🥇 Παρακολούθηση δικτύου και ανίχνευση ανώμαλης δραστηριότητας δικτύου χρησιμοποιώντας λύσεις Flowmon Networks

Πρόσφατα, μπορείτε να βρείτε μια τεράστια ποσότητα υλικού για το θέμα στο Διαδίκτυο. ανάλυση κυκλοφορίας στην περίμετρο του δικτύου. Ταυτόχρονα, για κάποιο λόγο όλοι το ξέχασαν τελείως ανάλυση τοπικής κυκλοφορίας, το οποίο δεν είναι λιγότερο σημαντικό. Αυτό το άρθρο πραγματεύεται ακριβώς αυτό το θέμα. Για παράδειγμα Δίκτυα Flowmon θα θυμηθούμε το παλιό καλό Netflow (και τις εναλλακτικές του), θα δούμε ενδιαφέρουσες περιπτώσεις, πιθανές ανωμαλίες στο δίκτυο και θα ανακαλύψουμε τα πλεονεκτήματα της λύσης όταν ολόκληρο το δίκτυο λειτουργεί ως ένας ενιαίος αισθητήρας. Και το πιο σημαντικό, μπορείτε να πραγματοποιήσετε μια τέτοια ανάλυση της τοπικής κυκλοφορίας εντελώς δωρεάν, στο πλαίσιο μιας δοκιμαστικής άδειας (45 ημέρες). Εάν το θέμα σας ενδιαφέρει, καλώς ήρθατε στο cat. Εάν είστε πολύ τεμπέλης για να διαβάσετε, τότε, κοιτάζοντας μπροστά, μπορείτε να εγγραφείτε επερχόμενο διαδικτυακό σεμινάριο, όπου θα σας δείξουμε και θα σας πούμε τα πάντα (μπορείτε επίσης να μάθετε για την επερχόμενη εκπαίδευση προϊόντων εκεί).

Τι είναι το Flowmon Networks;

Πρώτα απ 'όλα, η Flowmon είναι ένας ευρωπαϊκός προμηθευτής πληροφορικής. Η εταιρεία είναι Τσέχικη, με έδρα το Μπρνο (δεν τίθεται καν θέμα κυρώσεων). Με τη σημερινή της μορφή, η εταιρεία βρίσκεται στην αγορά από το 2007. Προηγουμένως, ήταν γνωστό με την επωνυμία Invea-Tech. Έτσι, συνολικά, δαπανήθηκαν σχεδόν 20 χρόνια για την ανάπτυξη προϊόντων και λύσεων.

Το Flowmon τοποθετείται ως επωνυμία κατηγορίας Α. Αναπτύσσει λύσεις premium για εταιρικούς πελάτες και αναγνωρίζεται στα πλαίσια Gartner για την παρακολούθηση και διαγνωστικά απόδοσης δικτύου (NPMD). Επιπλέον, είναι ενδιαφέρον ότι από όλες τις εταιρείες στην έκθεση, η Flowmon είναι ο μόνος προμηθευτής που σημειώνεται από τη Gartner ως κατασκευαστής λύσεων τόσο για την παρακολούθηση δικτύου όσο και για την προστασία πληροφοριών (Network Behavior Analysis). Δεν έχει πάρει ακόμη την πρώτη θέση, αλλά λόγω αυτού δεν στέκεται σαν πτέρυγα Boeing.

Ποια προβλήματα επιλύει το προϊόν;

Σε παγκόσμιο επίπεδο, μπορούμε να διακρίνουμε την ακόλουθη ομάδα εργασιών που επιλύονται από τα προϊόντα της εταιρείας:

αύξηση της σταθερότητας του δικτύου, καθώς και των πόρων του δικτύου, ελαχιστοποιώντας το χρόνο διακοπής λειτουργίας και τη μη διαθεσιμότητα τους·
αύξηση του συνολικού επιπέδου απόδοσης του δικτύου·
αύξηση της αποτελεσματικότητας του διοικητικού προσωπικού λόγω:
- χρήση σύγχρονων καινοτόμων εργαλείων παρακολούθησης δικτύου που βασίζονται σε πληροφορίες σχετικά με τις ροές IP.
- παροχή λεπτομερών αναλύσεων σχετικά με τη λειτουργία και την κατάσταση του δικτύου - χρήστες και εφαρμογές που εκτελούνται στο δίκτυο, μεταδιδόμενα δεδομένα, αλληλεπιδρώντες πόροι, υπηρεσίες και κόμβοι·
- ανταπόκριση σε περιστατικά πριν συμβούν και όχι αφού οι χρήστες και οι πελάτες χάσουν την υπηρεσία·
- μείωση του χρόνου και των πόρων που απαιτούνται για τη διαχείριση του δικτύου και της υποδομής πληροφορικής·
- απλοποίηση εργασιών αντιμετώπισης προβλημάτων.
αύξηση του επιπέδου ασφάλειας του δικτύου και των πόρων πληροφοριών της επιχείρησης, μέσω της χρήσης τεχνολογιών χωρίς υπογραφή για τον εντοπισμό ανώμαλων και κακόβουλων δραστηριοτήτων δικτύου, καθώς και «επιθέσεις μηδενικής ημέρας».
εξασφάλιση του απαιτούμενου επιπέδου SLA για εφαρμογές δικτύου και βάσεις δεδομένων.

Χαρτοφυλάκιο προϊόντων Flowmon Networks

Τώρα ας δούμε απευθείας το χαρτοφυλάκιο προϊόντων της Flowmon Networks και ας μάθουμε τι ακριβώς κάνει η εταιρεία. Όπως πολλοί έχουν ήδη μαντέψει από το όνομα, η κύρια εξειδίκευση είναι σε λύσεις παρακολούθησης ροής ροής ροής κίνησης, καθώς και σε μια σειρά από πρόσθετες μονάδες που επεκτείνουν τη βασική λειτουργικότητα.

Στην πραγματικότητα, η Flowmon μπορεί να ονομαστεί εταιρεία ενός προϊόντος, ή μάλλον, μιας λύσης. Ας δούμε αν αυτό είναι καλό ή κακό.

Ο πυρήνας του συστήματος είναι ο συλλέκτης, ο οποίος είναι υπεύθυνος για τη συλλογή δεδομένων χρησιμοποιώντας διάφορα πρωτόκολλα ροής, όπως π.χ. NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Είναι πολύ λογικό ότι για μια εταιρεία που δεν συνδέεται με κανέναν κατασκευαστή εξοπλισμού δικτύου, είναι σημαντικό να προσφέρει στην αγορά ένα καθολικό προϊόν που δεν συνδέεται με κανένα πρότυπο ή πρωτόκολλο.

Συλλέκτης Flowmon

Ο συλλέκτης είναι διαθέσιμος τόσο ως διακομιστής υλικού όσο και ως εικονική μηχανή (VMware, Hyper-V, KVM). Παρεμπιπτόντως, η πλατφόρμα υλικού υλοποιείται σε προσαρμοσμένους διακομιστές DELL, γεγονός που εξαλείφει αυτόματα τα περισσότερα προβλήματα με την εγγύηση και το RMA. Τα μόνα ιδιόκτητα στοιχεία υλικού είναι οι κάρτες καταγραφής κίνησης FPGA που αναπτύχθηκαν από μια θυγατρική της Flowmon, οι οποίες επιτρέπουν την παρακολούθηση σε ταχύτητες έως και 100 Gbps.

Τι να κάνετε όμως εάν ο υπάρχων εξοπλισμός δικτύου δεν είναι σε θέση να δημιουργήσει ροή υψηλής ποιότητας; Ή είναι πολύ υψηλό το φορτίο στον εξοπλισμό; Κανένα πρόβλημα:

Flowmon Prob

Σε αυτήν την περίπτωση, η Flowmon Networks προσφέρει τη χρήση των δικών της ανιχνευτών (Flowmon Probe), οι οποίοι συνδέονται στο δίκτυο μέσω της θύρας SPAN του μεταγωγέα ή χρησιμοποιώντας παθητικούς διαχωριστές TAP.

Επιλογές υλοποίησης SPAN (θύρα καθρέφτη) και TAP

Σε αυτήν την περίπτωση, η πρωτογενής κίνηση που φτάνει στο Flowmon Probe μετατρέπεται σε ένα διευρυμένο IPFIX που περιέχει περισσότερα 240 μετρήσεις με πληροφορίες. Ενώ το τυπικό πρωτόκολλο NetFlow που δημιουργείται από εξοπλισμό δικτύου δεν περιέχει περισσότερες από 80 μετρήσεις. Αυτό επιτρέπει την ορατότητα του πρωτοκόλλου όχι μόνο στα επίπεδα 3 και 4, αλλά και στο επίπεδο 7 σύμφωνα με το μοντέλο ISO OSI. Ως αποτέλεσμα, οι διαχειριστές δικτύου μπορούν να παρακολουθούν τη λειτουργία εφαρμογών και πρωτοκόλλων όπως e-mail, HTTP, DNS, SMB...

Εννοιολογικά, η λογική αρχιτεκτονική του συστήματος μοιάζει με αυτό:

Το κεντρικό τμήμα ολόκληρου του «οικοσυστήματος» της Flowmon Networks είναι ο Συλλέκτης, ο οποίος λαμβάνει κίνηση από τον υπάρχοντα εξοπλισμό δικτύου ή τους δικούς του ανιχνευτές (Probe). Αλλά για μια λύση Enterprise, η παροχή λειτουργικότητας αποκλειστικά για την παρακολούθηση της κυκλοφορίας του δικτύου θα ήταν πολύ απλή. Οι λύσεις ανοιχτού κώδικα μπορούν επίσης να το κάνουν αυτό, αν και όχι με τέτοια απόδοση. Η αξία του Flowmon είναι πρόσθετες ενότητες που επεκτείνουν τη βασική λειτουργικότητα:

μονάδα Ασφάλεια ανίχνευσης ανωμαλιών – προσδιορισμός ανώμαλης δραστηριότητας δικτύου, συμπεριλαμβανομένων των επιθέσεων zero-day, με βάση την ευρετική ανάλυση της κυκλοφορίας και ένα τυπικό προφίλ δικτύου.
μονάδα Παρακολούθηση επιδόσεων εφαρμογών – παρακολούθηση της απόδοσης των εφαρμογών δικτύου χωρίς την εγκατάσταση «πρακτόρων» και την επιρροή συστημάτων στόχων.
μονάδα Καταγραφέας κυκλοφορίας – καταγραφή θραυσμάτων κίνησης δικτύου σύμφωνα με ένα σύνολο προκαθορισμένων κανόνων ή σύμφωνα με μια ενεργοποίηση από τη μονάδα ADS, για περαιτέρω αντιμετώπιση προβλημάτων ή/και διερεύνηση περιστατικών ασφάλειας πληροφοριών.
μονάδα Προστασία DDoS – προστασία της περιμέτρου του δικτύου από ογκομετρικές επιθέσεις άρνησης υπηρεσίας DoS/DDoS, συμπεριλαμβανομένων επιθέσεων σε εφαρμογές (OSI L3/L4/L7).

Σε αυτό το άρθρο, θα δούμε πώς λειτουργούν όλα ζωντανά χρησιμοποιώντας το παράδειγμα 2 ενοτήτων - Παρακολούθηση και διαγνωστικά απόδοσης δικτύου и Ασφάλεια ανίχνευσης ανωμαλιών.
Δεδομένα προέλευσης:

Διακομιστής Lenovo RS 140 με hypervisor VMware 6.0.
Εικόνα εικονικής μηχανής Flowmon Collector που μπορείτε κατέβασε εδώ;
ένα ζεύγος διακοπτών που υποστηρίζουν πρωτόκολλα ροής.

Βήμα 1. Εγκαταστήστε το Flowmon Collector

Η ανάπτυξη μιας εικονικής μηχανής στο VMware πραγματοποιείται με εντελώς τυπικό τρόπο από το πρότυπο OVF. Ως αποτέλεσμα, έχουμε μια εικονική μηχανή με CentOS και έτοιμο προς χρήση λογισμικό. Οι απαιτήσεις σε πόρους είναι ανθρώπινες:

Το μόνο που μένει είναι να εκτελέσετε τη βασική προετοιμασία χρησιμοποιώντας την εντολή sysconfig:

Ρυθμίζουμε IP στη θύρα διαχείρισης, DNS, ώρα, όνομα κεντρικού υπολογιστή και μπορούμε να συνδεθούμε στη διεπαφή WEB.

Βήμα 2. Εγκατάσταση άδειας χρήσης

Μια δοκιμαστική άδεια χρήσης για ενάμιση μήνα δημιουργείται και γίνεται λήψη μαζί με την εικόνα της εικονικής μηχανής. Φορτώθηκε μέσω Κέντρο διαμόρφωσης -> Άδεια χρήσης. Ως αποτέλεσμα βλέπουμε:

Όλα είναι έτοιμα. Μπορείτε να αρχίσετε να εργάζεστε.

Βήμα 3. Ρύθμιση του δέκτη στον συλλέκτη

Σε αυτό το στάδιο, πρέπει να αποφασίσετε πώς το σύστημα θα λαμβάνει δεδομένα από πηγές. Όπως είπαμε νωρίτερα, αυτό θα μπορούσε να είναι ένα από τα πρωτόκολλα ροής ή μια θύρα SPAN στον διακόπτη.

Στο παράδειγμά μας, θα χρησιμοποιήσουμε τη λήψη δεδομένων χρησιμοποιώντας πρωτόκολλα NetFlow v9 και IPFIX. Σε αυτήν την περίπτωση, καθορίζουμε τη διεύθυνση IP της διεπαφής διαχείρισης ως στόχο - 192.168.78.198. Οι διεπαφές eth2 και eth3 (με τον τύπο διασύνδεσης παρακολούθησης) χρησιμοποιούνται για τη λήψη αντιγράφου της «ακατέργαστης» κίνησης από τη θύρα SPAN του μεταγωγέα. Τους αφήσαμε να περάσουν, όχι η περίπτωσή μας.
Στη συνέχεια, ελέγχουμε τη θύρα συλλογής όπου πρέπει να πάει η κίνηση.

Στην περίπτωσή μας, ο συλλέκτης ακούει την κίνηση στη θύρα UDP/2055.

Βήμα 4. Διαμόρφωση εξοπλισμού δικτύου για εξαγωγή ροής

Η εγκατάσταση του NetFlow σε εξοπλισμό Cisco Systems μπορεί πιθανώς να ονομαστεί μια εντελώς κοινή εργασία για οποιονδήποτε διαχειριστή δικτύου. Για το παράδειγμά μας, θα πάρουμε κάτι πιο ασυνήθιστο. Για παράδειγμα, ο δρομολογητής MikroTik RB2011UiAS-2HnD. Ναι, παραδόξως, μια τέτοια λύση προϋπολογισμού για μικρά και οικιακά γραφεία υποστηρίζει επίσης τα πρωτόκολλα NetFlow v5/v9 και IPFIX. Στις ρυθμίσεις, ορίστε τον στόχο (διεύθυνση συλλέκτη 192.168.78.198 και θύρα 2055):

Και προσθέστε όλες τις διαθέσιμες μετρήσεις για εξαγωγή:

Σε αυτό το σημείο μπορούμε να πούμε ότι η βασική ρύθμιση έχει ολοκληρωθεί. Ελέγχουμε αν η κίνηση εισέρχεται στο σύστημα.

Βήμα 5: Δοκιμή και λειτουργία της μονάδας παρακολούθησης και διαγνωστικής απόδοσης δικτύου

Μπορείτε να ελέγξετε την παρουσία επισκεψιμότητας από την πηγή στην ενότητα Flowmon Monitoring Center –> Πηγές:

Βλέπουμε ότι τα δεδομένα εισέρχονται στο σύστημα. Λίγο καιρό αφού ο συλλέκτης έχει συγκεντρώσει κίνηση, τα γραφικά στοιχεία θα αρχίσουν να εμφανίζουν πληροφορίες:

Το σύστημα είναι χτισμένο με βάση την αρχή του τρυπανιού. Δηλαδή, ο χρήστης, όταν επιλέγει ένα τμήμα ενδιαφέροντος σε ένα διάγραμμα ή γράφημα, «πέφτει» στο επίπεδο του βάθους των δεδομένων που χρειάζεται:

Πληροφορίες για κάθε σύνδεση και σύνδεση δικτύου:

Βήμα 6. Μονάδα ασφαλείας ανίχνευσης ανωμαλιών

Αυτή η ενότητα μπορεί να ονομαστεί ίσως μια από τις πιο ενδιαφέρουσες, χάρη στη χρήση μεθόδων χωρίς υπογραφές για τον εντοπισμό ανωμαλιών στην κίνηση δικτύου και κακόβουλης δραστηριότητας δικτύου. Αλλά αυτό δεν είναι ανάλογο των συστημάτων IDS/IPS. Η εργασία με τη μονάδα ξεκινά με την «εκπαίδευσή» της. Για να γίνει αυτό, ένας ειδικός οδηγός καθορίζει όλα τα βασικά στοιχεία και υπηρεσίες του δικτύου, συμπεριλαμβανομένων:

διευθύνσεις πύλης, διακομιστές DNS, DHCP και NTP,
διευθυνσιοδότηση σε τμήματα χρηστών και διακομιστή.

Μετά από αυτό, το σύστημα μπαίνει σε λειτουργία προπόνησης, η οποία διαρκεί κατά μέσο όρο από 2 εβδομάδες έως 1 μήνα. Κατά τη διάρκεια αυτής της περιόδου, το σύστημα δημιουργεί κίνηση βάσης που είναι συγκεκριμένη για το δίκτυό μας. Με απλά λόγια, το σύστημα μαθαίνει:

ποια συμπεριφορά είναι χαρακτηριστική για τους κόμβους δικτύου;
Ποιοι όγκοι δεδομένων μεταφέρονται συνήθως και είναι φυσιολογικοί για το δίκτυο;
Ποιος είναι ο τυπικός χρόνος λειτουργίας για τους χρήστες;
ποιες εφαρμογές τρέχουν στο δίκτυο;
και πολλα ΑΚΟΜΑ..

Ως αποτέλεσμα, έχουμε ένα εργαλείο που εντοπίζει τυχόν ανωμαλίες στο δίκτυό μας και αποκλίσεις από την τυπική συμπεριφορά. Ακολουθούν μερικά παραδείγματα που το σύστημα σας επιτρέπει να ανιχνεύσετε:

διανομή νέου κακόβουλου λογισμικού στο δίκτυο που δεν εντοπίζεται από υπογραφές προστασίας από ιούς.
κατασκευή DNS, ICMP ή άλλες σήραγγες και μετάδοση δεδομένων παρακάμπτοντας το τείχος προστασίας.
την εμφάνιση ενός νέου υπολογιστή στο δίκτυο που παρουσιάζεται ως διακομιστής DHCP ή/και DNS.

Ας δούμε πώς είναι ζωντανά. Αφού το σύστημά σας έχει εκπαιδευτεί και δημιουργήσει μια βασική γραμμή κίνησης δικτύου, αρχίζει να εντοπίζει συμβάντα:

Η κύρια σελίδα της ενότητας είναι ένα χρονοδιάγραμμα που εμφανίζει εντοπισμένα περιστατικά. Στο παράδειγμά μας, βλέπουμε μια καθαρή ακίδα, περίπου μεταξύ 9 και 16 ωρών. Ας το επιλέξουμε και ας το δούμε πιο αναλυτικά.

Η ανώμαλη συμπεριφορά του εισβολέα στο δίκτυο είναι ξεκάθαρα ορατή. Όλα ξεκινούν από το γεγονός ότι ο κεντρικός υπολογιστής με τη διεύθυνση 192.168.3.225 ξεκίνησε μια οριζόντια σάρωση του δικτύου στη θύρα 3389 (υπηρεσία Microsoft RDP) και βρήκε 14 πιθανά «θύματα»:

Το ακόλουθο καταγεγραμμένο περιστατικό - ο κεντρικός υπολογιστής 192.168.3.225 ξεκινά μια επίθεση ωμής βίας για κωδικούς πρόσβασης ωμής βίας στην υπηρεσία RDP (θύρα 3389) στις προηγουμένως προσδιορισμένες διευθύνσεις:

Ως αποτέλεσμα της επίθεσης, ανιχνεύεται μια ανωμαλία SMTP σε έναν από τους κεντρικούς υπολογιστές που έχουν παραβιαστεί. Με άλλα λόγια, το SPAM έχει ξεκινήσει:

Αυτό το παράδειγμα είναι μια σαφής επίδειξη των δυνατοτήτων του συστήματος και της μονάδας ασφαλείας ανίχνευσης ανωμαλιών ειδικότερα. Κρίνετε μόνοι σας την αποτελεσματικότητα. Αυτό ολοκληρώνει τη λειτουργική επισκόπηση της λύσης.

Συμπέρασμα

Ας συνοψίσουμε ποια συμπεράσματα μπορούμε να βγάλουμε για το Flowmon:

Το Flowmon είναι μια premium λύση για εταιρικούς πελάτες.
Χάρη στην ευελιξία και τη συμβατότητά του, η συλλογή δεδομένων είναι διαθέσιμη από οποιαδήποτε πηγή: εξοπλισμό δικτύου (Cisco, Juniper, HPE, Huawei...) ή τους δικούς σας ανιχνευτές (Flowmon Probe).
Οι δυνατότητες επεκτασιμότητας της λύσης σάς επιτρέπουν να επεκτείνετε τη λειτουργικότητα του συστήματος προσθέτοντας νέες ενότητες, καθώς και να αυξήσετε την παραγωγικότητα χάρη σε μια ευέλικτη προσέγγιση για την αδειοδότηση.
Μέσω της χρήσης τεχνολογιών ανάλυσης χωρίς υπογραφές, το σύστημα σάς επιτρέπει να ανιχνεύετε επιθέσεις zero-day ακόμη και άγνωστες σε συστήματα προστασίας από ιούς και IDS/IPS.
χάρη στην πλήρη «διαφάνεια» όσον αφορά την εγκατάσταση και την παρουσία του συστήματος στο δίκτυο - η λύση δεν επηρεάζει τη λειτουργία άλλων κόμβων και στοιχείων της υποδομής πληροφορικής σας.
Το Flowmon είναι η μόνη λύση στην αγορά που υποστηρίζει την παρακολούθηση της κυκλοφορίας σε ταχύτητες έως και 100 Gbps.
Το Flowmon είναι μια λύση για δίκτυα οποιασδήποτε κλίμακας.
η καλύτερη αναλογία τιμής/λειτουργικότητας μεταξύ παρόμοιων λύσεων.

Σε αυτήν την ανασκόπηση, εξετάσαμε λιγότερο από το 10% της συνολικής λειτουργικότητας της λύσης. Στο επόμενο άρθρο θα μιλήσουμε για τα υπόλοιπα modules του Flowmon Networks. Χρησιμοποιώντας την ενότητα Παρακολούθηση Απόδοσης Εφαρμογής ως παράδειγμα, θα δείξουμε πώς οι διαχειριστές επιχειρηματικών εφαρμογών μπορούν να εξασφαλίσουν τη διαθεσιμότητα σε ένα δεδομένο επίπεδο SLA, καθώς και να διαγνώσουν προβλήματα όσο το δυνατόν γρηγορότερα.

Επίσης, θα θέλαμε να σας προσκαλέσουμε στο διαδικτυακό μας σεμινάριο (10.09.2019/XNUMX/XNUMX) αφιερωμένο στις λύσεις του προμηθευτή Flowmon Networks. Για προεγγραφή, σας ζητάμε Εγγραφείτε εδώ.
Αυτά προς το παρόν, σας ευχαριστώ για το ενδιαφέρον σας!

Μόνο εγγεγραμμένοι χρήστες μπορούν να συμμετάσχουν στην έρευνα. Συνδεθείτε, Σας παρακαλούμε.

Χρησιμοποιείτε το Netflow για παρακολούθηση δικτύου;

Ναί
Όχι, αλλά το σκοπεύω
Όχι

Ψήφισαν 9 χρήστες. 3 χρήστες απείχαν.

Πηγή: www.habr.com

Παρακολούθηση δικτύου και ανίχνευση ανώμαλης δραστηριότητας δικτύου χρησιμοποιώντας λύσεις Flowmon Networks