نظارت بر شبکه و تشخیص فعالیت غیرعادی شبکه با استفاده از راه حل های Flowmon Networks

اخیراً می توانید حجم زیادی از مطالب در مورد این موضوع را در اینترنت پیدا کنید. تجزیه و تحلیل ترافیک در محیط شبکه. در همان زمان، به دلایلی همه به طور کامل آن را فراموش کردند تجزیه و تحلیل ترافیک محلی، که از اهمیت کمتری برخوردار نیست. این مقاله دقیقاً به این موضوع می پردازد. مثلا شبکه های فلومون ما Netflow خوب قدیمی (و جایگزین های آن) را به یاد خواهیم آورد، به موارد جالب، ناهنجاری های احتمالی در شبکه نگاه خواهیم کرد و مزایای راه حل را در زمانی که کل شبکه به عنوان یک حسگر واحد کار می کند. و مهمتر از همه، شما می توانید چنین تجزیه و تحلیلی از ترافیک محلی را کاملاً رایگان در چارچوب مجوز آزمایشی انجام دهید (روز 45). اگر موضوع برای شما جالب است، به گربه خوش آمدید. اگر برای خواندن خیلی تنبل هستید، با نگاه کردن به آینده، می توانید در آن ثبت نام کنید وبینار آینده، جایی که ما همه چیز را به شما نشان می دهیم و به شما می گوییم (همچنین می توانید در مورد آموزش محصولات آینده در آنجا بیاموزید).

Flowmon Networks چیست؟

اول از همه، Flowmon یک فروشنده فناوری اطلاعات اروپایی است. این شرکت چک است و دفتر مرکزی آن در برنو است (حتی بحث تحریم ها مطرح نشده است). این شرکت در شکل فعلی خود از سال 2007 وارد بازار شده است. قبلاً با نام تجاری Invea-Tech شناخته می شد. بنابراین، در مجموع، تقریبا 20 سال برای توسعه محصولات و راه حل ها صرف شد.

Flowmon به عنوان یک نام تجاری در کلاس A قرار دارد. راه حل های برتر را برای مشتریان سازمانی توسعه می دهد و در جعبه های Gartner برای نظارت و تشخیص عملکرد شبکه (NPMD) شناخته می شود. علاوه بر این، جالب است که از بین تمام شرکت‌های موجود در این گزارش، Flowmon تنها فروشنده‌ای است که توسط گارتنر به عنوان سازنده راه‌حل‌هایی برای نظارت بر شبکه و حفاظت از اطلاعات (تحلیل رفتار شبکه) معرفی شده است. هنوز رتبه اول را به خود اختصاص نداده است، اما به همین دلیل مانند بال بوئینگ نمی ایستد.

محصول چه مشکلاتی را حل می کند؟

در سطح جهانی، ما می‌توانیم مجموعه وظایف زیر را که توسط محصولات این شرکت حل شده است تشخیص دهیم:

1. افزایش پایداری شبکه و همچنین منابع شبکه با به حداقل رساندن خرابی و در دسترس نبودن آنها.
2. افزایش سطح کلی عملکرد شبکه؛
3. افزایش کارایی پرسنل اداری به دلیل:
   • با استفاده از ابزارهای نوین نظارت بر شبکه مبتنی بر اطلاعات در مورد جریان IP.
   • ارائه تجزیه و تحلیل دقیق در مورد عملکرد و وضعیت شبکه - کاربران و برنامه های کاربردی در حال اجرا در شبکه، داده های منتقل شده، منابع تعاملی، خدمات و گره ها.
   • پاسخ دادن به حوادث قبل از وقوع، و نه پس از از دست دادن خدمات توسط کاربران و مشتریان؛
   • کاهش زمان و منابع مورد نیاز برای مدیریت شبکه و زیرساخت فناوری اطلاعات؛
   • ساده کردن وظایف عیب یابی
4. افزایش سطح امنیت شبکه و منابع اطلاعاتی شرکت، از طریق استفاده از فناوری های بدون امضا برای شناسایی فعالیت های غیرعادی و مخرب شبکه و همچنین "حملات روز صفر"؛
5. اطمینان از سطح مورد نیاز SLA برای برنامه های کاربردی شبکه و پایگاه های داده.

مجموعه محصولات Flowmon Networks

اکنون بیایید مستقیماً به مجموعه محصولات Flowmon Networks نگاه کنیم و متوجه شویم که این شرکت دقیقاً چه کاری انجام می دهد. همانطور که بسیاری قبلاً از نام آن حدس زده‌اند، تخصص اصلی در راه‌حل‌هایی برای نظارت بر جریان جریان ترافیک، به‌علاوه تعدادی ماژول اضافی است که عملکرد اصلی را گسترش می‌دهند.

در واقع Flowmon را می توان شرکتی از یک محصول یا بهتر است بگوییم یک راه حل نامید. بیایید بفهمیم که این خوب است یا بد.

هسته سیستم جمع آوری است که وظیفه جمع آوری داده ها را با استفاده از پروتکل های مختلف جریان دارد، مانند NetFlow v5/v9، jFlow، sFlow، NetStream، IPFIX... کاملاً منطقی است که برای شرکتی که به هیچ تولیدکننده تجهیزات شبکه وابسته نیست، مهم است که یک محصول جهانی را به بازار عرضه کند که به هیچ استاندارد یا پروتکلی گره نخورده باشد.

جمع آوری کننده Flowmon

کلکتور هم به عنوان سرور سخت افزاری و هم به عنوان ماشین مجازی (VMware، Hyper-V، KVM) در دسترس است. به هر حال، پلت فرم سخت افزاری بر روی سرورهای سفارشی DELL پیاده سازی شده است که به طور خودکار اکثر مشکلات مربوط به گارانتی و RMA را برطرف می کند. تنها اجزای سخت‌افزاری اختصاصی، کارت‌های ضبط ترافیک FPGA هستند که توسط یکی از شرکت‌های تابعه Flowmon توسعه یافته‌اند، که امکان نظارت را تا سرعت 100 گیگابیت بر ثانیه فراهم می‌کنند.

اما اگر تجهیزات شبکه موجود قادر به تولید جریان با کیفیت بالا نباشد چه باید کرد؟ یا بار روی تجهیزات خیلی زیاد است؟ مشکلی نیست:

Flowmon Prob

در این مورد، Flowmon Networks استفاده از پروب های خود (Flowmon Probe) را پیشنهاد می کند که از طریق پورت SPAN سوئیچ یا با استفاده از تقسیم کننده های غیرفعال TAP به شبکه متصل می شوند.

گزینه های اجرای SPAN (درگاه آینه) و TAP

در این مورد، ترافیک خامی که به Flowmon Probe می رسد به یک IPFIX توسعه یافته تبدیل می شود که حاوی موارد بیشتری است. 240 متریک با اطلاعات. در حالی که پروتکل استاندارد NetFlow تولید شده توسط تجهیزات شبکه بیش از 80 معیار ندارد. این امکان مشاهده پروتکل را نه تنها در سطوح 3 و 4، بلکه در سطح 7 مطابق با مدل ISO OSI فراهم می کند. در نتیجه، مدیران شبکه می‌توانند عملکرد برنامه‌ها و پروتکل‌هایی مانند ایمیل، HTTP، DNS، SMB و... را کنترل کنند.

از لحاظ مفهومی، معماری منطقی سیستم به شکل زیر است:

بخش مرکزی کل "اکوسیستم" شبکه های Flowmon، جمع کننده است که ترافیک را از تجهیزات شبکه موجود یا پروب های خود (پروب) دریافت می کند. اما برای یک راه حل Enterprise، ارائه عملکرد صرفاً برای نظارت بر ترافیک شبکه بسیار ساده خواهد بود. راه حل های منبع باز نیز می توانند این کار را انجام دهند، البته نه با چنین عملکردی. ارزش Flowmon ماژول های اضافی هستند که عملکرد اصلی را گسترش می دهند:

• ماژول امنیت تشخیص ناهنجاری - شناسایی فعالیت غیرعادی شبکه، از جمله حملات روز صفر، بر اساس تجزیه و تحلیل اکتشافی ترافیک و مشخصات شبکه معمولی.
• ماژول نظارت بر عملکرد برنامه - نظارت بر عملکرد برنامه های کاربردی شبکه بدون نصب «عامل» و تأثیرگذاری بر سیستم های هدف.
• ماژول ضبط کننده ترافیک – ضبط قطعاتی از ترافیک شبکه بر اساس مجموعه ای از قوانین از پیش تعریف شده یا بر اساس یک ماشه از ماژول ADS، برای عیب یابی بیشتر و/یا بررسی حوادث امنیت اطلاعات؛
• ماژول محافظت DDoS - حفاظت از محیط شبکه در برابر حملات حجمی DoS/DDoS انکار سرویس، از جمله حملات به برنامه ها (OSI L3/L4/L7).

در این مقاله، با استفاده از مثال 2 ماژول به نحوه عملکرد همه چیز به صورت زنده نگاه خواهیم کرد - نظارت بر عملکرد شبکه و تشخیص и امنیت تشخیص ناهنجاری.
اطلاعات اولیه:

• سرور لنوو RS 140 با هایپروایزر VMware 6.0.
• تصویر ماشین مجازی Flowmon Collector که می توانید اینجا را بارگیری کنید;
• یک جفت سوئیچ که از پروتکل های جریان پشتیبانی می کنند.

مرحله 1. Flowmon Collector را نصب کنید

استقرار یک ماشین مجازی در VMware به روشی کاملا استاندارد از قالب OVF انجام می شود. در نتیجه، ما یک ماشین مجازی داریم که CentOS و با نرم افزار آماده استفاده دارد. نیازهای منابع انسانی هستند:

تنها چیزی که باقی می ماند انجام اولیه سازی اولیه با استفاده از دستور است sysconfig:

ما IP را در پورت مدیریت، DNS، زمان، نام میزبان پیکربندی می کنیم و می توانیم به رابط وب متصل شویم.

مرحله 2. نصب مجوز

مجوز آزمایشی یک ماه و نیم به همراه تصویر ماشین مجازی تولید و دانلود می شود. بارگیری شده از طریق مرکز پیکربندی -> مجوز. در نتیجه می بینیم:

همه آماده است. می توانید شروع به کار کنید.

مرحله 3. تنظیم گیرنده بر روی کلکتور

در این مرحله باید تصمیم بگیرید که سیستم چگونه داده ها را از منابع دریافت کند. همانطور که قبلاً گفتیم، این می تواند یکی از پروتکل های جریان یا یک پورت SPAN روی سوئیچ باشد.

در مثال ما از دریافت داده ها با استفاده از پروتکل ها استفاده خواهیم کرد NetFlow v9 و IPFIX. در این مورد، آدرس IP رابط مدیریت را به عنوان یک هدف مشخص می کنیم - 192.168.78.198. رابط‌های eth2 و eth3 (با نوع رابط Monitoring) برای دریافت یک کپی از ترافیک خام از پورت SPAN سوئیچ استفاده می‌شوند. ما به آنها اجازه عبور دادیم، نه پرونده خودمان.
در مرحله بعد، پورت جمع‌آوری را بررسی می‌کنیم که ترافیک باید به آنجا برود.

در مورد ما، جمع کننده به ترافیک در پورت UDP/2055 گوش می دهد.

مرحله 4. پیکربندی تجهیزات شبکه برای صادرات جریان

راه اندازی NetFlow در تجهیزات سیسکو سیستم را احتمالاً می توان یک کار کاملاً رایج برای هر مدیر شبکه نامید. برای مثال ما چیز غیرعادی تری را در نظر می گیریم. به عنوان مثال، روتر MikroTik RB2011UiAS-2HnD. بله، به اندازه کافی عجیب، چنین راه حل بودجه ای برای دفاتر کوچک و خانگی از پروتکل های NetFlow v5/v9 و IPFIX نیز پشتیبانی می کند. در تنظیمات، هدف را تنظیم کنید (آدرس گردآورنده 192.168.78.198 و پورت 2055):

و تمام معیارهای موجود برای صادرات را اضافه کنید:

در این مرحله می توان گفت که راه اندازی اولیه کامل شده است. بررسی می کنیم که آیا ترافیک وارد سیستم می شود یا خیر.

مرحله 5: تست و راه اندازی ماژول نظارت و تشخیص عملکرد شبکه

می توانید وجود ترافیک را از منبع در بخش بررسی کنید مرکز مانیتورینگ Flowmon –> منابع:

می بینیم که داده ها وارد سیستم می شوند. مدتی پس از جمع‌آوری ترافیک، ویجت‌ها شروع به نمایش اطلاعات می‌کنند:

این سیستم بر اساس اصل دریل پایین ساخته شده است. یعنی کاربر هنگام انتخاب یک قطعه مورد علاقه در نمودار یا نمودار، به سطح عمق داده مورد نیاز خود "افتاده" می کند:

به اطلاعات مربوط به هر اتصال و اتصال شبکه:

مرحله 6. ماژول امنیتی تشخیص ناهنجاری

این ماژول را می توان به لطف استفاده از روش های بدون امضا برای تشخیص ناهنجاری ها در ترافیک شبکه و فعالیت های مخرب شبکه، یکی از جالب ترین ها نامید. اما این مشابه سیستم های IDS/IPS نیست. کار با ماژول با "آموزش" آن آغاز می شود. برای انجام این کار، یک جادوگر ویژه تمام اجزا و خدمات کلیدی شبکه را مشخص می کند، از جمله:

• آدرس های دروازه، سرورهای DNS، DHCP و NTP،
• آدرس دهی در بخش های کاربر و سرور

پس از این، سیستم به حالت تمرین می رود که به طور متوسط ​​از 2 هفته تا 1 ماه طول می کشد. در طول این مدت، سیستم ترافیک پایه ای را ایجاد می کند که مختص شبکه ما است. به زبان ساده، سیستم یاد می گیرد:

• چه رفتاری برای گره های شبکه معمولی است؟
• چه حجمی از داده ها معمولاً منتقل می شوند و برای شبکه عادی هستند؟
• زمان معمول کارکرد برای کاربران چقدر است؟
• چه برنامه هایی در شبکه اجرا می شوند؟
• و خیلی بیشتر..

در نتیجه، ابزاری دریافت می‌کنیم که هرگونه ناهنجاری در شبکه ما و انحراف از رفتار معمولی را شناسایی می‌کند. در اینجا چند نمونه وجود دارد که سیستم به شما امکان می دهد آنها را شناسایی کنید:

• توزیع بدافزار جدید در شبکه که توسط امضاهای آنتی ویروس شناسایی نمی شود.
• ساختن DNS، ICMP یا سایر تونل ها و انتقال داده ها با دور زدن فایروال.
• ظاهر یک کامپیوتر جدید در شبکه که به عنوان یک سرور DHCP و/یا DNS ظاهر می شود.

بیایید ببینیم که چگونه به نظر می رسد زنده است. پس از اینکه سیستم شما آموزش دید و یک خط پایه از ترافیک شبکه ایجاد کرد، شروع به شناسایی حوادث می کند:

صفحه اصلی ماژول یک جدول زمانی است که حوادث شناسایی شده را نشان می دهد. در مثال ما، یک سنبله واضح را می بینیم، تقریباً بین 9 تا 16 ساعت. بیایید آن را انتخاب کنیم و با جزئیات بیشتری نگاه کنیم.

رفتار غیرعادی مهاجم در شبکه به وضوح قابل مشاهده است. همه چیز با این واقعیت شروع می شود که میزبان با آدرس 192.168.3.225 اسکن افقی شبکه را در پورت 3389 (سرویس RDP مایکروسافت) آغاز کرد و 14 "قربانی" احتمالی پیدا کرد:

и

رویداد ثبت شده زیر - میزبان 192.168.3.225 یک حمله brute force برای گذرواژه‌های brute force در سرویس RDP (پورت 3389) در آدرس‌های قبلاً شناسایی شده آغاز می‌کند:

در نتیجه حمله، یک ناهنجاری SMTP در یکی از میزبان های هک شده شناسایی می شود. به عبارت دیگر، SPAM شروع شده است:

این مثال نمایش واضحی از قابلیت های سیستم و به ویژه ماژول امنیتی تشخیص ناهنجاری است. اثربخشی را خودتان قضاوت کنید. این یک مرور کلی عملکردی راه حل را به پایان می رساند.

نتیجه

بیایید خلاصه کنیم که چه نتایجی می توانیم در مورد Flowmon بگیریم:

• Flowmon یک راه حل برتر برای مشتریان شرکتی است.
• به لطف تطبیق پذیری و سازگاری آن، جمع آوری داده ها از هر منبعی در دسترس است: تجهیزات شبکه (سیسکو، جونیپر، HPE، هواوی...) یا کاوشگرهای خودتان (Flowmon Probe).
• قابلیت‌های مقیاس‌پذیری راه‌حل به شما این امکان را می‌دهد که عملکرد سیستم را با افزودن ماژول‌های جدید گسترش دهید، و همچنین بهره‌وری را به لطف رویکرد انعطاف‌پذیر در صدور مجوز افزایش دهید.
• از طریق استفاده از فناوری های تجزیه و تحلیل بدون امضا، این سیستم به شما امکان می دهد حملات روز صفر را حتی برای آنتی ویروس ها و سیستم های IDS/IPS ناشناخته شناسایی کنید.
• به لطف "شفافیت" کامل از نظر نصب و حضور سیستم در شبکه - راه حل بر عملکرد سایر گره ها و اجزای زیرساخت فناوری اطلاعات شما تأثیر نمی گذارد.
• Flowmon تنها راه حل موجود در بازار است که از نظارت بر ترافیک تا سرعت 100 گیگابیت در ثانیه پشتیبانی می کند.
• Flowmon راه حلی برای شبکه های در هر مقیاسی است.
• بهترین نسبت قیمت/کارکرد در میان راه حل های مشابه.

در این بررسی، کمتر از 10 درصد از کل عملکرد راه حل را بررسی کردیم. در مقاله بعدی در مورد ماژول های باقی مانده Flowmon Networks صحبت خواهیم کرد. با استفاده از ماژول نظارت بر عملکرد برنامه به عنوان مثال، نشان خواهیم داد که چگونه مدیران برنامه های تجاری می توانند در دسترس بودن در یک سطح SLA معین را تضمین کنند و همچنین مشکلات را در سریع ترین زمان ممکن تشخیص دهند.

همچنین، ما می خواهیم شما را به وبینار خود (10.09.2019/XNUMX/XNUMX) که به راه حل های فروشنده Flowmon Networks اختصاص دارد دعوت کنیم. برای پیش ثبت نام از شما می خواهیم اینجا ثبت نام کنید.
فعلاً همین است، از علاقه شما متشکرم!

فقط کاربران ثبت نام شده می توانند در نظرسنجی شرکت کنند. ورود، لطفا.

آیا از Netflow برای نظارت بر شبکه استفاده می کنید؟

• بله

• نه، اما من قصد دارم

• بدون

9 کاربر رای دادند. 3 کاربر رای ممتنع دادند.

منبع: www.habr.com