Nýlega er hægt að finna mikið magn af efni um efnið á netinu. umferðargreiningu við netjaðar. Á sama tíma gleymdu allir af einhverjum ástæðum alveg staðbundin umferðargreining, sem er ekki síður mikilvægt. Þessi grein fjallar einmitt um þetta efni. Til dæmis við munum muna gamla góða Netflow (og valkosti þess), skoða áhugaverð tilvik, möguleg frávik í netkerfinu og finna út kosti lausnarinnar þegar allt netið virkar sem einn skynjari. Og síðast en ekki síst, þú getur framkvæmt slíka greiningu á staðbundinni umferð alveg ókeypis, innan ramma prufuleyfis (45 daga). Ef efnið er áhugavert fyrir þig, velkomið að kötta. Ef þú ert of latur til að lesa, þá geturðu, þegar þú horfir fram á veginn, skráð þig í , þar sem við munum sýna og segja þér allt (þar geturðu líka lært um væntanlega vöruþjálfun).
Hvað er Flowmon Networks?
Í fyrsta lagi er Flowmon evrópskur upplýsingatæknisali. Fyrirtækið er tékkneskt, með höfuðstöðvar í Brno (málið um refsiaðgerðir er ekki einu sinni tekið upp). Í núverandi mynd hefur fyrirtækið verið á markaði síðan 2007. Áður var það þekkt undir Invea-Tech vörumerkinu. Þannig að samtals fóru tæp 20 ár í að þróa vörur og lausnir.
Flowmon er staðsett sem A-flokks vörumerki. Þróar úrvalslausnir fyrir fyrirtækjaviðskiptavini og er viðurkennt í Gartner kössunum fyrir netafkastaeftirlit og greiningu (NPMD). Þar að auki, athyglisvert, af öllum fyrirtækjum í skýrslunni er Flowmon eini söluaðilinn sem Gartner hefur nefnt sem framleiðandi lausna fyrir bæði netvöktun og upplýsingavernd (Network Behaviour Analysis). Það tekur ekki fyrsta sætið ennþá, en vegna þessa stendur það ekki eins og Boeing væng.
Hvaða vandamál leysir varan?
Á heimsvísu getum við greint eftirfarandi hóp verkefna sem vörur fyrirtækisins leysa:
- auka stöðugleika netsins, sem og netauðæfa, með því að lágmarka niðurtíma þeirra og óaðgengi;
- auka heildarstig netafkasta;
- auka skilvirkni stjórnunarstarfsmanna vegna:
- nota nýstárleg netvöktunartæki byggð á upplýsingum um IP flæði;
- veita nákvæmar greiningar um virkni og ástand netkerfisins - notendur og forrit sem keyra á netinu, send gögn, víxlverkandi auðlindir, þjónustur og hnútar;
- bregðast við atvikum áður en þau gerast, en ekki eftir að notendur og viðskiptavinir missa þjónustu;
- draga úr tíma og fjármagni sem þarf til að stjórna netkerfinu og upplýsingatækniinnviðum;
- einfaldar úrræðaleit.
- auka öryggi netkerfisins og upplýsingaauðlinda fyrirtækisins með því að nota óundirskriftartækni til að greina óvenjulega og illgjarna netvirkni, svo og „núlldagsárásir“;
- tryggja tilskilið stig SLA fyrir netforrit og gagnagrunna.
Flowmon Networks vörusafn
Nú skulum við skoða Flowmon Networks vörusafnið beint og komast að því hvað fyrirtækið gerir nákvæmlega. Eins og margir hafa þegar giskað á út frá nafninu er aðal sérhæfingin í lausnum fyrir straumflæði umferðarvöktunar, auk fjölda viðbótareininga sem auka grunnvirknina.
Í raun er hægt að kalla Flowmon fyrirtæki með eina vöru, eða öllu heldur eina lausn. Við skulum reikna út hvort þetta sé gott eða slæmt.
Kjarni kerfisins er safnarinn sem sér um að safna gögnum með ýmsum flæðisreglum s.s. NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Það er alveg rökrétt að fyrir fyrirtæki sem ekki tengist neinum netbúnaðarframleiðanda er mikilvægt að bjóða markaðnum upp á alhliða vöru sem er ekki bundin við neinn einn staðal eða samskiptareglur.
Flowmon safnari
Safnarinn er fáanlegur bæði sem vélbúnaðarþjónn og sem sýndarvél (VMware, Hyper-V, KVM). Við the vegur, vélbúnaðarvettvangurinn er útfærður á sérsniðnum DELL netþjónum, sem útilokar sjálfkrafa flest vandamál með ábyrgð og RMA. Einu sértæku vélbúnaðaríhlutirnir eru FPGA umferðarfangakort þróuð af dótturfyrirtæki Flowmon, sem leyfa vöktun á allt að 100 Gbps hraða.
En hvað á að gera ef núverandi netbúnaður er ekki fær um að búa til hágæða flæði? Eða er álagið á búnaðinn of mikið? Ekkert mál:
Flowmon Prob
Í þessu tilviki býður Flowmon Networks að nota eigin rannsaka (Flowmon Probe), sem eru tengdir við netið í gegnum SPAN tengið á rofanum eða með því að nota óvirka TAP splittera.
SPAN (spegilport) og TAP útfærslumöguleikar
Í þessu tilviki er óunnin umferð sem kemur að Flowmon rannsakanda breytt í stækkað IPFIX sem inniheldur meira 240 mælingar með upplýsingum. Þó að staðlaðar NetFlow samskiptareglur sem myndast af netbúnaði innihaldi ekki meira en 80 mæligildi. Þetta gerir sýnileika samskiptareglur ekki aðeins á stigi 3 og 4, heldur einnig á stigi 7 samkvæmt ISO OSI líkaninu. Fyrir vikið geta netkerfisstjórar fylgst með virkni forrita og samskiptareglna eins og tölvupósts, HTTP, DNS, SMB...
Hugmyndalega lítur rökréttur arkitektúr kerfisins svona út:
Miðhluti alls Flowmon Networks „vistkerfisins“ er safnarinn, sem tekur á móti umferð frá núverandi netbúnaði eða eigin könnunum (Probe). En fyrir Enterprise lausn væri of einfalt að bjóða upp á virkni eingöngu til að fylgjast með netumferð. Open Source lausnir geta líka gert þetta, þó ekki með slíkum frammistöðu. Gildi Flowmon eru viðbótareiningar sem auka grunnvirkni:
- mát Öryggi uppgötvunar frávika – auðkenning á afbrigðilegri netvirkni, þar með talið núlldagaárásum, byggt á heuristic greiningu á umferð og dæmigerðu netsniði;
- mát Árangurseftirlit umsóknar – fylgjast með frammistöðu netforrita án þess að setja upp „umboðsmenn“ og hafa áhrif á markkerfi;
- mát Umferðarritari – að skrá brot af netumferð í samræmi við fyrirfram skilgreindar reglur eða samkvæmt kveikju frá ADS einingunni, til frekari bilanaleitar og/eða rannsókna á upplýsingaöryggisatvikum;
- mát DDoS Protection – verndun netjaðarins gegn rúmmálsárásum á DoS/DDoS afneitun á þjónustu, þar með talið árásum á forrit (OSI L3/L4/L7).
Í þessari grein munum við skoða hvernig allt virkar í beinni með því að nota dæmið um 2 einingar - Vöktun og greining netafkasta и Öryggi uppgötvunar frávika.
Upphafleg gögn:
- Lenovo RS 140 þjónn með VMware 6.0 hypervisor;
- Flowmon Collector sýndarvélamynd sem þú getur ;
- par af rofum sem styðja flæðisreglur.
Skref 1. Settu upp Flowmon Collector
Dreifing sýndarvélar á VMware á sér stað á fullkomlega staðlaðan hátt frá OVF sniðmátinu. Fyrir vikið fáum við sýndarvél sem keyrir CentOS og með hugbúnaði sem er tilbúinn til notkunar. Auðlindaþörf er mannúðleg:
Allt sem er eftir er að framkvæma grunnstillingu með því að nota skipunina sysconfig:
Við stillum IP á stjórnunargáttinni, DNS, tíma, hýsingarheiti og getum tengst vefviðmótinu.
Skref 2. Leyfisuppsetning
Reynsluleyfi í einn og hálfan mánuð er búið til og hlaðið niður ásamt sýndarvélamyndinni. Hlaðinn í gegnum Stillingarmiðstöð -> Leyfi. Fyrir vikið sjáum við:
Allt er tilbúið. Þú getur byrjað að vinna.
Skref 3. Uppsetning móttakara á safnara
Á þessu stigi þarftu að ákveða hvernig kerfið mun taka við gögnum frá heimildum. Eins og við sögðum áðan gæti þetta verið ein af flæðisamskiptareglunum eða SPAN tengi á rofanum.
Í dæminu okkar munum við nota gagnamóttöku með samskiptareglum NetFlow v9 og IPFIX. Í þessu tilviki tilgreinum við IP tölu stjórnunarviðmótsins sem markmið - 192.168.78.198. Tengi eth2 og eth3 (með vöktunarviðmótsgerðinni) eru notuð til að taka á móti afriti af „hrá“ umferð frá SPAN tengi rofans. Við hleypum þeim í gegn, ekki okkar mál.
Næst athugum við söfnunarhöfnina þar sem umferðin á að fara.
Í okkar tilviki hlustar safnarinn eftir umferð á höfn UDP/2055.
Skref 4. Stilling netbúnaðar fyrir flæðiútflutning
Að setja upp NetFlow á Cisco Systems búnaði má líklega kalla algjörlega algengt verkefni fyrir hvaða netkerfisstjóra sem er. Sem dæmi okkar tökum við eitthvað óvenjulegra. Til dæmis, MikroTik RB2011UiAS-2HnD beininn. Já, einkennilega nóg, slík fjárhagsáætlunarlausn fyrir litlar skrifstofur og heimaskrifstofur styður einnig NetFlow v5/v9 og IPFIX samskiptareglur. Í stillingunum skaltu stilla markmiðið (söfnunarfang 192.168.78.198 og höfn 2055):
Og bættu við öllum mælingum sem eru tiltækar til útflutnings:
Á þessum tímapunkti getum við sagt að grunnuppsetningunni sé lokið. Við athugum hvort umferð sé að koma inn í kerfið.
Skref 5: Prófun og rekstur netafkastaeftirlits og greiningareiningar
Þú getur athugað tilvist umferðar frá upprunanum í kaflanum Flowmon eftirlitsstöð –> Heimildir:
Við sjáum að gögn eru að komast inn í kerfið. Nokkru eftir að safnarinn hefur safnað umferð munu búnaðurinn byrja að birta upplýsingar:
Kerfið er byggt á drill down meginreglunni. Það er að segja að notandinn, þegar hann velur hluta af áhuga á skýringarmynd eða línuriti, „fellur“ niður á það dýptarstig gagna sem hann þarfnast:
Niður í upplýsingar um hverja nettengingu og tengingu:
Skref 6. Öryggiseining fyrir fráviksuppgötvun
Þessi eining má kannski kalla einn af þeim áhugaverðustu, þökk sé notkun á undirskriftarlausum aðferðum til að greina frávik í netumferð og illgjarn netvirkni. En þetta er ekki hliðstæða IDS/IPS kerfa. Vinna með eininguna hefst með „þjálfun“ hennar. Til að gera þetta tilgreinir sérstakur töframaður alla lykilþætti og þjónustu netkerfisins, þar á meðal:
- netföng, DNS, DHCP og NTP netþjóna,
- heimilisfang í notenda- og netþjónahlutum.
Eftir þetta fer kerfið í þjálfunarham sem varir að meðaltali frá 2 vikum til 1 mánuð. Á þessum tíma myndar kerfið grunnlínuumferð sem er sérstök fyrir netið okkar. Einfaldlega sagt, kerfið lærir:
- hvaða hegðun er dæmigerð fyrir nethnúta?
- Hvaða gagnamagn er venjulega flutt og er eðlilegt fyrir netið?
- Hver er dæmigerður notkunartími fyrir notendur?
- hvaða forrit keyra á netinu?
- Og mikið meira..
Fyrir vikið fáum við tæki sem greinir hvers kyns frávik á netinu okkar og frávik frá dæmigerðri hegðun. Hér eru nokkur dæmi sem kerfið gerir þér kleift að greina:
- dreifing nýrra spilliforrita á netinu sem greinist ekki af vírusvarnarundirskriftum;
- byggja DNS, ICMP eða önnur göng og senda gögn framhjá eldveggnum;
- útlit nýrrar tölvu á netinu sem gefur sig út fyrir að vera DHCP og/eða DNS netþjónn.
Við skulum sjá hvernig það lítur út í beinni útsendingu. Eftir að kerfið þitt hefur verið þjálfað og byggt upp grunnlínu netumferðar, byrjar það að greina atvik:
Aðalsíða einingarinnar er tímalína sem sýnir auðkennd atvik. Í dæminu okkar sjáum við skýran topp, um það bil 9 til 16 klukkustundir. Við skulum velja það og skoða nánar.
Afbrigðileg hegðun árásarmannsins á netinu er greinilega sýnileg. Þetta byrjar allt með því að gestgjafinn með heimilisfangið 192.168.3.225 hóf lárétta skönnun á netinu á höfn 3389 (Microsoft RDP þjónusta) og fann 14 möguleg „fórnarlömb“:
и
Eftirfarandi skráð atvik - hýsingaraðili 192.168.3.225 byrjar árás á grimmdarkrafti til að neyta lykilorð á RDP þjónustunni (gátt 3389) á áður auðkenndum heimilisföngum:
Sem afleiðing af árásinni greinist SMTP frávik á einum af tölvusnáða vélunum. Með öðrum orðum, SPAM er hafið:
Þetta dæmi er skýr sýning á getu kerfisins og sérstaklega fráviksskynjunaröryggiseiningunni. Dæmdu virknina sjálfur. Þetta lýkur virkniyfirliti lausnarinnar.
Ályktun
Við skulum draga saman hvaða ályktanir við getum dregið um Flowmon:
- Flowmon er úrvalslausn fyrir fyrirtækjaviðskiptavini;
- þökk sé fjölhæfni og eindrægni er gagnasöfnun í boði frá hvaða aðilum sem er: netbúnaði (Cisco, Juniper, HPE, Huawei...) eða eigin rannsaka (Flowmon Probe);
- Sveigjanleiki lausnarinnar gerir þér kleift að auka virkni kerfisins með því að bæta við nýjum einingum, auk þess að auka framleiðni þökk sé sveigjanlegri nálgun við leyfisveitingar;
- með því að nota undirskriftarlausa greiningartækni gerir kerfið þér kleift að greina núlldagsárásir jafnvel óþekktar fyrir vírusvarnir og IDS/IPS kerfi;
- þökk sé fullkomnu „gagnsæi“ hvað varðar uppsetningu og viðveru kerfisins á netinu - lausnin hefur ekki áhrif á rekstur annarra hnúta og íhluta upplýsingatækniinnviða þinnar;
- Flowmon er eina lausnin á markaðnum sem styður umferðarvöktun á allt að 100 Gbps hraða;
- Flowmon er lausn fyrir netkerfi af hvaða stærðargráðu sem er;
- besta verð/virkni hlutfallið meðal svipaðra lausna.
Í þessari endurskoðun skoðuðum við minna en 10% af heildarvirkni lausnarinnar. Í næstu grein munum við tala um Flowmon Networks einingarnar sem eftir eru. Með því að nota forritaárangurseftirlitseininguna sem dæmi, munum við sýna hvernig stjórnendur viðskiptaforrita geta tryggt aðgengi á tilteknu SLA-stigi, auk þess að greina vandamál eins fljótt og auðið er.
Einnig viljum við bjóða þér á vefnámskeiðið okkar (10.09.2019/XNUMX/XNUMX) tileinkað lausnum söluaðilans Flowmon Networks. Til að forskráningu biðjum við þig .
Þetta er allt í bili, takk fyrir áhugann!
Aðeins skráðir notendur geta tekið þátt í könnuninni. , takk.
Ertu að nota Netflow fyrir netvöktun?
-
Já
-
Nei, en ég ætla að gera það
-
No
9 notendur greiddu atkvæði. 3 notendur sátu hjá.
Heimild: www.habr.com