Վերջերս համացանցում կարող եք գտնել հսկայական քանակությամբ նյութեր թեմայի վերաբերյալ: երթևեկության վերլուծություն ցանցի պարագծում. Միևնույն ժամանակ, չգիտես ինչու, բոլորը ամբողջովին մոռացել էին դրա մասին տեղական երթևեկության վերլուծություն, ինչը պակաս կարևոր չէ։ Այս հոդվածը վերաբերում է հենց այս թեմային: Օրինակ մենք կհիշենք հին լավ Netflow-ը (և դրա այլընտրանքները), կնայենք հետաքրքիր դեպքեր, ցանցում հնարավոր անոմալիաներ և կպարզենք լուծման առավելությունները, երբ ամբողջ ցանցը աշխատում է որպես մեկ սենսոր. Եվ ամենակարևորը, դուք կարող եք տեղական տրաֆիկի նման վերլուծություն կատարել բոլորովին անվճար՝ փորձնական լիցենզիայի շրջանակներում (45 օր) Եթե թեման ձեզ հետաքրքիր է, համեցեք կատու: Եթե դուք չափազանց ծույլ եք կարդալ, ապա, նայելով առաջ, կարող եք գրանցվել , որտեղ մենք ցույց կտանք և կպատմենք ձեզ ամեն ինչ (այնտեղ կարող եք նաև ծանոթանալ արտադրանքի առաջիկա վերապատրաստման մասին)։
Ի՞նչ է Flowmon Networks-ը:
Նախ, Flowmon-ը եվրոպական ՏՏ վաճառող է: Ընկերությունը չեխական է, շտաբ-բնակարանը Բռնոյում է (պատժամիջոցների հարցը նույնիսկ չի բարձրացվում)։ Իր ներկայիս տեսքով ընկերությունը շուկայում է 2007 թվականից։ Նախկինում այն հայտնի էր Invea-Tech ապրանքանիշով։ Այսպիսով, ընդհանուր առմամբ, գրեթե 20 տարի ծախսվել է արտադրանքի և լուծումների մշակման վրա։
Flowmon-ը դիրքավորվում է որպես A դասի ապրանքանիշ: Մշակում է պրեմիում լուծումներ ձեռնարկության հաճախորդների համար և նշվում է Gartner հրապարակներում Ցանցի կատարողականի մոնիտորինգ և ախտորոշում (NPMD) տարածքում: Ավելին, հետաքրքիր է, որ զեկույցում ընդգրկված բոլոր ընկերություններից Flowmon-ը միակ վաճառողն է, որը Gartner-ը նշել է որպես լուծումների արտադրող ինչպես ցանցի մոնիտորինգի, այնպես էլ տեղեկատվության պաշտպանության համար (Ցանցային վարքագծի վերլուծություն): Այն դեռ չի զբաղեցնում առաջին տեղը, բայց դրա շնորհիվ այն նման չէ Boeing թևին:
Ի՞նչ խնդիրներ է լուծում արտադրանքը:
Համաշխարհային մասշտաբով մենք կարող ենք առանձնացնել ընկերության արտադրանքի կողմից լուծված խնդիրների հետևյալ խումբը.
- բարձրացնելով ցանցի կայունությունը, ինչպես նաև ցանցային ռեսուրսները՝ նվազագույնի հասցնելով դրանց պարապուրդը և անհասանելիությունը.
- ցանցի աշխատանքի ընդհանուր մակարդակի բարձրացում;
- Բարձրացնելով վարչական անձնակազմի արդյունավետությունը՝
- ցանցի մոնիտորինգի ժամանակակից նորարարական գործիքների օգտագործում՝ հիմնված IP հոսքերի մասին տեղեկատվության վրա.
- ցանցի գործունեության և վիճակի վերաբերյալ մանրամասն վերլուծությունների տրամադրում. ցանցում աշխատող օգտվողներ և հավելվածներ, փոխանցված տվյալներ, փոխազդող ռեսուրսներ, ծառայություններ և հանգույցներ.
- արձագանքել միջադեպերին նախքան դրանք տեղի ունենալը, և ոչ այն բանից հետո, երբ օգտվողներն ու հաճախորդները կորցնեն ծառայությունը.
- նվազեցնելով ցանցը և ՏՏ ենթակառուցվածքը կառավարելու համար պահանջվող ժամանակը և ռեսուրսները.
- անսարքությունների վերացման առաջադրանքների պարզեցում:
- ձեռնարկության ցանցի և տեղեկատվական ռեսուրսների անվտանգության մակարդակի բարձրացում՝ անկանոն և չարամիտ ցանցային գործունեությունը, ինչպես նաև «զրոյական օրվա հարձակումները» հայտնաբերելու համար ոչ ստորագրված տեխնոլոգիաների կիրառմամբ.
- ցանցային հավելվածների և տվյալների բազաների համար SLA-ի անհրաժեշտ մակարդակի ապահովում:
Flowmon Networks-ի արտադրանքի պորտֆոլիո
Այժմ եկեք ուղղակիորեն նայենք Flowmon Networks-ի արտադրանքի պորտֆելին և պարզենք, թե կոնկրետ ինչ է անում ընկերությունը: Ինչպես շատերն արդեն կռահել են անունից, հիմնական մասնագիտացումը հոսքային հոսքի երթևեկության մոնիտորինգի լուծումներն են, գումարած մի շարք լրացուցիչ մոդուլներ, որոնք ընդլայնում են հիմնական գործառույթը:
Փաստորեն, Flowmon-ին կարելի է անվանել մեկ ապրանքի, ավելի ճիշտ՝ մեկ լուծման ընկերություն։ Եկեք պարզենք՝ սա լավ է, թե վատ:
Համակարգի առանցքը կոլեկտորն է, որը պատասխանատու է տարբեր հոսքային արձանագրությունների միջոցով տվյալների հավաքագրման համար, ինչպիսիք են. NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Միանգամայն տրամաբանական է, որ ցանցային սարքավորումներ արտադրող որևէ ընկերության հետ կապ չունեցող ընկերության համար կարևոր է շուկային առաջարկել ունիվերսալ արտադրանք, որը կապված չէ որևէ ստանդարտի կամ արձանագրության հետ:
Flowmon կոլեկցիոներ
Կոլեկցիոները հասանելի է և՛ որպես ապարատային սերվեր, և՛ որպես վիրտուալ մեքենա (VMware, Hyper-V, KVM): Ի դեպ, ապարատային հարթակը ներդրված է հարմարեցված DELL սերվերների վրա, ինչը ավտոմատ կերպով վերացնում է երաշխիքի և RMA-ի հետ կապված խնդիրների մեծ մասը։ Միակ գույքային ապարատային բաղադրիչները FPGA երթևեկության գրավման քարտերն են, որոնք մշակվել են Flowmon-ի դուստր ձեռնարկության կողմից, որոնք թույլ են տալիս մոնիտորինգ կատարել մինչև 100 Գբիտ/վ արագությամբ:
Բայց ի՞նչ անել, եթե առկա ցանցային սարքավորումները չեն կարողանում բարձրորակ հոսք առաջացնել: Թե՞ սարքավորումների ծանրաբեռնվածությունը չափազանց մեծ է: Ոչ մի խնդիր:
Flowmon Prob
Այս դեպքում Flowmon Networks-ն առաջարկում է օգտագործել իր սեփական զոնդերը (Flowmon Probe), որոնք միացված են ցանցին անջատիչի SPAN պորտի միջոցով կամ պասիվ TAP բաժանարարների միջոցով։
SPAN (հայելային նավահանգիստ) և TAP-ի իրականացման տարբերակներ
Այս դեպքում Flowmon Probe-ին հասնող չմշակված տրաֆիկը վերածվում է ընդլայնված IPFIX-ի, որը պարունակում է ավելին 240 չափումներ տեղեկատվության հետ. Մինչդեռ ցանցային սարքավորումների կողմից ստեղծված ստանդարտ NetFlow արձանագրությունը պարունակում է ոչ ավելի, քան 80 չափումներ: Սա թույլ է տալիս արձանագրության տեսանելիությունը ոչ միայն 3-րդ և 4-րդ մակարդակներում, այլ նաև 7-րդ մակարդակում՝ ըստ ISO OSI մոդելի: Արդյունքում ցանցի ադմինիստրատորները կարող են վերահսկել հավելվածների և արձանագրությունների աշխատանքը, ինչպիսիք են էլ. փոստը, HTTP, DNS, SMB...
Հայեցակարգային առումով, համակարգի տրամաբանական ճարտարապետությունը հետևյալն է.
Flowmon Networks-ի ամբողջ «էկոհամակարգի» կենտրոնական մասը կոլեկցիոներն է, որն ընդունում է երթևեկությունը գոյություն ունեցող ցանցային սարքավորումներից կամ իր սեփական զոնդերից (Probe): Սակայն Enterprise-ի լուծման համար ֆունկցիոնալություն ապահովելը միայն ցանցային երթևեկության մոնիտորինգի համար չափազանց պարզ կլիներ: Բաց կոդով լուծումները նույնպես կարող են դա անել, թեև ոչ նման կատարողականությամբ: Flowmon-ի արժեքը լրացուցիչ մոդուլներ են, որոնք ընդլայնում են հիմնական ֆունկցիոնալությունը.
- մոդուլը Անոմալիաների հայտնաբերման անվտանգություն – ցանցի անոմալ գործունեության նույնականացում, ներառյալ զրոյական օրվա հարձակումները՝ հիմնված տրաֆիկի էվրիստիկական վերլուծության և տիպիկ ցանցային պրոֆիլի վրա.
- մոդուլը Դիմումների կատարման մոնիտորինգ – ցանցային հավելվածների աշխատանքի մոնիտորինգ՝ առանց «գործակալների» տեղադրման և թիրախային համակարգերի վրա ազդելու.
- մոդուլը Երթևեկության ձայնագրիչ – ցանցային տրաֆիկի բեկորների գրանցում` ըստ նախապես սահմանված կանոնների կամ ADS մոդուլի ձգանման, տեղեկատվական անվտանգության միջադեպերի հետագա անսարքությունների վերացման և/կամ հետաքննության համար.
- մոդուլը DDoS պաշտպանություն – ցանցի պարագծի պաշտպանությունը ծառայությունների ծավալային DoS/DDoS մերժման հարձակումներից, ներառյալ հավելվածների վրա հարձակումները (OSI L3/L4/L7):
Այս հոդվածում մենք կնայենք, թե ինչպես է ամեն ինչ աշխատում ուղիղ եթերում, օգտագործելով 2 մոդուլի օրինակ. Ցանցի աշխատանքի մոնիտորինգ և ախտորոշում и Անոմալիաների հայտնաբերման անվտանգություն.
Նախնական տվյալներ.
- Lenovo RS 140 սերվեր VMware 6.0 հիպերվիզորով;
- Flowmon Collector վիրտուալ մեքենայի պատկերը, որը կարող եք ;
- մի զույգ անջատիչներ, որոնք աջակցում են հոսքի արձանագրություններին:
Քայլ 1. Տեղադրեք Flowmon Collector-ը
Վիրտուալ մեքենայի տեղակայումը VMware-ում տեղի է ունենում OVF ձևանմուշից լիովին ստանդարտ ձևով: Արդյունքում մենք ստանում ենք CentOS-ով աշխատող վիրտուալ մեքենա և պատրաստի ծրագրային ապահովում: Ռեսուրսների պահանջները մարդկային են.
Մնում է միայն կատարել հիմնական սկզբնավորումը՝ օգտագործելով հրամանը sysconfig:
Մենք կարգավորում ենք IP-ն կառավարման պորտի, DNS-ի, ժամանակի, հյուրընկալողի անվան վրա և կարող ենք միանալ WEB ինտերֆեյսին:
Քայլ 2. Լիցենզիայի տեղադրում
Վիրտուալ մեքենայի պատկերի հետ մեկտեղ ստեղծվում և ներբեռնվում է մեկուկես ամսվա փորձնական լիցենզիա: Բեռնված միջոցով Կազմաձևման կենտրոն -> Լիցենզիա. Արդյունքում մենք տեսնում ենք.
Ամեն ինչ պատրաստ է։ Դուք կարող եք սկսել աշխատել:
Քայլ 3. Ստացողի տեղադրում կոլեկտորի վրա
Այս փուլում դուք պետք է որոշեք, թե ինչպես համակարգը կստանա տվյալներ աղբյուրներից: Ինչպես արդեն ասացինք, սա կարող է լինել հոսքի արձանագրություններից մեկը կամ անջատիչի SPAN պորտը:
Մեր օրինակում մենք կօգտագործենք տվյալների ընդունում՝ օգտագործելով արձանագրություններ NetFlow v9 և IPFIX. Այս դեպքում մենք որպես թիրախ նշում ենք կառավարման միջերեսի IP հասցեն. 192.168.78.198. Ինտերֆեյսները eth2 և eth3 (Monitoring ինտերֆեյսի տիպով) օգտագործվում են անջատիչի SPAN պորտից «հում» տրաֆիկի պատճեն ստանալու համար: Մենք բաց թողեցինք նրանց, ոչ թե մեր գործը:
Հաջորդը, մենք ստուգում ենք կոլեկտորային նավահանգիստը, որտեղ պետք է գնա երթևեկությունը:
Մեր դեպքում կոլեկցիոները լսում է UDP/2055 նավահանգստի երթևեկությունը:
Քայլ 4. Ցանցային սարքավորումների կարգավորում հոսքի արտահանման համար
Cisco Systems-ի սարքավորումների վրա NetFlow-ի կարգավորումը, հավանաբար, կարելի է անվանել բոլորովին սովորական խնդիր ցանցի ցանկացած ադմինիստրատորի համար: Մեր օրինակի համար մենք կվերցնենք ավելի անսովոր բան: Օրինակ, MikroTik RB2011UiAS-2HnD երթուղիչը: Այո, տարօրինակ կերպով, փոքր և տնային գրասենյակների համար նման բյուջետային լուծումն աջակցում է նաև NetFlow v5/v9 և IPFIX արձանագրություններին: Պարամետրերում սահմանեք թիրախը (հավաքողի հասցե 192.168.78.198 և նավահանգիստ 2055):
Եվ ավելացրեք արտահանման համար հասանելի բոլոր ցուցանիշները.
Այս պահին կարող ենք ասել, որ հիմնական կարգավորումն ավարտված է: Մենք ստուգում ենք՝ արդյոք երթևեկությունը մտնում է համակարգ։
Քայլ 5. Ցանցի աշխատանքի մոնիտորինգի և ախտորոշման մոդուլի փորձարկում և շահագործում
Դուք կարող եք ստուգել տրաֆիկի առկայությունը բաժնում աղբյուրից Flowmon Monitoring Center –> Աղբյուրներ:
Մենք տեսնում ենք, որ տվյալներ են մտնում համակարգ։ Կոլեկցիոների կողմից տրաֆիկ կուտակելուց որոշ ժամանակ անց վիջեթները կսկսեն ցուցադրել տեղեկատվություն.
Համակարգը կառուցված է հորատման սկզբունքով: Այսինքն, օգտվողը, երբ ընտրում է գծապատկերի կամ գրաֆիկի վրա հետաքրքրող հատված, «ընկնում է» իրեն անհրաժեշտ տվյալների խորության մակարդակին.
Յուրաքանչյուր ցանցային կապի և կապի մասին տեղեկություններ.
Քայլ 6. Անոմալիաների հայտնաբերման անվտանգության մոդուլ
Այս մոդուլը կարելի է անվանել թերևս ամենահետաքրքիրներից մեկը՝ շնորհիվ ցանցային տրաֆիկի անոմալիաների և ցանցի վնասակար գործունեության հայտնաբերման առանց ստորագրության մեթոդների: Բայց սա IDS/IPS համակարգերի անալոգը չէ: Մոդուլի հետ աշխատանքը սկսվում է նրա «թրեյնինգից»: Դա անելու համար հատուկ հրաշագործը նշում է ցանցի բոլոր հիմնական բաղադրիչները և ծառայությունները, ներառյալ.
- gateway հասցեներ, DNS, DHCP և NTP սերվերներ,
- հասցեավորում օգտատերերի և սերվերի հատվածներում:
Դրանից հետո համակարգը անցնում է մարզման ռեժիմի, որը տևում է միջինը 2 շաբաթից մինչև 1 ամիս։ Այս ընթացքում համակարգը ստեղծում է ելակետային տրաֆիկ, որը հատուկ է մեր ցանցին: Պարզ ասած, համակարգը սովորում է.
- ինչ վարքագիծ է բնորոշ ցանցային հանգույցներին:
- Տվյալների ի՞նչ ծավալներ են սովորաբար փոխանցվում և նորմալ են ցանցի համար:
- Ո՞րն է սովորական գործառնական ժամանակը օգտագործողների համար:
- ինչ հավելվածներ են աշխատում ցանցում:
- և շատ ավելին..
Արդյունքում մենք ստանում ենք գործիք, որը բացահայտում է մեր ցանցի ցանկացած անոմալիա և բնորոշ վարքագծի շեղումները: Ահա մի քանի օրինակներ, որոնք համակարգը թույլ է տալիս հայտնաբերել.
- ցանցում նոր չարամիտ ծրագրերի բաշխում, որը չի հայտնաբերվում հակավիրուսային ստորագրություններով.
- DNS, ICMP կամ այլ թունելների կառուցում և տվյալների փոխանցում՝ շրջանցելով firewall-ը.
- ցանցում նոր համակարգչի հայտնվելը, որը ներկայանում է որպես DHCP և/կամ DNS սերվեր:
Տեսնենք, թե ինչ տեսք ունի այն ուղիղ եթերում: Այն բանից հետո, երբ ձեր համակարգը վերապատրաստվել է և կառուցել ցանցային տրաֆիկի բազային գիծ, այն սկսում է հայտնաբերել միջադեպերը.
Մոդուլի հիմնական էջը ժամանակացույց է, որը ցուցադրում է հայտնաբերված միջադեպերը: Մեր օրինակում մենք տեսնում ենք հստակ ցատկ, մոտավորապես 9-ից 16 ժամ տևողությամբ: Եկեք ընտրենք այն և նայենք ավելի մանրամասն:
Ցանցում հարձակվողի անոմալ պահվածքը հստակ տեսանելի է։ Ամեն ինչ սկսվում է նրանից, որ 192.168.3.225 հասցեով հյուրընկալողը սկսել է ցանցի հորիզոնական սկանավորում 3389 նավահանգստում (Microsoft RDP ծառայություն) և հայտնաբերել 14 պոտենցիալ «զոհեր».
и
Հետևյալ գրանցված միջադեպը. հյուրընկալող 192.168.3.225-ը սկսում է կոպիտ ուժային հարձակում RDP ծառայության վրա (պորտ 3389) նախկինում նշված հասցեներում կոպիտ ուժի գաղտնաբառերի համար.
Հարձակման արդյունքում կոտրված հոսթներից մեկի վրա հայտնաբերվում է SMTP անոմալիա։ Այլ կերպ ասած, SPAM-ը սկսվել է.
Այս օրինակը հստակ ցուցադրում է համակարգի և մասնավորապես Անոմալիաների հայտնաբերման անվտանգության մոդուլի հնարավորությունները: Արդյունավետությունը գնահատեք ինքներդ։ Սա եզրափակում է լուծման ֆունկցիոնալ ակնարկը:
Ամփոփում
Եկեք ամփոփենք, թե ինչ եզրակացություններ կարող ենք անել Flowmon-ի մասին.
- Flowmon-ը պրեմիում լուծում է կորպորատիվ հաճախորդների համար.
- իր բազմակողմանիության և համատեղելիության շնորհիվ տվյալների հավաքագրումը հասանելի է ցանկացած աղբյուրից՝ ցանցային սարքավորումներից (Cisco, Juniper, HPE, Huawei...) կամ ձեր սեփական զոնդերից (Flowmon Probe);
- Լուծման ընդլայնելիության հնարավորությունները թույլ են տալիս ընդլայնել համակարգի ֆունկցիոնալությունը՝ ավելացնելով նոր մոդուլներ, ինչպես նաև բարձրացնել արտադրողականությունը՝ լիցենզավորման ճկուն մոտեցման շնորհիվ.
- առանց ստորագրության վերլուծության տեխնոլոգիաների կիրառման միջոցով համակարգը թույլ է տալիս հայտնաբերել զրոյական օրվա հարձակումներ նույնիսկ անհայտ հակավիրուսային և IDS/IPS համակարգերին.
- շնորհիվ ամբողջական «թափանցիկության»՝ համակարգի տեղադրման և ցանցում առկայության առումով, լուծումը չի ազդում ձեր ՏՏ ենթակառուցվածքի այլ հանգույցների և բաղադրիչների վրա.
- Flowmon-ը միակ լուծումն է շուկայում, որն աջակցում է երթևեկության մոնիտորինգին մինչև 100 Գբիտ/վ արագությամբ;
- Flowmon-ը լուծում է ցանկացած մասշտաբի ցանցերի համար.
- լավագույն գին/ֆունկցիոնալ հարաբերակցությունը նմանատիպ լուծումների միջև:
Այս վերանայում մենք ուսումնասիրեցինք լուծման ընդհանուր ֆունկցիոնալության 10%-ից պակասը: Հաջորդ հոդվածում մենք կխոսենք Flowmon Networks-ի մնացած մոդուլների մասին։ Օգտագործելով Application Performance Monitoring մոդուլը որպես օրինակ՝ մենք ցույց կտանք, թե ինչպես բիզնես հավելվածի ադմինիստրատորները կարող են ապահովել հասանելիությունը տվյալ SLA մակարդակում, ինչպես նաև հնարավորինս արագ ախտորոշել խնդիրները:
Նաև ցանկանում ենք հրավիրել ձեզ մեր վեբինարին (10.09.2019/XNUMX/XNUMX), որը նվիրված է Flowmon Networks վաճառողի լուծումներին: Նախապես գրանցվելու համար խնդրում ենք .
Առայժմ այսքանն է, շնորհակալություն հետաքրքրության համար:
Հարցմանը կարող են մասնակցել միայն գրանցված օգտվողները։ , խնդրում եմ:
Դուք օգտագործում եք Netflow ցանցի մոնիտորինգի համար:
-
Այո
-
Ոչ, բայց ես նախատեսում եմ
-
Ոչ
Քվեարկել է 9 օգտատեր։ 3 օգտատեր ձեռնպահ է մնացել։
Source: www.habr.com