Mrežni nadzor i otkrivanje nenormalnih mrežnih aktivnosti pomoću rješenja Flowmon Networks

U posljednje vrijeme na internetu možete pronaći ogromnu količinu materijala na tu temu. analiza prometa na perimetru mreže. U isto vrijeme, iz nekog razloga svi su potpuno zaboravili analiza lokalnog prometa, što nije manje važno. Ovaj članak obrađuje upravo ovu temu. Na primjer Flowmon mreže prisjetit ćemo se dobrog starog Netflowa (i njegovih alternativa), pogledati zanimljive slučajeve, moguće anomalije u mreži i saznati prednosti rješenja kada cijela mreža radi kao jedan senzor. I što je najvažnije, takvu analizu lokalnog prometa možete provesti potpuno besplatno, u okviru probne licence (45 dana). Ako vam je tema zanimljiva, dobrodošli u cat. Ako ste previše lijeni za čitanje, onda se, gledajući unaprijed, možete registrirati nadolazeći webinar, gdje ćemo vam sve pokazati i reći (tamo možete saznati i o nadolazećoj obuci za proizvode).

Što je Flowmon Networks?

Prije svega, Flowmon je europski IT dobavljač. Tvrtka je češka, sa sjedištem u Brnu (pitanje sankcija se niti ne postavlja). U sadašnjem obliku tvrtka je na tržištu od 2007. godine. Prethodno je bio poznat pod brendom Invea-Tech. Dakle, ukupno je gotovo 20 godina potrošeno na razvoj proizvoda i rješenja.

Flowmon je pozicioniran kao marka A klase. Razvija vrhunska rješenja za poslovne klijente i prepoznat je u Gartner okvirima za praćenje i dijagnostiku mrežnih performansi (NPMD). Štoviše, zanimljivo, od svih tvrtki u izvješću, Flowmon je jedini dobavljač kojeg je Gartner istaknuo kao proizvođača rješenja za nadzor mreže i zaštitu informacija (Network Behavior Analysis). Još uvijek ne zauzima prvo mjesto, ali zbog toga ne stoji kao Boeingovo krilo.

Koje probleme rješava proizvod?

Globalno, možemo razlikovati sljedeći skup zadataka koje rješavaju proizvodi tvrtke:

1. povećanje stabilnosti mreže, kao i mrežnih resursa, minimiziranjem vremena zastoja i nedostupnosti;
2. povećanje ukupne razine performansi mreže;
3. povećanje učinkovitosti administrativnog osoblja zbog:
   • korištenje modernih inovativnih alata za nadzor mreže na temelju informacija o IP tokovima;
   • pružanje detaljne analitike o funkcioniranju i stanju mreže - korisnicima i aplikacijama koje rade na mreži, prenesenim podacima, resursima u interakciji, uslugama i čvorovima;
   • reagiranje na incidente prije nego što se dogode, a ne nakon što korisnici i klijenti izgube uslugu;
   • smanjenje vremena i resursa potrebnih za administriranje mreže i IT infrastrukture;
   • pojednostavljivanje zadataka rješavanja problema.
4. povećanje razine sigurnosti mrežnih i informacijskih resursa poduzeća, korištenjem nepotpisnih tehnologija za otkrivanje nenormalnih i zlonamjernih mrežnih aktivnosti, kao i „napada nultog dana“;
5. osiguranje potrebne razine SLA za mrežne aplikacije i baze podataka.

Portfelj proizvoda Flowmon Networks

Sada pogledajmo izravno portfelj proizvoda Flowmon Networks i saznajmo čime se tvrtka točno bavi. Kao što su mnogi već pogodili iz naziva, glavna specijalizacija je rješenja za praćenje protoka protoka prometa, plus niz dodatnih modula koji proširuju osnovnu funkcionalnost.

Flowmon se zapravo može nazvati tvrtkom jednog proizvoda, odnosno jednog rješenja. Hajdemo shvatiti je li to dobro ili loše.

Srž sustava je kolektor koji je zadužen za prikupljanje podataka pomoću različitih protokola protoka, kao npr. NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Sasvim je logično da je za tvrtku koja nije povezana ni s jednim proizvođačem mrežne opreme važno tržištu ponuditi univerzalni proizvod koji nije vezan ni za jedan standard ili protokol.

Flowmon kolekcionar

Kolektor je dostupan i kao hardverski poslužitelj i kao virtualni stroj (VMware, Hyper-V, KVM). Usput, hardverska platforma je implementirana na prilagođenim DELL poslužiteljima, što automatski eliminira većinu problema s jamstvom i RMA. Jedine vlasničke hardverske komponente su FPGA kartice za snimanje prometa koje je razvila podružnica Flowmona, a koje omogućuju nadzor pri brzinama do 100 Gbps.

Ali što učiniti ako postojeća mrežna oprema ne može generirati visokokvalitetni protok? Ili je opterećenje opreme preveliko? Nema problema:

Flowmon Prob

U ovom slučaju, Flowmon Networks nudi korištenje vlastitih sondi (Flowmon Probe), koje su spojene na mrežu preko SPAN porta preklopnika ili pomoću pasivnih TAP razdjelnika.

Mogućnosti implementacije SPAN (zrcalni port) i TAP

U ovom slučaju, neobrađeni promet koji stiže do Flowmon sonde pretvara se u prošireni IPFIX koji sadrži više 240 metrika s informacijama. Dok standardni NetFlow protokol koji generira mrežna oprema ne sadrži više od 80 metrika. To omogućuje vidljivost protokola ne samo na razinama 3 i 4, već i na razini 7 prema ISO OSI modelu. Kao rezultat, mrežni administratori mogu pratiti rad aplikacija i protokola kao što su e-pošta, HTTP, DNS, SMB...

Konceptualno, logična arhitektura sustava izgleda ovako:

Središnji dio cijelog “ekosustava” Flowmon Networks je Collector, koji prima promet od postojeće mrežne opreme ili vlastitih sondi (Probe). Ali za Enterprise rješenje, pružanje funkcionalnosti samo za praćenje mrežnog prometa bilo bi prejednostavno. Open Source rješenja također mogu to učiniti, iako ne s takvim performansama. Vrijednost Flowmona su dodatni moduli koji proširuju osnovnu funkcionalnost:

• modul Sigurnost otkrivanja anomalija – identifikaciju nepravilne mrežne aktivnosti, uključujući napade nultog dana, na temelju heurističke analize prometa i tipičnog mrežnog profila;
• modul Praćenje izvedbe aplikacija – praćenje performansi mrežnih aplikacija bez instaliranja „agenata“ i utjecaja na ciljne sustave;
• modul Snimač prometa – snimanje fragmenata mrežnog prometa prema skupu unaprijed definiranih pravila ili prema okidaču iz ADS modula, za daljnje rješavanje problema i/ili istraživanje incidenata informacijske sigurnosti;
• modul DDoS zaštita – zaštita mrežnog perimetra od volumetrijskih DoS/DDoS napada uskraćivanjem usluge, uključujući napade na aplikacije (OSI L3/L4/L7).

U ovom članku ćemo pogledati kako sve funkcionira uživo na primjeru 2 modula - Praćenje i dijagnostika mrežnih performansi и Sigurnost otkrivanja anomalija.
Početni podaci:

• Lenovo RS 140 poslužitelj s VMware 6.0 hipervizorom;
• Slika Flowmon Collector virtualnog stroja koju možete preuzmite ovdje;
• par prekidača koji podržavaju protokole protoka.

Korak 1. Instalirajte Flowmon Collector

Implementacija virtualnog stroja na VMwareu odvija se na potpuno standardan način iz OVF predloška. Kao rezultat toga, dobivamo virtualni stroj koji pokreće CentOS i sa softverom spremnim za korištenje. Zahtjevi za resursima su humani:

Sve što preostaje je izvršiti osnovnu inicijalizaciju pomoću naredbe sysconfig:

Konfiguriramo IP na port za upravljanje, DNS, vrijeme, ime hosta i možemo se spojiti na WEB sučelje.

Korak 2. Instalacija licence

Probna licenca za jedan i pol mjesec generira se i preuzima zajedno sa slikom virtualnog stroja. Učitano putem Konfiguracijski centar -> Licenca. Kao rezultat vidimo:

Sve je spremno. Možete početi raditi.

Korak 3. Postavljanje prijemnika na kolektor

U ovoj fazi morate odlučiti kako će sustav primati podatke iz izvora. Kao što smo ranije rekli, ovo može biti jedan od protokola protoka ili SPAN port na preklopniku.

U našem primjeru koristit ćemo prijem podataka pomoću protokola NetFlow v9 i IPFIX. U ovom slučaju navodimo IP adresu upravljačkog sučelja kao cilj - 192.168.78.198. Sučelja eth2 i eth3 (s vrstom sučelja za praćenje) koriste se za primanje kopije "neobrađenog" prometa sa SPAN porta preklopnika. Mi smo ih pustili, a ne naš slučaj.
Zatim provjeravamo priključak kolektora gdje bi trebao ići promet.

U našem slučaju, kolektor osluškuje promet na portu UDP/2055.

Korak 4. Konfiguriranje mrežne opreme za izvoz protoka

Postavljanje NetFlowa na opremi Cisco Systems vjerojatno se može nazvati sasvim uobičajenim zadatkom za svakog mrežnog administratora. Za naš primjer uzet ćemo nešto neobičnije. Na primjer, usmjerivač MikroTik RB2011UiAS-2HnD. Da, čudno, takvo proračunsko rješenje za male i kućne urede također podržava NetFlow v5/v9 i IPFIX protokole. U postavkama postavite cilj (adresa kolektora 192.168.78.198 i port 2055):

I dodajte sve metrike dostupne za izvoz:

U ovom trenutku možemo reći da je osnovno postavljanje završeno. Provjeravamo ulazi li promet u sustav.

Korak 5: Testiranje i rad s modulom za praćenje i dijagnostiku mrežnih performansi

U odjeljku možete provjeriti prisutnost prometa od izvora Centar za praćenje Flowmon –> Izvori:

Vidimo da podaci ulaze u sustav. Neko vrijeme nakon što kolektor prikupi promet, widgeti će početi prikazivati ​​informacije:

Sustav je izgrađen na principu drill down. Odnosno, korisnik odabirom fragmenta od interesa na dijagramu ili grafikonu „pada“ na razinu dubine podataka koja mu je potrebna:

Sve do informacija o svakoj mrežnoj vezi i vezi:

Korak 6. Sigurnosni modul za otkrivanje anomalija

Ovaj modul se može nazvati možda jednim od najzanimljivijih, zahvaljujući korištenju metoda bez potpisa za otkrivanje anomalija u mrežnom prometu i zlonamjernih mrežnih aktivnosti. Ali ovo nije analog IDS/IPS sustava. Rad s modulom počinje njegovim “obukom”. Da biste to učinili, poseban čarobnjak specificira sve ključne komponente i usluge mreže, uključujući:

• adrese pristupnika, DNS, DHCP i NTP poslužitelji,
• adresiranje u korisničkim i poslužiteljskim segmentima.

Nakon toga sustav prelazi u način rada za obuku, koji u prosjeku traje od 2 tjedna do 1 mjeseca. Za to vrijeme sustav generira osnovni promet koji je specifičan za našu mrežu. Jednostavno rečeno, sustav uči:

• kakvo je ponašanje tipično za mrežne čvorove?
• Koje se količine podataka obično prenose i koje su normalne za mrežu?
• Koje je tipično vrijeme rada za korisnike?
• koje aplikacije rade na mreži?
• i mnogo više..

Kao rezultat, dobivamo alat koji identificira sve anomalije u našoj mreži i odstupanja od tipičnog ponašanja. Evo nekoliko primjera koje vam sustav omogućuje da otkrijete:

• distribucija novog zlonamjernog softvera na mreži koji nije otkriven antivirusnim potpisima;
• izgradnja DNS, ICMP ili drugih tunela i prijenos podataka zaobilazeći vatrozid;
• pojavljivanje novog računala na mreži koje se predstavlja kao DHCP i/ili DNS poslužitelj.

Pogledajmo kako to izgleda uživo. Nakon što je vaš sustav osposobljen i izgrađena osnovna linija mrežnog prometa, počinje otkrivati ​​incidente:

Glavna stranica modula je vremenska traka koja prikazuje identificirane incidente. U našem primjeru vidimo jasan skok, otprilike između 9 i 16 sati. Odaberimo ga i pogledajmo detaljnije.

Jasno je vidljivo nenormalno ponašanje napadača na mreži. Sve počinje činjenicom da je host s adresom 192.168.3.225 započeo horizontalno skeniranje mreže na portu 3389 (Microsoft RDP usluga) i pronašao 14 potencijalnih "žrtava":

и

Sljedeći zabilježeni incident - host 192.168.3.225 započinje brute force napad na lozinke brute force na RDP servisu (port 3389) na prethodno identificiranim adresama:

Kao rezultat napada, otkrivena je SMTP anomalija na jednom od hakiranih hostova. Drugim riječima, SPAM je počeo:

Ovaj primjer je jasna demonstracija mogućnosti sustava, a posebno sigurnosnog modula za otkrivanje anomalija. Učinkovitost procijenite sami. Time je funkcionalni pregled rješenja završen.

Zaključak

Rezimirajmo koje zaključke možemo izvući o Flowmonu:

• Flowmon je vrhunsko rješenje za korporativne korisnike;
• zahvaljujući svojoj svestranosti i kompatibilnosti, prikupljanje podataka dostupno je iz bilo kojeg izvora: mrežne opreme (Cisco, Juniper, HPE, Huawei...) ili vlastitih sondi (Flowmon Probe);
• Mogućnosti skalabilnosti rješenja omogućuju vam da proširite funkcionalnost sustava dodavanjem novih modula, kao i da povećate produktivnost zahvaljujući fleksibilnom pristupu licenciranju;
• korištenjem tehnologija analize bez potpisa, sustav vam omogućuje otkrivanje zero-day napada čak i nepoznatih antivirusima i IDS/IPS sustavima;
• zahvaljujući potpunoj “transparentnosti” u pogledu instalacije i prisutnosti sustava na mreži - rješenje ne utječe na rad drugih čvorova i komponenti vaše IT infrastrukture;
• Flowmon je jedino rješenje na tržištu koje podržava praćenje prometa pri brzinama do 100 Gbps;
• Flowmon je rješenje za mreže svih razmjera;
• najbolji omjer cijene i funkcionalnosti među sličnim rješenjima.

U ovoj recenziji ispitali smo manje od 10% ukupne funkcionalnosti rješenja. U sljedećem članku ćemo govoriti o preostalim modulima Flowmon Networks. Koristeći modul za praćenje performansi aplikacije kao primjer, pokazat ćemo kako administratori poslovnih aplikacija mogu osigurati dostupnost na određenoj razini SLA, kao i dijagnosticirati probleme što je brže moguće.

Također, želimo vas pozvati na naš webinar (10.09.2019.) posvećen rješenjima dobavljača Flowmon Networks. Za predbilježbu, molimo Vas registrirajte se ovdje.
To je sve za sada, hvala na interesu!

U anketi mogu sudjelovati samo registrirani korisnici. Prijaviti se, molim.

Koristite li Netflow za nadzor mreže?

• Da

• Ne, ali planiram

• Ne

Glasovalo je 9 korisnika. Suzdržana su bila 3 korisnika.

Izvor: www.habr.com