🥇Flowmon Networks həllərindən istifadə edərək şəbəkə monitorinqi və anomal şəbəkə fəaliyyətinin aşkarlanması

Bu yaxınlarda İnternetdə mövzu ilə bağlı çox sayda material tapa bilərsiniz. şəbəkə perimetrində trafikin təhlili. Eyni zamanda nədənsə hamı tamamilə unudub yerli trafik təhlili, bu da heç də az əhəmiyyət kəsb etmir. Bu məqalə məhz bu mövzuya toxunur. Misal üçün Flowmon şəbəkələri köhnə yaxşı Netflow-u (və onun alternativlərini) xatırlayacağıq, maraqlı hallara, şəbəkədəki mümkün anomaliyalara baxacağıq və həllin üstünlüklərini öyrənəcəyik. bütün şəbəkə tək sensor kimi işləyir. Ən əsası, sınaq lisenziyası çərçivəsində yerli trafikin belə təhlilini tamamilə pulsuz apara bilərsiniz (45 gün). Mövzu sizin üçün maraqlıdırsa, pişiyə xoş gəlmisiniz. Əgər oxumağa çox tənbəlsinizsə, o zaman irəliyə baxaraq qeydiyyatdan keçə bilərsiniz qarşıdan gələn vebinar, burada biz sizə hər şeyi göstərəcəyik və danışacağıq (gələcək məhsul təlimi haqqında da orada məlumat əldə edə bilərsiniz).

Flowmon Networks nədir?

Əvvəla, Flowmon Avropa İT təchizatçısıdır. Şirkət çexdir, baş ofisi Brnodadır (sanksiya məsələsi belə qaldırılmır). İndiki formada şirkət 2007-ci ildən bazardadır. Əvvəllər o, Invea-Tech brendi ilə tanınırdı. Beləliklə, ümumilikdə məhsul və həllərin hazırlanmasına təxminən 20 il sərf edilmişdir.

Flowmon A-class markası kimi yerləşdirilib. Müəssisə müştəriləri üçün premium həllər hazırlayır və Şəbəkə Performansının Monitorinqi və Diaqnostikası (NPMD) üçün Gartner qutularında tanınır. Üstəlik, maraqlısı odur ki, hesabatda yer alan bütün şirkətlər arasında Flowmon Gartner tərəfindən həm şəbəkə monitorinqi, həm də məlumatın qorunması (Şəbəkə Davranışı Analizi) üçün həllər istehsalçısı kimi qeyd edilən yeganə təchizatçıdır. Hələ birinci yeri tutmur, lakin buna görə də Boeing qanadı kimi dayanmır.

Məhsul hansı problemləri həll edir?

Qlobal olaraq, şirkətin məhsulları tərəfindən həll edilən aşağıdakı vəzifələr hovuzunu ayırd edə bilərik:

şəbəkənin, eləcə də şəbəkə resurslarının dayanıqlığının artırılması, onların dayanma müddətini və əlçatmazlığını minimuma endirmək;
şəbəkə performansının ümumi səviyyəsinin artırılması;
inzibati heyətin səmərəliliyinin artırılması aşağıdakılar hesabına:
- İP axınları haqqında məlumat əsasında müasir innovativ şəbəkə monitorinqi vasitələrindən istifadə etməklə;
- şəbəkənin fəaliyyəti və vəziyyəti haqqında ətraflı analitikanın təmin edilməsi - şəbəkədə işləyən istifadəçilər və proqramlar, ötürülən məlumatlar, qarşılıqlı əlaqədə olan resurslar, xidmətlər və qovşaqlar;
- istifadəçilər və müştərilər xidməti itirdikdən sonra deyil, hadisələr baş verməmişdən əvvəl cavab vermək;
- şəbəkənin və İT infrastrukturunun idarə edilməsi üçün tələb olunan vaxtın və resursların azaldılması;
- problemlərin aradan qaldırılması tapşırıqlarının sadələşdirilməsi.
anomal və zərərli şəbəkə fəaliyyətinin, habelə “sıfır gün hücumlarının” aşkarlanması üçün imzasız texnologiyalardan istifadə etməklə şəbəkənin və müəssisənin informasiya ehtiyatlarının təhlükəsizlik səviyyəsinin artırılması;
şəbəkə proqramları və verilənlər bazaları üçün tələb olunan SLA səviyyəsinin təmin edilməsi.

Flowmon Networks məhsul portfeli

İndi birbaşa Flowmon Networks məhsul portfelinə baxaq və şirkətin tam olaraq nə etdiyini öyrənək. Çoxlarının artıq adından təxmin etdiyi kimi, əsas ixtisaslaşma axın axınının monitorinqi üçün həllər, üstəlik əsas funksionallığı genişləndirən bir sıra əlavə modullardır.

Əslində, Flowmonu bir məhsulun, daha doğrusu, bir həllin şirkəti adlandırmaq olar. Bunun yaxşı və ya pis olduğunu anlayaq.

Sistemin nüvəsi müxtəlif axın protokollarından istifadə edərək məlumatların toplanmasına cavabdeh olan kollektordur, məsələn NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Heç bir şəbəkə avadanlığı istehsalçısı ilə əlaqəli olmayan bir şirkət üçün bazara heç bir standart və ya protokola bağlı olmayan universal məhsulun təklif edilməsi olduqca məntiqlidir.

Flowmon Kollektoru

Kollektor həm hardware serveri, həm də virtual maşın (VMware, Hyper-V, KVM) kimi mövcuddur. Yeri gəlmişkən, aparat platforması zəmanət və RMA ilə bağlı əksər məsələləri avtomatik olaraq aradan qaldıran fərdiləşdirilmiş DELL serverlərində həyata keçirilir. Yeganə özəl aparat komponentləri Flowmon-un törəmə şirkəti tərəfindən hazırlanmış və 100 Gbps-ə qədər sürətlə monitorinq etməyə imkan verən FPGA trafik tutma kartlarıdır.

Bəs mövcud şəbəkə avadanlığı yüksək keyfiyyətli axın yarada bilmirsə nə etməli? Yoxsa avadanlıqların yükü çox yüksəkdir? Problem deyil:

Flowmon Prob

Bu halda, Flowmon Networks kommutatorun SPAN portu vasitəsilə və ya passiv TAP ayırıcılarından istifadə edərək şəbəkəyə qoşulan öz zondlarından (Flowmon Probe) istifadə etməyi təklif edir.

SPAN (güzgü portu) və TAP tətbiqi seçimləri

Bu halda, Flowmon Zonduna gələn xam trafik daha çox məlumat ehtiva edən genişləndirilmiş IPFIX-ə çevrilir. Məlumatla 240 metrik. Şəbəkə avadanlığı tərəfindən yaradılan standart NetFlow protokolu 80-dən çox olmayan ölçüləri ehtiva edir. Bu, yalnız 3 və 4 səviyyələrində deyil, həm də ISO OSI modelinə uyğun olaraq 7-ci səviyyədə protokolun görünməsinə imkan verir. Nəticədə, şəbəkə administratorları e-poçt, HTTP, DNS, SMB... kimi proqramların və protokolların işinə nəzarət edə bilirlər.

Konseptual olaraq sistemin məntiqi arxitekturası belə görünür:

Bütün Flowmon Networks “ekosisteminin” mərkəzi hissəsi mövcud şəbəkə avadanlığından və ya öz zondlarından (Probe) trafik alan Kollektordur. Lakin Müəssisə həlli üçün yalnız şəbəkə trafikinin monitorinqi üçün funksionallığın təmin edilməsi çox sadə olardı. Açıq mənbə həlləri də bu cür performansla olmasa da, bunu edə bilər. Flowmon-un dəyəri əsas funksionallığı genişləndirən əlavə modullardır:

modul Anomaliyaların aşkarlanması təhlükəsizliyi – trafikin evristik təhlili və tipik şəbəkə profili əsasında sıfır gün hücumları da daxil olmaqla anomal şəbəkə fəaliyyətinin müəyyən edilməsi;
modul Tətbiq performansının monitorinqi – “agentlər” quraşdırmadan və hədəf sistemlərə təsir etmədən şəbəkə proqramlarının işinin monitorinqi;
modul Trafik Recorder – şəbəkə trafikinin fraqmentlərinin əvvəlcədən müəyyən edilmiş qaydalar toplusuna uyğun olaraq və ya ADS modulunun tetikleyicisinə uyğun olaraq, sonrakı problemlərin aradan qaldırılması və/və ya informasiya təhlükəsizliyi insidentlərinin araşdırılması üçün qeyd edilməsi;
modul DDoS Qoruma – şəbəkə perimetrinin həcmli DoS/DDoS xidmət hücumlarından, o cümlədən tətbiqlərə hücumlardan qorunması (OSI L3/L4/L7).

Bu yazıda 2 modul nümunəsindən istifadə edərək hər şeyin canlı olaraq necə işlədiyinə baxacağıq - Şəbəkə Performansının Monitorinqi və Diaqnostikası и Anomaliyaların aşkarlanması təhlükəsizliyi.
Başlanğıc:

VMware 140 hipervizoru ilə Lenovo RS 6.0 serveri;
Flowmon Collector virtual maşın şəklini edə bilərsiniz buradan yükləyin;
axın protokollarını dəstəkləyən bir cüt açar.

Addım 1. Flowmon Collector quraşdırın

Virtual maşının VMware-də yerləşdirilməsi OVF şablonundan tamamilə standart şəkildə baş verir. Nəticədə CentOS ilə işləyən və istifadəyə hazır proqram təminatı ilə virtual maşın əldə edirik. Resurs tələbləri humanistdir:

Qalan şey əmrdən istifadə edərək əsas işə salmağı yerinə yetirməkdir sistem konfiqurasiyası:

Biz idarəetmə portu, DNS, vaxt, Host adı üzərində IP-ni konfiqurasiya edirik və WEB interfeysinə qoşula bilərik.

Addım 2. Lisenziya quraşdırılması

Bir ay yarım sınaq lisenziyası yaradılır və virtual maşın şəkli ilə birlikdə endirilir. vasitəsilə yüklənib Konfiqurasiya Mərkəzi -> Lisenziya. Nəticədə görürük:

Hamısı hazırdır. İşə başlaya bilərsiniz.

Addım 3. Kollektorda qəbuledicinin qurulması

Bu mərhələdə sistemin mənbələrdən məlumatları necə qəbul edəcəyinə qərar verməlisiniz. Daha əvvəl dediyimiz kimi, bu axın protokollarından biri və ya keçiddəki SPAN portu ola bilər.

Nümunəmizdə protokollardan istifadə edərək məlumat qəbulundan istifadə edəcəyik NetFlow v9 və IPFIX. Bu vəziyyətdə, İdarəetmə interfeysinin IP ünvanını hədəf olaraq təyin edirik - 192.168.78.198. eth2 və eth3 interfeysləri (Monitorinq interfeysi növü ilə) keçidin SPAN portundan “xam” trafikin surətini almaq üçün istifadə olunur. Biz onlara yol verdik, bizim işimiz deyil.
Sonra, trafikin getməli olduğu kollektor portunu yoxlayırıq.

Bizim vəziyyətimizdə kollektor UDP/2055 portunda trafikə qulaq asır.

Addım 4. Axın ixracı üçün şəbəkə avadanlığının konfiqurasiyası

Cisco Systems avadanlığında NetFlow-un qurulması yəqin ki, hər hansı bir şəbəkə administratoru üçün tamamilə ümumi vəzifə adlandırıla bilər. Nümunəmiz üçün daha qeyri-adi bir şey götürəcəyik. Məsələn, MikroTik RB2011UiAS-2HnD marşrutlaşdırıcısı. Bəli, qəribə də olsa, kiçik və ev ofisləri üçün belə bir büdcə həlli də NetFlow v5/v9 və IPFIX protokollarını dəstəkləyir. Parametrlərdə hədəfi təyin edin (kollektor ünvanı 192.168.78.198 və port 2055):

Və ixrac üçün mövcud olan bütün göstəriciləri əlavə edin:

Bu nöqtədə əsas quraşdırmanın tamamlandığını söyləyə bilərik. Trafikin sistemə daxil olub-olmadığını yoxlayırıq.

Addım 5: Şəbəkə Performansının Monitorinqi və Diaqnostika Modulunun Test Edilməsi və İstifadəsi

Bölmədə mənbədən trafikin mövcudluğunu yoxlaya bilərsiniz Flowmon Monitorinq Mərkəzi -> Mənbələr:

Məlumatların sistemə daxil olduğunu görürük. Kollektor trafik topladıqdan bir müddət sonra vidjetlər məlumatları göstərməyə başlayacaq:

Sistem qazma prinsipi əsasında qurulub. Yəni istifadəçi bir diaqram və ya qrafikdə maraq fraqmentini seçərkən ona lazım olan məlumatların dərinliyi səviyyəsinə "düşür":

Hər bir şəbəkə bağlantısı və əlaqə haqqında məlumata keçin:

Addım 6. Anomaliyaların Aşkarlanması Təhlükəsizlik Modulu

Şəbəkə trafikində və zərərli şəbəkə fəaliyyətində anomaliyaları aşkar etmək üçün imzasız üsulların istifadəsi sayəsində bu modulu bəlkə də ən maraqlılarından biri adlandırmaq olar. Lakin bu, IDS/IPS sistemlərinin analoqu deyil. Modulla işləmək onun “təlimindən” başlayır. Bunu etmək üçün xüsusi sehrbaz şəbəkənin bütün əsas komponentlərini və xidmətlərini təyin edir, o cümlədən:

şlüz ünvanları, DNS, DHCP və NTP serverləri,
istifadəçi və server seqmentlərində ünvanlama.

Bundan sonra sistem orta hesabla 2 həftədən 1 aya qədər davam edən təlim rejiminə keçir. Bu müddət ərzində sistem şəbəkəmizə xas olan əsas trafik yaradır. Sadəcə olaraq, sistem öyrənir:

şəbəkə qovşaqları üçün hansı davranış xarakterikdir?
Adətən hansı həcmdə məlumat ötürülür və şəbəkə üçün normaldır?
İstifadəçilər üçün tipik əməliyyat müddəti nədir?
şəbəkədə hansı proqramlar işləyir?
və daha çox..

Nəticədə, şəbəkəmizdəki hər hansı anomaliyaları və tipik davranışdan sapmaları müəyyən edən alət əldə edirik. Sistemin aşkar etməyə imkan verdiyi bir neçə nümunə var:

antivirus imzaları tərəfindən aşkar edilməyən yeni zərərli proqramların şəbəkədə yayılması;
DNS, ICMP və ya digər tunellərin qurulması və firewalldan yan keçərək məlumatların ötürülməsi;
şəbəkədə DHCP və/və ya DNS serveri kimi özünü göstərən yeni kompüterin görünüşü.

Gəlin görək canlı olaraq necə görünür. Sisteminiz öyrədildikdən və şəbəkə trafikinin əsas xəttini qurduqdan sonra hadisələri aşkarlamağa başlayır:

Modulun əsas səhifəsi müəyyən edilmiş hadisələri əks etdirən qrafikdir. Nümunəmizdə təxminən 9 ilə 16 saat arasında aydın bir sünbül görürük. Gəlin onu seçək və daha ətraflı baxaq.

Şəbəkədə təcavüzkarın anomal davranışı aydın görünür. Hər şey ondan başlayır ki, 192.168.3.225 ünvanlı host 3389 portunda (Microsoft RDP xidməti) şəbəkənin üfüqi skanına başladı və 14 potensial “qurban” tapdı:

Aşağıdakı qeydə alınmış insident - host 192.168.3.225 əvvəllər müəyyən edilmiş ünvanlarda RDP xidmətində (port 3389) kobud güc parolları üçün kobud güc hücumuna başlayır:

Hücum nəticəsində sındırılmış hostlardan birində SMTP anomaliyası aşkar edilir. Başqa sözlə, SPAM başladı:

Bu nümunə sistemin imkanlarının və xüsusilə Anomaliyaların Aşkarlanması Təhlükəsizliyi modulunun bariz nümayişidir. Effektivliyi özünüz üçün qiymətləndirin. Bu, həllin funksional icmalını yekunlaşdırır.

Nəticə

Flowmon haqqında hansı nəticələr çıxara biləcəyimizi ümumiləşdirək:

Flowmon korporativ müştərilər üçün premium həlldir;
çox yönlüliyi və uyğunluğu sayəsində məlumatların toplanması istənilən mənbədən mümkündür: şəbəkə avadanlığı (Cisco, Juniper, HPE, Huawei...) və ya öz zondlarınız (Flowmon Probe);
Həllin miqyaslılıq imkanları yeni modullar əlavə etməklə sistemin funksionallığını genişləndirməyə, həmçinin lisenziyalaşdırmaya çevik yanaşma sayəsində məhsuldarlığı artırmağa imkan verir;
imzasız analiz texnologiyalarından istifadə etməklə sistem hətta antiviruslara və IDS/IPS sistemlərinə məlum olmayan sıfır gün hücumlarını aşkar etməyə imkan verir;
sistemin quraşdırılması və şəbəkədə mövcudluğu baxımından tam "şəffaflıq" sayəsində - həll İT infrastrukturunuzun digər qovşaqlarının və komponentlərinin işinə təsir göstərmir;
Flowmon bazarda 100 Gbps-ə qədər sürətlə trafik monitorinqini dəstəkləyən yeganə həll yoludur;
Flowmon istənilən miqyaslı şəbəkələr üçün həlldir;
oxşar həllər arasında ən yaxşı qiymət/funksionallıq nisbəti.

Bu araşdırmada biz həllin ümumi funksionallığının 10%-dən azını araşdırdıq. Növbəti məqalədə qalan Flowmon Networks modulları haqqında danışacağıq. Nümunə kimi Tətbiq Performansının Monitorinqi modulundan istifadə edərək, biz biznes tətbiqi administratorlarının verilmiş SLA səviyyəsində mövcudluğu necə təmin edə biləcəyini, həmçinin problemləri mümkün qədər tez diaqnostika edə biləcəyini göstərəcəyik.

Həmçinin, sizi Flowmon Networks satıcısının həllərinə həsr olunmuş vebinarımıza (10.09.2019/XNUMX/XNUMX) dəvət etmək istərdik. Öncədən qeydiyyatdan keçmək üçün sizdən xahiş edirik burada qeydiyyatdan keçin.
Hələlik bu qədər, marağınıza görə təşəkkür edirik!

Sorğuda yalnız qeydiyyatdan keçmiş istifadəçilər iştirak edə bilər. Daxil olunxahiş edirəm.

Şəbəkə monitorinqi üçün Netflow istifadə edirsiniz?

Bəli
Xeyr, amma planlaşdırıram
Heç bir

9 istifadəçi səs verib. 3 istifadəçi bitərəf qalıb.

Mənbə: www.habr.com

Flowmon Networks həllərindən istifadə edərək şəbəkə monitorinqi və anomal şəbəkə fəaliyyətinin aşkarlanması