Monitoring mreže i detekcija anomalnih mrežnih aktivnosti pomoću Flowmon Networks rješenja

U posljednje vrijeme na Internetu možete pronaći ogromnu količinu materijala na ovu temu. analiza saobraćaja na perimetru mreže. U isto vrijeme, iz nekog razloga su svi potpuno zaboravili analiza lokalnog saobraćaja, što nije ništa manje važno. Ovaj članak se bavi upravo ovom temom. Na primjer Flowmon Networks prisjetit ćemo se dobrog starog Netflowa (i njegovih alternativa), pogledati zanimljive slučajeve, moguće anomalije u mreži i saznati prednosti rješenja kada cijela mreža radi kao jedan senzor. I što je najvažnije, takvu analizu lokalnog prometa možete provesti potpuno besplatno, u okviru probne dozvole (45 dana). Ako vam je tema interesantna, dobrodošli u mačku. Ako ste previše lijeni za čitanje, onda, gledajući unaprijed, možete se registrirati predstojeći webinar, gdje ćemo vam sve pokazati i reći (tamo možete saznati i o predstojećoj obuci proizvoda).

Šta je Flowmon Networks?

Prije svega, Flowmon je evropski IT dobavljač. Kompanija je češka, sa sjedištem u Brnu (pitanje sankcija se čak i ne postavlja). U sadašnjem obliku, kompanija je na tržištu od 2007. godine. Ranije je bio poznat pod brendom Invea-Tech. Dakle, ukupno je gotovo 20 godina potrošeno na razvoj proizvoda i rješenja.

Flowmon je pozicioniran kao brend A klase. Razvija vrhunska rješenja za poslovne korisnike i prepoznat je u Gartner kutijama za praćenje i dijagnostiku mrežnih performansi (NPMD). Štaviše, zanimljivo je da je od svih kompanija u izvještaju, Flowmon jedini dobavljač kojeg Gartner navodi kao proizvođača rješenja za nadzor mreže i zaštitu informacija (Network Behavior Analysis). Još ne zauzima prvo mjesto, ali zbog toga ne stoji kao krilo Boeinga.

Koje probleme rješava proizvod?

Globalno možemo razlikovati sljedeći skup zadataka koje rješavaju proizvodi kompanije:

1. povećanje stabilnosti mreže, kao i mrežnih resursa, minimiziranjem njihovog zastoja i nedostupnosti;
2. povećanje ukupnog nivoa performansi mreže;
3. povećanje efikasnosti administrativnog osoblja zbog:
   • korištenje modernih inovativnih alata za praćenje mreže zasnovanih na informacijama o IP tokovima;
   • pružanje detaljne analitike o funkcioniranju i stanju mreže - korisnicima i aplikacijama koje rade na mreži, prenesenim podacima, interakcijskim resursima, uslugama i čvorovima;
   • reagovanje na incidente prije nego što se dogode, a ne nakon što korisnici i klijenti izgube uslugu;
   • smanjenje vremena i resursa potrebnih za administriranje mreže i IT infrastrukture;
   • pojednostavljivanje zadataka rješavanja problema.
4. povećanje nivoa sigurnosti mrežnih i informacionih resursa preduzeća, korišćenjem nepotpisnih tehnologija za otkrivanje anomalnih i zlonamernih mrežnih aktivnosti, kao i „napada nultog dana“;
5. osiguravanje potrebnog nivoa SLA za mrežne aplikacije i baze podataka.

Portfolio proizvoda Flowmon Networks

Sada pogledajmo direktno u portfelj proizvoda Flowmon Networks i saznajmo čime se ta kompanija bavi. Kao što su mnogi već pretpostavili iz imena, glavna specijalizacija je u rješenjima za praćenje protoka protoka prometa, plus niz dodatnih modula koji proširuju osnovnu funkcionalnost.

Zapravo, Flowmon se može nazvati kompanijom jednog proizvoda, odnosno jednog rješenja. Hajde da shvatimo da li je ovo dobro ili loše.

Srž sistema je sakupljač, koji je odgovoran za prikupljanje podataka koristeći različite protokole protoka, kao npr. NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Sasvim je logično da je za kompaniju koja nije povezana ni sa jednim proizvođačem mrežne opreme važno tržištu ponuditi univerzalni proizvod koji nije vezan ni za jedan standard ili protokol.

Flowmon Collector

Kolektor je dostupan i kao hardverski server i kao virtuelna mašina (VMware, Hyper-V, KVM). Inače, hardverska platforma je implementirana na prilagođenim DELL serverima, što automatski eliminiše većinu problema sa garancijom i RMA. Jedine vlasničke hardverske komponente su FPGA kartice za hvatanje saobraćaja koje je razvila podružnica Flowmona, a koje omogućavaju praćenje brzinama do 100 Gbps.

Ali što učiniti ako postojeća mrežna oprema nije u stanju generirati visokokvalitetan protok? Ili je opterećenje opreme preveliko? Nema problema:

Flowmon Prob

U ovom slučaju Flowmon Networks nudi korištenje vlastitih sondi (Flowmon Probe), koje su povezane na mrežu preko SPAN porta sviča ili pomoću pasivnih TAP razdjelnika.

Opcije implementacije SPAN (ogledalo port) i TAP

U ovom slučaju, sirovi promet koji stiže na Flowmon sondu pretvara se u prošireni IPFIX koji sadrži više 240 metrika sa informacijama. Dok standardni NetFlow protokol koji generiše mrežna oprema ne sadrži više od 80 metrika. Ovo omogućava vidljivost protokola ne samo na nivoima 3 i 4, već i na nivou 7 prema ISO OSI modelu. Kao rezultat toga, mrežni administratori mogu pratiti funkcionisanje aplikacija i protokola kao što su e-pošta, HTTP, DNS, SMB...

Konceptualno, logička arhitektura sistema izgleda ovako:

Centralni dio cjelokupnog “ekosistema” Flowmon Networks je kolektor, koji prima promet od postojeće mrežne opreme ili vlastitih sondi (Probe). Ali za Enterprise rješenje, pružanje funkcionalnosti samo za praćenje mrežnog prometa bilo bi previše jednostavno. Rešenja otvorenog koda takođe mogu to da urade, ali ne sa takvim performansama. Vrijednost Flowmona su dodatni moduli koji proširuju osnovnu funkcionalnost:

• modul Sigurnost detekcije anomalija – identifikacija anomalne mrežne aktivnosti, uključujući napade nultog dana, na osnovu heurističke analize saobraćaja i tipičnog mrežnog profila;
• modul Praćenje performansi aplikacije – praćenje performansi mrežnih aplikacija bez instaliranja „agenta“ i uticaja na ciljne sisteme;
• modul Traffic Recorder – snimanje fragmenata mrežnog saobraćaja prema setu unapred definisanih pravila ili prema trigeru iz ADS modula, radi daljeg otklanjanja problema i/ili istrage incidenata bezbednosti informacija;
• modul DDoS zaštita – zaštita perimetra mreže od volumetrijskih DoS/DDoS napada uskraćivanja usluge, uključujući napade na aplikacije (OSI L3/L4/L7).

U ovom članku ćemo pogledati kako sve funkcionira uživo na primjeru 2 modula - Monitoring i dijagnostika mrežnih performansi и Sigurnost detekcije anomalija.
Početni podaci:

• Lenovo RS 140 server sa VMware 6.0 hipervizorom;
• Slika virtuelne mašine Flowmon Collector koju možete preuzmite ovdje;
• par prekidača koji podržavaju protokole protoka.

Korak 1. Instalirajte Flowmon Collector

Postavljanje virtuelne mašine na VMware odvija se na potpuno standardan način iz OVF šablona. Kao rezultat, dobijamo virtuelnu mašinu sa CentOS-om i softverom spremnim za upotrebu. Zahtjevi za resursima su humani:

Sve što ostaje je izvršiti osnovnu inicijalizaciju pomoću naredbe sysconfig:

Konfigurišemo IP na portu za upravljanje, DNS, vreme, Hostname i možemo da se povežemo na WEB interfejs.

Korak 2. Instalacija licence

Probna licenca za mjesec i pol se generiše i preuzima zajedno sa slikom virtuelne mašine. Loaded via Konfiguracijski centar -> Licenca. Kao rezultat vidimo:

Sve je spremno. Možete početi sa radom.

Korak 3. Postavljanje prijemnika na kolektor

U ovoj fazi morate odlučiti kako će sistem primati podatke iz izvora. Kao što smo ranije rekli, ovo može biti jedan od protokola protoka ili SPAN port na prekidaču.

U našem primjeru koristit ćemo prijem podataka pomoću protokola NetFlow v9 i IPFIX. U ovom slučaju navodimo IP adresu interfejsa za upravljanje kao cilj - 192.168.78.198. Interfejsi eth2 i eth3 (sa tipom interfejsa za nadgledanje) se koriste za primanje kopije „sirovog“ saobraćaja sa SPAN porta komutatora. Propustili smo ih, ne naš slučaj.
Zatim provjeravamo port kolektora gdje bi promet trebao ići.

U našem slučaju, kolektor osluškuje promet na portu UDP/2055.

Korak 4. Konfiguriranje mrežne opreme za izvoz toka

Postavljanje NetFlow-a na opremi Cisco Systems se vjerovatno može nazvati potpuno uobičajenim zadatkom za svakog mrežnog administratora. Za naš primjer uzet ćemo nešto neobičnije. Na primjer, MikroTik RB2011UiAS-2HnD ruter. Da, koliko je čudno, takvo jeftino rješenje za male i kućne urede također podržava NetFlow v5/v9 i IPFIX protokole. U postavkama postavite cilj (adresa kolektora 192.168.78.198 i port 2055):

I dodajte sve metrike dostupne za izvoz:

U ovom trenutku možemo reći da je osnovno podešavanje završeno. Provjeravamo da li saobraćaj ulazi u sistem.

Korak 5: Testiranje i rad modula za praćenje i dijagnostiku mrežnih performansi

U odjeljku možete provjeriti prisustvo prometa sa izvora Flowmon Monitoring Center –> Izvori:

Vidimo da podaci ulaze u sistem. Neko vrijeme nakon što sakupljač akumulira promet, widgeti će početi prikazivati ​​informacije:

Sistem je izgrađen na principu drill down. Odnosno, korisnik, kada odabere fragment od interesa na dijagramu ili grafikonu, "padne" na nivo dubine podataka koji mu je potreban:

Sve do informacija o svakoj mrežnoj vezi i vezi:

Korak 6. Sigurnosni modul za otkrivanje anomalija

Ovaj modul se može nazvati možda jednim od najzanimljivijih, zahvaljujući korištenju metoda bez potpisa za otkrivanje anomalija u mrežnom prometu i zlonamjerne mrežne aktivnosti. Ali ovo nije analog IDS/IPS sistema. Rad sa modulom počinje njegovom „obukom“. Da biste to učinili, poseban čarobnjak određuje sve ključne komponente i usluge mreže, uključujući:

• adrese gatewaya, DNS, DHCP i NTP servere,
• adresiranje u segmentima korisnika i servera.

Nakon toga sistem prelazi u režim obuke, koji u prosjeku traje od 2 sedmice do 1 mjeseca. Za to vrijeme, sistem generiše osnovni promet koji je specifičan za našu mrežu. Jednostavno rečeno, sistem uči:

• kakvo je ponašanje tipično za mrežne čvorove?
• Koje količine podataka se obično prenose i koje su normalne za mrežu?
• Koje je tipično radno vrijeme za korisnike?
• koje aplikacije rade na mreži?
• i mnogo više..

Kao rezultat, dobivamo alat koji identificira sve anomalije u našoj mreži i odstupanja od tipičnog ponašanja. Evo nekoliko primjera koje vam sistem omogućava da otkrijete:

• distribucija novog zlonamjernog softvera na mreži koji nije otkriven antivirusnim potpisima;
• izgradnja DNS-a, ICMP-a ili drugih tunela i prijenos podataka zaobilazeći firewall;
• pojavljivanje novog računara na mreži koji se predstavlja kao DHCP i/ili DNS server.

Da vidimo kako to izgleda uživo. Nakon što je vaš sistem obučen i izgradio osnovnu liniju mrežnog saobraćaja, počinje da otkriva incidente:

Glavna stranica modula je vremenska linija koja prikazuje identifikovane incidente. U našem primjeru vidimo jasan skok, otprilike između 9 i 16 sati. Odaberimo ga i pogledajmo detaljnije.

Jasno je vidljivo anomalno ponašanje napadača na mreži. Sve počinje činjenicom da je host sa adresom 192.168.3.225 započeo horizontalno skeniranje mreže na portu 3389 (Microsoft RDP servis) i pronašao 14 potencijalnih „žrtva“:

и

Sljedeći zabilježeni incident - host 192.168.3.225 počinje brute force napad da bi grubo forsirao lozinke na RDP servisu (port 3389) na prethodno identificiranim adresama:

Kao rezultat napada, otkrivena je SMTP anomalija na jednom od hakovanih hostova. Drugim riječima, SPAM je počeo:

Ovaj primjer je jasna demonstracija mogućnosti sistema i posebno sigurnosnog modula za otkrivanje anomalija. Sami procenite efikasnost. Ovim je završen funkcionalni pregled rješenja.

zaključak

Hajde da sumiramo koje zaključke možemo izvući o Flowmonu:

• Flowmon je vrhunsko rješenje za korporativne klijente;
• zahvaljujući svojoj svestranosti i kompatibilnosti, prikupljanje podataka je dostupno iz bilo kojeg izvora: mrežne opreme (Cisco, Juniper, HPE, Huawei...) ili vaših vlastitih sondi (Flowmon Probe);
• Mogućnosti skalabilnosti rješenja omogućavaju vam da proširite funkcionalnost sistema dodavanjem novih modula, kao i da povećate produktivnost zahvaljujući fleksibilnom pristupu licenciranju;
• korišćenjem tehnologija analize bez potpisa, sistem vam omogućava da otkrijete napade nultog dana čak i nepoznate antivirusima i IDS/IPS sistemima;
• zahvaljujući potpunoj „transparentnosti“ u pogledu instalacije i prisutnosti sistema na mreži - rešenje ne utiče na rad drugih čvorova i komponenti vaše IT infrastrukture;
• Flowmon je jedino rješenje na tržištu koje podržava praćenje prometa pri brzinama do 100 Gbps;
• Flowmon je rješenje za mreže bilo kojeg obima;
• najbolji omjer cijene i funkcionalnosti među sličnim rješenjima.

U ovom pregledu ispitali smo manje od 10% ukupne funkcionalnosti rješenja. U sljedećem članku ćemo govoriti o preostalim Flowmon Networks modulima. Koristeći modul Monitoring performansi aplikacije kao primjer, pokazat ćemo kako administratori poslovnih aplikacija mogu osigurati dostupnost na datom SLA nivou, kao i dijagnosticirati probleme što je brže moguće.

Također, želimo da vas pozovemo na naš webinar (10.09.2019.) posvećen rješenjima dobavljača Flowmon Networks. Za prethodnu registraciju, molimo Vas registrirajte se ovdje.
To je sve za sada, hvala na interesovanju!

Samo registrovani korisnici mogu učestvovati u anketi. Prijavite semolim.

Koristite li Netflow za praćenje mreže?

• Da

• Ne, ali planiram

• Nijedan

Glasalo je 9 korisnika. 3 korisnika je bila uzdržana.

izvor: www.habr.com