Tinklo stebėjimas ir anomalios tinklo veiklos aptikimas naudojant Flowmon Networks sprendimus

Pastaruoju metu internete galite rasti daugybę medžiagos šia tema. srauto analizė tinklo perimetre. Tuo pačiu metu dėl tam tikrų priežasčių visi visiškai pamiršo vietinio eismo analizė, o tai ne mažiau svarbu. Šis straipsnis skirtas būtent šiai temai. Pavyzdžiui „Flowmon Networks“. prisiminsime seną gerą Netflow (ir jo alternatyvas), pažvelgsime į įdomius atvejus, galimas anomalijas tinkle ir išsiaiškinsime sprendimo privalumus, kai visas tinklas veikia kaip vienas jutiklis. Ir, svarbiausia, tokią vietinio eismo analizę galite atlikti visiškai nemokamai, turėdami bandomąją licenciją (45 dienų). Jei tema jus domina, kviečiame į katę. Jei tingite skaityti, tuomet, žvelgdami į priekį, galite užsiregistruoti artėjantis internetinis seminaras, kur viską parodysime ir papasakosime (ten taip pat galite sužinoti apie būsimus produktų mokymus).

Kas yra „Flowmon Networks“?

Visų pirma, „Flowmon“ yra Europos IT pardavėjas. Įmonė čekiška, jos būstinė yra Brno (sankcijų klausimas net nekeliamas). Dabartine forma įmonė rinkoje veikia nuo 2007 m. Anksčiau jis buvo žinomas kaip „Invea-Tech“ prekės ženklas. Taigi iš viso gaminiams ir sprendimams kurti buvo skirta beveik 20 metų.

„Flowmon“ yra A klasės prekės ženklas. Kuria aukščiausios kokybės sprendimus verslo klientams ir yra pripažintas Gartner tinklo našumo stebėjimo ir diagnostikos (NPMD) skyriuose. Be to, įdomu tai, kad iš visų ataskaitoje nurodytų įmonių „Flowmon“ yra vienintelis tiekėjas, kurį „Gartner“ pažymėjo kaip tinklo stebėjimo ir informacijos apsaugos sprendimų gamintoją (tinklo elgesio analizė). Jis dar neužima pirmosios vietos, tačiau dėl to jis nestovi kaip Boeing sparnas.

Kokias problemas išsprendžia produktas?

Pasauliniu mastu galime išskirti tokią užduočių, kurias išsprendžia įmonės produktai, grupę:

1. padidinti tinklo stabilumą, taip pat tinklo išteklius, sumažinant jų prastovą ir nepasiekiamumą;
2. padidinti bendrą tinklo našumo lygį;
3. padidinti administracinio personalo efektyvumą dėl:
   • naudojant modernias inovatyvias tinklo stebėjimo priemones, pagrįstas informacija apie IP srautus;
   • išsamios analizės apie tinklo funkcionavimą ir būklę teikimas – tinkle veikiantys vartotojai ir taikomosios programos, perduodami duomenys, sąveikaujantys ištekliai, paslaugos ir mazgai;
   • reaguoti į incidentus prieš jiems įvykstant, o ne po to, kai vartotojai ir klientai praranda paslaugą;
   • tinklo ir IT infrastruktūros administravimui reikalingų laiko ir išteklių mažinimas;
   • supaprastinti trikčių šalinimo užduotis.
4. didinti įmonės tinklo ir informacinių išteklių saugumo lygį, naudojant ne parašo technologijas, skirtas aptikti anomalią ir kenkėjišką tinklo veiklą, taip pat „nulinės dienos atakas“;
5. užtikrinti reikiamą SLA lygį tinklo programoms ir duomenų bazėms.

„Flowmon Networks“ produktų portfelis

Dabar pažvelkime tiesiai į „Flowmon Networks“ produktų portfelį ir išsiaiškinkime, ką tiksliai įmonė veikia. Kaip daugelis jau atspėjo iš pavadinimo, pagrindinė specializacija yra srautinio srauto stebėjimo sprendimai, taip pat daugybė papildomų modulių, išplečiančių pagrindines funkcijas.

Tiesą sakant, „Flowmon“ galima vadinti vieno produkto įmone, tiksliau – vieno sprendimo. Išsiaiškinkime, ar tai gerai, ar blogai.

Sistemos branduolys yra kolektorius, kuris yra atsakingas už duomenų rinkimą naudojant įvairius srauto protokolus, pvz NetFlow v5 / v9, jFlow, sFlow, NetStream, IPFIX... Visiškai logiška, kad įmonei, nesusijusiai su jokiu tinklo įrangos gamintoju, svarbu rinkai pasiūlyti universalų produktą, nesusietą su kokiu nors vienu standartu ar protokolu.

Flowmon kolektorius

Kolektorius galimas ir kaip aparatinės įrangos serveris, ir kaip virtuali mašina (VMware, Hyper-V, KVM). Beje, aparatinės įrangos platforma yra įdiegta pritaikytuose DELL serveriuose, o tai automatiškai pašalina daugumą problemų, susijusių su garantija ir RMA. Vieninteliai patentuoti aparatinės įrangos komponentai yra FPGA srauto fiksavimo kortelės, kurias sukūrė Flowmon dukterinė įmonė, kurios leidžia stebėti iki 100 Gbps greičiu.

Bet ką daryti, jei esama tinklo įranga nesugeba generuoti kokybiško srauto? O gal įrangos apkrova per didelė? Jokiu problemu:

Flowmon Prob

Tokiu atveju „Flowmon Networks“ siūlo naudoti savo zondus („Flowmon Probe“), kurie prie tinklo jungiami per jungiklio SPAN prievadą arba naudojant pasyvius TAP skirstytuvus.

SPAN (veidrodinio prievado) ir TAP diegimo parinktys

Tokiu atveju neapdorotas srautas, atvykstantis į Flowmon zondą, paverčiamas išplėstu IPFIX, kuriame yra daugiau 240 metrikų su informacija. Nors standartiniame tinklo įrangos sugeneruotame NetFlow protokole yra ne daugiau kaip 80 metrikų. Tai leidžia matyti protokolą ne tik 3 ir 4 lygiuose, bet ir 7 lygyje pagal ISO OSI modelį. Dėl to tinklo administratoriai gali stebėti programų ir protokolų, tokių kaip el. paštas, HTTP, DNS, SMB...

Konceptualiai sistemos loginė architektūra atrodo taip:

Centrinė visos „Flowmon Networks“ „ekosistemos“ dalis yra kolektorius, kuris gauna srautą iš esamos tinklo įrangos arba savo zondų (Probe). Tačiau įmonės sprendimui teikti funkcijas tik tinklo srautui stebėti būtų per paprasta. Atvirojo kodo sprendimai taip pat gali tai padaryti, nors ir ne tokiu našumu. „Flowmon“ vertė yra papildomi moduliai, išplečiantys pagrindines funkcijas:

• modulis Anomalijų aptikimo saugumas – anomalios tinklo veiklos, įskaitant nulinės dienos atakas, nustatymas, remiantis euristine srauto analize ir tipišku tinklo profiliu;
• modulis Programos našumo stebėjimas – stebėti tinklo taikomųjų programų veikimą neįdiegiant „agentų“ ir nedarant įtakos tikslinėms sistemoms;
• modulis Eismo registratorius – tinklo srauto fragmentų įrašymas pagal iš anksto nustatytų taisyklių rinkinį arba pagal trigerį iš ADS modulio tolesniam informacijos saugumo incidentų gedimų šalinimui ir (arba) tyrimui;
• modulis DDoS apsauga – tinklo perimetro apsauga nuo tūrinių DoS/DDoS paslaugų atsisakymo atakų, įskaitant atakas prieš programas (OSI L3/L4/L7).

Šiame straipsnyje mes apžvelgsime, kaip viskas veikia gyvai, naudodamiesi 2 modulių pavyzdžiu - Tinklo našumo stebėjimas ir diagnostika и Anomalijų aptikimo saugumas.
Pradiniai duomenys:

• Lenovo RS 140 serveris su VMware 6.0 hipervizoriumi;
• „Flowmon Collector“ virtualios mašinos vaizdas, kurį galite atsisiųskite čia;
• jungiklių pora, palaikanti srauto protokolus.

1 veiksmas. Įdiekite „Flowmon Collector“.

Virtualios mašinos įdiegimas VMware vyksta visiškai standartiniu būdu iš OVF šablono. Dėl to gauname virtualią mašiną, kurioje veikia CentOS ir paruošta naudoti programinė įranga. Išteklių reikalavimai yra humaniški:

Belieka atlikti pagrindinį inicijavimą naudojant komandą sysconfig:

Konfigūruojame IP valdymo prievade, DNS, laiko, Hostname ir galime prisijungti prie WEB sąsajos.

2 veiksmas. Licencijos diegimas

Sugeneruojama pusantro mėnesio bandomoji licencija ir atsisiunčiama kartu su virtualios mašinos atvaizdu. Įkelta per Konfigūracijos centras -> Licencija. Rezultate matome:

Viskas paruošta. Galite pradėti dirbti.

3 veiksmas. Imtuvo nustatymas ant kolektoriaus

Šiame etape turite nuspręsti, kaip sistema gaus duomenis iš šaltinių. Kaip minėjome anksčiau, tai gali būti vienas iš srauto protokolų arba jungiklio SPAN prievadas.

Mūsų pavyzdyje duomenų priėmimą naudosime naudodami protokolus NetFlow v9 ir IPFIX. Tokiu atveju kaip tikslą nurodome valdymo sąsajos IP adresą - 192.168.78.198. Sąsajos eth2 ir eth3 (su stebėjimo sąsajos tipu) naudojamos „neapdoroto“ srauto kopijai gauti iš jungiklio SPAN prievado. Mes juos leidžiame, o ne mūsų atvejis.
Toliau patikriname kolektoriaus prievadą, kur turėtų vykti eismas.

Mūsų atveju kolektorius klauso srauto UDP/2055 uoste.

4 veiksmas. Tinklo įrangos konfigūravimas srauto eksportui

„NetFlow“ nustatymas „Cisco Systems“ įrangoje tikriausiai gali būti vadinamas visiškai įprasta bet kurio tinklo administratoriaus užduotimi. Pavyzdžiui, paimsime ką nors neįprastesnio. Pavyzdžiui, maršrutizatorius MikroTik RB2011UiAS-2HnD. Taip, kaip bebūtų keista, toks biudžetinis sprendimas mažiems ir namų biurams palaiko ir NetFlow v5/v9 bei IPFIX protokolus. Nustatymuose nustatykite tikslą (kolektoriaus adresas 192.168.78.198 ir prievadas 2055):

Ir pridėkite visą metriką, kurią galima eksportuoti:

Šiuo metu galime pasakyti, kad pagrindinė sąranka baigta. Tikriname, ar srautas patenka į sistemą.

5 veiksmas: tinklo našumo stebėjimo ir diagnostikos modulio tikrinimas ir veikimas

Skiltyje galite patikrinti srautą iš šaltinio „Flowmon“ stebėjimo centras –> Šaltiniai:

Matome, kad duomenys patenka į sistemą. Praėjus kuriam laikui po to, kai kolektorius sukaups srautą, valdikliai pradės rodyti informaciją:

Sistema sukurta gręžimo principu. Tai yra, vartotojas, pasirinkdamas dominantį fragmentą diagramoje ar grafike, „nukrenta“ iki jam reikalingo duomenų gylio lygio:

Iki informacijos apie kiekvieną tinklo ryšį ir ryšį:

6 veiksmas. Anomalijų aptikimo saugos modulis

Šį modulį galima pavadinti bene vienu įdomiausių, nes naudojami be parašo metodai, skirti aptikti tinklo srauto anomalijas ir kenkėjišką tinklo veiklą. Bet tai nėra IDS/IPS sistemų analogas. Darbas su moduliu prasideda nuo jo „mokymo“. Norėdami tai padaryti, specialus vedlys nurodo visus pagrindinius tinklo komponentus ir paslaugas, įskaitant:

• šliuzo adresai, DNS, DHCP ir NTP serveriai,
• adresavimas vartotojo ir serverio segmentuose.

Po to sistema pereina į treniruočių režimą, kuris vidutiniškai trunka nuo 2 savaičių iki 1 mėnesio. Per tą laiką sistema generuoja bazinį srautą, būdingą mūsų tinklui. Paprasčiau tariant, sistema mokosi:

• koks elgesys būdingas tinklo mazgams?
• Kokie duomenų kiekiai paprastai perduodami ir yra įprasti tinklui?
• Koks yra įprastas naudotojų veikimo laikas?
• kokios programos veikia tinkle?
• ir daug daugiau..

Dėl to gauname įrankį, kuris nustato bet kokias mūsų tinklo anomalijas ir nukrypimus nuo įprasto elgesio. Štai keli pavyzdžiai, kuriuos sistema leidžia aptikti:

• naujų kenkėjiškų programų platinimas tinkle, kurios neaptinka antivirusiniai parašai;
• statant DNS, ICMP ar kitus tunelius ir perduodant duomenis apeinant užkardą;
• naujo kompiuterio, kuris yra DHCP ir (arba) DNS serveris, atsiradimas tinkle.

Pažiūrėkime, kaip tai atrodo gyvai. Kai jūsų sistema yra išmokyta ir sukuriama tinklo srauto bazinė linija, ji pradeda aptikti incidentus:

Pagrindinis modulio puslapis yra laiko juosta, kurioje rodomi nustatyti incidentai. Mūsų pavyzdyje matome aiškų smaigalį, maždaug nuo 9 iki 16 valandų. Išsirinkime jį ir pažiūrėkime išsamiau.

Aiškiai matomas nenormalus užpuoliko elgesys tinkle. Viskas prasideda nuo to, kad pagrindinis kompiuteris, kurio adresas yra 192.168.3.225, pradėjo horizontalų tinklo nuskaitymą 3389 prievade („Microsoft RDP“ paslauga) ir rado 14 galimų „aukų“:

и

Šis užfiksuotas incidentas – 192.168.3.225 priegloba pradeda brute force ataką, kad būtų žiaurios jėgos slaptažodžiai KPP tarnyboje (3389 prievadas) anksčiau nustatytais adresais:

Dėl atakos viename iš įsilaužtų kompiuterių aptinkama SMTP anomalija. Kitaip tariant, prasidėjo SPAM:

Šis pavyzdys aiškiai parodo sistemos ir ypač anomalijų aptikimo saugos modulio galimybes. Įvertinkite efektyvumą patys. Tai užbaigia funkcinę sprendimo apžvalgą.

išvada

Apibendrinkime, kokias išvadas galime padaryti apie „Flowmon“:

• Flowmon yra aukščiausios kokybės sprendimas verslo klientams;
• dėl savo universalumo ir suderinamumo duomenis galima rinkti iš bet kurio šaltinio: tinklo įrangos (Cisco, Juniper, HPE, Huawei...) arba savo zondų (Flowmon Probe);
• Sprendimo mastelio galimybės leidžia išplėsti sistemos funkcionalumą pridedant naujų modulių, taip pat padidinti produktyvumą dėl lankstaus požiūrio į licencijavimą;
• naudojant be parašo analizės technologijas, sistema leidžia aptikti nulinės dienos atakas, net nežinomas antivirusinėms ir IDS/IPS sistemoms;
• dėl visiško „skaidrumo“ sistemos diegimo ir buvimo tinkle požiūriu - sprendimas neturi įtakos kitų jūsų IT infrastruktūros mazgų ir komponentų veikimui;
• „Flowmon“ yra vienintelis sprendimas rinkoje, palaikantis srauto stebėjimą iki 100 Gbps greičiu;
• Flowmon – sprendimas bet kokio masto tinklams;
• geriausias kainos ir funkcionalumo santykis tarp panašių sprendimų.

Šioje apžvalgoje mes ištyrėme mažiau nei 10% viso sprendimo funkcionalumo. Kitame straipsnyje kalbėsime apie likusius Flowmon Networks modulius. Naudodami programos našumo stebėjimo modulį kaip pavyzdį parodysime, kaip verslo programų administratoriai gali užtikrinti pasiekiamumą tam tikru SLA lygiu, taip pat kuo greičiau diagnozuoti problemas.

Taip pat kviečiame į mūsų internetinį seminarą (10.09.2019-XNUMX-XNUMX), skirtą tiekėjo Flowmon Networks sprendimams. Išankstinės registracijos prašome registruokis čia.
Tai kol kas viskas, ačiū už susidomėjimą!

Apklausoje gali dalyvauti tik registruoti vartotojai. Prisijungti, Prašau.

Ar naudojate „Netflow“ tinklo stebėjimui?

• Taip

• Ne, bet planuoju

• Ne

Balsavo 9 vartotojų. 3 vartotojai susilaikė.

Šaltinis: www.habr.com