Pemantauan jaringan lan deteksi aktivitas jaringan anomali nggunakake solusi Flowmon Networks

Bubar, sampeyan bisa nemokake akeh materi ing topik ing Internet. analisis lalu lintas ing perimeter jaringan. Ing wektu sing padha, sakperangan alesan everyone lali bab analisis lalu lintas lokal, sing ora kalah penting. Artikel iki alamat saben topik iki. Tuladhane Jaringan Flowmon kita bakal ngelingi Netflow lawas sing apik (lan alternatif), deleng kasus sing menarik, kemungkinan anomali ing jaringan lan ngerteni keuntungan saka solusi kasebut nalika kabeh jaringan dianggo minangka sensor siji. Lan sing paling penting, sampeyan bisa nindakake analisis lalu lintas lokal kanthi gratis, ing kerangka lisensi uji coba (45 dina). Yen topik menarik kanggo sampeyan, welcome to cat. Yen sampeyan kesed maca, banjur, looking ahead, sampeyan bisa ndhaftar kanggo webinar mbesuk, ing ngendi kita bakal nuduhake lan ngandhani kabeh (sampeyan uga bisa sinau babagan latihan produk sing bakal teka ing kana).

Apa iku Flowmon Networks?

Kaping pisanan, Flowmon minangka vendor IT Eropa. Perusahaan iki Ceko, kanthi markas ing Brno (masalah sanksi malah ora diangkat). Ing wangun saiki, perusahaan wis ing pasar wiwit 2007. Sadurunge, iki dikenal ing merek Invea-Tech. Dadi, total, meh 20 taun digunakake kanggo ngembangake produk lan solusi.

Flowmon dipanggonke minangka merek kelas A. Ngembangake solusi premium kanggo pelanggan perusahaan lan kacathet ing kothak Gartner ing area Network Performance Monitoring and Diagnostics (NPMD). Kajaba iku, sing menarik, kabeh perusahaan ing laporan kasebut, Flowmon minangka siji-sijine vendor sing dicathet dening Gartner minangka produsen solusi kanggo ngawasi jaringan lan proteksi informasi (Analisis Perilaku Jaringan). Iku durung njupuk Panggonan pisanan, nanging amarga iki ora ngadeg kaya swiwi Boeing.

Apa masalah sing dirampungake produk?

Sacara global, kita bisa mbedakake klompok tugas ing ngisor iki sing ditanggulangi dening produk perusahaan:

1. nambah stabilitas jaringan, uga sumber daya jaringan, kanthi nyuda downtime lan ora kasedhiya;
2. nambah tingkat sakabèhé saka kinerja jaringan;
3. nambah efisiensi personel administratif amarga:
   • nggunakake alat ngawasi jaringan inovatif modern adhedhasar informasi babagan aliran IP;
   • nyedhiyakake analytics rinci babagan fungsi lan negara jaringan - pangguna lan aplikasi sing mlaku ing jaringan, data sing dikirim, sumber daya sesambungan, layanan lan node;
   • nanggapi kedadeyan sadurunge kedadeyan, lan ora sawise pangguna lan klien kelangan layanan;
   • nyuda wektu lan sumber daya sing dibutuhake kanggo ngatur jaringan lan infrastruktur IT;
   • nyederhanakake tugas ngatasi masalah.
4. nambah tingkat keamanan jaringan lan sumber informasi perusahaan, liwat nggunakake teknologi non-signature kanggo ndeteksi aktivitas jaringan anomali lan angkoro, uga "serangan zero-day";
5. njamin tingkat SLA sing dibutuhake kanggo aplikasi jaringan lan database.

Portofolio Produk Flowmon Networks

Saiki ayo langsung ndeleng portofolio produk Flowmon Networks lan temokake apa sing ditindakake perusahaan. Minangka akeh sing wis ditebak saka jeneng kasebut, spesialisasi utama yaiku solusi kanggo ngawasi lalu lintas aliran streaming, ditambah karo sawetara modul tambahan sing ngembangake fungsi dhasar.

Nyatane, Flowmon bisa diarani perusahaan siji produk, utawa luwih, siji solusi. Ayo ngerteni apa iki apik utawa ala.

Inti sistem yaiku kolektor, sing tanggung jawab kanggo ngumpulake data nggunakake macem-macem protokol aliran, kayata NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Iku cukup logis sing kanggo perusahaan sing ora afiliasi karo sembarang Produsèn peralatan jaringan, iku penting kanggo kurban pasar produk universal sing ora kaiket siji standar utawa protokol.

Kolektor Flowmon

Penagih kasedhiya minangka server hardware lan minangka mesin virtual (VMware, Hyper-V, KVM). Miturut cara, platform hardware dileksanakake ing server DELL selaras, kang kanthi otomatis ngilangake paling saka masalah karo babar pisan lan RMA. Siji-sijine komponen hardware eksklusif yaiku kertu panangkepan lalu lintas FPGA sing dikembangake dening anak perusahaan Flowmon, sing ngidini ngawasi kanthi kecepatan nganti 100 Gbps.

Nanging apa sing kudu ditindakake yen peralatan jaringan sing ana ora bisa ngasilake aliran kualitas dhuwur? Utawa beban ing peralatan dhuwur banget? Ora masalah:

Flowmon Prob

Ing kasus iki, Flowmon Networks nawakake nggunakake probe dhewe (Flowmon Probe), sing disambungake menyang jaringan liwat port SPAN saka switch utawa nggunakake splitter TAP pasif.

SPAN (port pangilon) lan opsi implementasine TAP

Ing kasus iki, lalu lintas mentah sing teka ing Flowmon Probe diowahi dadi IPFIX sing ditambahi sing ngemot luwih akeh. 240 metrik kanthi informasi. Nalika protokol NetFlow standar sing digawe dening peralatan jaringan ngemot ora luwih saka 80 metrik. Iki ngidini visibilitas protokol ora mung ing level 3 lan 4, nanging uga ing level 7 miturut model ISO OSI. Akibaté, administrator jaringan bisa ngawasi fungsi aplikasi lan protokol kayata e-mail, HTTP, DNS, SMB...

Secara konseptual, arsitektur logis sistem katon kaya iki:

Bagian tengah saka kabeh "ekosistem" Flowmon Networks yaiku Kolektor, sing nampa lalu lintas saka peralatan jaringan sing ana utawa probe dhewe (Probe). Nanging kanggo solusi Enterprise, nyedhiyakake fungsi mung kanggo ngawasi lalu lintas jaringan bakal gampang banget. Solusi Open Source uga bisa nindakake iki, sanajan ora kanthi kinerja kasebut. Nilai Flowmon minangka modul tambahan sing ngembangake fungsi dhasar:

• modul Keamanan Deteksi Anomali - identifikasi aktivitas jaringan anomali, kalebu serangan nol dina, adhedhasar analisis heuristik lalu lintas lan profil jaringan khas;
• modul Ngawasi Performance Aplikasi - ngawasi kinerja aplikasi jaringan tanpa nginstal "agen" lan mengaruhi sistem target;
• modul Perekam Lalu Lintas – ngrekam fragmen lalu lintas jaringan miturut sakumpulan aturan sing wis ditemtokake utawa miturut pemicu saka modul ADS, kanggo ngatasi masalah luwih lanjut lan/utawa diselidiki kedadeyan keamanan informasi;
• modul DDoS Protection - pangayoman perimeter jaringan saka volumetrik DoS / DDoS penolakan serangan layanan, kalebu serangan ing aplikasi (OSI L3 / L4 / L7).

Ing artikel iki, kita bakal ndeleng carane kabeh bisa digunakake kanthi nggunakake conto 2 modul - Ngawasi Kinerja Jaringan lan Diagnostik и Keamanan Deteksi Anomali.
Data sumber:

• Server Lenovo RS 140 karo VMware 6.0 hypervisor;
• Gambar mesin virtual Flowmon Collector sing bisa download kene;
• sepasang saklar sing ndhukung protokol aliran.

Langkah 1. Instal Flowmon Collector

Penyebaran mesin virtual ing VMware dumadi kanthi cara standar saka cithakan OVF. Akibaté, kita entuk mesin virtual sing mbukak CentOS lan piranti lunak sing siap digunakake. Persyaratan sumber daya manungsa:

Kabeh sing isih ana yaiku nindakake initialization dhasar nggunakake printah sysconfig:

Kita ngatur IP ing port manajemen, DNS, wektu, Hostname lan bisa nyambung menyang antarmuka WEB.

Langkah 2. Lisensi instalasi

Lisensi nyoba kanggo siji setengah sasi digawe lan diundhuh bebarengan karo gambar mesin virtual. Dimuat liwat Pusat Konfigurasi -> Lisensi. Akibaté, kita ndeleng:

Kabeh wis siyap. Sampeyan bisa miwiti kerja.

Langkah 3. Nyetel panrima ing kolektor

Ing tahap iki, sampeyan kudu mutusake carane sistem bakal nampa data saka sumber. Kita ngandika sadurungé, iki bisa dadi salah siji saka protokol aliran utawa port SPAN ing ngalih.

Ing conto kita, kita bakal nggunakake panrima data nggunakake protokol NetFlow v9 lan IPFIX. Ing kasus iki, kita nemtokake alamat IP antarmuka Manajemen minangka target - 192.168.78.198. Antarmuka eth2 lan eth3 (karo jinis antarmuka Monitoring) digunakake kanggo nampa salinan lalu lintas "mentah" saka port SPAN switch. We supaya wong liwat, ora kasus kita.
Sabanjure, kita mriksa port kolektor ing ngendi lalu lintas kudu dituju.

Ing kasus kita, kolektor ngrungokake lalu lintas ing port UDP/2055.

Langkah 4. Konfigurasi peralatan jaringan kanggo ekspor aliran

Nyetel NetFlow ing peralatan Cisco Systems mbokmenawa bisa diarani tugas sing umum kanggo administrator jaringan. Contone, kita bakal njupuk sing luwih ora biasa. Contone, router MikroTik RB2011UiAS-2HnD. Ya, cukup aneh, solusi anggaran kasebut kanggo kantor cilik lan omah uga ndhukung protokol NetFlow v5/v9 lan IPFIX. Ing setelan, setel target (alamat kolektor 192.168.78.198 lan port 2055):

Lan tambahake kabeh metrik sing kasedhiya kanggo ekspor:

Ing titik iki kita bisa ngomong yen persiyapan dhasar wis rampung. Kita mriksa apa lalu lintas mlebu sistem.

Langkah 5: Nguji lan Ngoperasikake Modul Pemantauan lan Diagnostik Kinerja Jaringan

Sampeyan bisa mriksa anané lalu lintas saka sumber ing bagean kasebut Pusat Pemantauan Flowmon -> Sumber:

Kita weruh yen data mlebu sistem. Sawetara wektu sawise kolektor wis nglumpukake lalu lintas, widget bakal miwiti nampilake informasi:

Sistem kasebut dibangun kanthi prinsip pengeboran. Sing, pangguna, nalika milih fragmen kapentingan ing diagram utawa grafik, "mudhun" menyang tingkat ambane data sing perlu:

Informasi babagan saben sambungan lan sambungan jaringan:

Langkah 6. Modul Keamanan Deteksi Anomali

Modul iki bisa uga diarani minangka salah sawijining sing paling menarik, amarga nggunakake metode bebas teken kanggo ndeteksi anomali ing lalu lintas jaringan lan aktivitas jaringan sing ala. Nanging iki dudu analog saka sistem IDS / IPS. Nggarap modul diwiwiti kanthi "latihan". Kanggo nindakake iki, tuntunan khusus nemtokake kabeh komponen utama lan layanan jaringan, kalebu:

• alamat gateway, DNS, DHCP lan server NTP,
• alamat ing segmen pangguna lan server.

Sawise iki, sistem dadi mode latihan, sing rata-rata saka 2 minggu nganti 1 sasi. Sajrone wektu iki, sistem ngasilake lalu lintas baseline sing khusus kanggo jaringan kita. Cukup, sistem sinau:

• prilaku apa sing khas kanggo node jaringan?
• Apa volume data sing biasane ditransfer lan normal kanggo jaringan?
• Apa wektu operasi khas kanggo pangguna?
• aplikasi apa sing mbukak ing jaringan?
• lan akeh liyane..

Akibaté, kita entuk alat sing ngenali anomali ing jaringan kita lan panyimpangan saka prilaku khas. Ing ngisor iki sawetara conto sing ngidini sampeyan ndeteksi sistem:

• distribusi malware anyar ing jaringan sing ora dideteksi dening tanda tangan antivirus;
• mbangun DNS, ICMP utawa terowongan liyane lan ngirim data liwat firewall;
• katon saka komputer anyar ing jaringan posing minangka DHCP lan / utawa server DNS.

Ayo ndeleng apa sing katon urip. Sawise sistem sampeyan wis dilatih lan nggawe garis dasar lalu lintas jaringan, sistem kasebut wiwit ndeteksi kedadeyan:

Kaca utama modul minangka garis wektu sing nuduhake kedadeyan sing diidentifikasi. Ing conto kita, kita ndeleng spike sing cetha, kira-kira antarane 9 lan 16 jam. Ayo dipilih lan katon luwih rinci.

Prilaku anomali panyerang ing jaringan katon kanthi jelas. Kabeh diwiwiti kanthi kasunyatan manawa host kanthi alamat 192.168.3.225 miwiti scan horisontal jaringan ing port 3389 (layanan Microsoft RDP) lan nemokake 14 "korban" potensial:

и

Kedadeyan sing direkam ing ngisor iki - host 192.168.3.225 miwiti serangan brute force kanggo brute force sandhi ing layanan RDP (port 3389) ing alamat sing wis ditemtokake sadurunge:

Akibat serangan kasebut, anomali SMTP dideteksi ing salah sawijining host sing disusupi. Kanthi tembung liyane, SPAM wis diwiwiti:

Conto iki minangka demonstrasi sing jelas babagan kemampuan sistem lan khususe modul Keamanan Deteksi Anomali. Ngadili efektifitas dhewe. Iki nyimpulake ringkesan fungsional saka solusi kasebut.

kesimpulan

Ayo ngringkes kesimpulan apa sing bisa ditindakake babagan Flowmon:

• Flowmon minangka solusi premium kanggo pelanggan perusahaan;
• thanks kanggo versatility lan kompatibilitas, koleksi data kasedhiya saka sembarang sumber: peralatan jaringan (Cisco, Juniper, HPE, Huawei ...) utawa probe dhewe (Flowmon Probe);
• Kapabilitas skalabilitas solusi ngidini sampeyan nggedhekake fungsi sistem kanthi nambah modul anyar, uga nambah produktivitas amarga pendekatan fleksibel kanggo lisensi;
• liwat nggunakake teknologi analisis teken-free, sistem ngijini sampeyan kanggo ndeteksi serangan nul dina malah ora dingerteni kanggo antivirus lan sistem IDS/IPS;
• thanks kanggo ngrampungake "transparansi" babagan instalasi lan ngarsane sistem ing jaringan - solusi kasebut ora mengaruhi operasi node lan komponen infrastruktur IT liyane;
• Flowmon minangka solusi mung ing pasar sing ndhukung ngawasi lalu lintas kanthi kecepatan nganti 100 Gbps;
• Flowmon minangka solusi kanggo jaringan apa wae;
• rasio rega / fungsi paling apik ing antarane solusi sing padha.

Ing review iki, kita nliti kurang saka 10% saka total fungsi solusi. Ing artikel sabanjure kita bakal ngomong babagan modul Flowmon Networks sing isih ana. Nggunakake modul Pemantauan Kinerja Aplikasi minangka conto, kita bakal nuduhake carane pangurus aplikasi bisnis bisa njamin kasedhiyan ing tingkat SLA tartamtu, uga diagnosa masalah kanthi cepet.

Kajaba iku, kita pengin ngajak sampeyan menyang webinar (10.09.2019/XNUMX/XNUMX) khusus kanggo solusi vendor Flowmon Networks. Kanggo pra-registrasi, kita takon sampeyan ndhaftar kene.
Iku kabeh kanggo saiki, matur nuwun kanggo kapentingan!

Mung pangguna pangguna sing bisa melu survey. mlebunggih.

Apa sampeyan nggunakake Netflow kanggo ngawasi jaringan?

• Ya

• Ora, nanging aku rencana

• Ora

9 pangguna milih. 3 pangguna abstain.

Source: www.habr.com