Сеткавы маніторынг і выяўленні анамальнай сеткавай актыўнасці з дапамогай рашэнняў Flowmon Networks

У апошні час у Інтэрнэце можна знайсці велізарную колькасць матэрыялаў па тэме. аналізу трафіку на перыметры сеткі. Пры гэтым усе чамусьці зусім забыліся пра аналізе лакальнага трафіку, Які з'яўляецца не менш важным. Гэты артыкул якраз і наведаны гэтай тэме. На прыкладзе Flowmon Networks мы ўспомнім стары добры Netflow (і яго альтэрнатывы), разгледзім цікавыя кейсы, магчымыя анамаліі ў сетцы і даведаемся перавагі рашэння, калі уся сетка працуе як адзіны сэнсар. І самае галоўнае - правесці падобны аналіз лакальна трафіку можна цалкам бясплатна, у рамках трыяльнай ліцэнзіі (45 дзён). Калі тэма вам цікавая, сардэчна запрашаем пад кат. Калі ж чытаць лянота, то, забягаючы наперад, можаце зарэгістравацца на маючы адбыцца вэбінар, дзе мы ўсё пакажам і раскажам (там жа можна будзе даведацца аб маючым адбыцца навучанні прадукту).

Што такое Flowmon Networks?

Перш за ўсё, Flowmon гэта еўрапейскі ІТ-вендар. Кампанія Чэшская, са штаб-кватэрай у горадзе Брно (пытанне санкцый нават не паднімаецца). У сваім бягучым выглядзе кампанія прадстаўлена на рынку з 2007 года. Да гэтага была вядома пад брэндам Invea-Tech. Так што сумарна на распрацоўку прадуктаў і рашэнняў патрачана амаль 20 гадоў.

Flowmon пазіцыянуецца як брэнд А-класа. Распрацоўвае прэміяльныя рашэнні для карпаратыўных заказчыкаў і адзначаны ў квадратах Gartner па накіраванні Network Performance Monitoring and Diagnostics (NPMD). Прычым, што цікава, з усіх кампаній у справаздачы, Flowmon – адзіны вендар, адзначаны Gartner як вытворца рашэнняў і для сеткавага маніторынгу, і для абароны інфармацыі (Network Behavior Analysis). Першага месца пакуль не займае, але за кошт гэтага і не стаіць як крыло ад Боінга.

Якія задачы дазваляе рашыць прадукт?

Глабальна, можна вылучыць наступны пул задач, развязальных прадуктамі кампаніі:

1. павышэнне стабільнасць працы сеткі, а таксама сеткавых рэсурсаў за кошт мінімізацыі часу іх прастою і недаступнасці;
2. павышэнне агульнага ўзроўню прадукцыйнасці сеткі;
3. павышэнне эфектыўнасці работы адміністравальнага персаналу, за кошт:
   • выкарыстання сучасных інструментаў інавацыйнага сеткавага маніторынгу, заснаваных на інфармацыі аб IP патоках;
   • прадастаўлення дэталёвай аналітыкі аб функцыянаванні і стане сеткі - карыстальніках і дадатках, якія працуюць у сетцы, перадаюцца даных, ўзаемадзейнічаюць рэсурсах, сэрвісах і вузлах;
   • рэагавання на інцыдэнты да таго, як яны адбудуцца, а не пасля страты сэрвісу карыстальнікамі і кліентамі;
   • скарачэнні часу і рэсурсаў, неабходных для адміністравання сеткі і IT-інфраструктуры;
   • спрашчэння задач пошуку няспраўнасцей.
4. павышэнне ўзроўню абароненасці сеткі і інфармацыйных рэсурсаў прадпрыемства, за кошт выкарыстання несігнатурных тэхналогій выяўлення анамальнай і шкоднаснай сеткавай актыўнасці, а таксама "атак нулявога дня" (zero-day);
5. забеспячэнне патрабаванага ўзроўню SLA сеткавых прыкладанняў і баз даных.

Прадуктовы партфель Flowmon Networks

Цяпер разгледзім непасрэдна партфель прадуктаў Flowmon Networks і даведаемся, чым канкрэтна займаецца кампанія. Як многія ўжо здагадаліся з назвы, асноўная спецыялізацыя - на рашэннях для струменевага flow маніторынгу трафіку, плюс шэраг дадатковых модуляў, якія пашыраюць базавы функцыянал.

Па факце, Flowmon можна назваць кампаніяй аднаго прадукта, ці дакладней – аднаго рашэння. Давайце разбірацца, добра гэта ці дрэнна.

Ядром сістэмы з'яўляецца калектар, які адказвае за збор дадзеных па разнастайным flow пратаколам, як NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX… Цалкам лагічна, што для кампаніі не афіляванай ні з адным з вытворцаў сеткавага абсталявання – важна прапанаваць рынку ўніверсальны прадукт, не прывязаны да нейкага аднаго стандарту ці пратаколу.

Flowmon Collector

Калектар выпускаецца як у выглядзе апаратнага сервера, так і ў выглядзе віртуальнай машыны (VMware, Hyper-V, KVM). Дарэчы, апаратная платформа рэалізавана на кастамізаваных серверах DELL, што аўтаматычна здымае большую частку пытанняў з гарантыяй і RMA. Уласным апаратным складнікам з'яўляюцца няўжо што FPGA поплаткі захопу трафіку, распрацаваныя даччынай кампаніяй Flowmon, і якія дазваляюць ажыццяўляць маніторынг на хуткасцях да 100 Gbps.

Але што рабіць, калі на існым сеткавым абсталяванні няма магчымасці генераваць якасны flow? Ці ж нагрузка на абсталяванне занадта высокая? Не праблема:

Flowmon Prob

На гэты выпадак Flowmon Networks прапануе выкарыстоўваць уласныя зонды (Flowmon Probe), якія падключаюцца ў сетку праз SPAN порт камутатара або з выкарыстаннем пасіўных TAP разгаліноўшчыкаў.

SPAN (mirror port) і TAP варыянты ўкаранення

У гэтым выпадку "волкі" трафік, які паступае на Flowmon Probe, пераўтворыцца ў пашыраны IPFIX, утрымоўвальны больш 240 метрык з інфармацыяй. У той час як у стандартным NetFlow пратаколе, які генеруецца сеткавым абсталяваннем, змяшчаецца не больш за 80 метрык. Гэта дазваляе забяспечыць бачнасць пратаколаў не толькі на 3 і 4 узроўнях, але і на 7 узроўні па мадэлі ISO OSI. У выніку, сеткавыя адміністратары могуць ажыццяўляць маніторынг функцыянавання такіх прыкладанняў і пратаколаў, як e-mail, HTTP, DNS, SMB…

Канцэптуальна, лагічная архітэктура сістэмы выглядае наступным чынам:

Цэнтральнай часткай усёй "экасістэмы" Flowmon Networks з'яўляецца Collector, які атрымлівае трафік з існуючага сеткавага абсталявання або ўласных зондаў (Probe). Але для Enterprise рашэння падаваць функцыянал выключна для маніторынгу сеткавага трафіку было б занадта проста. Гэта ўмеюць рабіць і Open Source рашэнні, няхай і не з такой прадукцыйнасцю. Каштоўнасцю Flowmon з'яўляюцца дадатковыя модулі, якія пашыраюць базавы функцыянал:

• модуль Anomaly Detection Security – выяўленне анамальнай сеткавай актыўнасці, уключаючы напады "нулявога дня", на падставе эўрыстычнага аналізу трафіку і тыпавога сеткавага профіля;
• модуль Маніторынг прадукцыйнасці прыкладанняў – кантроль прадукцыйнасці сеткавых прыкладанняў без усталёўкі «агентаў» і ўплывы на мэтавыя сістэмы;
• модуль Рэгістратар дарожнага руху – запіс фрагментаў сеткавага трафіку па наборы наканаваных правіл ці па трыгеру з модуля ADS, для далейшага траблшутинга і/ці расследаванні інцыдэнтаў ИБ;
• модуль Абарона ад DDoS – абарона перыметра сеткі ад валюметрычных нападаў адмовы ў абслугоўванні DoS/DDoS, у тым ліку нападаў на прыкладанні (OSI L3/L4/L7).

У рамках дадзенага артыкула мы разгледзім, як усё працуе ўжывую на прыкладзе 2 модуляў - Network Performance Monitoring and Diagnostics и Anomaly Detection Security.
Зыходныя дадзеныя:

• сервер Lenovo RS 140 з гіпервізарам VMware 6.0;
• выява віртуальнай машыны Flowmon Collector, які можна спампаваць тут;
• пара камутатараў з падтрымкай flow пратаколаў.

Крок 1. Усталёўка Flowmon Collector

Разгортванне віртуальнай машыны на VMware адбываецца зусім стандартнай выявай з OVF шаблону. У выніку атрымліваем віртуальную машыну пад кіраваннем CentOS і з гатовым да працы ПЗ. Патрабаванні да рэсурсаў - гуманныя:

Застаецца толькі выканаць базавую ініцыялізацыю па камандзе sysconfig:

Наладжваем IP на порце кіравання, DNS, час, Hostname і можам падлучацца да WEB-інтэрфейсу.

Крок 2. Устаноўка ліцэнзіі

Трыяльная ліцэнзія на паўтара месяца генеруецца і спампоўваецца разам з выявай віртуальнай машыны. Падгружаецца праз Configuration Center -> License. У выніку бачым:

Усё гатова. Можна прыступаць да працы.

Крок 3. Настройка рэсівера на калектары

На дадзеным этапе трэба вызначыцца, якім чынам у сістэму будуць паступаць даныя з крыніц. Як мы казалі раней, гэта можа быць адзін з flow пратаколаў або SPAN порт на камутатары.

У нашым прыкладзе будзем выкарыстоўваць прыём даных па пратаколах. NetFlow v9 і IPFIX. У гэтым выпадку, у якасці таргета мы паказваем IP адрас Management інтэрфейсу - 192.168.78.198. Інтэрфейсы eth2 і eth3 (з тыпам Monitoring interface) выкарыстоўваюцца для прыёму копіі "волкага" трафіку са SPAN порта камутатара. Іх прапускаем, не наш выпадак.
Далей правяраем порт калектара, куды павінен паступаць трафік.

У нашым выпадку калектар чакае трафік на порце UDP/2055.

Крок 4. Настройка сеткавага абсталявання для экспарту flow

Наладу NetFlow на абсталяванні Cisco Systems, мусіць, можна назваць зусім звычайнай справай для любога сеткавага адміністратара. Для нашага прыкладу мы возьмем што-небудзь незвычайнае. Напрыклад, маршрутызатар MikroTik RB2011UiAS-2HnD. Так, як ні дзіўна, такое бюджэтнае рашэнне для малых і хатніх офісаў таксама падтрымлівае пратаколы NetFlow v5/v9 і IPFIX. У наладах задаём таргет (адрас калектара 192.168.78.198 і порт 2055):

І дадаем усе даступныя для экспарту метрыкі:

На гэтым можна сказаць, што базавая настройка завершана. Правяраем, ці паступае ў сістэму трафік.

Крок 5. Праверка і эксплуатацыя модуля Network Performance Monitoring and Diagnostics

Праверыць наяўнасць трафіку ад крыніцы можна ў раздзеле Flowmon Monitoring Center -> Sources:

Бачым, што дадзеныя паступае ў сістэму. Праз некаторы час пасля таго, як калектар назапасіць трафік, фішкі пачнуць адлюстроўваць інфармацыю:

Пабудавана сістэма па прынцыпе drill down. Гэта значыць, карыстач, выбіраючы які цікавіць яго фрагмент на схеме або графіцы, «правальваецца» да таго ўзроўня глыбіні дадзеных, якія яму патрэбныя:

Аж да інфармацыі аб кожным сеткавым злучэнні і канэкце:

Крок 6. Модуль Anomaly Detection Security

Гэты модуль можна назваць, мабыць, адным з самых цікавых, дзякуючы выкарыстанню безсігнатурных метадаў выяўлення анамалій у сеткавым трафіку і шкоднаснай сеткавай актыўнасці. Але гэта не аналаг IDS/IPS сістэм. Праца з модулем пачынаецца з яго "навучання". Для гэтага ў спецыяльным візардзе паказваюцца ўсе ключавыя кампаненты і службы сеткі, уключаючы:

• адрасы шлюза, DNS, DHCP і NTP сервераў,
• адрасаванне ў сегментах карыстальнікаў і сервераў.

Пасля гэтага сістэма пераходзіць у рэжым навучання, які ў сярэднім доўжыцца ад 2 тыдняў да 1 месяца. За гэты час сістэма фармуе baseline трафіку, характэрнага непасрэдна для нашай сеткі. Прасцей кажучы, сістэма вывучае:

• якія паводзіны з'яўляюцца характэрнымі для вузлоў сеткі?
• якія аб'ёмы дадзеных звычайна перадаюцца і з'яўляюцца нармальнымі для сеткі?
• які час працы з'яўляецца тыпавым для карыстальнікаў?
• якія прыкладанні працуюць у сетцы?
• і многае іншае..

У выніку мы атрымліваем інструмент, які выяўляе любыя анамаліі ў нашай сетцы і адхіленні ад характэрных паводзін. Вось пара прыкладаў, якія дазваляе выявіць сістэма:

• распаўсюджванне ў сетцы новага шкоднаснага ПА, не дэтэктаванага сігнатурамі антывірусаў;
• пабудова DNS, ICMP ці іншых тунэляў і перадача дадзеных у абыход міжсеткавага экрана;
• з'яўленне ў сетцы новага кампутара, які выдае сябе за DHCP і/ці DNS сервер.

Паглядзім, як гэта выглядае ў жывую. Пасля таго, як Ваша сістэма прайшла навучанне і пабудавала baseline трафіку сеткі, яна пачынае дэтэктаваць інцыдэнты:

Галоўная старонка модуля - часовы графік з адлюстраваннем выяўленых інцыдэнтаў. У нашым прыкладзе бачны відавочны ўсплёск, прыкладна паміж 9 і 16 гадзінамі. Вылучаем яго і глядзім падрабязней.

Відавочна прасочваюцца анамальныя паводзіны зламысніка ў сетцы. Пачынаецца ўсё з таго, што хост з адрасам 192.168.3.225 пачаў гарызантальнае сканаванне сеткі па порце 3389 (сэрвіс Microsoft RDP) і знаходзіць 14 патэнцыйных "ахвяр":

и

Наступны зафіксаваны інцыдэнт - хост 192.168.3.225 пачынае брутфорс атаку па пераборы пароляў на сэрвіс RDP (порт 3389) на выяўленых раней адрасах:

У выніку напады на адным з узламаных хастоў фіксуецца SMTP анамалія. Іншымі словамі, пачалася рассыланне СПАМ:

Дадзены прыклад з'яўляецца нагляднай дэманстрацыяй магчымасцяў працы сістэмы і модуля Anomaly Detection Security, у прыватнасці. Аб эфектыўнасці судзіце самі. На гэтым функцыянальны агляд рашэння мы завяршаем.

Заключэнне

Рэзюмуем, якія высновы аб Flowmon мы можам зрабіць у сухой рэштцы:

• Flowmon - рашэнне прэміяльнага ўзроўню для карпаратыўных Заказчыкаў;
• дзякуючы ўніверсальнасці і сумяшчальнасці, збор дадзеных даступны з любых крыніц: сеткавага абсталявання (Cisco, Juniper, HPE, Huawei…) ці ўласных зондаў (Flowmon Probe);
• магчымасці па маштабаванасці рашэння дазваляюць нарошчваць функцыянал сістэмы пасродкам дадання новых модуляў, а таксама падвышаць прадукцыйнасць дзякуючы гнуткаму падыходу да ліцэнзавання;
• за кошт выкарыстання тэхналогій безсігнатурнага аналізу, сістэма дазваляе выяўляць нават не вядомыя антывірусам і IDS/IPS сістэмам zero-day напады;
• дзякуючы поўнай «празрыстасці» з пункта гледжання ўсталёўкі і прысутнасці сістэмы ў сетцы – рашэнне не ўплывае на працу іншых вузлоў і кампанент Вашай ІТ інфраструктуры;
• Flowmon - адзінае на рынку рашэнне, якое падтрымлівае маніторынг трафіку на хуткасцях да 100 Гбіт / с;
• Flowmon - рашэнне для сетак любога маштабу;
• лепшае суадносіны кошт / функцыянал сярод аналагічных рашэнняў.

У дадзеным аглядзе мы разгледзелі менш за 10% агульнага функцыяналу рашэння. У наступным артыкуле мы раскажам пра астатнія модулі Flowmon Networks. На прыкладзе модуля Application Performance Monitoring мы пакажам як адміністратары бізнэс прыкладанняў могуць забяспечыць даступнасць на зададзеным узроўні SLA, а таксама максімальна хутка дыягнаставаць праблемы.

Таксама, жадаем запрасіць Вас на наш вэбінар (10.09.2019), прысвечаны рашэнням вендара Flowmon Networks. Для папярэдняй рэгістрацыі просім Вас прайсці рэгістрацыю тут.
На гэтым пакуль усё, дзякуй за Вашую цікавасць!

Толькі зарэгістраваныя карыстачы могуць удзельнічаць у апытанні. Увайдзіце, Калі ласка.

Ці карыстаецеся вы Netflow для маніторынгу сеткі?

• Так

• Не, але планую

• Няма

Прагаласавалі 9 карыстальнікаў. Устрымаліся 3 карыстальніка.

Крыніца: habr.com