Pemantauan jaringan dan deteksi aktivitas jaringan anomali menggunakan solusi Flowmon Networks

Baru-baru ini, Anda dapat menemukan banyak sekali materi tentang topik tersebut di Internet. analisis lalu lintas di perimeter jaringan. Pada saat yang sama, untuk beberapa alasan, semua orang benar-benar melupakannya analisis lalu lintas lokal, yang tidak kalah pentingnya. Artikel ini membahas topik ini dengan tepat. Misalnya Jaringan Flowmon kita akan mengingat Netflow lama yang bagus (dan alternatifnya), melihat kasus-kasus menarik, kemungkinan anomali dalam jaringan dan mencari tahu keuntungan dari solusi ketika seluruh jaringan bekerja sebagai satu sensor. Dan yang paling penting, Anda dapat melakukan analisis lalu lintas lokal secara gratis, dalam kerangka lisensi percobaan (45 hari). Jika topiknya menarik bagi Anda, selamat datang di cat. Jika Anda terlalu malas untuk membaca, maka ke depannya Anda bisa mendaftar webinar yang akan datang, tempat kami akan menunjukkan dan memberi tahu Anda segalanya (Anda juga dapat mempelajari tentang pelatihan produk mendatang di sana).

Apa itu Jaringan Flowmon?

Pertama-tama, Flowmon adalah vendor IT Eropa. Perusahaan tersebut berasal dari Ceko, dengan kantor pusat di Brno (masalah sanksi bahkan tidak diangkat). Dalam bentuknya yang sekarang, perusahaan ini telah ada di pasar sejak tahun 2007. Sebelumnya dikenal dengan merek Invea-Tech. Jadi, secara total, hampir 20 tahun dihabiskan untuk mengembangkan produk dan solusi.

Flowmon diposisikan sebagai merek kelas A. Mengembangkan solusi premium untuk pelanggan perusahaan dan diakui dalam kotak Gartner untuk Network Performance Monitoring and Diagnostics (NPMD). Selain itu, menariknya, dari semua perusahaan dalam laporan tersebut, Flowmon adalah satu-satunya vendor yang dicatat oleh Gartner sebagai produsen solusi untuk pemantauan jaringan dan perlindungan informasi (Network Behavior Analysis). Memang belum menempati posisi pertama, namun karena itu ia tidak berdiri seperti sayap Boeing.

Masalah apa yang dipecahkan oleh produk tersebut?

Secara global, kami dapat membedakan kumpulan tugas berikut yang diselesaikan oleh produk perusahaan:

1. meningkatkan stabilitas jaringan, serta sumber daya jaringan, dengan meminimalkan waktu henti dan tidak tersedianya;
2. meningkatkan tingkat kinerja jaringan secara keseluruhan;
3. meningkatkan efisiensi tenaga administrasi karena:
   • menggunakan alat pemantauan jaringan inovatif modern berdasarkan informasi tentang aliran IP;
   • memberikan analisis terperinci tentang fungsi dan keadaan jaringan - pengguna dan aplikasi yang berjalan di jaringan, data yang dikirimkan, sumber daya yang berinteraksi, layanan, dan node;
   • menanggapi insiden sebelum terjadi, dan bukan setelah pengguna dan klien kehilangan layanan;
   • mengurangi waktu dan sumber daya yang diperlukan untuk mengelola jaringan dan infrastruktur TI;
   • menyederhanakan tugas pemecahan masalah.
4. meningkatkan tingkat keamanan jaringan dan sumber daya informasi perusahaan, melalui penggunaan teknologi non-tanda tangan untuk mendeteksi aktivitas jaringan yang anomali dan berbahaya, serta “serangan zero-day”;
5. memastikan tingkat SLA yang diperlukan untuk aplikasi jaringan dan database.

Portofolio Produk Jaringan Flowmon

Sekarang mari kita lihat langsung portofolio produk Flowmon Networks dan cari tahu apa sebenarnya yang dilakukan perusahaan tersebut. Seperti yang sudah ditebak banyak orang dari namanya, spesialisasi utamanya adalah solusi pemantauan lalu lintas aliran streaming, ditambah sejumlah modul tambahan yang memperluas fungsionalitas dasar.

Faktanya, Flowmon bisa disebut sebagai perusahaan dengan satu produk, atau lebih tepatnya, satu solusi. Mari kita cari tahu apakah ini baik atau buruk.

Inti dari sistem ini adalah kolektor, yang bertanggung jawab mengumpulkan data menggunakan berbagai protokol aliran, seperti NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Sangat logis bahwa bagi perusahaan yang tidak berafiliasi dengan produsen peralatan jaringan mana pun, penting untuk menawarkan pasar produk universal yang tidak terikat pada satu standar atau protokol mana pun.

Kolektor Flowmon

Kolektor tersedia baik sebagai server perangkat keras dan sebagai mesin virtual (VMware, Hyper-V, KVM). Omong-omong, platform perangkat keras diimplementasikan pada server DELL yang disesuaikan, yang secara otomatis menghilangkan sebagian besar masalah garansi dan RMA. Satu-satunya komponen perangkat keras yang dipatenkan adalah kartu penangkap lalu lintas FPGA yang dikembangkan oleh anak perusahaan Flowmon, yang memungkinkan pemantauan dengan kecepatan hingga 100 Gbps.

Namun apa yang harus dilakukan jika peralatan jaringan yang ada tidak mampu menghasilkan aliran berkualitas tinggi? Atau apakah beban pada peralatan terlalu tinggi? Tidak masalah:

Masalah Flowmon

Dalam hal ini, Flowmon Networks menawarkan untuk menggunakan probenya sendiri (Flowmon Probe), yang terhubung ke jaringan melalui port SPAN pada switch atau menggunakan splitter TAP pasif.

Opsi implementasi SPAN (mirror port) dan TAP

Dalam hal ini, lalu lintas mentah yang tiba di Flowmon Probe diubah menjadi IPFIX diperluas yang berisi lebih banyak lagi 240 metrik dengan informasi. Sedangkan protokol NetFlow standar yang dihasilkan oleh peralatan jaringan berisi tidak lebih dari 80 metrik. Hal ini memungkinkan visibilitas protokol tidak hanya pada level 3 dan 4, tetapi juga pada level 7 menurut model ISO OSI. Hasilnya, administrator jaringan dapat memantau fungsi aplikasi dan protokol seperti email, HTTP, DNS, SMB...

Secara konseptual, arsitektur logis dari sistem terlihat seperti ini:

Bagian sentral dari keseluruhan “ekosistem” Jaringan Flowmon adalah Kolektor, yang menerima lalu lintas dari peralatan jaringan yang ada atau probe miliknya sendiri (Probe). Namun untuk solusi Perusahaan, menyediakan fungsionalitas hanya untuk memantau lalu lintas jaringan akan menjadi terlalu sederhana. Solusi Open Source juga dapat melakukan hal ini, meskipun tidak dengan kinerja seperti itu. Nilai Flowmon adalah modul tambahan yang memperluas fungsionalitas dasar:

• modul Keamanan Deteksi Anomali – identifikasi aktivitas jaringan yang anomali, termasuk serangan zero-day, berdasarkan analisis heuristik lalu lintas dan profil jaringan pada umumnya;
• modul Pemantauan Kinerja Aplikasi – memantau kinerja aplikasi jaringan tanpa menginstal “agen” dan mempengaruhi sistem target;
• modul Perekam Lalu Lintas – merekam fragmen lalu lintas jaringan berdasarkan seperangkat aturan yang telah ditentukan atau berdasarkan pemicu dari modul ADS, untuk pemecahan masalah lebih lanjut dan/atau penyelidikan insiden keamanan informasi;
• modul Perlindungan DDoS – perlindungan perimeter jaringan dari serangan penolakan layanan DoS/DDoS volumetrik, termasuk serangan terhadap aplikasi (OSI L3/L4/L7).

Pada artikel ini, kita akan melihat bagaimana semuanya bekerja secara langsung menggunakan contoh 2 modul - Pemantauan dan Diagnostik Kinerja Jaringan и Keamanan Deteksi Anomali.
Sumber data:

• Server Lenovo RS 140 dengan hypervisor VMware 6.0;
• Gambar mesin virtual Flowmon Collector yang Anda bisa Unduh disini;
• sepasang sakelar yang mendukung protokol aliran.

Langkah 1. Instal Kolektor Flowmon

Penerapan mesin virtual di VMware terjadi dengan cara yang sepenuhnya standar dari template OVF. Hasilnya, kami mendapatkan mesin virtual yang menjalankan CentOS dan perangkat lunak siap pakai. Persyaratan sumber daya bersifat manusiawi:

Yang tersisa hanyalah melakukan inisialisasi dasar menggunakan perintah konfigurasi sys:

Kami mengkonfigurasi IP pada port manajemen, DNS, waktu, Nama Host dan dapat terhubung ke antarmuka WEB.

Langkah 2. Instalasi lisensi

Lisensi uji coba selama satu setengah bulan dibuat dan diunduh bersama dengan image mesin virtual. Dimuat melalui Pusat Konfigurasi -> Lisensi. Hasilnya kita melihat:

Semuanya sudah siap. Anda bisa mulai bekerja.

Langkah 3. Menyiapkan penerima pada kolektor

Pada tahap ini, Anda perlu memutuskan bagaimana sistem akan menerima data dari sumber. Seperti yang kami katakan sebelumnya, ini bisa menjadi salah satu protokol aliran atau port SPAN pada switch.

Dalam contoh kita, kita akan menggunakan penerimaan data menggunakan protokol NetFlow v9 dan IPFIX. Dalam hal ini, kami menentukan alamat IP antarmuka Manajemen sebagai target - 192.168.78.198. Antarmuka eth2 dan eth3 (dengan tipe antarmuka Pemantauan) digunakan untuk menerima salinan lalu lintas "mentah" dari port SPAN sakelar. Kami membiarkan mereka lewat, bukan kasus kami.
Selanjutnya kita periksa port kolektor kemana lalu lintas harus pergi.

Dalam kasus kami, kolektor mendengarkan lalu lintas pada port UDP/2055.

Langkah 4. Mengonfigurasi peralatan jaringan untuk ekspor aliran

Menyiapkan NetFlow pada peralatan Cisco Systems mungkin dapat disebut sebagai tugas umum bagi administrator jaringan mana pun. Sebagai contoh, kita akan mengambil sesuatu yang lebih tidak biasa. Misalnya saja router MikroTik RB2011UiAS-2HnD. Ya, anehnya, solusi anggaran untuk kantor kecil dan rumahan juga mendukung protokol NetFlow v5/v9 dan IPFIX. Dalam pengaturan, tetapkan target (alamat kolektor 192.168.78.198 dan port 2055):

Dan tambahkan semua metrik yang tersedia untuk ekspor:

Pada titik ini kita dapat mengatakan bahwa pengaturan dasar telah selesai. Kami memeriksa apakah lalu lintas memasuki sistem.

Langkah 5: Menguji dan Mengoperasikan Modul Pemantauan dan Diagnostik Kinerja Jaringan

Anda dapat memeriksa keberadaan lalu lintas dari sumbernya di bagian tersebut Pusat Pemantauan Flowmon -> Sumber:

Kami melihat bahwa data memasuki sistem. Beberapa saat setelah pengumpul mengumpulkan lalu lintas, widget akan mulai menampilkan informasi:

Sistem ini dibangun berdasarkan prinsip penelusuran. Artinya, pengguna, ketika memilih bagian yang diinginkan pada diagram atau grafik, “jatuh” ke tingkat kedalaman data yang ia butuhkan:

Hingga informasi tentang setiap koneksi dan koneksi jaringan:

Langkah 6. Modul Keamanan Deteksi Anomali

Modul ini mungkin bisa disebut salah satu yang paling menarik, berkat penggunaan metode bebas tanda tangan untuk mendeteksi anomali dalam lalu lintas jaringan dan aktivitas jaringan berbahaya. Tapi ini bukan analog dari sistem IDS/IPS. Bekerja dengan modul dimulai dengan “pelatihan”. Untuk melakukan ini, wizard khusus menentukan semua komponen dan layanan utama jaringan, termasuk:

• alamat gateway, server DNS, DHCP dan NTP,
• pengalamatan di segmen pengguna dan server.

Setelah ini, sistem masuk ke mode pelatihan, yang berlangsung rata-rata dari 2 minggu hingga 1 bulan. Selama waktu ini, sistem menghasilkan lalu lintas dasar yang khusus untuk jaringan kami. Sederhananya, sistem mempelajari:

• perilaku apa yang khas untuk node jaringan?
• Berapa volume data yang biasanya ditransfer dan normal untuk jaringan?
• Berapa waktu pengoperasian umum bagi pengguna?
• aplikasi apa yang berjalan di jaringan?
• dan banyak lagi..

Hasilnya, kami mendapatkan alat yang mengidentifikasi anomali apa pun di jaringan kami dan penyimpangan dari perilaku biasa. Berikut adalah beberapa contoh yang dapat dideteksi oleh sistem:

• penyebaran malware baru di jaringan yang tidak terdeteksi oleh tanda tangan antivirus;
• membangun DNS, ICMP atau terowongan lainnya dan mengirimkan data melewati firewall;
• munculnya komputer baru di jaringan yang menyamar sebagai server DHCP dan/atau DNS.

Mari kita lihat seperti apa secara langsung. Setelah sistem Anda dilatih dan membangun garis dasar lalu lintas jaringan, sistem mulai mendeteksi insiden:

Halaman utama modul adalah garis waktu yang menampilkan insiden yang teridentifikasi. Dalam contoh kita, kita melihat lonjakan yang jelas, kira-kira antara 9 dan 16 jam. Mari kita pilih dan lihat lebih detail.

Perilaku anomali penyerang di jaringan terlihat jelas. Semuanya dimulai dengan fakta bahwa host dengan alamat 192.168.3.225 memulai pemindaian horizontal jaringan pada port 3389 (layanan Microsoft RDP) dan menemukan 14 calon “korban”:

и

Insiden yang tercatat berikut ini - host 192.168.3.225 memulai serangan brute force terhadap kata sandi brute force pada layanan RDP (port 3389) di alamat yang diidentifikasi sebelumnya:

Akibat serangan tersebut, anomali SMTP terdeteksi pada salah satu host yang diretas. Dengan kata lain, SPAM telah dimulai:

Contoh ini adalah demonstrasi yang jelas tentang kemampuan sistem dan khususnya modul Keamanan Deteksi Anomali. Nilai sendiri keefektifannya. Ini menyimpulkan gambaran fungsional dari solusi tersebut.

Kesimpulan

Mari kita rangkum kesimpulan apa yang dapat kita ambil tentang Flowmon:

• Flowmon adalah solusi premium untuk pelanggan korporat;
• berkat keserbagunaan dan kompatibilitasnya, pengumpulan data tersedia dari sumber mana pun: peralatan jaringan (Cisco, Juniper, HPE, Huawei...) atau probe Anda sendiri (Flowmon Probe);
• Kemampuan skalabilitas solusi memungkinkan Anda memperluas fungsionalitas sistem dengan menambahkan modul baru, serta meningkatkan produktivitas berkat pendekatan lisensi yang fleksibel;
• melalui penggunaan teknologi analisis bebas tanda tangan, sistem ini memungkinkan Anda mendeteksi serangan zero-day bahkan yang tidak diketahui oleh antivirus dan sistem IDS/IPS;
• berkat “transparansi” lengkap dalam hal instalasi dan keberadaan sistem di jaringan - solusinya tidak mempengaruhi pengoperasian node dan komponen lain dari infrastruktur TI Anda;
• Flowmon adalah satu-satunya solusi di pasar yang mendukung pemantauan lalu lintas dengan kecepatan hingga 100 Gbps;
• Flowmon adalah solusi untuk jaringan skala apa pun;
• rasio harga/fungsi terbaik di antara solusi serupa.

Dalam ulasan ini, kami memeriksa kurang dari 10% dari total fungsionalitas solusi. Pada artikel selanjutnya kita akan membahas tentang modul Flowmon Networks yang tersisa. Dengan menggunakan modul Pemantauan Kinerja Aplikasi sebagai contoh, kami akan menunjukkan bagaimana administrator aplikasi bisnis dapat memastikan ketersediaan pada tingkat SLA tertentu, serta mendiagnosis masalah secepat mungkin.

Selain itu, kami ingin mengundang Anda ke webinar kami (10.09.2019/XNUMX/XNUMX) yang didedikasikan untuk solusi vendor Flowmon Networks. Untuk pra-registrasi, kami meminta Anda Daftar disini.
Itu saja untuk saat ini, terima kasih atas minat Anda!

Hanya pengguna terdaftar yang dapat berpartisipasi dalam survei. Masuk, silakan.

Apakah Anda menggunakan Netflow untuk pemantauan jaringan?

• Ya

• Tidak, tapi aku berencana melakukannya

• Tidak

9 pengguna memilih. 3 pengguna abstain.

Sumber: www.habr.com