Bez NetFlow by ISP přišel o klíčového zákazníka

Bez NetFlow by ISP přišel o klíčového zákazníka

Název

Anomálie, kterou SNMP monitoring nezachytil, ale analýza provozního toků odhalila její příčinu a pomohla ISP udržet důležitého firemního zákazníka.

Situace

Důležitý firemní zákazník kontaktoval technickou podporu ISP s tím, že při používání Microsoft Teams dochází ke zpoždění (latencím). Správce sítě zkontroloval router, ke kterému byl tento zákazník připojen spolu s několika stovkami dalších klientů. Analyzoval data o latenci uložená v Prometheu.

Graf latence ukázal opakující se anomálii, která trvala 10 minut a opakovala se každou hodinu.

(Screenshot: latence v 30sekundových intervalech na routeru)

 Podobný trend byl vidět i u ztracených paketů a využití CPU.

Výzva

Na základě SNMP telemetrie však správce nedokázal najít příčinu problému.

Co dál?

Situace

Správce sítě se rozhodl podívat na netflow data – tedy provozní telemetrii.

  • ISP měl export netflow dat na všech CORE routerech.
  • Toky byly průběžně odesílány do centrálního kolektoru se softwarem FLOWCUTTER.
  • Díky FLOWCUTTERu mohl správce provést rychlou drill-down analýzu a najít příčinu problému.

Navíc bylo ve FLOWCUTTERu nastaveno pravidelné skenování otevřených portů. To pomohlo odhalit prvotní příčinu anomálie.



    Výsledek

    Na routeru, kde byl zákazník připojen, byla detekována anomálie – objem provozu klesal, ale počet komunikujících stoupal.

      Drill-down analýza ukázala, že se jedná o DNS provoz.

      Následně správce zkontroloval dashboard s výsledky nočního skenování otevřených portů. Ukázalo se, že jiný zákazník s veřejnou IP adresou otevřel DNS port veřejnosti. To vedlo k přetěžování routeru, které negativně ovlivnilo i ostatní zákazníky ve stejné oblasti.

      Co lze během pár vteřin zjistit o zákazníkovi:

      • Upload/download
      • Porty a protokoly specifických služeb: FTP, Telnet, SSH
      • IP adresa na blacklistu
      • Komunikace s botnetem
      • Otevřené porty a zranitelnosti přístupné zvenku

       

        Zdroje

        • Analýza netflow v Grafaně

        • Skenování otevřených portů

        • SNMP vs toková telemetrie

        Závěr

        Mnoho příčin problémů nelze odhalit pouhým sledováním SNMP telemetrie. Zde pomáhají netflow data, která poskytují hlubší přehled o tom, kdo komunikuje s kým a jakým způsobem.

        V tomto případě pomohlo i propojení netflow s dalšími daty – konkrétně skenem otevřených portů.

        ISP problém snadno vyřešil:

        • Zákazník, jehož zařízení způsobovalo potíže, byl kontaktován a upozorněn na chybnou konfiguraci.
        • Port byl uzavřen a anomálie okamžitě ustaly.
        • Pro klíčového firemního zákazníka se tím vyřešily problémy s latencí a vztah zůstal zachován.



        Zkušenost zákazníka

        “O víkendu jsme zaznamenali zhoršení služeb v pravidelných intervalech. Pomocí SNMP jsme nedokázali najít příčinu. FLOWCUTTER nám pomohl identifikovat reflexivní amplifikační DDoS útok. V pondělí naše síť opět fungovala perfektně.

        Lukáš Vacek

        Viridium

        Kam Kráčí Digitální sítě 2024, Plzeň

        Kam Kráčí Digitální sítě 2024, Plzeň

        Česko, Plzeň, 2024 říjen

        V říjnu jsme se zúčastnili tradiční konference Kam kráčí digitální sítě 2024 (KKDS), která se letos konala v elegantním prostředí PARKHOTELU PLZEŇ. Tato prestižní událost opět přilákala špičkové odborníky a profesionály z oblasti sítí a telekomunikací, kteří se zde setkali, aby diskutovali o nejnovějších trendech, inovacích a výzvách v oblasti správy sítí a kybernetické bezpečnosti. Pro FLOWCUTTER to byla ideální příležitost představit naše technologie a navázat nové cenné kontakty.

        fotografie z konference KKDS Plzeň, 2024

        Naše účast na konferenci

        Na našem stánku jsme se zaměřili na představení řešení, která ocení zejména poskytovatelé internetových služeb (ISP) a poskytovatelé řízených bezpečnostních služeb (MSSP). Hlavním tématem naší prezentace byl management zranitelností a jeho propojení s detekcí síťových anomálií v rámci jednotného uživatelského rozhraní FLOWCUTTER.

        Kybernetické hrozby se neustále vyvíjejí a stávají se stále sofistikovanějšími. Pro organizace je klíčové mít efektivní nástroje, které jim umožní rychle identifikovat a řídit zranitelnosti ve svých systémech. Na konferenci jsme demonstrovali, jak FLOWCUTTER kombinuje tyto funkce s pokročilými statistickými metodami, které v téměř reálném čase identifikují neobvyklé vzorce chování v síti. Tento přístup umožňuje bezpečnostním týmům reagovat preventivně a minimalizovat dopady hrozeb.

        fotografie z konference KKDS Plzeň, 2024

        DDoS útoky pod kontrolou

        Dalším klíčovým bodem naší prezentace byla detekce a mitigace DDoS útoků, které představují vážnou hrozbu pro kontinuitu provozu mnoha organizací. Naše řešení nabízí pokročilé metody, které umožňují rychlé odhalení těchto útoků a ochranu kritických systémů. Díky tomu pomáháme organizacím udržovat plynulý chod jejich služeb a zajišťujeme spolehlivost jejich infrastruktury.

        fotografie z konference KKDS Plzeň, 2024

        Workshop pro ISP

        Během konference jsme také uspořádali několik 1vs1 workshopů, určených speciálně pro poskytovatele internetových služeb. Tyto workshopy se zaměřily na praktické využití nástrojů, jako je Grafana, pro efektivní práci s telemetrií a logy z operátorské infrastruktury. Účastníci měli možnost naučit se nové postupy a techniky, které jim pomohou zjednodušit každodenní operace a zlepšit dohled nad kvalitou poskytovaných služeb.

        fotografie z konference KKDS Plzeň, 2024

        Těšíme se, že se s vámi znovu setkáme na další významné události, která proběhne v Resortu Vigvam v Němčicích u Kolína. Společně s naším re-seller partnerem Leslie Network Security Consultant zde budeme mít nejen stánek, ale také přednášku a workshop zaměřený na naše nejnovější technologie v oblasti monitoringu a bezpečnosti síťového provozu.

        S úctou,

        Tým FLOWCUTTER

        Udělejte revoluci ve své analýze Netflow s FLOWCUTTERem

        Objevte skryté jevy ve svých velkých datech a ovládněte prostředí Grafany. Vyzkoušejte demo a přihlaste se k odběru našeho newsletteru pro nejnovější aktualizace v oblasti netflow a detekce anomálií.
        FLOWCUTTER
        NÁSTROJ „K OBRAZU SVÉMU“
        Setkání ISP Aliance 2024

        Setkání ISP Aliance 2024

        Česko, Jičín, 2024 září

        Na letošní konferenci ISP Alliance, a.s., která se stala důležitou událostí pro poskytovatele internetových služeb (ISP) a další odborníky z oboru, měl FLOWCUTTER příležitost představit svou novinku – skenování zranitelností. Tato funkcionalita okamžitě vzbudila velký zájem účastníků díky svým praktickým přínosům pro správu a zabezpečení síťové infrastruktury.

        fotografie z konference Setkání ISP Aliance, 2024

        Konference ISP Alliance vnímáme jako místo pro sdílení a inovace

        FLOWCUTTER byl na konferenci ISP Alliance nejen účastníkem, ale i aktivním partnerem. Na našem stánku jsme se zaměřili na praktické ukázky toho, jak nová funkcionalita může pomoci organizacím zjednodušit správu sítí a zajistit jejich bezpečnost.

        Velký zájem vzbudily naše diskuse o tom, jak skenování zranitelností:

        Ušetří čas a zdroje automatizací procesů.

        Zvýší přehled o infrastruktuře a pomůže při auditech.

        Podpoří efektivní rozhodování díky prioritizaci rizik.

        Během prezentací jsme ukázali, jak FLOWCUTTER zvládá analyzovat složité infrastruktury a poskytuje uživatelům jednoduché a přehledné výstupy.

        fotografie z konference Setkání ISP Aliance, 2024

        Skenování zranitelností

        Pravidelně analyzuje zadané IP rozsahy.

        Identifikuje otevřené porty, služby a aplikace (např. Apache 2.4).

        Zjišťuje zranitelnosti spojené s těmito aplikacemi pomocí databází, jako je CVE.

        Přiřazuje každé zranitelnosti závažnost (severitu), aby bylo možné prioritizovat akce.

        Tento nástroj poskytuje podrobný a auditovatelný přehled o zařízeních a jejich zranitelnostech. Uživatelé FLOWCUTTERu tak mohou efektivně chránit svou infrastrukturu a rychle reagovat na potenciální hrozby. Pokud by ste se rádi dozvěděli více informací, kontaktujte prosím jednoho z našich partnerů.

        .

        fotografie prinscreen software FLOWCUTTER, 2024

        Účast na této konferenci pro nás byla cennou zkušeností. Diskuze s odborníky a zpětná vazba nám ukázaly, že naše nová funkcionalita skenování zranitelností odpovídá aktuálním potřebám i zkušených ISPíkum. Nadále se zaměřujeme na vývoj řešení, která pomohou organizacím čelit kybernetickým hrozbám a zefektivnit jejich každodenní provoz.

        S úctou,

        Tým FLOWCUTTER

        Udělejte revoluci ve své analýze Netflow s FLOWCUTTERem

        Objevte skryté jevy ve svých velkých datech a ovládněte prostředí Grafany. Vyzkoušejte demo a přihlaste se k odběru našeho newsletteru pro nejnovější aktualizace v oblasti netflow a detekce anomálií.
        FLOWCUTTER
        NÁSTROJ „K OBRAZU SVÉMU“
        Jak infikovaný modem málem poškodil celý /22 prefix

        Jak infikovaný modem málem poškodil celý /22 prefix

        Název

        Malware v jediném zařízení zákazníka málem zničil reputaci celého prefixu, což mohlo způsobit problémy všem zákazníkům ISP.

        Situace

        Operátor poskytoval internetové připojení jak firemním, tak domácím zákazníkům. Některé domácnosti si připlatili za veřejnou IP adresu – například kvůli kamerovému systému, který chtěly kontrolovat z práce. Jeden z těchto domácích modemů/routerů byl infikován malwarem. Následně bylo zařízení zařazeno do botnetu.

        V tomto konkrétním botnetu byl aktuální úkol: prohledávat internetová zařízení s cílem najít otevřené Telnet porty a poté je infikovat novou sadou útoků využívajících známé zranitelnosti.

        Výzva

        Takové útočné zařízení se velmi rychle ocitne na veřejných blacklistech. Zpočátku je ovlivněno pouze ono konkrétní zařízení s jednou IP adresou. Zatím vše vypadá pod kontrolou.

        Později ale může být na blacklist zařazen celý IP prefix (v tomto případě /22). To může vést k tomu, že peering partneři začnou tlačit na operátora autonomního systému (AS), aby problém co nejdříve vyřešil.

        V tu chvíli způsobí drobná anomálie na jednom modemu obrovské škody. Práce, která by se dala udělat včas, se po týdnu změní v časově náročný zásah.

        Takže je jasné, že musíme takové anomálie včas odhalit, že?

        Ne tak rychle. Takové anomálie běžně zůstanou bez povšimnutí, pokud ISP spoléhá pouze na SNMP (např. Zabbix, Nagios). Správci sítě je nezachytí. Routery o nich nevědí, protože nezatěžují hardware a nezpůsobují velké objemy přenesených dat.


        Co dál?

        Řešení

        V první řadě by měl operátor používat analýzu síťového provozu založenou na tocích (flow), aby mohl podobné anomálie zachytit.

        Naštěstí měl ISP v tomto případě potřebná opatření:

        • Export netflow dat z hraničních routerů.
        • Data se ukládala do centrálního kolektoru se softwarem FLOWCUTTER.
        • FLOWCUTTER umožňuje každému správci provést rychlou drill-down analýzu netflow a dalších zdrojů dat.

         

        Rychlá kontrola na přehled (Home dashboard) ve FLOWCUTTERu ukázal změnu trendu v počtu komunikujících  IP párů (unikátních párů IP adresa zdroj–cíl).

        Podrobná analýza odhalila, že anomálie pochází z jedné konkrétní IP adresy – domácí zákazník s veřejnou IP.

        Toto koncové zařízení posílalo miliony Telnet paketů (port 23) každých pár minut do celého internetu.

        Za několik málo hodin se tato IP adresa objevila na blacklistech IP reputace.

        Výsledek

        Co když administrátor nechce každý den kontrolovat FLOWCUTTER ručně?

        FLOWCUTTER pomáhá dvěma způsoby:

        1. Umožňuje nastavit „out-of-the-box“ detekci různých síťových anomálií – včetně Telnetu.
        2. Obohacuje netflow data o reputaci IP adres, sleduje a upozorňuje, pokud se některá IP adresa dostane na blacklist.

         

            Zdroje

            • Analýza netflow v Grafaně

            • SNMP vs provozní toková telemetrie

            • Reputace IP adres

            • Detekce anomálií na základě provozních toků

            Závěr

            ISP včas odhalil anomálii způsobenou Telnet provozem a zabránil tak řetězové reakci negativních důsledků.

            Nesprávná konfigurace nebo infikovaná zařízení mohou poškodit reputaci prefixu nebo celého AS operátora.

            Při řešení incidentů na základě provozních toků lze tyto anomálie včas odhalit a opravit ještě dříve, než způsobí škody v síti.

            Do budoucna ISP využívá FLOWCUTTER nejen pro monitorování a upozorňování na síťové anomálie, ale také k pravidelnému sledování reputace celého svého IP rozsahu – aby byl příště varován ještě dříve.

              Mikroexpo 2024

              Mikroexpo 2024

              Česko, Uherské Hradište, 2024 červenec

              Tým FLOWCUTTER se znovu stal hrdým partnerem na technicky zaměřené konferenci MikroExpo 2024, která proběhla v Uherském Hradišti. Tato akce, tradičně zaměřená na poskytovatele internetových služeb (ISP), nabídla bohatý program přednášek a diskuzí o nejnovějších trendech v oblasti sítí a telekomunikací.

              fotografie z konference Setkání ISP Aliance, 2024

              Konferenci otevřel Matej Pavelka, CEO společnosti FLOWCUTTER, s přednáškou na téma:

              “Troubleshooting – jaké jsou benefity z toho mít vedle sebe SNMP a Netflow? Sledování Mikrotik portů v síti.”

              Matej představil praktické výhody kombinace SNMP a NetFlow při monitorování sítí. Ve své prezentaci ukázal, jak:

              SNMP poskytuje detailní pohled na stav zařízení, včetně využití portů a dostupnosti služeb.

              NetFlow umožňuje analyzovat provoz v síti v reálném čase, identifikovat anomálie a sledovat datové toky.

              Kombinace těchto nástrojů přináší rychlejší identifikaci problémů a zefektivňuje troubleshooting v sítích, zejména při správě zařízení značky Mikrotik.

              Tato praktická a technicky zaměřená prezentace vzbudila velký zájem mezi účastníky, kteří ocenili konkrétní ukázky a doporučení pro každodenní správu sítí.

              fotografie z konference Setkání ISP Aliance, 2024

              Na našem stánku jsme měli možnost přivítat desítky návštěvníků, kteří se zajímali o naše řešení pro monitorování a zabezpečení sítí. Diskutovali jsme nejen o funkcionalitách, jako je skenování zranitelností nebo detekce anomálií, ale také o tom, jak mohou naše technologie pomoci poskytovatelům služeb zefektivnit jejich každodenní provoz.

              Děkujeme všem, kteří se za námi zastavili na konferenci MikroExpo 2024. Bylo skvělé slyšet vaše názory a sdílet s vámi naše zkušenosti. Již nyní se těšíme na další setkání na konferenci Kam kráčí digitální sítě 2024 (KKDS 2024), která proběhne letos na podzim v Plzni.

              S úctou,

              Tým FLOWCUTTER

              Udělejte revoluci ve své analýze Netflow s FLOWCUTTERem

              Objevte skryté jevy ve svých velkých datech a ovládněte prostředí Grafany. Vyzkoušejte demo a přihlaste se k odběru našeho newsletteru pro nejnovější aktualizace v oblasti netflow a detekce anomálií.
              FLOWCUTTER
              NÁSTROJ „K OBRAZU SVÉMU“