In quali contesti può essere utile?
La piattaforma Fl0wer può essere utile in tutti quei contesti dove si vuole implementare:
- un approccio alla sicurezza IT di tipo Zero Trust, che presuppone l’assenza di un perimetro di rete considerato affidabile senza investire capitali ingenti;
- indagare e monitorare una infrastruttura di rete in modalità trasparente mantenendo la privacy degli utenti;
- controllo del traffico di rete a scopo di sicurezza sfruttando l’infrastruttura di rete stessa per il controllo;
- integrazione della componente traffico di rete con altri strumenti di controllo o di analytics.
Perché scegliere fl0wer?
La piattaforma Fl0wer consente diversi vantaggi rispetto a soluzione basate sull’analisi passiva del traffico (eg. Darktrace o IDS/IPS come Suricata/Snort):
- Scalabilità:
Fl0wer lavora sui metadati dei flussi, non sul traffico raw. In questo modo, ad esempio, un flusso di 20Gb di traffico di qualche milione di pacchetti viene sintetizzato in una sola singola voce. I sistemi di analisi passiva del traffico ad oggi fanno molta fatica a superare i 40Gbit/secondo, raggiungendo costi da capogiro. - Riservatezza:
analizzando solo i metadati dei flussi, il contenuto del traffico non viene proprio trasmesso a Fl0wer, quindi il payload dei pacchetti non è disponibile, garantendo la privacy dell’utente. - Versatilità:
gli strumenti di analisi passiva del traffico nulla possono nell’analisi di traffico cifrato di tipo TLS 1.3, rendendoli di fatto pleonastici e pesanti, supportando solamente alcune casistiche laddove siano disponibili le chiavi di cifratura e soggetti sia a rallentamenti (qualora la decifratura funzioni) che a facile obsolescenza in caso di modifiche dei criteri o dei protocolli di cifratura, oltre che invasivi della privacy degli utenti qualora la decifratura funzioni. - Ubiquità:
potendo ricevere il traffico generato internamente alle reti dagli switch tramite il protocollo sFlow versione 5, è in grado di controllare l’intero perimetro della rete interna e non solamente gli ingressi o le uscite come una tradizionale soluzione perimetrale basata su Firewall o su IDS/IPS, agevolando significativamente il modello di sicurezza IT Zero Trust. - Facilità di integrazione:
tramite le API REST ed il motore LUA, è possibile realizzare integrazioni impensabili con strumenti di tipo tradizionale. - Crescita:
Fl0wer è una piattaforma solida ma in costante evoluzione e miglioramento, concepita con l’obiettivo della portabilità (è stata utilizzata con successo anche su piattaforme SPARC Sun Solaris, IBM pSeries con AIX, e persino sistemi ARM di tipo Raspberry Pi), dispone di un suo PEN (Private Enterprise Number) rilasciato dallo IANA e con una roadmap volta a migliorarne sia l’usabilità che l’applicabilità.
È semplice!
Sostanzialmente, si installa il prodotto (o si può utilizzare una VM fornita già pronta) e si configurano tutti gli apparati di rete per l’invio dei metadati di traffico verso quest’ultimo con i protocolli precedentemente elencati. Si descrivono a Fl0wer (tramite un file di configurazione) le varie reti e subnet aziendali e, qualora siano noti ma non sono indispensabili, i flussi di traffico attesi.
A seconda della complessità e dei risultati che si vogliono ottenere, si può configurare il caricamento dei dati nel DB OLAP (o eventualemente in Elasticsearch o Splunk se queste piattaforme sono in uso) e configurare la produzione dei report orari, come anche dei vari script LUA nel caso di situazioni più articolate.
Come Nasce
Fl0wer nasce nel 2015 a seguito di una analisi di mercato per verificare la disponibilità di strumenti atti ad effettuare in maniera semplice ed utile l’analisi del traffico di rete. Lo scenario incontrato ha mostrato strumenti open-source molto complessi e sofisticati ma che richiedevano molto lavoro per essere resi utili, e questa tipologia di lavoro cambia comunque da contesto a contesto.
Per contro, l’offerta commerciale proponeva (e tuttora propone) strumenti altrettanto complessi ma con l’attenzione svolta principalmente verso la parte di network forecasting, con fasce di prezzo tali da non giustificare la maggior parte delle casistiche d’uso.
Nel corso degli anni Fl0wer è progressivamente maturato, cresciuto ed è diventato un ottimo strumento da avere nell’arsenale dei vari strumenti di difesa all’interno delle infrastrutture, ideale per contesti di Zero Trust.