Alef

Novinky ve Flowmon 12.2 a Flowmon ADS 12.1

Roman Tomášek

Sr. Systems Engineer

roman.tomasek@alef.com

Společnost Progress Flowmon představila novinky v nové verzi operačního systému 12.2 a v nové verzi Flowmon ADS 12.1.

Flowmon 12.2

Nejdůležitějšími novinkami ve verzi 12.2. je monitorování protokolu QUIC a možnost nastavení časové známky pro jednotlivé toky.

Monitoring QUIC prokolu

QUIC protokol zajišťuje šifrovaný provoz nad protokolem UDP, který umožňuje snížení počtu spojení a snížení zpoždění přenosu dat. HTTPv3 je založen na protokolu QUIC. V nastavení monitorovacích portů na  Flowmonu není detekce QUIC protokolu defaultně zapnuta. Tuto detekci lze zapnout v pokročilém nastavení monitorovacích portů v položce „Volitelné L7 hodnoty“.

 

Flowmon pro tento protocol umožňuje:

1/ identifikovat QUIC provoz v síti a označuje jej pomocí NBAR2 tagu

2/ extrahuje a dešifruje SNI, při sestavování QUIC spojení

3/ reportuje SNI jako TLS server name a HTTP host name

4/ podporuje QUICv1 (RFC 9000), IETF drafts 22-34, Facebook MVFST v1 a 2

 

Nastavení časové známky pro toky

Síťová zařízení jiných vyrobců (např. Mikrotik) mohou posílat relativní časovou známku (timestamp) vztaženou k době běhu tohoto zařízení (sysuptime).  Flowmon informaci o době běhu daného zařízení má nedostupnou a v tom případě není možné určit kdy daný tok začal (Flow start time).

Flowmon je schopný rekonstruovat a korelovat časovou známku automaticky za použití flow recieve time a doby trvání toku. Viz. FlowStartTime = FlowReceiveTime – Duration

Toto nastavení se provádí na naslouchacích portech povolením položky “Přizpůsobit časové známky času přijetí flow”

Další novinky

  • Vzhled Flowmon GUI je nastaven do barev firmy Progress.
  • Možnost zobrazit topologii ve formě tabulky.
  • Možnost nastavit session timeouty pro GUI a pro API.
  • Použití FIPS 140-2 šifrovacích algoritmů (HTTPS a SSH).
  • Aktualizace SW - Flowmon se přepne do maintenance módu, jsou zobrazovány instalační kroky.
  • Odtsranění reportů z FMC.
  • Upozornění na konec podpory pro lokalizaci (španělština, francouština a němčina) ve verzi 13.
  • Vylepšení distribuované architektury.

Flowmon ADS 12.1

Flowmon ADS 12.1 přináší novou detekční metodu a vylepšení některých stávajících detekčních metod.  Dále nabízí možnost přidávat a odebírat sloupce v tabulkách analýzy a událostí. Zde je možné přímo zapsat, případně zobrazit komentáře v těchto tabulkách. A poslední novinkou je přímý proklik z ADS evidence do anaýzy ve Flowmon monitoring centru, kdy se automaticky nastaví filtry, časové období a zdroje dle parametrů dané události.

1. Nová detekční metoda – DNS over HTTPS (DoH)

DNS over HTTPS představuje možné riziko pro bezpečnost enterprise sítí, která je většinou založena na filtrování DNS. Detekce této události ve Flowmon ADS je založena na kombinaci seznamu známých DoH serverů (poskytuje Flowmon) a machine learning alogoritmu pro zvýšení přesnosti detekce.

2. Vylepšení stávajících detekčních metod

Vylepšení se týká následujících detekčních metod:

  • RDPDICT - podpora aktuální verze RDP, přidány nové parametry metody
  • TEAMVIEWER - podpora čísel autonomních systémů
  • DNSANOMALY - jednoduché odfiltrování lokálních DNS serverů - při komunikaci mezi lokálním DNS serverem a veřejným DNS serverem
  • RANDOMDOMAIN - konfigurovatelný rozsah detekce, může být použit buď protokol DNS nebo protokol HTTPS nebo oba protokoly
  • BLACKLIST – rozšíření seznamu IP adres o komentáře per záznam