🥇Tīkla uzraudzība un anomālas tīkla darbības noteikšana, izmantojot Flowmon Networks risinājumus

Pēdējā laikā internetā var atrast milzīgu daudzumu materiālu par šo tēmu. trafika analīze tīkla perimetrā. Tajā pašā laikā kaut kādu iemeslu dēļ visi par to pilnībā aizmirsa vietējās satiksmes analīze, kas ir ne mazāk svarīgi. Šis raksts attiecas tieši uz šo tēmu. Piemēram Flowmon tīkli atcerēsimies veco labo Netflow (un tā alternatīvas), apskatīsim interesantus gadījumus, iespējamās anomālijas tīklā un uzzināsim risinājuma priekšrocības, kad viss tīkls darbojas kā viens sensors. Un pats galvenais, jūs varat veikt šādu vietējās satiksmes analīzi pilnīgi bez maksas izmēģinājuma licences ietvaros (45 dienas). Ja tēma jums ir interesanta, laipni lūdzam cat. Ja jums ir slinkums lasīt, tad, skatoties uz priekšu, varat reģistrēties gaidāmais vebinārs, kur visu parādīsim un pastāstīsim (turpat var uzzināt arī par gaidāmajām produktu apmācībām).

Kas ir Flowmon Networks?

Pirmkārt, Flowmon ir Eiropas IT pārdevējs. Uzņēmums ir čehs, ar galveno mītni Brno (sankciju jautājums pat netiek aktualizēts). Pašreizējā formā uzņēmums ir tirgū kopš 2007. gada. Iepriekš tas bija pazīstams ar zīmolu Invea-Tech. Tātad kopumā produktu un risinājumu izstrādei tika pavadīti gandrīz 20 gadi.

Flowmon tiek pozicionēts kā A klases zīmols. Izstrādā augstākās kvalitātes risinājumus uzņēmumu klientiem un ir atzīts Gartner tīkla veiktspējas uzraudzības un diagnostikas (NPMD) kategorijās. Turklāt interesanti ir tas, ka no visiem ziņojumā iekļautajiem uzņēmumiem Flowmon ir vienīgais Gartner norādītais pārdevējs, kas piedāvā risinājumus gan tīkla uzraudzībai, gan informācijas aizsardzībai (tīkla uzvedības analīze). Tas vēl neieņem pirmo vietu, taču tāpēc tas nestāv kā Boeing spārns.

Kādas problēmas produkts atrisina?

Globālā mērogā mēs varam izšķirt šādu uzdevumu kopumu, ko risina uzņēmuma produkti:

tīkla stabilitātes, kā arī tīkla resursu palielināšana, līdz minimumam samazinot to dīkstāves un nepieejamību;
kopējā tīkla veiktspējas līmeņa paaugstināšana;
palielina administratīvā personāla efektivitāti, jo:
- izmantojot modernus inovatīvus tīkla uzraudzības rīkus, kuru pamatā ir informācija par IP plūsmām;
- Detalizētas analītikas nodrošināšana par tīkla darbību un stāvokli - tīklā strādājošiem lietotājiem un lietojumprogrammām, pārsūtītajiem datiem, mijiedarbojošiem resursiem, pakalpojumiem un mezgliem;
- reaģēt uz incidentiem pirms tie notiek, nevis pēc tam, kad lietotāji un klienti zaudē pakalpojumu;
- samazinot laiku un resursus, kas nepieciešami tīkla un IT infrastruktūras administrēšanai;
- traucējummeklēšanas uzdevumu vienkāršošana.
uzņēmuma tīkla un informācijas resursu drošības līmeņa paaugstināšana, izmantojot ar parakstu nesaistītas tehnoloģijas anomālu un ļaunprātīgu tīkla darbību, kā arī “nulles dienas uzbrukumu” noteikšanai;
nodrošināt nepieciešamo SLA līmeni tīkla lietojumprogrammām un datu bāzēm.

Flowmon Networks produktu portfelis

Tagad apskatīsim tieši Flowmon Networks produktu portfeli un uzzināsim, ko tieši uzņēmums dara. Kā daudzi jau nojauta pēc nosaukuma, galvenā specializācija ir straumēšanas plūsmas satiksmes uzraudzības risinājumi, kā arī vairāki papildu moduļi, kas paplašina pamata funkcionalitāti.

Faktiski Flowmon var saukt par viena produkta uzņēmumu, pareizāk sakot, par vienu risinājumu. Noskaidrosim, vai tas ir labi vai slikti.

Sistēmas kodols ir savācējs, kas ir atbildīgs par datu vākšanu, izmantojot dažādus plūsmas protokolus, piemēram NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Ir diezgan loģiski, ka uzņēmumam, kas nav saistīts ar nevienu tīkla iekārtu ražotāju, ir svarīgi piedāvāt tirgū universālu produktu, kas nav piesaistīts nevienam standartam vai protokolam.

Flowmon kolekcionārs

Kolektors ir pieejams gan kā aparatūras serveris, gan kā virtuālā mašīna (VMware, Hyper-V, KVM). Starp citu, aparatūras platforma ir ieviesta uz pielāgotiem DELL serveriem, kas automātiski novērš lielāko daļu problēmu ar garantiju un RMA. Vienīgie patentētie aparatūras komponenti ir Flowmon meitasuzņēmuma izstrādātās FPGA trafika uztveršanas kartes, kas ļauj uzraudzīt ar ātrumu līdz 100 Gbps.

Bet ko darīt, ja esošā tīkla iekārta nespēj ģenerēt kvalitatīvu plūsmu? Vai arī aprīkojuma slodze ir pārāk liela? Nekādu problēmu:

Flowmon Prob

Šajā gadījumā Flowmon Networks piedāvā izmantot savas zondes (Flowmon Probe), kuras tiek savienotas ar tīklu caur slēdža SPAN portu vai izmantojot pasīvos TAP sadalītājus.

SPAN (spoguļa ports) un TAP ieviešanas iespējas

Šajā gadījumā neapstrādātā satiksme, kas nonāk pie Flowmon zondes, tiek pārveidota par paplašinātu IPFIX, kas satur vairāk 240 metrika ar informāciju. Lai gan standarta NetFlow protokols, ko ģenerē tīkla aprīkojums, satur ne vairāk kā 80 metriku. Tas nodrošina protokola redzamību ne tikai 3. un 4. slānī, bet arī 7. slānī saskaņā ar ISO OSI modeli. Rezultātā tīkla administratori var pārraudzīt tādu lietojumprogrammu un protokolu darbību kā e-pasts, HTTP, DNS, SMB...

Konceptuāli sistēmas loģiskā arhitektūra izskatās šādi:

Visas Flowmon Networks “ekosistēmas” centrālā daļa ir Collector, kas saņem trafiku no esošajām tīkla iekārtām vai savām zondēm (Probe). Taču uzņēmuma risinājumam nodrošināt funkcionalitāti tikai tīkla trafika uzraudzībai būtu pārāk vienkārši. To var izdarīt arī atvērtā pirmkoda risinājumi, lai gan ne ar šādu veiktspēju. Flowmon vērtība ir papildu moduļi, kas paplašina pamata funkcionalitāti:

modulis Anomāliju noteikšanas drošība – anomālas tīkla darbības, tostarp nulles dienas uzbrukumu, identificēšana, pamatojoties uz trafika heiristisko analīzi un tipisku tīkla profilu;
modulis Lietojumprogrammas veiktspējas uzraudzība – tīkla lietojumprogrammu darbības pārraudzība, neinstalējot “aģentus” un neietekmējot mērķa sistēmas;
modulis Satiksmes reģistrators – tīkla trafika fragmentu ierakstīšana saskaņā ar iepriekš noteiktu noteikumu kopumu vai saskaņā ar trigeri no ADS moduļa, lai turpinātu traucējummeklēšanu un/vai informācijas drošības incidentu izmeklēšanu;
modulis DDoS aizsardzība – tīkla perimetra aizsardzība pret apjomīgiem DoS/DDoS pakalpojumu liegšanas uzbrukumiem, tostarp uzbrukumiem lietojumprogrammām (OSI L3/L4/L7).

Šajā rakstā mēs apskatīsim, kā viss darbojas tiešraidē, izmantojot 2 moduļu piemēru - Tīkla veiktspējas uzraudzība un diagnostika и Anomāliju noteikšanas drošība.
Sākotnējie dati:

Lenovo RS 140 serveris ar VMware 6.0 hipervizoru;
Flowmon Collector virtuālās mašīnas attēls, ko varat lejupielādēt šeit;
slēdžu pāris, kas atbalsta plūsmas protokolus.

1. darbība. Instalējiet Flowmon Collector

Virtuālās mašīnas izvietošana VMware notiek pilnīgi standarta veidā no OVF veidnes. Rezultātā mēs iegūstam virtuālo mašīnu, kurā darbojas CentOS un ir gatava lietošanai programmatūra. Resursu prasības ir humānas:

Atliek tikai veikt pamata inicializāciju, izmantojot komandu sysconfig:

Mēs konfigurējam IP pārvaldības portā, DNS, laiku, resursdatora nosaukumu un varam izveidot savienojumu ar WEB interfeisu.

2. darbība. Licences uzstādīšana

Kopā ar virtuālās mašīnas attēlu tiek ģenerēta un lejupielādēta izmēģinājuma licence uz pusotru mēnesi. Ielādēts, izmantojot Konfigurācijas centrs -> Licence. Rezultātā mēs redzam:

Viss ir gatavs. Jūs varat sākt strādāt.

3. solis. Uztvērēja iestatīšana kolektorā

Šajā posmā jums ir jāizlemj, kā sistēma saņems datus no avotiem. Kā jau teicām iepriekš, tas varētu būt viens no plūsmas protokoliem vai slēdža SPAN ports.

Mūsu piemērā mēs izmantosim datu saņemšanu, izmantojot protokolus NetFlow v9 un IPFIX. Šajā gadījumā mēs norādām pārvaldības saskarnes IP adresi kā mērķi - 192.168.78.198. Saskarnes eth2 un eth3 (ar pārraudzības interfeisa tipu) tiek izmantotas, lai saņemtu “neapstrādātas” trafika kopiju no slēdža SPAN porta. Mēs viņus laidām cauri, nevis mūsu lieta.
Tālāk mēs pārbaudām kolektora portu, kur vajadzētu virzīties satiksmei.

Mūsu gadījumā savācējs klausās trafiku portā UDP/2055.

4. darbība. Tīkla aprīkojuma konfigurēšana plūsmas eksportam

NetFlow iestatīšanu Cisco Systems iekārtā droši vien var saukt par pilnīgi ierastu uzdevumu jebkuram tīkla administratoram. Piemēram, mēs ņemsim kaut ko neparastāku. Piemēram, maršrutētājs MikroTik RB2011UiAS-2HnD. Jā, dīvainā kārtā šāds budžeta risinājums maziem un mājas birojiem atbalsta arī NetFlow v5/v9 un IPFIX protokolus. Iestatījumos iestatiet mērķi (kolekcionāra adrese 192.168.78.198 un ports 2055):

Un pievienojiet visus eksportam pieejamos rādītājus:

Šajā brīdī mēs varam teikt, ka pamata iestatīšana ir pabeigta. Mēs pārbaudām, vai sistēmā ieplūst satiksme.

5. darbība. Tīkla veiktspējas uzraudzības un diagnostikas moduļa pārbaude un darbība

Sadaļā varat pārbaudīt trafika klātbūtni no avota Flowmon uzraudzības centrs -> Avoti:

Mēs redzam, ka dati tiek ievadīti sistēmā. Kādu laiku pēc tam, kad savācējs ir uzkrājis trafiku, logrīki sāks parādīt informāciju:

Sistēma ir veidota pēc drill down principa. Tas nozīmē, ka lietotājs, diagrammā vai diagrammā atlasot interesējošo fragmentu, “nokrīt” līdz viņam vajadzīgajam datu dziļuma līmenim:

Līdz informācijai par katru tīkla savienojumu un savienojumu:

6. darbība. Anomāliju noteikšanas drošības modulis

Šo moduli var saukt par vienu no interesantākajiem, jo tiek izmantotas metodes bez paraksta, lai noteiktu tīkla trafika un ļaunprātīgas tīkla darbības anomālijas. Bet tas nav IDS/IPS sistēmu analogs. Darbs ar moduli sākas ar tā “apmācību”. Lai to izdarītu, īpašs vednis norāda visus galvenos tīkla komponentus un pakalpojumus, tostarp:

vārtejas adreses, DNS, DHCP un NTP serveri,
adresēšana lietotāju un servera segmentos.

Pēc tam sistēma pāriet treniņu režīmā, kas ilgst vidēji no 2 nedēļām līdz 1 mēnesim. Šajā laikā sistēma ģenerē bāzes trafiku, kas ir raksturīga mūsu tīklam. Vienkārši sakot, sistēma mācās:

kāda uzvedība ir raksturīga tīkla mezgliem?
Kādi datu apjomi parasti tiek pārsūtīti un ir normāli tīklam?
Kāds ir lietotāju parastais darbības laiks?
kādas lietojumprogrammas darbojas tīklā?
un daudz vairāk..

Rezultātā mēs iegūstam rīku, kas identificē visas mūsu tīkla anomālijas un novirzes no tipiskas uzvedības. Šeit ir daži piemēri, ko sistēma ļauj noteikt:

jaunas ļaunprātīgas programmatūras izplatīšana tīklā, ko neatklāj pretvīrusu paraksti;
DNS, ICMP vai citu tuneļu veidošana un datu pārraide, apejot ugunsmūri;
jauna datora parādīšanās tīklā, kas ir DHCP un/vai DNS serveris.

Paskatīsimies, kā tas izskatās tiešraidē. Kad jūsu sistēma ir apmācīta un izveidota tīkla trafika bāzes līnija, tā sāk noteikt incidentus:

Moduļa galvenā lapa ir laika skala, kurā parādīti identificētie incidenti. Mūsu piemērā mēs redzam skaidru smaili, aptuveni no 9 līdz 16 stundām. Atlasīsim to un apskatīsim sīkāk.

Uzbrucēja anomālā uzvedība tīklā ir skaidri redzama. Viss sākas ar faktu, ka resursdators ar adresi 192.168.3.225 sāka horizontālu tīkla skenēšanu portā 3389 (Microsoft RDP pakalpojums) un atrada 14 potenciālos “upurus”:

Sekojošais ierakstīts incidents - resursdators 192.168.3.225 sāk brutālu spēku uzbrukumu, lai rupja spēka paroles LAP pakalpojumā (ports 3389) iepriekš norādītajās adresēs:

Uzbrukuma rezultātā vienā no uzlauztajiem saimniekiem tiek konstatēta SMTP anomālija. Citiem vārdiem sakot, surogātpasts ir sācies:

Šis piemērs skaidri parāda sistēmas un jo īpaši anomāliju noteikšanas drošības moduļa iespējas. Spriediet par efektivitāti paši. Tas noslēdz risinājuma funkcionālo pārskatu.

Secinājums

Apkoposim, kādus secinājumus varam izdarīt par Flowmon:

Flowmon ir premium klases risinājums korporatīvajiem klientiem;
pateicoties tās daudzpusībai un savietojamībai, datu vākšana ir pieejama no jebkura avota: tīkla aprīkojuma (Cisco, Juniper, HPE, Huawei...) vai jūsu pašu zondēm (Flowmon Probe);
Risinājuma mērogojamības iespējas ļauj paplašināt sistēmas funkcionalitāti, pievienojot jaunus moduļus, kā arī paaugstināt produktivitāti, pateicoties elastīgai pieejai licencēšanai;
izmantojot bezparakstu analīzes tehnoloģijas, sistēma ļauj atklāt nulles dienas uzbrukumus, kas pat nav zināmi antivīrusiem un IDS/IPS sistēmām;
pateicoties pilnīgai “caurspīdīgumam” attiecībā uz sistēmas uzstādīšanu un klātbūtni tīklā – risinājums neietekmē citu Jūsu IT infrastruktūras mezglu un komponentu darbību;
Flowmon ir vienīgais risinājums tirgū, kas atbalsta satiksmes uzraudzību ar ātrumu līdz 100 Gbps;
Flowmon ir risinājums jebkura mēroga tīkliem;
labākā cenas/funkcionalitātes attiecība starp līdzīgiem risinājumiem.

Šajā pārskatā mēs pārbaudījām mazāk nekā 10% no risinājuma kopējās funkcionalitātes. Nākamajā rakstā mēs runāsim par atlikušajiem Flowmon Networks moduļiem. Izmantojot lietojumprogrammu veiktspējas uzraudzības moduli kā piemēru, mēs parādīsim, kā biznesa lietojumprogrammu administratori var nodrošināt pieejamību noteiktā SLA līmenī, kā arī pēc iespējas ātrāk diagnosticēt problēmas.

Tāpat vēlamies jūs uzaicināt uz mūsu vebināru (10.09.2019/XNUMX/XNUMX), kas veltīts pārdevēja Flowmon Networks risinājumiem. Lai veiktu iepriekšēju reģistrāciju, lūdzam jūs reģistrēties šeit.
Pagaidām tas arī viss, paldies par interesi!

Aptaujā var piedalīties tikai reģistrēti lietotāji. Ielogoties, lūdzu.

Vai tīkla uzraudzībai izmantojat Netflow?

Jā
Nē, bet es plānoju
Nē

Nobalsoja 9 lietotāji. 3 lietotāji atturējās.

Avots: www.habr.com

Tīkla uzraudzība un anomālas tīkla darbības noteikšana, izmantojot Flowmon Networks risinājumus