Recentment, podeu trobar una gran quantitat de materials sobre el tema a Internet. Anàlisi del trànsit al perímetre de la xarxa. Al mateix temps, per alguna raó tothom es va oblidar completament Anàlisi del trànsit local, que no és menys important. Aquest article tracta precisament aquest tema. Per exemple recordarem el bon vell Netflow (i les seves alternatives), mirarem casos interessants, possibles anomalies a la xarxa i descobrirem els avantatges de la solució quan tota la xarxa funciona com un únic sensor. I el més important, podeu realitzar aquesta anàlisi del trànsit local de manera totalment gratuïta, en el marc d'una llicència de prova (45 dies). Si el tema us interessa, benvingut a cat. Si et fa mandra llegir, doncs, mirant endavant, pots registrar-te , on us mostrarem i us explicarem tot (també podreu conèixer la propera formació de productes allà).
Què és Flowmon Networks?
En primer lloc, Flowmon és un proveïdor informàtic europeu. L'empresa és txeca, amb seu a Brno (ni tan sols es planteja el tema de les sancions). En la seva forma actual, l'empresa està al mercat des del 2007. Anteriorment, era conegut sota la marca Invea-Tech. Així, en total, es van dedicar gairebé 20 anys a desenvolupar productes i solucions.
Flowmon es posiciona com una marca de classe A. Desenvolupa solucions premium per a clients empresarials i és reconegut a les caixes de Gartner per al monitoratge i diagnòstic del rendiment de la xarxa (NPMD). A més, curiosament, de totes les empreses de l'informe, Flowmon és l'únic proveïdor assenyalat per Gartner com a fabricant de solucions tant per al monitoratge de xarxes com per a la protecció de la informació (Network Behavior Analysis). Encara no ocupa el primer lloc, però per això no es manté com una ala de Boeing.
Quins problemes resol el producte?
A nivell global, podem distingir el següent conjunt de tasques resoltes pels productes de l'empresa:
- augmentar l'estabilitat de la xarxa, així com els recursos de la xarxa, minimitzant el seu temps d'inactivitat i indisponibilitat;
- augmentar el nivell general de rendiment de la xarxa;
- augmentar l'eficiència del personal administratiu a causa de:
- utilitzant eines de monitorització de xarxes innovadores modernes basades en informació sobre els fluxos IP;
- proporcionar anàlisis detallades sobre el funcionament i l'estat de la xarxa: usuaris i aplicacions que s'executen a la xarxa, dades transmeses, recursos en interacció, serveis i nodes;
- respondre a les incidències abans que es produeixin, i no després que usuaris i clients perdin el servei;
- reduir el temps i els recursos necessaris per administrar la xarxa i la infraestructura informàtica;
- simplificant les tasques de resolució de problemes.
- augmentar el nivell de seguretat de la xarxa i dels recursos d'informació de l'empresa, mitjançant l'ús de tecnologies sense signatura per detectar activitats de xarxa anòmales i malicioses, així com "atacs de dia zero";
- garantint el nivell de SLA requerit per a aplicacions de xarxa i bases de dades.
Cartera de productes de Flowmon Networks
Ara mirem directament la cartera de productes de Flowmon Networks i esbrineu què fa exactament l'empresa. Com molts ja han endevinat pel nom, l'especialització principal es troba en solucions per a la monitorització del trànsit de flux de flux, a més d'una sèrie de mòduls addicionals que amplien la funcionalitat bàsica.
De fet, Flowmon es pot anomenar una empresa d'un producte, o millor dit, una solució. Anem a esbrinar si això és bo o dolent.
El nucli del sistema és el col·lector, que s'encarrega de recollir dades mitjançant diversos protocols de flux, com ara NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... És bastant lògic que per a una empresa no afiliada a cap fabricant d'equips de xarxa, sigui important oferir al mercat un producte universal que no estigui lligat a cap estàndard o protocol.
Col·leccionista Flowmon
El col·lector està disponible tant com a servidor de maquinari com a màquina virtual (VMware, Hyper-V, KVM). Per cert, la plataforma de maquinari s'implementa en servidors DELL personalitzats, la qual cosa elimina automàticament la majoria dels problemes de garantia i RMA. Els únics components de maquinari propietaris són les targetes de captura de trànsit FPGA desenvolupades per una filial de Flowmon, que permeten el seguiment a velocitats de fins a 100 Gbps.
Però, què fer si l'equip de xarxa existent no és capaç de generar un flux d'alta qualitat? O la càrrega de l'equip és massa alta? Cap problema:
Flowmon Prob
En aquest cas, Flowmon Networks ofereix utilitzar les seves pròpies sondes (Flowmon Probe), que es connecten a la xarxa mitjançant el port SPAN de l'interruptor o utilitzant divisors TAP passius.
Opcions d'implementació SPAN (port mirall) i TAP
En aquest cas, el trànsit brut que arriba a la sonda Flowmon es converteix en un IPFIX ampliat que conté més 240 mètriques amb informació. Mentre que el protocol NetFlow estàndard generat pels equips de xarxa no conté més de 80 mètriques. Això permet la visibilitat del protocol no només als nivells 3 i 4, sinó també al nivell 7 segons el model ISO OSI. Com a resultat, els administradors de xarxa poden controlar el funcionament d'aplicacions i protocols com el correu electrònic, HTTP, DNS, SMB...
Conceptualment, l'arquitectura lògica del sistema és així:
La part central de tot l'"ecosistema" de Flowmon Networks és el col·lector, que rep trànsit dels equips de xarxa existents o de les seves pròpies sondes (Probe). Però per a una solució empresarial, proporcionar funcionalitat únicament per supervisar el trànsit de xarxa seria massa senzill. Les solucions de codi obert també poden fer-ho, encara que no amb aquest rendiment. El valor de Flowmon són mòduls addicionals que amplien la funcionalitat bàsica:
- mòdul Seguretat de detecció d'anomalies – identificació de l'activitat anòmala de la xarxa, inclosos els atacs de dia zero, basada en l'anàlisi heurística del trànsit i un perfil típic de la xarxa;
- mòdul Supervisió del rendiment de l’aplicació – supervisar el rendiment de les aplicacions de xarxa sense instal·lar "agents" i influir en els sistemes objectiu;
- mòdul Registrador de trànsit – Enregistrament de fragments de trànsit de xarxa segons un conjunt de regles predefinides o segons un activador del mòdul ADS, per a la resolució de problemes i/o investigació d'incidents de seguretat de la informació;
- mòdul Protecció DDoS – protecció del perímetre de la xarxa contra atacs volumètrics de denegació de servei DoS/DDoS, inclosos els atacs a aplicacions (OSI L3/L4/L7).
En aquest article, veurem com funciona tot en directe utilitzant l'exemple de 2 mòduls: Supervisió i diagnòstic del rendiment de la xarxa и Seguretat de detecció d'anomalies.
Dades d'origen:
- Servidor Lenovo RS 140 amb hipervisor VMware 6.0;
- Imatge de la màquina virtual de Flowmon Collector que podeu ;
- un parell d'interruptors que admeten protocols de flux.
Pas 1. Instal·leu Flowmon Collector
El desplegament d'una màquina virtual a VMware es produeix d'una manera completament estàndard a partir de la plantilla OVF. Com a resultat, obtenim una màquina virtual amb CentOS i amb programari llest per utilitzar. Els requisits de recursos són humans:
Tot el que queda és realitzar la inicialització bàsica mitjançant l'ordre sysconfig:
Configurem IP al port de gestió, DNS, hora, Hostname i podem connectar-nos a la interfície WEB.
Pas 2. Instal·lació de la llicència
Es genera i es baixa una llicència de prova durant un mes i mig juntament amb la imatge de la màquina virtual. Carregat via Centre de configuració -> Llicència. Com a resultat veiem:
Tot a punt. Podeu començar a treballar.
Pas 3. Configuració del receptor al col·lector
En aquesta etapa, heu de decidir com rebrà el sistema les dades de les fonts. Com hem dit anteriorment, aquest podria ser un dels protocols de flux o un port SPAN de l'interruptor.
En el nostre exemple, utilitzarem la recepció de dades mitjançant protocols NetFlow v9 i IPFIX. En aquest cas, especifiquem l'adreça IP de la interfície de gestió com a objectiu: 192.168.78.198. Les interfícies eth2 i eth3 (amb el tipus d'interfície de monitorització) s'utilitzen per rebre una còpia del trànsit "en brut" des del port SPAN del commutador. Els deixem passar, no el nostre cas.
A continuació, comprovem el port col·lector per on ha d'anar el trànsit.
En el nostre cas, el col·lector escolta el trànsit al port UDP/2055.
Pas 4. Configuració d'equips de xarxa per a l'exportació de flux
La configuració de NetFlow en equips de Cisco Systems probablement es pot anomenar una tasca completament habitual per a qualsevol administrador de xarxa. Per al nostre exemple, prendrem alguna cosa més inusual. Per exemple, l'encaminador MikroTik RB2011UiAS-2HnD. Sí, curiosament, aquesta solució de pressupost per a oficines petites i domèstiques també admet els protocols NetFlow v5/v9 i IPFIX. A la configuració, establiu l'objectiu (adreça del col·lector 192.168.78.198 i port 2055):
I afegiu totes les mètriques disponibles per a l'exportació:
En aquest punt podem dir que la configuració bàsica està completa. Comprovem si el trànsit entra al sistema.
Pas 5: prova i operació del mòdul de diagnòstic i supervisió del rendiment de la xarxa
Podeu comprovar la presència de trànsit des de la font a la secció Flowmon Monitoring Center –> Fonts:
Veiem que les dades estan entrant al sistema. Un temps després que el col·lector hagi acumulat trànsit, els ginys començaran a mostrar informació:
El sistema es basa en el principi de drill down. És a dir, l'usuari, en seleccionar un fragment d'interès en un diagrama o gràfic, "cau" al nivell de profunditat de les dades que necessita:
Fins a la informació sobre cada connexió i connexió de xarxa:
Pas 6. Mòdul de seguretat de detecció d'anomalies
Aquest mòdul es pot anomenar potser un dels més interessants, gràcies a l'ús de mètodes sense signatura per detectar anomalies en el trànsit de la xarxa i l'activitat maliciosa de la xarxa. Però això no és un anàleg dels sistemes IDS/IPS. El treball amb el mòdul comença amb la seva "formació". Per fer-ho, un assistent especial especifica tots els components i serveis clau de la xarxa, inclosos:
- adreces de passarel·la, servidors DNS, DHCP i NTP,
- adreçament en segments d'usuari i servidor.
Després d'això, el sistema entra en mode d'entrenament, que dura de mitjana entre 2 setmanes i 1 mes. Durant aquest temps, el sistema genera trànsit de referència específic de la nostra xarxa. En poques paraules, el sistema aprèn:
- Quin comportament és típic dels nodes de xarxa?
- Quins volums de dades es transfereixen normalment i són normals per a la xarxa?
- Quin és el temps de funcionament típic dels usuaris?
- quines aplicacions s'executen a la xarxa?
- i molt més..
Com a resultat, obtenim una eina que identifica qualsevol anomalia a la nostra xarxa i desviacions del comportament típic. Aquí teniu un parell d'exemples que el sistema us permet detectar:
- distribució de nou programari maliciós a la xarxa que no és detectat per les signatures antivirus;
- construir DNS, ICMP o altres túnels i transmetre dades sense passar pel tallafoc;
- l'aparició d'un nou ordinador a la xarxa fent-se passar per un servidor DHCP i/o DNS.
A veure com es veu en directe. Un cop el vostre sistema s'ha entrenat i ha creat una línia base de trànsit de xarxa, comença a detectar incidents:
La pàgina principal del mòdul és una línia de temps que mostra les incidències identificades. En el nostre exemple, veiem un pic clar, aproximadament entre 9 i 16 hores. Seleccionem-lo i mirem amb més detall.
El comportament anòmal de l'atacant a la xarxa és clarament visible. Tot comença amb el fet que l'amfitrió amb l'adreça 192.168.3.225 va iniciar una exploració horitzontal de la xarxa al port 3389 (servei Microsoft RDP) i va trobar 14 "víctimes" potencials:
и
El següent incident registrat: l'amfitrió 192.168.3.225 comença un atac de força bruta a contrasenyes de força bruta al servei RDP (port 3389) a les adreces identificades anteriorment:
Com a resultat de l'atac, es detecta una anomalia SMTP en un dels hosts piratejats. En altres paraules, el SPAM ha començat:
Aquest exemple és una demostració clara de les capacitats del sistema i del mòdul de seguretat de detecció d'anomalies en particular. Jutgeu l'eficàcia per vosaltres mateixos. Això conclou la visió general funcional de la solució.
Conclusió
Resumim quines conclusions podem treure sobre Flowmon:
- Flowmon és una solució premium per a clients corporatius;
- gràcies a la seva versatilitat i compatibilitat, la recollida de dades està disponible des de qualsevol font: equips de xarxa (Cisco, Juniper, HPE, Huawei...) o sondes pròpies (Flowmon Probe);
- Les capacitats d'escalabilitat de la solució permeten ampliar la funcionalitat del sistema afegint nous mòduls, així com augmentar la productivitat gràcies a un enfocament flexible de llicències;
- mitjançant l'ús de tecnologies d'anàlisi sense signatura, el sistema permet detectar atacs de dia zero fins i tot desconeguts pels antivirus i els sistemes IDS/IPS;
- gràcies a la "transparència" total en termes d'instal·lació i presència del sistema a la xarxa: la solució no afecta el funcionament d'altres nodes i components de la vostra infraestructura informàtica;
- Flowmon és l'única solució del mercat que admet el seguiment del trànsit a velocitats de fins a 100 Gbps;
- Flowmon és una solució per a xarxes de qualsevol escala;
- la millor relació preu/funcionalitat entre solucions similars.
En aquesta revisió, vam examinar menys del 10% de la funcionalitat total de la solució. En el següent article parlarem dels mòduls restants de Flowmon Networks. Utilitzant el mòdul de monitorització del rendiment de l'aplicació com a exemple, mostrarem com els administradors d'aplicacions empresarials poden garantir la disponibilitat a un nivell de SLA determinat, així com diagnosticar problemes el més ràpidament possible.
A més, ens agradaria convidar-vos al nostre webinar (10.09.2019/XNUMX/XNUMX) dedicat a les solucions del proveïdor Flowmon Networks. Per fer la preinscripció us demanem .
Això és tot de moment, gràcies pel vostre interès!
Només els usuaris registrats poden participar en l'enquesta. si us plau.
Esteu utilitzant Netflow per a la supervisió de la xarxa?
-
Sí
-
No, però tinc previst
-
No
Han votat 9 usuaris. 3 usuaris es van abstenir.
Font: www.habr.com