích stran. Poskytovatelům internetových služeb tak DDoS Defender dává škálovatelnou ochranu, která maximalizuje již provedené investice do infrastruktury.
Zažádat o Trial DDoS Defender
Flowmon DDoS Defender
Flowmon DDoS Defender:
  • Nabízí vysoce škálovatelnou anti-DDoS ochranu.
  • Snižuje množství false positives pomocí kontinuálně se měnících adaptivních prahů.
  • Spouští různé mitigační scénáře v závislosti na charakteru útoku (jeho struktuře a objemu).
  •  Lze integrovat s řadou mitigačních řešení třetích stran a s cloudovými scrubbing centry.

Zákazníci spoléhající na Flowmon DDoS Defender

equinix-logo.pngafix_logo.pngAspire-technology.png

Klíčové funkce a přínosy řešení

Škálovatelnost

Řešení roste společně s vašimi potřebami. Šetří přitom dodatečné náklady při využívání méně zdrojů při reakci na útok.

Snížení provozního zatížení

Detekce útoku je založena na strojovém učení, což šetří čas spojený s manuálním laděním/konfigurací detekcí.

Nízká míra False positives

Adaptivní baselining a prahy, společně s unikátní schopností učit se z minulých false positive incidentů, zajišťují velmi malé množství falešně pozitivních hlášení.

Včasná upozornění

Díky proudovému zpracování dat (stream processing) je počínající útok detekován do 10 sekund.

Automatická reakce

Administrátor může zvolit manuální nebo plně automatizovanou reakci na incident.

Připravenost pro MSP prostředí

Řešení je připraveno pro poskytovatele profesionálních bezpečnostních služeb díky podpoře víceuživatelských prostředí a individuálního nastavení systému do firemního designu (whitelabeling).

Integrace

Nativní integrace s předními vendory mitigačních zařízení/služeb dává flexibilitu při jejich výběru dle požadavků zákazníka.

Jak to funguje

1
Nastavení chráněného účtu

Vše začíná u definice chráněného účtu, kterým může být zákazník, služba nebo segment, který může být definován jako podsíť (subnet) nebo číslo autonomního systému (autonomous system number, ASN). Pro každý chráněný segment můžete nastavit vlastní pravidla upravující podmínky, jak bude útok detekován a mitigován.

2
Definice detekčních pravidel

DDoS Defender nabízí řadu typů tzv. baseline, které určují, jaký provoz je normální. Lze je individuálně nastavit pro každý účet i část provozu. Konkrétní detekční prahy jsou pak adaptivní, jinými slovy jsou automaticky přepočítávány a kopírují přirozený vývoj provozu v síti bez nutnosti je manuálně upravovat uživatelem. V případě potřeby lze prahy nastavit i manuálně.

3
Upozornění na útok a analýza

Jakmile je detekován útok, systém notifikuje jak uživatele, tak i další systémy, které jsou součástí ochrany před DDoS. Rozpadem informací o útoku na větší detail potom uživatel získá další informace, jako je typ útoku, doba jeho trvání, dotčený provoz, překročený práh apod. K dispozici jsou informace, jako která cílová IP adresa je pod útokem a odkud je útok veden (např. z které země, subnetu, routeru nebo rozhraní).

4
Mitigace

Detekce útoku je následována jeho automatickou mitigací. DDoS Defender k tomu používá techniky Policy-Based Routing (BPR), Border Gateway Protocol (BGP) a BGP Flowspec pro přesměrovaání nežádoucího provoz do různých scrubbingových nástrojů. BGP Flowspec a Remotely-Triggered Black Hole (RTBH) mohou být navíc využity přímo k mitigaci útoku na úrovni infrastruktury.

5
Víceúrovňová mitigace

Víceúrovňová mitigace je chytrý způsob ochrany před DDoS, který maximalizuje možnosti vaší stávající infrastruktury. Útok je nejprve mitigován lokálně na úrovni vaší infrastruktury a pouze v případě, že jeho rozsah překračuje kapacitu on-premise zařízení, je nežádoucí provoz přesměrován do cloudového scrubbingového centra.

Detekční schopnosti

Systém kontinuálně upravuje baseliny pro každý chráněný segment. Díky tomu se významně snižuje množství falešně pozitivní hlášení (false positives), tedy případů kdy je nenadálý, ale legitimní provoz identifikován jako útok. Prahy určující „normální“ provoz jsou počítány automaticky, bez potřeby zásahu administrátora, a jsou nastaveny pro dvě úrovně citlivosti – podezřelý provoz a útok.

V případě útoku DDoS Defender současně monitoruje i běžný, legitimní provoz. V případě, že chcete, aby detekční systém splňoval vaše specifické potřeby, můžete nastavit vlastní detekční pravidla. Šablony pravidel jsou dostupné pro rychlejší konfiguraci systému.

Reporting a analytika

Útoky jsou zobrazovány ve skupinách dle jejich stavu.

Rozšířený detail potom ukazuje všechny informace o každém útoku – stav, doba trvání a časová osa. Uživatel má možnost whitelistovat konkrétní segment a vyřadit ho tak ze souboru chráněného před DDoS útoky. Pro analýzu útoku jsou k dispozici detailní statistiky o provozu předcházejícímu útoku, struktura provozu při probíhajícím útoku i jako grafy datových toků (komunikace) mezi útočníkem a obětí.

Reakce na incident

Flowmon DDoS Defender využívá řady technik pro mitigaci probíhajícího volumetrického útoku:

  • BGP (Border Gateway Protocol) – Jedná se o standardní internetový routovací protokol, který je využíván k definici pravidel pro přesměrování provozu na síťových routerech.
  • BGP Flowspec – Alternativa BGP pro pokročilé filtrování na základě parametrů, jako jsou zdrojová adresa, port apod. Flowmon DDoS Defender poskytuje dynamickou signaturu útoku routerům s funkcí BGP Flowspec. Ty následně útok buď přesměrují, nebo mitigují jen tu část provozu, která odpovídá signatuře definované pravidly BGP Flowspec.
  • PBR (Policy-based Routing) – Přesměrování nelegitimního provozu na základě definovaných politik. Jedná se o alternativu BGP, která může být preferována poskytovateli služeb.
  • RTBH (Remotely Triggered Black Hole) – Jednoduchá metoda mitigace útoku na bázi filtrování. Je využívána k zahazování nežádoucího provozu na hraničních bodech sítě (na základě definování cílové IP adresy útoku).

Nejběžnějším scénářem nasazení DDoS Defender je implementace v tandemu s out-of-band mitigačním zařízením nebo scrubbingovou službou. Flowmon se stará o detekci a analýzu, zatímco řešení třetích stran na základě dat z Flowmonu pracují na mitigaci útoku dle zvoleného scénáře. 

Víceuživatelské prostředí (multitenancy)

DDoS Defender plně podporuje multiuživatelská prostředí, kdy lze pro každý účet nastavit různé způsoby detekce, mitigace útoku a reportingu. Každý účet je definován pomocí segmentů. Ty je možné sdružovat a definovat jim rozdílná přístupová práva (pro každý účet nebo skupinu). Každý účet má přístup pouze k vlastním datům.

Integrace

Flowmon nabízí široké možnosti integrace s komplementárními nástroji a platformami, například pomocí syslog, SNMP, REST API nebo pomocí vlastních skriptů. Flowmon slouží jako vitální zdroj informací pro nástroje typu log management, SIEM, big data platformy, systémy pro blokaci útoků a mitigaci pomocí BGP Flowspec.

Blokování DDoS útoku

DDoS Defender je připraven na propojení se zařízeními předních hráčů v oboru anti-DDoS ochrany:

  • F5 Networks
  • Radware
  • A10 Networks
  • Corsa Networks
  • Corero Networks
  • NaWas cloud scrubbing service
Mitigace přes BGP Flowspec

Tato metoda mitiguje DDoS útok pomocí pokročilého filtrování provozu přímo na routerech. Využívá přitom dynamických signatur útoku, na základě kterých spouští reakci na incident. Pravidla BGP Flowspec mohou být definována na základě:

  • Destination prefix
  • Source prefix
  • IP protocol
  • Destination port
  • ICMP type
  • ICMP code
Logování a reporting

Posílejte do svého log management nástroje nebo SIEMu komplexní logy společně s dalšími informacemi přes syslog nebo SNMP. Maximalizujte viditelnost napříč IT prostředím nebo automaticky logujte události do svého ticketovacího systému.

Technologičtí partneři
Síťová telemetrie

Využijte svoji stávající infrastrukturu jako sensor. Generujte NetFlow, IPFIX, jFlow nebo NetStream ze síťových prvků a dalších zdrojů, jako jsou veřejná cloudová prostředí, firewally, virtualizační platformy nebo packet brokery.


a další

Funkce řešení DDoS Defender

Plná kontrola nad mitigací

Všechny reakční scénáře mohou být spouštěny automaticky, a to při kontrole určeného pracovníka nad celým procesem. Ten může kdykoliv vrátit změny nebo modifikovat mitigační pravidla. Mitigační proces může být také proveden manuálně.

Víceúrovňová mitigace
Aplikujte různé strategie vypořádání se s útokem dle jeho charakteristiky. Mitigujte útok do kapacity vašeho on-premise zařízení a zbytek přesměrujte do cloudového scrubbing centra. Manuální zásahy nejsou potřeba, vše je plně automatizováno.
Podpora BGP Flowspec

BGP Flowspec je funkce běžne podporovaná routery. S jejím využitím Flowmon vytváří pravidla pro routery, na základě kterých potom síťové zařízení provoz přesměruje, pošle dál, zahodí nebo omezí (rate-limiting). Pravidla lze průběžně přizpůsobovat a všechna nastavení jsou po skončení útoku navráceny zpět.

Nativní podpora scrubbingových center

Flowmon DDoS Defender nativně podporuje scrubbingová řešení všech předních hráčů na tomto trhu. Konfigurace samotná je pak pouze záležitostí výběru řešení v menu. Integrace se scrubbingovými řešeními třetích stran jsou vždy aktuální.

Nastavení manuálních prahů

Nastavením manuálních prahů vytvoříte jednoduchá pravidla,díky kterým systém posílá varování v momentě, kdy určitý provoz dosáhne nežádoucích hodnot. Administátor je notifikován s předstihem, díky čemuž může zasáhnout dříve, než se problém skutečně projeví.

Úplná viditelnost do sítě

Součástí DDoS Defender jsou nástroje pro monitoring a diagnostiku výkonnosti sítě. To umožňuje sledovat problémy s odezvou, analyzovat strukturu provozu pro kapacitní plánování, získávat podklady pro síťové inženýrství a řízení kvality služeb (QoS).

Podpora multiuživatelských prostředí

Flowmon fovoluje provoz rozdělit do logických částí podle uživatele, lokace nebo síťové cesty. Všechny detekční metody, reporting a určené reakce na volumetrický útok potom odpovídají charakteru dané části provozu (blockholing, přesměrování do scrubbing center atdp.).

Pokročilé reakční možnosti

K dispozici je řada možností od emailových alertů, přes syslog zprávy až po přesměrování provozu formou RTBH nebo to scrubbingových řešení třetích stran. Možností je také zahazování nelegitimního provozu nebo rate-limiting pomocí BGP Flowspec. DDoS útok lze mitigovat automaticky nebo manuálně a zároveň lze vytvářet různá pravidla pro různé uživatele nebo typy provozu.

Strojové učení

Systém Flowmon se průběžně učí vzorce běžného chování ve vaší síti. Na základě naučení pak stanovuje adaptivní prahy pro jednotlivé protokoly, s kterými poté pracuje jako s indikátory neobvyklé chování. Prahy jsou modelovány ve dvou typech: podezření na útok a útok samotný. Tato vlastnost zajišťuje detekci útoku v reálném čase s velmi nízkou mírou false positives.

Více informací