Yn ddiweddar, gallwch ddod o hyd i lawer iawn o ddeunyddiau ar y pwnc ar y Rhyngrwyd. dadansoddiad traffig ar berimedr y rhwydwaith. Ar yr un pryd, am ryw reswm mae pawb wedi anghofio'n llwyr amdano dadansoddiad traffig lleol, sydd ddim llai pwysig. Mae'r erthygl hon yn mynd i'r afael yn union â'r pwnc hwn. Er enghraifft byddwn yn cofio'r hen Netflow da (a'i ddewisiadau amgen), yn edrych ar achosion diddorol, anghysondebau posibl yn y rhwydwaith ac yn darganfod manteision yr ateb pan mae'r rhwydwaith cyfan yn gweithio fel un synhwyrydd. Ac yn bwysicaf oll, gallwch chi gynnal dadansoddiad o'r fath o draffig lleol yn rhad ac am ddim, o fewn fframwaith trwydded prawf (Diwrnod 45). Os yw'r pwnc yn ddiddorol i chi, croeso i gath. Os ydych chi'n rhy ddiog i ddarllen, yna, wrth edrych ymlaen, gallwch gofrestru ar gyfer , lle byddwn yn dangos ac yn dweud popeth wrthych (gallwch hefyd gael gwybod am hyfforddiant cynnyrch sydd ar ddod yno).
Beth yw Flowmon Networks?
Yn gyntaf oll, mae Flowmon yn werthwr TG Ewropeaidd. Tsiec yw'r cwmni, gyda phencadlys yn Brno (nid yw mater sancsiynau hyd yn oed yn cael ei godi). Yn ei ffurf bresennol, mae'r cwmni wedi bod ar y farchnad ers 2007. Yn flaenorol, roedd yn hysbys o dan y brand Invea-Tech. Felly, gwariwyd cyfanswm o bron i 20 mlynedd ar ddatblygu cynhyrchion ac atebion.
Mae Flowmon wedi'i leoli fel brand dosbarth A. Yn datblygu atebion premiwm ar gyfer cwsmeriaid menter ac yn cael ei gydnabod yn y blychau Gartner ar gyfer Monitro Perfformiad Rhwydwaith a Diagnosteg (NPMD). Ar ben hynny, yn ddiddorol, o'r holl gwmnïau yn yr adroddiad, Flowmon yw'r unig werthwr a nodwyd gan Gartner fel gwneuthurwr datrysiadau ar gyfer monitro rhwydwaith a diogelu gwybodaeth (Dadansoddiad Ymddygiad Rhwydwaith). Nid yw'n cymryd y lle cyntaf eto, ond oherwydd hyn nid yw'n sefyll fel adain Boeing.
Pa broblemau y mae'r cynnyrch yn eu datrys?
Yn fyd-eang, gallwn wahaniaethu rhwng y gronfa ganlynol o dasgau a ddatrysir gan gynhyrchion y cwmni:
- cynyddu sefydlogrwydd y rhwydwaith, yn ogystal ag adnoddau rhwydwaith, trwy leihau eu hamser segur a'u diffyg argaeledd;
- cynyddu lefel gyffredinol perfformiad rhwydwaith;
- cynyddu effeithlonrwydd personél gweinyddol oherwydd:
- defnyddio offer monitro rhwydwaith arloesol modern yn seiliedig ar wybodaeth am lifau IP;
- darparu dadansoddiadau manwl am weithrediad a chyflwr y rhwydwaith - defnyddwyr a rhaglenni sy'n rhedeg ar y rhwydwaith, data a drosglwyddir, adnoddau rhyngweithiol, gwasanaethau a nodau;
- ymateb i ddigwyddiadau cyn iddynt ddigwydd, ac nid ar ôl i ddefnyddwyr a chleientiaid golli gwasanaeth;
- lleihau'r amser a'r adnoddau sydd eu hangen i weinyddu'r rhwydwaith a'r seilwaith TG;
- symleiddio tasgau datrys problemau.
- cynyddu lefel diogelwch y rhwydwaith ac adnoddau gwybodaeth y fenter, trwy ddefnyddio technolegau di-lofnod ar gyfer canfod gweithgaredd rhwydwaith afreolaidd a maleisus, yn ogystal ag "ymosodiadau dim diwrnod";
- sicrhau'r lefel ofynnol o CLG ar gyfer cymwysiadau rhwydwaith a chronfeydd data.
Portffolio Cynnyrch Rhwydweithiau Flowmon
Nawr, gadewch i ni edrych yn uniongyrchol ar bortffolio cynnyrch Flowmon Networks a darganfod beth yn union y mae'r cwmni'n ei wneud. Fel y mae llawer eisoes wedi dyfalu o'r enw, y prif arbenigedd yw atebion ar gyfer monitro llif llif llif, ynghyd â nifer o fodiwlau ychwanegol sy'n ehangu'r swyddogaeth sylfaenol.
Mewn gwirionedd, gellir galw Flowmon yn gwmni o un cynnyrch, neu yn hytrach, yn un datrysiad. Gadewch i ni ddarganfod a yw hyn yn dda neu'n ddrwg.
Craidd y system yw'r casglwr, sy'n gyfrifol am gasglu data gan ddefnyddio protocolau llif amrywiol, megis NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Mae'n eithaf rhesymegol, ar gyfer cwmni nad yw'n gysylltiedig ag unrhyw wneuthurwr offer rhwydwaith, ei bod yn bwysig cynnig cynnyrch cyffredinol i'r farchnad nad yw'n gysylltiedig ag unrhyw un safon neu brotocol.
Casglwr Flowmon
Mae'r casglwr ar gael fel gweinydd caledwedd ac fel peiriant rhithwir (VMware, Hyper-V, KVM). Gyda llaw, mae'r platfform caledwedd yn cael ei weithredu ar weinyddion DELL wedi'u haddasu, sy'n dileu'r rhan fwyaf o'r problemau gyda gwarant a RMA yn awtomatig. Yr unig gydrannau caledwedd perchnogol yw cardiau dal traffig FPGA a ddatblygwyd gan is-gwmni o Flowmon, sy'n caniatáu monitro ar gyflymder o hyd at 100 Gbps.
Ond beth i'w wneud os nad yw offer rhwydwaith presennol yn gallu cynhyrchu llif o ansawdd uchel? Neu a yw'r llwyth ar yr offer yn rhy uchel? Dim problem:
Flowmon Prob
Yn yr achos hwn, mae Flowmon Networks yn awgrymu defnyddio ei stilwyr ei hun (Flowmon Probe), sydd wedi'u cysylltu â'r rhwydwaith trwy borthladd SPAN y switsh neu ddefnyddio holltwyr TAP goddefol.
SPAN (porthladd drych) ac opsiynau gweithredu TAP
Yn yr achos hwn, mae'r traffig crai sy'n cyrraedd y Flowmon Probe yn cael ei drawsnewid yn IPFIX estynedig sy'n cynnwys mwy 240 metrig gyda gwybodaeth. Er bod y protocol NetFlow safonol a gynhyrchir gan offer rhwydwaith yn cynnwys dim mwy na 80 metrig. Mae hyn yn caniatáu gwelededd protocol nid yn unig ar lefelau 3 a 4, ond hefyd ar lefel 7 yn ôl model ISO OSI. O ganlyniad, gall gweinyddwyr rhwydwaith fonitro gweithrediad cymwysiadau a phrotocolau fel e-bost, HTTP, DNS, SMB ...
Yn gysyniadol, mae pensaernïaeth resymegol y system yn edrych fel hyn:
Rhan ganolog “ecosystem” gyfan Flowmon Networks yw'r Casglwr, sy'n derbyn traffig o offer rhwydwaith presennol neu ei chwilwyr ei hun (Probe). Ond ar gyfer datrysiad Menter, byddai darparu ymarferoldeb ar gyfer monitro traffig rhwydwaith yn unig yn rhy syml. Gall datrysiadau Ffynhonnell Agored wneud hyn hefyd, er nad gyda pherfformiad o'r fath. Mae gwerth Flowmon yn fodiwlau ychwanegol sy'n ehangu'r swyddogaeth sylfaenol:
- y modiwl Diogelwch Canfod Anomaleddau – nodi gweithgarwch rhwydwaith afreolaidd, gan gynnwys ymosodiadau dim diwrnod, yn seiliedig ar ddadansoddiad hewristig o draffig a phroffil rhwydwaith nodweddiadol;
- y modiwl Monitro Perfformiad Cymwysiadau – monitro perfformiad cymwysiadau rhwydwaith heb osod “asiantau” a dylanwadu ar systemau targed;
- y modiwl Cofiadur Traffig – cofnodi darnau o draffig rhwydwaith yn unol â set o reolau a ddiffiniwyd ymlaen llaw neu yn unol â sbardun o'r modiwl ADS, ar gyfer datrys problemau pellach a/neu ymchwilio i ddigwyddiadau diogelwch gwybodaeth;
- y modiwl Amddiffyniad DDoS – amddiffyn perimedr y rhwydwaith rhag ymosodiadau gwrthod gwasanaeth cyfeintiol DoS/DDoS, gan gynnwys ymosodiadau ar gymwysiadau (OSI L3/L4/L7).
Yn yr erthygl hon, byddwn yn edrych ar sut mae popeth yn gweithio'n fyw gan ddefnyddio'r enghraifft o 2 fodiwl - Monitro Perfformiad Rhwydwaith a Diagnosteg и Diogelwch Canfod Anomaleddau.
Data cychwynnol:
- Gweinydd Lenovo RS 140 gyda hypervisor VMware 6.0;
- Delwedd peiriant rhithwir Flowmon Collector y gallwch chi ;
- pâr o switshis yn cefnogi protocolau llif.
Cam 1. Gosod Flowmon Collector
Mae gosod peiriant rhithwir ar VMware yn digwydd mewn modd cwbl safonol o'r templed OVF. O ganlyniad, rydym yn cael peiriant rhithwir yn rhedeg CentOS a gyda meddalwedd parod i'w ddefnyddio. Mae gofynion adnoddau yn drugarog:
Y cyfan sy'n weddill yw cyflawni cychwyniad sylfaenol gan ddefnyddio'r gorchymyn sysconfig:
Rydym yn ffurfweddu IP ar y porthladd rheoli, DNS, amser, Enw Gwesteiwr a gallwn gysylltu â'r rhyngwyneb WEB.
Cam 2. Gosod trwydded
Mae trwydded brawf am fis a hanner yn cael ei chynhyrchu a'i lawrlwytho ynghyd â delwedd y peiriant rhithwir. Wedi'i lwytho trwy Canolfan Ffurfweddu -> Trwydded. O ganlyniad gwelwn:
Mae'r cyfan yn barod. Gallwch chi ddechrau gweithio.
Cam 3. Sefydlu y derbynnydd ar y casglwr
Ar y cam hwn, mae angen i chi benderfynu sut y bydd y system yn derbyn data o ffynonellau. Fel y dywedasom yn gynharach, gallai hwn fod yn un o'r protocolau llif neu borthladd SPAN ar y switsh.
Yn ein hesiampl, byddwn yn defnyddio derbyniad data gan ddefnyddio protocolau NetFlow v9 ac IPFIX. Yn yr achos hwn, rydym yn nodi cyfeiriad IP y rhyngwyneb Rheoli fel targed - 192.168.78.198. Defnyddir rhyngwynebau eth2 ac eth3 (gyda'r math o ryngwyneb Monitro) i dderbyn copi o'r traffig “amrwd” o borthladd SPAN y switsh. Gadawn nhw drwodd, nid ein hachos ni.
Nesaf, rydym yn gwirio'r porthladd casglu lle dylai'r traffig fynd.
Yn ein hachos ni, mae'r casglwr yn gwrando am draffig ar borthladd UDP/2055.
Cam 4. Ffurfweddu offer rhwydwaith ar gyfer allforio llif
Mae'n debyg y gellir galw sefydlu NetFlow ar offer Cisco Systems yn dasg gwbl gyffredin i unrhyw weinyddwr rhwydwaith. Er enghraifft, byddwn yn cymryd rhywbeth mwy anarferol. Er enghraifft, llwybrydd MikroTik RB2011UiAS-2HnD. Ydy, yn rhyfedd ddigon, mae datrysiad cyllidebol o'r fath ar gyfer swyddfeydd bach a chartref hefyd yn cefnogi protocolau NetFlow v5/v9 ac IPFIX. Yn y gosodiadau, gosodwch y targed (cyfeiriad casglwr 192.168.78.198 a phorthladd 2055):
Ac ychwanegwch yr holl fetrigau sydd ar gael i'w hallforio:
Ar y pwynt hwn gallwn ddweud bod y gosodiad sylfaenol wedi'i gwblhau. Rydym yn gwirio a yw traffig yn mynd i mewn i'r system.
Cam 5: Profi a Gweithredu Modiwl Monitro Perfformiad a Diagnosteg y Rhwydwaith
Gallwch wirio presenoldeb traffig o'r ffynhonnell yn yr adran Canolfan Fonitro Flowmon -> Ffynonellau:
Gwelwn fod data yn mynd i mewn i'r system. Beth amser ar ôl i'r casglwr gronni traffig, bydd y teclynnau'n dechrau dangos gwybodaeth:
Mae'r system wedi'i seilio ar yr egwyddor drilio. Hynny yw, mae'r defnyddiwr, wrth ddewis darn o ddiddordeb ar ddiagram neu graff, yn “syrthio” i lefel dyfnder y data sydd ei angen arno:
I lawr i wybodaeth am bob cysylltiad rhwydwaith a chysylltiad:
Cam 6. Modiwl Diogelwch Canfod Anomaleddau
Efallai y gellir galw'r modiwl hwn yn un o'r rhai mwyaf diddorol, diolch i'r defnydd o ddulliau di-lofnod ar gyfer canfod anghysondebau mewn traffig rhwydwaith a gweithgaredd rhwydwaith maleisus. Ond nid yw hwn yn analog o systemau IDS/IPS. Mae gweithio gyda'r modiwl yn dechrau gyda'i “hyfforddiant”. I wneud hyn, mae dewin arbennig yn nodi holl gydrannau a gwasanaethau allweddol y rhwydwaith, gan gynnwys:
- cyfeiriadau porth, gweinyddwyr DNS, DHCP a NTP,
- mynd i'r afael â segmentau defnyddwyr a gweinyddwyr.
Ar ôl hyn, mae'r system yn mynd i'r modd hyfforddi, sy'n para ar gyfartaledd o 2 wythnos i 1 mis. Yn ystod y cyfnod hwn, mae'r system yn cynhyrchu traffig sylfaenol sy'n benodol i'n rhwydwaith. Yn syml, mae'r system yn dysgu:
- pa ymddygiad sy'n nodweddiadol ar gyfer nodau rhwydwaith?
- Pa gyfeintiau o ddata sy'n cael eu trosglwyddo fel arfer ac sy'n normal ar gyfer y rhwydwaith?
- Beth yw'r amser gweithredu arferol i ddefnyddwyr?
- pa gymwysiadau sy'n rhedeg ar y rhwydwaith?
- a llawer mwy..
O ganlyniad, rydym yn cael offeryn sy'n nodi unrhyw anghysondebau yn ein rhwydwaith a gwyriadau oddi wrth ymddygiad nodweddiadol. Dyma ychydig o enghreifftiau y mae'r system yn caniatáu ichi eu canfod:
- dosbarthu malware newydd ar y rhwydwaith nad yw'n cael ei ganfod gan lofnodion gwrthfeirws;
- adeiladu DNS, ICMP neu dwneli eraill a throsglwyddo data gan osgoi'r wal dân;
- ymddangosiad cyfrifiadur newydd ar y rhwydwaith yn ymddangos fel gweinydd DHCP a/neu DNS.
Gawn ni weld sut mae'n edrych yn fyw. Ar ôl i'ch system gael ei hyfforddi ac adeiladu llinell sylfaen o draffig rhwydwaith, mae'n dechrau canfod digwyddiadau:
Mae prif dudalen y modiwl yn llinell amser sy'n dangos digwyddiadau a nodwyd. Yn ein hesiampl, gwelwn bigyn clir, tua rhwng 9 ac 16 awr. Gadewch i ni ei ddewis ac edrych yn fwy manwl.
Mae ymddygiad afreolaidd yr ymosodwr ar y rhwydwaith i'w weld yn glir. Mae'r cyfan yn dechrau gyda'r ffaith bod y gwesteiwr gyda'r cyfeiriad 192.168.3.225 wedi cychwyn sgan llorweddol o'r rhwydwaith ar borthladd 3389 (gwasanaeth Microsoft RDP) a chanfod 14 o “ddioddefwyr” posib:
и
Mae'r digwyddiad canlynol a gofnodwyd - gwesteiwr 192.168.3.225 yn cychwyn ymosodiad grym 'n Ysgrublaidd i gyfrineiriau grym 'n ysgrublaidd ar y gwasanaeth RDP (porthladd 3389) yn y cyfeiriadau a nodwyd yn flaenorol:
O ganlyniad i'r ymosodiad, canfyddir anghysondeb SMTP ar un o'r gwesteiwyr sydd wedi'u hacio. Mewn geiriau eraill, mae SPAM wedi dechrau:
Mae'r enghraifft hon yn arddangosiad clir o alluoedd y system a'r modiwl Diogelwch Canfod Anomaleddau yn arbennig. Barnwch yr effeithiolrwydd drosoch eich hun. Mae hyn yn cloi'r trosolwg swyddogaethol o'r datrysiad.
Casgliad
Gadewch i ni grynhoi pa gasgliadau y gallwn ddod iddynt am Flowmon:
- Mae Flowmon yn ateb premiwm ar gyfer cwsmeriaid corfforaethol;
- diolch i'w amlbwrpasedd a'i gydnawsedd, mae casglu data ar gael o unrhyw ffynhonnell: offer rhwydwaith (Cisco, Juniper, HPE, Huawei ...) neu eich chwilwyr eich hun (Flowmon Probe);
- Mae galluoedd scalability yr ateb yn eich galluogi i ehangu ymarferoldeb y system trwy ychwanegu modiwlau newydd, yn ogystal â chynyddu cynhyrchiant diolch i ymagwedd hyblyg at drwyddedu;
- trwy ddefnyddio technolegau dadansoddi di-lofnod, mae'r system yn caniatáu ichi ganfod ymosodiadau dim diwrnod hyd yn oed yn anhysbys i wrthfeirysau a systemau IDS/IPS;
- diolch i “dryloywder” cyflawn o ran gosod a phresenoldeb y system ar y rhwydwaith - nid yw'r datrysiad yn effeithio ar weithrediad nodau a chydrannau eraill o'ch seilwaith TG;
- Flowmon yw'r unig ateb ar y farchnad sy'n cefnogi monitro traffig ar gyflymder hyd at 100 Gbps;
- Mae Flowmon yn ateb ar gyfer rhwydweithiau o unrhyw raddfa;
- y gymhareb pris/ymarferoldeb gorau ymhlith atebion tebyg.
Yn yr adolygiad hwn, archwiliwyd llai na 10% o gyfanswm ymarferoldeb y datrysiad. Yn yr erthygl nesaf byddwn yn siarad am y modiwlau Flowmon Networks sy'n weddill. Gan ddefnyddio'r modiwl Monitro Perfformiad Cymwysiadau fel enghraifft, byddwn yn dangos sut y gall gweinyddwyr ceisiadau busnes sicrhau argaeledd ar lefel benodol CLG, yn ogystal â gwneud diagnosis o broblemau cyn gynted â phosibl.
Hefyd, hoffem eich gwahodd i'n gweminar (10.09.2019/XNUMX/XNUMX) sy'n ymroddedig i atebion y gwerthwr Flowmon Networks. I rag-gofrestru, gofynnwn i chi .
Dyna i gyd am y tro, diolch am eich diddordeb!
Dim ond defnyddwyr cofrestredig all gymryd rhan yn yr arolwg. os gwelwch yn dda.
Ydych chi'n defnyddio Netflow ar gyfer monitro rhwydwaith?
-
Oes
-
Na, ond dwi'n bwriadu
-
Dim
Pleidleisiodd 9 o ddefnyddwyr. Ymataliodd 3 o ddefnyddwyr.
Ffynhonnell: hab.com