Surveillance du réseau et détection d'activité réseau anormale à l'aide des solutions Flowmon Networks

Récemment, vous pouvez trouver une énorme quantité de documents sur le sujet sur Internet. analyse du trafic au périmètre du réseau. En même temps, pour une raison quelconque, tout le monde a complètement oublié analyse du trafic local, ce qui n'est pas moins important. Cet article aborde précisément ce sujet. Par exemple Réseaux Flowmon on se souviendra du bon vieux Netflow (et ses alternatives), regardera des cas intéressants, d'éventuelles anomalies dans le réseau et découvrira les avantages de la solution quand l'ensemble du réseau fonctionne comme un seul capteur. Et surtout, vous pouvez réaliser une telle analyse du trafic local de manière totalement gratuite, dans le cadre d'une licence d'essai (Jour 45). Si le sujet vous intéresse, bienvenue sur cat. Si vous êtes trop paresseux pour lire, alors, pour l'avenir, vous pouvez vous inscrire à webinaire à venir, où nous vous montrerons et vous dirons tout (vous pourrez également y découvrir les formations produits à venir).

Qu'est-ce que Flowmon Networks ?

Tout d’abord, Flowmon est un éditeur informatique européen. L'entreprise est tchèque et son siège est à Brno (la question des sanctions n'est même pas évoquée). Sous sa forme actuelle, l'entreprise est présente sur le marché depuis 2007. Auparavant, elle était connue sous la marque Invea-Tech. Au total, près de 20 ans ont donc été consacrés au développement de produits et de solutions.

Flowmon se positionne comme une marque de classe A. Développe des solutions haut de gamme pour les entreprises clientes et est reconnu dans les boîtes Gartner pour la surveillance et les diagnostics des performances réseau (NPMD). De plus, il est intéressant de noter que parmi toutes les entreprises du rapport, Flowmon est le seul fournisseur identifié par Gartner comme fabricant de solutions à la fois pour la surveillance du réseau et la protection des informations (Network Behaviour Analysis). Elle n’occupe pas encore la première place, mais pour cette raison, elle ne ressemble pas à une aile de Boeing.

Quels problèmes le produit résout-il ?

Globalement, nous pouvons distinguer les tâches suivantes résolues par les produits de l’entreprise :

1. augmenter la stabilité du réseau, ainsi que des ressources du réseau, en minimisant leurs temps d'arrêt et leur indisponibilité ;
2. augmenter le niveau global de performance du réseau ;
3. accroître l'efficacité du personnel administratif grâce à :
   • utiliser des outils modernes et innovants de surveillance des réseaux basés sur des informations sur les flux IP ;
   • fournir des analyses détaillées sur le fonctionnement et l'état du réseau - utilisateurs et applications exécutés sur le réseau, données transmises, ressources, services et nœuds en interaction ;
   • réagir aux incidents avant qu'ils ne surviennent, et non après que les utilisateurs et les clients perdent le service ;
   • réduire le temps et les ressources nécessaires à l'administration du réseau et de l'infrastructure informatique ;
   • simplifiant les tâches de dépannage.
4. augmenter le niveau de sécurité du réseau et des ressources d'information de l'entreprise, grâce à l'utilisation de technologies sans signature pour détecter les activités réseau anormales et malveillantes, ainsi que les « attaques zero-day » ;
5. garantir le niveau requis de SLA pour les applications réseau et les bases de données.

Portefeuille de produits Flowmon Networks

Examinons maintenant directement le portefeuille de produits Flowmon Networks et découvrons ce que fait exactement l'entreprise. Comme beaucoup l'ont déjà deviné d'après son nom, la spécialisation principale concerne les solutions de surveillance du trafic de flux de streaming, ainsi qu'un certain nombre de modules supplémentaires qui étendent les fonctionnalités de base.

En fait, Flowmon peut être considérée comme une entreprise proposant un seul produit, ou plutôt une seule solution. Voyons si c'est bon ou mauvais.

Le cœur du système est le collecteur, chargé de collecter les données à l'aide de divers protocoles de flux, tels que NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Il est tout à fait logique que pour une entreprise qui n'est affiliée à aucun fabricant d'équipements de réseau, il soit important de proposer au marché un produit universel, indépendant d'une norme ou d'un protocole particulier.

Collecteur Flowmon

Le collecteur est disponible à la fois en tant que serveur matériel et en tant que machine virtuelle (VMware, Hyper-V, KVM). À propos, la plate-forme matérielle est implémentée sur des serveurs DELL personnalisés, ce qui élimine automatiquement la plupart des problèmes de garantie et de RMA. Les seuls composants matériels propriétaires sont des cartes de capture de trafic FPGA développées par une filiale de Flowmon, qui permettent une surveillance à des vitesses allant jusqu'à 100 Gbit/s.

Mais que faire si les équipements réseau existants ne sont pas capables de générer un flux de qualité ? Ou la charge sur l'équipement est-elle trop élevée ? Aucun problème:

Problème Flowmon

Dans ce cas, Flowmon Networks propose d'utiliser ses propres sondes (Flowmon Probe), qui sont connectées au réseau via le port SPAN du switch ou à l'aide de répartiteurs TAP passifs.

Options d'implémentation SPAN (port miroir) et TAP

Dans ce cas, le trafic brut arrivant à la sonde Flowmon est converti en un IPFIX étendu contenant davantage de données. 240 métriques avec informations. Alors que le protocole NetFlow standard généré par les équipements réseau ne contient pas plus de 80 métriques. Cela permet une visibilité du protocole non seulement aux niveaux 3 et 4, mais également au niveau 7 selon le modèle ISO OSI. Ainsi, les administrateurs réseau peuvent surveiller le fonctionnement des applications et des protocoles tels que l'e-mail, HTTP, DNS, SMB...

Conceptuellement, l'architecture logique du système ressemble à ceci :

La partie centrale de tout « l'écosystème » Flowmon Networks est le collecteur, qui reçoit le trafic des équipements réseau existants ou de ses propres sondes (Probe). Mais pour une solution d'entreprise, fournir des fonctionnalités uniquement destinées à surveiller le trafic réseau serait trop simple. Les solutions Open Source peuvent également le faire, mais pas avec de telles performances. La valeur de Flowmon réside dans les modules supplémentaires qui étendent les fonctionnalités de base :

• module Sécurité de la détection des anomalies – identification d'une activité réseau anormale, y compris d'attaques zero-day, sur la base d'une analyse heuristique du trafic et d'un profil de réseau typique ;
• module Surveillance des performances des applications – surveiller les performances des applications réseau sans installer d'« agents » ni influencer les systèmes cibles ;
• module Enregistreur de trafic – enregistrer des fragments de trafic réseau selon un ensemble de règles prédéfinies ou selon un déclencheur du module ADS, pour un dépannage plus approfondi et/ou une enquête sur les incidents de sécurité des informations ;
• module Protection DDoS – protection du périmètre réseau contre les attaques volumétriques par déni de service DoS/DDoS, y compris les attaques sur les applications (OSI L3/L4/L7).

Dans cet article, nous allons voir comment tout fonctionne en live à l'aide de l'exemple de 2 modules - Surveillance et diagnostic des performances du réseau и Sécurité de la détection des anomalies.
Contexte:

• Serveur Lenovo RS 140 avec hyperviseur VMware 6.0 ;
• Image de machine virtuelle Flowmon Collector que vous pouvez télécharger ici;
• une paire de commutateurs prenant en charge les protocoles de flux.

Étape 1. Installez le collecteur Flowmon

Le déploiement d'une machine virtuelle sur VMware s'effectue de manière tout à fait standard à partir du modèle OVF. En conséquence, nous obtenons une machine virtuelle exécutant CentOS et dotée d'un logiciel prêt à l'emploi. Les besoins en ressources sont humains :

Il ne reste plus qu'à effectuer une initialisation de base à l'aide de la commande sysconfig:

Nous configurons l'IP sur le port de gestion, le DNS, l'heure, le nom d'hôte et pouvons nous connecter à l'interface WEB.

Étape 2. Installation de la licence

Une licence d'essai d'un mois et demi est générée et téléchargée avec l'image de la machine virtuelle. Chargé via Centre de configuration -> Licence. En conséquence, nous voyons :

Tout est prêt. Vous pouvez commencer à travailler.

Étape 3. Configuration du récepteur sur le collecteur

À ce stade, vous devez décider comment le système recevra les données des sources. Comme nous l'avons dit plus tôt, il peut s'agir de l'un des protocoles de flux ou d'un port SPAN sur le commutateur.

Dans notre exemple, nous utiliserons la réception de données à l'aide de protocoles NetFlow v9 et IPFIX. Dans ce cas, nous précisons l'adresse IP de l'interface de gestion comme cible - 192.168.78.198. Les interfaces eth2 et eth3 (avec le type d'interface Monitoring) permettent de recevoir une copie du trafic « brut » du port SPAN du switch. Nous les avons laissés passer, ce n'est pas notre cas.
Ensuite, nous vérifions le port collecteur vers lequel le trafic doit aller.

Dans notre cas, le collecteur écoute le trafic sur le port UDP/2055.

Étape 4. Configuration des équipements réseau pour l'export des flux

La configuration de NetFlow sur les équipements Cisco Systems peut probablement être considérée comme une tâche tout à fait courante pour tout administrateur réseau. Pour notre exemple, nous prendrons quelque chose de plus inhabituel. Par exemple, le routeur MikroTik RB2011UiAS-2HnD. Oui, curieusement, une telle solution économique pour les petits bureaux et les bureaux à domicile prend également en charge les protocoles NetFlow v5/v9 et IPFIX. Dans les paramètres, définissez la cible (adresse du collecteur 192.168.78.198 et port 2055) :

Et ajoutez toutes les métriques disponibles pour l’export :

À ce stade, nous pouvons dire que la configuration de base est terminée. Nous vérifions si le trafic entre dans le système.

Étape 5 : Test et fonctionnement du module de surveillance et de diagnostic des performances du réseau

Vous pouvez vérifier la présence de trafic depuis la source dans la section Centre de surveillance Flowmon -> Sources:

Nous voyons que les données entrent dans le système. Quelque temps après que le collecteur ait accumulé du trafic, les widgets commenceront à afficher des informations :

Le système est construit sur le principe du forage vers le bas. C'est-à-dire que l'utilisateur, lorsqu'il sélectionne un fragment d'intérêt sur un diagramme ou un graphique, « tombe » au niveau de profondeur de données dont il a besoin :

Jusqu'aux informations sur chaque connexion réseau et connexion :

Étape 6. Module de sécurité de détection des anomalies

Ce module peut être considéré comme l'un des plus intéressants, grâce à l'utilisation de méthodes sans signature pour détecter les anomalies dans le trafic réseau et les activités réseau malveillantes. Mais ce n’est pas un analogue des systèmes IDS/IPS. Travailler avec le module commence par sa « formation ». Pour ce faire, un assistant spécial précise tous les composants et services clés du réseau, notamment :

• adresses de passerelles, serveurs DNS, DHCP et NTP,
• adressage dans les segments utilisateur et serveur.

Après cela, le système passe en mode entraînement, qui dure en moyenne de 2 semaines à 1 mois. Pendant ce temps, le système génère un trafic de base spécifique à notre réseau. En termes simples, le système apprend :

• quel comportement est typique des nœuds du réseau ?
• Quels volumes de données sont généralement transférés et sont normaux pour le réseau ?
• Quelle est la durée de fonctionnement typique des utilisateurs ?
• quelles applications fonctionnent sur le réseau ?
• et beaucoup plus..

En conséquence, nous obtenons un outil qui identifie toute anomalie dans notre réseau et tout écart par rapport au comportement typique. Voici quelques exemples que le système vous permet de détecter :

• diffusion de nouveaux malwares sur le réseau non détectés par les signatures antivirus ;
• construire des tunnels DNS, ICMP ou autres et transmettre des données en contournant le pare-feu ;
• l'apparition d'un nouvel ordinateur sur le réseau se faisant passer pour un serveur DHCP et/ou DNS.

Voyons à quoi ça ressemble en direct. Une fois que votre système a été formé et construit une base de référence du trafic réseau, il commence à détecter les incidents :

La page principale du module est une chronologie affichant les incidents identifiés. Dans notre exemple, nous constatons un net pic, environ entre 9 et 16 heures. Sélectionnons-le et regardons plus en détail.

Le comportement anormal de l'attaquant sur le réseau est clairement visible. Tout commence par le fait que l'hôte avec l'adresse 192.168.3.225 a lancé une analyse horizontale du réseau sur le port 3389 (service Microsoft RDP) et a trouvé 14 « victimes » potentielles :

и

L'incident enregistré suivant : l'hôte 192.168.3.225 lance une attaque par force brute contre les mots de passe par force brute sur le service RDP (port 3389) aux adresses précédemment identifiées :

Suite à l’attaque, une anomalie SMTP est détectée sur l’un des hôtes piratés. En d’autres termes, le SPAM a commencé :

Cet exemple est une démonstration claire des capacités du système et du module Anomaly Detection Security en particulier. Jugez par vous-même de l’efficacité. Ceci conclut l’aperçu fonctionnel de la solution.

Conclusion

Résumons les conclusions que nous pouvons tirer sur Flowmon :

• Flowmon est une solution premium pour les entreprises clientes ;
• grâce à sa polyvalence et sa compatibilité, la collecte de données est disponible depuis n'importe quelle source : équipement réseau (Cisco, Juniper, HPE, Huawei...) ou vos propres sondes (Flowmon Probe) ;
• Les capacités d'évolutivité de la solution vous permettent d'étendre les fonctionnalités du système en ajoutant de nouveaux modules, ainsi que d'augmenter la productivité grâce à une approche flexible des licences ;
• grâce à l'utilisation de technologies d'analyse sans signature, le système vous permet de détecter les attaques zero-day même inconnues des antivirus et des systèmes IDS/IPS ;
• grâce à une « transparence » totale en termes d'installation et de présence du système sur le réseau - la solution n'affecte pas le fonctionnement des autres nœuds et composants de votre infrastructure informatique ;
• Flowmon est la seule solution sur le marché qui prend en charge la surveillance du trafic à des vitesses allant jusqu'à 100 Gbit/s ;
• Flowmon est une solution pour les réseaux de toute échelle ;
• le meilleur rapport prix/fonctionnalité parmi des solutions similaires.

Dans cette revue, nous avons examiné moins de 10 % de la fonctionnalité totale de la solution. Dans le prochain article, nous parlerons des modules restants de Flowmon Networks. En utilisant le module Application Performance Monitoring comme exemple, nous montrerons comment les administrateurs d'applications métier peuvent garantir la disponibilité à un niveau SLA donné, ainsi que diagnostiquer les problèmes le plus rapidement possible.

Nous souhaitons également vous inviter à notre webinaire (10.09.2019/XNUMX/XNUMX) dédié aux solutions de l'éditeur Flowmon Networks. Pour vous préinscrire, nous vous demandons Inscrivez-vous ici.
C'est tout pour l'instant, merci de votre intérêt !

Seuls les utilisateurs enregistrés peuvent participer à l'enquête. se connecters'il te plait.

Utilisez-vous Netflow pour la surveillance du réseau ?

• Oui

• Non, mais j'ai l'intention de

• Aucun

9 utilisateurs ont voté. 3 utilisateurs se sont abstenus.

Source: habr.com