Reta monitorado kaj detekto de nenormala reto-agado uzante solvojn de Flowmon Networks

Lastatempe, vi povas trovi grandegan kvanton da materialoj pri la temo en la Interreto. analizo de trafiko ĉe la retoperimetro. Samtempe, ial ĉiuj tute forgesis loka trafika analizo, kiu ne estas malpli grava. Ĉi tiu artikolo traktas ĝuste ĉi tiun temon. Ekzemple Flowmon-retoj ni memoros la bonan malnovan Netflow (kaj ĝiajn alternativojn), rigardos interesajn kazojn, eblajn anomaliojn en la reto kaj ekscios la avantaĝojn de la solvo kiam la tuta reto funkcias kiel ununura sensilo. Kaj plej grave, vi povas fari tian analizon de loka trafiko tute senpage, kadre de prova permesilo (45 tagoj). Se la temo estas interesa por vi, bonvenon al kato. Se vi estas tro maldiligenta por legi, tiam, rigardante antaŭen, vi povas registriĝi venonta retseminario, kie ni montros kaj rakontos al vi ĉion (vi ankaŭ povas lerni pri venonta produkta trejnado tie).

Kio estas Flowmon Networks?

Antaŭ ĉio, Flowmon estas eŭropa IT-vendisto. La firmao estas ĉeĥa, kun sidejo en Brno (la temo de sankcioj eĉ ne estas starigita). En ĝia nuna formo, la firmao estas sur la merkato ekde 2007. Antaŭe, ĝi estis konata sub la marko Invea-Tech. Do, entute, preskaŭ 20 jaroj estis pasigitaj por disvolvi produktojn kaj solvojn.

Flowmon estas poziciigita kiel A-klasa marko. Disvolvas altkvalitajn solvojn por entreprenaj klientoj kaj estas rekonita en la Gartner-skatoloj por Network Performance Monitoring and Diagnostics (NPMD). Krome, interese, el ĉiuj kompanioj en la raporto, Flowmon estas la nura vendisto notita de Gartner kiel fabrikisto de solvoj por kaj reta monitorado kaj informa protekto (Network Behavior Analysis). Ĝi ankoraŭ ne prenas la unuan lokon, sed pro tio ĝi ne staras kiel Boeing-flugilo.

Kiajn problemojn la produkto solvas?

Tutmonde, ni povas distingi la jenan aron da taskoj solvitaj de la produktoj de la kompanio:

1. pliigante la stabilecon de la reto, same kiel retajn rimedojn, minimumigante ilian malfunkcion kaj nehaveblecon;
2. pliigante la ĝeneralan nivelon de la agado de la reto;
3. pliigante la efikecon de administra personaro pro:
   • uzante modernajn novigajn retajn monitorajn ilojn bazitajn sur informoj pri IP-fluoj;
   • disponigante detalajn analizojn pri la funkciado kaj stato de la reto - uzantoj kaj aplikoj kurantaj en la reto, transdonitaj datumoj, interagaj rimedoj, servoj kaj nodoj;
   • respondi al okazaĵoj antaŭ ol ili okazas, kaj ne post kiam uzantoj kaj klientoj perdas servon;
   • reduktante la tempon kaj rimedojn necesajn por administri la reton kaj IT-infrastrukturon;
   • simpligante problemojn pri solvo.
4. pliigante la nivelon de sekureco de la reto kaj informaj rimedoj de la entrepreno, per la uzo de ne-subskribaj teknologioj por detekti anomalian kaj malican retan agadon, kaj ankaŭ "nul-tagajn atakojn";
5. certigante la postulatan nivelon de SLA por retaj aplikoj kaj datumbazoj.

Flowmon Retoj Produkta Portfolio

Nun ni rigardu rekte la produktan biletujon de Flowmon Networks kaj eksciu, kion precize faras la kompanio. Kiel multaj jam divenis el la nomo, la ĉefa specialiĝo estas en solvoj por flua trafika monitorado, krom kelkaj pliaj moduloj, kiuj vastigas la bazan funkcion.

Fakte, Flowmon povas esti nomata kompanio de unu produkto, aŭ pli ĝuste, unu solvo. Ni eltrovu ĉu ĉi tio estas bona aŭ malbona.

La kerno de la sistemo estas la kolektanto, kiu respondecas pri kolektado de datumoj uzante diversajn fluprotokolojn, kiel ekzemple NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Estas sufiĉe logike, ke por kompanio ne aligita al iu ajn reto-ekipaĵfabrikisto, estas grave oferti al la merkato universalan produkton, kiu ne estas ligita al iu ajn normo aŭ protokolo.

Flowmon Kolektanto

La kolektanto disponeblas kaj kiel aparatara servilo kaj kiel virtuala maŝino (VMware, Hyper-V, KVM). Cetere, la aparataro platformo estas efektivigita sur personigitaj DELL-serviloj, kiu aŭtomate forigas la plej multajn problemojn kun garantio kaj RMA. La nuraj proprietaj aparataj komponantoj estas FPGA-trafikaj kaptkartoj evoluigitaj de filio de Flowmon, kiuj permesas monitoradon je rapidoj de ĝis 100 Gbps.

Sed kion fari se ekzistantaj retaj ekipaĵoj ne kapablas generi altkvalitan fluon? Aŭ ĉu la ŝarĝo sur la ekipaĵo estas tro alta? Nedankinde:

Flowmon Prob

En ĉi tiu kazo, Flowmon Networks sugestas uzi siajn proprajn sondilojn (Flowmon Probe), kiuj estas konektitaj al la reto per la SPAN-haveno de la ŝaltilo aŭ uzi pasivajn TAP-dividiloj.

Opcioj de efektivigo SPAN (spegula haveno) kaj TAP

En ĉi tiu kazo, la kruda trafiko alvenanta ĉe la Flowmon Probe estas konvertita en vastigitan IPFIX enhavantan pli 240 metrikoj kun informoj. Dum la norma NetFlow-protokolo generita de reta ekipaĵo enhavas ne pli ol 80 metrikojn. Ĉi tio permesas protokolvideblecon ne nur ĉe niveloj 3 kaj 4, sed ankaŭ ĉe nivelo 7 laŭ la ISO OSI-modelo. Kiel rezulto, retaj administrantoj povas kontroli la funkciadon de aplikaĵoj kaj protokoloj kiel retpoŝto, HTTP, DNS, SMB...

Koncipe, la logika arkitekturo de la sistemo aspektas jene:

La centra parto de la tuta "ekosistemo" de Flowmon Networks estas la Kolektanto, kiu ricevas trafikon de ekzistantaj retaj ekipaĵoj aŭ siaj propraj sondiloj (Probe). Sed por Enterprise-solvo, provizi funkciojn nur por monitori retan trafikon estus tro simpla. Malfermfontaj solvoj ankaŭ povas fari tion, kvankam ne kun tia agado. La valoro de Flowmon estas pliaj moduloj, kiuj vastigas la bazan funkcion:

• modulo Sekureco pri Detektado de anomalioj – identigo de nenormala reto-agado, inkluzive de nul-tagaj atakoj, surbaze de heŭristika analizo de trafiko kaj tipa retoprofilo;
• modulo Monitorado de Aplika Efikeco - monitori la agadon de retaj aplikaĵoj sen instali "agentojn" kaj influi celsistemojn;
• modulo Trafika registrilo – registrante fragmentojn de rettrafiko laŭ aro de antaŭdifinitaj reguloj aŭ laŭ ellasilo de la ADS-modulo, por plua solvi problemojn kaj/aŭ esplori incidentojn pri informa sekureco;
• modulo Protekto DDoS - protekto de la reto-perimetro kontraŭ volumetraj DoS/DDoS-neo de servo-atakoj, inkluzive de atakoj kontraŭ aplikoj (OSI L3/L4/L7).

En ĉi tiu artikolo, ni rigardos kiel ĉio funkcias vive uzante la ekzemplon de 2 moduloj - Monitorado kaj Diagnozo de Reto-Efikeco и Sekureco pri Detektado de anomalioj.
Komencaj datumoj:

• Lenovo RS 140-servilo kun VMware 6.0 hiperviziero;
• Flowmon Collector virtuala maŝina bildo, kiun vi povas elŝutu ĉi tie;
• paro da ŝaltiloj subtenantaj fluprotokolojn.

Paŝo 1. Instalu Flowmon Collector

Deplojo de virtuala maŝino sur VMware okazas en tute norma maniero de la OVF-ŝablono. Kiel rezulto, ni ricevas virtualan maŝinon kurantan CentOS kaj kun preta uzebla programaro. Postuloj pri rimedoj estas humanaj:

Restas nur fari bazan inicialigon per la komando sysconfig:

Ni agordas IP sur la mastruma haveno, DNS, tempo, Gastnomo kaj povas konektiĝi al la TTT-interfaco.

Paŝo 2. Licenca instalado

Prova permesilo dum unu kaj duona monato estas generita kaj elŝutita kune kun la virtuala maŝina bildo. Ŝarĝita per Agorda Centro -> Licenco. Kiel rezulto ni vidas:

Ĉio estas preta. Vi povas komenci labori.

Paŝo 3. Agordi la ricevilon sur la kolektanto

En ĉi tiu etapo, vi devas decidi kiel la sistemo ricevos datumojn de fontoj. Kiel ni diris antaŭe, ĉi tio povus esti unu el la fluaj protokoloj aŭ SPAN-haveno sur la ŝaltilo.

En nia ekzemplo, ni uzos datumricevon uzante protokolojn NetFlow v9 kaj IPFIX. En ĉi tiu kazo, ni specifas la IP-adreson de la Administra interfaco kiel celo - 192.168.78.198. Interfacoj eth2 kaj eth3 (kun la Monitoring-interfaco-tipo) estas uzataj por ricevi kopion de la "kruda" trafiko de la SPAN-haveno de la ŝaltilo. Ni lasas ilin trairi, ne nian kazon.
Poste ni kontrolas la kolektan havenon, kien la trafiko devas iri.

En nia kazo, la kolektanto aŭskultas por trafiko sur haveno UDP/2055.

Paŝo 4. Agordante retajn ekipaĵojn por fluo-eksporto

Agordo de NetFlow ĉe ekipaĵo de Cisco Systems verŝajne povas esti nomata tute ofta tasko por iu reta administranto. Por nia ekzemplo, ni prenos ion pli nekutima. Ekzemple, la enkursigilo MikroTik RB2011UiAS-2HnD. Jes, strange, tia buĝeta solvo por malgrandaj kaj hejmaj oficejoj ankaŭ subtenas la NetFlow v5/v9 kaj IPFIX-protokolojn. En la agordoj, agordu la celon (kolektanta adreso 192.168.78.198 kaj haveno 2055):

Kaj aldonu ĉiujn metrikojn disponeblajn por eksporti:

Je ĉi tiu punkto ni povas diri, ke la baza aranĝo estas kompleta. Ni kontrolas ĉu trafiko eniras la sistemon.

Paŝo 5: Testado kaj Funkciigado de la Modulo pri Monitorado kaj Diagnozo de Reto

Vi povas kontroli la ĉeeston de trafiko de la fonto en la sekcio Flowmon Monitoring Center -> Fontoj:

Ni vidas, ke datumoj eniras la sistemon. Iom da tempo post kiam la kolektanto amasigis trafikon, la fenestraĵoj komencos montri informojn:

La sistemo estas konstruita laŭ la principo de borado malsupren. Tio estas, la uzanto, kiam elektas fragmenton de intereso sur diagramo aŭ grafeo, "falas" al la nivelo de profundo de datumoj, kiun li bezonas:

Al informoj pri ĉiu retkonekto kaj konekto:

Paŝo 6. Sekureca Modulo pri Detektado de anomalioj

Ĉi tiu modulo povas esti nomata eble unu el la plej interesaj, danke al la uzo de sensignalaj metodoj por detekti anomaliojn en rettrafiko kaj malica reto-agado. Sed ĉi tio ne estas analogo de IDS/IPS-sistemoj. Labori kun la modulo komenciĝas per ĝia "trejnado". Por fari tion, speciala sorĉisto specifas ĉiujn ŝlosilajn komponentojn kaj servojn de la reto, inkluzive de:

• enirejadresoj, DNS, DHCP kaj NTP-serviloj,
• adresado en uzant- kaj servilaj segmentoj.

Post ĉi tio, la sistemo eniras en trejnadon, kiu daŭras averaĝe de 2 semajnoj ĝis 1 monato. Dum ĉi tiu tempo, la sistemo generas bazan trafikon kiu estas specifa por nia reto. Simple dirite, la sistemo lernas:

• kia konduto estas tipa por retaj nodoj?
• Kiuj volumoj de datumoj estas kutime transdonitaj kaj estas normalaj por la reto?
• Kio estas la tipa funkciada tempo por uzantoj?
• kiaj aplikaĵoj funkcias en la reto?
• kaj multe pli..

Kiel rezulto, ni ricevas ilon, kiu identigas iujn ajn anomaliojn en nia reto kaj deviojn de tipa konduto. Jen kelkaj ekzemploj, kiujn la sistemo permesas vin detekti:

• distribuado de nova malware en la reto, kiu ne estas detektita de kontraŭvirusaj subskriboj;
• konstrui DNS, ICMP aŭ aliajn tunelojn kaj transdoni datumojn preterirante la fajroŝirmilon;
• la apero de nova komputilo en la reto pozanta kiel DHCP kaj/aŭ DNS-servilo.

Ni vidu kiel ĝi aspektas vive. Post kiam via sistemo estas trejnita kaj konstruita baza linio de rettrafiko, ĝi komencas detekti incidentojn:

La ĉefpaĝo de la modulo estas templinio montranta identigitajn okazaĵojn. En nia ekzemplo, ni vidas klaran pikilon, proksimume inter 9 kaj 16 horoj. Ni elektu ĝin kaj rigardu pli detale.

La nenormala konduto de la atakanto en la reto estas klare videbla. Ĉio komenciĝas per tio, ke la gastiganto kun la adreso 192.168.3.225 komencis horizontalan skanadon de la reto sur la haveno 3389 (Microsoft RDP-servo) kaj trovis 14 eblajn "viktimojn":

и

La sekva registrita okazaĵo - gastiganto 192.168.3.225 komencas krudfortan atakon al krudfortaj pasvortoj sur la RDP-servo (haveno 3389) ĉe la antaŭe identigitaj adresoj:

Kiel rezulto de la atako, SMTP-anomalio estas detektita sur unu el la hakitaj gastigantoj. Alivorte, SPAM komenciĝis:

Ĉi tiu ekzemplo estas klara pruvo de la kapabloj de la sistemo kaj la modulo de Sekureco pri Detektado de Anomaloj precipe. Juĝu la efikecon por vi mem. Ĉi tio finas la funkcian superrigardon de la solvo.

konkludo

Ni resumu, kiajn konkludojn ni povas eltiri pri Flowmon:

• Flowmon estas supera solvo por kompaniaj klientoj;
• dank' al sia versatileco kaj kongrueco, datumkolektado disponeblas de iu ajn fonto: retaj ekipaĵoj (Cisco, Juniper, HPE, Huawei...) aŭ viaj propraj sondiloj (Flowmon Probe);
• La skaleblo-kapabloj de la solvo permesas vin vastigi la funkciecon de la sistemo aldonante novajn modulojn, kaj ankaŭ pliigi produktivecon danke al fleksebla aliro al licencado;
• per la uzo de sensignalaj analizaj teknologioj, la sistemo permesas vin detekti nul-tagajn atakojn eĉ nekonatajn de antivirusoj kaj IDS/IPS-sistemoj;
• danke al kompleta "travidebleco" pri instalado kaj ĉeesto de la sistemo en la reto - la solvo ne influas la funkciadon de aliaj nodoj kaj komponantoj de via IT-infrastrukturo;
• Flowmon estas la sola solvo sur la merkato, kiu subtenas trafikan monitoradon je rapidoj ĝis 100 Gbps;
• Flowmon estas solvo por retoj de ajna skalo;
• la plej bona prezo/funkcieco inter similaj solvoj.

En ĉi tiu revizio, ni ekzamenis malpli ol 10% de la tuta funkcieco de la solvo. En la sekva artikolo ni parolos pri la ceteraj moduloj de Flowmon Networks. Uzante la modulon de Monitorado de Apliko-Efikeco kiel ekzemplon, ni montros kiel administrantoj de komercaj aplikaĵoj povas certigi haveblecon ĉe difinita SLA-nivelo, kaj ankaŭ diagnozi problemojn kiel eble plej rapide.

Ankaŭ ni ŝatus inviti vin al nia retseminario (10.09.2019/XNUMX/XNUMX) dediĉita al la solvoj de la vendisto Flowmon Networks. Por antaŭregistriĝi, ni petas vin registriĝu ĉi tie.
Jen ĉio por nun, dankon pro via intereso!

Nur registritaj uzantoj povas partopreni la enketon. Ensaluti, bonvolu.

Ĉu vi uzas Netflow por reta monitorado?

• Jes

• Ne, sed mi planas

• Neniu

Voĉdonis 9 uzantoj. 3 uzantoj sindetenis.

fonto: www.habr.com