Verkon seuranta ja poikkeavien verkkotoimintojen havaitseminen Flowmon Networksin ratkaisuilla

Viime aikoina voit löytää valtavan määrän materiaalia aiheesta Internetistä. liikenneanalyysi verkon kehällä. Samaan aikaan jostain syystä kaikki unohtivat sen kokonaan paikallinen liikenneanalyysi, mikä ei ole yhtä tärkeää. Tämä artikkeli käsittelee juuri tätä aihetta. Esimerkiksi Flowmon Networks muistetaan vanha kunnon Netflow (ja sen vaihtoehdot), katsotaan mielenkiintoisia tapauksia, mahdollisia poikkeavuuksia verkossa ja selvitetään ratkaisun edut kun koko verkko toimii yhtenä anturina. Ja mikä tärkeintä, voit suorittaa tällaisen paikallisliikenteen analyysin täysin ilmaiseksi, kokeiluluvan puitteissa (45 päivää). Jos aihe kiinnostaa sinua, tervetuloa kissoihin. Jos olet liian laiska lukemaan, voit rekisteröityä eteenpäin katsomallasi tuleva webinaari, jossa näytämme ja kerromme sinulle kaiken (siellä pääset myös tutustumaan tulevaan tuotekoulutukseen).

Mikä Flowmon Networks on?

Ensinnäkin Flowmon on eurooppalainen IT-toimittaja. Yritys on tšekkiläinen, ja sen pääkonttori sijaitsee Brnossa (pakotteita ei edes käsitellä). Nykyisessä muodossaan yritys on ollut markkinoilla vuodesta 2007. Aiemmin se tunnettiin Invea-Tech-brändillä. Eli yhteensä lähes 20 vuotta käytettiin tuotteiden ja ratkaisujen kehittämiseen.

Flowmon on A-luokan brändi. Kehittää korkealuokkaisia ​​ratkaisuja yritysasiakkaille, ja se on tunnustettu Gartnerin verkon suorituskyvyn valvonta- ja diagnostiikkaan (NPMD). Lisäksi on mielenkiintoista, että kaikista raportissa olevista yrityksistä Flowmon on ainoa Gartnerin mainitsema toimittaja sekä verkon valvontaan että tiedonsuojaukseen tarkoitettujen ratkaisujen valmistajana (Network Behavior Analysis). Se ei ole vielä ykkössijalla, mutta tämän vuoksi se ei seiso kuin Boeingin siipi.

Mitä ongelmia tuote ratkaisee?

Maailmanlaajuisesti voimme erottaa seuraavat tehtävät, jotka yrityksen tuotteet ratkaisevat:

1. lisäämällä verkon vakautta sekä verkkoresursseja minimoimalla niiden seisokit ja epäkäytettävyys;
2. verkon yleisen suorituskyvyn tason parantaminen;
3. hallinnollisen henkilöstön tehokkuuden lisääminen johtuen:
   • käyttämällä nykyaikaisia ​​innovatiivisia verkkoseurantatyökaluja, jotka perustuvat IP-virtoja koskeviin tietoihin;
   • yksityiskohtaisen analyysin tarjoaminen verkon toiminnasta ja tilasta - verkossa käynnissä olevista käyttäjistä ja sovelluksista, siirretystä tiedosta, vuorovaikutteisista resursseista, palveluista ja solmuista;
   • reagoida tapahtumiin ennen kuin ne tapahtuvat, eikä sen jälkeen, kun käyttäjät ja asiakkaat menettävät palvelun;
   • verkon ja IT-infrastruktuurin hallintaan tarvittavan ajan ja resurssien vähentäminen;
   • yksinkertaistaa vianetsintätehtäviä.
4. lisäämällä yrityksen verkon ja tietoresurssien turvallisuustasoa käyttämällä ei-allekirjoitustekniikoita poikkeavan ja haitallisen verkkotoiminnan sekä "nollapäivän hyökkäysten" havaitsemiseen;
5. varmistaa vaaditun SLA-tason verkkosovelluksille ja tietokantoille.

Flowmon Networksin tuoteportfolio

Katsotaan nyt suoraan Flowmon Networksin tuotevalikoimaa ja selvitetään, mitä yritys tarkalleen tekee. Kuten monet ovat jo nimestä päättäneet, pääerikoistuminen on virtausliikenteen seurantaratkaisuihin sekä joukko lisämoduuleja, jotka laajentavat perustoimintoja.

Itse asiassa Flowmonia voidaan kutsua yhden tuotteen yritykseksi tai pikemminkin yhdeksi ratkaisuksi. Selvitetään onko tämä hyvä vai huono asia.

Järjestelmän ydin on keräilijä, joka vastaa tiedon keräämisestä erilaisilla vuoprotokollia, kuten esim NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... On aivan loogista, että yritykselle, joka ei ole sidoksissa mihinkään verkkolaitteiden valmistajaan, on tärkeää tarjota markkinoille universaali tuote, joka ei ole sidottu mihinkään standardiin tai protokollaan.

Flowmon keräilijä

Keräilijä on saatavilla sekä laitteistopalvelimena että virtuaalikoneena (VMware, Hyper-V, KVM). Muuten, laitteistoalusta on toteutettu mukautetuilla DELL-palvelimilla, mikä eliminoi automaattisesti suurimman osan takuu- ja RMA-ongelmista. Ainoat patentoidut laitteistokomponentit ovat Flowmonin tytäryhtiön kehittämät FPGA-liikenteen sieppauskortit, jotka mahdollistavat valvonnan jopa 100 Gbps:n nopeudella.

Mutta mitä tehdä, jos olemassa olevat verkkolaitteet eivät pysty tuottamaan korkealaatuista virtausta? Vai onko laitteiden kuormitus liian suuri? Ei ongelmaa:

Flowmon Prob

Tässä tapauksessa Flowmon Networks suosittelee omien antureiden (Flowmon Probe) käyttöä, jotka on kytketty verkkoon kytkimen SPAN-portin kautta tai käyttämällä passiivisia TAP-jakajia.

SPAN (peiliportti) ja TAP toteutusvaihtoehdot

Tässä tapauksessa Flowmon Probeen saapuva raakaliikenne muunnetaan laajennetuksi IPFIX:ksi, joka sisältää enemmän 240 mittaria tiedoilla. Vaikka verkkolaitteiden luoma standardi NetFlow-protokolla sisältää enintään 80 mittaria. Tämä mahdollistaa protokollan näkyvyyden paitsi tasoilla 3 ja 4, myös tasolla 7 ISO OSI -mallin mukaisesti. Tämän seurauksena verkonvalvojat voivat valvoa sovellusten ja protokollien, kuten sähköpostin, HTTP:n, DNS:n, SMB:n...

Käsitteellisesti järjestelmän looginen arkkitehtuuri näyttää tältä:

Koko Flowmon Networksin ”ekosysteemin” keskeinen osa on Collector, joka vastaanottaa liikennettä olemassa olevilta verkkolaitteilta tai omilta luotainiltaan (Probe). Mutta Enterprise-ratkaisulle toiminnallisuuden tarjoaminen pelkästään verkkoliikenteen valvontaan olisi liian yksinkertaista. Myös avoimen lähdekoodin ratkaisut voivat tehdä tämän, vaikkakaan ei sellaisella suorituskyvyllä. Flowmonin arvo on lisämoduuleja, jotka laajentavat perustoimintoja:

• moduuli Poikkeamien havaitsemisen suojaus – poikkeavan verkkotoiminnan, mukaan lukien nollapäivän hyökkäykset, tunnistaminen liikenteen heuristisen analyysin ja tyypillisen verkkoprofiilin perusteella;
• moduuli Sovelluksen suorituskyvyn seuranta – verkkosovellusten suorituskyvyn valvonta ilman "agenttien" asentamista ja kohdejärjestelmiin vaikuttamista;
• moduuli Liikennetallennin – verkkoliikenteen katkelmien tallentaminen ennalta määritettyjen sääntöjen mukaisesti tai ADS-moduulista tulevan laukaisimen mukaan tietoturvahäiriöiden vianmäärityksen ja/tai tutkinnan lisätoimia varten;
• moduuli DDoS Protection – verkon kehän suojaaminen volyymillisiltä DoS/DDoS-palvelunestohyökkäyksiltä, ​​mukaan lukien hyökkäyksiä sovelluksiin (OSI L3/L4/L7).

Tässä artikkelissa tarkastellaan, kuinka kaikki toimii livenä käyttämällä 2 moduulin esimerkkiä - Verkon suorituskyvyn valvonta ja diagnostiikka и Poikkeamien havaitsemisen suojaus.
taustaa:

• Lenovo RS 140 -palvelin VMware 6.0 -hypervisorilla;
• Flowmon Collector -virtuaalikonekuva, jonka voit Lataa tästä;
• virtausprotokollia tukeva kytkinpari.

Vaihe 1. Asenna Flowmon Collector

Virtuaalikoneen käyttöönotto VMwaressa tapahtuu täysin normaalisti OVF-mallista. Tuloksena saamme virtuaalikoneen, jossa on CentOS ja käyttövalmis ohjelmisto. Resurssivaatimukset ovat inhimilliset:

Jäljelle jää vain perusalustus komennolla sysconfig:

Määritämme IP:n hallintaporttiin, DNS:n, ajan, isäntänimen ja voimme muodostaa yhteyden WEB-liittymään.

Vaihe 2. Lisenssin asennus

Kokeilulisenssi puolentoista kuukauden ajaksi luodaan ja ladataan virtuaalikoneen kuvan mukana. Ladattu kautta Asetuskeskus -> Lisenssi. Tuloksena näemme:

Kaikki on valmista. Voit aloittaa työskentelyn.

Vaihe 3. Vastaanottimen asettaminen keräilijälle

Tässä vaiheessa sinun on päätettävä, kuinka järjestelmä vastaanottaa tietoja lähteistä. Kuten aiemmin sanoimme, tämä voi olla jokin virtausprotokollasta tai kytkimen SPAN-portti.

Esimerkissämme käytämme tiedon vastaanottoa protokollien avulla NetFlow v9 ja IPFIX. Tässä tapauksessa määritämme kohteeksi hallintaliittymän IP-osoitteen - 192.168.78.198. Liitäntöjä eth2 ja eth3 (valvontaliitäntätyypin kanssa) käytetään vastaanottamaan kopio "raaka" liikenteestä kytkimen SPAN-portista. Me päästimme heidät läpi, ei meidän tapaus.
Seuraavaksi tarkastetaan keräilyportti, johon liikenteen pitäisi mennä.

Meidän tapauksessamme kerääjä kuuntelee liikennettä portissa UDP/2055.

Vaihe 4. Verkkolaitteiden määrittäminen vuovientiä varten

NetFlow'n käyttöönottoa Cisco Systems -laitteissa voidaan luultavasti kutsua täysin yleiseksi tehtäväksi kenelle tahansa verkonvalvojalle. Esimerkkimme otamme jotain epätavallisempaa. Esimerkiksi MikroTik RB2011UiAS-2HnD -reititin. Kyllä, kummallista kyllä, tällainen budjettiratkaisu pienille ja kotitoimistoille tukee myös NetFlow v5/v9- ja IPFIX-protokollia. Aseta asetuksissa kohde (keräimen osoite 192.168.78.198 ja portti 2055):

Ja lisää kaikki vientiin saatavilla olevat tiedot:

Tässä vaiheessa voimme sanoa, että perusasetukset on suoritettu. Tarkistamme, tuleeko liikennettä järjestelmään.

Vaihe 5: Verkon suorituskyvyn valvonta- ja diagnostiikkamoduulin testaus ja käyttö

Voit tarkistaa lähteestä tulevan liikenteen olemassaolon osiossa Flowmon Monitoring Center -> Lähteet:

Näemme, että tietoja tulee järjestelmään. Jonkin ajan kuluttua siitä, kun keräilijä on kerännyt liikennettä, widgetit alkavat näyttää tietoja:

Järjestelmä on rakennettu drill down -periaatteella. Eli kun käyttäjä valitsee kiinnostavan fragmentin kaaviosta tai kaaviosta, hän "putoaa" tarvitsemansa tiedon syvyystasolle:

Tietoihin jokaisesta verkkoyhteydestä ja yhteydestä:

Vaihe 6. Poikkeamien havaitsemisen suojausmoduuli

Tätä moduulia voidaan kutsua ehkä yhdeksi mielenkiintoisimmista, kiitos allekirjoituksettomien menetelmien käytön verkkoliikenteen poikkeavuuksien ja haitallisen verkkotoiminnan havaitsemiseen. Mutta tämä ei ole IDS/IPS-järjestelmien analogi. Työskentely moduulin kanssa alkaa sen "koulutuksella". Tätä varten erityinen ohjattu toiminto määrittää kaikki verkon keskeiset komponentit ja palvelut, mukaan lukien:

• yhdyskäytäväosoitteet, DNS-, DHCP- ja NTP-palvelimet,
• käyttäjä- ja palvelinsegmenteissä.

Tämän jälkeen järjestelmä siirtyy harjoitustilaan, joka kestää keskimäärin 2 viikosta 1 kuukauteen. Tänä aikana järjestelmä tuottaa verkostollemme ominaista perusliikennettä. Yksinkertaisesti sanottuna järjestelmä oppii:

• mikä käyttäytyminen on tyypillistä verkkosolmuille?
• Millaisia ​​datamääriä tyypillisesti siirretään ja ne ovat normaaleja verkossa?
• Mikä on tyypillinen käyttöaika käyttäjille?
• mitä sovelluksia verkossa toimii?
• ja paljon enemmän..

Tuloksena saamme työkalun, joka tunnistaa verkostomme poikkeamat ja poikkeamat tyypillisestä käyttäytymisestä. Tässä on pari esimerkkiä, jotka järjestelmä antaa sinun havaita:

• sellaisten uusien haittaohjelmien jakelu verkossa, joita virustentorjunta ei tunnista;
• DNS-, ICMP- tai muiden tunnelien rakentaminen ja tiedon siirtäminen palomuurin ohittamisesta;
• uuden tietokoneen ilmestyminen verkkoon DHCP- ja/tai DNS-palvelimena.

Katsotaan miltä näyttää livenä. Kun järjestelmäsi on koulutettu ja rakentanut verkkoliikenteen perustason, se alkaa havaita tapahtumia:

Moduulin pääsivu on aikajana, joka näyttää tunnistetut tapahtumat. Esimerkissämme näemme selkeän piikin, noin 9 ja 16 tunnin välillä. Valitaan se ja katsotaan tarkemmin.

Hyökkääjän epänormaali käytös verkossa näkyy selvästi. Kaikki alkaa siitä, että isäntä, jonka osoite on 192.168.3.225, aloitti verkon horisontaalisen skannauksen portissa 3389 (Microsoft RDP -palvelu) ja löysi 14 mahdollista "uhria":

и

Seuraava tallennettu tapaus - isäntä 192.168.3.225 aloittaa brute force -hyökkäyksen raa'an voiman salasanoja varten RDP-palvelussa (portti 3389) aiemmin tunnistetuissa osoitteissa:

Hyökkäyksen seurauksena yhdessä hakkeroidussa isännässä havaitaan SMTP-poikkeama. Toisin sanoen roskaposti on alkanut:

Tämä esimerkki on selkeä osoitus järjestelmän ja erityisesti Anomalia Detection Security -moduulin ominaisuuksista. Arvioi tehokkuus itse. Tämä päättää toiminnallisen yleiskatsauksen ratkaisusta.

Johtopäätös

Tehdään yhteenveto, mitä johtopäätöksiä voimme tehdä Flowmonista:

• Flowmon on premium-ratkaisu yritysasiakkaille;
• monipuolisuuden ja yhteensopivuuden ansiosta tiedonkeruu on saatavilla mistä tahansa lähteestä: verkkolaitteista (Cisco, Juniper, HPE, Huawei...) tai omista antureistasi (Flowmon Probe);
• Ratkaisun skaalautuvuusominaisuuksien avulla voit laajentaa järjestelmän toimivuutta lisäämällä uusia moduuleja sekä lisätä tuottavuutta joustavan lisensointitavan ansiosta;
• Allekirjoituksettomien analyysitekniikoiden avulla järjestelmä mahdollistaa nollapäivän hyökkäysten havaitsemisen jopa virustorjunta- ja IDS/IPS-järjestelmille tuntemattomille;
• täydellisen "avoimuuden" ansiosta asennuksen ja järjestelmän läsnäolon suhteen verkossa - ratkaisu ei vaikuta IT-infrastruktuurisi muiden solmujen ja komponenttien toimintaan;
• Flowmon on markkinoiden ainoa ratkaisu, joka tukee liikenteen seurantaa jopa 100 Gbps:n nopeuksilla;
• Flowmon on ratkaisu minkä tahansa mittakaavan verkkoihin;
• paras hinta/toiminnallisuussuhde vastaavien ratkaisujen joukossa.

Tässä katsauksessa tarkastelimme alle 10 % ratkaisun kokonaistoiminnallisuudesta. Seuraavassa artikkelissa puhumme jäljellä olevista Flowmon Networks -moduuleista. Sovelluksen suorituskyvyn valvonta -moduulin avulla näytämme, kuinka yrityssovellusten järjestelmänvalvojat voivat varmistaa saatavuuden tietyllä SLA-tasolla sekä diagnosoida ongelmat mahdollisimman nopeasti.

Haluamme myös kutsua sinut webinaariimme (10.09.2019/XNUMX/XNUMX), joka on omistettu Flowmon Networksin toimittajan ratkaisuille. Ennakkoilmoittautumista pyydämme Rekisteröidy täällä.
Siinä kaikki toistaiseksi, kiitos mielenkiinnostasi!

Vain rekisteröityneet käyttäjät voivat osallistua kyselyyn. Kirjaudu sisään, ole kiltti.

Käytätkö Netflow'ta verkon valvontaan?

• Kyllä

• Ei, mutta suunnittelen

• Ei

9 käyttäjää äänesti. 3 käyttäjää pidättyi äänestämästä.

Lähde: will.com