Koartlyn kinne jo in enoarme hoemannichte materiaal fine oer it ûnderwerp op it ynternet. ferkear analyze by de netwurk perimeter. Tagelyk fergeat elkenien om ien of oare reden folslein lokale ferkear analyze, dat is net minder wichtich. Dit artikel behannelet dit ûnderwerp krekt. Bygelyks wy sille de goede âlde Netflow (en har alternativen) ûnthâlde, ynteressante gefallen besjen, mooglike anomalies yn it netwurk en de foardielen fan 'e oplossing fine as it hiele netwurk wurket as ien sensor. En it wichtichste, jo kinne sa'n analyse fan pleatslik ferkear folslein fergees útfiere, yn it ramt fan in proeffergunning (45 dagen). As it ûnderwerp foar jo ynteressant is, wolkom by kat. As jo te lui binne om te lêzen, dan kinne jo, foarút sjen, registrearje foar , wêr't wy jo alles sjen litte en fertelle (jo kinne dêr ek leare oer kommende produkttraining).
Wat is Flowmon Networks?
As earste is Flowmon in Jeropeeske IT-ferkeaper. It bedriuw is Tsjechysk, mei haadkantoar yn Brno (de kwestje fan sanksjes wurdt net iens oanbrocht). Yn syn hjoeddeistige foarm is it bedriuw sûnt 2007 op 'e merke. Earder wie it bekend ûnder it merk Invea-Tech. Dat, yn totaal, hast 20 jier waarden bestege oan it ûntwikkeljen fan produkten en oplossingen.
Flowmon is gepositioneerd as in A-klasse merk. Ûntwikkelt premium oplossingen foar ûndernimming klanten en wurdt erkend yn de Gartner doazen foar Network Performance Monitoring en Diagnostics (NPMD). Boppedat, nijsgjirrich, fan alle bedriuwen yn it rapport, Flowmon is de ienige ferkeaper opmurken troch Gartner as in fabrikant fan oplossings foar sawol netwurk monitoring en ynformaasje beskerming (Network Behavior Analysis). It nimt it earste plak noch net, mar dêrtroch stiet it net as in Boeing-fleugel.
Hokker problemen lost it produkt op?
Globaal kinne wy de folgjende pool fan taken ûnderskiede dy't wurde oplost troch de produkten fan it bedriuw:
- it fergrutsjen fan de stabiliteit fan it netwurk, lykas netwurkboarnen, troch it minimalisearjen fan har downtime en ûnbeskikberens;
- it fergrutsjen fan it totale nivo fan netwurkprestaasjes;
- it fergrutsjen fan de effisjinsje fan bestjoerlik personiel troch:
- gebrûk fan moderne ynnovative ark foar netwurkmonitoring basearre op ynformaasje oer IP-streamen;
- it leverjen fan detaillearre analytiken oer it funksjonearjen en tastân fan it netwurk - brûkers en applikaasjes dy't rinne op it netwurk, oerdroegen gegevens, ynteraksje boarnen, tsjinsten en knooppunten;
- reagearje op ynsidinten foardat se barre, en net neidat brûkers en kliïnten tsjinst ferlieze;
- it ferminderjen fan de tiid en middels dy't nedich binne om it netwurk en IT-ynfrastruktuer te behearjen;
- ferienfâldigjen fan problemen foar oplossen fan taken.
- it fergrutsjen fan it nivo fan feiligens fan it netwurk en ynformaasjeboarnen fan 'e ûndernimming, troch it brûken fan net-hantekeningtechnologyen foar it opspoaren fan abnormale en kweade netwurkaktiviteiten, lykas "nul-dei oanfallen";
- it garandearjen fan it fereaske nivo fan SLA foar netwurkapplikaasjes en databases.
Flowmon Networks Produktportfolio
Litte wy no direkt nei it produktportfolio fan Flowmon Networks sjen en útfine wat it bedriuw krekt docht. Lykas in protte fan 'e namme al rieden hawwe, is de haadspesjalisaasje yn oplossingen foar streamingstreamferkearmonitoring, plus in oantal ekstra modules dy't de basisfunksjonaliteit útwreidzje.
Yn feite, Flowmon kin neamd wurde in bedriuw fan ien produkt, of leaver, ien oplossing. Litte wy útfine oft dit goed of min is.
De kearn fan it systeem is de samler, dy't ferantwurdlik is foar it sammeljen fan gegevens mei ferskate streamprotokollen, lykas NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... It is frij logysk dat foar in bedriuw dat net oansletten is mei in fabrikant fan netwurkapparatuer, it wichtich is om de merk in universele produkt oan te bieden dat net bûn is oan ien standert of protokol.
Flowmon Samler
De samler is beskikber sawol as hardware-tsjinner en as firtuele masine (VMware, Hyper-V, KVM). Trouwens, it hardwareplatfoarm wurdt ymplementearre op oanpaste DELL-tsjinners, dy't de measte problemen mei garânsje en RMA automatysk eliminearje. De ienige proprietêre hardwarekomponinten binne FPGA-ferkearfangkaarten ûntwikkele troch in dochterûndernimming fan Flowmon, dy't tafersjoch kinne mei snelheden fan maksimaal 100 Gbps.
Mar wat te dwaan as besteande netwurkapparatuer net by steat is om stream fan hege kwaliteit te generearjen? Of is de lading op de apparatuer te heech? Gjin probleem:
Flowmon Prob
Yn dit gefal biedt Flowmon Networks oan om har eigen probes (Flowmon Probe) te brûken, dy't ferbûn binne mei it netwurk fia de SPAN-poarte fan 'e switch of mei help fan passive TAP-splitters.
SPAN (spegelpoarte) en TAP ymplemintaasje opsjes
Yn dit gefal wurdt it rau ferkear dat oankomt by de Flowmon Probe omboud ta in útwreide IPFIX mei mear 240 metriken mei ynformaasje. Wylst it standert NetFlow-protokol generearre troch netwurkapparatuer net mear dan 80 metriken befettet. Dit soarget foar protokolsichtberens net allinich op nivo's 3 en 4, mar ek op nivo 7 neffens it ISO OSI-model. As resultaat kinne netwurkbehearders it funksjonearjen fan applikaasjes en protokollen kontrolearje lykas e-post, HTTP, DNS, SMB ...
Konseptueel sjocht de logyske arsjitektuer fan it systeem der sa út:
It sintrale diel fan it hiele "ekosysteem" fan Flowmon Networks is de Collector, dy't ferkear ûntfangt fan besteande netwurkapparatuer as har eigen probes (Probe). Mar foar in Enterprise-oplossing soe it leverjen fan funksjonaliteit allinich foar it kontrolearjen fan netwurkferkear te ienfâldich wêze. Iepen boarne-oplossingen kinne dit ek dwaan, hoewol net mei sokke prestaasjes. De wearde fan Flowmon binne ekstra modules dy't de basisfunksjonaliteit útwreidzje:
- module Anomaly Detection Feiligens - identifikaasje fan anomale netwurkaktiviteit, ynklusyf nul-dei oanfallen, basearre op heuristyske analyze fan ferkear en in typysk netwurkprofyl;
- module Monitoring fan prestaasjes fan tapassing - tafersjoch op de prestaasjes fan netwurkapplikaasjes sûnder "aginten" te ynstallearjen en doelsystemen te beynfloedzjen;
- module Ferkear Recorder - fragminten fan netwurkferkear opnimme neffens in set fan foarôf definieare regels of neffens in trigger fan 'e ADS-module, foar fierdere probleemoplossing en / of ûndersyk fan ynsidinten fan ynformaasjefeiligens;
- module DDoS beskerming - beskerming fan it netwurk perimeter tsjin volumetryske DoS / DDoS ûntkenning fan tsjinst oanfallen, ynklusyf oanfallen op applikaasjes (OSI L3 / L4 / L7).
Yn dit artikel sille wy sjen hoe't alles live wurket mei it foarbyld fan 2 modules - Netwurk Performance Monitoring en Diagnostics и Anomaly Detection Feiligens.
Earste gegevens:
- Lenovo RS 140 tsjinner mei VMware 6.0 hypervisor;
- Flowmon Collector firtuele masine ôfbylding dat jo kinne ;
- in pear skeakels dy't streamprotokollen stypje.
Stap 1. Ynstallearje Flowmon Collector
Ynset fan in firtuele masine op VMware komt op in folslein standert wize fanút it OVF-sjabloan. As resultaat krije wy in firtuele masine dy't CentOS draait en mei klear te brûken software. Resource easken binne humane:
Alles wat oerbliuwt is om basisinisjalisaasje út te fieren mei it kommando sysconfig:
Wy konfigurearje IP op it behear haven, DNS, tiid, Hostnamme en kinne ferbine mei de WEB ynterface.
Stap 2. Lisinsje ynstallaasje
In proeflisinsje foar ien en in heale moanne wurdt generearre en ynladen tegearre mei de firtuele masineôfbylding. Loaded fia Konfiguraasjesintrum -> Lisinsje. As gefolch sjogge wy:
Alles is klear. Jo kinne begjinne te wurkjen.
Stap 3. It ynstellen fan de ûntfanger op 'e samler
Op dit stadium moatte jo beslute hoe't it systeem gegevens sil ûntfange fan boarnen. Lykas wy earder sein hawwe, kin dit ien fan 'e streamprotokollen wêze as in SPAN-poarte op' e switch.
Yn ús foarbyld sille wy gegevensûntfangst brûke mei protokollen NetFlow v9 en IPFIX. Yn dit gefal spesifisearje wy it IP-adres fan 'e Management-ynterface as doel - 192.168.78.198. Schnittstellen eth2 en eth3 (mei it type Monitoring-ynterface) wurde brûkt om in kopy fan it "rauwe" ferkear te ûntfangen fan 'e SPAN-poarte fan' e switch. Wy litte se troch, net ús saak.
Dêrnei kontrolearje wy de samlerhaven wêr't it ferkear gean moat.
Yn ús gefal harket de samler foar ferkear op haven UDP/2055.
Stap 4. Ynstelle netwurk apparatuer foar flow eksport
It ynstellen fan NetFlow op Cisco Systems-apparatuer kin wierskynlik in folslein mienskiplike taak wurde neamd foar elke netwurkbehearder. Foar ús foarbyld sille wy wat ûngewoaner nimme. Bygelyks, de MikroTik RB2011UiAS-2HnD router. Ja, frjemd genôch, sa'n budzjetoplossing foar lytse en thúskantoaren stipet ek de NetFlow v5/v9- en IPFIX-protokollen. Stel yn 'e ynstellings it doel yn (samleradres 192.168.78.198 en poarte 2055):
En foegje alle metriken ta dy't beskikber binne foar eksport:
Op dit punt kinne wy sizze dat de basisynstelling kompleet is. Wy kontrolearje oft ferkear yn it systeem komt.
Stap 5: Testje en betsjinje de module foar monitoring en diagnostyk fan netwurkprestaasjes
Jo kinne de oanwêzigens fan ferkear fan 'e boarne kontrolearje yn' e seksje Flowmon Monitoring Center -> Boarnen:
Wy sjogge dat gegevens yn it systeem komme. In skoft nei't de samler ferkear hat sammele, sille de widgets ynformaasje begjinne te werjaan:
It systeem is boud op it drill down prinsipe. Dat is, de brûker, by it selektearjen fan in fragmint fan belang op in diagram of grafyk, "falt" nei it nivo fan djipte fan gegevens dy't er nedich is:
Omleech nei ynformaasje oer elke netwurkferbining en ferbining:
Stap 6. Anomaly Detection Security Module
Dizze module kin neamd wurde faaks ien fan de meast nijsgjirrige, tank oan it brûken fan hântekening-frije metoaden foar it opspoaren fan anomalies yn netwurk ferkear en kweade netwurk aktiviteit. Mar dit is gjin analoog fan IDS / IPS-systemen. It wurkjen mei de module begjint mei syn "training". Om dit te dwaan, spesifiseart in spesjale wizard alle wichtige komponinten en tsjinsten fan it netwurk, ynklusyf:
- gateway-adressen, DNS-, DHCP- en NTP-tsjinners,
- adressering yn brûkers- en serversegminten.
Hjirnei giet it systeem yn trainingsmodus, dy't gemiddeld fan 2 wiken oant 1 moanne duorret. Yn dizze tiid genereart it systeem baselineferkear dat spesifyk is foar ús netwurk. Simply set, it systeem leart:
- hokker gedrach is typysk foar netwurkknooppunten?
- Hokker voluminten gegevens wurde typysk oerdroegen en binne normaal foar it netwurk?
- Wat is de typyske wurktiid foar brûkers?
- hokker applikaasjes rinne op it netwurk?
- en safolle mear..
As gefolch krije wy in ark dat alle anomalies identifisearret yn ús netwurk en ôfwikingen fan typysk gedrach. Hjir binne in pear foarbylden dy't it systeem jo kinne detectearje:
- ferdieling fan nije malware op it netwurk dy't net wurdt ûntdutsen troch antyvirus-hantekeningen;
- it bouwen fan DNS, ICMP of oare tunnels en it ferstjoeren fan gegevens troch de brânmuorre;
- it ferskinen fan in nije kompjûter op it netwurk dy't posearret as in DHCP- en/of DNS-tsjinner.
Litte wy sjen hoe't it der live útsjocht. Nei't jo systeem is oplaat en in basisline fan netwurkferkear boud is, begjint it ynsidinten te ûntdekken:
De haadside fan 'e module is in tiidline mei identifisearre ynsidinten. Yn ús foarbyld sjogge wy in dúdlike spike, sawat tusken 9 en 16 oeren. Litte wy it selektearje en yn mear detail sjen.
It abnormale gedrach fan 'e oanfaller op it netwurk is dúdlik sichtber. It begjint allegear mei it feit dat de host mei it adres 192.168.3.225 begon in horizontale scan fan it netwurk op poarte 3389 (Microsoft RDP-tsjinst) en fûn 14 potensjele "slachtoffers":
и
It folgjende opnommen ynsidint - host 192.168.3.225 begjint in brute krêft oanfal om brute krêft wachtwurden op 'e RDP tsjinst (poarte 3389) op de earder identifisearre adressen:
As gefolch fan 'e oanfal wurdt in SMTP-anomaly ûntdutsen op ien fan' e hacked hosts. Mei oare wurden, SPAM is begon:
Dit foarbyld is in dúdlike demonstraasje fan de mooglikheden fan it systeem en de module Anomaly Detection Security yn it bysûnder. Beoardielje de effektiviteit foar josels. Dit konkludearret it funksjonele oersjoch fan 'e oplossing.
konklúzje
Litte wy gearfetsje hokker konklúzjes wy kinne lûke oer Flowmon:
- Flowmon is in premium oplossing foar bedriuwsklanten;
- tank oan syn veelzijdigheid en komptabiliteit, gegevens kolleksje is beskikber út eltse boarne: netwurk apparatuer (Cisco, Juniper, HPE, Huawei ...) of dyn eigen probes (Flowmon Probe);
- De skaalberensmooglikheden fan 'e oplossing kinne jo de funksjonaliteit fan it systeem útwreidzje troch nije modules ta te foegjen, en ek de produktiviteit te ferheegjen troch in fleksibele oanpak fan fergunningferliening;
- troch it brûken fan hântekening-frije analyse technologyen, it systeem kinne jo detect nul-day oanfallen sels ûnbekend oan antiviruses en IDS / IPS systemen;
- tank oan folsleine "transparânsje" yn termen fan ynstallaasje en oanwêzigens fan it systeem op it netwurk - de oplossing hat gjin ynfloed op de wurking fan oare knopen en komponinten fan jo IT-ynfrastruktuer;
- Flowmon is de ienige oplossing op 'e merk dy't ferkearsmonitoring stipet mei snelheden oant 100 Gbps;
- Flowmon is in oplossing foar netwurken fan elke skaal;
- de bêste priis / funksjonaliteit ratio ûnder ferlykbere oplossings.
Yn dizze resinsje ûndersochten wy minder dan 10% fan 'e totale funksjonaliteit fan' e oplossing. Yn it folgjende artikel sille wy prate oer de oerbleaune Flowmon Networks-modules. Mei help fan de applikaasje Performance Monitoring module as foarbyld, wy sille sjen litte hoe't saaklike applikaasje behearders kinne soargje beskikberens op in opjûn SLA nivo, likegoed as diagnose problemen sa gau as mooglik.
Wy wolle jo ek útnoegje foar ús webinar (10.09.2019/XNUMX/XNUMX) wijd oan 'e oplossingen fan' e ferkeaper Flowmon Networks. Om pre-registrearje, wy freegje dy .
Dat is alles foar no, tank foar jo belangstelling!
Allinnich registrearre brûkers kinne meidwaan oan 'e enkête. , asjebleaft.
Brûke jo Netflow foar netwurkmonitoring?
-
dat
-
Nee, mar ik bin fan plan
-
gjin
9 brûkers stimden. 3 brûkers ûntholden har.
Boarne: www.habr.com