Flowmon Networks ソリューションを使用したネットワークの監視と異常なネットワーク アクティビティの検出

最近では、このトピックに関する膨大な量の資料をインターネット上で見つけることができます。 ネットワーク境界でのトラフィック分析。 同時に、何らかの理由で誰もが完全に忘れていました ローカルトラフィック分析、これも同様に重要です。 この記事では、まさにこのトピックについて説明します。 例えば フローモン ネットワーク 私たちは古き良き Netflow (およびその代替手段) を思い出し、興味深い事例やネットワーク内で起こり得る異常を検討し、次のような場合にソリューションの利点を見つけます。 ネットワーク全体が単一のセンサーとして機能します。 そして最も重要なことは、試用ライセンスの枠組み内で、ローカル トラフィックのこのような分析を完全に無料で実行できることです (45日）。 このトピックに興味がある場合は、Cat へようこそ。 読むのが面倒な場合は、先を見据えて、 今後のウェビナーここでは、すべてを表示して説明します (今後の製品トレーニングについてもそこで学ぶことができます)。

フローモンネットワークスとは何ですか?

まず、Flowmon はヨーロッパの IT ベンダーです。 同社はチェコの会社で、本社はブルノにある（制裁の問題は提起されていない）。 現在の形態では、同社は 2007 年から市場に参入しています。 以前は、Invea-Tech ブランドで知られていました。 つまり、製品とソリューションの開発には合計でほぼ 20 年が費やされました。

FlowmonはA級ブランドとして位置づけられています。 企業顧客向けのプレミアム ソリューションを開発し、Gartner の Network Performance Monitoring and Diagnostics (NPMD) ボックスで評価されています。 さらに、興味深いことに、レポートに含まれるすべての企業の中で、Flowmon は、ネットワーク監視と情報保護 (ネットワーク動作分析) の両方のソリューションのメーカーとして Gartner によって注目された唯一のベンダーです。 まだXNUMX位にはなっていませんが、そのせいでボーイングの翼のようには立ちません。

製品はどのような問題を解決しますか?

世界的に見て、当社の製品によって解決される次のような一連のタスクを区別できます。

1. ダウンタイムや可用性の低下を最小限に抑えることで、ネットワークとネットワーク リソースの安定性を高めます。
2. ネットワークパフォーマンスの全体的なレベルを向上させます。
3. 次のような理由により、管理スタッフの効率が向上します。
   • IP フローに関する情報に基づいた最新の革新的なネットワーク監視ツールを使用します。
   • ネットワークの機能と状態（ネットワーク上で実行されているユーザーとアプリケーション、送信されたデータ、相互作用するリソース、サービス、ノード）に関する詳細な分析を提供します。
   • ユーザーやクライアントがサービスを失った後ではなく、インシデントが発生する前に対応する。
   • ネットワークと IT インフラストラクチャの管理に必要な時間とリソースを削減します。
   • トラブルシューティングタスクを簡素化します。
4. 異常で悪意のあるネットワーク活動や「ゼロデイ攻撃」を検出するための非シグネチャ技術の使用を通じて、企業のネットワークと情報リソースのセキュリティのレベルを向上させます。
5. ネットワーク アプリケーションとデータベースに必要な SLA レベルを確保します。

Flowmon ネットワークの製品ポートフォリオ

ここで、Flowmon Networks の製品ポートフォリオを直接見て、同社が正確に何を行っているのかを見てみましょう。 名前からすでに推測している人も多いと思いますが、主な専門分野はストリーミング フロー トラフィック監視のソリューションに加え、基本機能を拡張する多数の追加モジュールです。

実際、Flowmon は XNUMX つの製品、あるいは XNUMX つのソリューションの会社と呼ぶことができます。 これが良いのか悪いのか考えてみましょう。

システムの中核となるのはコレクターであり、次のようなさまざまなフロー プロトコルを使用してデータを収集する責任があります。 NetFlow v5/v9、jFlow、sFlow、NetStream、IPFIX... ネットワーク機器メーカーと提携していない企業にとって、特定の規格やプロトコルに縛られないユニバーサルな製品を市場に提供することが重要であることは非常に論理的です。

フローモンコレクター

コレクターは、ハードウェア サーバーとしても仮想マシン (VMware、Hyper-V、KVM) としても使用できます。 ちなみに、ハードウェア プラットフォームはカスタマイズされた DELL サーバーに実装されており、保証と RMA に関する問題のほとんどが自動的に排除されます。 唯一の独自のハードウェア コンポーネントは、Flowmon の子会社によって開発された FPGA トラフィック キャプチャ カードであり、最大 100 Gbps の速度での監視が可能です。

しかし、既存のネットワーク機器が高品質のフローを生成できない場合はどうすればよいでしょうか? それとも機器の負荷が高すぎるのでしょうか？ 問題ない：

フローモンの問題

この場合、Flowmon Networks は、スイッチの SPAN ポート経由、またはパッシブ TAP スプリッターを使用してネットワークに接続される独自のプローブ (Flowmon プローブ) の使用を提案します。

SPAN (ミラーポート) および TAP 実装オプション

この場合、Flowmon プローブに到着する生のトラフィックは、より多くの内容を含む拡張された IPFIX に変換されます。 240 のメトリクスと情報。 一方、ネットワーク機器によって生成される標準 NetFlow プロトコルには 80 個以下のメトリクスが含まれます。 これにより、レベル 3 と 4 だけでなく、ISO OSI モデルに従ったレベル 7 でもプロトコルの可視性が可能になります。 その結果、ネットワーク管理者は、電子メール、HTTP、DNS、SMB などのアプリケーションやプロトコルの機能を監視できます。

概念的には、システムの論理アーキテクチャは次のようになります。

Flowmon Networks の「エコシステム」全体の中心となるのは、既存のネットワーク機器または独自のプローブ (プローブ) からトラフィックを受信するコレクターです。 しかし、エンタープライズ ソリューションの場合、ネットワーク トラフィックを監視するためだけに機能を提供するのは単純すぎます。 オープンソース ソリューションでも、そのようなパフォーマンスは得られませんが、これを行うことができます。 Flowmon の価値は、基本機能を拡張する追加モジュールです。

• モジュール 異常検出セキュリティ – トラフィックのヒューリスティック分析と典型的なネットワーク プロファイルに基づいて、ゼロデイ攻撃を含む異常なネットワーク アクティビティを特定します。
• モジュール アプリケーションパフォーマンスの監視 – 「エージェント」をインストールしたり、ターゲット システムに影響を与えたりすることなく、ネットワーク アプリケーションのパフォーマンスを監視します。
• モジュール トラフィックレコーダー – 情報セキュリティインシデントのさらなるトラブルシューティングや調査のために、一連の事前定義されたルールに従って、または ADS モジュールからのトリガーに従って、ネットワークトラフィックのフラグメントを記録します。
• モジュール DDoSの保護 – アプリケーション（OSI L3/L4/L7）に対する攻撃を含む、大量の DoS/DDoS サービス拒否攻撃からネットワーク境界を保護します。

この記事では、2 つのモジュールの例を使用して、すべてがライブでどのように機能するかを見ていきます。 ネットワーク パフォーマンスの監視と診断 и 異常検出セキュリティ.
背景：

• VMware 140 ハイパーバイザーを搭載した Lenovo RS 6.0 サーバー。
• Flowmon Collector 仮想マシン イメージを利用できる ここからダウンロード;
• フロープロトコルをサポートするスイッチのペア。

ステップ 1. Flowmon コレクターをインストールする

VMware への仮想マシンのデプロイは、OVF テンプレートから完全に標準的な方法で行われます。 その結果、CentOS を実行し、すぐに使用できるソフトウェアを備えた仮想マシンが得られます。 リソース要件は人道的です:

残っているのは、コマンドを使用して基本的な初期化を実行することだけです システム構成:

管理ポートにIP、DNS、時刻、ホスト名を設定し、WEBインターフェースに接続できます。

ステップ 2. ライセンスのインストール

XNUMX か月半の試用ライセンスが生成され、仮想マシン イメージとともにダウンロードされます。 経由でロード 構成センター -> ライセンス。 その結果、次のことがわかります。

すべて準備が整いました。 仕事を始めることができます。

ステップ 3. コレクタ上で受信機をセットアップする

この段階では、システムがソースからデータを受信する方法を決定する必要があります。 前に述べたように、これはフロー プロトコルの XNUMX つ、またはスイッチ上の SPAN ポートである可能性があります。

この例では、プロトコルを使用したデータ受信を使用します。 NetFlow v9 および IPFIX。 この場合、管理インターフェイスの IP アドレスをターゲットとして指定します。 192.168.78.198。 インターフェイス eth2 および eth3 (モニタリング インターフェイス タイプ) は、スイッチの SPAN ポートから「生」トラフィックのコピーを受信するために使用されます。 私たちの場合ではなく、彼らを通過させました。
次に、トラフィックが送信されるコレクター ポートを確認します。

この例では、コレクターはポート UDP/2055 でトラフィックをリッスンします。

ステップ 4. フロー エクスポート用のネットワーク機器の構成

Cisco Systems 機器での NetFlow のセットアップは、おそらく、ネットワーク管理者にとってまったく一般的なタスクと言えるでしょう。 ここでは例として、もっと珍しいものを取り上げます。 たとえば、MikroTik RB2011UiAS-2HnD ルーターです。 はい、奇妙なことに、小規模オフィスやホーム オフィス向けのこのような低予算ソリューションは、NetFlow v5/v9 および IPFIX プロトコルもサポートしています。 設定で、ターゲット (コレクタ アドレス 192.168.78.198 およびポート 2055) を設定します。

そして、エクスポートに使用できるすべてのメトリクスを追加します。

この時点で、基本的なセットアップは完了したと言えます。 トラフィックがシステムに入っているかどうかを確認します。

ステップ 5: ネットワーク パフォーマンス監視および診断モジュールのテストと操作

セクションでソースからのトラフィックの存在を確認できます。 Flowmon 監視センター –> ソース:

データがシステムに入力されていることがわかります。 コレクターがトラフィックを蓄積してからしばらくすると、ウィジェットに情報が表示され始めます。

このシステムはドリルダウンの原則に基づいて構築されています。 つまり、ユーザーは、図またはグラフ上で関心のあるフラグメントを選択すると、必要なデータの深さのレベルに「落ちます」。

各ネットワーク接続と接続に関する情報まで:

ステップ6. 異常検出セキュリティモジュール

このモジュールは、ネットワーク トラフィックの異常や悪意のあるネットワーク アクティビティを検出するためのシグネチャ不要の方法を使用しているため、おそらく最も興味深いモジュールの XNUMX つと言えます。 ただし、これは IDS/IPS システムの類似物ではありません。 モジュールの操作は、その「トレーニング」から始まります。 これを行うには、特別なウィザードで次のようなネットワークのすべての主要なコンポーネントとサービスを指定します。

• ゲートウェイ アドレス、DNS、DHCP、および NTP サーバー、
• ユーザーセグメントとサーバーセグメントでのアドレス指定。

この後、システムはトレーニング モードに入り、平均して 2 週間から 1 か月続きます。 この間、システムはネットワークに固有のベースライン トラフィックを生成します。 簡単に言えば、システムは次のことを学習します。

• ネットワークノードの典型的な動作は何ですか?
• 通常どのくらいのデータ量が転送され、ネットワークにとっては正常ですか?
• ユーザーの通常の操作時間はどれくらいですか?
• ネットワーク上でどのようなアプリケーションが実行されますか?
• などなど。

その結果、ネットワーク内の異常や典型的な動作からの逸脱を特定するツールが得られます。 システムで検出できる例をいくつか示します。

• ウイルス対策シグネチャによって検出されない新しいマルウェアがネットワーク上に配布される。
• DNS、ICMP、またはその他のトンネルを構築し、ファイアウォールをバイパスしてデータを送信します。
• DHCP サーバーや DNS サーバーを装った新しいコンピュータがネットワーク上に出現すること。

ライブでどんな感じになるのか見てみましょう。 システムがトレーニングされ、ネットワーク トラフィックのベースラインが構築されると、インシデントの検出が開始されます。

モジュールのメイン ページは、特定されたインシデントを表示するタイムラインです。 この例では、約 9 ～ 16 時間の間に明確なスパイクが見られます。 それを選択してさらに詳しく見てみましょう。

ネットワーク上での攻撃者の異常な動作がはっきりとわかります。 すべては、アドレス 192.168.3.225 のホストがポート 3389 (Microsoft RDP サービス) でネットワークの水平スキャンを開始し、14 人の潜在的な「被害者」を発見したという事実から始まります。

и

次の記録されたインシデント - ホスト 192.168.3.225 は、以前に特定されたアドレスにある RDP サービス (ポート 3389) でパスワードをブルート フォース攻撃するブルート フォース攻撃を開始します。

攻撃の結果、ハッキングされたホストの XNUMX つで SMTP 異常が検出されました。 言い換えれば、SPAM が始まっています。

この例は、システム、特に異常検出セキュリティ モジュールの機能を明確に示しています。 有効性はご自身でご判断ください。 これで、ソリューションの機能の概要は終わりです。

まとめ

Flowmon についてどのような結論を導き出せるかをまとめてみましょう。

• Flowmon は法人顧客向けのプレミアム ソリューションです。
• その多用途性と互換性のおかげで、ネットワーク機器 (Cisco、Juniper、HPE、Huawei...) または独自のプローブ (Flowmon Probe) など、あらゆるソースからデータ収集が可能です。
• このソリューションの拡張性機能により、新しいモジュールを追加してシステムの機能を拡張できるだけでなく、ライセンスに対する柔軟なアプローチにより生産性も向上します。
• このシステムでは、シグネチャフリーの分析テクノロジーを使用することで、ウイルス対策システムや IDS/IPS システムが認識していないゼロデイ攻撃も検出できます。
• ネットワーク上のシステムのインストールと存在に関する完全な「透過性」のおかげで、このソリューションは IT インフラストラクチャの他のノードやコンポーネントの動作に影響を与えません。
• Flowmon は、最大 100 Gbps の速度でのトラフィック監視をサポートする市場で唯一のソリューションです。
• Flowmon は、あらゆる規模のネットワークに対応するソリューションです。
• 同様のソリューションの中で最高の価格/機能比を実現します。

このレビューでは、ソリューションの全機能の 10% 未満を検査しました。 次の記事では、残りの Flowmon Networks モジュールについて説明します。 例としてアプリケーション パフォーマンス監視モジュールを使用して、ビジネス アプリケーション管理者が特定の SLA レベルでの可用性を確保し、できるだけ早く問題を診断する方法を示します。

また、ベンダー Flowmon Networks のソリューションに特化したウェビナー (10.09.2019 年 XNUMX 月 XNUMX 日) にもぜひご参加ください。 事前登録をお願いいたします ここに登録.
今回は以上です。ご興味をお持ちいただきありがとうございます。

登録ユーザーのみがアンケートに参加できます。 ログインお願いします。

ネットワーク監視に Netflow を使用していますか?

• はい

• いいえ、でもそのつもりです

• ノー

9 人のユーザーが投票しました。 3名のユーザーが棄権した。

出所： habr.com