🥇ניטור רשת ואיתור פעילות חריגה ברשת באמצעות פתרונות Flowmon Networks

לאחרונה ניתן למצוא באינטרנט כמות עצומה של חומרים בנושא. ניתוח תעבורה בהיקף הרשת. יחד עם זאת, משום מה כולם שכחו לגמרי ניתוח תנועה מקומי, וזה לא פחות חשוב. מאמר זה מתייחס בדיוק לנושא זה. לדוגמה Flowmon Networks נזכור את Netflow הישנה והטובה (והחלופות שלה), נסתכל על מקרים מעניינים, חריגות אפשריות ברשת ונגלה את יתרונות הפתרון כאשר כל הרשת פועלת כחיישן יחיד. והכי חשוב, ניתן לבצע ניתוח כזה של תעבורה מקומית לגמרי בחינם, במסגרת רישיון ניסיון (ימי 45). אם הנושא מעניין אותך, ברוך הבא לחתול. אם אתה עצלן מכדי לקרוא, אז, במבט קדימה, אתה יכול להירשם סמינר מקוון קרוב, שם נציג ונספר לכם הכל (תוכלו גם ללמוד שם על הדרכת מוצרים קרובים).

מהי Flowmon Networks?

קודם כל, Flowmon היא ספקית IT אירופאית. החברה היא צ'כית, עם מטה בברנו (נושא הסנקציות אפילו לא מועלה). במתכונתה הנוכחית, החברה נמצאת בשוק משנת 2007. בעבר זה היה מוכר תחת המותג Invea-Tech. אז בסך הכל, כמעט 20 שנה הושקעו בפיתוח מוצרים ופתרונות.

Flowmon ממוקמת כמותג A. מפתחת פתרונות פרימיום ללקוחות ארגוניים ומוכר בתיבות Gartner לניטור ואבחון ביצועי רשת (NPMD). יתרה מכך, באופן מעניין, מכל החברות בדוח, Flowmon היא הספקית היחידה שצוינה על ידי גרטנר כיצרנית של פתרונות הן לניטור רשת והן להגנת מידע (Network Behavior Analysis). זה עדיין לא תופס את המקום הראשון, אבל בגלל זה הוא לא עומד כמו כנף בואינג.

אילו בעיות המוצר פותר?

בעולם, אנו יכולים להבחין במאגר המשימות הבא שנפתר על ידי מוצרי החברה:

הגברת היציבות של הרשת, כמו גם משאבי הרשת, על ידי מזעור זמן ההשבתה וחוסר הזמינות שלהם;
הגדלת הרמה הכוללת של ביצועי הרשת;
הגדלת היעילות של כוח אדם אדמיניסטרטיבי בשל:
- שימוש בכלי ניטור רשת חדשניים מודרניים המבוססים על מידע על זרימות IP;
- מתן ניתוח מפורט לגבי תפקוד ומצב הרשת - משתמשים ויישומים הפועלים ברשת, נתונים משודרים, משאבים מקיימים אינטראקציה, שירותים וצמתים;
- תגובה לאירועים לפני שהם קורים, ולא לאחר שמשתמשים ולקוחות מאבדים שירות;
- צמצום הזמן והמשאבים הנדרשים לניהול הרשת ותשתיות ה-IT;
- פישוט משימות פתרון בעיות.
הגברת רמת האבטחה של הרשת ומשאבי המידע של הארגון, באמצעות שימוש בטכנולוגיות שאינן חתומות לזיהוי פעילות חריגה וזדונית ברשת, וכן "התקפות ביום אפס";
הבטחת הרמה הנדרשת של SLA עבור יישומי רשת ומסדי נתונים.

תיק המוצרים של Flowmon Networks

עכשיו בואו נסתכל ישירות על סל המוצרים של Flowmon Networks ונגלה מה בדיוק החברה עושה. כפי שרבים כבר ניחשו מהשם, ההתמחות העיקרית היא בפתרונות לניטור תעבורה זרימה, בתוספת מספר מודולים נוספים המרחיבים את הפונקציונליות הבסיסית.

למעשה, Flowmon יכולה להיקרא חברה של מוצר אחד, או ליתר דיוק, פתרון אחד. בואו נבין אם זה טוב או רע.

ליבת המערכת היא האספן, האחראי על איסוף הנתונים באמצעות פרוטוקולי זרימה שונים, כגון NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... זה די הגיוני שעבור חברה שאינה קשורה לאף יצרן ציוד רשת, חשוב להציע לשוק מוצר אוניברסלי שאינו קשור לאף תקן או פרוטוקול אחד.

אספן Flowmon

האספן זמין הן כשרת חומרה והן כמכונה וירטואלית (VMware, Hyper-V, KVM). אגב, פלטפורמת החומרה מיושמת על שרתי DELL מותאמים אישית, מה שמבטל אוטומטית את רוב הבעיות באחריות וב-RMA. רכיבי החומרה הקנייניים היחידים הם כרטיסי לכידת תעבורה FPGA שפותחו על ידי חברת בת של Flowmon, המאפשרים ניטור במהירויות של עד 100 Gbps.

אבל מה לעשות אם ציוד רשת קיים אינו מסוגל לייצר זרימה איכותית? או שהעומס על הציוד גבוה מדי? אין בעיה:

Flowmon Prob

במקרה זה, Flowmon Networks מציעה להשתמש בבדיקות משלה (Flowmon Probe), המחוברות לרשת דרך יציאת SPAN של המתג או באמצעות מפצלי TAP פסיביים.

אפשרויות יישום SPAN (יציאת מראה) ו-TAP

במקרה זה, התעבורה הגולמית שמגיעה ל-Flowmon Probe מומרת ל-IPFIX מורחב המכיל יותר 240 מדדים עם מידע. אמנם פרוטוקול NetFlow הסטנדרטי שנוצר על ידי ציוד רשת מכיל לא יותר מ-80 מדדים. זה מאפשר נראות פרוטוקול לא רק ברמות 3 ו-4, אלא גם ברמה 7 לפי מודל ISO OSI. כתוצאה מכך, מנהלי רשת יכולים לפקח על תפקודם של יישומים ופרוטוקולים כגון דואר אלקטרוני, HTTP, DNS, SMB...

מבחינה קונספטואלית, הארכיטקטורה הלוגית של המערכת נראית כך:

החלק המרכזי של כל ה"אקוסיסטם" של Flowmon Networks הוא ה-Collector, שמקבל תעבורה מציוד רשת קיים או בדיקות משלו (Probe). אבל עבור פתרון Enterprise, אספקת פונקציונליות רק לניטור תעבורת רשת תהיה פשוטה מדי. גם פתרונות קוד פתוח יכולים לעשות זאת, אם כי לא עם ביצועים כאלה. הערך של Flowmon הם מודולים נוספים המרחיבים את הפונקציונליות הבסיסית:

מודול אבטחת גילוי חריגות - זיהוי פעילות חריגה ברשת, לרבות התקפות של יום אפס, בהתבסס על ניתוח היוריסטי של תעבורה ופרופיל רשת טיפוסי;
מודול ניטור ביצועי יישומים - ניטור ביצועי יישומי רשת מבלי להתקין "סוכנים" ולהשפיע על מערכות יעד;
מודול מקליט תנועה – הקלטת שברי תעבורת רשת על פי מערכת כללים מוגדרים מראש או על פי טריגר ממודול ADS, להמשך פתרון בעיות ו/או חקירה של אירועי אבטחת מידע;
מודול הגנת DDoS – הגנה על היקף הרשת מפני התקפות DoS/DDoS מניעת שירות נפחיות, כולל התקפות על יישומים (OSI L3/L4/L7).

במאמר זה, נבחן כיצד הכל עובד בשידור חי באמצעות הדוגמה של 2 מודולים - ניטור ואבחון ביצועי רשת и אבטחת גילוי חריגות.
נתונים ראשוניים:

שרת Lenovo RS 140 עם hypervisor VMware 6.0;
תמונת מכונה וירטואלית של Flowmon Collector שאתה יכול הורד כאן;
זוג מתגים התומכים בפרוטוקולי זרימה.

שלב 1. התקן את Flowmon Collector

פריסה של מכונה וירטואלית ב-VMware מתרחשת בצורה סטנדרטית לחלוטין מתבנית OVF. כתוצאה מכך, אנו מקבלים מכונה וירטואלית המריץ CentOS ועם תוכנה מוכנה לשימוש. דרישות המשאבים הן אנושיות:

כל שנותר הוא לבצע אתחול בסיסי באמצעות הפקודה sysconfig:

אנו מגדירים IP על יציאת הניהול, DNS, זמן, שם מארח ויכולים להתחבר לממשק WEB.

שלב 2. התקנת רישיון

רישיון ניסיון לחודש וחצי נוצר ומוריד יחד עם תמונת המכונה הוירטואלית. נטען דרך מרכז התצורה -> רישיון. כתוצאה מכך אנו רואים:

הכל מוכן. אתה יכול להתחיל לעבוד.

שלב 3. הגדרת המקלט על הקולט

בשלב זה יש להחליט כיצד המערכת תקבל נתונים ממקורות. כפי שאמרנו קודם, זה יכול להיות אחד מפרוטוקולי הזרימה או יציאת SPAN במתג.

בדוגמה שלנו, נשתמש בקליטת נתונים באמצעות פרוטוקולים NetFlow v9 ו-IPFIX. במקרה זה, אנו מציינים את כתובת ה-IP של ממשק הניהול כיעד - 192.168.78.198. ממשקים eth2 ו-eth3 (עם סוג ממשק ניטור) משמשים לקבלת עותק של התעבורה ה"גולמית" מיציאת SPAN של המתג. נתנו להם לעבור, לא המקרה שלנו.
לאחר מכן, אנו בודקים את יציאת האספן לאן צריכה התנועה ללכת.

במקרה שלנו, האספן מאזין לתעבורה בנמל UDP/2055.

שלב 4. הגדרת ציוד רשת ליצוא זרימה

הגדרת NetFlow בציוד של Cisco Systems יכולה כנראה להיקרא משימה נפוצה לחלוטין עבור כל מנהל רשת. לדוגמה שלנו, ניקח משהו יוצא דופן יותר. לדוגמה, הנתב MikroTik RB2011UiAS-2HnD. כן, באופן מוזר, פתרון תקציב כזה למשרדים קטנים וביתיים תומך גם בפרוטוקולי NetFlow v5/v9 ו-IPFIX. בהגדרות, הגדר את היעד (כתובת אספן 192.168.78.198 ויציאה 2055):

והוסף את כל המדדים הזמינים לייצוא:

בשלב זה אנו יכולים לומר שההגדרה הבסיסית הושלמה. אנו בודקים האם תנועה נכנסת למערכת.

שלב 5: בדיקה ותפעול של מודול ניטור ואבחון ביצועי הרשת

אתה יכול לבדוק את נוכחות התנועה מהמקור בקטע מרכז ניטור Flowmon –> מקורות:

אנחנו רואים שהנתונים נכנסים למערכת. זמן מה לאחר שהאספן צבר תעבורה, הווידג'טים יתחילו להציג מידע:

המערכת בנויה על עיקרון הקידוח. כלומר, המשתמש, בבחירת קטע עניין בתרשים או גרף, "נופל" לרמת עומק הנתונים שהוא צריך:

עד למידע על כל חיבור וחיבור לרשת:

שלב 6. מודול אבטחה לזיהוי אנומליות

מודול זה יכול להיקרא אולי אחד המעניינים ביותר, הודות לשימוש בשיטות נטולות חתימות לאיתור חריגות בתעבורת רשת ופעילות זדונית ברשת. אבל זה לא אנלוגי למערכות IDS/IPS. העבודה עם המודול מתחילה ב"אימון" שלו. לשם כך, אשף מיוחד מפרט את כל הרכיבים והשירותים העיקריים של הרשת, כולל:

כתובות שער, שרתי DNS, DHCP ו-NTP,
כתובת בקטעי משתמשים ושרתים.

לאחר מכן, המערכת עוברת למצב אימון, שנמשך בממוצע בין שבועיים לחודש. במהלך זמן זה, המערכת מייצרת תעבורה בסיסית הספציפית לרשת שלנו. במילים פשוטות, המערכת לומדת:

איזו התנהגות אופיינית לצמתי רשת?
אילו כמויות נתונים מועברות בדרך כלל והן תקינות לרשת?
מהו זמן ההפעלה האופייני למשתמשים?
אילו אפליקציות פועלות ברשת?
ועוד הרבה..

כתוצאה מכך, אנו מקבלים כלי שמזהה חריגות ברשת שלנו וחריגות מהתנהגות אופיינית. הנה כמה דוגמאות שהמערכת מאפשרת לך לזהות:

הפצה של תוכנות זדוניות חדשות ברשת שאינן מזוהות על ידי חתימות אנטי וירוס;
בניית DNS, ICMP או מנהרות אחרות והעברת נתונים עוקפת חומת האש;
הופעת מחשב חדש ברשת המתחזה לשרת DHCP ו/או DNS.

בוא נראה איך זה נראה בשידור חי. לאחר שהמערכת שלך הוכשרה ובנתה קו בסיס של תעבורת רשת, היא מתחילה לזהות תקריות:

העמוד הראשי של המודול הוא ציר זמן המציג אירועים שזוהו. בדוגמה שלנו, אנו רואים ספייק ברור, בערך בין 9 ל-16 שעות. בואו נבחר אותו ונסתכל ביתר פירוט.

ההתנהגות החריגה של התוקף ברשת נראית בבירור. הכל מתחיל בעובדה שהמארח עם הכתובת 192.168.3.225 החל בסריקה אופקית של הרשת ביציאה 3389 (שירות Microsoft RDP) ומצא 14 "קורבנות" פוטנציאליים:

התקרית המתועדת הבאה - מארח 192.168.3.225 מתחיל בהתקפת כוח גס לסיסמאות כוח גס בשירות RDP (יציאה 3389) בכתובות שזוהו קודם לכן:

כתוצאה מהתקיפה, מתגלה חריגת SMTP באחד המארחים שנפרצו. במילים אחרות, SPAM התחיל:

דוגמה זו היא הדגמה ברורה של יכולות המערכת ומודול האבטחה לגילוי אנומליות בפרט. שפוט בעצמך את האפקטיביות. בכך מסתיימת הסקירה הפונקציונלית של הפתרון.

מסקנה

בואו נסכם אילו מסקנות אנו יכולים להסיק לגבי Flowmon:

Flowmon הוא פתרון פרימיום ללקוחות עסקיים;
בזכות הרבגוניות והתאימות שלו, איסוף נתונים זמין מכל מקור: ציוד רשת (Cisco, Juniper, HPE, Huawei...) או בדיקות משלך (Flowmon Probe);
יכולות המדרגיות של הפתרון מאפשרות לך להרחיב את הפונקציונליות של המערכת על ידי הוספת מודולים חדשים, כמו גם להגדיל את הפרודוקטיביות הודות לגישה גמישה לרישוי;
באמצעות שימוש בטכנולוגיות ניתוח ללא חתימות, המערכת מאפשרת לך לזהות התקפות של יום אפס אפילו לא ידועות לאנטי-וירוסים ומערכות IDS/IPS;
הודות ל"שקיפות" מלאה מבחינת ההתקנה והנוכחות של המערכת ברשת - הפתרון אינו משפיע על פעולתם של צמתים ורכיבים אחרים של תשתית ה-IT שלך;
Flowmon הוא הפתרון היחיד בשוק התומך בניטור תעבורה במהירויות של עד 100 Gbps;
Flowmon הוא פתרון לרשתות בכל קנה מידה;
יחס המחיר/פונקציונליות הטוב ביותר מבין פתרונות דומים.

בסקירה זו, בדקנו פחות מ-10% מסך הפונקציונליות של הפתרון. במאמר הבא נדבר על המודולים הנותרים של Flowmon Networks. באמצעות מודול ניטור ביצועי יישומים כדוגמה, נראה כיצד מנהלי יישומים עסקיים יכולים להבטיח זמינות ברמת SLA נתונה, כמו גם לאבחן בעיות במהירות האפשרית.

כמו כן, ברצוננו להזמין אותך לסמינר המקוון שלנו (10.09.2019/XNUMX/XNUMX) המוקדש לפתרונות של הספק Flowmon Networks. להרשמה מראש, אנו מבקשים מכם הירשם כאן.
זה הכל לעת עתה, תודה על ההתעניינות!

רק משתמשים רשומים יכולים להשתתף בסקר. להתחברבבקשה.

האם אתה משתמש ב-Netflow לניטור רשת?

כן
לא, אבל אני מתכנן
לא

9 משתמשים הצביעו. 3 משתמשים נמנעו.

מקור: www.habr.com

ניטור רשת ואיתור פעילות חריגה ברשת באמצעות פתרונות Flowmon Networks