Dènyèman, ou ka jwenn yon gwo kantite materyèl sou sijè a sou entènèt la. analiz trafik nan perimèt rezo a. An menm tan an, pou kèk rezon tout moun konplètman bliye sou analiz trafik lokal yo, ki pa mwens enpòtan. Atik sa a adrese jisteman sijè sa a. Pa egzanp nou pral sonje bon fin vye granmoun Netflow la (ak altènativ li yo), gade nan ka enteresan, anomali posib nan rezo a epi chèche konnen avantaj ki genyen nan solisyon an lè rezo a tout antye travay kòm yon sèl Capteur. Ak sa ki pi enpòtan, ou ka fè tankou yon analiz de trafik lokal konplètman gratis, nan kad yon lisans jijman (45 jou). Si sijè a enteresan pou ou, akeyi nan chat. Si ou twò parese pou li, lè sa a, gade pi devan, ou ka enskri pou , kote nou pral montre ak di ou tout bagay (ou ka aprann tou sou fòmasyon pwodwi k ap vini la).
Ki sa ki se Flowmon Networks?
Premye a tout, Flowmon se yon machann IT Ewopeyen an. Konpayi an se Czech, ak katye jeneral nan Brno (pwoblèm nan nan sanksyon pa menm leve soti vivan). Nan fòm aktyèl li yo, konpayi an te sou mache a depi 2007. Précédemment, li te konnen anba mak Invea-Tech la. Se konsa, an total, prèske 20 ane yo te pase sou devlope pwodwi ak solisyon.
Flowmon pozisyone kòm yon mak A-klas. Devlope solisyon prim pou kliyan antrepriz epi li rekonèt nan bwat Gartner pou siveyans ak dyagnostik pèfòmans rezo (NPMD). Anplis, sa ki enteresan, nan tout konpayi yo nan rapò a, Flowmon se machann a sèlman te note pa Gartner kòm yon manifakti nan solisyon pou tou de siveyans rezo ak pwoteksyon enfòmasyon (Network Behavior Analysis). Li pa pran premye plas ankò, men akòz sa a li pa kanpe tankou yon zèl Boeing.
Ki pwoblèm pwodwi a rezoud?
Globalman, nou ka distenge pisin sa a nan travay rezoud pa pwodwi konpayi an:
- ogmante estabilite rezo a, osi byen ke resous rezo yo, pa minimize tan yo ak indisponibilite;
- ogmante nivo jeneral pèfòmans rezo a;
- ogmante efikasite nan pèsonèl administratif akòz:
- lè l sèvi avèk zouti modèn inovatè siveyans rezo ki baze sou enfòmasyon sou koule IP;
- bay analiz detaye sou fonksyone ak eta rezo a - itilizatè yo ak aplikasyon ki kouri sou rezo a, done transmèt, resous kominike, sèvis ak nœuds;
- reponn a ensidan anvan yo rive, epi pa apre itilizatè yo ak kliyan pèdi sèvis yo;
- diminye tan ak resous ki nesesè pou administre rezo a ak enfrastrikti IT;
- senplifye travay depanaj yo.
- ogmante nivo sekirite rezo a ak resous enfòmasyon nan antrepriz la, atravè itilizasyon teknoloji ki pa siyati pou detekte aktivite rezo anòmal ak move, osi byen ke "atak zewo jou";
- asire nivo SLA ki nesesè pou aplikasyon rezo ak baz done.
Flowmon Networks Product Portfolio
Koulye a, ann gade dirèkteman nan pòtfolyo pwodwi Flowmon Networks epi chèche konnen ki sa egzakteman konpayi an fè. Kòm anpil moun te deja devine nan non an, espesyalizasyon prensipal la se nan solisyon pou siveyans sikilasyon koule, plis yon kantite modil adisyonèl ki elaji fonksyonalite debaz la.
An reyalite, Flowmon ka rele yon konpayi nan yon sèl pwodwi, oswa pito, yon solisyon. Ann chèche konnen si sa a bon oswa move.
Nwayo a nan sistèm nan se pèseptè a, ki responsab pou kolekte done lè l sèvi avèk pwotokòl koule divès kalite, tankou NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Li se byen lojik ke pou yon konpayi ki pa afilye ak nenpòt manifakti ekipman rezo, li enpòtan yo ofri mache a yon pwodwi inivèsèl ki pa mare nan nenpòt estanda oswa pwotokòl.
Flowmon Pèseptè
Pèseptè a disponib tou de kòm yon sèvè pyès ki nan konpitè ak kòm yon machin vityèl (VMware, Hyper-V, KVM). By wout la, platfòm pyès ki nan konpitè yo aplike sou sèvè DELL Customized, ki otomatikman elimine pi fò nan pwoblèm yo ak garanti ak RMA. Sèl eleman pyès ki nan konpitè propriétaires yo se kat kaptire trafik FPGA devlope pa yon sipòtè Flowmon, ki pèmèt siveyans nan vitès ki rive jiska 100 Gbps.
Men, sa pou w fè si ekipman rezo ki egziste deja pa kapab jenere bon jan kalite koule? Oswa èske chaj la sou ekipman an twò wo? Pa gen pwoblèm:
Flowmon Prob
Nan ka sa a, Flowmon Networks ofri yo sèvi ak pwòp sond li yo (Flowmon Probe), ki konekte ak rezo a atravè pò SPAN nan switch la oswa lè l sèvi avèk pasif TAP splitter.
SPAN (pò glas) ak opsyon aplikasyon TAP
Nan ka sa a, trafik anvan tout koreksyon ki rive nan Flowmon Probe a konvèti nan yon IPFIX elaji ki gen plis 240 metrik ak enfòmasyon. Pandan ke pwotokòl NetFlow estanda ki te pwodwi pa ekipman rezo a pa gen plis pase 80 paramèt. Sa a pèmèt pou vizibilite pwotokòl pa sèlman nan nivo 3 ak 4, men tou nan nivo 7 dapre modèl la ISO OSI. Kòm yon rezilta, administratè rezo yo ka kontwole fonksyone aplikasyon ak pwotokòl tankou imel, HTTP, DNS, SMB...
Konseptyèlman, achitekti lojik sistèm nan sanble sa a:
Pati santral la nan tout "ekosistèm" Flowmon Networks la se Pèseptè a, ki resevwa trafik nan ekipman rezo ki egziste deja oswa pwòp sond li yo (Probe). Men, pou yon solisyon Enterprise, bay fonksyonalite sèlman pou kontwole trafik rezo a ta twò senp. Solisyon Open Source ka fè sa tou, byenke pa ak pèfòmans sa yo. Valè Flowmon se modil adisyonèl ki elaji fonksyonalite debaz yo:
- modil Sekirite deteksyon anomali – idantifikasyon aktivite rezo anòmal, ki gen ladan atak zewo jou, ki baze sou analiz euristik nan trafik ak yon pwofil rezo tipik;
- modil Aplikasyon Siveyans Pèfòmans – kontwole pèfòmans aplikasyon rezo san yo pa enstale "ajan" ak enfliyanse sistèm sib;
- modil Anrejistrè Trafik – anrejistre fragman nan trafik rezo a dapre yon seri règ predefini oswa dapre yon deklanche nan modil ADS la, pou plis depanaj ak/oswa envestigasyon sou ensidan sekirite enfòmasyon yo;
- modil DDoS Pwoteksyon – pwoteksyon nan perimèt rezo a kont volim DoS/DDoS refi sèvis atak, ki gen ladan atak sou aplikasyon yo (OSI L3/L4/L7).
Nan atik sa a, nou pral gade ki jan tout bagay ap travay ap viv lè l sèvi avèk egzanp lan nan 2 modil - Siveyans pèfòmans rezo ak dyagnostik и Sekirite deteksyon anomali.
Done inisyal:
- Sèvè Lenovo RS 140 ak hypervisor VMware 6.0;
- Flowmon Pèseptè machin vityèl imaj ke ou kapab ;
- yon pè switch sipòte pwotokòl koule.
Etap 1. Enstale Flowmon Pèseptè
Deplwaman yon machin vityèl sou VMware fèt nan yon fason konplètman estanda nan modèl OVF la. Kòm yon rezilta, nou jwenn yon machin vityèl ki kouri CentOS ak lojisyèl pare pou itilize. Kondisyon resous yo se imen:
Tout sa ki rete se fè inisyalizasyon debaz lè l sèvi avèk lòd la sysconfig:
Nou konfigirasyon IP sou pò a jesyon, DNS, tan, Hostname epi yo ka konekte nan koòdone WEB la.
Etap 2. Lisans enstalasyon
Yon lisans jijman pou yon mwa edmi pwodwi epi telechaje ansanm ak imaj machin vityèl la. Chaje atravè Sant konfigirasyon -> Lisans. Kòm yon rezilta nou wè:
Tout pare. Ou ka kòmanse travay.
Etap 3. Mete kanpe reseptè a sou pèseptè a
Nan etap sa a, ou bezwen deside ki jan sistèm lan pral resevwa done ki soti nan sous yo. Kòm nou te di pi bonè, sa a ta ka youn nan pwotokòl koule yo oswa yon pò SPAN sou switch la.
Nan egzanp nou an, nou pral sèvi ak resepsyon done lè l sèvi avèk pwotokòl NetFlow v9 ak IPFIX. Nan ka sa a, nou presize adrès IP la nan koòdone Jesyon an kòm yon sib - 192.168.78.198. Entèfas eth2 ak eth3 (ak kalite koòdone Monitoring) yo itilize pou resevwa yon kopi trafik "kri" ki soti nan pò SPAN switch la. Nou kite yo pase, pa ka nou an.
Apre sa, nou tcheke pò pèseptè a kote trafik la ta dwe ale.
Nan ka nou an, pèseptè a koute trafik sou pò UDP/2055.
Etap 4. Konfigirasyon ekipman rezo pou ekspòtasyon koule
Mete kanpe NetFlow sou ekipman Cisco Systems ka pwobableman rele yon travay konplètman komen pou nenpòt administratè rezo. Pou egzanp nou an, nou pral pran yon bagay ki pi etranj. Pou egzanp, MikroTik RB2011UiAS-2HnD routeur la. Wi, etranj ase, tankou yon solisyon bidjè pou ti ak biwo lakay yo sipòte tou NetFlow v5/v9 ak pwotokòl IPFIX. Nan anviwònman yo, mete sib la (adrès pèseptè 192.168.78.198 ak pò 2055):
Epi ajoute tout mezi ki disponib pou ekspòtasyon:
Nan pwen sa a nou ka di ke konfigirasyon debaz la konplè. Nou tcheke si trafik ap antre nan sistèm nan.
Etap 5: Tès ak Operasyon Modil Siveyans Pèfòmans ak Dyagnostik Rezo a
Ou ka tcheke prezans nan trafik soti nan sous la nan seksyon an Sant Siveyans Flowmon –> Sous:
Nou wè ke done ap antre nan sistèm nan. Kèk tan apre pèseptè a te akimile trafik, widgets yo ap kòmanse montre enfòmasyon:
Se sistèm nan bati sou prensip la fè egzèsis desann. Sa vle di, itilizatè a, lè w ap chwazi yon fragman enterè sou yon dyagram oswa yon graf, "tonbe" nan nivo pwofondè done li bezwen:
Anba enfòmasyon sou chak koneksyon rezo ak koneksyon:
Etap 6. Modil sekirite deteksyon anomali
Modil sa a ka rele petèt youn nan pi enteresan an, gras a itilize nan metòd siyati-gratis pou detekte anomali nan trafik rezo ak aktivite rezo move. Men, sa a se pa yon analogue nan sistèm IDS / IPS. Travay ak modil la kòmanse ak "fòmasyon" li yo. Pou fè sa, yon sòsye espesyal presize tout eleman kle yo ak sèvis nan rezo a, ki gen ladan:
- adrès pòtay, sèvè DNS, DHCP ak NTP,
- adrese nan segman itilizatè ak sèvè.
Apre sa, sistèm nan antre nan mòd fòmasyon, ki dire an mwayèn soti nan 2 semèn a 1 mwa. Pandan tan sa a, sistèm nan jenere trafik debaz ki espesifik nan rezo nou an. Senpleman mete, sistèm nan aprann:
- Ki konpòtman ki tipik pou nœuds rezo yo?
- Ki kantite done yo tipikman transfere epi ki nòmal pou rezo a?
- Ki tan operasyon nòmal pou itilizatè yo?
- ki aplikasyon yo kouri sou rezo a?
- ak plis ankò..
Kòm yon rezilta, nou jwenn yon zouti ki idantifye nenpòt anomali nan rezo nou an ak devyasyon nan konpòtman tipik. Men kèk egzanp ke sistèm nan pèmèt ou detekte:
- distribisyon nouvo malveyan sou rezo a ki pa detekte pa siyati antivirus;
- bati DNS, ICMP oswa lòt tinèl ak transmèt done kontoune firewall la;
- aparans nan yon nouvo òdinatè sou rezo a poze kòm yon sèvè DHCP ak / oswa dns.
Ann wè ki jan li sanble live. Apre yo fin fòme sistèm ou a epi li bati yon liy debaz nan trafik rezo a, li kòmanse detekte ensidan yo:
Paj prensipal modil la se yon delè ki montre ensidan yo idantifye yo. Nan egzanp nou an, nou wè yon Spike klè, apeprè ant 9 ak 16 èdtan. Ann chwazi li epi gade nan plis detay.
Konpòtman anòmal atakè a sou rezo a vizib klèman. Tout bagay kòmanse ak lefèt ke lame a ak adrès 192.168.3.225 te kòmanse yon eskanè orizontal nan rezo a sou pò 3389 (sèvis Microsoft RDP) epi li te jwenn 14 "viktim" potansyèl:
и
Ensidan sa a anrejistre - lame 192.168.3.225 kòmanse yon atak fòs brital sou modpas fòs brital sou sèvis RDP (pò 3389) nan adrès yo te idantifye deja:
Kòm yon rezilta nan atak la, yo detekte yon anomali SMTP sou youn nan lame yo rache. Nan lòt mo, SPAM te kòmanse:
Egzanp sa a se yon demonstrasyon klè sou kapasite sistèm nan ak modil Sekirite Deteksyon Anomali an patikilye. Jije efikasite pou tèt ou. Sa a konkli apèsi fonksyonèl solisyon an.
Konklizyon
Ann rezime ki konklizyon nou ka tire sou Flowmon:
- Flowmon se yon solisyon prim pou kliyan antrepriz;
- gras a adaptabilite li yo ak konpatibilite, koleksyon done yo disponib nan nenpòt sous: ekipman rezo (Cisco, Juniper, HPE, Huawei ...) oswa sond pwòp ou a (Flowmon Probe);
- Kapasite yo évolutivité nan solisyon an pèmèt ou elaji fonksyonalite nan sistèm nan lè w ajoute nouvo modil, osi byen ke ogmante pwodiktivite gras a yon apwòch fleksib nan lisans;
- atravè itilizasyon teknoloji analiz san siyati, sistèm nan pèmèt ou detekte atak zewo jou menm enkoni nan antivirus ak sistèm IDS/IPS;
- gras a konplè "transparans" an tèm de enstalasyon ak prezans nan sistèm nan sou rezo a - solisyon an pa afekte operasyon an nan lòt nœuds ak eleman nan enfrastrikti IT ou a;
- Flowmon se sèl solisyon sou mache a ki sipòte siveyans trafik nan vitès jiska 100 Gbps;
- Flowmon se yon solisyon pou rezo nenpòt echèl;
- pi bon rapò pri / fonksyonalite nan mitan solisyon menm jan an.
Nan revizyon sa a, nou te egzamine mwens pase 10% nan fonksyonalite total solisyon an. Nan pwochen atik la nou pral pale sou modil Flowmon Networks ki rete yo. Sèvi ak modil Siveyans Pèfòmans Aplikasyon an kòm yon egzanp, nou pral montre kouman administratè aplikasyon biznis yo ka asire disponiblite nan yon nivo SLA yo bay, epitou pou fè dyagnostik pwoblèm pi vit posib.
Epitou, nou ta renmen envite w nan webinar nou an (10.09.2019/XNUMX/XNUMX) dedye a solisyon yo nan machann Flowmon Networks. Pou pre-enskri, nou mande w .
Se tout pou kounye a, mèsi pou enterè ou!
Se sèlman itilizatè ki anrejistre ki ka patisipe nan sondaj la. , tanpri.
Èske w ap itilize Netflow pou siveyans rezo a?
-
Да
-
Non, men mwen planifye
-
Pa gen
9 itilizatè yo te vote. 3 itilizatè te absteni.
Sous: www.habr.com