Sarearen monitorizazioa eta sareko jarduera anomaliak detektatzea Flowmon Networks irtenbideak erabiliz

Duela gutxi, Interneten gaiari buruzko material mordoa aurki dezakezu. trafikoaren azterketa sarearen perimetroan. Aldi berean, arrazoiren batengatik denak erabat ahaztu ziren tokiko trafikoaren azterketa, eta horrek ez du garrantzi gutxiagokoa. Artikulu honek gai hau jorratzen du hain zuzen. Adibidez Flowmon sareak Netflow zahar ona (eta bere alternatibak) gogoratuko dugu, kasu interesgarriak aztertuko ditugu, sarean egon daitezkeen anomaliak eta irtenbidearen abantailak ezagutuko ditugu. sare osoak sentsore bakar gisa funtzionatzen du. Eta garrantzitsuena, tokiko trafikoaren azterketa hori guztiz doan egin dezakezu, proba lizentzia baten barruan (45 egun). Gaia zuretzat interesgarria bada, ongi etorri cat. Irakurtzeko alferra bazara, aurrera begira, izena eman dezakezu hurrengo webinarra, non dena erakutsi eta kontatuko dizuegu (datozen produktuen prestakuntzari buruz ere bertan ikasi dezakezu).

Zer da Flowmon Networks?

Lehenik eta behin, Flowmon Europako informatika saltzailea da. Konpainia txekiarra da, egoitza Brnon du (zigorren gaia ere ez da planteatzen). Gaur egungo forman, konpainia 2007tik dago merkatuan. Aurretik, Invea-Tech markarekin ezagutzen zen. Beraz, guztira, ia 20 urte eman ziren produktuak eta irtenbideak garatzen.

Flowmon A klaseko marka gisa kokatzen da. Enpresa-bezeroentzako premium irtenbideak garatzen ditu eta Gartner-en koadroetan aitortzen da Network Performance Monitoring and Diagnostics (NPMD). Gainera, interesgarria dena, txosteneko enpresa guztien artean, Flowmon da Gartner-ek sarearen monitorizaziorako eta informazioa babesteko (Network Behavior Analysis) soluzioen fabrikatzaile gisa adierazi duen hornitzaile bakarra. Oraindik ez du lehen postua hartzen, baina horregatik ez da Boeing hegal bat bezala gelditzen.

Zein arazo konpontzen ditu produktuak?

Mundu mailan, konpainiaren produktuek ebatzitako zeregin multzo hauek bereiz ditzakegu:

1. sarearen egonkortasuna areagotzea, baita sareko baliabideak ere, haien geldialdi-denbora eta erabilgarritasunik eza gutxituz;
2. sarearen errendimendu maila orokorra handitzea;
3. Administrazioko langileen eraginkortasuna areagotzea dela eta:
   • sareak monitorizatzeko tresna berritzaile modernoak erabiltzea IP fluxuei buruzko informazioan oinarrituta;
   • sarearen funtzionamenduari eta egoerari buruzko analisi zehatzak eskaintzea - ​​sarean exekutatzen diren erabiltzaileak eta aplikazioak, transmititutako datuak, elkarreraginean dauden baliabideak, zerbitzuak eta nodoak;
   • gorabeherak gertatu baino lehen erantzutea, eta ez erabiltzaileek eta bezeroek zerbitzua galdu ondoren;
   • sarea eta IT azpiegitura administratzeko behar diren denbora eta baliabideak murriztea;
   • arazoak konpontzeko zereginak erraztuz.
4. enpresaren sarearen eta informazio-baliabideen segurtasun-maila handitzea, sinadurarik gabeko teknologien erabilera sareko jarduera anormal eta gaiztoak detektatzeko, baita "zero eguneko erasoak" ere;
5. sareko aplikazioetarako eta datu-baseetarako behar den SLA maila bermatuz.

Flowmon Networks produktuen zorroa

Orain ikus dezagun zuzenean Flowmon Networks produktuen zorroa eta jakin dezagun zer egiten duen zehazki konpainiak. Askok izenetik dagoeneko asmatu dutenez, espezializazio nagusia fluxuaren trafikoa kontrolatzeko soluzioetan dago, eta oinarrizko funtzionalitateak zabaltzen dituzten modulu gehigarri batzuk daude.

Izan ere, Flowmon produktu bateko enpresa dei daiteke, edo hobeto esanda, soluzio bakarra. Azter dezagun hau ona ala txarra den.

Sistemaren muina biltzailea da, hainbat fluxu-protokolo erabiliz datuak biltzeaz arduratzen dena, esaterako NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Nahiko logikoa da sareko ekipoen fabrikatzailerekin afiliatuta ez dagoen enpresarentzat garrantzitsua dela merkatuari produktu unibertsal bat eskaintzea, estandar edo protokolo bati lotuta ez dagoena.

Flowmon biltzailea

Biltzailea hardware zerbitzari gisa eta makina birtual gisa (VMware, Hyper-V, KVM) erabilgarri dago. Bide batez, hardware plataforma DELL zerbitzari pertsonalizatuetan ezartzen da, eta horrek automatikoki ezabatzen ditu bermearekin eta RMArekin lotutako arazo gehienak. Jabedun hardware osagai bakarrak Flowmon-en filial batek garatutako FPGA trafikoa harrapatzeko txartelak dira, 100 Gbps-ko abiaduran kontrolatzea ahalbidetzen dutenak.

Baina zer egin lehendik dauden sare-ekipoak kalitate handiko fluxua sortzeko gai ez badira? Edo ekipoaren karga handiegia al da? Arazorik ez:

Flowmon Prob

Kasu honetan, Flowmon Networks-ek bere zundak erabiltzea proposatzen du (Flowmon Probe), sarera konektatzen direnak switch-aren SPAN atakaren bidez edo TAP banatzaile pasiboak erabiltzea.

SPAN (ispilu ataka) eta TAP ezarpen-aukerak

Kasu honetan, Flowmon Probera iristen den trafiko gordina gehiago duen IPFIX hedatu batean bihurtzen da. 240 metrika informazioarekin. Sareko ekipoek sortutako NetFlow protokolo estandarrak 80 metrika baino gehiago ez dituen bitartean. Horrek protokoloaren ikusgarritasuna ahalbidetzen du 3. eta 4. mailetan ez ezik, ISO OSI ereduaren arabera 7. mailan ere. Ondorioz, sareko administratzaileek aplikazioen eta protokoloen funtzionamendua kontrolatu dezakete, hala nola posta elektronikoa, HTTP, DNS, SMB...

Kontzeptuki, sistemaren arkitektura logikoa honelakoa da:

Flowmon Networks "ekosistema" osoaren zati nagusia Bilduma da, lehendik dauden sare-ekipoetatik edo bere zundatik (Probe) trafikoa jasotzen duena. Baina Enterprise irtenbide baterako, sareko trafikoa monitorizatzeko soilik funtzionalitatea eskaintzea sinpleegia litzateke. Kode irekiko soluzioek ere hori egin dezakete, errendimendu horrekin ez bada ere. Flowmon-en balioa oinarrizko funtzionaltasuna zabaltzen duten modulu osagarriak dira:

• modulua Anomalia detektatzeko segurtasuna – sareko jarduera anomaliaren identifikazioa, zero eguneko erasoak barne, trafikoaren analisi heuristikoan eta sareko profil tipiko batean oinarrituta;
• modulua Aplikazioaren errendimendua kontrolatzea – sareko aplikazioen errendimendua kontrolatzea "agenteak" instalatu gabe eta xede-sistemetan eragin gabe;
• modulua Trafiko Grabagailua – sareko trafiko zatiak aurrez zehaztutako arau multzo baten arabera edo ADS moduluko abiarazle baten arabera grabatzea, informazioaren segurtasuneko gorabeherak gehiago konpontzeko edo ikertzeko;
• modulua DDoS babesa – Sarearen perimetroa DoS/DDoS bolumetriko zerbitzuen ukapen-erasoetatik babestea, aplikazioen aurkako erasoak barne (OSI L3/L4/L7).

Artikulu honetan, dena zuzenean nola funtzionatzen duen ikusiko dugu 2 moduluen adibidea erabiliz - Sarearen errendimenduaren jarraipena eta diagnostikoa и Anomalia detektatzeko segurtasuna.
Hasierako datuak:

• Lenovo RS 140 zerbitzaria VMware 6.0 hipervisorarekin;
• Ahal duzun Flowmon Collector makina birtualaren irudia deskargatu hemen;
• fluxu-protokoloak onartzen dituzten etengailu pare bat.

1. urratsa. Instalatu Flowmon Collector

VMware-n makina birtual baten hedapena modu guztiz estandarrean gertatzen da OVF txantiloitik. Ondorioz, CentOS exekutatzen duen makina birtual bat lortzen dugu eta erabiltzeko prest dagoen softwarearekin. Baliabideen eskakizunak gizatiarrak dira:

Geratzen dena da oinarrizko hasieraketa egitea komandoa erabiliz sysconfig:

IP kudeaketa portuan konfiguratzen dugu, DNS, ordua, Ostalari izena eta WEB interfazera konektatu gaitezke.

2. urratsa. Lizentziaren instalazioa

Hilabete eta erdiko probako lizentzia bat sortzen eta deskargatzen da makina birtualaren irudiarekin batera. bidez kargatuta Konfigurazio Zentroa -> Lizentzia. Ondorioz, ikusten dugu:

Dena prest dago. Lanean has zaitezke.

3. urratsa. Hargailua kolektorean konfiguratzea

Fase honetan, sistemak iturrietatik datuak nola jasoko dituen erabaki behar duzu. Lehen esan dugun bezala, hau izan daiteke fluxu-protokoloetako bat edo switch-eko SPAN ataka bat.

Gure adibidean, datuen harrera protokoloak erabiliz erabiliko dugu NetFlow v9 eta IPFIX. Kasu honetan, Kudeaketa interfazearen IP helbidea zehazten dugu helburu gisa - 192.168.78.198. Eth2 eta eth3 interfazeak (Monitoring interfaze motakoak) switch-aren SPAN atakatik trafiko "gordina"ren kopia bat jasotzeko erabiltzen dira. Guk pasatzen utzi diegu, ez gure kasua.
Ondoren, trafikoa nora joan behar den biltzaile-ataka egiaztatuko dugu.

Gure kasuan, biltzaileak trafikoa entzuten du UDP/2055 portuan.

4. urratsa. Sareko ekipoak konfiguratzea fluxua esportatzeko

Cisco Systems-eko ekipoetan NetFlow konfiguratzea seguruenik sareko administratzaile guztien zeregin guztiz arrunta dei daiteke. Gure adibiderako, zerbait ezohikoagoa hartuko dugu. Adibidez, MikroTik RB2011UiAS-2HnD bideratzailea. Bai, bitxia bada ere, bulego txikietarako eta etxeko bulegoetarako aurrekontu irtenbide batek NetFlow v5/v9 eta IPFIX protokoloak ere onartzen ditu. Ezarpenetan, ezarri helburua (biltzaile-helbidea 192.168.78.198 eta 2055 ataka):

Eta gehitu esportatzeko erabilgarri dauden neurketa guztiak:

Puntu honetan oinarrizko konfigurazioa osatu dela esan dezakegu. Sisteman trafikoa sartzen ari den egiaztatzen dugu.

5. urratsa: Sarearen errendimendua kontrolatzeko eta diagnostikatzeko modulua probatu eta funtzionatzea

Iturburutik trafikoaren presentzia egiaztatu dezakezu atalean Flowmon Jarraipen Zentroa –> Iturriak:

Datuak sisteman sartzen ari direla ikusten dugu. Biltzaileak trafikoa pilatu ondoren, widgetak informazioa bistaratzen hasiko dira:

Sistema zulatzeko printzipioaren arabera eraikita dago. Hau da, erabiltzaileak, diagrama edo grafiko batean interesgarri den zati bat hautatzen duenean, behar duen datuen sakontasun mailara "jaisten" da:

Sare-konexio eta konexio bakoitzari buruzko informaziora arte:

6. urratsa. Anomalia detektatzeko segurtasun modulua

Modulu hau interesgarrienetako bat dei daiteke agian, sareko trafikoan anomaliak eta sareko jarduera maltzurren antzemateko sinadurarik gabeko metodoen erabilerari esker. Baina hau ez da IDS/IPS sistemen analogoa. Moduluarekin lan egitea bere “prestakuntzarekin” hasten da. Horretarako, morroi berezi batek sareko funtsezko osagai eta zerbitzu guztiak zehazten ditu, besteak beste:

• atebide-helbideak, DNS, DHCP eta NTP zerbitzariak,
• helbideratzea erabiltzaile eta zerbitzariaren segmentuetan.

Horren ondoren, sistema entrenamendu moduan sartzen da, eta batez beste 2 astetik hilabetera irauten du. Denbora horretan, sistemak gure sarerako espezifikoa den oinarrizko trafikoa sortzen du. Besterik gabe, sistemak ikasten du:

• Zein portaera da ohikoa sareko nodoentzat?
• Zein datu-bolumen transferitzen dira normalean eta normalak dira sarerako?
• Zein da erabiltzaileen ohiko funtzionamendu-denbora?
• zer aplikazio exekutatzen dira sarean?
• eta askoz gehiago..

Ondorioz, gure sareko anomaliak eta ohiko portaeraren desbideratzeak identifikatzen dituen tresna bat lortzen dugu. Hona hemen sistemak detektatzeko aukera ematen dizun adibide pare bat:

• birusen aurkako sinadurek detektatzen ez duten malware berriaren banaketa sarean;
• DNS, ICMP edo beste tunel batzuk eraiki eta datuak igortzea suebakia saihestuz;
• sarean DHCP eta/edo DNS zerbitzari gisa planteatzen duen ordenagailu berri bat agertzea.

Ikus dezagun nolakoa den zuzenean. Zure sistema trebatu eta sareko trafikoaren oinarrizko lerroa eraiki ondoren, gorabeherak hautematen hasten da:

Moduluaren orri nagusia identifikatutako gorabeherak erakusten dituen denbora-lerroa da. Gure adibidean, erpin argi bat ikusten dugu, gutxi gorabehera 9 eta 16 ordu artekoa. Hautatu dezagun eta begiratu zehatzago.

Erasotzaileak sarean duen portaera anormala argi ikusten da. Dena hasten da 192.168.3.225 helbidea duen ostalariak 3389 atakan (Microsoft RDP zerbitzua) sarearen miaketa horizontala hasi zuela eta 14 "biktima" balizko aurkitu zituela:

и

Grabatutako honako gertakari honek - 192.168.3.225 ostalariak indar gordineko eraso bat hasten du RDP zerbitzuko (3389 ataka) indar gordineko pasahitzei aurrez identifikatutako helbideetan:

Erasoaren ondorioz, SMTP anomalia bat antzematen da hackeatutako ostalarietako batean. Beste era batera esanda, SPAM-a hasi da:

Adibide hau sistemaren eta, bereziki, Anomalia Detektatzeko Segurtasun moduluaren gaitasunen erakustaldi argia da. Epai ezazu zeure buruaren eraginkortasuna. Honek irtenbidearen ikuspegi orokorra amaitzen du.

Ondorioa

Labur dezagun Flowmon-i buruz zer ondorio atera ditzakegun:

• Flowmon bezero korporatiboentzako premium irtenbide bat da;
• duen aldakortasunari eta bateragarritasunari esker, datu bilketa edozein iturritatik eskura daiteke: sareko ekipoak (Cisco, Juniper, HPE, Huawei...) edo zure zundak (Flowmon Probe);
• Soluzioaren eskalagarritasun-gaitasunak sistemaren funtzionaltasuna zabaltzeko aukera ematen du modulu berriak gehituz, bai eta produktibitatea areagotzea ere lizentzien ikuspegi malguari esker;
• Sinadurarik gabeko analisi-teknologien bidez, sistemak antibirusek eta IDS/IPS sistemek ezezagunak diren zero eguneko erasoak detektatzeko aukera ematen du;
• sarean sistemaren instalazioari eta presentziari dagokionez erabateko "gardentasuna"ri esker - irtenbideak ez du zure IT azpiegiturako beste nodo eta osagaien funtzionamenduan eragiten;
• Flowmon da 100 Gbps-ko abiaduran trafikoaren jarraipena onartzen duen merkatuan dagoen irtenbide bakarra;
• Flowmon edozein eskalatako sareetarako irtenbidea da;
• antzeko soluzioen artean prezio/funtzionalitate erlaziorik onena.

Berrikuspen honetan, soluzioaren funtzionaltasun osoaren % 10 baino gutxiago aztertu dugu. Hurrengo artikuluan gainerako Flowmon Networks moduluei buruz hitz egingo dugu. Aplikazioen errendimendua kontrolatzeko modulua adibide gisa erabiliz, negozio-aplikazioen administratzaileek SLA maila jakin batean erabilgarritasuna nola berma dezaketen erakutsiko dugu, baita arazoak ahalik eta azkarren diagnostikatu ere.

Gainera, Flowmon Networks hornitzailearen irtenbideei eskainitako gure webinarrera (10.09.2019/XNUMX/XNUMX) gonbidatu nahi zaitugu. Aurrez izena emateko, eskatzen dizuegu izena eman hemen.
Hau da oraingoz guztia, eskerrik asko zuen interesagatik!

Erregistratutako erabiltzaileek soilik parte hartu dezakete inkestan. Hasi saioa, mesedez.

Netflow erabiltzen al duzu sarearen jarraipena egiteko?

• Bai

• Ez, baina asmoa dut

• No

9 erabiltzailek eman dute botoa. 3 erabiltzaile abstenitu ziren.

Iturria: www.habr.com