Netværksovervågning og detektering af unormal netværksaktivitet ved hjælp af Flowmon Networks løsninger

For nylig kan du finde en enorm mængde af materialer om emnet på internettet. trafikanalyse ved netværkets perimeter. Samtidig har alle af en eller anden grund helt glemt det lokal trafikanalyse, hvilket ikke er mindre vigtigt. Denne artikel behandler netop dette emne. For eksempel Flowmon netværk vi vil huske det gode gamle Netflow (og dets alternativer), se på interessante tilfælde, mulige anomalier i netværket og finde ud af fordelene ved løsningen, når hele netværket fungerer som en enkelt sensor. Og vigtigst af alt kan du udføre en sådan analyse af lokal trafik helt gratis inden for rammerne af en prøvelicens (45 dag). Hvis emnet er interessant for dig, velkommen til kat. Hvis du er for doven til at læse, så kan du, når du ser fremad, tilmelde dig kommende webinar, hvor vi vil vise og fortælle dig alt (du kan også lære om kommende produkttræning der).

Hvad er Flowmon Networks?

Først og fremmest er Flowmon en europæisk it-leverandør. Virksomheden er tjekkisk med hovedkvarter i Brno (spørgsmålet om sanktioner er ikke engang rejst). I sin nuværende form har virksomheden været på markedet siden 2007. Tidligere var det kendt under Invea-Tech-mærket. Så i alt blev der brugt næsten 20 år på at udvikle produkter og løsninger.

Flowmon er positioneret som et mærke i A-klassen. Udvikler premium-løsninger til virksomhedskunder og er anerkendt i Gartner-boksene for Network Performance Monitoring and Diagnostics (NPMD). Desuden er det interessant, at af alle virksomhederne i rapporten er Flowmon den eneste leverandør, der er noteret af Gartner som producent af løsninger til både netværksovervågning og informationsbeskyttelse (Network Behavior Analysis). Den indtager ikke førstepladsen endnu, men på grund af dette står den ikke som en Boeing-vinge.

Hvilke problemer løser produktet?

Globalt kan vi skelne mellem følgende pulje af opgaver, der løses af virksomhedens produkter:

1. øge stabiliteten af ​​netværket, såvel som netværksressourcer, ved at minimere deres nedetid og utilgængelighed;
2. øge det overordnede niveau af netværksydelse;
3. øge effektiviteten af ​​administrativt personale på grund af:
   • brug af moderne innovative netværksovervågningsværktøjer baseret på information om IP-strømme;
   • at levere detaljerede analyser om netværkets funktion og tilstand - brugere og applikationer, der kører på netværket, transmitterede data, interagerende ressourcer, tjenester og noder;
   • at reagere på hændelser, før de sker, og ikke efter, at brugere og klienter mister servicen;
   • at reducere den tid og de ressourcer, der kræves til at administrere netværket og it-infrastrukturen;
   • forenkling af fejlfindingsopgaver.
4. øge sikkerhedsniveauet for virksomhedens netværk og informationsressourcer gennem brug af ikke-signaturteknologier til at detektere unormal og ondsindet netværksaktivitet såvel som "nul-dages angreb";
5. at sikre det nødvendige niveau af SLA for netværksapplikationer og databaser.

Flowmon Networks produktportefølje

Lad os nu se direkte på Flowmon Networks produktportefølje og finde ud af, hvad virksomheden præcist gør. Som mange allerede har gættet ud fra navnet, ligger hovedspecialiseringen i løsninger til streaming flow-trafikovervågning plus en række ekstra moduler, der udvider den grundlæggende funktionalitet.

Faktisk kan Flowmon kaldes en virksomhed med et produkt, eller rettere, en løsning. Lad os finde ud af, om det er godt eller dårligt.

Kernen i systemet er indsamleren, som står for at indsamle data ved hjælp af forskellige flowprotokoller, som f.eks. NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Det er ganske logisk, at for en virksomhed, der ikke er tilknyttet nogen netværksudstyrsproducent, er det vigtigt at tilbyde markedet et universelt produkt, der ikke er bundet til en standard eller protokol.

Flowmon samler

Samleren er tilgængelig både som hardwareserver og som virtuel maskine (VMware, Hyper-V, KVM). I øvrigt er hardwareplatformen implementeret på tilpassede DELL-servere, hvilket automatisk eliminerer de fleste problemer med garanti og RMA. De eneste proprietære hardwarekomponenter er FPGA-trafikfangstkort udviklet af et datterselskab af Flowmon, som tillader overvågning ved hastigheder på op til 100 Gbps.

Men hvad skal man gøre, hvis eksisterende netværksudstyr ikke er i stand til at generere flow af høj kvalitet? Eller er belastningen på udstyret for høj? Intet problem:

Flowmon Prob

I dette tilfælde foreslår Flowmon Networks at bruge sine egne prober (Flowmon Probe), som er forbundet til netværket via SPAN-porten på switchen eller ved hjælp af passive TAP-splittere.

SPAN (spejlport) og TAP implementeringsmuligheder

I dette tilfælde konverteres den rå trafik, der ankommer til Flowmon-sonden til en udvidet IPFIX, der indeholder mere 240 målinger med information. Mens standard NetFlow-protokollen genereret af netværksudstyr ikke indeholder mere end 80 metrics. Dette giver mulighed for protokolsynlighed ikke kun på niveau 3 og 4, men også på niveau 7 i henhold til ISO OSI-modellen. Som et resultat kan netværksadministratorer overvåge funktionen af ​​applikationer og protokoller såsom e-mail, HTTP, DNS, SMB...

Konceptuelt ser systemets logiske arkitektur således ud:

Den centrale del af hele Flowmon Networks "økosystem" er Collector, som modtager trafik fra eksisterende netværksudstyr eller sine egne sonder (Probe). Men for en Enterprise-løsning ville det være for enkelt at levere funktionalitet udelukkende til overvågning af netværkstrafik. Open Source-løsninger kan også gøre dette, omend ikke med en sådan ydeevne. Værdien af ​​Flowmon er yderligere moduler, der udvider den grundlæggende funktionalitet:

• modul Sikkerhed for afsløring af anomalier – identifikation af unormal netværksaktivitet, herunder nul-dages angreb, baseret på heuristisk analyse af trafik og en typisk netværksprofil;
• modul Overvågning af applikationsydelse – overvågning af ydeevnen af ​​netværksapplikationer uden at installere "agenter" og påvirke målsystemer;
• modul Trafikoptager – registrering af fragmenter af netværkstrafik i henhold til et sæt foruddefinerede regler eller i henhold til en trigger fra ADS-modulet til yderligere fejlfinding og/eller undersøgelse af informationssikkerhedshændelser;
• modul DDoS Beskyttelse – beskyttelse af netværkets perimeter mod volumetriske DoS/DDoS lammelsesangreb, herunder angreb på applikationer (OSI L3/L4/L7).

I denne artikel vil vi se på, hvordan alt fungerer live ved at bruge eksemplet med 2 moduler - Netværksydelsesovervågning og -diagnostik и Sikkerhed for afsløring af anomalier.
Indledende data:

• Lenovo RS 140 server med VMware 6.0 hypervisor;
• Flowmon Collector virtuel maskine billede, som du kan download her;
• et par kontakter, der understøtter flowprotokoller.

Trin 1. Installer Flowmon Collector

Implementering af en virtuel maskine på VMware sker på en fuldstændig standard måde fra OVF-skabelonen. Som et resultat får vi en virtuel maskine, der kører CentOS og med software, der er klar til brug. Ressourcekravene er humane:

Det eneste, der er tilbage, er at udføre grundlæggende initialisering ved hjælp af kommandoen sysconfig:

Vi konfigurerer IP på administrationsporten, DNS, tid, værtsnavn og kan oprette forbindelse til WEB-grænsefladen.

Trin 2. Licensinstallation

En prøvelicens i halvanden måned genereres og downloades sammen med det virtuelle maskinbillede. Indlæst via Konfigurationscenter -> Licens. Som et resultat ser vi:

Alt er klar. Du kan begynde at arbejde.

Trin 3. Opsætning af modtageren på opsamleren

På dette stadium skal du beslutte, hvordan systemet vil modtage data fra kilder. Som vi sagde tidligere, kan dette være en af ​​flowprotokollerne eller en SPAN-port på switchen.

I vores eksempel vil vi bruge datamodtagelse ved hjælp af protokoller NetFlow v9 og IPFIX. I dette tilfælde angiver vi IP-adressen for administrationsgrænsefladen som et mål - 192.168.78.198. Grænseflader eth2 og eth3 (med overvågningsgrænsefladetypen) bruges til at modtage en kopi af den "rå" trafik fra switchens SPAN-port. Vi slap dem igennem, ikke vores sag.
Dernæst tjekker vi samleporten, hvor trafikken skal gå.

I vores tilfælde lytter samleren efter trafik på port UDP/2055.

Trin 4. Konfiguration af netværksudstyr til floweksport

Opsætning af NetFlow på Cisco Systems udstyr kan nok kaldes en helt almindelig opgave for enhver netværksadministrator. For vores eksempel tager vi noget mere usædvanligt. For eksempel MikroTik RB2011UiAS-2HnD-routeren. Ja, mærkeligt nok understøtter en sådan budgetløsning til små kontorer og hjemmekontorer også NetFlow v5/v9- og IPFIX-protokollerne. Indstil målet i indstillingerne (samleradresse 192.168.78.198 og port 2055):

Og tilføj alle de metrics, der er tilgængelige for eksport:

På dette tidspunkt kan vi sige, at den grundlæggende opsætning er færdig. Vi tjekker, om der kommer trafik ind i systemet.

Trin 5: Test og betjening af modulet til overvågning og diagnosticering af netværksydelse

Du kan kontrollere tilstedeværelsen af ​​trafik fra kilden i afsnittet Flowmon Monitoring Center –> Kilder:

Vi ser, at data kommer ind i systemet. Nogen tid efter, at samleren har akkumuleret trafik, begynder widgets at vise information:

Systemet er bygget efter drill down princippet. Det vil sige, at brugeren, når han vælger et fragment af interesse på et diagram eller en graf, "falder" til niveauet af dybde af data, som han har brug for:

Ned til information om hver netværksforbindelse og forbindelse:

Trin 6. Sikkerhedsmodul til registrering af anomalier

Dette modul kan kaldes måske et af de mest interessante, takket være brugen af ​​signaturfri metoder til at opdage uregelmæssigheder i netværkstrafik og ondsindet netværksaktivitet. Men dette er ikke en analog af IDS/IPS-systemer. Arbejdet med modulet begynder med dets "træning". For at gøre dette specificerer en speciel guide alle netværkets nøglekomponenter og tjenester, herunder:

• gateway-adresser, DNS-, DHCP- og NTP-servere,
• adressering i bruger- og serversegmenter.

Herefter går systemet i træningstilstand, som i gennemsnit varer fra 2 uger til 1 måned. I løbet af denne tid genererer systemet baseline-trafik, der er specifik for vores netværk. Kort sagt lærer systemet:

• hvilken adfærd er typisk for netværksknuder?
• Hvilke mængder data overføres typisk og er normale for netværket?
• Hvad er den typiske driftstid for brugere?
• hvilke programmer kører på netværket?
• og meget mere..

Som et resultat får vi et værktøj, der identificerer eventuelle anomalier i vores netværk og afvigelser fra typisk adfærd. Her er et par eksempler, som systemet giver dig mulighed for at opdage:

• distribution af ny malware på netværket, der ikke detekteres af antivirussignaturer;
• bygge DNS, ICMP eller andre tunneler og transmittere data uden om firewallen;
• udseendet af en ny computer på netværket, der udgiver sig for at være en DHCP- og/eller DNS-server.

Lad os se, hvordan det ser ud live. Efter dit system er blevet trænet og bygget en baseline af netværkstrafik, begynder det at opdage hændelser:

Modulets hovedside er en tidslinje, der viser identificerede hændelser. I vores eksempel ser vi en tydelig spids, cirka mellem 9 og 16 timer. Lad os vælge det og se mere detaljeret.

Angriberens unormale adfærd på netværket er tydeligt synlig. Det hele starter med, at værten med adressen 192.168.3.225 begyndte en horisontal scanning af netværket på port 3389 (Microsoft RDP-tjeneste) og fandt 14 potentielle "ofre":

и

Følgende registrerede hændelse - vært 192.168.3.225 begynder et brute force-angreb for at brute force-adgangskoder på RDP-tjenesten (port 3389) på de tidligere identificerede adresser:

Som et resultat af angrebet opdages en SMTP-anomali på en af ​​de hackede værter. Med andre ord er SPAM begyndt:

Dette eksempel er en klar demonstration af systemets egenskaber og især Anomaly Detection Security-modulet. Bedøm selv effektiviteten. Dette afslutter det funktionelle overblik over løsningen.

Konklusion

Lad os opsummere, hvilke konklusioner vi kan drage om Flowmon:

• Flowmon er en premium løsning til erhvervskunder;
• takket være dens alsidighed og kompatibilitet er dataindsamling tilgængelig fra enhver kilde: netværksudstyr (Cisco, Juniper, HPE, Huawei...) eller dine egne prober (Flowmon Probe);
• Løsningens skalerbarhedsmuligheder giver dig mulighed for at udvide systemets funktionalitet ved at tilføje nye moduler, samt øge produktiviteten takket være en fleksibel tilgang til licensering;
• gennem brug af signaturfri analyseteknologier giver systemet dig mulighed for at detektere zero-day angreb, selv ukendte for antivirus og IDS/IPS-systemer;
• takket være fuldstændig "gennemsigtighed" med hensyn til installation og tilstedeværelse af systemet på netværket - løsningen påvirker ikke driften af ​​andre noder og komponenter i din IT-infrastruktur;
• Flowmon er den eneste løsning på markedet, der understøtter trafikovervågning ved hastigheder op til 100 Gbps;
• Flowmon er en løsning til netværk af enhver skala;
• det bedste pris/funktionalitetsforhold blandt lignende løsninger.

I denne gennemgang undersøgte vi mindre end 10 % af løsningens samlede funktionalitet. I den næste artikel vil vi tale om de resterende Flowmon Networks-moduler. Ved at bruge modulet Application Performance Monitoring som eksempel vil vi vise, hvordan forretningsapplikationsadministratorer kan sikre tilgængelighed på et givet SLA-niveau, samt diagnosticere problemer så hurtigt som muligt.

Vi vil også gerne invitere dig til vores webinar (10.09.2019/XNUMX/XNUMX) dedikeret til løsningerne fra leverandøren Flowmon Networks. For at forhåndstilmelde dig, beder vi dig tilmeld dig her.
Det var alt for nu, tak for din interesse!

Kun registrerede brugere kan deltage i undersøgelsen. Log ind, Vær venlig.

Bruger du Netflow til netværksovervågning?

• Ja

• Nej, men det planlægger jeg

• Nej

9 brugere stemte. 3 brugere undlod at stemme.

Kilde: www.habr.com