ProHoster > Blog > administración > Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

Recientemente, en Internet se puede encontrar una gran cantidad de materiales sobre el tema. Análisis de tráfico en el perímetro de la red.. Al mismo tiempo, por alguna razón todos se olvidaron por completo de análisis de tráfico local, lo cual no es menos importante. Este artículo aborda precisamente este tema. Por ejemplo Redes Flowmon Recordaremos el viejo Netflow (y sus alternativas), veremos casos interesantes, posibles anomalías en la red y descubriremos las ventajas de la solución cuando toda la red funciona como un solo sensor. Y lo más importante, puede realizar dicho análisis del tráfico local de forma totalmente gratuita, dentro del marco de una licencia de prueba (45 días). Si el tema te resulta interesante, bienvenido a cat. Si le da pereza leer, de cara al futuro, puede registrarse para próximo seminario web, donde te mostraremos y contaremos todo (también puedes obtener información sobre las próximas capacitaciones sobre productos allí).

¿Qué son las redes Flowmon?

En primer lugar, Flowmon es un proveedor europeo de TI. La empresa es checa y tiene su sede en Brno (ni siquiera se plantea la cuestión de las sanciones). En su forma actual, la empresa está en el mercado desde 2007. Anteriormente se conocía bajo la marca Invea-Tech. En total, se dedicaron casi 20 años al desarrollo de productos y soluciones.

Flowmon se posiciona como una marca de clase A. Desarrolla soluciones premium para clientes empresariales y está reconocido en los cuadros de Gartner para diagnóstico y monitoreo del rendimiento de la red (NPMD). Además, curiosamente, de todas las empresas del informe, Flowmon es el único proveedor señalado por Gartner como fabricante de soluciones tanto para monitoreo de red como para protección de información (Análisis de comportamiento de red). Todavía no ocupa el primer lugar, pero por eso no se parece al ala de un Boeing.

¿Qué problemas resuelve el producto?

A nivel global, podemos distinguir el siguiente conjunto de tareas resueltas por los productos de la empresa:

  1. aumentar la estabilidad de la red, así como los recursos de la red, minimizando su tiempo de inactividad e indisponibilidad;
  2. aumentar el nivel general de rendimiento de la red;
  3. aumentando la eficiencia del personal administrativo debido a:
    • utilizar herramientas modernas e innovadoras de monitoreo de redes basadas en información sobre los flujos de IP;
    • proporcionar análisis detallados sobre el funcionamiento y el estado de la red: usuarios y aplicaciones que se ejecutan en la red, datos transmitidos, recursos, servicios y nodos que interactúan;
    • responder a los incidentes antes de que ocurran y no después de que los usuarios y clientes pierdan el servicio;
    • reducir el tiempo y los recursos necesarios para administrar la red y la infraestructura de TI;
    • simplificando las tareas de resolución de problemas.
  4. aumentar el nivel de seguridad de la red y los recursos de información de la empresa, mediante el uso de tecnologías no exclusivas para detectar actividades de red anómalas y maliciosas, así como "ataques de día cero";
  5. asegurando el nivel requerido de SLA para aplicaciones de red y bases de datos.

Portafolio de productos de redes Flowmon

Ahora veamos directamente la cartera de productos de Flowmon Networks y descubramos qué hace exactamente la empresa. Como muchos ya habrán adivinado por el nombre, la principal especialización son las soluciones para el seguimiento del tráfico de flujo de streaming, además de una serie de módulos adicionales que amplían la funcionalidad básica.

De hecho, se puede llamar a Flowmon una empresa de un producto, o mejor dicho, de una solución. Averigüemos si esto es bueno o malo.

El núcleo del sistema es el recopilador, que es responsable de recopilar datos utilizando varios protocolos de flujo, como NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Es bastante lógico que para una empresa que no está afiliada a ningún fabricante de equipos de red, sea importante ofrecer al mercado un producto universal que no esté vinculado a ningún estándar o protocolo específico.

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks
Colector de flujo

El recopilador está disponible como servidor de hardware y como máquina virtual (VMware, Hyper-V, KVM). Por cierto, la plataforma de hardware se implementa en servidores DELL personalizados, lo que elimina automáticamente la mayoría de los problemas con la garantía y RMA. Los únicos componentes de hardware propietarios son las tarjetas de captura de tráfico FPGA desarrolladas por una subsidiaria de Flowmon, que permiten monitorear a velocidades de hasta 100 Gbps.

Pero, ¿qué hacer si los equipos de red existentes no pueden generar un flujo de alta calidad? ¿O la carga del equipo es demasiado alta? Ningún problema:

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks
Problema de Flowmon

En este caso, Flowmon Networks ofrece utilizar sus propias sondas (Flowmon Probe), que se conectan a la red a través del puerto SPAN del conmutador o mediante divisores TAP pasivos.

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks
Opciones de implementación de SPAN (puerto espejo) y TAP

En este caso, el tráfico sin procesar que llega a Flowmon Probe se convierte en un IPFIX expandido que contiene más 240 métricas con información. Mientras que el protocolo NetFlow estándar generado por equipos de red no contiene más de 80 métricas. Esto permite la visibilidad del protocolo no sólo en los niveles 3 y 4, sino también en el nivel 7 según el modelo ISO OSI. Como resultado, los administradores de red pueden monitorear el funcionamiento de aplicaciones y protocolos como correo electrónico, HTTP, DNS, SMB...

Conceptualmente, la arquitectura lógica del sistema se ve así:

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

La parte central de todo el “ecosistema” de Flowmon Networks es el Colector, que recibe tráfico de equipos de red existentes o de sus propias sondas (Probe). Pero para una solución empresarial, proporcionar funcionalidad únicamente para monitorear el tráfico de la red sería demasiado simple. Las soluciones de código abierto también pueden hacer esto, aunque no con tal rendimiento. El valor de Flowmon son módulos adicionales que amplían la funcionalidad básica:

  • módulo Seguridad de detección de anomalías – identificación de actividad anómala en la red, incluidos ataques de día cero, basándose en un análisis heurístico del tráfico y un perfil de red típico;
  • módulo Monitoreo del rendimiento de la aplicación – monitorear el rendimiento de las aplicaciones de red sin instalar "agentes" ni influir en los sistemas de destino;
  • módulo Registrador de tráfico – registrar fragmentos de tráfico de red según un conjunto de reglas predefinidas o según un activador del módulo ADS, para una mayor resolución de problemas y/o investigación de incidentes de seguridad de la información;
  • módulo Protección DDoS – protección del perímetro de la red contra ataques volumétricos de denegación de servicio DoS/DDoS, incluidos ataques a aplicaciones (OSI L3/L4/L7).

En este artículo, veremos cómo funciona todo en vivo usando el ejemplo de 2 módulos: Supervisión y diagnóstico del rendimiento de la red и Seguridad de detección de anomalías.
Antecedentes:

  • Servidor Lenovo RS 140 con hipervisor VMware 6.0;
  • Imagen de máquina virtual de Flowmon Collector que puede descarga aquí;
  • un par de conmutadores que admiten protocolos de flujo.

Paso 1. Instale el recopilador Flowmon

La implementación de una máquina virtual en VMware se realiza de forma completamente estándar desde la plantilla OVF. Como resultado, obtenemos una máquina virtual que ejecuta CentOS y con software listo para usar. Los requisitos de recursos son humanos:

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

Todo lo que queda es realizar una inicialización básica usando el comando sysconfig:

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

Configuramos IP en el puerto de administración, DNS, hora, nombre de host y podemos conectarnos a la interfaz WEB.

Paso 2. Instalación de la licencia

Se genera y descarga una licencia de prueba por un mes y medio junto con la imagen de la máquina virtual. Cargado vía Centro de configuración -> Licencia. Como resultado vemos:

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

Todo está listo. Puedes empezar a trabajar.

Paso 3. Configurar el receptor en el colector.

En esta etapa, debe decidir cómo recibirá el sistema los datos de las fuentes. Como dijimos anteriormente, este podría ser uno de los protocolos de flujo o un puerto SPAN en el conmutador.

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

En nuestro ejemplo, utilizaremos la recepción de datos mediante protocolos. NetFlow v9 e IPFIX. En este caso, especificamos la dirección IP de la interfaz de administración como destino: 192.168.78.198. Las interfaces eth2 y eth3 (con el tipo de interfaz Monitoreo) se utilizan para recibir una copia del tráfico "sin procesar" desde el puerto SPAN del conmutador. Les dejamos pasar, no nuestro caso.
A continuación, comprobamos el puerto colector por donde debe ir el tráfico.

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

En nuestro caso, el recopilador escucha el tráfico en el puerto UDP/2055.

Paso 4. Configurar el equipo de red para la exportación de flujo

La configuración de NetFlow en equipos de Cisco Systems probablemente pueda considerarse una tarea completamente común para cualquier administrador de red. Para nuestro ejemplo, tomaremos algo más inusual. Por ejemplo, el enrutador MikroTik RB2011UiAS-2HnD. Sí, aunque parezca extraño, esta solución económica para oficinas pequeñas y domésticas también es compatible con los protocolos NetFlow v5/v9 e IPFIX. En la configuración, establezca el destino (dirección del recopilador 192.168.78.198 y puerto 2055):

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

Y agregue todas las métricas disponibles para exportar:

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

En este punto podemos decir que la configuración básica está completa. Comprobamos si ingresa tráfico al sistema.

Paso 5: Probar y operar el módulo de diagnóstico y monitoreo del rendimiento de la red

Puedes comprobar la presencia de tráfico desde la fuente en la sección Centro de monitoreo de Flowmon -> Fuentes:

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

Vemos que los datos están ingresando al sistema. Algún tiempo después de que el recopilador haya acumulado tráfico, los widgets comenzarán a mostrar información:

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

El sistema se basa en el principio de profundización. Es decir, el usuario, al seleccionar un fragmento de interés en un diagrama o gráfico, “cae” al nivel de profundidad de datos que necesita:

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

Hasta información sobre cada conexión de red y conexión:

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

Paso 6. Módulo de seguridad de detección de anomalías

Este módulo puede considerarse quizás uno de los más interesantes, gracias al uso de métodos sin firmas para detectar anomalías en el tráfico de la red y actividad maliciosa en la red. Pero esto no es un análogo de los sistemas IDS/IPS. Trabajar con el módulo comienza con su “formación”. Para ello, un asistente especial especifica todos los componentes y servicios clave de la red, incluidos:

  • direcciones de puerta de enlace, servidores DNS, DHCP y NTP,
  • direccionamiento en segmentos de usuarios y servidores.

Después de esto, el sistema entra en modo de entrenamiento, que dura en promedio de 2 semanas a 1 mes. Durante este tiempo, el sistema genera tráfico de referencia que es específico de nuestra red. En pocas palabras, el sistema aprende:

  • ¿Qué comportamiento es típico de los nodos de la red?
  • ¿Qué volúmenes de datos se suelen transferir y son normales para la red?
  • ¿Cuál es el tiempo de funcionamiento típico para los usuarios?
  • ¿Qué aplicaciones se ejecutan en la red?
  • y mucho más..

Como resultado, obtenemos una herramienta que identifica cualquier anomalía en nuestra red y desviaciones del comportamiento típico. Aquí te dejamos un par de ejemplos que el sistema te permite detectar:

  • distribución de nuevo malware en la red que no es detectado por las firmas antivirus;
  • construir DNS, ICMP u otros túneles y transmitir datos sin pasar por el firewall;
  • la aparición de una nueva computadora en la red haciéndose pasar por un servidor DHCP y/o DNS.

Veamos cómo se ve en vivo. Una vez que su sistema ha sido entrenado y creado una línea base de tráfico de red, comienza a detectar incidentes:

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

La página principal del módulo es una línea de tiempo que muestra los incidentes identificados. En nuestro ejemplo, vemos un claro pico, aproximadamente entre 9 y 16 horas. Seleccionémoslo y miremos con más detalle.

El comportamiento anómalo del atacante en la red es claramente visible. Todo comienza con el hecho de que el host con la dirección 192.168.3.225 inició un escaneo horizontal de la red en el puerto 3389 (servicio RDP de Microsoft) y encontró 14 "víctimas" potenciales:

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

и

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

El siguiente incidente registrado: el host 192.168.3.225 comienza un ataque de fuerza bruta a contraseñas de fuerza bruta en el servicio RDP (puerto 3389) en las direcciones identificadas previamente:

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

Como resultado del ataque, se detecta una anomalía SMTP en uno de los hosts pirateados. En otras palabras, el SPAM ha comenzado:

Monitoreo de red y detección de actividad anómala en la red utilizando las soluciones de Flowmon Networks

Este ejemplo es una demostración clara de las capacidades del sistema y del módulo de seguridad de detección de anomalías en particular. Juzgue usted mismo la eficacia. Con esto concluye la descripción funcional de la solución.

Conclusión

Resumamos qué conclusiones podemos sacar sobre Flowmon:

  • Flowmon es una solución premium para clientes corporativos;
  • gracias a su versatilidad y compatibilidad, la recogida de datos está disponible desde cualquier fuente: equipos de red (Cisco, Juniper, HPE, Huawei...) o sus propias sondas (Flowmon Probe);
  • Las capacidades de escalabilidad de la solución le permiten ampliar la funcionalidad del sistema agregando nuevos módulos, así como aumentar la productividad gracias a un enfoque flexible de licencias;
  • mediante el uso de tecnologías de análisis sin firmas, el sistema permite detectar ataques de día cero incluso desconocidos para los antivirus y los sistemas IDS/IPS;
  • gracias a la total “transparencia” en términos de instalación y presencia del sistema en la red: la solución no afecta el funcionamiento de otros nodos y componentes de su infraestructura de TI;
  • Flowmon es la única solución del mercado que admite monitoreo de tráfico a velocidades de hasta 100 Gbps;
  • Flowmon es una solución para redes de cualquier escala;
  • la mejor relación precio/funcionalidad entre soluciones similares.

En esta revisión, examinamos menos del 10% de la funcionalidad total de la solución. En el próximo artículo hablaremos sobre los módulos restantes de Flowmon Networks. Utilizando el módulo Monitoreo del rendimiento de aplicaciones como ejemplo, mostraremos cómo los administradores de aplicaciones comerciales pueden garantizar la disponibilidad en un nivel de SLA determinado, así como diagnosticar problemas lo más rápido posible.

Además, nos gustaría invitarlo a nuestro seminario web (10.09.2019/XNUMX/XNUMX) dedicado a las soluciones del proveedor Flowmon Networks. Para preinscribirte te pedimos registrar aquí.
Eso es todo por ahora, ¡gracias por tu interés!

Solo los usuarios registrados pueden participar en la encuesta. Registrarsepor favor

¿Está utilizando Netflow para monitorear la red?

  • No, pero planeo hacerlo

  • No

9 usuarios votaron. 3 usuarios se abstuvieron.

Fuente: habr.com

Añadir un comentario