Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Flowmon Networks-Lösungen

In letzter Zeit finden Sie im Internet eine Vielzahl von Materialien zu diesem Thema. Verkehrsanalyse am Netzwerkperimeter. Gleichzeitig hat es aus irgendeinem Grund jeder völlig vergessen Lokale Verkehrsanalyse, was nicht weniger wichtig ist. Dieser Artikel befasst sich genau mit diesem Thema. Zum Beispiel Flowmon-Netzwerke Wir werden uns an den guten alten Netflow (und seine Alternativen) erinnern, uns interessante Fälle und mögliche Anomalien im Netzwerk ansehen und die Vorteile der Lösung herausfinden Das gesamte Netzwerk funktioniert wie ein einziger Sensor. Und das Wichtigste: Eine solche Analyse des Nahverkehrs können Sie im Rahmen einer Probelizenz völlig kostenlos durchführen (45 Tage). Wenn das Thema für Sie interessant ist, willkommen bei cat. Wenn Sie zu faul zum Lesen sind, können Sie sich mit Blick auf die Zukunft anmelden bevorstehendes Webinar, wo wir Ihnen alles zeigen und erzählen (dort können Sie sich auch über kommende Produktschulungen informieren).

Was ist Flowmon Networks?

Zunächst einmal ist Flowmon ein europäischer IT-Anbieter. Das Unternehmen ist tschechisch und hat seinen Hauptsitz in Brünn (die Frage der Sanktionen wird nicht einmal angesprochen). In seiner jetzigen Form ist das Unternehmen seit 2007 am Markt. Zuvor war es unter der Marke Invea-Tech bekannt. Insgesamt wurden also fast 20 Jahre in die Entwicklung von Produkten und Lösungen investiert.

Flowmon ist als A-Klasse-Marke positioniert. Entwickelt Premium-Lösungen für Unternehmenskunden und wird in den Gartner-Boxen für Network Performance Monitoring and Diagnostics (NPMD) ausgezeichnet. Darüber hinaus ist Flowmon interessanterweise von allen Unternehmen im Bericht der einzige Anbieter, der von Gartner als Hersteller von Lösungen sowohl für die Netzwerküberwachung als auch für den Informationsschutz (Network Behavior Analysis) genannt wird. Es belegt noch nicht den ersten Platz, steht aber deshalb nicht wie ein Boeing-Flügel da.

Welche Probleme löst das Produkt?

Weltweit können wir den folgenden Pool an Aufgaben unterscheiden, die durch die Produkte des Unternehmens gelöst werden:

1. Erhöhung der Stabilität des Netzwerks sowie der Netzwerkressourcen durch Minimierung ihrer Ausfallzeiten und Nichtverfügbarkeit;
2. Erhöhung des Gesamtniveaus der Netzwerkleistung;
3. Steigerung der Effizienz des Verwaltungspersonals durch:
   • Verwendung moderner innovativer Netzwerküberwachungstools basierend auf Informationen über IP-Flüsse;
   • Bereitstellung detaillierter Analysen über die Funktionsweise und den Zustand des Netzwerks – Benutzer und Anwendungen, die im Netzwerk ausgeführt werden, übertragene Daten, interagierende Ressourcen, Dienste und Knoten;
   • auf Vorfälle reagieren, bevor sie eintreten, und nicht, nachdem Benutzer und Kunden den Dienst verloren haben;
   • Reduzierung des Zeit- und Ressourcenaufwands für die Verwaltung des Netzwerks und der IT-Infrastruktur;
   • Vereinfachung der Fehlerbehebungsaufgaben.
4. Erhöhung des Sicherheitsniveaus des Netzwerks und der Informationsressourcen des Unternehmens durch den Einsatz von Nicht-Signatur-Technologien zur Erkennung anomaler und böswilliger Netzwerkaktivitäten sowie „Zero-Day-Angriffe“;
5. Sicherstellung des erforderlichen SLA-Niveaus für Netzwerkanwendungen und Datenbanken.

Produktportfolio von Flowmon Networks

Schauen wir uns nun direkt das Produktportfolio von Flowmon Networks an und erfahren Sie, was das Unternehmen genau macht. Wie viele bereits anhand des Namens vermutet haben, liegt die Hauptspezialisierung auf Lösungen zur Überwachung des Streaming-Flussverkehrs sowie einer Reihe zusätzlicher Module, die die Grundfunktionalität erweitern.

Tatsächlich kann Flowmon als Unternehmen mit einem Produkt bzw. einer Lösung bezeichnet werden. Lassen Sie uns herausfinden, ob das gut oder schlecht ist.

Der Kern des Systems ist der Collector, der für das Sammeln von Daten mithilfe verschiedener Flussprotokolle verantwortlich ist, wie z NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Es ist ganz logisch, dass es für ein Unternehmen, das keinem Netzwerkgerätehersteller angehört, wichtig ist, dem Markt ein universelles Produkt anzubieten, das nicht an einen bestimmten Standard oder Protokoll gebunden ist.

Flowmon-Sammler

Der Collector ist sowohl als Hardware-Server als auch als virtuelle Maschine (VMware, Hyper-V, KVM) verfügbar. Die Hardwareplattform ist übrigens auf maßgeschneiderten DELL-Servern implementiert, wodurch die meisten Probleme mit Garantie und RMA automatisch entfallen. Die einzigen proprietären Hardwarekomponenten sind von einer Tochtergesellschaft von Flowmon entwickelte FPGA-Traffic-Capture-Karten, die eine Überwachung mit Geschwindigkeiten von bis zu 100 Gbit/s ermöglichen.

Was aber tun, wenn die vorhandene Netzwerkausrüstung nicht in der Lage ist, einen qualitativ hochwertigen Datenfluss zu erzeugen? Oder ist die Belastung der Geräte zu hoch? Kein Problem:

Flowmon Prob

Flowmon Networks bietet in diesem Fall den Einsatz eigener Sonden (Flowmon Probe) an, die über den SPAN-Port des Switches oder über passive TAP-Splitter mit dem Netzwerk verbunden werden.

SPAN- (Spiegelport) und TAP-Implementierungsoptionen

In diesem Fall wird der bei der Flowmon-Probe ankommende Rohdatenverkehr in ein erweitertes IPFIX umgewandelt, das mehr enthält 240 Kennzahlen mit Informationen. Während das von Netzwerkgeräten generierte Standard-NetFlow-Protokoll nicht mehr als 80 Metriken enthält. Dies ermöglicht Protokollsichtbarkeit nicht nur auf den Ebenen 3 und 4, sondern auch auf Ebene 7 gemäß dem ISO-OSI-Modell. Dadurch können Netzwerkadministratoren die Funktion von Anwendungen und Protokollen wie E-Mail, HTTP, DNS, SMB usw. überwachen.

Konzeptionell sieht die logische Architektur des Systems folgendermaßen aus:

Der zentrale Teil des gesamten „Ökosystems“ von Flowmon Networks ist der Collector, der Datenverkehr von vorhandenen Netzwerkgeräten oder seinen eigenen Sonden (Probe) empfängt. Für eine Unternehmenslösung wäre es jedoch zu einfach, Funktionen ausschließlich zur Überwachung des Netzwerkverkehrs bereitzustellen. Auch Open-Source-Lösungen können dies leisten, wenn auch nicht mit dieser Leistung. Der Wert von Flowmon sind zusätzliche Module, die die Grundfunktionalität erweitern:

• Modul Sicherheit bei der Erkennung von Anomalien – Identifizierung anomaler Netzwerkaktivitäten, einschließlich Zero-Day-Angriffen, basierend auf einer heuristischen Analyse des Datenverkehrs und eines typischen Netzwerkprofils;
• Modul Application Performance Monitoring – Überwachung der Leistung von Netzwerkanwendungen, ohne „Agenten“ zu installieren und Zielsysteme zu beeinflussen;
• Modul Verkehrsrekorder – Aufzeichnung von Fragmenten des Netzwerkverkehrs gemäß einer Reihe vordefinierter Regeln oder gemäß einem Auslöser des ADS-Moduls zur weiteren Fehlerbehebung und/oder Untersuchung von Informationssicherheitsvorfällen;
• Modul DDoS-Schutz – Schutz des Netzwerkperimeters vor volumetrischen DoS/DDoS-Denial-of-Service-Angriffen, einschließlich Angriffen auf Anwendungen (OSI L3/L4/L7).

Wie alles live funktioniert, schauen wir uns in diesem Artikel am Beispiel von 2 Modulen an – Überwachung und Diagnose der Netzwerkleistung и Sicherheit bei der Erkennung von Anomalien.
Hintergrund:

• Lenovo RS 140 Server mit VMware 6.0 Hypervisor;
• Flowmon Collector-Image der virtuellen Maschine, das Sie können hier herunterladen;
• ein Paar Switches, die Flow-Protokolle unterstützen.

Schritt 1: Flowmon Collector installieren

Die Bereitstellung einer virtuellen Maschine auf VMware erfolgt völlig standardmäßig über die OVF-Vorlage. Als Ergebnis erhalten wir eine virtuelle Maschine mit CentOS und gebrauchsfertiger Software. Ressourcenbedarf ist human:

Es bleibt nur noch die Grundinitialisierung mit dem Befehl durchzuführen sysconfig:

Wir konfigurieren IP am Verwaltungsport, DNS, Zeit, Hostnamen und können eine Verbindung zur WEB-Schnittstelle herstellen.

Schritt 2. Lizenzinstallation

Eine Testlizenz für eineinhalb Monate wird generiert und zusammen mit dem Image der virtuellen Maschine heruntergeladen. Geladen über Konfigurationscenter -> Lizenz. Als Ergebnis sehen wir:

Alles ist fertig. Sie können mit der Arbeit beginnen.

Schritt 3. Einrichten des Empfängers am Kollektor

In dieser Phase müssen Sie entscheiden, wie das System Daten aus Quellen empfängt. Wie bereits erwähnt, könnte dies eines der Flow-Protokolle oder ein SPAN-Port am Switch sein.

In unserem Beispiel verwenden wir den Datenempfang mithilfe von Protokollen NetFlow v9 und IPFIX. In diesem Fall geben wir als Ziel die IP-Adresse der Management-Schnittstelle an - 192.168.78.198. Die Schnittstellen eth2 und eth3 (mit dem Schnittstellentyp „Überwachung“) werden verwendet, um eine Kopie des „rohen“ Datenverkehrs vom SPAN-Port des Switches zu empfangen. Wir lassen sie durch, nicht unser Fall.
Als nächstes überprüfen wir den Collector-Port, wohin der Datenverkehr gehen soll.

In unserem Fall überwacht der Collector den Datenverkehr auf Port UDP/2055.

Schritt 4. Netzwerkgeräte für den Flow-Export konfigurieren

Das Einrichten von NetFlow auf Cisco Systems-Geräten kann wahrscheinlich als eine völlig normale Aufgabe für jeden Netzwerkadministrator bezeichnet werden. Für unser Beispiel nehmen wir etwas Ungewöhnlicheres. Zum Beispiel der MikroTik RB2011UiAS-2HnD-Router. Ja, seltsamerweise unterstützt eine solche Budgetlösung für kleine Büros und Heimbüros auch die Protokolle NetFlow v5/v9 und IPFIX. Legen Sie in den Einstellungen das Ziel fest (Collector-Adresse 192.168.78.198 und Port 2055):

Und fügen Sie alle für den Export verfügbaren Metriken hinzu:

An dieser Stelle können wir sagen, dass die Grundeinrichtung abgeschlossen ist. Wir prüfen, ob Verkehr in das System gelangt.

Schritt 5: Testen und Betreiben des Netzwerkleistungsüberwachungs- und Diagnosemoduls

Sie können im Abschnitt überprüfen, ob Datenverkehr von der Quelle vorhanden ist Flowmon Monitoring Center –> Quellen:

Wir sehen, dass Daten in das System gelangen. Einige Zeit nachdem der Collector Datenverkehr gesammelt hat, beginnen die Widgets mit der Anzeige von Informationen:

Das System ist nach dem Drill-Down-Prinzip aufgebaut. Das heißt, der Benutzer „fällt“ bei der Auswahl eines interessierenden Fragments in einem Diagramm oder Diagramm auf die Datentiefe, die er benötigt:

Bis hin zu Informationen zu jeder Netzwerkverbindung und Verbindung:

Schritt 6. Sicherheitsmodul zur Anomalieerkennung

Dieses Modul kann aufgrund der Verwendung signaturfreier Methoden zur Erkennung von Anomalien im Netzwerkverkehr und böswilliger Netzwerkaktivität als vielleicht eines der interessantesten bezeichnet werden. Dies ist jedoch kein Analogon zu IDS/IPS-Systemen. Die Arbeit mit dem Modul beginnt mit seiner „Ausbildung“. Dazu legt ein spezieller Assistent alle wichtigen Komponenten und Dienste des Netzwerks fest, darunter:

• Gateway-Adressen, DNS-, DHCP- und NTP-Server,
• Adressierung in Benutzer- und Serversegmenten.

Danach geht das System in den Trainingsmodus, der durchschnittlich 2 Wochen bis 1 Monat dauert. Während dieser Zeit generiert das System Basisdatenverkehr, der für unser Netzwerk spezifisch ist. Vereinfacht gesagt lernt das System:

• Welches Verhalten ist typisch für Netzwerkknoten?
• Welche Datenmengen werden typischerweise übertragen und sind für das Netzwerk normal?
• Was ist die typische Betriebszeit für Benutzer?
• Welche Anwendungen laufen im Netzwerk?
• und vieles mehr..

Als Ergebnis erhalten wir ein Tool, das etwaige Anomalien in unserem Netzwerk und Abweichungen vom typischen Verhalten erkennt. Hier sind einige Beispiele, die das System Ihnen ermöglicht, Folgendes zu erkennen:

• Verbreitung neuer Malware im Netzwerk, die von Antivirensignaturen nicht erkannt wird;
• Aufbau von DNS-, ICMP- oder anderen Tunneln und Übertragung von Daten unter Umgehung der Firewall;
• das Erscheinen eines neuen Computers im Netzwerk, der sich als DHCP- und/oder DNS-Server ausgibt.

Mal sehen, wie es live aussieht. Nachdem Ihr System trainiert und eine Basislinie des Netzwerkverkehrs erstellt wurde, beginnt es mit der Erkennung von Vorfällen:

Die Hauptseite des Moduls ist eine Zeitleiste mit der Anzeige identifizierter Vorfälle. In unserem Beispiel sehen wir einen deutlichen Anstieg, etwa zwischen 9 und 16 Stunden. Wählen wir es aus und schauen wir es uns genauer an.

Das anormale Verhalten des Angreifers im Netzwerk ist deutlich sichtbar. Alles beginnt damit, dass der Host mit der Adresse 192.168.3.225 einen horizontalen Scan des Netzwerks auf Port 3389 (Microsoft RDP-Dienst) startete und 14 potenzielle „Opfer“ fand:

и

Der folgende aufgezeichnete Vorfall – Host 192.168.3.225 startet einen Brute-Force-Angriff auf Brute-Force-Passwörter auf dem RDP-Dienst (Port 3389) an den zuvor identifizierten Adressen:

Als Folge des Angriffs wird auf einem der gehackten Hosts eine SMTP-Anomalie festgestellt. Mit anderen Worten, SPAM hat begonnen:

Dieses Beispiel ist eine klare Demonstration der Fähigkeiten des Systems und insbesondere des Anomaly Detection Security-Moduls. Beurteilen Sie selbst die Wirksamkeit. Damit ist der Funktionsüberblick über die Lösung abgeschlossen.

Abschluss

Fassen wir zusammen, welche Schlussfolgerungen wir über Flowmon ziehen können:

• Flowmon ist eine Premium-Lösung für Firmenkunden;
• Dank seiner Vielseitigkeit und Kompatibilität ist die Datenerfassung aus jeder Quelle möglich: Netzwerkgeräten (Cisco, Juniper, HPE, Huawei...) oder Ihren eigenen Sonden (Flowmon Probe);
• Dank der Skalierbarkeit der Lösung können Sie die Funktionalität des Systems durch das Hinzufügen neuer Module erweitern und dank eines flexiblen Lizenzierungsansatzes die Produktivität steigern.
• Durch den Einsatz signaturfreier Analysetechnologien ermöglicht das System die Erkennung von Zero-Day-Angriffen, die selbst Antiviren- und IDS/IPS-Systemen unbekannt sind;
• Dank der vollständigen „Transparenz“ hinsichtlich der Installation und Präsenz des Systems im Netzwerk beeinträchtigt die Lösung nicht den Betrieb anderer Knoten und Komponenten Ihrer IT-Infrastruktur.
• Flowmon ist die einzige Lösung auf dem Markt, die die Verkehrsüberwachung mit Geschwindigkeiten von bis zu 100 Gbit/s unterstützt;
• Flowmon ist eine Lösung für Netzwerke jeder Größe;
• das beste Preis-/Funktionsverhältnis unter ähnlichen Lösungen.

In diesem Test haben wir weniger als 10 % der Gesamtfunktionalität der Lösung untersucht. Im nächsten Artikel werden wir über die verbleibenden Module von Flowmon Networks sprechen. Am Beispiel des Application Performance Monitoring-Moduls zeigen wir, wie Administratoren von Geschäftsanwendungen die Verfügbarkeit auf einem bestimmten SLA-Level sicherstellen und Probleme schnellstmöglich diagnostizieren können.

Außerdem möchten wir Sie zu unserem Webinar (10.09.2019) einladen, das den Lösungen des Anbieters Flowmon Networks gewidmet ist. Um eine Voranmeldung bitten wir Sie hier registrieren.
Das ist alles fürs Erste, vielen Dank für Ihr Interesse!

An der Umfrage können nur registrierte Benutzer teilnehmen. Einloggenbitte.

Verwenden Sie Netflow zur Netzwerküberwachung?

• Ja

• Nein, aber ich habe es vor

• Nein

9 Benutzer haben abgestimmt. 3 Benutzer enthielten sich der Stimme.

Source: habr.com