Pag-monitor sa network ug pag-detect sa anomalous nga kalihokan sa network gamit ang mga solusyon sa Flowmon Networks

Bag-ohay lang, makit-an nimo ang daghang mga materyal sa hilisgutan sa Internet. pagtuki sa trapiko sa perimeter sa network. Sa samang higayon, sa pipila ka rason ang tanan hingpit nga nakalimot lokal nga pagtuki sa trapiko, nga dili kaayo importante. Kini nga artikulo tukma nga naghisgot niini nga hilisgutan. Pananglitan Mga Network sa Flowmon atong mahinumduman ang maayo nga daan nga Netflow (ug ang mga alternatibo niini), tan-awa ang makapaikag nga mga kaso, posible nga mga anomaliya sa network ug mahibal-an ang mga bentaha sa solusyon kung ang tibuok network naglihok isip usa ka sensor. Ug labaw sa tanan, mahimo nimong ipahigayon ang ingon nga pagtuki sa lokal nga trapiko nga hingpit nga wala’y bayad, sa sulud sa usa ka lisensya sa pagsulay (45 nga mga adlaw). Kung ang hilisgutan makapaikag kanimo, welcome sa iring. Kung tapolan ka kaayo sa pagbasa, nan, sa pagtan-aw sa unahan, mahimo kang magparehistro umaabot nga webinar, diin among ipakita ug isulti kanimo ang tanan (mahimo usab nimo mahibal-an ang bahin sa umaabot nga pagbansay sa produkto didto).

Unsa ang Flowmon Networks?

Una sa tanan, ang Flowmon usa ka tigbaligya sa IT sa Europa. Ang kompanya mao ang Czech, nga adunay punoang buhatan sa Brno (ang isyu sa mga silot wala gani gipataas). Sa karon nga porma, ang kompanya naa sa merkado sukad sa 2007. Kaniadto, nailhan kini sa ilawom sa tatak nga Invea-Tech. Busa, sa kinatibuk-an, hapit 20 ka tuig ang gigugol sa pagpalambo sa mga produkto ug solusyon.

Ang Flowmon gipahimutang isip usa ka A-class nga brand. Nagpalambo og mga premium nga solusyon alang sa mga kustomer sa negosyo ug giila sa mga kahon sa Gartner alang sa Network Performance Monitoring and Diagnostics (NPMD). Dugang pa, makaiikag, sa tanan nga mga kompanya sa taho, ang Flowmon mao ra ang tigbaligya nga nahibal-an ni Gartner ingon usa ka tiggama sa mga solusyon alang sa pag-monitor sa network ug pagpanalipod sa kasayuran (Pagsusuri sa Panggawi sa Network). Wala pa kini mag-una, apan tungod niini dili kini sama sa usa ka pako sa Boeing.

Unsang mga problema ang masulbad sa produkto?

Sa tibuok kalibutan, mahimo natong mailhan ang mosunod nga hugpong sa mga buluhaton nga nasulbad sa mga produkto sa kompanya:

1. pagdugang sa kalig-on sa network, ingon man usab sa mga kapanguhaan sa network, pinaagi sa pagminus sa ilang downtime ug dili magamit;
2. pagdugang sa kinatibuk-ang lebel sa performance sa network;
3. pagdugang sa kahusayan sa mga kawani sa administratibo tungod sa:
   • gamit ang modernong mga innovative network monitoring tools base sa impormasyon bahin sa IP flows;
   • paghatag ug detalyado nga analytics bahin sa pag-andar ug kahimtang sa network - mga tiggamit ug aplikasyon nga nagdagan sa network, gipasa nga datos, nakig-interact nga mga kapanguhaan, serbisyo ug mga node;
   • pagtubag sa mga insidente sa wala pa kini mahitabo, ug dili human mawad-an sa serbisyo ang mga tiggamit ug mga kliyente;
   • pagkunhod sa oras ug mga kapanguhaan nga gikinahanglan sa pagdumala sa network ug imprastraktura sa IT;
   • pagpayano sa mga buluhaton sa pag-troubleshoot.
4. pagdugang sa lebel sa seguridad sa network ug mga kapanguhaan sa impormasyon sa negosyo, pinaagi sa paggamit sa mga teknolohiya nga dili pirma alang sa pag-ila sa anomalous ug malisyoso nga kalihokan sa network, ingon man usab sa "zero-day attacks";
5. pagsiguro sa gikinahanglan nga lebel sa SLA alang sa mga aplikasyon sa network ug mga database.

Portfolio sa Produkto sa Flowmon Networks

Karon tan-awon naton direkta ang portfolio sa produkto sa Flowmon Networks ug mahibal-an kung unsa gyud ang gibuhat sa kompanya. Sama sa nahibal-an na sa kadaghanan gikan sa ngalan, ang panguna nga espesyalista naa sa mga solusyon alang sa pag-monitor sa daloy sa trapiko, dugang nga daghang mga dugang nga module nga nagpalapad sa sukaranan nga pagpaandar.

Sa tinuud, ang Flowmon mahimong tawgon nga usa ka kompanya sa usa ka produkto, o hinoon, usa ka solusyon. Atong tan-awon kon kini maayo o dili maayo.

Ang kinauyokan sa sistema mao ang collector, nga maoy responsable sa pagkolekta sa datos gamit ang lain-laing mga flow protocol, sama sa NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Makataronganon nga alang sa usa ka kompanya nga dili kauban sa bisan unsang tiggama sa kagamitan sa network, hinungdanon nga itanyag ang merkado sa usa ka unibersal nga produkto nga wala nahigot sa bisan unsang sumbanan o protocol.

Kolektor sa Flowmon

Magamit ang kolektor ingon usa ka server sa hardware ug ingon usa ka virtual machine (VMware, Hyper-V, KVM). Pinaagi sa dalan, ang hardware nga plataporma gipatuman sa customized DELL servers, nga awtomatikong nagwagtang sa kadaghanan sa mga isyu nga adunay warranty ug RMA. Ang bugtong proprietary hardware component mao ang FPGA traffic capture card nga gimugna sa usa ka subsidiary sa Flowmon, nga nagtugot sa pagmonitor sa gikusgon nga hangtod sa 100 Gbps.

Apan unsa ang buhaton kung ang kasamtangan nga kagamitan sa network dili makahimo og taas nga kalidad nga dagan? O taas ba kaayo ang karga sa kagamitan? Walay problema:

Flowmon Prob

Sa kini nga kaso, ang Flowmon Networks nagtanyag sa paggamit sa kaugalingon nga mga probes (Flowmon Probe), nga konektado sa network pinaagi sa SPAN port sa switch o gamit ang passive TAP splitters.

SPAN (mirror port) ug mga opsyon sa pagpatuman sa TAP

Sa kini nga kaso, ang hilaw nga trapiko nga moabut sa Flowmon Probe nahimo nga usa ka gipalapdan nga IPFIX nga adunay daghan pa. 240 metrics nga adunay impormasyon. Samtang ang standard NetFlow protocol nga namugna sa network equipment adunay dili molapas sa 80 metrics. Gitugotan niini ang visibility sa protocol dili lamang sa lebel 3 ug 4, apan usab sa lebel 7 sumala sa modelo nga ISO OSI. Ingon usa ka sangputanan, ang mga tagdumala sa network mahimong ma-monitor ang pag-andar sa mga aplikasyon ug protocol sama sa e-mail, HTTP, DNS, SMB...

Sa konsepto, ang lohikal nga arkitektura sa sistema ingon niini:

Ang sentro nga bahin sa tibuok nga "ecosystem" sa Flowmon Networks mao ang Kolektor, nga nagdawat sa trapiko gikan sa kasamtangan nga kagamitan sa network o sa kaugalingon nga mga pagsusi (Probe). Apan alang sa usa ka solusyon sa Enterprise, ang paghatag ug gamit para lamang sa pagmonitor sa trapiko sa network mahimong yano ra kaayo. Mahimo usab kini nga mga solusyon sa Open Source, bisan kung dili sa ingon nga pasundayag. Ang bili sa Flowmon maoy dugang nga mga module nga nagpalapad sa batakang gamit:

• modyul Seguridad sa Pagsusi sa Anomaliya - pag-ila sa anomaliya nga kalihokan sa network, lakip ang zero-day attack, base sa heuristic analysis sa trapiko ug usa ka tipikal nga profile sa network;
• modyul Pag-monitor sa Performance sa Application – pagmonitor sa performance sa mga aplikasyon sa network nga walay pag-instalar og “mga ahente” ug pag-impluwensya sa mga target nga sistema;
• modyul Traffic Recorder – pagrekord sa mga tipik sa trapiko sa network sumala sa usa ka set sa gitakda nang daan nga mga lagda o sumala sa usa ka trigger gikan sa ADS module, para sa dugang nga pag-troubleshoot ug/o imbestigasyon sa mga insidente sa seguridad sa impormasyon;
• modyul DDoS Protection – pagpanalipod sa perimeter sa network gikan sa volumetric nga DoS/DDoS nga pagdumili sa mga pag-atake sa serbisyo, lakip ang mga pag-atake sa mga aplikasyon (OSI L3/L4/L7).

Niini nga artikulo, atong tan-awon kung giunsa ang tanan molihok nga buhi gamit ang pananglitan sa 2 nga mga module - Network Performance Monitoring ug Diagnostics и Seguridad sa Pagsusi sa Anomaliya.
Inisyal nga datos:

• Lenovo RS 140 server nga adunay VMware 6.0 hypervisor;
• Flowmon Collector virtual machine nga imahe nga mahimo nimo download dinhi;
• usa ka parisan sa mga switch nga nagsuporta sa mga protocol sa dagan.

Lakang 1. I-install ang Flowmon Collector

Ang pagbutang sa usa ka virtual nga makina sa VMware mahitabo sa usa ka hingpit nga sumbanan nga paagi gikan sa template sa OVF. Ingon usa ka sangputanan, nakakuha kami usa ka virtual nga makina nga nagpadagan sa CentOS ug adunay andam nga gamiton nga software. Ang mga kinahanglanon sa kapanguhaan tawhanon:

Ang nahabilin mao ang paghimo sa sukaranan nga pagsugod gamit ang mando sysconfig:

Gi-configure namo ang IP sa management port, DNS, oras, Hostname ug makakonektar sa WEB interface.

Lakang 2. Pag-instalar sa lisensya

Usa ka lisensya sa pagsulay alang sa usa ug tunga ka bulan ang gihimo ug gi-download kauban ang imahe sa virtual machine. Gikarga pinaagi sa Configuration Center -> Lisensya. Ingon sa usa ka resulta atong makita:

Andam na ang tanan. Mahimo ka magsugod sa pagtrabaho.

Lakang 3. Pag-set up sa receiver sa collector

Niini nga yugto, kinahanglan nimo nga magdesisyon kung giunsa ang sistema makadawat mga datos gikan sa mga gigikanan. Sama sa giingon namon kaniadto, mahimo kini usa sa mga protocol sa pag-agos o usa ka port sa SPAN sa switch.

Sa among pananglitan, among gamiton ang pagdawat sa datos gamit ang mga protocol NetFlow v9 ug IPFIX. Sa kini nga kaso, among gipunting ang IP address sa interface sa Pagdumala ingon usa ka target - 192.168.78.198. Ang mga interface nga eth2 ug eth3 (uban ang tipo sa Monitoring interface) gigamit aron makadawat usa ka kopya sa "hilaw" nga trapiko gikan sa pantalan sa SPAN sa switch. Gipasagdan namo sila, dili ang among kaso.
Sunod, among susihon ang pantalan sa kolektor kung diin moadto ang trapiko.

Sa among kaso, ang kolektor maminaw sa trapiko sa pantalan UDP/2055.

Lakang 4. Pag-configure sa kagamitan sa network alang sa pag-eksport sa dagan

Ang pag-set up sa NetFlow sa mga kagamitan sa Cisco Systems mahimo’g matawag nga usa ka sagad nga buluhaton alang sa bisan unsang tagdumala sa network. Alang sa among pananglitan, magkuha kami usa ka butang nga dili kasagaran. Pananglitan, ang MikroTik RB2011UiAS-2HnD router. Oo, katingad-an, ang ingon nga solusyon sa badyet alang sa gagmay ug mga opisina sa balay nagsuporta usab sa mga protocol sa NetFlow v5 / v9 ug IPFIX. Sa mga setting, ibutang ang target (adres sa kolektor 192.168.78.198 ug port 2055):

Ug idugang ang tanan nga mga sukatan nga magamit alang sa pag-eksport:

Niini nga punto makaingon kita nga kompleto na ang batakang pag-setup. Atong susihon kung ang trapiko nakasulod sa sistema.

Lakang 5: Pagsulay ug Pag-opera sa Network Performance Monitoring ug Diagnostics Module

Mahimo nimong susihon ang presensya sa trapiko gikan sa gigikanan sa seksyon Flowmon Monitoring Center -> Mga Tinubdan:

Nakita namon nga ang data mosulod sa sistema. Sa pila ka oras pagkahuman nga natipon sa kolektor ang trapiko, ang mga widget magsugod sa pagpakita sa kasayuran:

Ang sistema gitukod sa prinsipyo sa drill down. Kana mao, ang tiggamit, kung nagpili usa ka tipik sa interes sa usa ka diagram o graph, "nahulog" sa lebel sa giladmon sa datos nga iyang gikinahanglan:

Hangtod sa kasayuran bahin sa matag koneksyon sa network ug koneksyon:

Lakang 6. Anomaly Detection Security Module

Kini nga module mahimong matawag nga usa sa labing makapaikag, salamat sa paggamit sa mga pamaagi nga wala’y pirma alang sa pag-ila sa mga anomaliya sa trapiko sa network ug makadaot nga kalihokan sa network. Apan dili kini usa ka analogue sa mga sistema sa IDS/IPS. Ang pagtrabaho sa module nagsugod sa "pagbansay" niini. Aron mahimo kini, ang usa ka espesyal nga wizard nagtino sa tanan nga hinungdanon nga sangkap ug serbisyo sa network, lakip ang:

• mga adres sa gateway, DNS, DHCP ug NTP server,
• pagtubag sa mga bahin sa user ug server.

Pagkahuman niini, ang sistema moadto sa mode sa pagbansay, nga molungtad sa aberids gikan sa 2 ka semana hangtod 1 ka bulan. Niini nga panahon, ang sistema nagmugna og baseline nga trapiko nga espesipiko sa among network. Sa yanong pagkasulti, ang sistema nakakat-on:

• unsa nga kinaiya ang kasagaran sa mga node sa network?
• Unsa nga gidaghanon sa datos ang kasagarang gibalhin ug normal alang sa network?
• Unsa ang kasagaran nga oras sa pag-opera alang sa mga tiggamit?
• unsa nga mga aplikasyon ang nagdagan sa network?
• ug daghan pa..

Ingon usa ka sangputanan, nakakuha kami usa ka himan nga nagpaila sa bisan unsang mga anomaliya sa among network ug mga pagtipas gikan sa naandan nga pamatasan. Ania ang pipila ka mga pananglitan nga gitugotan ka sa sistema nga makit-an:

• pag-apod-apod sa bag-ong malware sa network nga wala mahibal-an sa mga pirma sa antivirus;
• pagtukod sa DNS, ICMP o uban pang mga tunnel ug pagpasa sa datos nga moagi sa firewall;
• ang dagway sa bag-ong kompyuter sa network nga nagpakaaron-ingnong DHCP ug/o DNS server.

Atong tan-awon kon unsay hitsura niini live. Human mabansay ang imong sistema ug makatukod og baseline sa trapiko sa network, magsugod kini sa pag-ila sa mga insidente:

Ang panguna nga panid sa module usa ka timeline nga nagpakita sa mga nahibal-an nga insidente. Sa among pananglitan, nakita namon ang usa ka tin-aw nga spike, gibana-bana nga tali sa 9 ug 16 ka oras. Atong pilion kini ug tan-awon sa mas detalyado.

Ang anomaloso nga kinaiya sa tig-atake sa network klaro nga makita. Nagsugod ang tanan sa kamatuoran nga ang host nga adunay adres nga 192.168.3.225 nagsugod sa usa ka pinahigda nga pag-scan sa network sa port 3389 (serbisyo sa Microsoft RDP) ug nakit-an ang 14 nga potensyal nga "mga biktima":

и

Ang mosunod nga natala nga insidente - ang host 192.168.3.225 nagsugod sa usa ka brute force nga pag-atake sa brute force nga mga password sa serbisyo sa RDP (port 3389) sa nauna nang giila nga mga adres:

Ingon usa ka sangputanan sa pag-atake, usa ka anomaliya sa SMTP ang nakit-an sa usa sa mga na-hack nga host. Sa laing pagkasulti, nagsugod na ang SPAM:

Kini nga pananglitan usa ka tin-aw nga pagpakita sa mga kapabilidad sa sistema ug sa partikular nga module sa Anomaly Detection Security. Hukmi ang pagkaepektibo alang sa imong kaugalingon. Kini nagtapos sa functional overview sa solusyon.

konklusyon

Atong i-summarize kung unsang mga konklusyon ang mahimo naton bahin sa Flowmon:

• Ang Flowmon usa ka premium nga solusyon alang sa mga kostumer sa korporasyon;
• salamat sa versatility ug compatibility niini, ang pagkolekta sa datos anaa sa bisan unsang tinubdan: network equipment (Cisco, Juniper, HPE, Huawei...) o sa imong kaugalingong mga probes (Flowmon Probe);
• Ang mga kapabilidad sa scalability sa solusyon nagtugot kanimo sa pagpalapad sa pagpaandar sa sistema pinaagi sa pagdugang sa bag-ong mga module, ingon man pagdugang sa produktibo salamat sa usa ka flexible nga pamaagi sa paglilisensya;
• pinaagi sa paggamit sa mga teknolohiya sa pag-analisa nga wala’y pirma, gitugotan ka sa sistema nga makit-an ang mga zero-day nga pag-atake bisan wala mailhi sa mga antivirus ug mga sistema sa IDS / IPS;
• salamat sa pagkompleto sa "transparency" sa mga termino sa pag-instalar ug presensya sa sistema sa network - ang solusyon dili makaapekto sa operasyon sa ubang mga node ug mga sangkap sa imong IT infrastructure;
• Ang Flowmon mao lamang ang solusyon sa merkado nga nagsuporta sa pag-monitor sa trapiko sa gikusgon nga hangtod sa 100 Gbps;
• Ang Flowmon usa ka solusyon alang sa mga network sa bisan unsang sukod;
• ang labing kaayo nga ratio sa presyo/functionality taliwala sa parehas nga mga solusyon.

Niini nga pagrepaso, among gisusi ang ubos sa 10% sa kinatibuk-ang pagpaandar sa solusyon. Sa sunod nga artikulo maghisgot kita bahin sa nahabilin nga mga module sa Flowmon Networks. Gamit ang module sa Application Performance Monitoring isip usa ka panig-ingnan, among ipakita kung giunsa pagsiguro sa mga administrador sa aplikasyon sa negosyo ang pagkaanaa sa gihatag nga lebel sa SLA, ingon man ang pag-diagnose sa mga problema sa labing madali nga panahon.

Usab, gusto namong imbitahon ka sa among webinar (10.09.2019/XNUMX/XNUMX) nga gipahinungod sa mga solusyon sa vendor nga Flowmon Networks. Para mag-pre-register, gihangyo ka namo magparehistro dinhi.
Kana lang sa pagkakaron, salamat sa imong interes!

Ang mga rehistradong tiggamit lamang ang makaapil sa survey. Sign in, walay sapayan.

Gigamit ba nimo ang Netflow alang sa pag-monitor sa network?

• Oo

• Dili, pero plano nako

• Dili

9 ka tiggamit ang miboto. 3 ka tiggamit ang nag- abstain.

Source: www.habr.com