Monitorování sítě a detekce anomální síťové aktivity pomocí řešení Flowmon Networks

V poslední době najdete na internetu obrovské množství materiálů k tématu. analýza provozu na perimetru sítě. Přitom na to z nějakého důvodu všichni úplně zapomněli analýza místní dopravy, což je neméně důležité. Tento článek se věnuje právě tomuto tématu. Například Flowmon Networks vzpomeneme si na starý dobrý Netflow (a jeho alternativy), podíváme se na zajímavé případy, možné anomálie v síti a zjistíme výhody řešení, když celá síť funguje jako jeden senzor. A co je nejdůležitější, takovou analýzu místního provozu můžete provést zcela zdarma, v rámci zkušební licence (45 dny). Pokud vás téma zajímá, vítejte na kočce. Pokud jste příliš líní číst, můžete se s výhledem do budoucna zaregistrovat nadcházející webinář, kde vám vše ukážeme a řekneme (tam se také můžete dozvědět o připravovaných produktových školeních).

Co je Flowmon Networks?

Za prvé, Flowmon je evropský IT prodejce. Společnost je česká se sídlem v Brně (otázka sankcí není ani nastolena). V současné podobě je společnost na trhu od roku 2007. Dříve byla známá pod značkou Invea-Tech. Celkově tedy vývoj produktů a řešení strávil téměř 20 let.

Flowmon je umístěn jako značka třídy A. Vyvíjí prémiová řešení pro podnikové zákazníky a je uznáván v boxech Gartner pro Network Performance Monitoring and Diagnostics (NPMD). Navíc je zajímavé, že ze všech společností ve zprávě je Flowmon jediným dodavatelem, kterého Gartner uvádí jako výrobce řešení pro monitorování sítě a ochranu informací (Network Behavior Analysis). Na prvním místě zatím není, ale díky tomu nestojí jako křídlo Boeingu.

Jaké problémy produkt řeší?

Globálně můžeme rozlišit následující okruh úkolů řešených produkty společnosti:

1. zvýšení stability sítě, stejně jako síťových zdrojů, minimalizací jejich prostojů a nedostupnosti;
2. zvýšení celkové úrovně výkonu sítě;
3. zvýšení efektivity administrativního personálu díky:
   • používání moderních inovativních nástrojů pro monitorování sítě založených na informacích o IP tocích;
   • poskytování detailních analýz o fungování a stavu sítě - uživatelé a aplikace běžící na síti, přenášená data, interagující zdroje, služby a uzly;
   • reagovat na incidenty dříve, než k nim dojde, a ne poté, co uživatelé a klienti ztratí službu;
   • snížení času a zdrojů potřebných pro správu sítě a IT infrastruktury;
   • zjednodušení úloh při odstraňování problémů.
4. zvýšení úrovně zabezpečení sítě a informačních zdrojů podniku pomocí technologií bez podpisu pro odhalování anomálních a škodlivých síťových aktivit, jakož i „útoků nultého dne“;
5. zajištění požadované úrovně SLA pro síťové aplikace a databáze.

Portfolio produktů Flowmon Networks

Nyní se podíváme přímo na produktové portfolio Flowmon Networks a zjistíme, co přesně společnost dělá. Jak již mnozí uhodli z názvu, hlavní specializací je řešení pro sledování streamovaného provozu plus řada doplňkových modulů rozšiřujících základní funkcionalitu.

Ve skutečnosti lze Flowmon nazvat společností jednoho produktu nebo spíše jednoho řešení. Pojďme zjistit, zda je to dobře nebo špatně.

Jádrem systému je kolektor, který má na starosti sběr dat pomocí různých tokových protokolů, jako je kupř NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Je zcela logické, že pro společnost, která není spojena s žádným výrobcem síťových zařízení, je důležité nabídnout trhu univerzální produkt, který není vázán na žádný jeden standard nebo protokol.

Sběratel Flowmon

Kolektor je dostupný jako hardwarový server i jako virtuální stroj (VMware, Hyper-V, KVM). Mimochodem, hardwarová platforma je implementována na přizpůsobených serverech DELL, což automaticky eliminuje většinu problémů se zárukou a RMA. Jedinými proprietárními hardwarovými komponentami jsou karty pro zachycení provozu FPGA vyvinuté dceřinou společností Flowmon, které umožňují monitorování rychlostí až 100 Gbps.

Co ale dělat, když stávající síťové vybavení není schopno generovat vysoce kvalitní tok? Nebo je zatížení zařízení příliš vysoké? Žádný problém:

Flowmon Prob

V tomto případě Flowmon Networks nabízí použití vlastních sond (Flowmon Probe), které se připojují do sítě přes SPAN port switche nebo pomocí pasivních TAP splitterů.

Možnosti implementace SPAN (zrcadlový port) a TAP

V tomto případě je surový provoz přicházející na Flowmon Probe převeden na rozšířený IPFIX obsahující více 240 metrik s informacemi. Zatímco standardní protokol NetFlow generovaný síťovým zařízením neobsahuje více než 80 metrik. To umožňuje viditelnost protokolu nejen na úrovni 3 a 4, ale také na úrovni 7 podle modelu ISO OSI. Díky tomu mohou správci sítě sledovat fungování aplikací a protokolů, jako je e-mail, HTTP, DNS, SMB...

Koncepčně vypadá logická architektura systému takto:

Centrální částí celého „ekosystému“ Flowmon Networks je kolektor, který přijímá provoz ze stávajících síťových zařízení nebo vlastních sond (Probe). Ale pro podnikové řešení by poskytování funkcí pouze pro monitorování síťového provozu bylo příliš jednoduché. Open Source řešení to také umí, i když ne s takovým výkonem. Hodnota Flowmon jsou další moduly, které rozšiřují základní funkcionalitu:

• modulu Zabezpečení detekce anomálií – identifikace anomální síťové aktivity, včetně zero-day útoků, na základě heuristické analýzy provozu a typického síťového profilu;
• modulu Monitorování výkonu aplikací – sledování výkonu síťových aplikací bez instalace „agentů“ a ovlivňování cílových systémů;
• modulu Záznamník provozu – zaznamenávání fragmentů síťového provozu podle sady předdefinovaných pravidel nebo podle spouštěče z modulu ADS pro další odstraňování problémů a/nebo vyšetřování incidentů informační bezpečnosti;
• modulu Ochrana DDoS – ochrana perimetru sítě před objemovými útoky typu DoS/DDoS denial of service, včetně útoků na aplikace (OSI L3/L4/L7).

V tomto článku se podíváme, jak vše funguje naživo na příkladu 2 modulů - Sledování a diagnostika výkonu sítě и Zabezpečení detekce anomálií.
Zdrojová data:

• Server Lenovo RS 140 s hypervisorem VMware 6.0;
• Obraz virtuálního stroje Flowmon Collector, který můžete stáhnout zde;
• dvojice přepínačů podporujících tokové protokoly.

Krok 1. Nainstalujte Flowmon Collector

Nasazení virtuálního stroje na VMware probíhá zcela standardním způsobem ze šablony OVF. Výsledkem je virtuální stroj se systémem CentOS a softwarem připraveným k použití. Požadavky na zdroje jsou humánní:

Zbývá pouze provést základní inicializaci pomocí příkazu sysconfig:

Nakonfigurujeme IP na management portu, DNS, čas, Hostname a můžeme se připojit k WEB rozhraní.

Krok 2. Instalace licence

Vygeneruje se zkušební licence na jeden a půl měsíce a stáhne se spolu s obrazem virtuálního stroje. Načteno přes Konfigurační centrum -> Licence. Ve výsledku vidíme:

Vše je připraveno. Můžete začít pracovat.

Krok 3. Nastavení přijímače na kolektor

V této fázi se musíte rozhodnout, jak bude systém přijímat data ze zdrojů. Jak jsme řekli dříve, může to být jeden z tokových protokolů nebo SPAN port na přepínači.

V našem příkladu použijeme příjem dat pomocí protokolů NetFlow v9 a IPFIX. V tomto případě zadáme IP adresu rozhraní Management jako cíl - 192.168.78.198. Rozhraní eth2 a eth3 (s typem rozhraní Monitoring) se používají pro příjem kopie „surového“ provozu z portu SPAN přepínače. Nechali jsme je projít, ne náš případ.
Dále zkontrolujeme port kolektoru, kam by měl provoz směřovat.

V našem případě kolektor naslouchá provozu na portu UDP/2055.

Krok 4. Konfigurace síťového zařízení pro export toku

Nastavení NetFlow na zařízení Cisco Systems lze pravděpodobně nazvat zcela běžným úkolem každého správce sítě. Pro náš příklad si vezmeme něco neobvyklého. Například router MikroTik RB2011UiAS-2HnD. Ano, kupodivu takové rozpočtové řešení pro malé a domácí kanceláře také podporuje protokoly NetFlow v5/v9 a IPFIX. V nastavení nastavte cíl (adresa kolektoru 192.168.78.198 a port 2055):

A přidejte všechny metriky dostupné pro export:

V tomto okamžiku můžeme říci, že základní nastavení je dokončeno. Kontrolujeme, zda do systému vstupuje provoz.

Krok 5: Testování a provoz modulu monitorování a diagnostiky výkonu sítě

Přítomnost provozu ze zdroje můžete zkontrolovat v sekci Monitorovací centrum Flowmon –> Zdroje:

Vidíme, že data vstupují do systému. Nějaký čas poté, co kolektor nashromáždí provoz, začnou widgety zobrazovat informace:

Systém je postaven na principu drill down. To znamená, že uživatel při výběru části zájmu na diagramu nebo grafu „spadne“ na úroveň hloubky dat, kterou potřebuje:

Níže k informacím o každém síťovém připojení a připojení:

Krok 6. Bezpečnostní modul detekce anomálií

Tento modul lze nazvat snad jedním z nejzajímavějších, a to díky použití metod bez signatur pro detekci anomálií v síťovém provozu a škodlivé síťové aktivity. Nejedná se však o obdobu systémů IDS/IPS. Práce s modulem začíná jeho „zaškolením“. K tomu speciální průvodce specifikuje všechny klíčové komponenty a služby sítě, včetně:

• adresy bran, servery DNS, DHCP a NTP,
• adresování v uživatelských a serverových segmentech.

Poté systém přejde do tréninkového režimu, který trvá v průměru od 2 týdnů do 1 měsíce. Během této doby systém generuje základní provoz, který je specifický pro naši síť. Jednoduše řečeno, systém se učí:

• jaké chování je typické pro síťové uzly?
• Jaké objemy dat se obvykle přenášejí a jsou pro síť normální?
• Jaká je typická provozní doba pro uživatele?
• jaké aplikace běží na síti?
• a mnohem víc..

Výsledkem je nástroj, který identifikuje jakékoli anomálie v naší síti a odchylky od typického chování. Zde je několik příkladů, které vám systém umožňuje detekovat:

• distribuce nového malwaru v síti, který není detekován antivirovými signaturami;
• budování DNS, ICMP nebo jiných tunelů a přenos dat s obcházením firewallu;
• vzhled nového počítače v síti, který se vydává za server DHCP a/nebo DNS.

Pojďme se podívat, jak to vypadá naživo. Poté, co byl váš systém vyškolen a postaven na základní linii síťového provozu, začne detekovat incidenty:

Hlavní stránka modulu je časová osa zobrazující identifikované incidenty. V našem příkladu vidíme jasný vrchol, přibližně mezi 9 a 16 hodinami. Pojďme to vybrat a podívat se podrobněji.

Anomální chování útočníka na síti je jasně viditelné. Vše začíná tím, že hostitel s adresou 192.168.3.225 zahájil horizontální skenování sítě na portu 3389 (služba Microsoft RDP) a našel 14 potenciálních „obětí“:

и

Následující zaznamenaný incident – ​​hostitel 192.168.3.225 zahájí útok hrubou silou na hesla hrubou silou ve službě RDP (port 3389) na dříve identifikovaných adresách:

V důsledku útoku je na jednom z napadených hostitelů detekována anomálie SMTP. Jinými slovy, SPAM začal:

Tento příklad je názornou ukázkou schopností systému a modulu Zabezpečení detekce anomálií. Efektivitu posuďte sami. Tím je funkční přehled řešení uzavřen.

Závěr

Pojďme si shrnout, jaké závěry můžeme o Flowmon vyvodit:

• Flowmon je prémiové řešení pro firemní zákazníky;
• díky své všestrannosti a kompatibilitě je sběr dat dostupný z jakéhokoli zdroje: síťová zařízení (Cisco, Juniper, HPE, Huawei...) nebo vlastní sondy (Flowmon Probe);
• Možnosti škálovatelnosti řešení umožňují rozšířit funkčnost systému přidáním nových modulů a také zvýšit produktivitu díky flexibilnímu přístupu k licencování;
• díky použití technologií analýzy bez signatur vám systém umožňuje detekovat zero-day útoky, které antiviry a systémy IDS/IPS neznají;
• díky naprosté „transparentnosti“ z hlediska instalace a přítomnosti systému v síti - řešení neovlivňuje provoz ostatních uzlů a komponent vaší IT infrastruktury;
• Flowmon je jediné řešení na trhu, které podporuje sledování provozu rychlostí až 100 Gbps;
• Flowmon je řešení pro sítě jakéhokoli rozsahu;
• nejlepší poměr cena/funkčnost mezi podobnými řešeními.

V této recenzi jsme zkoumali méně než 10 % celkové funkčnosti řešení. V příštím článku si povíme něco o zbývajících modulech Flowmon Networks. Na příkladu modulu Application Performance Monitoring si ukážeme, jak mohou administrátoři podnikových aplikací zajistit dostupnost na dané úrovni SLA a také co nejrychleji diagnostikovat problémy.

Také bychom vás rádi pozvali na náš webinář (10.09.2019) věnovaný řešením dodavatele Flowmon Networks. Žádáme vás o předběžnou registraci Registrujte se zde.
To je prozatím vše, děkujeme za váš zájem!

Průzkumu se mohou zúčastnit pouze registrovaní uživatelé. Přihlásit se, prosím.

Používáte Netflow pro monitorování sítě?

• Ano

• Ne, ale plánuji to

• Ne

Hlasovalo 9 uživatelů. 3 uživatelů se zdrželo hlasování.

Zdroj: www.habr.com