ProHoster > blog > amministrazione > Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

Recentemente, puoi trovare un'enorme quantità di materiali sull'argomento su Internet. analisi del traffico sul perimetro della rete. Allo stesso tempo, per qualche motivo, tutti se ne sono completamente dimenticati analisi del traffico locale, il che non è meno importante. Questo articolo affronta proprio questo argomento. Per esempio Reti Flowmon ricorderemo il buon vecchio Netflow (e le sue alternative), vedremo casi interessanti, possibili anomalie della rete e scopriremo i vantaggi della soluzione quando l'intera rete funziona come un unico sensore. E, soprattutto, puoi condurre tale analisi del traffico locale in modo completamente gratuito, nell'ambito di una licenza di prova (45 giorni). Se l'argomento ti interessa, benvenuto su cat. Se sei troppo pigro per leggere, allora, guardando avanti, puoi registrarti prossimo webinar, dove ti mostreremo e ti racconteremo tutto (lì potrai anche conoscere la prossima formazione sui prodotti).

Cos'è Flowmon Networks?

Prima di tutto, Flowmon è un fornitore IT europeo. La società è ceca, con sede a Brno (la questione delle sanzioni non viene nemmeno sollevata). Nella sua forma attuale l’azienda è sul mercato dal 2007. In precedenza, era conosciuto con il marchio Invea-Tech. Quindi, in totale, sono stati spesi quasi 20 anni per sviluppare prodotti e soluzioni.

Flowmon è posizionato come un marchio di classe A. Sviluppa soluzioni premium per clienti aziendali ed è riconosciuto nei box Gartner per il monitoraggio e la diagnostica delle prestazioni di rete (NPMD). Inoltre, cosa interessante, tra tutte le aziende incluse nel rapporto, Flowmon è l'unico fornitore indicato da Gartner come produttore di soluzioni sia per il monitoraggio della rete che per la protezione delle informazioni (Network Behavior Analysis). Non è ancora al primo posto, ma per questo non è paragonabile all’ala di un Boeing.

Quali problemi risolve il prodotto?

A livello globale, possiamo distinguere il seguente insieme di compiti risolti dai prodotti dell’azienda:

  1. aumentare la stabilità della rete, nonché delle risorse di rete, riducendo al minimo i tempi di inattività e indisponibilità;
  2. aumentare il livello complessivo delle prestazioni della rete;
  3. aumentare l’efficienza del personale amministrativo grazie a:
    • utilizzando moderni strumenti innovativi di monitoraggio della rete basati su informazioni sui flussi IP;
    • fornire analisi dettagliate sul funzionamento e sullo stato della rete: utenti e applicazioni in esecuzione sulla rete, dati trasmessi, risorse interagenti, servizi e nodi;
    • rispondere agli incidenti prima che si verifichino e non dopo che utenti e clienti perdono il servizio;
    • ridurre il tempo e le risorse necessarie per amministrare la rete e l'infrastruttura IT;
    • semplificando le attività di risoluzione dei problemi.
  4. aumentare il livello di sicurezza della rete e delle risorse informative dell’impresa, attraverso l’uso di tecnologie non di firma per il rilevamento di attività di rete anomale e dannose, nonché degli “attacchi zero-day”;
  5. garantire il livello richiesto di SLA per le applicazioni di rete e i database.

Portafoglio di prodotti delle reti Flowmon

Ora diamo un'occhiata direttamente al portafoglio di prodotti Flowmon Networks e scopriamo cosa fa esattamente l'azienda. Come molti hanno già intuito dal nome, la specializzazione principale è nelle soluzioni per il monitoraggio dei flussi di traffico in streaming, a cui si aggiungono una serie di moduli aggiuntivi che espandono le funzionalità di base.

In effetti, Flowmon può essere definita un'azienda di un prodotto, o meglio, di una soluzione. Scopriamo se questo è un bene o un male.

Il nucleo del sistema è il raccoglitore, che è responsabile della raccolta dei dati utilizzando vari protocolli di flusso, come NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... È abbastanza logico che per un'azienda non affiliata ad alcun produttore di apparecchiature di rete sia importante offrire al mercato un prodotto universale che non sia legato a nessuno standard o protocollo.

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks
Collezionista Flowmon

Il collector è disponibile sia come server hardware che come macchina virtuale (VMware, Hyper-V, KVM). A proposito, la piattaforma hardware è implementata su server DELL personalizzati, il che elimina automaticamente la maggior parte dei problemi con garanzia e RMA. Gli unici componenti hardware proprietari sono le schede di acquisizione del traffico FPGA sviluppate da una filiale di Flowmon, che consentono il monitoraggio a velocità fino a 100 Gbps.

Ma cosa fare se le apparecchiature di rete esistenti non sono in grado di generare un flusso di alta qualità? Oppure il carico sull'attrezzatura è troppo elevato? Nessun problema:

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks
Flowmon Prob

In questo caso Flowmon Networks offre l'utilizzo delle proprie sonde (Flowmon Probe), che sono collegate alla rete tramite la porta SPAN dello switch o utilizzando splitter TAP passivi.

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks
Opzioni di implementazione SPAN (mirror port) e TAP

In questo caso, il traffico grezzo che arriva alla sonda Flowmon viene convertito in un IPFIX espanso che ne contiene altri 240 metriche con informazioni. Mentre il protocollo NetFlow standard generato dalle apparecchiature di rete non contiene più di 80 parametri. Ciò consente la visibilità del protocollo non solo ai livelli 3 e 4, ma anche al livello 7 secondo il modello ISO OSI. Di conseguenza, gli amministratori di rete possono monitorare il funzionamento di applicazioni e protocolli come e-mail, HTTP, DNS, SMB...

Concettualmente l’architettura logica del sistema è la seguente:

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

La parte centrale dell'intero “ecosistema” delle reti Flowmon è il Collector, che riceve il traffico dalle apparecchiature di rete esistenti o dalle proprie sonde (Probe). Ma per una soluzione aziendale, fornire funzionalità esclusivamente per il monitoraggio del traffico di rete sarebbe troppo semplice. Anche le soluzioni Open Source possono farlo, anche se non con tali prestazioni. Il valore di Flowmon sono moduli aggiuntivi che espandono le funzionalità di base:

  • modulo Sicurezza nel rilevamento delle anomalie – identificazione di attività di rete anomale, inclusi attacchi zero-day, sulla base dell'analisi euristica del traffico e di un profilo di rete tipico;
  • modulo Monitoraggio delle prestazioni delle applicazioni – monitorare le prestazioni delle applicazioni di rete senza installare “agenti” e influenzare i sistemi target;
  • modulo Registratore di traffico – registrazione di frammenti di traffico di rete secondo un insieme di regole predefinite o secondo un trigger del modulo ADS, per ulteriore risoluzione dei problemi e/o investigazione di incidenti di sicurezza informatica;
  • modulo Protezione DDoS – protezione del perimetro di rete da attacchi volumetrici DoS/DDoS Denial of Service, inclusi attacchi alle applicazioni (OSI L3/L4/L7).

In questo articolo vedremo come funziona tutto dal vivo utilizzando l'esempio di 2 moduli: Monitoraggio e diagnostica delle prestazioni della rete и Sicurezza nel rilevamento delle anomalie.
Contesto:

  • Server Lenovo RS 140 con hypervisor VMware 6.0;
  • Immagine della macchina virtuale Flowmon Collector che puoi scarica qui;
  • una coppia di interruttori che supportano i protocolli di flusso.

Passaggio 1. Installare Flowmon Collector

La distribuzione di una macchina virtuale su VMware avviene in modo completamente standard dal modello OVF. Di conseguenza, otteniamo una macchina virtuale con CentOS e un software pronto per l'uso. I requisiti in termini di risorse sono umani:

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

Non resta che eseguire l'inizializzazione di base utilizzando il comando sysconfig:

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

Configuriamo IP sulla porta di gestione, DNS, ora, nome host e possiamo connetterci all'interfaccia WEB.

Passaggio 2. Installazione della licenza

Una licenza di prova per un mese e mezzo viene generata e scaricata insieme all'immagine della macchina virtuale. Caricato tramite Centro di configurazione -> Licenza. Di conseguenza vediamo:

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

Tutto è pronto. Puoi iniziare a lavorare.

Passaggio 3. Impostazione del ricevitore sul collettore

In questa fase, è necessario decidere in che modo il sistema riceverà i dati dalle fonti. Come abbiamo detto in precedenza, potrebbe trattarsi di uno dei protocolli di flusso o di una porta SPAN sullo switch.

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

Nel nostro esempio, utilizzeremo la ricezione dei dati tramite protocolli NetFlow v9 e IPFIX. In questo caso, specifichiamo l'indirizzo IP dell'interfaccia di gestione come destinazione - 192.168.78.198. Le interfacce eth2 ed eth3 (con interfaccia di tipo Monitoring) vengono utilizzate per ricevere una copia del traffico “grezzo” dalla porta SPAN dello switch. Li abbiamo lasciati passare, non è il nostro caso.
Successivamente, controlliamo la porta del raccoglitore dove dovrebbe andare il traffico.

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

Nel nostro caso, il raccoglitore ascolta il traffico sulla porta UDP/2055.

Passaggio 4. Configurazione delle apparecchiature di rete per l'esportazione del flusso

La configurazione di NetFlow sulle apparecchiature Cisco Systems può probabilmente essere definita un'attività del tutto comune per qualsiasi amministratore di rete. Per il nostro esempio, prenderemo qualcosa di più insolito. Ad esempio, il router MikroTik RB2011UiAS-2HnD. Sì, stranamente, una soluzione così economica per piccoli uffici e uffici domestici supporta anche i protocolli NetFlow v5/v9 e IPFIX. Nelle impostazioni, imposta la destinazione (indirizzo del collettore 192.168.78.198 e porta 2055):

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

E aggiungi tutte le metriche disponibili per l'esportazione:

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

A questo punto possiamo dire che la configurazione di base è completata. Controlliamo se il traffico entra nel sistema.

Passaggio 5: test e funzionamento del modulo di monitoraggio e diagnostica delle prestazioni di rete

Puoi verificare la presenza di traffico dalla sorgente nella sezione Centro di monitoraggio Flowmon –> Sorgenti:

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

Vediamo che i dati stanno entrando nel sistema. Qualche tempo dopo che il raccoglitore ha accumulato traffico, i widget inizieranno a visualizzare le informazioni:

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

Il sistema è costruito sul principio del drill-down. Cioè, l'utente, quando seleziona un frammento di interesse su un diagramma o un grafico, “cade” al livello di profondità dei dati di cui ha bisogno:

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

Fino alle informazioni su ciascuna connessione di rete e connessione:

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

Passaggio 6. Modulo di sicurezza rilevamento anomalie

Questo modulo può essere definito forse uno dei più interessanti, grazie all'utilizzo di metodi senza firma per rilevare anomalie nel traffico di rete e attività di rete dannose. Ma questo non è un analogo dei sistemi IDS/IPS. Il lavoro con il modulo inizia con la sua “formazione”. Per fare ciò, una speciale procedura guidata specifica tutti i componenti e i servizi chiave della rete, tra cui:

  • indirizzi gateway, server DNS, DHCP e NTP,
  • indirizzamento in segmenti utente e server.

Successivamente, il sistema entra in modalità allenamento, che dura in media da 2 settimane a 1 mese. Durante questo periodo, il sistema genera traffico di base specifico per la nostra rete. In poche parole, il sistema apprende:

  • quale comportamento è tipico dei nodi di rete?
  • Quali volumi di dati vengono generalmente trasferiti e sono normali per la rete?
  • Qual è il tempo di funzionamento tipico per gli utenti?
  • quali applicazioni vengono eseguite sulla rete?
  • e altro ancora..

Di conseguenza, otteniamo uno strumento che identifica eventuali anomalie nella nostra rete e deviazioni dal comportamento tipico. Ecco un paio di esempi che il sistema consente di rilevare:

  • distribuzione di nuovo malware sulla rete che non viene rilevato dalle firme antivirus;
  • costruire DNS, ICMP o altri tunnel e trasmettere dati aggirando il firewall;
  • la comparsa di un nuovo computer sulla rete che si presenta come server DHCP e/o DNS.

Vediamo come appare dal vivo. Dopo che il sistema è stato addestrato e creato una linea di base del traffico di rete, inizia a rilevare gli incidenti:

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

La pagina principale del modulo è una sequenza temporale che mostra gli incidenti identificati. Nel nostro esempio, vediamo un picco netto, approssimativamente tra le 9 e le 16 ore. Selezioniamolo e guardiamo più in dettaglio.

Il comportamento anomalo dell'aggressore sulla rete è chiaramente visibile. Tutto inizia con il fatto che l'host con l'indirizzo 192.168.3.225 ha avviato una scansione orizzontale della rete sulla porta 3389 (servizio Microsoft RDP) e ha trovato 14 potenziali “vittime”:

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

и

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

Il seguente incidente registrato: l'host 192.168.3.225 inizia un attacco di forza bruta per applicare la forza bruta alle password sul servizio RDP (porta 3389) agli indirizzi precedentemente identificati:

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

In seguito all'attacco viene rilevata un'anomalia SMTP su uno degli host hackerati. In altre parole, è iniziato lo SPAM:

Monitoraggio della rete e rilevamento di attività di rete anomale utilizzando le soluzioni Flowmon Networks

Questo esempio è una chiara dimostrazione delle capacità del sistema e in particolare del modulo Anomaly Detection Security. Giudica tu stesso l'efficacia. Con questo si conclude la panoramica funzionale della soluzione.

conclusione

Riassumiamo quali conclusioni possiamo trarre su Flowmon:

  • Flowmon è una soluzione premium per i clienti aziendali;
  • grazie alla sua versatilità e compatibilità, la raccolta dati è disponibile da qualsiasi fonte: apparecchiature di rete (Cisco, Juniper, HPE, Huawei...) o le proprie sonde (Flowmon Probe);
  • Le capacità di scalabilità della soluzione consentono di espandere le funzionalità del sistema aggiungendo nuovi moduli, nonché di aumentare la produttività grazie ad un approccio flessibile alle licenze;
  • attraverso l'utilizzo di tecnologie di analisi senza firme, il sistema consente di rilevare attacchi zero-day anche sconosciuti agli antivirus e ai sistemi IDS/IPS;
  • grazie alla completa “trasparenza” in termini di installazione e presenza del sistema sulla rete - la soluzione non influisce sul funzionamento di altri nodi e componenti della vostra infrastruttura IT;
  • Flowmon è l'unica soluzione sul mercato che supporta il monitoraggio del traffico a velocità fino a 100 Gbps;
  • Flowmon è una soluzione per reti di qualsiasi scala;
  • il miglior rapporto prezzo/funzionalità tra soluzioni simili.

In questa recensione abbiamo esaminato meno del 10% della funzionalità totale della soluzione. Nel prossimo articolo parleremo dei restanti moduli Flowmon Networks. Utilizzando il modulo Application Performance Monitoring come esempio, mostreremo come gli amministratori delle applicazioni aziendali possono garantire la disponibilità a un determinato livello di SLA, nonché diagnosticare i problemi il più rapidamente possibile.

Inoltre, vorremmo invitarvi al nostro webinar (10.09.2019/XNUMX/XNUMX) dedicato alle soluzioni del fornitore Flowmon Networks. Per pre-registrarsi, ti chiediamo registrati qui.
Per ora è tutto, grazie per il tuo interesse!

Solo gli utenti registrati possono partecipare al sondaggio. AccediPer favore.

Stai utilizzando Netflow per il monitoraggio della rete?

  • No, ma ho intenzione di farlo

  • No

9 utenti hanno votato. 3 utenti si sono astenuti.

Fonte: habr.com

Aggiungi un commento