Мрежово наблюдение и откриване на необичайна мрежова активност с помощта на решенията на Flowmon Networks

Напоследък в интернет можете да намерите огромно количество материали по темата. анализ на трафика в периметъра на мрежата. В същото време по някаква причина всички напълно забравиха анализ на местния трафик, което е не по-малко важно. Тази статия засяга точно тази тема. Например Flowmon Networks ще си припомним добрия стар Netflow (и неговите алтернативи), ще разгледаме интересни случаи, възможни аномалии в мрежата и ще разберем предимствата на решението, когато цялата мрежа работи като един сензор. И най-важното е, че можете да извършите такъв анализ на местния трафик напълно безплатно, в рамките на пробен лиценз (45 дни). Ако темата ви е интересна заповядайте в кат. Ако ви мързи да четете, тогава, гледайки напред, можете да се регистрирате предстоящ уебинар, където ще ви покажем и разкажем всичко (там можете да научите и за предстоящо продуктово обучение).

Какво е Flowmon Networks?

На първо място, Flowmon е европейски ИТ доставчик. Фирмата е чешка, със седалище в Бърно (въпросът за санкции дори не се повдига). В сегашния си вид фирмата е на пазара от 2007г. Преди това беше известен под марката Invea-Tech. И така, общо почти 20 години бяха изразходвани за разработване на продукти и решения.

Flowmon се позиционира като марка A-клас. Разработва първокласни решения за корпоративни клиенти и е признат в кутиите на Gartner за мониторинг и диагностика на производителността на мрежата (NPMD). Освен това, интересно е, че от всички компании в доклада, Flowmon е единственият доставчик, отбелязан от Gartner като производител на решения както за мрежов мониторинг, така и за защита на информацията (Анализ на мрежовото поведение). Все още не е на първо място, но поради това не стои като крило на Боинг.

Какви проблеми решава продуктът?

В световен мащаб можем да разграничим следния набор от задачи, решавани от продуктите на компанията:

1. повишаване на стабилността на мрежата, както и на мрежовите ресурси, чрез минимизиране на времето на престой и недостъпност;
2. повишаване на общото ниво на производителност на мрежата;
3. повишаване на ефективността на административния персонал поради:
   • използване на съвременни иновативни инструменти за наблюдение на мрежата, базирани на информация за IP потоците;
   • предоставяне на подробни анализи за функционирането и състоянието на мрежата - потребители и приложения, работещи в мрежата, предавани данни, взаимодействащи ресурси, услуги и възли;
   • реагиране на инциденти, преди те да се случат, а не след като потребителите и клиентите загубят услугата;
   • намаляване на времето и ресурсите, необходими за администриране на мрежовата и ИТ инфраструктура;
   • опростяване на задачите за отстраняване на неизправности.
4. повишаване на нивото на сигурност на мрежовите и информационните ресурси на предприятието, чрез използване на несигнатурни технологии за откриване на аномална и злонамерена мрежова активност, както и „атаки от нулевия ден“;
5. осигуряване на необходимото ниво на SLA за мрежови приложения и бази данни.

Продуктово портфолио на Flowmon Networks

Сега нека погледнем директно продуктовото портфолио на Flowmon Networks и да разберем какво точно прави компанията. Както мнозина вече се досетиха от името, основната специализация е в решенията за мониторинг на поточен трафик, плюс редица допълнителни модули, които разширяват основната функционалност.

Всъщност Flowmon може да се нарече компания на един продукт или по-скоро едно решение. Нека да разберем дали това е добро или лошо.

Ядрото на системата е колекторът, който отговаря за събирането на данни, използвайки различни протоколи за поток, като напр. NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Съвсем логично е, че за компания, която не е свързана с нито един производител на мрежово оборудване, е важно да предложи на пазара универсален продукт, който не е обвързан с нито един стандарт или протокол.

Flowmon Collector

Колекторът се предлага както като хардуерен сървър, така и като виртуална машина (VMware, Hyper-V, KVM). Между другото, хардуерната платформа е внедрена на персонализирани сървъри на DELL, което автоматично елиминира повечето проблеми с гаранцията и RMA. Единствените собствени хардуерни компоненти са FPGA карти за улавяне на трафик, разработени от дъщерно дружество на Flowmon, които позволяват наблюдение при скорости до 100 Gbps.

Но какво да направите, ако съществуващото мрежово оборудване не е в състояние да генерира висококачествен поток? Или натоварването на оборудването е твърде голямо? Няма проблем:

Flowmon Prob

В този случай Flowmon Networks предлага използването на собствени сонди (Flowmon Probe), които са свързани към мрежата чрез SPAN порта на комутатора или чрез пасивни TAP сплитери.

Опции за изпълнение на SPAN (огледален порт) и TAP

В този случай необработеният трафик, пристигащ към сондата Flowmon, се преобразува в разширен IPFIX, съдържащ повече 240 показателя с информация. Докато стандартният протокол NetFlow, генериран от мрежово оборудване, съдържа не повече от 80 показателя. Това позволява видимост на протокола не само на нива 3 и 4, но и на ниво 7 според модела ISO OSI. В резултат на това мрежовите администратори могат да наблюдават функционирането на приложения и протоколи като електронна поща, HTTP, DNS, SMB...

Концептуално логическата архитектура на системата изглежда така:

Централната част от цялата „екосистема“ на Flowmon Networks е колекторът, който получава трафик от съществуващо мрежово оборудване или свои собствени сонди (сонда). Но за корпоративно решение предоставянето на функционалност единствено за наблюдение на мрежовия трафик би било твърде просто. Решенията с отворен код също могат да направят това, макар и не с такава производителност. Стойността на Flowmon са допълнителни модули, които разширяват основната функционалност:

• модул Сигурност при откриване на аномалии – идентифициране на аномална мрежова активност, включително атаки от нулев ден, въз основа на евристичен анализ на трафика и типичен мрежов профил;
• модул Мониторинг на ефективността на приложението – наблюдение на производителността на мрежовите приложения без инсталиране на „агенти“ и влияние върху целевите системи;
• модул Рекордер на трафика – записване на фрагменти от мрежовия трафик според набор от предварително дефинирани правила или според тригер от модула ADS, за по-нататъшно отстраняване на проблеми и/или разследване на инциденти със сигурността на информацията;
• модул Защита DDoS – защита на мрежовия периметър от обемни DoS/DDoS атаки за отказ на услуга, включително атаки срещу приложения (OSI L3/L4/L7).

В тази статия ще разгледаме как всичко работи на живо, използвайки примера на 2 модула - Мониторинг и диагностика на производителността на мрежата и Сигурност при откриване на аномалии.
Източни данни:

• Lenovo RS 140 сървър с VMware 6.0 хипервайзор;
• Изображение на виртуална машина Flowmon Collector, което можете изтеглете тук;
• двойка комутатори, поддържащи протоколи за поток.

Стъпка 1. Инсталирайте Flowmon Collector

Внедряването на виртуална машина на VMware става по напълно стандартен начин от шаблона OVF. В резултат на това получаваме виртуална машина, работеща с CentOS и с готов за използване софтуер. Изискванията за ресурси са хуманни:

Всичко, което остава, е да извършите основна инициализация с помощта на командата sysconfig:

Ние конфигурираме IP на порта за управление, DNS, време, име на хост и можем да се свържем с WEB интерфейса.

Стъпка 2. Инсталиране на лиценз

Пробен лиценз за месец и половина се генерира и изтегля заедно с изображението на виртуалната машина. Заредено чрез Център за конфигуриране -> Лиценз. В резултат на това виждаме:

Всичко е готово. Можете да започнете работа.

Стъпка 3. Настройване на приемника на колектора

На този етап трябва да решите как системата ще получава данни от източници. Както казахме по-рано, това може да е един от протоколите за поток или SPAN порт на комутатора.

В нашия пример ще използваме приемане на данни с помощта на протоколи NetFlow v9 и IPFIX. В този случай ние посочваме IP адреса на интерфейса за управление като цел - 192.168.78.198. Интерфейсите eth2 и eth3 (с тип интерфейс за наблюдение) се използват за получаване на копие на „суровия“ трафик от SPAN порта на комутатора. Ние ги пропускаме, не нашия случай.
След това проверяваме колекторния порт, където трябва да отива трафикът.

В нашия случай колекторът слуша за трафик на порт UDP/2055.

Стъпка 4. Конфигуриране на мрежово оборудване за експорт на поток

Настройването на NetFlow на оборудването на Cisco Systems вероятно може да се нарече напълно обичайна задача за всеки мрежов администратор. За нашия пример ще вземем нещо по-необичайно. Например рутерът MikroTik RB2011UiAS-2HnD. Да, колкото и да е странно, такова бюджетно решение за малки и домашни офиси също поддържа протоколите NetFlow v5/v9 и IPFIX. В настройките задайте целта (адрес на колектора 192.168.78.198 и порт 2055):

И добавете всички показатели, налични за експортиране:

На този етап можем да кажем, че основната настройка е завършена. Проверяваме дали трафикът влиза в системата.

Стъпка 5: Тестване и работа с модула за наблюдение и диагностика на производителността на мрежата

Можете да проверите наличието на трафик от източника в секцията Център за наблюдение на Flowmon –> Източници:

Виждаме, че данните влизат в системата. Известно време след като колекторът натрупа трафик, джаджите ще започнат да показват информация:

Системата е изградена на принципа на drill down. Това означава, че потребителят, когато избира фрагмент от интерес на диаграма или графика, „пада“ до нивото на дълбочина на данните, от което се нуждае:

До информация за всяка мрежова връзка и връзка:

Стъпка 6. Защитен модул за откриване на аномалии

Този модул може да се нарече може би един от най-интересните, благодарение на използването на методи без подписи за откриване на аномалии в мрежовия трафик и злонамерена мрежова активност. Но това не е аналог на IDS/IPS системите. Работата с модула започва с неговото “обучение”. За да направите това, специален съветник определя всички ключови компоненти и услуги на мрежата, включително:

• адреси на шлюз, DNS, DHCP и NTP сървъри,
• адресиране в потребителски и сървърни сегменти.

След това системата преминава в режим на обучение, което продължава средно от 2 седмици до 1 месец. През това време системата генерира основен трафик, който е специфичен за нашата мрежа. Просто казано, системата научава:

• какво поведение е типично за мрежовите възли?
• Какви обеми данни обикновено се прехвърлят и са нормални за мрежата?
• Какво е типичното време за работа за потребителите?
• какви приложения работят в мрежата?
• и още много..

В резултат на това получаваме инструмент, който идентифицира всички аномалии в нашата мрежа и отклонения от типичното поведение. Ето няколко примера, които системата ви позволява да откриете:

• разпространение на нов зловреден софтуер в мрежата, който не се открива от антивирусни подписи;
• изграждане на DNS, ICMP или други тунели и предаване на данни, заобикаляйки защитната стена;
• появата на нов компютър в мрежата, представящ се за DHCP и/или DNS сървър.

Да видим как ще изглежда на живо. След като вашата система е била обучена и изградена базова линия на мрежовия трафик, тя започва да открива инциденти:

Основната страница на модула е времева линия, показваща идентифицирани инциденти. В нашия пример виждаме ясен пик, приблизително между 9 и 16 часа. Нека го изберем и разгледаме по-подробно.

Ясно се вижда ненормалното поведение на нападателя в мрежата. Всичко започва с факта, че хостът с адрес 192.168.3.225 започна хоризонтално сканиране на мрежата на порт 3389 (Microsoft RDP услуга) и намери 14 потенциални „жертви“:

и

Следният записан инцидент - хост 192.168.3.225 започва атака с груба сила на пароли с груба сила на услугата RDP (порт 3389) на предварително идентифицираните адреси:

В резултат на атаката се открива SMTP аномалия на един от хакнатите хостове. С други думи СПАМ започна:

Този пример е ясна демонстрация на възможностите на системата и по-специално на модула за защита при откриване на аномалии. Преценете сами ефективността. Това завършва функционалния преглед на решението.

Заключение

Нека обобщим какви заключения можем да направим за Flowmon:

• Flowmon е първокласно решение за корпоративни клиенти;
• благодарение на своята гъвкавост и съвместимост, събирането на данни е достъпно от всеки източник: мрежово оборудване (Cisco, Juniper, HPE, Huawei...) или ваши собствени сонди (Flowmon Probe);
• Възможностите за скалируемост на решението ви позволяват да разширите функционалността на системата чрез добавяне на нови модули, както и да увеличите производителността благодарение на гъвкавия подход към лицензирането;
• чрез използването на технологии за анализ без сигнатура, системата ви позволява да откривате атаки от нулев ден, дори непознати за антивирусите и IDS/IPS системите;
• благодарение на пълната „прозрачност“ по отношение на инсталирането и присъствието на системата в мрежата - решението не засяга работата на други възли и компоненти на вашата ИТ инфраструктура;
• Flowmon е единственото решение на пазара, което поддържа мониторинг на трафика със скорост до 100 Gbps;
• Flowmon е решение за мрежи от всякакъв мащаб;
• най-доброто съотношение цена/функционалност сред подобни решения.

В този преглед разгледахме по-малко от 10% от общата функционалност на решението. В следващата статия ще говорим за останалите модули на Flowmon Networks. Използвайки модула за наблюдение на ефективността на приложението като пример, ще покажем как администраторите на бизнес приложения могат да осигурят наличност на дадено ниво на SLA, както и да диагностицират проблемите възможно най-бързо.

Също така бихме искали да ви поканим на нашия уебинар (10.09.2019 г.), посветен на решенията на доставчика Flowmon Networks. За предварителна регистрация ви молим регистрирайте се тук.
Това е всичко за сега, благодарим ви за интереса!

В анкетата могат да участват само регистрирани потребители. Впиши се, Моля те.

Използвате ли Netflow за наблюдение на мрежата?

• Да

• Не, но смятам

• Не

9 потребители гласуваха. 3 потребители се въздържаха.

Източник: www.habr.com