Flowmon Networks чечимдерин колдонуу менен тармактык мониторинг жана аномалдуу тармак активдүүлүгүн аныктоо

Жакында эле, Интернетте тема боюнча материалдардын зор көлөмүн таба аласыз. тармак периметри боюнча трафик талдоо. Ошол эле маалда эмнегедир баары таптакыр унутуп калышты жергиликтүү жол кыймылын талдоо, бул кем эмес маанилүү. Бул макала так ушул темага кайрылат. Мисалы Flowmon Networks биз жакшы эски Netflow (жана анын альтернативаларын) эстейбиз, кызыктуу учурларды, тармактагы мүмкүн болгон аномалияларды карап, чечимдин артыкчылыктарын билебиз. бүт тармак бир сенсор катары иштейт. Эң негизгиси, сиз жергиликтүү трафиктин анализин сыноо лицензиясынын алкагында толугу менен акысыз жүргүзө аласыз (45 күн). Эгер тема сиз үчүн кызыктуу болсо, кош келиңиз. Эгерде сиз окууга жалкоо болсоңуз, анда алдыга карап, катталсаңыз болот келе жаткан вебинар, бул жерде биз сизге баарын көрсөтүп, айтып беребиз (ал жакта боло турган продуктуларды окутуу жөнүндө да биле аласыз).

Flowmon Networks деген эмне?

Биринчиден, Flowmon европалык IT сатуучу болуп саналат. Компания Чехияда, штаб-квартирасы Брно шаарында жайгашкан (санкция маселеси да көтөрүлгөн эмес). Учурдагы түрүндө компания 2007-жылдан бери рынокто. Буга чейин ал Invea-Tech бренди менен белгилүү болгон. Ошентип, жалпысынан дээрлик 20 жыл өнүмдөрдү жана чечимдерди иштеп чыгууга жумшалды.

Flowmon А классындагы бренд катары жайгашкан. Ишкана кардарлары үчүн премиум чечимдерди иштеп чыгат жана Гартнердин Network Performance Monitoring and Diagnostics (NPMD) кутучаларында таанылган. Андан тышкары, эң кызыгы, отчеттогу бардык компаниялардын ичинен Flowmon Gartner тарабынан тармактык мониторинг жана маалыматты коргоо (Network Behavior Analysis) үчүн чечимдерди өндүрүүчү катары белгилеген жалгыз сатуучу. Ал азырынча биринчи орунду ээлей элек, бирок ушундан улам ал Боингдин канатындай турбайт.

Продукт кандай көйгөйлөрдү чечет?

Глобалдык жактан алганда, биз компаниянын продуктылары тарабынан чечилген милдеттердин төмөнкү пулун ажырата алабыз:

1. тармактын туруктуулугун, ошондой эле тармак ресурстарын, алардын токтоп турууларын жана жеткиликтүү эместигин минималдаштыруу жолу менен жогорулатуу;
2. тармактын иштешинин жалпы деңгээлин жогорулатуу;
3. административдик персоналдын натыйжалуулугун жогорулатуунун эсебинен:
   • IP агымдары жөнүндө маалыматтын негизинде заманбап инновациялык тармактык мониторинг куралдарын колдонуу;
   • тармактын иштеши жана абалы - тармакта иштеген колдонуучулар жана тиркемелер, берилүүчү маалыматтар, өз ара аракеттенүүчү ресурстар, кызматтар жана түйүндөр жөнүндө деталдуу аналитиканы берүү;
   • инциденттерге колдонуучулар жана кардарлар кызматын жоготкондон кийин эмес, алар болгонго чейин жооп берүү;
   • тармакты жана IT инфраструктурасын башкаруу үчүн талап кылынган убакытты жана ресурстарды кыскартуу;
   • көйгөйлөрдү чечүү милдеттерин жөнөкөйлөтүү.
4. тармактын аномалдуу жана зыяндуу ишмердүүлүгүн, ошондой эле “нөл күндүк чабуулдарды” аныктоо үчүн кол коюудан башка технологияларды колдонуу аркылуу тармактын жана ишкананын маалымат ресурстарынын коопсуздук деңгээлин жогорулатуу;
5. тармактык тиркемелер жана маалымат базалары үчүн талап кылынган SLA деңгээлин камсыз кылуу.

Flowmon Networks продуктунун портфолиосу

Эми Flowmon Networks өнүмдөрүнүн портфолиосун түздөн-түз карап көрөлү жана компаниянын так эмне кылганын билели. Көпчүлүгү атын атагандай, негизги адистештирүү агымдын агымын көзөмөлдөө боюнча чечимдерде, ошондой эле негизги функцияларды кеңейтүүчү бир катар кошумча модулдарда.

Чынында, Flowmon бир продукттун компаниясы деп атоого болот, тагыраак айтканда, бир чечим. Бул жакшы же жаман экенин аныктап көрөлү.

Системанын өзөгү коллектор болуп саналат, ал ар кандай агым протоколдорун колдонуу менен маалыматтарды чогултууга жооптуу, мисалы NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Эч кандай тармактык жабдууларды өндүрүүчү менен байланышы жок компания үчүн рынокко эч кандай стандартка же протоколго байланбаган универсалдуу продуктуну сунуштоо абдан логикалык.

Flowmon Collector

Коллектор аппараттык сервер катары да, виртуалдык машина (VMware, Hyper-V, KVM) катары да жеткиликтүү. Айтмакчы, аппараттык платформа ыңгайлаштырылган DELL серверлеринде ишке ашырылат, ал кепилдик жана RMA менен байланышкан маселелердин көбүн автоматтык түрдө жок кылат. Жалгыз менчик аппараттык компоненттери Flowmon туунду компаниясы тарабынан иштелип чыккан FPGA трафикти тартуу карталары болуп саналат, алар 100 Гбит/сек ылдамдыкта мониторинг жүргүзүүгө мүмкүндүк берет.

Бирок, учурдагы тармактык жабдуулар жогорку сапаттагы агымын түзө албаса, эмне кылуу керек? Же жабдуулардын жүгү өтө чоңбу? Көйгөй эмес:

Flowmon Prob

Бул учурда, Flowmon Networks коммутатордун SPAN порту аркылуу же пассивдүү TAP бөлгүчтөрү аркылуу тармакка туташтырылган өзүнүн зонддорун (Flowmon Probe) колдонууну сунуштайт.

SPAN (күзгү порт) жана TAP ишке ашыруу параметрлери

Бул учурда, Flowmon зондуна келген чийки трафик көбүрөөк камтыган кеңейтилген IPFIXке айландырылат. Маалымат менен 240 көрсөткүч. Тармактык жабдуулар тарабынан түзүлгөн стандарттуу NetFlow протоколу 80 метрден ашпайт. Бул 3 жана 4-деңгээлдерде гана эмес, ISO OSI моделине ылайык 7-деңгээлде протоколдун көрүнүүсүнө мүмкүндүк берет. Натыйжада, тармак администраторлору электрондук почта, HTTP, DNS, SMB... сыяктуу тиркемелердин жана протоколдордун иштешин көзөмөлдөй алышат.

Концептуалдык жактан системанын логикалык архитектурасы төмөнкүдөй көрүнөт:

Бүтүндөй Flowmon Networks "экосистемасынын" борбордук бөлүгү - бул коллектор, ал учурдагы тармактык жабдуулардан же өзүнүн зонддорунан (Зонд) трафикти алат. Бирок Enterprise чечими үчүн тармак трафигине мониторинг жүргүзүү үчүн гана функцияны камсыз кылуу өтө жөнөкөй. Open Source чечимдери да мындай аткаруу менен болбосо да, муну жасай алат. Flowmon мааниси негизги функцияларды кеңейтүүчү кошумча модулдар:

• модулу Аномалияларды аныктоо коопсуздугу – трафиктин эвристикалык анализинин жана типтүү тармак профилинин негизинде нөл күндүк чабуулдарды камтыган аномалдуу тармак активдүүлүгүн аныктоо;
• модулу Колдонмонун натыйжалуулугун көзөмөлдөө – “агенттерди” орнотпостон жана максаттуу системаларга таасир этпестен тармактык тиркемелердин иштешине мониторинг жүргүзүү;
• модулу Traffic Recorder – алдын ала аныкталган эрежелердин жыйындысы боюнча же ADS модулунун триггерине ылайык тармактык трафиктин фрагменттерин андан ары оңдоо жана/же маалыматтык коопсуздук инциденттерин иликтөө үчүн жазуу;
• модулу DDoS коргоо – тармактын периметрин көлөмдүү DoS/DDoS кызматтык чабуулдарынан, анын ичинде тиркемелерге чабуулдардан коргоо (OSI L3/L4/L7).

Бул макалада биз 2 модулдун мисалын колдонуп, бардыгы кантип түз иштээрин карап чыгабыз - Тармактын иштешине мониторинг жана диагностика и Аномалияларды аныктоо коопсуздугу.
Баштапкы маалыматтар:

• VMware 140 гипервизору менен Lenovo RS 6.0 сервери;
• Flowmon Collector виртуалдык машинасынын сүрөтү бул жерден жүктөп алыңыз;
• агым протоколдорун колдогон бир жуп өчүргүчтөр.

1-кадам. Flowmon Collector орнотуу

Виртуалдык машинаны VMwareде жайгаштыруу OVF шаблонунан толугу менен стандарттуу түрдө ишке ашат. Натыйжада, биз CentOS менен иштеген жана колдонууга даяр программалык камсыздоо менен виртуалдык машинаны алабыз. Ресурстук талаптар гумандуу болуп саналат:

Калган нерсе - буйрукту колдонуу менен негизги инициализацияны аткаруу sysconfig:

Биз башкаруу портунда IP конфигурациялайбыз, DNS, убакыт, Хост аталышы жана WEB интерфейсине туташа алабыз.

2-кадам. Лицензияны орнотуу

Бир жарым айга сыноо лицензиясы түзүлүп, виртуалдык машинанын сүрөтү менен кошо жүктөлөт. аркылуу жүктөлгөн Конфигурация борбору -> Лицензия. Натыйжада биз көрүп жатабыз:

Баары даяр. Сиз иштей баштасаңыз болот.

Кадам 3. Коллектордогу кабылдагычты орнотуу

Бул этапта сиз система булактардан маалыматтарды кантип кабыл ала тургандыгын чечишиңиз керек. Жогоруда айтылгандай, бул агым протоколдорунун бири же коммутатордогу SPAN порту болушу мүмкүн.

Биздин мисалда биз протоколдорду колдонуу менен маалыматтарды кабыл алууну колдонобуз NetFlow v9 жана IPFIX. Бул учурда, биз максат катары Башкаруу интерфейсинин IP дарегин көрсөтөбүз - 192.168.78.198. eth2 жана eth3 интерфейстери (Мониторинг интерфейсинин түрү менен) которгучтун SPAN портунан “чийки” трафиктин көчүрмөсүн алуу үчүн колдонулат. Биз аларга эмес, биздин ишибизге жол бердик.
Андан кийин, биз трафик өтүшү керек болгон коллектордук портту текшеребиз.

Биздин учурда коллектор UDP/2055 портундагы трафикти угат.

Кадам 4. Агымды экспорттоо үчүн тармактык жабдууларды конфигурациялоо

Cisco Systems жабдууларында NetFlow орнотуу, балким, ар бир тармак администратору үчүн толугу менен жалпы милдет деп атоого болот. Биздин мисал үчүн биз адаттан тыш бир нерсени алабыз. Мисалы, MikroTik RB2011UiAS-2HnD роутер. Ооба, таң калыштуусу, чакан жана үй кеңселери үчүн мындай бюджеттик чечим NetFlow v5/v9 жана IPFIX протоколдорун да колдойт. Орнотууларда максатты коюңуз (коллектордун дареги 192.168.78.198 жана порт 2055):

Жана экспорттоо үчүн жеткиликтүү болгон бардык көрсөткүчтөрдү кошуңуз:

Бул учурда, биз негизги орнотуу аяктады деп айта алабыз. Биз трафик системага кирип жатканын текшеребиз.

5-кадам: Тармактын иштешине мониторинг жана диагностика модулун тестирлөө жана иштетүү

Бөлүмдөгү булактан трафиктин бар экендигин текшере аласыз Flowmon Мониторинг борбору -> Булактар:

Биз маалыматтар системага кирип жатканын көрүп жатабыз. Коллектор трафикти топтогондон бир нече убакыт өткөндөн кийин, виджеттер маалыматты көрсөтө баштайт:

Система бургулоо принцибинде курулган. Башкача айтканда, колдонуучу диаграммага же графикке кызыккан фрагментти тандап жатканда, ага керектүү маалыматтардын тереңдигинин деңгээлине "түшүп кетет":

Ар бир тармак туташуусу жана туташуусу тууралуу маалыматка:

Кадам 6. Аномалияларды аныктоо коопсуздук модулу

Бул модулду, балким, тармак трафигиндеги аномалияларды жана зыяндуу тармак активдүүлүгүн аныктоо үчүн кол тамгасыз ыкмаларды колдонуунун аркасында эң кызыктууларынын бири деп атоого болот. Бирок бул IDS/IPS системаларынын аналогу эмес. Модуль менен иштөө анын “тренингинен” башталат. Бул үчүн, атайын уста тармактын бардык негизги компоненттерин жана кызматтарын көрсөтөт, анын ичинде:

• шлюз даректери, DNS, DHCP жана NTP серверлери,
• колдонуучу жана сервер сегменттеринде даректөө.

Андан кийин система орто эсеп менен 2 жумадан 1 айга чейин созулган машыгуу режимине өтөт. Бул убакыттын ичинде система биздин тармакка мүнөздүү негизги трафикти жаратат. Жөнөкөй сөз менен айтканда, система үйрөнөт:

• тармак түйүндөрү үчүн мүнөздүү кандай жүрүм-турум?
• Демейде кандай көлөмдөгү маалыматтар өткөрүлүп берилет жана тармак үчүн нормалдуу?
• Колдонуучулар үчүн типтүү иштөө убактысы кандай?
• тармакта кандай колдонмолор иштейт?
• жана башка көптөгөн нерселер..

Натыйжада, биз тармагыбыздагы ар кандай аномалияларды жана типтүү жүрүм-турумдан четтөөлөрдү аныктоочу куралды алабыз. Бул жерде система аныктоого мүмкүндүк берген бир нече мисалдар:

• антивирус кол тамгалары менен аныкталбаган жаңы кесепеттүү программаларды тармакка жайылтуу;
• DNS, ICMP же башка туннелдерди куруу жана брандмауэрди айланып өтүп маалыматтарды берүү;
• тармакта DHCP жана/же DNS сервери катары жаңы компьютердин пайда болушу.

Келгиле, түз эфирде кандай болорун карап көрөлү. Сиздин тутумуңуз үйрөтүлгөндөн жана тармак трафигинин базалык линиясын түзгөндөн кийин, ал инциденттерди аныктай баштайт:

Модулдун негизги бети - аныкталган инциденттерди чагылдырган хронология. Биздин мисалда болжол менен 9 сааттан 16 саатка чейинки так өсүштү көрөбүз. Келгиле, аны тандап, кененирээк карап көрөлү.

Тармактагы чабуулчунун аномалдуу жүрүм-туруму даана көрүнүп турат. Мунун баары 192.168.3.225 дареги бар хост 3389 портунда (Microsoft RDP кызматы) тармакты горизонталдуу сканерлөөдөн башталып, 14 потенциалдуу “курмандарды” тапканынан башталат:

и

Төмөнкү катталган окуя - 192.168.3.225 хосту мурда аныкталган даректер боюнча RDP кызматында (порт 3389) катаал күч сырсөздөрүнө катаал күч чабуулун баштайт:

Чабуулдун натыйжасында бузулган хосттордун биринде SMTP аномалиясы аныкталды. Башка сөз менен айтканда, СПАМ башталды:

Бул мисал системанын жана өзгөчө Аномалияларды аныктоо коопсуздук модулунун мүмкүнчүлүктөрүнүн ачык-айкын далили болуп саналат. Натыйжалуулугун өзүң баала. Бул чечимдин функционалдык баяндамасын жыйынтыктайт.

жыйынтыктоо

Флоумон жөнүндө кандай тыянак чыгара аларыбызды кыскача карап көрөлү:

• Flowmon корпоративдик кардарлар үчүн премиум чечим болуп саналат;
• анын ар тараптуулугу жана шайкештигинин аркасында маалыматтарды чогултуу каалаган булактан жеткиликтүү: тармактык жабдуулар (Cisco, Juniper, HPE, Huawei...) же өзүңүздүн зонддоруңуз (Flowmon Probe);
• Чечимдин масштабдуу мүмкүнчүлүктөрү жаңы модулдарды кошуу менен системанын функционалдуулугун кеңейтүүгө, ошондой эле лицензиялоого ийкемдүү мамиленин аркасында өндүрүмдүүлүктү жогорулатууга мүмкүндүк берет;
• кол тамгасыз талдоо технологияларын колдонуу аркылуу система антивирустарга жана IDS/IPS системаларына да белгисиз нөлдүк чабуулдарды аныктоого мүмкүндүк берет;
• орнотуу жана тармакта системанын болушу жагынан толук “айкындуулуктун” аркасында - чечим сиздин IT инфраструктураңыздын башка түйүндөрүнүн жана компоненттеринин иштешине таасирин тийгизбейт;
• Flowmon - бул рынокто 100 Гбит/сек ылдамдыкта трафиктин мониторингин колдогон жалгыз чечим;
• Flowmon ар кандай масштабдагы тармактар ​​үчүн чечим болуп саналат;
• окшош чечимдер арасында мыкты баа / иш катышы.

Бул кароодо биз чечимдин жалпы функционалдуулугунун 10% дан азын карап чыктык. Кийинки макалада калган Flowmon Networks модулдары жөнүндө сүйлөшөбүз. Мисал катары Колдонмолордун иштешине мониторинг жүргүзүү модулун колдонуу менен биз бизнес-тиркеменин администраторлору SLA деңгээлинде жеткиликтүүлүктү кантип камсыз кыла аларын, ошондой эле көйгөйлөрдү мүмкүн болушунча тезирээк диагностикалоону көрсөтөбүз.

Ошондой эле, биз сизди Flowmon Networks сатуучусунун чечимдерине арналган вебинарыбызга (10.09.2019/XNUMX/XNUMX) чакыргыбыз келет. Алдын ала катталуу үчүн сизден суранабыз бул жерде катталыңыз.
Азырынча бардыгы, кызыгууңуз үчүн рахмат!

Сурамжылоого катталган колдонуучулар гана катыша алышат. Кирүү, өтүнөмүн.

Сиз тармактык мониторинг үчүн Netflow колдонуп жатасызбы?

• ошол

• Жок, бирок мен пландап жатам

• жок

9 колдонуучу добуш берди. 3 колдонуучу добуш берүүдөн баш тартты.

Source: www.habr.com