Netwerkmonitering en opsporing van abnormale netwerkaktiwiteit deur Flowmon Networks-oplossings te gebruik

Onlangs kan u 'n groot hoeveelheid materiaal oor die onderwerp op die internet vind. verkeersontleding by die netwerkomtrek. Terselfdertyd het almal om een ​​of ander rede heeltemal van vergeet plaaslike verkeersontleding, wat nie minder belangrik is nie. Hierdie artikel spreek presies hierdie onderwerp aan. Byvoorbeeld Flowmon-netwerke ons sal die goeie ou Netflow (en sy alternatiewe) onthou, na interessante gevalle, moontlike afwykings in die netwerk kyk en die voordele van die oplossing uitvind wanneer die hele netwerk werk as 'n enkele sensor. En die belangrikste, jy kan so 'n ontleding van plaaslike verkeer heeltemal gratis doen, binne die raamwerk van 'n proeflisensie (45 dae). As die onderwerp vir jou interessant is, welkom om te kat. As jy te lui is om te lees, kan jy, as jy vorentoe kyk, registreer komende webinar, waar ons alles sal wys en vertel (jy kan ook daar leer oor komende produkopleiding).

Wat is Flowmon Networks?

Eerstens, Flowmon is 'n Europese IT-verskaffer. Die maatskappy is Tsjeggies, met sy hoofkwartier in Brno (die kwessie van sanksies word nie eers geopper nie). In sy huidige vorm is die maatskappy sedert 2007 op die mark. Voorheen was dit bekend onder die Invea-Tech-handelsmerk. Dus, in totaal is byna 20 jaar aan die ontwikkeling van produkte en oplossings bestee.

Flowmon is geposisioneer as 'n A-klas handelsmerk. Ontwikkel premium oplossings vir ondernemingskliënte en word erken in die Gartner-bokse vir netwerkprestasiemonitering en -diagnostiek (NPMD). Verder, interessant genoeg, van al die maatskappye in die verslag, is Flowmon die enigste verkoper wat deur Gartner opgemerk word as 'n vervaardiger van oplossings vir beide netwerkmonitering en inligtingbeskerming (Netwerkgedragsanalise). Dit neem nog nie die eerste plek in nie, maar as gevolg hiervan staan ​​dit nie soos 'n Boeing-vleuel nie.

Watter probleme los die produk op?

Wêreldwyd kan ons die volgende poel take onderskei wat deur die maatskappy se produkte opgelos word:

1. die stabiliteit van die netwerk, sowel as netwerkhulpbronne, te verhoog deur hul stilstand en onbeskikbaarheid te verminder;
2. verhoging van die algehele vlak van netwerkprestasie;
3. verhoging van die doeltreffendheid van administratiewe personeel as gevolg van:
   • die gebruik van moderne innoverende netwerkmoniteringsinstrumente gebaseer op inligting oor IP-vloeie;
   • verskaffing van gedetailleerde ontledings oor die funksionering en toestand van die netwerk - gebruikers en toepassings wat op die netwerk loop, oorgedra data, interaksie hulpbronne, dienste en nodusse;
   • reageer op voorvalle voordat dit gebeur, en nie nadat gebruikers en kliënte diens verloor het nie;
   • die vermindering van die tyd en hulpbronne wat benodig word om die netwerk en IT-infrastruktuur te administreer;
   • die vereenvoudiging van probleemoplossingstake.
4. die verhoging van die vlak van sekuriteit van die netwerk en inligtingsbronne van die onderneming, deur die gebruik van nie-handtekeningtegnologieë vir die opsporing van abnormale en kwaadwillige netwerkaktiwiteit, sowel as "zero-day aanvalle";
5. verseker die vereiste vlak van SLA vir netwerktoepassings en databasisse.

Flowmon Networks-produkportefeulje

Kom ons kyk nou direk na die Flowmon Networks-produkportefeulje en vind uit wat presies die maatskappy doen. Soos baie reeds uit die naam geraai het, is die hoofspesialisasie in oplossings vir stroomvloeiverkeermonitering, plus 'n aantal bykomende modules wat die basiese funksionaliteit uitbrei.

Trouens, Flowmon kan 'n maatskappy van een produk genoem word, of eerder, een oplossing. Kom ons vind uit of dit goed of sleg is.

Die kern van die stelsel is die versamelaar, wat verantwoordelik is vir die insameling van data met behulp van verskeie vloeiprotokolle, soos bv. NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Dit is nogal logies dat dit vir 'n maatskappy wat nie met enige vervaardiger van netwerktoerusting geaffilieer is nie, belangrik is om die mark 'n universele produk aan te bied wat nie aan enige een standaard of protokol gekoppel is nie.

Flowmon versamelaar

Die versamelaar is beskikbaar as 'n hardeware-bediener en as 'n virtuele masjien (VMware, Hyper-V, KVM). Terloops, die hardeware-platform word op pasgemaakte DELL-bedieners geïmplementeer, wat die meeste probleme met waarborg en RMA outomaties uitskakel. Die enigste eie hardeware-komponente is FPGA-verkeersvangkaarte wat ontwikkel is deur 'n filiaal van Flowmon, wat monitering teen snelhede van tot 100 Gbps moontlik maak.

Maar wat om te doen as bestaande netwerktoerusting nie vloei van hoë gehalte kan genereer nie? Of is die las op die toerusting te hoog? Geen probleem:

Flowmon Prob

In hierdie geval bied Flowmon Networks aan om sy eie probes (Flowmon Probe) te gebruik wat aan die netwerk gekoppel is via die SPAN-poort van die skakelaar of deur passiewe TAP-verdelers te gebruik.

SPAN (spieëlpoort) en TAP implementering opsies

In hierdie geval word die rou verkeer wat by die Flowmon-sonde aankom, omgeskakel na 'n uitgebreide IPFIX wat meer bevat 240 metrieke met inligting. Terwyl die standaard NetFlow-protokol wat deur netwerktoerusting gegenereer word nie meer as 80 metrieke bevat nie. Dit maak voorsiening vir protokolsigbaarheid nie net op vlakke 3 en 4 nie, maar ook op vlak 7 volgens die ISO OSI-model. Gevolglik kan netwerkadministrateurs die funksionering van toepassings en protokolle soos e-pos, HTTP, DNS, SMB...

Konseptueel lyk die logiese argitektuur van die stelsel soos volg:

Die sentrale deel van die hele Flowmon Networks "ekosisteem" is die Collector, wat verkeer van bestaande netwerktoerusting of sy eie probes (Probe) ontvang. Maar vir 'n Enterprise-oplossing sou die verskaffing van funksionaliteit uitsluitlik vir die monitering van netwerkverkeer te eenvoudig wees. Oopbron-oplossings kan dit ook doen, al is dit nie met sulke werkverrigting nie. Die waarde van Flowmon is bykomende modules wat die basiese funksionaliteit uitbrei:

• module Sekuriteit vir die opsporing van anomalie – identifikasie van afwykende netwerkaktiwiteit, insluitend nul-dag-aanvalle, gebaseer op heuristiese analise van verkeer en 'n tipiese netwerkprofiel;
• module Toepassing prestasie monitering – monitering van die werkverrigting van netwerktoepassings sonder om “agente” te installeer en teikenstelsels te beïnvloed;
• module Verkeersopnemer – opneem van fragmente van netwerkverkeer volgens 'n stel voorafbepaalde reëls of volgens 'n sneller van die ADS-module, vir verdere foutopsporing en/of ondersoek van inligtingsekuriteitsinsidente;
• module DDoS beskerming – beskerming van die netwerkomtrek teen volumetriese DoS/DDoS-diensweieringaanvalle, insluitend aanvalle op toepassings (OSI L3/L4/L7).

In hierdie artikel sal ons kyk hoe alles regstreeks werk deur die voorbeeld van 2 modules te gebruik - Netwerkprestasiemonitering en -diagnostiek и Sekuriteit vir die opsporing van anomalie.
Aanvanklike gegewens:

• Lenovo RS 140-bediener met VMware 6.0-hypervisor;
• Flowmon Collector virtuele masjien beeld wat jy kan laai hier af;
• 'n paar skakelaars wat vloeiprotokolle ondersteun.

Stap 1. Installeer Flowmon Collector

Ontplooiing van 'n virtuele masjien op VMware vind plaas op 'n heeltemal standaard manier vanaf die OVF-sjabloon. Gevolglik kry ons 'n virtuele masjien met CentOS en met gereed-vir-gebruik sagteware. Hulpbronvereistes is menslik:

Al wat oorbly is om basiese inisialisering uit te voer met behulp van die opdrag sysconfig:

Ons konfigureer IP op die bestuurpoort, DNS, tyd, gasheernaam en kan aan die WEB-koppelvlak koppel.

Stap 2. Lisensie installasie

'n Proeflisensie vir een en 'n half maande word saam met die virtuele masjienbeeld gegenereer en afgelaai. Gelaai via Konfigurasiesentrum -> Lisensie. As gevolg hiervan sien ons:

Alles is gereed. Jy kan begin werk.

Stap 3. Die opstel van die ontvanger op die versamelaar

Op hierdie stadium moet jy besluit hoe die stelsel data van bronne sal ontvang. Soos ons vroeër gesê het, kan dit een van die vloeiprotokolle of 'n SPAN-poort op die skakelaar wees.

In ons voorbeeld sal ons data-ontvangs gebruik deur protokolle te gebruik NetFlow v9 en IPFIX. In hierdie geval spesifiseer ons die IP-adres van die Bestuurskoppelvlak as 'n teiken - 192.168.78.198. Koppelvlakke eth2 en eth3 (met die Monitering-koppelvlaktipe) word gebruik om 'n kopie van die "rou" verkeer vanaf die SPAN-poort van die skakelaar te ontvang. Ons laat hulle deur, nie ons saak nie.
Vervolgens gaan ons die versamelpoort na waarheen die verkeer moet gaan.

In ons geval luister die versamelaar vir verkeer op hawe UDP/2055.

Stap 4. Opstel van netwerktoerusting vir vloeiuitvoer

Die opstel van NetFlow op Cisco Systems-toerusting kan waarskynlik 'n heeltemal algemene taak vir enige netwerkadministrateur genoem word. Vir ons voorbeeld sal ons iets meer ongewoon neem. Byvoorbeeld, die MikroTik RB2011UiAS-2HnD-roeteerder. Ja, vreemd genoeg ondersteun so 'n begrotingsoplossing vir klein en tuiskantore ook die NetFlow v5/v9- en IPFIX-protokolle. Stel die teiken in die instellings (versamelaarsadres 192.168.78.198 en poort 2055):

En voeg al die maatstawwe wat beskikbaar is vir uitvoer by:

Op hierdie punt kan ons sê dat die basiese opstelling voltooi is. Ons kyk of verkeer die stelsel binnegaan.

Stap 5: Toets en bedryf van die Netwerkprestasiemonitering- en -diagnostiekmodule

U kan die teenwoordigheid van verkeer vanaf die bron in die afdeling nagaan Flowmon-moniteringsentrum –> Bronne:

Ons sien dat data die stelsel binnekom. 'n Rukkie nadat die versamelaar verkeer opgehoop het, sal die widgets inligting begin vertoon:

Die stelsel is gebou op die drill down beginsel. Dit wil sê, die gebruiker, wanneer hy 'n fragment van belang op 'n diagram of grafiek kies, "val" tot die vlak van diepte van data wat hy benodig:

Af na inligting oor elke netwerkverbinding en verbinding:

Stap 6. Anomaly Detection Security Module

Hierdie module kan dalk een van die interessantste genoem word, danksy die gebruik van handtekeningvrye metodes om afwykings in netwerkverkeer en kwaadwillige netwerkaktiwiteit op te spoor. Maar dit is nie 'n analoog van IDS/IPS-stelsels nie. Werk met die module begin met sy “opleiding”. Om dit te doen, spesifiseer 'n spesiale towenaar al die sleutelkomponente en dienste van die netwerk, insluitend:

• poortadresse, DNS-, DHCP- en NTP-bedieners,
• adressering in gebruiker- en bedienersegmente.

Hierna gaan die stelsel in die oefenmodus, wat gemiddeld van 2 weke tot 1 maand duur. Gedurende hierdie tyd genereer die stelsel basislynverkeer wat spesifiek vir ons netwerk is. Eenvoudig gestel, die stelsel leer:

• Watter gedrag is tipies vir netwerknodusse?
• Watter volumes data word tipies oorgedra en is normaal vir die netwerk?
• Wat is die tipiese bedryfstyd vir gebruikers?
• watter toepassings loop op die netwerk?
• en baie meer..

As gevolg hiervan kry ons 'n instrument wat enige afwykings in ons netwerk en afwykings van tipiese gedrag identifiseer. Hier is 'n paar voorbeelde wat die stelsel jou toelaat om op te spoor:

• verspreiding van nuwe wanware op die netwerk wat nie deur antivirus-handtekeninge opgespoor word nie;
• die bou van DNS, ICMP of ander tonnels en die oordrag van data wat die firewall omseil;
• die verskyning van 'n nuwe rekenaar op die netwerk wat hom as 'n DHCP- en/of DNS-bediener voordoen.

Kom ons kyk regstreeks hoe dit lyk. Nadat jou stelsel opgelei is en 'n basislyn van netwerkverkeer gebou is, begin dit voorvalle opspoor:

Die hoofblad van die module is 'n tydlyn wat geïdentifiseerde insidente vertoon. In ons voorbeeld sien ons 'n duidelike piek, ongeveer tussen 9 en 16 uur. Kom ons kies dit en kyk in meer detail.

Die onreëlmatige gedrag van die aanvaller op die netwerk is duidelik sigbaar. Dit begin alles met die feit dat die gasheer met die adres 192.168.3.225 'n horisontale skandering van die netwerk op poort 3389 (Microsoft RDP-diens) begin het en 14 potensiële "slagoffers" gevind het:

и

Die volgende aangetekende voorval - gasheer 192.168.3.225 begin 'n brute krag aanval om brute force wagwoorde op die RDP diens (poort 3389) by die voorheen geïdentifiseerde adresse:

As gevolg van die aanval word 'n SMTP-anomalie op een van die gehackte gashere bespeur. Met ander woorde, SPAM het begin:

Hierdie voorbeeld is 'n duidelike demonstrasie van die vermoëns van die stelsel en veral die Anomaly Detection Security-module. Beoordeel self die effektiwiteit. Dit sluit die funksionele oorsig van die oplossing af.

Gevolgtrekking

Kom ons som op watter gevolgtrekkings ons oor Flowmon kan maak:

• Flowmon is 'n premium oplossing vir korporatiewe kliënte;
• danksy sy veelsydigheid en versoenbaarheid is data-insameling beskikbaar vanaf enige bron: netwerktoerusting (Cisco, Juniper, HPE, Huawei ...) of jou eie sondes (Flowmon Probe);
• Die skaalbaarheidsvermoëns van die oplossing laat jou toe om die funksionaliteit van die stelsel uit te brei deur nuwe modules by te voeg, asook om produktiwiteit te verhoog danksy 'n buigsame benadering tot lisensiëring;
• deur die gebruik van handtekeningvrye ontledingstegnologieë, laat die stelsel jou toe om nul-dag-aanvalle op te spoor, selfs onbekend aan antivirusse en IDS/IPS-stelsels;
• te danke aan volledige "deursigtigheid" in terme van installasie en teenwoordigheid van die stelsel op die netwerk - die oplossing beïnvloed nie die werking van ander nodusse en komponente van u IT-infrastruktuur nie;
• Flowmon is die enigste oplossing op die mark wat verkeersmonitering teen snelhede tot 100 Gbps ondersteun;
• Flowmon is 'n oplossing vir netwerke van enige skaal;
• die beste prys/funksionaliteit verhouding onder soortgelyke oplossings.

In hierdie oorsig het ons minder as 10% van die totale funksionaliteit van die oplossing ondersoek. In die volgende artikel sal ons praat oor die oorblywende Flowmon Networks-modules. Deur die Toepassingsprestasiemoniteringmodule as 'n voorbeeld te gebruik, sal ons wys hoe besigheidstoepassingsadministrateurs beskikbaarheid op 'n gegewe SLA-vlak kan verseker, asook probleme so vinnig as moontlik kan diagnoseer.

Ons wil jou ook uitnooi na ons webinar (10.09.2019/XNUMX/XNUMX) gewy aan die oplossings van die verskaffer Flowmon Networks. Om vooraf te registreer, vra ons jou registreer hier.
Dis al vir nou, dankie vir jou belangstelling!

Slegs geregistreerde gebruikers kan aan die opname deelneem. Meld aan, asseblief.

Gebruik jy Netflow vir netwerkmonitering?

• Ja

• Nee, maar ek beplan om

• Geen

9 gebruikers het gestem. 3 gebruikers het buite stemming gebly.

Bron: will.com