Flowmon Networks шешімдерінің көмегімен желіні бақылау және аномальды желі белсенділігін анықтау

Жақында сіз Интернетте тақырып бойынша көптеген материалдарды таба аласыз. желі периметрі бойынша трафикті талдау. Сонымен бірге, қандай да бір себептермен бәрі мүлдем ұмытып кетті жергілікті трафикті талдау, бұл маңызды емес. Бұл мақала дәл осы тақырыпқа арналған. Мысалы Flowmon желілері біз ескі жақсы Netflow-ты (және оның баламаларын) еске түсіреміз, қызықты жағдайларды, желідегі мүмкін ауытқуларды қарастырамыз және шешімнің артықшылықтарын білеміз. бүкіл желі бір сенсор ретінде жұмыс істейді. Ең бастысы, сіз жергілікті трафикті талдауды сынақ лицензиясы аясында толығымен тегін жүргізе аласыз (45 күн). Егер тақырып сізді қызықтырса, мысыққа қош келдіңіз. Егер сіз оқуға тым жалқау болсаңыз, болашаққа қарап, тіркеле аласыз алдағы вебинар, онда біз сізге барлығын көрсетіп, айтып береміз (сонымен қатар алдағы өнімді оқыту туралы сол жерден біле аласыз).

Flowmon Networks дегеніміз не?

Біріншіден, Flowmon – еуропалық IT жеткізушісі. Компания чехиялық, штаб-пәтері Брно қаласында (санкция мәселесі тіпті көтерілмеген). Қазіргі күйінде компания нарықта 2007 жылдан бері жұмыс істейді. Бұрын ол Invea-Tech брендімен белгілі болды. Осылайша, өнімдер мен шешімдерді әзірлеуге барлығы 20 жылға жуық уақыт жұмсалды.

Flowmon A класындағы бренд ретінде орналасқан. Кәсіпорын тұтынушылары үшін премиум шешімдерді әзірлейді және желі өнімділігін бақылау және диагностикалау (NPMD) үшін Gartner қораптарында танылады. Сонымен қатар, бір қызығы, есептегі барлық компаниялардың ішінде Flowmon - Gartner желіні бақылауға және ақпаратты қорғауға арналған шешімдерді өндіруші ретінде атап өткен жалғыз жеткізуші (Желілік мінез-құлық талдауы). Ол әлі бірінші орын алған жоқ, бірақ осыған байланысты ол Боинг қанаты сияқты тұрмайды.

Өнім қандай мәселелерді шешеді?

Жаһандық деңгейде біз компания өнімдерімен шешілетін міндеттердің келесі пулын ажырата аламыз:

1. желінің тұрақтылығын, сондай-ақ желі ресурстарын олардың тоқтап тұруын және қолжетімсіздігін азайту арқылы арттыру;
2. желі өнімділігінің жалпы деңгейін арттыру;
3. әкімшілік персонал жұмысының тиімділігін арттыру:
   • IP ағындары туралы ақпарат негізінде желіні бақылаудың заманауи инновациялық құралдарын пайдалану;
   • желінің жұмыс істеуі мен жай-күйі туралы егжей-тегжейлі талдауды қамтамасыз ету - желіде жұмыс істейтін пайдаланушылар мен қолданбалар, жіберілетін деректер, өзара әрекеттесетін ресурстар, қызметтер мен түйіндер;
   • пайдаланушылар мен клиенттер қызметті жоғалтқаннан кейін емес, оқиғалар болғанға дейін жауап беру;
   • желіні және АТ инфрақұрылымын басқаруға қажетті уақыт пен ресурстарды қысқарту;
   • ақауларды жою тапсырмаларын жеңілдету.
4. аномальді және зиянды желілік белсенділікті, сондай-ақ «нөлдік күндік шабуылдарды» анықтау үшін қолтаңбасыз технологияларды қолдану арқылы кәсіпорынның желісі мен ақпараттық ресурстарының қауіпсіздік деңгейін арттыру;
5. желілік қолданбалар мен дерекқорлар үшін SLA қажетті деңгейін қамтамасыз ету.

Flowmon Networks өнім портфолиосы

Енді Flowmon Networks өнім портфолиосына тікелей қарап, компанияның нақты не істейтінін білейік. Көпшілік атаудан болжағандай, негізгі мамандану ағынды трафикті бақылау шешімдерінде, сонымен қатар негізгі функционалдылықты кеңейтетін бірқатар қосымша модульдерде.

Шын мәнінде, Флоумонды бір өнімнің, дәлірек айтқанда, бір шешімнің компаниясы деп атауға болады. Бұл жақсы немесе жаман екенін анықтайық.

Жүйенің өзегі коллектор болып табылады, ол әртүрлі ағын хаттамалары арқылы деректерді жинауға жауап береді, мысалы NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX...Ешбір желілік жабдық өндірушісімен байланысы жоқ компания үшін нарыққа ешбір стандартқа немесе хаттамаға байланбаған әмбебап өнімді ұсыну маңызды екені әбден қисынды.

Flowmon коллекторы

Коллектор аппараттық сервер ретінде де, виртуалды машина (VMware, Hyper-V, KVM) ретінде де қол жетімді. Айтпақшы, аппараттық платформа теңшелген DELL серверлерінде жүзеге асырылады, ол кепілдік және RMA мәселелерінің көпшілігін автоматты түрде жояды. Жалғыз меншікті аппараттық құрамдас бөліктер 100 Гбит/с жылдамдықпен бақылауға мүмкіндік беретін Flowmon еншілес компаниясы әзірлеген FPGA трафикті түсіру карталары болып табылады.

Бірақ қолданыстағы желілік жабдық жоғары сапалы ағын жасай алмаса не істеу керек? Немесе жабдыққа түсетін жүктеме тым жоғары ма? Проблема емес:

Flowmon Prob

Бұл жағдайда Flowmon Networks коммутатордың SPAN порты арқылы желіге қосылған немесе пассивті TAP бөлгіштері арқылы қосылған өзіндік зондтарды (Flowmon Probe) пайдалануды ұсынады.

SPAN (айна порты) және TAP іске асыру опциялары

Бұл жағдайда Flowmon зондына келетін өңделмеген трафик қосымша ақпаратты қамтитын кеңейтілген IPFIX түрлендіріледі. Ақпараты бар 240 метрика. Желілік жабдық арқылы жасалған стандартты NetFlow протоколында 80 метрден аспайды. Бұл тек 3 және 4 деңгейлерде ғана емес, сонымен қатар ISO OSI үлгісіне сәйкес 7 деңгейде де хаттаманың көрінуіне мүмкіндік береді. Нәтижесінде желі әкімшілері электрондық пошта, HTTP, DNS, SMB... сияқты қолданбалар мен хаттамалардың жұмысын бақылай алады.

Тұжырымдама бойынша жүйенің логикалық архитектурасы келесідей көрінеді:

Бүкіл Flowmon Networks «экожүйесінің» орталық бөлігі қолданыстағы желілік жабдықтан немесе өзінің зондтарынан (Зонд) трафикті қабылдайтын Коллектор болып табылады. Бірақ Enterprise шешімі үшін тек желілік трафикті бақылау үшін функционалдылықты қамтамасыз ету тым қарапайым болар еді. Ашық бастапқы шешімдер де мұндай өнімділікпен болмаса да, мұны істей алады. Flowmon мәні негізгі функционалдылықты кеңейтетін қосымша модульдер болып табылады:

• модуль Аномалияларды анықтау қауіпсіздігі – трафиктің эвристикалық талдауы мен типтік желі профилі негізінде нөлдік күндік шабуылдарды қоса алғанда, аномальдық желілік белсенділікті анықтау;
• модуль Қолданбалардың өнімділігін бақылау – «агенттерді» орнатпай және мақсатты жүйелерге әсер етпей, желілік қосымшалардың өнімділігін бақылау;
• модуль Traffic Recorder – алдын ала анықталған ережелер жиынтығына сәйкес немесе ADS модулінің триггеріне сәйкес желілік трафик фрагменттерін одан әрі ақаулықтарды жою және/немесе ақпараттық қауіпсіздік инциденттерін тергеу үшін жазу;
• модуль DDoS қорғауы – желі периметрін көлемді DoS/DDoS қызмет көрсету шабуылдарынан, соның ішінде қолданбаларға жасалған шабуылдардан қорғау (OSI L3/L4/L7).

Бұл мақалада біз 2 модульдің мысалын қолдана отырып, барлығы қалай жұмыс істейтінін қарастырамыз - Желінің өнімділігін бақылау және диагностикалау и Аномалияларды анықтау қауіпсіздігі.
Бастапқы деректер:

• VMware 140 гипервизоры бар Lenovo RS 6.0 сервері;
• Flowmon Collector виртуалды машинасының кескіні мұнда жүктеп алыңыз;
• ағын хаттамаларын қолдайтын қосқыштар жұбы.

1-қадам. Flowmon Collector орнатыңыз

VMware жүйесінде виртуалды машинаны орналастыру OVF үлгісінен толығымен стандартты түрде жүзеге асырылады. Нәтижесінде біз CentOS жүйесімен жұмыс істейтін және пайдалануға дайын бағдарламалық жасақтамасы бар виртуалды машинаны аламыз. Ресурстарға қойылатын талаптар адамдық:

Пәрмен арқылы негізгі инициализацияны орындау ғана қалады sysconfig:

Біз басқару портында, DNS, уақыт, хост атауы бойынша IP конфигурациялаймыз және WEB интерфейсіне қосыла аламыз.

2-қадам. Лицензияны орнату

Бір жарым айға арналған сынақ лицензиясы виртуалды машина кескінімен бірге жасалады және жүктеледі. арқылы жүктелді Конфигурация орталығы -> Лицензия. Нәтижесінде біз көреміз:

Бәрі дайын. Жұмысты бастауға болады.

3-қадам. Коллектордағы қабылдағышты орнату

Бұл кезеңде жүйе көздерден деректерді қалай алатынын шешу керек. Жоғарыда айтқанымыздай, бұл ағын хаттамаларының бірі немесе коммутатордағы SPAN порты болуы мүмкін.

Біздің мысалда біз протоколдар арқылы деректерді қабылдауды қолданамыз NetFlow v9 және IPFIX. Бұл жағдайда мақсат ретінде басқару интерфейсінің IP мекенжайын көрсетеміз - 192.168.78.198. eth2 және eth3 интерфейстері (мониторинг интерфейсінің түрі бар) коммутатордың SPAN портынан «шикі» трафиктің көшірмесін алу үшін пайдаланылады. Біз өз ісіміз емес, оларға жол бердік.
Әрі қарай, біз трафик өтуі керек коллекторлық портты тексереміз.

Біздің жағдайда коллектор UDP/2055 портындағы трафикті тыңдайды.

Қадам 4. Ағынды экспорттау үшін желілік жабдықты конфигурациялау

Cisco Systems жабдығында NetFlow орнатуды кез келген желі әкімшісі үшін толығымен ортақ тапсырма деп атауға болады. Біздің мысал үшін біз әдеттен тыс нәрсені аламыз. Мысалы, MikroTik RB2011UiAS-2HnD маршрутизаторы. Иә, бір қызығы, шағын және үй кеңселеріне арналған мұндай бюджеттік шешім NetFlow v5/v9 және IPFIX протоколдарын да қолдайды. Параметрлерде мақсатты орнатыңыз (коллектор мекенжайы 192.168.78.198 және порт 2055):

Экспорттауға болатын барлық көрсеткіштерді қосыңыз:

Осы кезде негізгі орнату аяқталды деп айта аламыз. Біз трафиктің жүйеге кіріп жатқанын тексереміз.

5-қадам: Желі өнімділігін бақылау және диагностикалау модулін сынау және пайдалану

Бөлімде көзден трафиктің болуын тексеруге болады Flowmon мониторинг орталығы -> Көздер:

Деректер жүйеге еніп жатқанын көреміз. Коллектор трафикті жинағаннан кейін біраз уақыттан кейін виджеттер ақпаратты көрсете бастайды:

Жүйе бұрғылау принципіне негізделген. Яғни, пайдаланушы диаграммаға немесе графикке қызығушылық фрагментін таңдағанда, оған қажет деректер тереңдігі деңгейіне «құлайды»:

Әрбір желі қосылымы мен қосылымы туралы ақпаратқа өтіңіз:

Қадам 6. Аномалияны анықтау қауіпсіздік модулі

Бұл модульді желілік трафик пен зиянды желі әрекетіндегі ауытқуларды анықтаудың қолтаңбасыз әдістерін қолдану арқасында ең қызықты деп атауға болады. Бірақ бұл IDS/IPS жүйелерінің аналогы емес. Модульмен жұмыс оның «жаттығуынан» басталады. Ол үшін арнайы шебер желінің барлық негізгі компоненттері мен қызметтерін көрсетеді, соның ішінде:

• шлюз мекенжайлары, DNS, DHCP және NTP серверлері,
• пайдаланушы және сервер сегменттерінде адрестеу.

Осыдан кейін жүйе оқу режиміне өтеді, ол орташа есеппен 2 аптадан 1 айға дейін созылады. Осы уақыт ішінде жүйе желіге тән негізгі трафикті жасайды. Қарапайым тілмен айтқанда, жүйе мыналарды үйренеді:

• желі түйіндеріне қандай мінез-құлық тән?
• Қандай деректер көлемі әдетте тасымалданады және желі үшін қалыпты болып табылады?
• Пайдаланушылар үшін әдеттегі жұмыс уақыты қандай?
• желіде қандай қолданбалар жұмыс істейді?
• және тағы басқалар..

Нәтижесінде біз желідегі кез келген ауытқуларды және әдеттегі мінез-құлықтан ауытқуларды анықтайтын құрал аламыз. Міне, жүйе анықтауға мүмкіндік беретін бірнеше мысал:

• антивирустық қолтаңбалармен анықталмаған желіде жаңа зиянды бағдарламаларды тарату;
• DNS, ICMP немесе басқа туннельдерді құру және брандмауэрді айналып өтіп деректерді беру;
• желіде DHCP және/немесе DNS сервері ретінде көрінетін жаңа компьютердің пайда болуы.

Тікелей эфирде оның қандай болатынын көрейік. Жүйеңіз оқытылып, желілік трафиктің негізгі сызығын құрғаннан кейін ол инциденттерді анықтай бастайды:

Модульдің негізгі беті анықталған оқиғаларды көрсететін уақыт шкаласы болып табылады. Біздің мысалда біз шамамен 9 және 16 сағат аралығындағы айқын өсуді көреміз. Оны таңдап, толығырақ қарастырайық.

Шабуылдаушының желідегі аномальды әрекеті анық көрінеді. Мұның бәрі 192.168.3.225 мекенжайы бар хост 3389 портында (Microsoft RDP қызметі) желіні көлденең сканерлеуді бастағанынан және 14 ықтимал «құрбанды» тапқанынан басталады:

и

Келесі жазылған оқиға – 192.168.3.225 хосты бұрын анықталған мекенжайлардағы RDP қызметіндегі (порт 3389) құпия сөздерге қатал күш шабуылын бастайды:

Шабуыл нәтижесінде бұзылған хосттардың бірінде SMTP аномалиясы анықталды. Басқаша айтқанда, СПАМ басталды:

Бұл мысал жүйенің және әсіресе аномалияны анықтау қауіпсіздігі модулінің мүмкіндіктерінің айқын көрінісі болып табылады. Тиімділігін өзіңіз бағалаңыз. Бұл шешімнің функционалды шолуын аяқтайды.

қорытынды

Флоумон туралы қандай қорытынды жасауға болатынын қорытындылайық:

• Flowmon – корпоративтік клиенттерге арналған премиум-шешім;
• әмбебаптығы мен үйлесімділігінің арқасында деректерді жинау кез келген көзден қолжетімді: желілік жабдық (Cisco, Juniper, HPE, Huawei...) немесе өзіңіздің зондтарыңыз (Flowmon Probe);
• Шешімнің масштабтау мүмкіндіктері жаңа модульдерді қосу арқылы жүйенің функционалдығын кеңейтуге, сондай-ақ лицензиялауға икемді тәсілдің арқасында өнімділікті арттыруға мүмкіндік береді;
• қолтаңбасыз талдау технологияларын қолдану арқылы жүйе антивирустар мен IDS/IPS жүйелеріне де белгісіз нөлдік шабуылдарды анықтауға мүмкіндік береді;
• орнату және желіде жүйенің болуы тұрғысынан толық «мөлдірліктің» арқасында - шешім сіздің АТ-инфрақұрылымыңыздың басқа түйіндері мен компоненттерінің жұмысына әсер етпейді;
• Flowmon - 100 Гбит/с жылдамдықпен трафикті бақылауды қолдайтын нарықтағы жалғыз шешім;
• Flowmon - кез келген масштабтағы желілерге арналған шешім;
• ұқсас шешімдер арасындағы ең жақсы баға/функционалдық қатынасы.

Бұл шолуда біз шешімнің жалпы функционалдығының 10%-дан азын зерттедік. Келесі мақалада қалған Flowmon Networks модульдері туралы айтатын боламыз. Қолданба өнімділігін бақылау модулін мысал ретінде пайдалана отырып, біз іскери қолданба әкімшілерінің берілген SLA деңгейінде қолжетімділікті қалай қамтамасыз ете алатынын, сондай-ақ ақаулықтарды мүмкіндігінше тез диагностикалай алатынын көрсетеміз.

Сондай-ақ, біз сізді Flowmon Networks жеткізушісінің шешімдеріне арналған вебинарымызға (10.09.2019) шақырамыз. Алдын ала тіркелу үшін сізден сұраймыз осында тіркеліңіз.
Әзірше осымен, қызығушылық танытқандарыңызға рахмет!

Сауалнамаға тек тіркелген пайдаланушылар қатыса алады. Кіру, өтінемін.

Сіз желіні бақылау үшін Netflow пайдаланасыз ба?

• сол

• Жоқ, бірақ мен жоспарлап отырмын

• жоқ

9 пайдаланушы дауыс берді. 3 пайдаланушы қалыс қалды.

Ақпарат көзі: www.habr.com