Hálózatfigyelés és rendellenes hálózati tevékenység észlelése Flowmon Networks megoldások segítségével

A közelmúltban hatalmas mennyiségű anyagot találhat a témában az interneten. forgalomelemzés a hálózat peremén. Ugyanakkor valamiért mindenki teljesen megfeledkezett róla helyi forgalom elemzése, ami nem kevésbé fontos. Ez a cikk pontosan ezzel a témával foglalkozik. Például Flowmon Networks emlékezni fogunk a jó öreg Netflow-ra (és annak alternatíváira), megnézzük az érdekes eseteket, a hálózat lehetséges anomáliáit és megtudjuk a megoldás előnyeit, amikor a teljes hálózat egyetlen érzékelőként működik. És ami a legfontosabb, a helyi forgalom ilyen elemzését teljesen ingyenesen, próbaengedély keretein belül végezheti el (45 nap). Ha a téma érdekes számodra, üdvözöljük a macskában. Ha lusta vagy olvasni, akkor előretekintve regisztrálhatsz közelgő webinárium, ahol mindent megmutatunk és elmondunk (a közelgő termékképzésről is ott tájékozódhatsz).

Mi az a Flowmon Networks?

Először is, a Flowmon egy európai IT-szállító. A cég cseh, brünni székhellyel (a szankciók kérdése fel sem merül). Jelenlegi formájában a cég 2007 óta van a piacon. Korábban Invea-Tech márkanév alatt volt ismert. Összességében tehát közel 20 évet töltöttek termékek és megoldások fejlesztésével.

A Flowmon A-osztályú márka. Prémium megoldásokat fejleszt vállalati ügyfelek számára, és a Gartner Hálózati teljesítményfigyelés és diagnosztika (NPMD) kategóriában is elismert. Sőt, érdekes módon a jelentésben szereplő összes vállalat közül a Flowmon az egyetlen szállító, amelyet a Gartner mind a hálózatfelügyeleti, mind az információvédelmi megoldások gyártójaként (Network Behavior Analysis) jegyez meg. Még nem foglalja el az első helyet, de ennek köszönhetően nem áll úgy, mint egy Boeing szárny.

Milyen problémákat old meg a termék?

Globálisan a következő feladatokat különböztetjük meg, amelyeket a cég termékei oldanak meg:

1. a hálózat, valamint a hálózati erőforrások stabilitásának növelése leállásuk és elérhetetlenségük minimalizálásával;
2. a hálózati teljesítmény általános szintjének növelése;
3. az adminisztratív személyzet hatékonyságának növelése a következők miatt:
   • modern, innovatív hálózatfigyelő eszközök használata az IP-folyamatok információin alapulóan;
   • részletes elemzések nyújtása a hálózat működéséről és állapotáról - a hálózaton futó felhasználókról és alkalmazásokról, továbbított adatokról, kölcsönhatásban lévő erőforrásokról, szolgáltatásokról és csomópontokról;
   • reagálni az incidensekre, mielőtt azok megtörténnének, és nem azt követően, hogy a felhasználók és az ügyfelek elveszítik a szolgáltatást;
   • a hálózati és informatikai infrastruktúra adminisztrálásához szükséges idő és erőforrások csökkentése;
   • a hibaelhárítási feladatok egyszerűsítése.
4. a vállalat hálózati és információs erőforrásai biztonsági szintjének növelése nem aláírási technológiák alkalmazásával a rendellenes és rosszindulatú hálózati tevékenységek, valamint a „nulladik napi támadások” észlelésére;
5. a szükséges szintű SLA biztosítása a hálózati alkalmazásokhoz és adatbázisokhoz.

Flowmon Networks termékportfólió

Most nézzük meg közvetlenül a Flowmon Networks termékportfólióját, és nézzük meg, mit is csinál pontosan a cég. Ahogy azt már a névből is kitalálták, a fő specializáció a streaming flow forgalom figyelésére szolgáló megoldásokra, valamint számos további, az alapvető funkcionalitást bővítő modulokra irányul.

Valójában a Flowmon egy termék cégének, vagy inkább egy megoldásnak nevezhető. Nézzük meg, hogy ez jó vagy rossz.

A rendszer magja a gyűjtő, amely az adatok gyűjtéséért felelős különféle áramlási protokollok segítségével, mint pl NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Teljesen logikus, hogy egy olyan vállalat számára, amely nem áll kapcsolatban egyetlen hálózati berendezés gyártójával sem, fontos, hogy olyan univerzális terméket kínáljon a piacnak, amely nem kötődik egyetlen szabványhoz vagy protokollhoz sem.

Flowmon Collector

A gyűjtő hardveres szerverként és virtuális gépként is elérhető (VMware, Hyper-V, KVM). A hardverplatform egyébként testreszabott DELL szervereken van megvalósítva, ami automatikusan kiküszöböli a legtöbb garanciával és RMA-val kapcsolatos problémát. Az egyetlen szabadalmaztatott hardverkomponens a Flowmon leányvállalata által kifejlesztett FPGA forgalomrögzítő kártyák, amelyek akár 100 Gbps-os felügyeletet tesznek lehetővé.

De mi a teendő, ha a meglévő hálózati berendezések nem képesek jó minőségű áramlást generálni? Vagy túl nagy a terhelés a berendezésen? Nincs mit:

Flowmon Prob

Ebben az esetben a Flowmon Networks felajánlja saját szondái (Flowmon Probe) használatát, amelyek a kapcsoló SPAN portján keresztül vagy passzív TAP elosztók segítségével csatlakoznak a hálózathoz.

SPAN (tükör port) és TAP megvalósítási lehetőségek

Ebben az esetben a Flowmon szondához érkező nyers forgalom egy kibővített IPFIX-gé alakul, amely több 240 mérőszám információval. Míg a hálózati berendezések által generált szabványos NetFlow protokoll legfeljebb 80 mérőszámot tartalmaz. Ez nem csak a 3. és 4., hanem az ISO OSI modell szerint 7. szinten is lehetővé teszi a protokoll láthatóságát. Ennek eredményeként a hálózati rendszergazdák figyelemmel kísérhetik az olyan alkalmazások és protokollok működését, mint az e-mail, HTTP, DNS, SMB...

Elvileg a rendszer logikai architektúrája így néz ki:

A teljes Flowmon Networks „ökoszisztéma” központi része a Collector, amely a meglévő hálózati berendezésektől vagy saját szondáitól (Probe) fogadja a forgalmat. Egy vállalati megoldáshoz azonban túl egyszerű lenne a kizárólag a hálózati forgalom figyelésére szolgáló funkciók biztosítása. A nyílt forráskódú megoldások is képesek erre, bár nem ilyen teljesítménnyel. A Flowmon értéke további modulok, amelyek kiterjesztik az alapvető funkciókat:

• modul Anomália-észlelési biztonság – a rendellenes hálózati tevékenység azonosítása, beleértve a nulladik napi támadásokat is, a forgalom heurisztikus elemzése és egy tipikus hálózati profil alapján;
• modul Az alkalmazás teljesítményének figyelése – a hálózati alkalmazások teljesítményének figyelése „ügynökök” telepítése és a célrendszerek befolyásolása nélkül;
• modul Forgalomrögzítő – a hálózati forgalom töredékeinek rögzítése előre meghatározott szabályok szerint vagy az ADS modulból származó trigger szerint az információbiztonsági incidensek további hibaelhárítása és/vagy kivizsgálása céljából;
• modul DDoS Protection – a hálózati kerület védelme a volumetrikus DoS/DDoS szolgáltatásmegtagadási támadásokkal szemben, beleértve az alkalmazások elleni támadásokat (OSI L3/L4/L7).

Ebben a cikkben megnézzük, hogyan működik minden élőben, 2 modul példáján keresztül - Hálózati teljesítményfigyelés és diagnosztika и Anomália-észlelési biztonság.
Forrás adatok:

• Lenovo RS 140 szerver VMware 6.0 hypervisorral;
• Flowmon Collector virtuálisgép-képet, amelyet megtehet töltse le itt;
• áramlási protokollokat támogató kapcsolópár.

1. lépés: Telepítse a Flowmon Collector programot

A virtuális gépek VMware-en történő üzembe helyezése teljesen szabványos módon történik az OVF-sablonból. Ennek eredményeként egy CentOS-t futtató és használatra kész szoftverrel ellátott virtuális gépet kapunk. Az erőforrásigény humánus:

Már csak az alapvető inicializálást kell végrehajtani a paranccsal sysconfig:

Beállítjuk az IP-t a felügyeleti porton, a DNS-t, az időt, a gazdagépnevet és csatlakozhatunk a WEB interfészhez.

2. lépés: Licenc telepítése

Másfél hónapos próbalicencet generálnak és töltenek le a virtuális gép képével együtt. Töltve keresztül Konfigurációs központ -> Licenc. Ennek eredményeként a következőket látjuk:

Minden készen áll. Elkezdhet dolgozni.

3. lépés: A vevő beállítása a kollektoron

Ebben a szakaszban el kell döntenie, hogy a rendszer hogyan fogadja az adatokat a forrásokból. Mint korábban említettük, ez lehet az egyik áramlási protokoll vagy a kapcsoló SPAN portja.

Példánkban az adatfogadást protokollok segítségével fogjuk használni NetFlow v9 és IPFIX. Ebben az esetben a Kezelőfelület IP-címét adjuk meg célként - 192.168.78.198. Az eth2 és eth3 interfészek (figyelő interfész típussal) a kapcsoló SPAN portjáról érkező „nyers” forgalom másolatának fogadására szolgálnak. Mi engedtük át őket, nem a mi ügyünk.
Ezután ellenőrizzük azt a gyűjtőportot, ahová a forgalomnak mennie kell.

Esetünkben a gyűjtő az UDP/2055 porton figyeli a forgalmat.

4. lépés: Hálózati berendezés konfigurálása áramlási exportáláshoz

A NetFlow beállítása Cisco Systems berendezésen valószínűleg minden hálózati rendszergazda számára teljesen általános feladatnak mondható. Példánkban valami szokatlanabbat veszünk. Például a MikroTik RB2011UiAS-2HnD router. Igen, furcsa módon egy ilyen pénztárcabarát megoldás kis és otthoni irodák számára a NetFlow v5/v9 és IPFIX protokollokat is támogatja. A beállításokban állítsa be a célt (192.168.78.198 gyűjtőcím és 2055-ös port):

És adja hozzá az összes exportálható mérőszámot:

Ezen a ponton azt mondhatjuk, hogy az alapbeállítás kész. Ellenőrizzük, hogy belép-e forgalom a rendszerbe.

5. lépés: A hálózati teljesítményt figyelő és diagnosztikai modul tesztelése és működtetése

A szakaszban ellenőrizheti a forrásból érkező forgalom jelenlétét Flowmon Monitoring Center –> Források:

Látjuk, hogy adatok kerülnek a rendszerbe. Valamivel azután, hogy a gyűjtő felhalmozott forgalmat, a widgetek elkezdenek információkat megjeleníteni:

A rendszer a lefúrás elvén épül fel. Vagyis a felhasználó, amikor egy diagramon vagy grafikonon kiválaszt egy érdekes töredéket, „leesik” arra az adatmélységre, amelyre szüksége van:

Az egyes hálózati kapcsolatokról és csatlakozásokról szóló információkhoz:

6. lépés Anomália-észlelési biztonsági modul

Ez a modul talán az egyik legérdekesebbnek nevezhető, köszönhetően a hálózati forgalom anomáliáinak és a rosszindulatú hálózati tevékenységeknek az aláírásmentes módszereinek. De ez nem az IDS/IPS rendszerek analógja. A modullal való munka a „kiképzésével” kezdődik. Ehhez egy speciális varázsló megadja a hálózat összes kulcsfontosságú összetevőjét és szolgáltatását, beleértve a következőket:

• átjáró címek, DNS, DHCP és NTP szerverek,
• címzés felhasználói és szerver szegmensekben.

Ezt követően a rendszer edzés üzemmódba lép, ami átlagosan 2 héttől 1 hónapig tart. Ez idő alatt a rendszer a hálózatunkra jellemző alapforgalmat generál. Egyszerűen fogalmazva, a rendszer megtanulja:

• milyen viselkedés jellemző a hálózati csomópontokra?
• Mekkora adatmennyiség van jellemzően átvitelre, és ez normális a hálózat számára?
• Mi a jellemző működési idő a felhasználók számára?
• milyen alkalmazások futnak a hálózaton?
• és még sok más..

Ennek eredményeként olyan eszközt kapunk, amely azonosítja a hálózatunk esetleges anomáliáit és a tipikus viselkedéstől való eltéréseket. Íme néhány példa, amelyek észlelését a rendszer lehetővé teszi:

• olyan új rosszindulatú programok terjesztése a hálózaton, amelyeket a víruskereső aláírások nem észlelnek;
• DNS, ICMP vagy más alagutak építése és adatok továbbítása a tűzfal megkerülésével;
• egy új számítógép megjelenése a hálózaton DHCP- és/vagy DNS-kiszolgálóként.

Lássuk, hogy néz ki élőben. A rendszer betanítása és a hálózati forgalom alapvonalának felépítése után elkezdi észlelni az incidenseket:

A modul főoldala az azonosított eseményeket megjelenítő idővonal. Példánkban tiszta tüskét látunk, körülbelül 9 és 16 óra között. Válasszuk ki és nézzük meg részletesebben.

Jól látható a támadó rendellenes viselkedése a hálózaton. Minden azzal kezdődik, hogy a 192.168.3.225 címmel rendelkező gazdagép megkezdte a hálózat vízszintes vizsgálatát a 3389-es porton (Microsoft RDP szolgáltatás), és 14 potenciális „áldozatot” talált:

и

A következő rögzített incidens – a 192.168.3.225 gazdagép brute force támadást indít az RDP szolgáltatás (3389-es port) jelszavainak brute force támadása érdekében a korábban azonosított címeken:

A támadás eredményeként az egyik feltört gazdagépen SMTP anomáliát észlelnek. Más szóval, elkezdődött a SPAM:

Ez a példa jól szemlélteti a rendszer és különösen az Anomália-észlelési biztonsági modul képességeit. A hatékonyságot saját maga ítélje meg. Ezzel a megoldás funkcionális áttekintése zárul.

Következtetés

Foglaljuk össze, milyen következtetéseket vonhatunk le a Flowmonról:

• A Flowmon prémium megoldás vállalati ügyfelek számára;
• sokoldalúságának és kompatibilitásának köszönhetően az adatgyűjtés bármilyen forrásból elérhető: hálózati eszközökről (Cisco, Juniper, HPE, Huawei...) vagy saját szondákról (Flowmon Probe);
• A megoldás skálázhatósági lehetőségei lehetővé teszik a rendszer funkcionalitásának bővítését új modulok hozzáadásával, valamint a produktivitás növelését a licencelés rugalmas megközelítésének köszönhetően;
• az aláírásmentes elemzési technológiák használatával a rendszer lehetővé teszi a nulladik napi támadások észlelését még az antivírusok és IDS/IPS rendszerek számára is ismeretlenek;
• a teljes „átláthatóságnak” köszönhetően a rendszer telepítése és hálózaton való jelenléte tekintetében - a megoldás nem befolyásolja az informatikai infrastruktúra más csomópontjainak és összetevőinek működését;
• A Flowmon az egyetlen olyan megoldás a piacon, amely támogatja a forgalomfigyelést akár 100 Gbps sebességig;
• A Flowmon megoldás bármilyen méretű hálózathoz;
• a legjobb ár/funkcionalitás arány a hasonló megoldások között.

Ebben az áttekintésben a megoldás teljes funkcionalitásának kevesebb mint 10%-át vizsgáltuk. A következő cikkben a Flowmon Networks fennmaradó moduljairól fogunk beszélni. Az Application Performance Monitoring modul példaként való felhasználásával bemutatjuk, hogyan biztosíthatják az üzleti alkalmazások rendszergazdái az elérhetőséget egy adott SLA-szinten, valamint a lehető leggyorsabban diagnosztizálhatják a problémákat.

Továbbá szeretnénk meghívni Önt a Flowmon Networks szállító megoldásaival foglalkozó webináriumunkra (10.09.2019.). Előzetes regisztrációhoz kérjük itt regisztrálj.
Egyelőre ennyi, köszönöm az érdeklődést!

A felmérésben csak regisztrált felhasználók vehetnek részt. Bejelentkezés, kérem.

Netflow-t használ a hálózat figyelésére?

• Igen

• Nem, de tervezem

• Nincs

9 felhasználó szavazott. 3 felhasználó tartózkodott.

Forrás: will.com