Ricertamenti, pudete truvà una quantità enorme di materiali nantu à u tema in Internet. analisi di trafficu à u perimetru di a reta. À u listessu tempu, per qualchi ragiuni tutti si scurdavanu cumplitamenti analisi di u trafficu lucale, chì ùn hè micca menu impurtante. Questu articulu tratta precisamente stu tema. Per esempiu avemu da ricurdà u bonu vechju Netflow (è i so alternattivi), fighjate à i casi interessanti, pussibuli anomalie in a reta è scopre i vantaghji di a suluzione quandu tutta a reta funziona cum'è un solu sensoru. È più impurtante, pudete fà una tale analisi di u trafficu lucale completamente gratis, in u quadru di una licenza di prova (Ghjorni di 45). Sè u tema hè interessante per voi, benvenuti à cat. Sè vo site troppu pigro per leghje, allora, guardendu avanti, pudete registrà , induve vi mustraremu è vi cuntaremu tuttu (pudete ancu amparà nantu à a furmazione di produttu chì vene quì).
Cosa hè Flowmon Networks?
Prima di tuttu, Flowmon hè un venditore IT europeu. A cumpagnia hè ceca, cù a sede in Brno (u prublema di sanzioni ùn hè ancu suscitatu). In a so forma attuale, a cumpagnia hè stata nantu à u mercatu da 2007. Nanzu, era cunnisciutu sottu a marca Invea-Tech. Dunque, in totale, quasi 20 anni sò stati passati à sviluppà prudutti è suluzioni.
Flowmon hè posizionatu cum'è una marca di classe A. Sviluppa suluzioni premium per i clienti di l'impresa è hè ricunnisciutu in i box Gartner per u Monitoraghju è u Diagnosticu di u Rendimentu di a Rete (NPMD). Inoltre, curiosamente, di tutte l'imprese in u rapportu, Flowmon hè l'unicu venditore nutatu da Gartner cum'è un fabricatore di suluzioni per u monitoraghju di a rete è a prutezzione di l'infurmazioni (Analisi di Comportamentu di a Rete). Ùn piglia ancu u primu postu, ma per via di questu ùn hè micca cum'è un ala di Boeing.
Chì prublemi risolve u pruduttu?
In u mondu sanu, pudemu distingue u seguitu gruppu di cumpetenze risolte da i prudutti di a cumpagnia:
- aumentendu a stabilità di a reta, è ancu e risorse di a rete, minimizendu u so downtime è indisponibilità;
- aumentà u livellu generale di u rendiment di a rete;
- aumentà l'efficienza di u persunale amministrativu per via di:
- utilizendu strumenti moderni di monitoraghju di rete innovativi basati nantu à l'infurmazioni nantu à i flussi IP;
- furnisce analitiche dettagliate nantu à u funziunamentu è u statu di a reta - utilizatori è appiicazioni chì funzionanu nantu à a reta, dati trasmessi, risorse interazzione, servizii è nodi;
- risponde à l'incidentu prima ch'elli succedenu, è micca dopu chì l'utilizatori è i clienti perde u serviziu;
- riducendu u tempu è e risorse necessarii per amministrari a rete è l'infrastruttura IT;
- simplificà i travaglii di risoluzione di i prublemi.
- aumentendu u livellu di sicurità di a rete è e risorse di l'infurmazioni di l'impresa, per mezu di l'usu di tecnulugii senza firma per a rilevazione di l'attività di a rete anomala è maliciosa, è ancu di "attacchi di ghjornu zero";
- assicurendu u livellu necessariu di SLA per l'applicazioni di rete è e basa di dati.
Portfolio di prudutti di Flowmon Networks
Avà fighjemu direttamente à a cartera di prudutti di Flowmon Networks è scopre ciò chì esattamente a cumpagnia faci. Cum'è parechji anu digià capitu da u nome, a specializazione principale hè in suluzioni per u monitoraghju di u trafficu di flussu in streaming, più una quantità di moduli supplementari chì allarganu a funziunalità di basa.
In fatti, Flowmon pò esse chjamatu una cumpagnia di un pruduttu, o megliu, una solu suluzione. Scupritemu s'ellu hè bonu o cattivu.
U core di u sistema hè u cullettore, chì hè rispunsevule per a cullizzioni di dati utilizendu diversi protokolli di flussu, cum'è NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Hè abbastanza logicu chì per una cumpagnia chì ùn hè micca affiliata cù qualsiasi fabricatore di l'equipaggiu di rete, hè impurtante offre à u mercatu un pruduttu universale chì ùn hè micca ligatu à un standard o protokollu.
Cullettore Flowmon
U cullettore hè dispunibule cum'è un servitore hardware è cum'è una macchina virtuale (VMware, Hyper-V, KVM). In modu, a piattaforma hardware hè implementata nantu à i servitori DELL persunalizati, chì elimina automaticamente a maiò parte di i prublemi cù a garanzia è RMA. L'unichi cumpunenti hardware di pruprietà sò e carte di cattura di trafficu FPGA sviluppate da una filiale di Flowmon, chì permettenu u monitoraghju à velocità di finu à 100 Gbps.
Ma chì fà se l'equipaggiu di rete esistenti ùn hè micca capaci di generà un flussu di alta qualità? O hè a carica di l'equipaggiu troppu alta? Nisunu prublema:
Flowmon Prob
In questu casu, Flowmon Networks prupone l'usu di e so propiu sonde (Flowmon Probe), chì sò cunnessi à a reta via u portu SPAN di u switch o cù splitters TAP passivi.
Opzioni di implementazione SPAN (portu specchiu) è TAP
In questu casu, u trafficu crudu chì arriva à a Flowmon Probe hè cunvertitu in un IPFIX allargatu chì cuntene più 240 metrica cù infurmazione. Mentre u protocolu NetFlow standard generatu da l'equipaggiu di rete ùn cuntene micca più di 80 metriche. Questu permette a visibilità di u protocolu micca solu à i livelli 3 è 4, ma ancu à u nivellu 7 secondu u mudellu ISO OSI. In u risultatu, l'amministratori di rete ponu monitorà u funziunamentu di l'applicazioni è i protokolli cum'è e-mail, HTTP, DNS, SMB...
Conceptually, l'architettura logica di u sistema s'assumiglia cusì:
A parte cintrali di tuttu u "ecosistema" di Flowmon Networks hè u Collector, chì riceve u trafficu da l'equipaggiu di rete esistenti o i so propii sondi (Probe). Ma per una soluzione Enterprise, furnisce funziunalità solu per u cuntrollu di u trafficu di a rete seria troppu simplice. Soluzioni Open Source ponu ancu fà questu, ancu s'ellu ùn hè micca cun tali prestazioni. U valore di Flowmon sò moduli supplementari chì allarganu e funziunalità di basa:
- modulu Sicurezza di rilevazione di anomalie - identificazione di l'attività di a rete anomala, cumpresi attacchi zero-day, basatu annantu à l'analisi heuristicu di u trafficu è un prufilu tipicu di a rete;
- modulu Cuntrollu di Rendimentu di l'Applicazione - monitorà a prestazione di l'applicazioni di rete senza installà "agenti" è influenzà i sistemi di destinazione;
- modulu Registratore di trafficu - registrazione di frammenti di u trafficu di a rete secondu un inseme di regule predefinite o secondu un trigger da u modulu ADS, per una ulteriore risoluzione di prublemi è/o investigazione di incidenti di sicurezza di l'infurmazioni;
- modulu DDoS Protection - prutezzione di u perimetru di a rete da attacchi di denial of service volumetric DoS/DDoS, cumpresi attacchi à l'applicazioni (OSI L3/L4/L7).
In questu articulu, guardemu cumu tuttu funziona in diretta cù l'esempiu di 2 moduli - Monitoraghju è Diagnosticu di u Rendimentu di a Rete и Sicurezza di rilevazione di anomalie.
Dati iniziali:
- Servitore Lenovo RS 140 cù ipervisore VMware 6.0;
- Immagine di a macchina virtuale Flowmon Collector chì pudete ;
- un paru di switch chì sustenenu i protokolli di flussu.
Passu 1. Installa Flowmon Collector
A implementazione di una macchina virtuale nantu à VMware si faci in una manera cumpletamente standard da u mudellu OVF. In u risultatu, avemu una macchina virtuale chì esegue CentOS è cun software prontu per l'usu. I bisogni di risorse sò umani:
Tuttu ciò chì resta hè di fà l'inizializazione basica cù u cumandimu sysconfig:
Cunfiguremu IP nantu à u portu di gestione, DNS, tempu, Hostname è ponu cunnette à l'interfaccia WEB.
Passu 2. Installazione License
Una licenza di prova per un mesi è mezu hè generata è scaricata cù l'imaghjini di a macchina virtuale. Caricatu via Centru di cunfigurazione -> Licenza. In u risultatu, vedemu:
Tuttu hè prontu. Pudete principià à travaglià.
Passu 3. Stabbilimentu di u ricevitore nantu à u cullettore
À questu stadiu, avete bisognu di decide cumu u sistema riceverà dati da fonti. Comu avemu dettu prima, questu puderia esse unu di i protokolli di flussu o un portu SPAN in u switch.
In u nostru esempiu, useremu a ricezione di dati cù protokolli NetFlow v9 è IPFIX. In questu casu, specificamu l'indirizzu IP di l'interfaccia di Gestione cum'è destinazione - 192.168.78.198. L'interfaccia eth2 è eth3 (cù u tipu d'interfaccia di Monitoring) sò aduprate per riceve una copia di u trafficu "raw" da u portu SPAN di u switch. Li lasciamu passà, micca u nostru casu.
In seguitu, cuntrollemu u portu di cullezzione induve u trafficu deve andà.
In u nostru casu, u cullettivu ascolta u trafficu in u portu UDP/2055.
Step 4. Configurazione di l'equipaggiu di rete per l'esportazione di flussu
L'installazione di NetFlow nantu à l'equipaggiu Cisco Systems pò esse probabilmente chjamatu un compitu cumpletamente cumuni per qualsiasi amministratore di rete. Per u nostru esempiu, piglià qualcosa di più inusual. Per esempiu, u router MikroTik RB2011UiAS-2HnD. Iè, stranamente, una tale soluzione di bilanciu per i picculi uffizii è in casa soporta ancu i protokolli NetFlow v5/v9 è IPFIX. In i paràmetri, stabilisce a destinazione (indirizzu di cullezzione 192.168.78.198 è portu 2055):
È aghjunghje tutte e metriche dispunibili per l'esportazione:
À questu puntu, pudemu dì chì a configurazione di basa hè cumpleta. Cuntrollamu se u trafficu entra in u sistema.
Passu 5: Pruvate è Operazione di u Modulu di Monitoraghju è Diagnosticu di u Rendimentu di a Rete
Pudete cuntrollà a prisenza di u trafficu da a fonte in a rùbbrica Flowmon Monitoring Center -> Fonti:
Avemu vistu chì i dati entranu in u sistema. Qualchì tempu dopu chì u cullettore hà accumulatu u trafficu, i widgets cumincianu à visualizà infurmazioni:
U sistema hè custruitu nantu à u principiu di drill down. Questu hè, l'utilizatore, quandu selezziunate un fragmentu d'interessu nantu à un diagramma o un graficu, "casca" à u livellu di a prufundità di dati chì hà bisognu:
Finu à l'infurmazioni nantu à ogni cunnessione di rete è cunnessione:
Passu 6. Modulu di sicurezza Anomaly Detection
Stu modulu pò esse chjamatu forse unu di i più interessanti, grazia à l'usu di metudi senza firma per a deteczione di anomalie in u trafficu di a rete è l'attività di a rete maliciosa. Ma questu ùn hè micca un analogu di sistemi IDS / IPS. U travagliu cù u modulu principia cù a so "furmazione". Per fà questu, un mago speciale specifica tutti i cumpunenti chjave è i servizii di a reta, cumpresi:
- indirizzi di gateway, server DNS, DHCP è NTP,
- l'indirizzu in i segmenti di l'utilizatori è di u servitore.
Dopu questu, u sistema passa in modu di furmazione, chì dura in media da 2 settimane à 1 mese. Duranti stu tempu, u sistema genera un trafficu di basa chì hè specificu à a nostra reta. Simply put, u sistema ampara:
- chì cumpurtamentu hè tipicu per i nodi di rete?
- Chì volumi di dati sò tipicamente trasferiti è sò normali per a reta?
- Chì ghjè u tempu di funziunamentu tipicu per l'utilizatori?
- quali appiicazioni currianu nantu à a reta?
- è assai di più..
In u risultatu, avemu un strumentu chì identifica ogni anomalia in a nostra reta è deviazioni da u cumpurtamentu tipicu. Eccu alcuni esempi chì u sistema permette di detectà:
- distribuzione di novu malware in a reta chì ùn hè micca rilevatu da e signature antivirus;
- custruì DNS, ICMP o altri tunnel è trasmette dati bypassendu u firewall;
- l'apparizione di un novu computer in a reta chì posanu cum'è un servitore DHCP è / o DNS.
Videmu ciò chì pare in diretta. Dopu chì u vostru sistema hè statu furmatu è custruitu una basa di u trafficu di a rete, cumencia à detect incidenti:
A pagina principale di u modulu hè una cronologia chì mostra incidenti identificati. In u nostru esempiu, vedemu un spike chjaru, circa trà 9 è 16 ore. Selezziunatelu è fighjemu in più detail.
U cumpurtamentu anomalu di l'attaccante nantu à a reta hè chjaramente visibile. Tuttu principia cù u fattu chì l'ospite cù l'indirizzu 192.168.3.225 hà iniziatu una scansione horizontale di a reta in u portu 3389 (serviziu Microsoft RDP) è hà trovu 14 "vittime" potenziali:
и
U seguitu incidente registratu - l'ospite 192.168.3.225 principia un attaccu di forza bruta à password di forza bruta nantu à u serviziu RDP (portu 3389) à l'indirizzi identificati prima:
In u risultatu di l'attaccu, una anomalia SMTP hè rilevata nantu à unu di l'ospiti pirate. In altre parolle, SPAM hà iniziatu:
Questu esempiu hè una dimostrazione chjara di e capacità di u sistema è di u modulu di Sicurezza di Detezzione di Anomalia in particulare. Ghjudicate l'efficacità per sè stessu. Questu cuncludi a panoramica funziunale di a suluzione.
cunchiusioni
Riassumemu quali cunclusioni pudemu piglià nantu à Flowmon:
- Flowmon hè una suluzione premium per i clienti corporativi;
- grazia à a so versatilità è a so cumpatibilità, a cullizzioni di dati hè dispunibule da ogni fonte : equipaghji di rete (Cisco, Juniper, HPE, Huawei...) o e vostre sonde (Flowmon Probe);
- E capacità di scalabilità di a suluzione permettenu di espansione a funziunalità di u sistema aghjustendu novi moduli, è ancu aumentà a produtividade grazia à un accostu flexible à a licenza;
- Per mezu di l'usu di tecnulugia di analisi senza firma, u sistema permette di detectà attacchi zero-day ancu scunnisciutu à i sistemi antivirus è IDS / IPS;
- grazia à a "trasparenza" cumpleta in quantu à a stallazione è a presenza di u sistema in a reta - a suluzione ùn afecta micca u funziunamentu di altri nodi è cumpunenti di a vostra infrastruttura IT;
- Flowmon hè l'unica suluzione nantu à u mercatu chì sustene u monitoraghju di u trafficu à velocità finu à 100 Gbps;
- Flowmon hè una suluzione per e rete di ogni scala;
- u megliu rapportu prezzu / funziunalità trà suluzioni simili.
In questa rivista, avemu esaminatu menu di 10% di a funziunalità tutale di a suluzione. In u prossimu articulu, parlemu di i moduli restante di Flowmon Networks. Utilizendu u modulu di Monitoring Performance di l'Applicazione cum'è un esempiu, mostreremu cumu l'amministratori di l'applicazioni cummerciale ponu assicurà a dispunibilità à un determinatu livellu SLA, è ancu di diagnosticà i prublemi u più prestu pussibule.
Inoltre, vulemu invitarvi à u nostru webinar (10.09.2019/XNUMX/XNUMX) dedicatu à e soluzioni di u venditore Flowmon Networks. Per preregistrà, vi dumandemu .
Hè tuttu per avà, grazie per u vostru interessu !
Solu l'utilizatori registrati ponu participà à l'indagine. , per piacè.
Aduprate Netflow per u monitoraghju di a rete?
-
chì
-
Innò, ma aghju pensatu
-
No
9 utilizatori anu vutatu. 3 utilizatori si sò astenuti.
Source: www.habr.com