مراقبة الشبكة واكتشاف نشاط الشبكة الشاذ باستخدام حلول Flowmon Networks

في الآونة الأخيرة، يمكنك العثور على كمية هائلة من المواد حول هذا الموضوع على الإنترنت. تحليل حركة المرور في محيط الشبكة. في الوقت نفسه، لسبب ما، نسي الجميع تماما تحليل حركة المرور المحلية، وهو ما لا يقل أهمية. تتناول هذه المقالة هذا الموضوع بالتحديد. على سبيل المثال شبكات Flowmon سوف نتذكر Netflow القديم الجيد (وبدائله)، وننظر إلى الحالات المثيرة للاهتمام، والحالات الشاذة المحتملة في الشبكة ونكتشف مزايا الحل عندما تعمل الشبكة بأكملها كجهاز استشعار واحد. والأهم من ذلك أنه يمكنك إجراء مثل هذا التحليل لحركة المرور المحلية مجانًا تمامًا، في إطار ترخيص تجريبي (45 дней). إذا كان الموضوع مثيرا للاهتمام بالنسبة لك، مرحبا بك في القط. إذا كنت كسولًا جدًا في القراءة، فيمكنك التسجيل في المستقبل ندوة الويب القادمة، حيث سنعرض ونخبرك بكل شيء (يمكنك أيضًا التعرف على التدريب القادم على المنتج هناك).

ما هي شبكات فلومون؟

أولاً وقبل كل شيء، Flowmon هو بائع أوروبي لتكنولوجيا المعلومات. الشركة تشيكية، ومقرها في برنو (لم يتم حتى إثارة مسألة العقوبات). في شكلها الحالي، كانت الشركة متواجدة في السوق منذ عام 2007. في السابق، كان معروفًا تحت العلامة التجارية Invea-Tech. لذلك، في المجمل، تم إنفاق ما يقرب من 20 عامًا على تطوير المنتجات والحلول.

تم وضع Flowmon كعلامة تجارية من الدرجة الأولى. يقوم بتطوير حلول متميزة لعملاء المؤسسات ويتم الاعتراف به في صناديق Gartner لمراقبة أداء الشبكة وتشخيصها (NPMD). علاوة على ذلك، ومن المثير للاهتمام، أنه من بين جميع الشركات المذكورة في التقرير، فإن Flowmon هي المورد الوحيد الذي أشارت إليه Gartner كشركة مصنعة للحلول لكل من مراقبة الشبكة وحماية المعلومات (تحليل سلوك الشبكة). لم يحتل المركز الأول بعد، ولكن بسبب هذا فهو لا يقف مثل جناح بوينغ.

ما هي المشاكل التي يحلها المنتج؟

على المستوى العالمي، يمكننا تمييز مجموعة المهام التالية التي تحلها منتجات الشركة:

1. زيادة استقرار الشبكة، وكذلك موارد الشبكة، من خلال تقليل وقت التوقف عن العمل وعدم توفرها؛
2. زيادة المستوى العام لأداء الشبكة؛
3. زيادة كفاءة الموظفين الإداريين بسبب:
   • واستخدام أدوات حديثة ومبتكرة لمراقبة الشبكة بناءً على معلومات حول تدفقات IP؛
   • توفير تحليلات مفصلة حول أداء الشبكة وحالتها - المستخدمين والتطبيقات التي تعمل على الشبكة، والبيانات المنقولة، والموارد المتفاعلة، والخدمات والعقد؛
   • الاستجابة للحوادث قبل وقوعها، وليس بعد فقدان المستخدمين والعملاء للخدمة؛
   • تقليل الوقت والموارد اللازمة لإدارة الشبكة والبنية التحتية لتكنولوجيا المعلومات؛
   • تبسيط مهام استكشاف الأخطاء وإصلاحها.
4. زيادة مستوى أمان الشبكة وموارد المعلومات الخاصة بالمؤسسة، من خلال استخدام التقنيات غير الموقعة للكشف عن أنشطة الشبكة الشاذة والخبيثة، فضلاً عن "هجمات اليوم صفر"؛
5. ضمان المستوى المطلوب من SLA لتطبيقات الشبكة وقواعد البيانات.

محفظة منتجات شبكات فلومون

الآن دعونا نلقي نظرة مباشرة على مجموعة منتجات Flowmon Networks ونتعرف على ما تفعله الشركة بالضبط. كما خمن الكثيرون بالفعل من الاسم، فإن التخصص الرئيسي هو في حلول مراقبة حركة تدفق التدفق، بالإضافة إلى عدد من الوحدات الإضافية التي تعمل على توسيع الوظيفة الأساسية.

في الواقع، يمكن تسمية Flowmon بشركة منتج واحد، أو بالأحرى، حل واحد. دعونا معرفة ما إذا كان هذا جيدا أم سيئا.

جوهر النظام هو المجمع، وهو المسؤول عن جمع البيانات باستخدام بروتوكولات التدفق المختلفة، مثل NetFlow v5/v9، jFlow، sFlow، NetStream، IPFIX... من المنطقي تمامًا أنه بالنسبة لشركة غير تابعة لأي شركة مصنعة لمعدات الشبكات، من المهم أن تقدم للسوق منتجًا عالميًا غير مرتبط بأي معيار أو بروتوكول واحد.

جامع فلومون

المجمع متاح كخادم أجهزة وكجهاز افتراضي (VMware، Hyper-V، KVM). بالمناسبة، يتم تنفيذ النظام الأساسي للأجهزة على خوادم DELL مخصصة، مما يؤدي تلقائيًا إلى التخلص من معظم المشكلات المتعلقة بالضمان وتفويض إعادة المواد (RMA). مكونات الأجهزة الوحيدة المملوكة هي بطاقات التقاط حركة المرور FPGA التي طورتها شركة تابعة لشركة Flowmon، والتي تسمح بالمراقبة بسرعات تصل إلى 100 جيجابت في الثانية.

ولكن ماذا تفعل إذا كانت معدات الشبكة الحالية غير قادرة على توليد تدفق عالي الجودة؟ أم أن الحمل على المعدات مرتفع جدًا؟ لا مشكلة:

مشكلة فلومون

في هذه الحالة، تعرض Flowmon Networks استخدام المجسات الخاصة بها (Flowmon Probe)، والتي تكون متصلة بالشبكة عبر منفذ SPAN الخاص بالمحول أو باستخدام مقسمات TAP السلبية.

SPAN (منفذ المرآة) وخيارات تنفيذ TAP

في هذه الحالة، يتم تحويل حركة المرور الخام التي تصل إلى Flowmon Probe إلى IPFIX موسع يحتوي على المزيد 240 مقياسًا بالمعلومات. في حين أن بروتوكول NetFlow القياسي الذي تم إنشاؤه بواسطة معدات الشبكة لا يحتوي على أكثر من 80 مقياسًا. وهذا يسمح برؤية البروتوكول ليس فقط على المستويين 3 و4، ولكن أيضًا على المستوى 7 وفقًا لنموذج ISO OSI. ونتيجة لذلك، يمكن لمسؤولي الشبكة مراقبة عمل التطبيقات والبروتوكولات مثل البريد الإلكتروني وHTTP وDNS وSMB...

من الناحية النظرية، تبدو البنية المنطقية للنظام كما يلي:

الجزء المركزي من "النظام البيئي" لشبكات Flowmon بالكامل هو المجمع، الذي يستقبل حركة المرور من معدات الشبكة الموجودة أو المجسات الخاصة به (المسبار). ولكن بالنسبة للحل المؤسسي، فإن توفير الوظيفة فقط لمراقبة حركة مرور الشبكة سيكون أمرًا بسيطًا للغاية. يمكن للحلول مفتوحة المصدر أيضًا القيام بذلك، ولكن ليس بمثل هذا الأداء. قيمة Flowmon عبارة عن وحدات إضافية تعمل على توسيع الوظيفة الأساسية:

• وحدة أمن الكشف عن الشذوذ - تحديد نشاط الشبكة الشاذ، بما في ذلك هجمات اليوم صفر، استناداً إلى تحليل إرشادي للحركة وملف تعريف نموذجي للشبكة؛
• وحدة مراقبة أداء التطبيق - مراقبة أداء تطبيقات الشبكة دون تثبيت "الوكلاء" والتأثير على الأنظمة المستهدفة؛
• وحدة مسجل المرور - تسجيل أجزاء من حركة مرور الشبكة وفقًا لمجموعة من القواعد المحددة مسبقًا أو وفقًا لمشغل من وحدة ADS، لمزيد من استكشاف الأخطاء وإصلاحها و/أو التحقيق في حوادث أمن المعلومات؛
• وحدة حماية DDoS - حماية محيط الشبكة من هجمات رفض الخدمة الحجمية DoS/DDoS، بما في ذلك الهجمات على التطبيقات (OSI L3/L4/L7).

في هذه المقالة، سننظر في كيفية عمل كل شيء مباشرةً باستخدام مثال وحدتين - مراقبة أداء الشبكة وتشخيصها и أمن الكشف عن الشذوذ.
خلفية:

• خادم Lenovo RS 140 مع برنامج VMware 6.0 Hypervisor؛
• صورة الجهاز الظاهري Flowmon Collector التي يمكنك حمل هنا;
• زوج من المفاتيح التي تدعم بروتوكولات التدفق.

الخطوة 1. قم بتثبيت Flowmon Collector

يتم نشر الجهاز الظاهري على برنامج VMware بطريقة قياسية تمامًا من قالب OVF. ونتيجة لذلك، حصلنا على جهاز افتراضي يعمل بنظام CentOS ومعه برنامج جاهز للاستخدام. متطلبات الموارد إنسانية:

كل ما تبقى هو إجراء التهيئة الأساسية باستخدام الأمر com.sysconfig:

نقوم بتكوين IP على منفذ الإدارة وDNS والوقت واسم المضيف ويمكننا الاتصال بواجهة الويب.

الخطوة 2. تثبيت الترخيص

يتم إنشاء ترخيص تجريبي لمدة شهر ونصف وتنزيله مع صورة الجهاز الظاهري. تم التحميل عبر مركز التكوين -> الترخيص. ونتيجة لذلك نرى:

كل شيء جاهز. يمكنك البدء في العمل.

الخطوة 3. إعداد جهاز الاستقبال على المجمع

في هذه المرحلة، عليك أن تقرر كيف سيتلقى النظام البيانات من المصادر. كما قلنا سابقًا، قد يكون هذا أحد بروتوكولات التدفق أو منفذ SPAN الموجود على المحول.

في مثالنا، سوف نستخدم استقبال البيانات باستخدام البروتوكولات NetFlow v9 وIPFIX. في هذه الحالة، نحدد عنوان IP الخاص بواجهة الإدارة كهدف - 192.168.78.198. يتم استخدام الواجهات eth2 وeth3 (مع نوع واجهة المراقبة) لتلقي نسخة من حركة المرور "الأولية" من منفذ SPAN الخاص بالمحول. لقد سمحنا لهم بالمرور، وليس قضيتنا.
بعد ذلك، نتحقق من منفذ المجمع حيث يجب أن تذهب حركة المرور.

في حالتنا، يستمع المجمع لحركة المرور على المنفذ UDP/2055.

الخطوة 4. تكوين معدات الشبكة لتصدير التدفق

من المحتمل أن يُطلق على إعداد NetFlow على أجهزة Cisco Systems مهمة شائعة تمامًا لأي مسؤول شبكة. على سبيل المثال، سنأخذ شيئًا غير عادي. على سبيل المثال، جهاز التوجيه MikroTik RB2011UiAS-2HnD. نعم، ومن الغريب أن حل الميزانية هذا للمكاتب الصغيرة والمنزلية يدعم أيضًا بروتوكولات NetFlow v5/v9 وIPFIX. في الإعدادات، قم بتعيين الهدف (عنوان المجمع 192.168.78.198 والمنفذ 2055):

وأضف جميع المقاييس المتاحة للتصدير:

في هذه المرحلة يمكننا القول أن الإعداد الأساسي قد اكتمل. نتحقق مما إذا كانت حركة المرور تدخل النظام.

الخطوة 5: اختبار وتشغيل وحدة مراقبة أداء الشبكة وتشخيصها

يمكنك التحقق من وجود حركة المرور من المصدر في القسم مركز مراقبة فلومون -> المصادر:

نرى أن البيانات تدخل النظام. بعد مرور بعض الوقت على قيام المجمع بتجميع حركة المرور، ستبدأ عناصر واجهة المستخدم في عرض المعلومات:

تم بناء النظام على مبدأ الحفر لأسفل. أي أن المستخدم، عند اختيار جزء من الاهتمام على رسم تخطيطي أو رسم بياني، "يهبط" إلى مستوى عمق البيانات التي يحتاجها:

وصولاً إلى المعلومات حول كل اتصال واتصال بالشبكة:

الخطوة 6. وحدة أمان الكشف عن الشذوذ

ربما يمكن تسمية هذه الوحدة بأنها الأكثر إثارة للاهتمام، وذلك بفضل استخدام أساليب خالية من التوقيع للكشف عن الحالات الشاذة في حركة مرور الشبكة وأنشطة الشبكة الضارة. ولكن هذا ليس نظيرًا لأنظمة IDS/IPS. يبدأ العمل مع الوحدة بـ "التدريب". وللقيام بذلك، يحدد معالج خاص جميع المكونات والخدمات الرئيسية للشبكة، بما في ذلك:

• عناوين البوابة وخوادم DNS وDHCP وNTP،
• معالجة في قطاعات المستخدم والخادم.

بعد ذلك، ينتقل النظام إلى وضع التدريب، والذي يستمر في المتوسط ​​من أسبوعين إلى شهر واحد. خلال هذا الوقت، يقوم النظام بإنشاء حركة مرور أساسية خاصة بشبكتنا. ببساطة، يتعلم النظام:

• ما هو السلوك النموذجي لعقد الشبكة؟
• ما هي أحجام البيانات التي يتم نقلها عادةً والتي تعتبر عادية بالنسبة للشبكة؟
• ما هو وقت التشغيل النموذجي للمستخدمين؟
• ما هي التطبيقات التي تعمل على الشبكة؟
• وأكثر بكثير..

ونتيجة لذلك، حصلنا على أداة تحدد أي حالات شاذة في شبكتنا والانحرافات عن السلوك النموذجي. فيما يلي بعض الأمثلة التي يسمح لك النظام باكتشافها:

• توزيع برامج ضارة جديدة على الشبكة لم يتم اكتشافها بواسطة توقيعات مكافحة الفيروسات؛
• بناء DNS أو ICMP أو أنفاق أخرى ونقل البيانات لتجاوز جدار الحماية؛
• ظهور جهاز كمبيوتر جديد على الشبكة متنكرًا كخادم DHCP و/أو DNS.

دعونا نرى كيف يبدو العيش. بعد تدريب نظامك وإنشاء خط أساسي لحركة مرور الشبكة، يبدأ في اكتشاف الحوادث:

الصفحة الرئيسية للوحدة عبارة عن جدول زمني يعرض الأحداث التي تم تحديدها. في مثالنا، نرى ارتفاعًا واضحًا، ما يقرب من 9 إلى 16 ساعة. دعنا نختاره وننظر بمزيد من التفاصيل.

إن السلوك الشاذ للمهاجم على الشبكة واضح للعيان. يبدأ كل شيء بحقيقة أن المضيف بالعنوان 192.168.3.225 بدأ فحصًا أفقيًا للشبكة على المنفذ 3389 (خدمة Microsoft RDP) ووجد 14 "ضحية" محتملة:

и

الحادث المسجل التالي - بدأ المضيف 192.168.3.225 هجومًا عنيفًا لفرض كلمات المرور على خدمة RDP (المنفذ 3389) على العناوين المحددة مسبقًا:

نتيجة للهجوم، تم الكشف عن شذوذ SMTP على أحد المضيفين المخترقين. بمعنى آخر، بدأت الرسائل الاقتحامية (SPAM):

يعد هذا المثال عرضًا واضحًا لقدرات النظام ووحدة أمان اكتشاف الحالات الشاذة على وجه الخصوص. احكم على الفعالية بنفسك. بهذا نختتم النظرة العامة الوظيفية للحل.

اختتام

دعونا نلخص الاستنتاجات التي يمكننا استخلاصها حول Flowmon:

• يعد Flowmon حلاً متميزًا لعملاء الشركات؛
• بفضل تعدد الاستخدامات والتوافق، يتوفر جمع البيانات من أي مصدر: معدات الشبكة (Cisco، Juniper، HPE، Huawei...) أو المجسات الخاصة بك (Flowmon Probe)؛
• تتيح لك إمكانيات قابلية التوسع للحل توسيع وظائف النظام عن طريق إضافة وحدات جديدة، بالإضافة إلى زيادة الإنتاجية بفضل النهج المرن للترخيص؛
• من خلال استخدام تقنيات التحليل الخالية من التوقيع، يسمح لك النظام باكتشاف هجمات اليوم صفر غير المعروفة حتى لبرامج مكافحة الفيروسات وأنظمة IDS/IPS؛
• بفضل "الشفافية" الكاملة فيما يتعلق بتثبيت النظام ووجوده على الشبكة - لا يؤثر الحل على تشغيل العقد والمكونات الأخرى للبنية التحتية لتكنولوجيا المعلومات لديك؛
• Flowmon هو الحل الوحيد في السوق الذي يدعم مراقبة حركة المرور بسرعات تصل إلى 100 جيجابت في الثانية؛
• Flowmon هو الحل للشبكات من أي نطاق؛
• أفضل نسبة السعر/الوظيفة بين الحلول المماثلة.

في هذه المراجعة، قمنا بفحص أقل من 10% من إجمالي وظائف الحل. في المقالة التالية سنتحدث عن وحدات Flowmon Networks المتبقية. باستخدام وحدة مراقبة أداء التطبيقات كمثال، سنوضح كيف يمكن لمسؤولي تطبيقات الأعمال ضمان التوفر على مستوى SLA معين، بالإضافة إلى تشخيص المشكلات في أسرع وقت ممكن.

نود أيضًا أن ندعوك لحضور ندوتنا عبر الإنترنت (10.09.2019/XNUMX/XNUMX) المخصصة لحلول المورد Flowmon Networks. للتسجيل المسبق نطلب منك سجل هنا.
هذا كل شيء في الوقت الحالي، شكرًا لك على اهتمامك!

يمكن للمستخدمين المسجلين فقط المشاركة في الاستطلاع. تسجيل الدخول، من فضلك.

هل تستخدم Netflow لمراقبة الشبكة؟

• نعم

• لا، ولكني أخطط لذلك

• لا

صوت 9 مستخدمًا. امتنع 3 مستخدما عن التصويت.

المصدر: www.habr.com