Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

In letzter Zeit findet man im Internet eine enorme Menge an Materialien zum Thema Traffic-Analyse an der Netzwerkgarde. Dabei haben alle scheinbar völlig vergessen über die Analyse des lokalen Traffics, die nicht weniger wichtig ist. Dieser Artikel beschäftigt sich genau mit diesem Thema. Am Beispiel von Flowmon Networks erinnern wir uns an das gute alte Netflow (und seine Alternativen), betrachten interessante Anwendungsfälle, mögliche Anomalien im Netzwerk und entdecken die Vorteile einer Lösung, wenn das gesamte Netzwerk als ein einziger Sensor funktioniert. Und das Wichtigste ist – eine solche Analyse des lokalen Traffics kann völlig kostenlos im Rahmen einer Trial-Lizenz durchgeführt werden (45 Tage). Wenn Sie Interesse an dem Thema haben, sind Sie herzlich eingeladen, weiterzulesen. Falls Sie keine Lust zu lesen haben, können Sie sich vorab für das kommende Webinaranmelden, wo wir alles zeigen und erklären (dort können Sie auch Informationen über die bevorstehende Produktschulung erhalten).

Was ist Flowmon Networks?

Zunächst einmal ist Flowmon ein europäischer IT-Anbieter. Das Unternehmen ist tschechisch und hat seinen Hauptsitz in Brünn (Fragen zu Sanktionen sind nicht relevant). In seiner aktuellen Form ist das Unternehmen seit 2007 auf dem Markt. Davor war es unter der Marke Invea-Tech bekannt. Insgesamt wurden also fast 20 Jahre in die Entwicklung von Produkten und Lösungen investiert.

Flowmon positioniert sich als Marke der Spitzenklasse. Es entwickelt hochwertige Lösungen für Unternehmenskunden und wird in den Gartner-Quadranten für Network Performance Monitoring and Diagnostics (NPMD) aufgeführt. Interessanterweise ist Flowmon das einzige Unternehmen in diesem Bericht, das von Gartner sowohl als Anbieter von Lösungen für Netzwerkmonitoring als auch für Informationsschutz (Network Behavior Analysis) anerkannt wird. Es belegt zwar nicht den ersten Platz, ist aber auch nicht als Flügel eines Boeings eingestuft.

Welche Probleme kann das Produkt lösen?

Generell können die Produkte des Unternehmens folgende Aufgaben lösen:

  1. Erhöhung der Stabilität der Netzwerkoperationen sowie der Netzwerkressourcen durch Minimierung von Ausfallzeiten und nicht verfügbarer Zeiten;
  2. Erhöhung der Gesamtleistung des Netzwerks;
  3. Steigerung der Effizienz des administrierenden Personals durch:
    • den Einsatz modernster innovativer Netzwerküberwachungstools, die auf Informationen über IP-Streams basieren;
    • die Bereitstellung detaillierter Analysen über die Funktionsweise und den Zustand des Netzwerks – einschließlich der Benutzer und Anwendungen, die im Netzwerk tätig sind, übertragener Daten, interagierender Ressourcen, Dienste und Knoten;
    • die Reaktion auf Vorfälle, bevor sie auftreten, anstatt nach einem Dienstverlust für Benutzer und Kunden;
    • die Verringerung der Zeit und Ressourcen, die für die Verwaltung von Netzwerk und IT-Infrastruktur erforderlich sind;
    • die Vereinfachung von Fehlersucheaufgaben.
  4. Erhöhung des Sicherheitsniveaus des Netzwerks und der Informationsressourcen des Unternehmens durch den Einsatz nicht-signaturbasierter Technologien zur Erkennung anomaler und schädlicher Netzwerkaktivitäten sowie von Zero-Day-Angriffen;
  5. Sicherstellung des erforderlichen SLA-Niveaus für Netzwerk- und Datenbankanwendungen.

Produktportfolio von Flowmon Networks

Lassen Sie uns nun direkt auf das Produktportfolio von Flowmon Networks eingehen und herausfinden, was das Unternehmen genau tut. Wie viele von Ihnen bereits aus dem Namen erraten haben, liegt die Hauptspezialisierung auf Lösungen zur Überwachung von Netzwerkströmen, ergänzt durch eine Reihe von zusätzlichen Modulen, die die Grundfunktionen erweitern.

Tatsächlich kann man Flowmon als ein Unternehmen mit nur einem Produkt oder besser gesagt – einer Lösung bezeichnen. Lassen Sie uns herausfinden, ob das gut oder schlecht ist.

Das Herzstück des Systems ist der Collector, der für die Datensammlung über verschiedene Flow-Protokolle zuständig ist, wie NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX… Es ist durchaus logisch, dass ein Unternehmen, das mit keinem der Hersteller von Netzwerktechnologie verbunden ist, ein universelles Produkt anbieten möchte, das nicht an einen bestimmten Standard oder ein Protokoll gebunden ist.

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.
Flowmon Collector

Der Collector wird sowohl als Hardware-Server als auch als virtuelle Maschine (VMware, Hyper-V, KVM) angeboten. Übrigens basiert die Hardware-Plattform auf maßgeschneiderten DELL-Servern, was die meisten Fragen zur Garantie und RMA automatisch klärt. Die einzige Eigenentwicklung sind die FPGA-Traffic-Capture-Boards, die von der Tochtergesellschaft Flowmon entwickelt wurden und Monitoring-Geschwindigkeiten von bis zu 100 Gbps ermöglichen.

Was ist jedoch zu tun, wenn die vorhandene Netzwerkausrüstung keine qualitativ hochwertigen Flows erzeugen kann? Oder wenn die Belastung der Geräte zu hoch ist? Keine Sorge:

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.
Flowmon Probe

In diesem Fall bietet Flowmon Networks an, eigene Sonden (Flowmon Probe) zu verwenden, die über den SPAN-Port des Switches oder mit passiven TAP-Abzweigungen in das Netzwerk angeschlossen werden.

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.
SPAN (Mirror-Port) und TAP Implementierungsoptionen

In diesem Fall wird der "rohe" Traffic, der auf die Flowmon Probe eintrifft, in ein erweitertes IPFIX umgewandelt, das mehr als 240 Metriken mit Informationen enthält. Während im Standard-NetFlow-Protokoll, das von Netzwerkgeräten generiert wird, nicht mehr als 80 Metriken enthalten sind, ermöglicht dies die Sichtbarkeit von Protokollen nicht nur auf den Schichten 3 und 4, sondern auch auf Schicht 7 des ISO-OSI-Modells. Dies bedeutet, dass Netzwerkadministratoren die Funktionsweise von Anwendungen und Protokollen wie E-Mail, HTTP, DNS, SMB usw. überwachen können.

Konzeptionell sieht die logische Architektur des Systems folgendermaßen aus:

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

Das zentrale Element des gesamten „Ökosystems“ von Flowmon Networks ist der Collector, der den Datenverkehr von vorhandenen Netzwerkgeräten oder eigenen Sonden (Probe) erhält. Für eine Unternehmenslösung wäre es jedoch viel zu einfach, ausschließlich das Monitoring des Netzwerkverkehrs anzubieten. Das können auch Open-Source-Lösungen, wenn auch nicht mit derselben Leistung. Der Wert von Flowmon liegt in den zusätzlichen Modulen, die die grundlegenden Funktionen erweitern:

  • Modul Anomalieerkennungssicherheit – Erkennung anomalem Netzwerkverhaltens, einschließlich Zero-Day-Angriffen, basierend auf heuristischer Analyse des Datenverkehrs und eines typischen Netzwerkprofils;
  • Modul Application Performance Monitoring – Überwachung der Leistungsfähigkeit von Netzwerkapplikationen ohne Installation von „Agents“ und ohne Einfluss auf die Zielsysteme;
  • Modul Traffic Recorder – Aufzeichnung von Netzwerkverkehrsfragmente nach festgelegten Regeln oder durch Trigger des ADS-Moduls, zur weiteren Fehlersuche und/oder Untersuchung von Sicherheitsvorfällen;
  • Modul DDoS-Schutz – Schutz des Netzwerkperimeters vor volumetrischen DoS/DDoS-Angriffen, einschließlich Angriffe auf Anwendungen (OSI L3/L4/L7).

In diesem Artikel werden wir live demonstrieren, wie alles funktioniert am Beispiel von 2 Modulen – Netzwerkleistungsüberwachung und Diagnostik und Anomalieerkennungssicherheit.
Eckdaten:

  • Lenovo RS 140 Server mit VMware 6.0 Hypervisor;
  • Abbild der Flowmon Collector virtuellen Maschine, das man hier herunterladen;
  • ein Paar Switches mit Unterstützung für Flow-Protokolle.

Schritt 1. Installation des Flowmon Collectors

Die Implementierung der virtuellen Maschine auf VMware erfolgt ganz standardmäßig aus einer OVF-Vorlage. Am Ende erhalten wir eine virtuelle Maschine, die CentOS betreibt und mit funktionierender Software ausgestattet ist. Die Ressourcenanforderungen sind moderat:

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

Es bleibt nur, die grundlegende Initialisierung mit dem Befehl auszuführen sysconfig:

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

Konfigurieren Sie die IP am Management-Port, DNS, Zeit, Hostname und können Sie sich mit der WEB-Oberfläche verbinden.

Schritt 2. Lizenzinstallation

Eine Testlizenz von anderthalb Monaten wird zusammen mit dem Abbild der virtuellen Maschine generiert und heruntergeladen. Sie wird über Configuration Center -> Lizenz. Am Ende sehen wir:

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

Alles ist bereit. Sie können mit der Arbeit beginnen.

Schritt 3. Konfiguration des Empfängers im Collector

In diesem Schritt müssen wir entscheiden, auf welche Weise die Daten von den Quellen in das System gelangen. Wie bereits erwähnt, kann dies ein Protokoll aus den Flow-Protokollen oder der SPAN-Port am Switch sein.

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

In unserem Beispiel verwenden wir die Datenaufnahme über die Protokolle NetFlow v9 und IPFIX. In diesem Fall geben wir die IP-Adresse des Management-Interfaces an – 192.168.78.198. Die Interfaces eth2 und eth3 (mit dem Typ Monitoring Interface) werden verwendet, um eine Kopie des „rohen“ Traffics vom SPAN-Port des Switches zu empfangen. Diese lassen wir weg, das ist nicht unser Fall.
Dann überprüfen wir den Port des Collectors, an den der Traffic gesendet werden soll.

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

In unserem Fall erwartet der Collector den Traffic am Port UDP/2055.

Schritt 4. Konfiguration der Netzwerkgeräte für den Export von Flows

Die Konfiguration von NetFlow auf Cisco Systems Geräten ist für jeden Netzwerkadministrator wohl ein alltägliches Unterfangen. Für unser Beispiel nehmen wir jedoch etwas Ungewöhnlicheres. Zum Beispiel den MikroTik RB2011UiAS-2HnD-Router. Ja, überraschenderweise unterstützt auch dieses kostengünstige Gerät für kleine und Heim-Büros die Protokolle NetFlow v5/v9 und IPFIX. In den Einstellungen definieren wir das Ziel (Collector-Adresse 192.168.78.198 und Port 2055):

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

Und fügen alle verfügbaren Metriken für den Export hinzu:

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

An dieser Stelle können wir sagen, dass die grundlegende Konfiguration abgeschlossen ist. Überprüfen wir, ob der Datenverkehr im System ankommt.

Schritt 5. Überprüfung und Nutzung des Moduls für Netzwerkleistungsüberwachung und -diagnose

Die Anwesenheit des Datenverkehrs von der Quelle kann im Abschnitt überprüft werden Flowmon Monitoring Center –> Quellen:

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

Wir sehen, dass Daten im System ankommen. Nach einer gewissen Zeit, in der der Collector den Datenverkehr akkumuliert, beginnen die Widgets, Informationen anzuzeigen:

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

Das System ist nach dem Prinzip des Drilldowns aufgebaut. Das heißt, der Benutzer kann durch Auswahl eines interessanten Teils des Diagramms oder Grafiks bis zu der Datenebene gelangen, die er benötigt:

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

Bis hin zu Informationen über jede Netzwerkverbindung und jeden Kontakt:

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

Schritt 6. Modul zur Anomaliedetektion

Dieses Modul zählt wohl zu den interessantesten, da es signaturfreie Methoden zur Erkennung von Anomalien im Netzwerkverkehr und bösartiger Netzwerkaktivität nutzt. Es ist jedoch kein IDS/IPS-System. Die Arbeit mit dem Modul beginnt mit seiner 'Schulung'. Hierzu werden in einem speziellen Wizard alle Schlüsselkomponenten und Dienste des Netzwerks angegeben, einschließlich:

  • Adressen von Gateway-, DNS-, DHCP- und NTP-Servern,
  • Adressierung in den Benutzer- und Serversegmenten.

Danach wechselt das System in den Lernmodus, der durchschnittlich zwischen 2 Wochen und 1 Monat dauert. In dieser Zeit bildet das System eine Baseline des Verkehrs, der für unser Netzwerk charakteristisch ist. Einfacher ausgedrückt, das System lernt:

  • Welches Verhalten für die Netzwerknoten typischerweise ist?
  • Welche Datenmengen normalerweise übertragen werden und für das Netzwerk als normal gelten?
  • Welche Arbeitszeiten für die Benutzer typisch sind?
  • Welche Anwendungen im Netzwerk verwendet werden?
  • und vieles mehr.

Am Ende erhalten wir ein Werkzeug, das jede Anomalie in unserem Netzwerk und Abweichungen vom charakteristischen Verhalten aufdeckt. Hier sind ein paar Beispiele, die das System erkennen kann:

  • Verbreitung von neuartiger, vom Antivirenprogramm nicht erkennbarer Malware im Netzwerk;
  • Aufbau von DNS-, ICMP- oder anderen Tunneln und Datenübertragungen zur Umgehung der Firewall;
  • Erscheinen eines neuen Computers im Netzwerk, der sich als DHCP- und/oder DNS-Server ausgibt.

Lassen Sie uns ansehen, wie das in der Praxis aussieht. Nachdem Ihr System trainiert wurde und eine Basislinie des Netzwerkverkehrs erstellt hat, beginnt es, Vorfälle zu erkennen:

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

Die Hauptseite des Moduls zeigt einen Zeitverlauf mit erkannten Vorfällen an. In unserem Beispiel sehen wir einen deutlichen Anstieg, etwa zwischen 9 und 16 Uhr. Wir heben ihn hervor und sehen näher hin.

Deutlich ist das anomale Verhalten eines Angreifers im Netzwerk zu erkennen. Alles beginnt damit, dass ein Host mit der Adresse 192.168.3.225 mit einem Horizontal-Scan des Netzwerks über Port 3389 (Microsoft RDP-Dienst) startet und 14 potenzielle 'Opfer' findet:

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

und

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

Der nächste festgestellte Vorfall – der Host 192.168.3.225 startet einen Brute-Force-Angriff zur Passwortüberprüfung auf den RDP-Dienst (Port 3389) bei den zuvor erkannten Adressen:

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

Infolge des Angriffs auf einem der kompromittierten Hosts wird eine SMTP-Anomalie festgestellt. Anders gesagt, es hat mit dem Versenden von SPAM begonnen:

Netzwerküberwachung und Erkennung anomaler Netzwerkaktivitäten mithilfe von Lösungen von Flowmon Networks.

Dieses Beispiel demonstriert anschaulich die Möglichkeiten des Systems und des Moduls Anomaly Detection Security. Über die Effektivität können Sie sich selbst ein Urteil bilden. Damit schließen wir den funktionalen Überblick über die Lösung ab.

Fazit

Zusammenfassend können wir folgende Erkenntnisse über Flowmon festhalten:

  • Flowmon ist eine Premiumlösung für Unternehmenskunden;
  • Dank der Vielseitigkeit und Kompatibilität ist die Datenerfassung aus verschiedensten Quellen möglich: von Netzwerkgeräten (Cisco, Juniper, HPE, Huawei…) oder eigenen Sonden (Flowmon Probe);
  • Die Skalierbarkeit der Lösung ermöglicht es, die Funktionalität des Systems durch das Hinzufügen neuer Module zu erweitern und die Leistung durch einen flexiblen Lizenzansatz zu steigern;
  • Durch den Einsatz signaturfreier Analysetechnologien kann das System sogar unbekannte Zero-Day-Angriffe entdecken, die Antiviren- und IDS/IPS-Systemen unbekannt sind;
  • Dank der vollständigen 'Transparenz' bezüglich der Installation und Präsenz des Systems im Netzwerk hat die Lösung keinen Einfluss auf den Betrieb anderer Knoten und Komponenten Ihrer IT-Infrastruktur.
  • Flowmon – die einzige Lösung auf dem Markt, die den Traffic-Monitoring bis zu Geschwindigkeiten von 100 Gbit/s unterstützt;
  • Flowmon – eine Lösung für Netzwerke jeder Größenordnung;
  • das beste Preis-Leistungs-Verhältnis unter ähnlichen Lösungen.

In diesem Überblick haben wir weniger als 10 % der Gesamtfunktionen der Lösung behandelt. Im nächsten Artikel werden wir die verbleibenden Module von Flowmon Networks vorstellen. Am Beispiel des Moduls Application Performance Monitoring zeigen wir, wie Administratoren von Geschäftsanwendungen die Verfügbarkeit gemäß dem vereinbarten SLA sicherstellen und Probleme schnell diagnostizieren können.

Wir möchten Sie auch zu unserem Webinar (10.09.2019) einladen, das sich mit Lösungen des Anbieters Flowmon Networks befasst. Für die vorzeitige Registrierung bitten wir Sie sich hier zu registrieren.
Das ist vorerst alles, vielen Dank für Ihr Interesse!

Nur registrierte Benutzer können an der Umfrage teilnehmen. Bitte melden Sie sich an.Sind Sie an Contour interessiert?

Verwenden Sie Netflow zur Überwachung Ihres Netzwerks?

  • Ja

  • Nein, aber ich plane es.

  • Nein

9 Nutzer haben abgestimmt. 3 Nutzer haben sich enthalten.

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster