🥇Şopandina torê û tespîtkirina çalakiya torê ya anormal bi karanîna çareseriyên Tora Flowmon

Di demên dawî de, hûn dikarin li ser Înternetê gelek materyalên li ser mijarê bibînin. analîza trafîkê li perimetra torê. Di heman demê de, ji ber hin sedeman her kes bi tevahî ji bîr kir analîza trafîkê herêmî, ku ne kêmtir girîng e. Ev gotar bi rastî vê mijarê vedigire. Bo nimûne Torên Flowmon em ê Netflow-a kevnare ya baş (û alternatîfên wê) bi bîr bînin, li dozên balkêş, anomalîyên gengaz ên di torê de binihêrin û gava ku avantajên çareseriyê fêr bibin tevahiya torê wekî senzorek yekane dixebite. Û ya herî girîng, hûn dikarin analîzek wusa ya seyrûsefera herêmî bi tevahî belaş, di çarçoveya destûrnameyek ceribandinê de bikin (Rojên 45). Ger mijar ji we re balkêş e, hûn bi xêr hatin pisîkê. Heke hûn ji xwendinê pir tembel in, wê hingê, li pêş çavan, hûn dikarin xwe qeyd bikin webinar tê, ku em ê her tiştî nîşanî we bidin û ji we re vebêjin (hûn dikarin li wir fêrî perwerdehiya hilberê ya pêşerojê jî bibin).

Tora Flowmon çi ye?

Berî her tiştî, Flowmon firoşkarek IT-ya Ewropî ye. Pargîdanî Czechek e, ku navenda wê li Brno ye (mijara cezayan jî nayê rojevê). Di forma xwe ya niha de, pargîdanî ji sala 2007-an vir ve li sûkê ye. Berê, ew di bin marqeya Invea-Tech de dihat zanîn. Ji ber vê yekê, bi tevahî, hema hema 20 sal ji bo pêşxistina hilber û çareseriyan derbas bûn.

Flowmon wekî marqeya pola A-yê tête cih kirin. Ji bo xerîdarên pargîdaniyê çareseriyên premium pêş dixe û di qutiyên Gartner de ji bo Çavdêrî û Teşhîskirina Performansa Torê (NPMD) tê nas kirin. Wekî din, balkêş e, ji hemî pargîdaniyên di raporê de, Flowmon firoşkarê yekane ye ku ji hêla Gartner ve wekî hilberînerê çareseriyê hem ji bo şopandina torê û hem jî ji bo parastina agahdariyê (Analîzkirina Behaviorê ya Torê) hatî destnîşan kirin. Ew hîna cîhê yekem nagire, lê ji ber vê yekê ew wekî baskê Boeing namîne.

Hilber çi pirsgirêkan çareser dike?

Di gerdûnî de, em dikarin hewza peywirên jêrîn ên ku ji hêla hilberên pargîdaniyê ve têne çareser kirin veqetînin:

zêdekirina îstîqrara torê, û her weha çavkaniyên torê, bi kêmkirina dem û nebûna wan;
zêdekirina asta giştî ya performansa torê;
zêdekirina karbidestiya personelên îdarî ji ber:
- bikaranîna amûrên şopandina torê yên nûjen ên nûjen ên ku li ser bingeha agahdariya di derbarê herikîna IP-yê de ne;
- peydakirina analîtîkên hûrgulî di derbarê kar û rewşa torê de - bikarhêner û serîlêdanên ku li ser torê dixebitin, daneyên veguheztin, çavkaniyên hevberdanê, karûbar û nod;
- Bersiva bûyeran berî ku ew diqewimin, û ne piştî ku bikarhêner û xerîdar karûbarê winda dikin;
- kêmkirina dem û çavkaniyên pêwîst ji bo birêvebirina torê û binesaziya IT;
- hêsankirina karên çareserkirina pirsgirêkan.
zêdekirina asta ewlehiya torê û çavkaniyên agahdariyê yên pargîdaniyê, bi karanîna teknolojiyên ne-îmzayî ji bo tespîtkirina çalakiya torê ya nermalayî û xerab, û her weha "êrîşên roja sifir";
ji bo sepanên torê û databasan asta pêwîst a SLA misoger dike.

Flowmon Networks Portfolio Product

Naha em rasterast li portfolioya hilberê Flowmon Networks binihêrin û fêr bibin ka pargîdanî bi rastî çi dike. Wekî ku gelekan berê ji navê texmîn kirine, pisporiya sereke di çareseriyên ji bo şopandina seyrûsefera seyrûseferê de ye, plus hejmarek modulên din ên ku fonksiyona bingehîn berfireh dikin.

Bi rastî, Flowmon dikare wekî pargîdaniyek yek hilberek, an bêtir, yek çareserî were gotin. Ka em fêhm bikin ka ev baş e an xirab e.

Bingeha pergalê berhevkar e, ku berpirsiyar e ji berhevkirina daneyan bi karanîna protokolên cûda yên herikînê, wek mînak NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Pir mentiqî ye ku ji bo pargîdaniyek ku ne bi hilberînerek alavên torê ve girêdayî ye, girîng e ku meriv hilberek gerdûnî ya ku bi yek standard an protokolê ve ne girêdayî ye pêşkêşî bazarê bike.

Flowmon Collector

Berhevkar hem wekî serverek hardware û hem jî wekî makîneyek virtual (VMware, Hyper-V, KVM) peyda dibe. Bi awayê, platforma hardware li ser serverên DELL-ê yên xwerû tê bicîh kirin, ku bixweber piraniya pirsgirêkên bi garantî û RMA-yê ji holê radike. Tenê hêmanên nermalava xwedan kartên girtina trafîkê ya FPGA-yê ne ku ji hêla pargîdaniyek Flowmon ve hatî pêşve xistin, ku destûrê dide çavdêriyê bi leza 100 Gbps.

Lê heke alavên torê yên heyî nikaribin herikîna kalîteya bilind çêkin çi bikin? An jî barê amûrê pir zêde ye? Bê pirsgirêkê:

Flowmon Prob

Di vê rewşê de, Tora Flowmon pêşniyar dike ku sondajên xwe (Flowmon Probe) bikar bîne, ku bi riya porta SPAN ya veguhêz an bi karanîna dabeşkerên TAP-ê yên pasîf bi torê ve girêdayî ye.

Vebijarkên pêkanîna SPAN (porta neynikê) û TAP

Di vê rewşê de, seyrûsefera xav a ku digihîje Probeya Flowmon veguherî IPFIX-ya berfireh a ku bêtir tê de heye. 240 metrîkên bi agahdarî. Dema ku protokola standard NetFlow ya ku ji hêla alavên torê ve hatî çêkirin ji 80 metrîkan zêdetir nagire. Ev rê dide dîtina protokolê ne tenê li qatên 3 û 4, lê di qata 7 de jî li gorî modela ISO OSI. Wekî encamek, rêvebirên torê dikarin karûbarê serîlêdan û protokolên wekî e-name, HTTP, DNS, SMB bişopînin ...

Bi têgînî, mîmariya mentiqî ya pergalê bi vî rengî xuya dike:

Parçeya navendî ya tevahiya "ekosîstema" Tora Flowmon Kolekter e, ku seyrûseferê ji alavên torê yên heyî an lêkolînên xwe (Probe) distîne. Lê ji bo çareseriyek Enterprise, peydakirina fonksiyonê tenê ji bo şopandina seyrûsefera torê dê pir hêsan be. Çareseriyên Çavkaniya Vekirî jî dikarin vê yekê bikin, her çend ne bi performansa wusa be. Nirxa Flowmon modulên din in ku fonksiyona bingehîn berfireh dikin:

module Ewlekariya Tespîtkirina Anomalî - Nasnameya çalakiya torê ya anormal, tevî êrîşên sifir-roj, li ser bingeha analîza heurîstîkî ya seyrûseferê û profîla torê ya tîpîk;
module Applicationopandina Performansa Serîlêdanê - şopandina performansa sepanên torê bêyî sazkirina "ajanan" û bandorkirina pergalên armanc;
module Traffic Recorder - tomarkirina perçeyên seyrûsefera torê li gorî rêzek rêzikên pêşwext an jî li gorî pêvekek ji modula ADS-ê, ji bo çareserkirin û/an vekolîna bêtir bûyerên ewlehiya agahdariyê;
module Parastina DDoS - parastina dorhêla torê ji êrîşên redkirina karûbarê volumetric DoS/DDoS, tevî êrişên ser sepanan (OSI L3/L4/L7).

Di vê gotarê de, em ê binihêrin ka her tişt çawa bi mînaka 2 modulan zindî dixebite - Şopandina Performansa Torê û Teşhîs и Ewlekariya Tespîtkirina Anomalî.
Daneyên destpêkê:

Pêşkêşkara Lenovo RS 140 bi hîpervisorê VMware 6.0;
Wêneyê makîneya virtual ya Flowmon Collector ku hûn dikarin li vir dakêşin;
cotek guhêrbar ku protokolên herikînê piştgirî dikin.

Gav 1. Flowmon Collector saz bikin

Sazkirina makîneyek virtual li ser VMware bi rengek bi tevahî standard ji şablona OVF pêk tê. Wekî encamek, em makîneyek virtual ku CentOS-ê û bi nermalava amade-kar-bikaranîna xebitîne digirin. Pêdiviyên çavkaniyê mirovahî ne:

Tiştê ku dimîne ev e ku meriv bi karanîna fermanê destpêkirina bingehîn pêk bîne sysconfig:

Em IP-ya li ser porta rêveberiyê, DNS, dem, Navê mêvandar mîheng dikin û dikarin bi navgîniya WEB-ê ve girêbidin.

Gav 2. Sazkirina License de

Destûrnameyek ceribandinê ji bo mehek û nîvê digel wêneya makîneya virtual tê çêkirin û dakêşandin. Bi rêya barkirin Navenda Veavakirinê -> Lîsans. Di encamê de em dibînin:

Hemî amade ye. Hûn dikarin dest bi xebatê bikin.

Gav 3. Sazkirina wergirê li ser kolektorê

Di vê qonaxê de, hûn hewce ne ku biryar bidin ka pergal dê çawa daneyan ji çavkaniyan bistîne. Wekî ku me berê jî got, ev dikare yek ji protokolên herikînê an portek SPAN li ser veguheztinê be.

Di mînaka me de, em ê wergirtina daneyê bi karanîna protokolan bikar bînin NetFlow v9 û IPFIX. Di vê rewşê de, em navnîşana IP-ê ya pêwendiya Rêvebiriyê wekî armanc destnîşan dikin - 192.168.78.198. Navberên eth2 û eth3 (bi celebê navbeynkariya Çavdêriyê) têne bikar anîn da ku kopiyek seyrûsefera "raw" ji porta SPAN ya guheztinê werbigirin. Me rê da wan, ne doza xwe.
Dûv re, em porta berhevokê ya ku divê seyrûsefer lê biçe kontrol bikin.

Di doza me de, berhevkar li seyrûsefera porta UDP/2055 guhdarî dike.

Gav 4. Veavakirina alavên torê ji bo hinardekirina herikînê

Sazkirina NetFlow li ser alavên Cisco Systems belkî ji bo her rêveberê torê karekî bi tevahî hevpar tê gotin. Ji bo nimûneya me, em ê tiştek neasayîtir bigirin. Mînakî, routerê MikroTik RB2011UiAS-2HnD. Erê, pir ecêb, çareseriyek budceya weha ji bo nivîsgehên piçûk û malê jî protokolên NetFlow v5/v9 û IPFIX piştgirî dike. Di mîhengan de, armancê bicîh bikin (navnîşana berhevkar 192.168.78.198 û port 2055):

Û hemî metrîkên ku ji bo hinardekirinê hene lê zêde bikin:

Di vê xalê de em dikarin bibêjin ku sazkirina bingehîn temam bûye. Em kontrol dikin ka seyrûsefer dikeve pergalê.

Gav 5: Ceribandin û xebitandina Modula Şopandin û Teşhîskirina Performansa Torê

Hûn dikarin hebûna seyrûseferê ji çavkaniyê di beşê de kontrol bikin Navenda Çavdêriya Flowmon -> Çavkanî:

Em dibînin ku dane ketine pergalê. Demek piştî ku berhevkar seyrûsefer berhev kir, widgets dê dest bi nîşankirina agahdariyan bikin:

Pergal li ser prensîba drill down ava bûye. Ango, bikarhêner, dema ku perçeyek balkêş li ser diagramek an grafek hildibijêre, "dikeve" asta kûrahiya daneya ku jê re hewce dike:

Agahdariya li ser her girêdan û girêdana torê:

Gav 6. Modula Ewlekariya Tespîtkirina Anomalî

Ji ber bikaranîna rêbazên bê-îmzayê ji bo tespîtkirina anomalî di seyrûsefera torê û çalakiya torê ya xerab de, belkî yek ji wan ên herî balkêş tê gotin. Lê ev ne analoga pergalên IDS/IPS ye. Karkirina bi modulê re bi "perwerdeya" wê dest pê dike. Ji bo vê yekê, sêrbazek taybetî hemî hêman û karûbarên sereke yên torê diyar dike, di nav de:

navnîşanên dergehê, serverên DNS, DHCP û NTP,
navnîşan di beşên bikarhêner û serverê de.

Piştî vê yekê, pergal diçe moda perwerdehiyê, ku bi gelemperî ji 2 hefte heya 1 mehê dom dike. Di vê demê de, pergal seyrûsefera bingehîn a ku ji tora me re taybetî ye diafirîne. Bi hêsanî, pergal fêr dibe:

çi tevger ji bo girêkên torê tîpîk e?
Çi cildên daneyan bi gelemperî têne veguheztin û ji bo torê normal in?
Dema xebatê ya tîpîk ji bo bikarhêneran çi ye?
çi sepanên li ser torê dimeşîne?
û hê bêtir..

Wekî encamek, em amûrek werdigirin ku di tora me de her anomalî û dûrketinên ji behreyên tîpîk nas dike. Li vir çend mînak hene ku pergal dihêle hûn tespît bikin:

belavkirina malwareya nû ya li ser torê ku ji hêla îmzeyên antivirus ve nayê dîtin;
avakirina DNS, ICMP an tunelên din û veguheztina daneyan bi derbaskirina dîwarê agir;
xuyabûna komputerek nû ya li ser torê ku wekî serverek DHCP û / an DNS xuya dike.

Ka em bibînin ka ew bi zindî çawa xuya dike. Piştî ku pergala we hate perwerde kirin û bingehek seyrûsefera torê ava kir, ew dest bi tespîtkirina bûyeran dike:

Rûpelê sereke yê modulê xêzek demjimêrek e ku bûyerên naskirî nîşan dide. Di mînaka me de, em pêlekek zelal, bi qasî di navbera 9 û 16 demjimêran de, dibînin. Ka em wê hilbijêrin û bi hûrgulî binihêrin.

Tevgera anormal a êrîşkar li ser torê bi zelalî xuya dike. Hemî bi vê yekê dest pê dike ku mêvandarê bi navnîşana 192.168.3.225 dest bi şopandina horizontî ya torê li ser porta 3389 (karûbarê Microsoft RDP) kir û 14 "mexdûrên" potansiyel dîtin:

Bûyera tomarkirî ya jêrîn - mêvandar 192.168.3.225 dest bi êrîşek hêza hov dike ku şîfreyên hêza hov li ser karûbarê RDP (port 3389) li navnîşanên berê hatine nas kirin:

Di encama êrîşê de, anomalîyek SMTP-ê li ser yek ji mêvandarên hackkirî tê dîtin. Bi gotinên din, SPAM dest pê kir:

Ev mînak bi taybetî xwenîşandanek zelal a kapasîteyên pergalê û modula Ewlekariya Tespîtkirina Anomalî ye. Ji bo xwe bandorê dadbar bikin. Ev nihêrîna fonksiyonel a çareseriyê bi dawî dike.

encamê

Ka em kurt bikin ka çi encaman em dikarin der barê Flowmon de derxînin:

Flowmon ji bo xerîdarên pargîdanî çareseriyek premium e;
bi saya piralî û lihevhatina wê, berhevkirina daneyan ji her çavkaniyekê peyda dibe: Amûrên torê (Cisco, Juniper, HPE, Huawei...) an lêkolînên we (Flowmon Probe);
Kapasîteyên pîvandinê yên çareseriyê dihêle hûn fonksiyona pergalê bi lêzêdekirina modulên nû berfireh bikin, û hem jî bi saya nêzîkatiyek maqûl a lîsansê hilberîneriyê zêde bikin;
bi karanîna teknolojiyên analîzê yên bê-îmzayê re, pergal dihêle hûn êrişên roja sifir jî ji bo antivirus û pergalên IDS/IPS-ê nenas teşhîs bikin;
spas ji bo bêkêmasî "şefafî" di warê sazkirin û hebûna pergalê li ser torê - çareserî bandorê li xebata girêk û pêkhateyên din ên binesaziya IT-ya we nake;
Flowmon tekane çareseriya li ser sûkê ye ku çavdêriya trafîkê bi leza 100 Gbps piştgirî dike;
Flowmon ji bo torên her pîvanê çareseriyek e;
di nav çareseriyên wekhev de rêjeya bihayê / fonksiyonê ya çêtirîn.

Di vê vekolînê de, me kêmtirî 10% ji fonksiyona tevahî ya çareseriyê lêkolîn kir. Di gotara din de em ê li ser modulên mayî yên Tora Flowmon biaxivin. Bi karanîna modula Çavdêriya Performansa Serlêdanê wekî mînak, em ê nîşan bidin ka rêvebirên serîlêdana karsaziyê çawa dikarin hebûna di astek diyarkirî ya SLA de piştrast bikin, û her weha bi zûtirîn dem pirsgirêkan teşhîs bikin.

Di heman demê de, em dixwazin we vexwînin webinara xwe (10.09.2019/XNUMX/XNUMX) ku ji bo çareseriyên firoşkarê Flowmon Networks ve hatî veqetandin. Ji bo pêş-qeydkirinê, em ji we dipirsin li vir qeyd bikin.
Ji bo niha ev hemû, spas ji bo eleqeya we!

Tenê bikarhênerên qeydkirî dikarin beşdarî anketê bibin. Têketinji kerema xwe.

Ma hûn Netflow-ê ji bo çavdêriya torê bikar tînin?

ku
Na, lê ez plan dikim
na

9 bikarhêneran deng dan. 3 bikarhêner betal bûn.

Source: www.habr.com

Çavdêriya torê û tespîtkirina çalakiya torê ya nermalayî bi karanîna çareseriyên Tora Flowmon