Võrgu jälgimine ja anomaalse võrgutegevuse tuvastamine Flowmon Networksi lahenduste abil

Viimasel ajal leiate Internetist tohutul hulgal selleteemalisi materjale. liikluse analüüs võrgu perimeetril. Samal ajal unustasid kõik millegipärast täielikult kohaliku liikluse analüüs, mis pole vähem oluline. See artikkel käsitleb täpselt seda teemat. Näiteks Flowmoni võrgud meenutame vana head Netflow'd (ja selle alternatiive), vaatame huvitavaid juhtumeid, võimalikke anomaaliaid võrgus ja selgitame välja lahenduse eelised, kui kogu võrk töötab ühe sensorina. Ja mis kõige tähtsam, saate sellise kohaliku liikluse analüüsi teha täiesti tasuta proovilitsentsi raames (45 päeva). Kui teema on teile huvitav, tere tulemast kassi. Kui olete lugemiseks liiga laisk, võite tulevikku vaadates registreeruda tulevane veebiseminar, kus näitame ja räägime teile kõike (seal saate tutvuda ka tulevaste tootekoolitustega).

Mis on Flowmon Networks?

Esiteks on Flowmon Euroopa IT-müüja. Ettevõte on tšehhi päritolu, peakorter asub Brnos (sanktsioonide küsimust isegi ei tõstatata). Praegusel kujul on ettevõte turul olnud 2007. aastast. Varem oli see tuntud Invea-Techi kaubamärgi all. Seega kokku kulus toodete ja lahenduste väljatöötamisele ligi 20 aastat.

Flowmon on positsioneeritud A-klassi kaubamärgina. Arendab esmaklassilisi lahendusi äriklientidele ja on tunnustatud Gartneri võrgu jõudluse jälgimise ja diagnostika (NPMD) kategooriates. Veelgi enam, huvitaval kombel on kõigist aruandes esitatud ettevõtetest Flowmon ainus müüja, kelle Gartner märkis nii võrgu jälgimise kui ka teabekaitse lahenduste tootjana (võrgukäitumise analüüs). Esikohta see veel ei võta, kuid tänu sellele ei seisa see nagu Boeingu tiib.

Milliseid probleeme toode lahendab?

Ülemaailmselt saame eristada järgmisi ettevõtte toodetega lahendatud ülesandeid:

1. võrgu stabiilsuse ja ka võrguressursside suurendamine, minimeerides nende seisakuid ja kättesaamatust;
2. võrgu jõudluse üldise taseme tõstmine;
3. halduspersonali efektiivsuse suurendamine tänu:
   • kaasaegsete uuenduslike võrguseirevahendite kasutamine IP-voogude teabe põhjal;
   • üksikasjaliku analüüsi pakkumine võrgu toimimise ja oleku kohta – võrgus töötavad kasutajad ja rakendused, edastatud andmed, interakteeruvad ressursid, teenused ja sõlmed;
   • intsidentidele reageerimine enne nende toimumist, mitte pärast seda, kui kasutajad ja kliendid teenusest ilma jäävad;
   • võrgu ja IT infrastruktuuri haldamiseks kuluva aja ja ressursside vähendamine;
   • tõrkeotsingu ülesannete lihtsustamine.
4. ettevõtte võrgu- ja teaberessursside turvalisuse taseme tõstmine, kasutades allkirjadeta tehnoloogiaid anomaalse ja pahatahtliku võrgutegevuse, samuti nullpäeva rünnakute tuvastamiseks;
5. võrgurakenduste ja andmebaaside SLA nõutava taseme tagamine.

Flowmon Networksi tooteportfell

Vaatame nüüd otse Flowmon Networksi tooteportfelli ja uurime, millega ettevõte täpselt tegeleb. Nagu paljud juba nime järgi aimasid, on põhispetsialiseerumine voogesitusvoo liikluse jälgimise lahendustele, millele lisandub hulk lisamooduleid, mis laiendavad põhifunktsionaalsust.

Tegelikult võib Flowmonit nimetada ühe toote ettevõtteks, õigemini ühe lahenduse ettevõtteks. Uurime välja, kas see on hea või halb.

Süsteemi tuumaks on koguja, mis vastutab andmete kogumise eest, kasutades erinevaid vooprotokolle, nt NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... On üsna loogiline, et ühegi võrguseadmete tootjaga mitteseotud ettevõtte jaoks on oluline pakkuda turule universaalset toodet, mis ei ole seotud ühegi standardi või protokolliga.

Flowmoni koguja

Koguja on saadaval nii riistvaraserverina kui ka virtuaalmasinana (VMware, Hyper-V, KVM). Muide, riistvaraplatvorm on rakendatud kohandatud DELL-serveritele, mis kõrvaldab automaatselt enamiku garantii ja RMA-ga seotud probleeme. Ainsad patenteeritud riistvarakomponendid on Flowmoni tütarettevõtte poolt välja töötatud FPGA liikluse hõivamise kaardid, mis võimaldavad jälgida kiirust kuni 100 Gbps.

Mida aga teha, kui olemasolevad võrguseadmed ei suuda kvaliteetset voogu genereerida? Või on seadmete koormus liiga suur? Pole probleemi:

Flowmon Prob

Sel juhul pakub Flowmon Networks kasutada oma sonde (Flowmon Probe), mis on võrku ühendatud kommutaatori SPAN-pordi või passiivsete TAP-jaoturite abil.

SPAN (peegelport) ja TAP juurutamise võimalused

Sel juhul teisendatakse Flowmon Probe'i saabuv töötlemata liiklus laiendatud IPFIX-iks, mis sisaldab rohkem 240 mõõdikut koos teabega. Kuigi võrguseadmete loodud standardne NetFlow protokoll ei sisalda rohkem kui 80 mõõdikut. See võimaldab protokolli nähtavust mitte ainult tasemel 3 ja 4, vaid ka 7. tasemel vastavalt ISO OSI mudelile. Selle tulemusena saavad võrguadministraatorid jälgida selliste rakenduste ja protokollide toimimist nagu e-post, HTTP, DNS, SMB...

Kontseptuaalselt näeb süsteemi loogiline arhitektuur välja järgmine:

Kogu Flowmon Networksi “ökosüsteemi” keskne osa on koguja, mis võtab vastu liiklust olemasolevatelt võrguseadmetelt või oma sondidelt (Probe). Kuid Enterprise'i lahenduse jaoks oleks ainult võrguliikluse jälgimise funktsioonide pakkumine liiga lihtne. Seda saavad teha ka avatud lähtekoodiga lahendused, kuigi mitte sellise jõudlusega. Flowmoni väärtus on lisamoodulid, mis laiendavad põhifunktsioone:

• moodul Anomaaliate tuvastamise turvalisus – anomaalse võrgutegevuse, sealhulgas nullpäevarünnakute tuvastamine liikluse heuristilise analüüsi ja tüüpilise võrguprofiili põhjal;
• moodul Rakenduse jõudluse jälgimine – võrgurakenduste toimivuse jälgimine ilma agente installimata ja sihtsüsteeme mõjutamata;
• moodul Liiklusregistraator – võrguliikluse fragmentide salvestamine vastavalt eelnevalt määratletud reeglitele või ADS-mooduli päästikule, et jätkata infoturbeintsidentide tõrkeotsingut ja/või uurimist;
• moodul DDoS kaitse – võrgu perimeetri kaitsmine mahuliste DoS/DDoS-i teenuse keelamise rünnakute, sealhulgas rakenduste (OSI L3/L4/L7) rünnakute eest.

Selles artiklis vaatleme 2 mooduli näitel, kuidas kõik reaalajas töötab - Võrgu jõudluse jälgimine ja diagnostika и Anomaaliate tuvastamise turvalisus.
Esialgsed andmed:

• Lenovo RS 140 server koos VMware 6.0 hüperviisoriga;
• Flowmon Collectori virtuaalmasina pilt, mida saate laadige alla siit;
• vooluprotokolle toetavate lülitite paar.

Samm 1. Installige Flowmon Collector

Virtuaalse masina juurutamine VMware'is toimub täiesti standardsel viisil OVF-i mallist. Selle tulemusena saame virtuaalse masina, mis töötab CentOS-iga ja koos kasutusvalmis tarkvaraga. Ressursinõuded on inimlikud:

Jääb üle teha käsu abil põhiline lähtestamine sysconfig:

Konfigureerime IP haldusporti, DNS-i, aja, hostinime ja saame ühenduse luua veebiliidesega.

2. samm. Litsentsi installimine

Koos virtuaalmasina pildiga genereeritakse ja laaditakse alla pooleteisekuuline proovilitsents. Laaditud kaudu Konfiguratsioonikeskus -> Litsents. Selle tulemusena näeme:

Kõik on valmis. Võite alustada tööd.

3. samm. Vastuvõtja seadistamine kollektorile

Selles etapis peate otsustama, kuidas süsteem allikatest andmeid vastu võtab. Nagu me varem ütlesime, võib see olla üks vooprotokollidest või lüliti SPAN-port.

Meie näites kasutame andmete vastuvõtmist protokollide abil NetFlow v9 ja IPFIX. Sel juhul määrame sihtmärgiks haldusliidese IP-aadressi - 192.168.78.198. Liideseid eth2 ja eth3 (monitooringu liidese tüübiga) kasutatakse "toores" liikluse koopia vastuvõtmiseks kommutaatori SPAN-pordist. Lasime nad läbi, mitte meie juhtum.
Järgmisena kontrollime kollektori porti, kuhu liiklus peaks minema.

Meie puhul kuulab koguja liiklust pordis UDP/2055.

Samm 4. Võrguseadmete konfigureerimine voo ekspordiks

NetFlow seadistamist Cisco Systemsi seadmetel võib ilmselt nimetada iga võrguadministraatori täiesti tavaliseks ülesandeks. Näiteks võtame midagi ebatavalisemat. Näiteks ruuter MikroTik RB2011UiAS-2HnD. Jah, kummalisel kombel toetab selline eelarvelahendus väikestele ja kodukontoritele ka NetFlow v5/v9 ja IPFIX protokolle. Seadetes määrake sihtmärk (koguja aadress 192.168.78.198 ja port 2055):

Ja lisage kõik ekspordiks saadaolevad mõõdikud:

Siinkohal võime öelda, et põhiseade on lõpetatud. Kontrollime, kas liiklus on süsteemi sisenemas.

5. samm: võrgu jõudluse jälgimise ja diagnostika mooduli testimine ja kasutamine

Allikast pärineva liikluse olemasolu saate kontrollida jaotises Flowmoni seirekeskus –> Allikad:

Näeme, et andmed sisenevad süsteemi. Mõni aeg pärast seda, kui koguja on liiklust kogunud, hakkavad vidinad kuvama teavet:

Süsteem on üles ehitatud drill down põhimõttel. See tähendab, et kasutaja "kukkub" diagrammil või graafikul huvipakkuva fragmendi valimisel andmete sügavuse tasemele, mida ta vajab:

Iga võrguühenduse ja -ühenduse teabe juurde:

6. samm. Anomaaliate tuvastamise turvamoodul

Seda moodulit võib ehk nimetada üheks huvitavamaks tänu allkirjavabade meetodite kasutamisele võrguliikluse anomaaliate ja pahatahtliku võrgutegevuse tuvastamiseks. Kuid see ei ole IDS/IPS-süsteemide analoog. Mooduliga töötamine algab selle “koolitamisega”. Selleks määrab spetsiaalne viisard kõik võrgu põhikomponendid ja teenused, sealhulgas:

• lüüsi aadressid, DNS-, DHCP- ja NTP-serverid,
• adresseerimine kasutaja ja serveri segmentides.

Pärast seda läheb süsteem treeningrežiimi, mis kestab keskmiselt 2 nädalast 1 kuuni. Selle aja jooksul genereerib süsteem meie võrgule omase baasliikluse. Lihtsamalt öeldes õpib süsteem:

• milline käitumine on tüüpiline võrgusõlmedele?
• Millised andmemahud tavaliselt edastatakse ja on võrgu jaoks normaalsed?
• Milline on kasutajate tüüpiline tööaeg?
• millised rakendused võrgus töötavad?
• ja palju muud..

Selle tulemusena saame tööriista, mis tuvastab kõik meie võrgus esinevad kõrvalekalded ja kõrvalekalded tavapärasest käitumisest. Siin on paar näidet, mida süsteem võimaldab teil tuvastada:

• uue pahavara levitamine võrgus, mida viirusetõrjesignatuur ei tuvasta;
• DNS, ICMP või muude tunnelite ehitamine ja andmete edastamine tulemüürist mööda;
• uue arvuti ilmumine võrku DHCP- ja/või DNS-serverina.

Vaatame, kuidas see reaalajas välja näeb. Pärast seda, kui teie süsteem on koolitatud ja võrguliikluse baastaseme loonud, hakkab see tuvastama juhtumeid:

Mooduli avaleht on ajaskaala, mis kuvab tuvastatud intsidente. Meie näites näeme selget piiki, umbes 9–16 tundi. Valime selle ja vaatame üksikasjalikumalt.

Ründaja ebanormaalne käitumine võrgus on selgelt nähtav. Kõik algab sellest, et host aadressiga 192.168.3.225 alustas võrgu horisontaalset skannimist pordis 3389 (Microsoft RDP teenus) ja leidis 14 potentsiaalset "ohvrit":

и

Järgmine salvestatud juhtum – host 192.168.3.225 alustab jõhkra jõuga rünnakut RDP teenuse (port 3389) paroolide jõhkraks jõuks varem tuvastatud aadressidel:

Rünnaku tulemusena tuvastatakse ühel häkitud hostil SMTP anomaalia. Teisisõnu, rämpspost on alanud:

See näide demonstreerib selgelt süsteemi ja eelkõige anomaalia tuvastamise turvamooduli võimalusi. Hinnake tõhusust ise. Sellega on lahenduse funktsionaalne ülevaade lõpetatud.

Järeldus

Teeme kokkuvõtte, milliseid järeldusi saame Flowmoni kohta teha:

• Flowmon on esmaklassiline lahendus äriklientidele;
• tänu oma mitmekülgsusele ja ühilduvusele on andmete kogumine saadaval mis tahes allikast: võrguseadmetest (Cisco, Juniper, HPE, Huawei...) või teie enda sondidest (Flowmon Probe);
• Lahenduse mastaapsuse võimalused võimaldavad laiendada süsteemi funktsionaalsust uute moodulite lisamisega, samuti tõsta tootlikkust tänu paindlikule lähenemisele litsentsimisel;
• tänu allkirjavabade analüüsitehnoloogiate kasutamisele võimaldab süsteem tuvastada nullpäeva rünnakuid, mis on isegi viirusetõrje- ja IDS/IPS-süsteemidele tundmatud;
• tänu täielikule "läbipaistvusele" süsteemi installimise ja võrgus olemasolu osas - lahendus ei mõjuta teie IT-infrastruktuuri teiste sõlmede ja komponentide tööd;
• Flowmon on ainuke lahendus turul, mis toetab liikluse jälgimist kiirustel kuni 100 Gbps;
• Flowmon on lahendus mis tahes ulatusega võrkudele;
• parim hinna ja funktsionaalsuse suhe sarnaste lahenduste seas.

Selles ülevaates uurisime vähem kui 10% lahenduse kogu funktsionaalsusest. Järgmises artiklis räägime ülejäänud Flowmon Networksi moodulitest. Kasutades rakenduse jõudluse jälgimise moodulit näitena, näitame, kuidas ärirakenduste administraatorid saavad tagada kättesaadavuse antud SLA tasemel, samuti diagnoosida probleeme võimalikult kiiresti.

Samuti kutsume teid meie veebiseminarile (10.09.2019/XNUMX/XNUMX), mis on pühendatud müüja Flowmon Networksi lahendustele. Eelregistreerimiseks palume teil registreeru siin.
See on praeguseks kõik, täname huvi eest!

Küsitluses saavad osaleda ainult registreerunud kasutajad. Logi sissepalun.

Kas kasutate võrgu jälgimiseks Netflow'i?

• Jah

• Ei, aga ma plaanin

• ei

9 kasutajat hääletas. 3 kasutajat jäi erapooletuks.

Allikas: www.habr.com