Monitorización da rede e detección de actividade anómala da rede mediante as solucións de Flowmon Networks

Recentemente, podes atopar unha gran cantidade de materiais sobre o tema en Internet. análise de tráfico no perímetro da rede. Ao mesmo tempo, por algunha razón todos esqueceron por completo análise de tráfico local, que non é menos importante. Este artigo aborda precisamente este tema. Por exemplo Redes Flowmon lembraremos o bo vello Netflow (e as súas alternativas), analizaremos casos interesantes, posibles anomalías na rede e coñeceremos as vantaxes da solución cando toda a rede funciona como un único sensor. E o máis importante, pode realizar esa análise do tráfico local de forma totalmente gratuíta, no marco dunha licenza de proba (Día 45). Se o tema che interesa, benvido a cat. Se che preguiza ler, podes rexistrarte, mirando cara adiante próximo seminario web, onde che mostraremos e contaremos todo (tamén podes coñecer alí a próxima formación sobre produtos).

Que é Flowmon Networks?

En primeiro lugar, Flowmon é un provedor europeo de TI. A empresa é checa, con sede en Brno (nin sequera se plantexa o tema das sancións). Na súa forma actual, a empresa leva no mercado desde 2007. Anteriormente, coñecíase baixo a marca Invea-Tech. Así, en total, dedicáronse case 20 anos a desenvolver produtos e solucións.

Flowmon sitúase como unha marca de clase A. Desenvolve solucións premium para clientes empresariais e é recoñecido nas caixas de Gartner para Monitorización e diagnóstico de rendemento da rede (NPMD). Ademais, curiosamente, de todas as empresas do informe, Flowmon é o único provedor sinalado por Gartner como fabricante de solucións tanto para a monitorización de redes como para a protección da información (Análise de comportamento da rede). Aínda non ocupa o primeiro lugar, pero debido a iso non queda como unha á de Boeing.

Que problemas resolve o produto?

A nivel global, podemos distinguir o seguinte conxunto de tarefas resoltas polos produtos da empresa:

1. aumentar a estabilidade da rede, así como os recursos da rede, minimizando o seu tempo de inactividade e indisponibilidade;
2. aumentar o nivel xeral de rendemento da rede;
3. aumentar a eficiencia do persoal administrativo debido a:
   • utilizando ferramentas modernas e innovadoras de monitorización de redes baseadas en información sobre fluxos IP;
   • proporcionar análises detalladas sobre o funcionamento e o estado da rede: usuarios e aplicacións que se executan na rede, datos transmitidos, recursos interactivos, servizos e nodos;
   • responder ás incidencias antes de que se produzan, e non despois de que usuarios e clientes perdan o servizo;
   • reducindo o tempo e os recursos necesarios para administrar a rede e a infraestrutura informática;
   • simplificando as tarefas de resolución de problemas.
4. aumentar o nivel de seguridade da rede e dos recursos de información da empresa, mediante o uso de tecnoloxías sen sinatura para detectar actividade de rede anómala e maliciosa, así como "ataques de día cero";
5. garantindo o nivel requirido de SLA para aplicacións de rede e bases de datos.

Carteira de produtos de Flowmon Networks

Agora vexamos directamente a carteira de produtos de Flowmon Networks e descubramos que fai exactamente a empresa. Como moitos xa adiviñaron polo nome, a principal especialización está en solucións para o seguimento do tráfico de fluxo por streaming, ademais dunha serie de módulos adicionais que amplían a funcionalidade básica.

De feito, Flowmon pódese chamar unha empresa dun produto, ou mellor dito, unha solución. Imos descubrir se isto é bo ou malo.

O núcleo do sistema é o colector, que se encarga de recoller datos mediante varios protocolos de fluxo, como NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... É bastante lóxico que para unha empresa non afiliada a ningún fabricante de equipos de rede, sexa importante ofrecer ao mercado un produto universal que non estea vinculado a ningún estándar ou protocolo.

Coleccionista Flowmon

O colector está dispoñible tanto como servidor de hardware como como máquina virtual (VMware, Hyper-V, KVM). Por certo, a plataforma de hardware está implementada en servidores DELL personalizados, o que elimina automaticamente a maioría dos problemas coa garantía e RMA. Os únicos compoñentes de hardware propietarios son as tarxetas de captura de tráfico FPGA desenvolvidas por unha subsidiaria de Flowmon, que permiten monitorizar a velocidades de ata 100 Gbps.

Pero que facer se o equipo de rede existente non é capaz de xerar un fluxo de alta calidade? Ou a carga do equipo é demasiado alta? Sen problema:

Flowmon Prob

Neste caso, Flowmon Networks ofrece utilizar as súas propias sondas (Flowmon Probe), que están conectadas á rede a través do porto SPAN do switch ou mediante divisores TAP pasivos.

Opcións de implementación SPAN (porto espello) e TAP

Neste caso, o tráfico en bruto que chega ao Flowmon Probe convértese nun IPFIX expandido que contén máis 240 métricas con información. Mentres que o protocolo NetFlow estándar xerado polos equipos de rede non contén máis de 80 métricas. Isto permite a visibilidade do protocolo non só nos niveis 3 e 4, senón tamén no nivel 7 segundo o modelo ISO OSI. Como resultado, os administradores de rede poden supervisar o funcionamento de aplicacións e protocolos como correo electrónico, HTTP, DNS, SMB...

Conceptualmente, a arquitectura lóxica do sistema ten o seguinte aspecto:

A parte central de todo o "ecosistema" de Flowmon Networks é o colector, que recibe o tráfico dos equipos de rede existentes ou das súas propias sondas (Probe). Pero para unha solución Enterprise, proporcionar funcionalidades unicamente para supervisar o tráfico da rede sería demasiado sinxelo. As solucións de código aberto tamén poden facelo, aínda que non con ese rendemento. O valor de Flowmon son módulos adicionais que amplían a funcionalidade básica:

• módulo Seguridade de detección de anomalías – identificación da actividade anómala da rede, incluídos os ataques de día cero, baseada na análise heurística do tráfico e nun perfil de rede típico;
• módulo Seguimento do rendemento da aplicación – supervisar o rendemento das aplicacións de rede sen instalar "axentes" e influír nos sistemas de destino;
• módulo Gravadora de tráfico – gravar fragmentos de tráfico de rede segundo un conxunto de regras predefinidas ou segundo un disparador do módulo ADS, para a resolución de problemas e/ou investigación de incidentes de seguridade da información;
• módulo Protección DDoS – protección do perímetro da rede contra ataques volumétricos de denegación de servizo DoS/DDoS, incluídos os ataques a aplicacións (OSI L3/L4/L7).

Neste artigo, veremos como funciona todo en directo usando o exemplo de 2 módulos: Monitorización e diagnóstico do rendemento da rede и Seguridade de detección de anomalías.
Datos iniciais:

• Servidor Lenovo RS 140 con hipervisor VMware 6.0;
• Imaxe da máquina virtual de Flowmon Collector que poida descargar aquí;
• un par de interruptores que admiten protocolos de fluxo.

Paso 1. Instala Flowmon Collector

A implantación dunha máquina virtual en VMware prodúcese dun xeito completamente estándar a partir do modelo OVF. Como resultado, obtemos unha máquina virtual que executa CentOS e cun software listo para usar. Os requisitos de recursos son humanos:

Todo o que queda é realizar a inicialización básica mediante o comando sysconfig:

Configuramos a IP no porto de xestión, DNS, hora, Hostname e podemos conectarnos á interface WEB.

Paso 2. Instalación da licenza

Xérase e descargue unha licenza de proba durante un mes e medio xunto coa imaxe da máquina virtual. Cargado vía Centro de configuración -> Licenza. Como resultado vemos:

Todo está listo. Podes comezar a traballar.

Paso 3. Configurar o receptor no colector

Nesta fase, cómpre decidir como recibirá o sistema os datos das fontes. Como dixemos anteriormente, este podería ser un dos protocolos de fluxo ou un porto SPAN do switch.

No noso exemplo, utilizaremos a recepción de datos mediante protocolos NetFlow v9 e IPFIX. Neste caso, especificamos o enderezo IP da interface de xestión como destino - 192.168.78.198. As interfaces eth2 e eth3 (co tipo de interface Monitoring) úsanse para recibir unha copia do tráfico "en bruto" do porto SPAN do switch. Deixámolos pasar, non o noso caso.
A continuación, comprobamos o porto colector onde debe ir o tráfico.

No noso caso, o colector escoita o tráfico no porto UDP/2055.

Paso 4. Configurar o equipo de rede para a exportación de fluxo

Configurar NetFlow en equipos de Cisco Systems probablemente se poida chamar unha tarefa completamente común para calquera administrador de rede. Para o noso exemplo, tomaremos algo máis inusual. Por exemplo, o enrutador MikroTik RB2011UiAS-2HnD. Si, curiosamente, unha solución orzamentaria deste tipo para oficinas pequenas e na casa tamén admite os protocolos NetFlow v5/v9 e IPFIX. Na configuración, establece o destino (enderezo de colector 192.168.78.198 e porto 2055):

E engade todas as métricas dispoñibles para exportar:

Neste punto podemos dicir que a configuración básica está completa. Comprobamos se o tráfico está entrando no sistema.

Paso 5: proba e funcionamento do módulo de diagnóstico e seguimento do rendemento da rede

Podes comprobar a presenza de tráfico desde a fonte na sección Flowmon Monitoring Center –> Fontes:

Vemos que os datos están entrando no sistema. Algún tempo despois de que o colector acumule tráfico, os widgets comezarán a mostrar información:

O sistema está construído no principio de perforación. É dicir, o usuario, ao seleccionar un fragmento de interese nun diagrama ou gráfico, "cae" ao nivel de profundidade dos datos que precisa:

A información sobre cada conexión e conexión de rede:

Paso 6. Módulo de seguridade de detección de anomalías

Este módulo pódese chamar quizais un dos máis interesantes, grazas ao uso de métodos sen sinaturas para detectar anomalías no tráfico da rede e actividade maliciosa da rede. Pero este non é un análogo dos sistemas IDS/IPS. O traballo co módulo comeza coa súa "formación". Para iso, un asistente especial especifica todos os compoñentes e servizos clave da rede, incluíndo:

• enderezos de pasarela, servidores DNS, DHCP e NTP,
• direccionamento en segmentos de usuario e servidor.

Despois diso, o sistema entra en modo de adestramento, que dura de media entre 2 semanas e 1 mes. Durante este tempo, o sistema xera tráfico de referencia específico da nosa rede. Simplemente, o sistema aprende:

• que comportamento é típico dos nodos de rede?
• Que volumes de datos se transfiren normalmente e son normais para a rede?
• Cal é o tempo de funcionamento típico dos usuarios?
• que aplicacións se executan na rede?
• e moito máis..

Como resultado, obtemos unha ferramenta que identifica calquera anomalía na nosa rede e as desviacións do comportamento típico. Aquí tes un par de exemplos que o sistema che permite detectar:

• distribución de novo malware na rede que non é detectado polas sinaturas antivirus;
• construír DNS, ICMP ou outros túneles e transmitir datos sen pasar polo firewall;
• a aparición dun novo ordenador na rede que se fai pasar por un servidor DHCP e/ou DNS.

A ver como se ve en directo. Despois de que o seu sistema foi adestrado e construído unha liña base de tráfico de rede, comeza a detectar incidentes:

A páxina principal do módulo é unha liña de tempo que mostra as incidencias identificadas. No noso exemplo, vemos un pico claro, aproximadamente entre 9 e 16 horas. Imos seleccionalo e ver con máis detalle.

O comportamento anómalo do atacante na rede é claramente visible. Todo comeza co feito de que o host co enderezo 192.168.3.225 iniciou unha exploración horizontal da rede no porto 3389 (servizo RDP de Microsoft) e atopou 14 "vítimas" potenciais:

и

O seguinte incidente rexistrado: o host 192.168.3.225 inicia un ataque de forza bruta contra contrasinais de forza bruta no servizo RDP (porto 3389) nos enderezos identificados anteriormente:

Como resultado do ataque, detéctase unha anomalía SMTP nun dos hosts pirateados. Noutras palabras, o SPAM comezou:

Este exemplo é unha demostración clara das capacidades do sistema e do módulo de seguridade de detección de anomalías en particular. Xulgue a eficacia por si mesmo. Isto conclúe a visión xeral funcional da solución.

Conclusión

Imos resumir que conclusións podemos sacar sobre Flowmon:

• Flowmon é unha solución premium para clientes corporativos;
• grazas á súa versatilidade e compatibilidade, a recollida de datos está dispoñible desde calquera fonte: equipos de rede (Cisco, Juniper, HPE, Huawei...) ou sondas propias (Flowmon Probe);
• As capacidades de escalabilidade da solución permítenlle ampliar a funcionalidade do sistema engadindo novos módulos, así como aumentar a produtividade grazas a un enfoque flexible da licenza;
• mediante o uso de tecnoloxías de análise sen sinaturas, o sistema permite detectar ataques de día cero incluso descoñecidos para os antivirus e os sistemas IDS/IPS;
• grazas á completa "transparencia" en termos de instalación e presenza do sistema na rede - a solución non afecta o funcionamento doutros nodos e compoñentes da súa infraestrutura de TI;
• Flowmon é a única solución do mercado que admite a monitorización do tráfico a velocidades de ata 100 Gbps;
• Flowmon é unha solución para redes de calquera escala;
• a mellor relación prezo/funcionalidade entre solucións similares.

Nesta revisión, examinamos menos do 10% da funcionalidade total da solución. No seguinte artigo falaremos dos módulos restantes de Flowmon Networks. Usando o módulo de seguimento do rendemento da aplicación como exemplo, mostraremos como os administradores de aplicacións empresariais poden garantir a dispoñibilidade nun nivel de SLA determinado, así como diagnosticar problemas o máis rápido posible.

Ademais, queremos invitarte ao noso seminario web (10.09.2019/XNUMX/XNUMX) dedicado ás solucións do provedor Flowmon Networks. Para realizar a preinscrición, pedímosche rexistrarse aquí.
Isto é todo polo momento, grazas polo teu interese!

Só os usuarios rexistrados poden participar na enquisa. Rexístrate, por favor.

Está a usar Netflow para monitorizar a rede?

• Si

• Non, pero penso facelo

• Non

Votaron 9 usuarios. 3 usuarios abstivéronse.

Fonte: www.habr.com