Viru kuerzem kënnt Dir eng riesech Unzuel u Material iwwer dëst Thema um Internet fannen. Verkéiersanalyse am Netzperimeter. Zur selwechter Zäit huet aus iergendengem Grond jiddereen komplett vergiess lokal Verkéier Analyse, wat net manner wichteg ass. Dësen Artikel adresséiert genau dëst Thema. Zum Beispill mir erënneren de gudden alen Netflow (a seng Alternativen), kuckt interessant Fäll, méiglech Anomalien am Netz an entdeckt d'Virdeeler vun der Léisung wann de ganzen Netz funktionnéiert als eenzegen Sensor. A virun allem, Dir kënnt esou eng Analyse vum lokalen Traffic komplett gratis maachen, am Kader vun enger Testlizenz (45 Deeg). Wann d'Thema fir Iech interessant ass, wëllkomm op Kaz. Wann Dir ze faul sidd fir ze liesen, da kënnt Dir Iech no vir kucken , wou mir Iech alles weisen an erzielen (Dir kënnt och iwwer déi zukünfteg Produkttraining do léieren).
Wat ass Flowmon Networks?
Als éischt ass Flowmon en europäeschen IT Verkeefer. D'Firma ass Tschechesch, mat Sëtz zu Brno (d'Fro vu Sanktiounen ass net emol opgeworf). A senger aktueller Form ass d'Firma zënter 2007 um Maart. Virdrun war et ënner der Mark Invea-Tech bekannt. Also, am Ganzen, ware bal 20 Joer fir Produkter a Léisungen ze entwéckelen.
Flowmon ass als A-Klass Mark positionéiert. Entwéckelt Premium Léisunge fir Enterprise Clienten an ass unerkannt an de Gartner Këschte fir Network Performance Monitoring an Diagnostik (NPMD). Ausserdeem, interessant, vun all de Firmen am Bericht ass Flowmon deen eenzege Verkeefer, dee vum Gartner als Hiersteller vu Léisunge bemierkt gëtt fir béid Netzwierk Iwwerwaachung an Informatiounsschutz (Network Behavior Analysis). Et ass nach net op déi éischt Plaz, awer wéinst dësem steet et net wéi e Boeing-Flillek.
Wéi eng Problemer léist de Produit?
Globalt kënne mir de folgende Pool vun Aufgaben ënnerscheeden, déi vun de Produkter vun der Firma geléist ginn:
- d'Erhéijung vun der Stabilitéit vum Netz, souwéi Ressourcen Ressourcen, andeems se hir Ënnerbriechung an Onverfügbarkeet miniméieren;
- d'Erhéijung vum Gesamtniveau vun der Netzleistung;
- Erhéijung vun der Effizienz vum administrativen Personal wéinst:
- mat modernen innovativen Netzwierk Iwwerwaachungsinstrumenter baséiert op Informatioun iwwer IP Flux;
- liwweren detailléiert Analyse iwwer de Fonctionnement an den Zoustand vum Netz - Benotzer an Uwendungen déi um Netz lafen, iwwerdroen Daten, interagéierend Ressourcen, Servicer an Noden;
- reagéiert op Tëschefäll ier se geschéien, an net nodeems d'Benotzer a Cliente Service verléieren;
- d'Reduktioun vun der Zäit a Ressourcen néideg fir d'Netzwierk an d'IT Infrastruktur ze administréieren;
- vereinfacht troubleshooting Aufgaben.
- d'Erhéijung vun der Sécherheetsniveau vum Netzwierk an Informatiounsressourcen vun der Entreprise, duerch d'Benotzung vun net-Ënnerschrëft Technologien fir d'Erkennung vun anormalen a béiswëlleg Netzwierkaktivitéiten, souwéi "Null-Dag Attacken";
- déi néideg Niveau vun SLA fir Reseau Uwendungen an Datenbanken assuréieren.
Flowmon Networks Produktportfolio
Loosst eis elo direkt op de Flowmon Networks Produktportfolio kucken an erausfannen wat genau d'Firma mécht. Wéi vill scho vum Numm virausgesot hunn, ass d'Haaptspezialisatioun a Léisunge fir Streaming Flow Traffic Iwwerwaachung, plus eng Zuel vun zousätzlech Moduler déi d'Basisfunktionalitéit erweideren.
Tatsächlech kann Flowmon eng Firma vun engem Produkt genannt ginn, oder éischter, eng Léisung. Loosst eis erausfannen ob dëst gutt oder schlecht ass.
De Kär vum System ass de Sammler, dee verantwortlech ass fir Daten mat verschiddene Flowprotokoller ze sammelen, wéi z. NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Et ass ganz logesch datt fir eng Firma déi net mat engem Netzausrüstungshersteller verbonnen ass, et wichteg ass de Maart en universellt Produkt ze bidden deen net un engem Standard oder Protokoll gebonnen ass.
Flowmon Collector
De Sammler ass verfügbar souwuel als Hardware-Server an als virtuell Maschinn (VMware, Hyper-V, KVM). Iwwregens, ass d'Hardware Plattform op personaliséiert DELL Serveren ëmgesat, déi automatesch déi meescht vun de Problemer mat Garantie an RMA eliminéiert. Déi eenzeg propriétaire Hardware Komponente sinn FPGA Traffic Capture Kaarte entwéckelt vun enger Duechtergesellschaft vu Flowmon, déi Iwwerwaachung mat Geschwindegkeete vu bis zu 100 Gbps erlaben.
Awer wat maache wann existent Netzwierkausrüstung net fäeg ass qualitativ héichwäerteg Flux ze generéieren? Oder ass d'Laascht op d'Ausrüstung ze héich? Kee Problem:
Flowmon Prob
An dësem Fall bitt Flowmon Networks seng eege Sonden (Flowmon Probe) ze benotzen, déi mam Netz iwwer de SPAN Hafen vum Schalter verbonne sinn oder passiv TAP Splitter benotzen.
SPAN (Spigelport) an TAP Implementéierungsoptiounen
An dësem Fall gëtt de roude Verkéier, deen op der Flowmon Sonde ukommt, an en erweiderten IPFIX ëmgewandelt mat méi 240 Metriken mat Informatioun. Wärend de Standard NetFlow Protokoll generéiert vun Netzwierkausrüstung net méi wéi 80 Metriken enthält. Dëst erlaabt Protokollvisibilitéit net nëmmen op Niveauen 3 a 4, awer och um Niveau 7 no dem ISO OSI Modell. Als Resultat kënnen d'Netzwierkadministrateuren d'Funktionéiere vun Uwendungen a Protokoller wéi E-Mail, HTTP, DNS, SMB ...
Konzeptuell gesäit d'logesch Architektur vum System esou aus:
Den zentrale Deel vum ganze Flowmon Networks "Ökosystem" ass de Collector, deen Traffic aus existéierend Netzwierkausrüstung oder seng eege Sonden (Sonde) kritt. Awer fir eng Enterprise Léisung wier d'Funktionalitéit eleng fir d'Iwwerwaachung vum Netzverkéier ze einfach. Open Source Léisunge kënnen dat och maachen, awer net mat sou enger Leeschtung. De Wäert vu Flowmon sinn zousätzlech Moduler déi d'Basisfunktionalitéit ausbauen:
- Modul Anomalie Detektioun Sécherheet - Identifikatioun vun anomaler Netzwierkaktivitéit, dorënner Null-Dag Attacken, baséiert op heuristesch Analyse vum Traffic an engem typesche Netzwierkprofil;
- Modul Applikatioun Performance Iwwerwaachung - Iwwerwaachung vun der Leeschtung vun Netzwierkapplikatiounen ouni "Agenten" z'installéieren an Zilsystemer ze beaflossen;
- Modul Verkéier Recorder - Fragmenter vum Netzverkéier opzehuelen no enger Rei vu virdefinéierte Reegelen oder no engem Ausléiser vum ADS Modul, fir weider Troubleshooting an / oder Untersuchung vun Informatiounssécherheetsfäll;
- Modul DDoS Protection - Schutz vum Netzperimeter vu volumetresche DoS / DDoS Verweigerung vu Serviceattacken, och Attacken op Uwendungen (OSI L3 / L4 / L7).
An dësem Artikel wäerte mir kucken wéi alles live funktionnéiert mam Beispill vun 2 Moduler - Network Performance Iwwerwachung an Diagnostik и Anomalie Detektioun Sécherheet.
Ufanksdaten:
- Lenovo RS 140 Server mat VMware 6.0 Hypervisor;
- Flowmon Collector virtuell Maschinn Bild datt Dir kënnt ;
- e Paar Schalter déi Flowprotokoller ënnerstëtzen.
Schrëtt 1. Installéiert Flowmon Collector
Deployment vun enger virtueller Maschinn op VMware geschitt op eng komplett Standard Manéier aus der OVF Schabloun. Als Resultat kréie mir eng virtuell Maschinn déi CentOS leeft a mat prett-ze-benotzen Software. Ressource Ufuerderunge si human:
Alles wat bleift ass d'Basisinitialiséierung mam Kommando auszeféieren sysconfig:
Mir konfiguréieren IP op de Management Hafen, DNS, Zäit, Hostnumm a kënne mat der WEB Interface konnektéieren.
Schrëtt 2. Lizenz Installatioun
Eng Testlizenz fir annerhallwe Méint gëtt generéiert an erofgelueden zesumme mam virtuelle Maschinnbild. Lueden via Configuration Center -> Lizenz. Als Resultat gesi mir:
Alles ass prett. Dir kënnt ufänken ze schaffen.
Schrëtt 3. Ariichten der Receiver op der Sammler
Op dëser Etapp musst Dir entscheeden wéi de System Daten aus Quellen kritt. Wéi mir virdru gesot hunn, kann dëst ee vun de Flowprotokoller sinn oder e SPAN Hafen um Schalter.
An eisem Beispill benotze mir Datenempfang mat Protokoller NetFlow v9 an IPFIX. An dësem Fall spezifizéiere mir d'IP Adress vun der Management Interface als Zil - 192.168.78.198. Interfaces eth2 an eth3 (mat dem Monitoring Interface Typ) gi benotzt fir eng Kopie vum "raw" Traffic vum SPAN Hafen vum Schalter ze kréien. Mir loossen se duerch, net eise Fall.
Als nächst kucken mir de Sammlerhafen wou de Verkéier soll goen.
An eisem Fall lauschtert de Sammler fir de Verkéier um Hafen UDP/2055.
Schrëtt 4. Configuring Reseau Equipement fir Flux Export
NetFlow op Cisco Systems Ausrüstung opzestellen kann wahrscheinlech eng komplett allgemeng Aufgab fir all Netzwierkadministrator genannt ginn. Fir eist Beispill wäerte mir eppes méi ongewéinlech huelen. Zum Beispill de MikroTik RB2011UiAS-2HnD Router. Jo, komesch genuch, sou eng Budgetsléisung fir kleng an Heembüroen ënnerstëtzt och d'NetFlow v5 / v9 an IPFIX Protokoller. An den Astellungen, setzen d'Ziel (Sammleradress 192.168.78.198 a Port 2055):
A füügt all Metriken déi fir Export verfügbar sinn:
Zu dësem Zäitpunkt kënne mir soen datt d'Basiskonfiguratioun fäerdeg ass. Mir kontrolléieren ob de Verkéier an de System erakënnt.
Schrëtt 5: Testen an Bedreiwen vum Network Performance Monitoring an Diagnostik Modul
Dir kënnt d'Präsenz vum Traffic aus der Quell an der Rubrik kontrolléieren Flowmon Monitoring Center -> Quellen:
Mir gesinn datt Daten an de System kommen. E puer Zäit nodeems de Sammler Traffic gesammelt huet, fänken d'Widgets un Informatioun ze weisen:
De System ass op dem Drill-Down-Prinzip gebaut. Dat ass, de Benotzer, wann e Fragment vun Interessi op engem Diagramm oder Grafik auswielen, "fällt" op den Niveau vun der Déift vun den Donnéeën, déi hie brauch:
Erof op Informatioun iwwer all Netzwierkverbindung a Verbindung:
Schrëtt 6. Anomalie Detectioun Sécherheet Modul
Dëse Modul kann vläicht ee vun den interessantsten genannt ginn, duerch d'Benotzung vun Ënnerschrëft-gratis Methoden fir Anomalien am Netzverkéier a béiswëlleg Netzwierkaktivitéit z'entdecken. Awer dëst ass keen Analog vun IDS / IPS Systemer. D'Aarbecht mam Modul fänkt mat senger "Formatioun" un. Fir dëst ze maachen, spezifizéiert e spezielle Wizard all Schlësselkomponenten a Servicer vum Netz, dorënner:
- Gateway Adressen, DNS, DHCP an NTP Serveren,
- Adresséierung a Benotzer- a Serversegmenter.
Duerno geet de System an den Trainingsmodus, deen am Duerchschnëtt vun 2 Wochen bis 1 Mount dauert. Wärend dëser Zäit generéiert de System Baseline Traffic dee spezifesch ass fir eist Netzwierk. Einfach gesot, de System léiert:
- wat Verhalen ass typesch fir Reseau Wirbelen?
- Wéi eng Bänn vun Daten ginn typesch transferéiert a sinn normal fir d'Netzwierk?
- Wat ass déi typesch Operatiounszäit fir Benotzer?
- wéi eng Applikatiounen lafen am Netz?
- a vill méi..
Als Resultat kréie mir en Tool dat all Anomalien an eisem Netzwierk an Ofwäichunge vum typesche Verhalen identifizéiert. Hei sinn e puer Beispiller déi de System erlaabt Iech z'entdecken:
- Verdeelung vun neie Malware am Netz, déi net vun Antivirus Ënnerschrëften erkannt gëtt;
- DNS, ICMP oder aner Tunnel bauen an Daten iwwerdroen, d'Firewall ëmgoen;
- d'Erscheinung vun engem neie Computer am Netz, deen als DHCP an / oder DNS Server poséiert.
Kucke mer wéi et live ausgesäit. Nodeems Äre System trainéiert an eng Baseline vum Netzverkéier gebaut gouf, fänkt et un Tëschefäll z'entdecken:
D'Haaptsäit vum Modul ass eng Timeline déi identifizéiert Tëschefäll weist. An eisem Beispill gesi mir eng kloer Spike, ongeféier tëscht 9 an 16 Stonnen. Loosst eis et auswielen a méi detailléiert kucken.
Dat anormalt Verhalen vum Ugräifer am Netz ass kloer ze gesinn. Et fänkt alles mat der Tatsaach un datt de Host mat der Adress 192.168.3.225 en horizontalen Scan vum Netz um Hafen 3389 (Microsoft RDP Service) ugefaang huet an 14 potenziell "Affer" fonnt huet:
и
Déi folgend opgeholl Tëschefall - Host 192.168.3.225 fänkt e Brute Force Attack un fir Brute Force Passwierder op de RDP Service (Port 3389) op de virdru identifizéierten Adressen:
Als Resultat vun der Attack gëtt eng SMTP Anomalie op engem vun den gehackten Hosten festgestallt. An anere Wierder, SPAM huet ugefaang:
Dëst Beispill ass eng kloer Demonstratioun vun de Fäegkeeten vum System a besonnesch dem Anomaly Detection Security Module. Riichter d'Effektivitéit fir Iech selwer. Dëst schléisst de funktionnellen Iwwerbléck vun der Léisung of.
Konklusioun
Loosst eis zesummefaassen wéi eng Conclusiounen mir iwwer Flowmon zéien kënnen:
- Flowmon ass eng Premium Léisung fir Firmeclienten;
- dank senger Villsäitegkeet a Kompatibilitéit ass d'Datensammlung vun all Quell verfügbar: Netzwierkausrüstung (Cisco, Juniper, HPE, Huawei ...) oder Ären eegene Sonden (Flowmon Probe);
- D'Skalierbarkeetfäegkeeten vun der Léisung erlaben Iech d'Funktionalitéit vum System auszebauen andeems Dir nei Moduler bäidréit, wéi och d'Produktivitéit duerch eng flexibel Approche fir d'Lizenz erhéijen;
- duerch d'Benotzung vun Ënnerschrëft-gratis Analyse Technologien, de System erlaabt Iech Null-Dag Attacken och onbekannt un Antivirus an IDS / IPS Systemer ze entdecken;
- merci fir komplett "Transparenz" wat d'Installatioun an d'Präsenz vum System am Netz ugeet - d'Léisung beaflosst net d'Operatioun vun anere Wirbelen a Komponenten vun Ärer IT-Infrastruktur;
- Flowmon ass déi eenzeg Léisung um Maart déi Traffic Iwwerwaachung mat Geschwindegkeete bis zu 100 Gbps ënnerstëtzt;
- Flowmon ass eng Léisung fir Netzwierker vun all Skala;
- de beschte Präis / Funktionalitéit Verhältnis ënnert ähnlechen Léisungen.
An dëser Iwwerpréiwung hu mir manner wéi 10% vun der Gesamtfunktionalitéit vun der Léisung ënnersicht. Am nächsten Artikel wäerte mir iwwer déi verbleiwen Flowmon Networks Moduler schwätzen. Mat der Applikatioun Performance Monitoring Modul als Beispill, wäerte mir weisen wéi d'Geschäftsapplikatiounsadministrateuren d'Disponibilitéit op engem bestëmmte SLA-Niveau kënne garantéieren, souwéi Probleemer sou séier wéi méiglech diagnostizéieren.
Och wëlle mir Iech op eise Webinar invitéieren (10.09.2019/XNUMX/XNUMX) gewidmet fir d'Léisunge vum Verkeefer Flowmon Networks. Fir Iech virzemellen, froe mir Iech .
Dat ass alles fir de Moment, Merci fir Ären Interessi!
Nëmme registréiert Benotzer kënnen un der Ëmfro deelhuelen. , wann ech glift.
Benotzt Dir Netflow fir Netzwierk Iwwerwaachung?
-
datt
-
Nee, mee ech plangen
-
Nee
9 Benotzer hunn gestëmmt. 3 Benotzer hu sech enthalen.
Source: will.com