ProHoster > Blogs > AdministrÄcija > TÄ«kla uzraudzÄ«ba un anomÄlas tÄ«kla darbÄ«bas noteikÅ”ana, izmantojot Flowmon Networks risinÄjumus
TÄ«kla uzraudzÄ«ba un anomÄlas tÄ«kla darbÄ«bas noteikÅ”ana, izmantojot Flowmon Networks risinÄjumus
PÄdÄjÄ laikÄ internetÄ var atrast milzÄ«gu daudzumu materiÄlu par Å”o tÄmu. trafika analÄ«ze tÄ«kla perimetrÄ. TajÄ paÅ”Ä laikÄ kaut kÄdu iemeslu dÄļ visi par to pilnÄ«bÄ aizmirsa vietÄjÄs satiksmes analÄ«ze, kas ir ne mazÄk svarÄ«gi. Å is raksts attiecas tieÅ”i uz Å”o tÄmu. PiemÄram Flowmon tÄ«kli atcerÄsimies veco labo Netflow (un tÄ alternatÄ«vas), apskatÄ«sim interesantus gadÄ«jumus, iespÄjamÄs anomÄlijas tÄ«klÄ un uzzinÄsim risinÄjuma priekÅ”rocÄ«bas, kad viss tÄ«kls darbojas kÄ viens sensors. Un pats galvenais, jÅ«s varat veikt Å”Ädu vietÄjÄs satiksmes analÄ«zi pilnÄ«gi bez maksas izmÄÄ£inÄjuma licences ietvaros (45 dienas). Ja tÄma jums ir interesanta, laipni lÅ«dzam cat. Ja jums ir slinkums lasÄ«t, tad, skatoties uz priekÅ”u, varat reÄ£istrÄties gaidÄmais vebinÄrs, kur visu parÄdÄ«sim un pastÄstÄ«sim (turpat var uzzinÄt arÄ« par gaidÄmajÄm produktu apmÄcÄ«bÄm).
Kas ir Flowmon Networks?
PirmkÄrt, Flowmon ir Eiropas IT pÄrdevÄjs. UzÅÄmums ir Äehs, ar galveno mÄ«tni Brno (sankciju jautÄjums pat netiek aktualizÄts). PaÅ”reizÄjÄ formÄ uzÅÄmums ir tirgÅ« kopÅ” 2007. gada. IepriekÅ” tas bija pazÄ«stams ar zÄ«molu Invea-Tech. TÄtad kopumÄ produktu un risinÄjumu izstrÄdei tika pavadÄ«ti gandrÄ«z 20 gadi.
Flowmon tiek pozicionÄts kÄ A klases zÄ«mols. IzstrÄdÄ augstÄkÄs kvalitÄtes risinÄjumus uzÅÄmumu klientiem un ir atzÄ«ts Gartner tÄ«kla veiktspÄjas uzraudzÄ«bas un diagnostikas (NPMD) kategorijÄs. TurklÄt interesanti ir tas, ka no visiem ziÅojumÄ iekļautajiem uzÅÄmumiem Flowmon ir vienÄ«gais Gartner norÄdÄ«tais pÄrdevÄjs, kas piedÄvÄ risinÄjumus gan tÄ«kla uzraudzÄ«bai, gan informÄcijas aizsardzÄ«bai (tÄ«kla uzvedÄ«bas analÄ«ze). Tas vÄl neieÅem pirmo vietu, taÄu tÄpÄc tas nestÄv kÄ Boeing spÄrns.
KÄdas problÄmas produkts atrisina?
GlobÄlÄ mÄrogÄ mÄs varam izŔķirt Å”Ädu uzdevumu kopumu, ko risina uzÅÄmuma produkti:
tÄ«kla stabilitÄtes, kÄ arÄ« tÄ«kla resursu palielinÄÅ”ana, lÄ«dz minimumam samazinot to dÄ«kstÄves un nepieejamÄ«bu;
izmantojot modernus inovatÄ«vus tÄ«kla uzraudzÄ«bas rÄ«kus, kuru pamatÄ ir informÄcija par IP plÅ«smÄm;
DetalizÄtas analÄ«tikas nodroÅ”inÄÅ”ana par tÄ«kla darbÄ«bu un stÄvokli - tÄ«klÄ strÄdÄjoÅ”iem lietotÄjiem un lietojumprogrammÄm, pÄrsÅ«tÄ«tajiem datiem, mijiedarbojoÅ”iem resursiem, pakalpojumiem un mezgliem;
reaÄ£Ät uz incidentiem pirms tie notiek, nevis pÄc tam, kad lietotÄji un klienti zaudÄ pakalpojumu;
samazinot laiku un resursus, kas nepiecieÅ”ami tÄ«kla un IT infrastruktÅ«ras administrÄÅ”anai;
traucÄjummeklÄÅ”anas uzdevumu vienkÄrÅ”oÅ”ana.
uzÅÄmuma tÄ«kla un informÄcijas resursu droŔības lÄ«meÅa paaugstinÄÅ”ana, izmantojot ar parakstu nesaistÄ«tas tehnoloÄ£ijas anomÄlu un ļaunprÄtÄ«gu tÄ«kla darbÄ«bu, kÄ arÄ« ānulles dienas uzbrukumuā noteikÅ”anai;
nodroÅ”inÄt nepiecieÅ”amo SLA lÄ«meni tÄ«kla lietojumprogrammÄm un datu bÄzÄm.
Flowmon Networks produktu portfelis
Tagad apskatÄ«sim tieÅ”i Flowmon Networks produktu portfeli un uzzinÄsim, ko tieÅ”i uzÅÄmums dara. KÄ daudzi jau nojauta pÄc nosaukuma, galvenÄ specializÄcija ir straumÄÅ”anas plÅ«smas satiksmes uzraudzÄ«bas risinÄjumi, kÄ arÄ« vairÄki papildu moduļi, kas paplaÅ”ina pamata funkcionalitÄti.
Faktiski Flowmon var saukt par viena produkta uzÅÄmumu, pareizÄk sakot, par vienu risinÄjumu. Noskaidrosim, vai tas ir labi vai slikti.
SistÄmas kodols ir savÄcÄjs, kas ir atbildÄ«gs par datu vÄkÅ”anu, izmantojot dažÄdus plÅ«smas protokolus, piemÄram NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Ir diezgan loÄ£iski, ka uzÅÄmumam, kas nav saistÄ«ts ar nevienu tÄ«kla iekÄrtu ražotÄju, ir svarÄ«gi piedÄvÄt tirgÅ« universÄlu produktu, kas nav piesaistÄ«ts nevienam standartam vai protokolam.
Flowmon kolekcionÄrs
Kolektors ir pieejams gan kÄ aparatÅ«ras serveris, gan kÄ virtuÄlÄ maŔīna (VMware, Hyper-V, KVM). Starp citu, aparatÅ«ras platforma ir ieviesta uz pielÄgotiem DELL serveriem, kas automÄtiski novÄrÅ” lielÄko daļu problÄmu ar garantiju un RMA. VienÄ«gie patentÄtie aparatÅ«ras komponenti ir Flowmon meitasuzÅÄmuma izstrÄdÄtÄs FPGA trafika uztverÅ”anas kartes, kas ļauj uzraudzÄ«t ar Ätrumu lÄ«dz 100 Gbps.
Bet ko darÄ«t, ja esoÅ”Ä tÄ«kla iekÄrta nespÄj Ä£enerÄt kvalitatÄ«vu plÅ«smu? Vai arÄ« aprÄ«kojuma slodze ir pÄrÄk liela? NekÄdu problÄmu:
Flowmon Prob
Å ajÄ gadÄ«jumÄ Flowmon Networks piedÄvÄ izmantot savas zondes (Flowmon Probe), kuras tiek savienotas ar tÄ«klu caur slÄdža SPAN portu vai izmantojot pasÄ«vos TAP sadalÄ«tÄjus.
SPAN (spoguļa ports) un TAP ievieÅ”anas iespÄjas
Å ajÄ gadÄ«jumÄ neapstrÄdÄtÄ satiksme, kas nonÄk pie Flowmon zondes, tiek pÄrveidota par paplaÅ”inÄtu IPFIX, kas satur vairÄk 240 metrika ar informÄciju. Lai gan standarta NetFlow protokols, ko Ä£enerÄ tÄ«kla aprÄ«kojums, satur ne vairÄk kÄ 80 metriku. Tas nodroÅ”ina protokola redzamÄ«bu ne tikai 3. un 4. slÄnÄ«, bet arÄ« 7. slÄnÄ« saskaÅÄ ar ISO OSI modeli. RezultÄtÄ tÄ«kla administratori var pÄrraudzÄ«t tÄdu lietojumprogrammu un protokolu darbÄ«bu kÄ e-pasts, HTTP, DNS, SMB...
Visas Flowmon Networks āekosistÄmasā centrÄlÄ daļa ir Collector, kas saÅem trafiku no esoÅ”ajÄm tÄ«kla iekÄrtÄm vai savÄm zondÄm (Probe). TaÄu uzÅÄmuma risinÄjumam nodroÅ”inÄt funkcionalitÄti tikai tÄ«kla trafika uzraudzÄ«bai bÅ«tu pÄrÄk vienkÄrÅ”i. To var izdarÄ«t arÄ« atvÄrtÄ pirmkoda risinÄjumi, lai gan ne ar Å”Ädu veiktspÄju. Flowmon vÄrtÄ«ba ir papildu moduļi, kas paplaÅ”ina pamata funkcionalitÄti:
modulis AnomÄliju noteikÅ”anas droŔība ā anomÄlas tÄ«kla darbÄ«bas, tostarp nulles dienas uzbrukumu, identificÄÅ”ana, pamatojoties uz trafika heiristisko analÄ«zi un tipisku tÄ«kla profilu;
modulis Satiksmes reÄ£istrators ā tÄ«kla trafika fragmentu ierakstÄ«Å”ana saskaÅÄ ar iepriekÅ” noteiktu noteikumu kopumu vai saskaÅÄ ar trigeri no ADS moduļa, lai turpinÄtu traucÄjummeklÄÅ”anu un/vai informÄcijas droŔības incidentu izmeklÄÅ”anu;
modulis DDoS aizsardzÄ«ba ā tÄ«kla perimetra aizsardzÄ«ba pret apjomÄ«giem DoS/DDoS pakalpojumu liegÅ”anas uzbrukumiem, tostarp uzbrukumiem lietojumprogrammÄm (OSI L3/L4/L7).
Å ajÄ rakstÄ mÄs apskatÄ«sim, kÄ viss darbojas tieÅ”raidÄ, izmantojot 2 moduļu piemÄru - TÄ«kla veiktspÄjas uzraudzÄ«ba un diagnostika Šø AnomÄliju noteikÅ”anas droŔība.
SÄkotnÄjie dati:
slÄdžu pÄris, kas atbalsta plÅ«smas protokolus.
1. darbÄ«ba. InstalÄjiet Flowmon Collector
VirtuÄlÄs maŔīnas izvietoÅ”ana VMware notiek pilnÄ«gi standarta veidÄ no OVF veidnes. RezultÄtÄ mÄs iegÅ«stam virtuÄlo maŔīnu, kurÄ darbojas CentOS un ir gatava lietoÅ”anai programmatÅ«ra. Resursu prasÄ«bas ir humÄnas:
Atliek tikai veikt pamata inicializÄciju, izmantojot komandu sysconfig:
MÄs konfigurÄjam IP pÄrvaldÄ«bas portÄ, DNS, laiku, resursdatora nosaukumu un varam izveidot savienojumu ar WEB interfeisu.
2. darbÄ«ba. Licences uzstÄdÄ«Å”ana
KopÄ ar virtuÄlÄs maŔīnas attÄlu tiek Ä£enerÄta un lejupielÄdÄta izmÄÄ£inÄjuma licence uz pusotru mÄnesi. IelÄdÄts, izmantojot KonfigurÄcijas centrs -> Licence. RezultÄtÄ mÄs redzam:
Viss ir gatavs. JÅ«s varat sÄkt strÄdÄt.
3. solis. UztvÄrÄja iestatÄ«Å”ana kolektorÄ
Å ajÄ posmÄ jums ir jÄizlemj, kÄ sistÄma saÅems datus no avotiem. KÄ jau teicÄm iepriekÅ”, tas varÄtu bÅ«t viens no plÅ«smas protokoliem vai slÄdža SPAN ports.
MÅ«su piemÄrÄ mÄs izmantosim datu saÅemÅ”anu, izmantojot protokolus NetFlow v9 un IPFIX. Å ajÄ gadÄ«jumÄ mÄs norÄdÄm pÄrvaldÄ«bas saskarnes IP adresi kÄ mÄrÄ·i - 192.168.78.198. Saskarnes eth2 un eth3 (ar pÄrraudzÄ«bas interfeisa tipu) tiek izmantotas, lai saÅemtu āneapstrÄdÄtasā trafika kopiju no slÄdža SPAN porta. MÄs viÅus laidÄm cauri, nevis mÅ«su lieta.
TÄlÄk mÄs pÄrbaudÄm kolektora portu, kur vajadzÄtu virzÄ«ties satiksmei.
NetFlow iestatÄ«Å”anu Cisco Systems iekÄrtÄ droÅ”i vien var saukt par pilnÄ«gi ierastu uzdevumu jebkuram tÄ«kla administratoram. PiemÄram, mÄs Åemsim kaut ko neparastÄku. PiemÄram, marÅ”rutÄtÄjs MikroTik RB2011UiAS-2HnD. JÄ, dÄ«vainÄ kÄrtÄ Å”Äds budžeta risinÄjums maziem un mÄjas birojiem atbalsta arÄ« NetFlow v5/v9 un IPFIX protokolus. IestatÄ«jumos iestatiet mÄrÄ·i (kolekcionÄra adrese 192.168.78.198 un ports 2055):
Un pievienojiet visus eksportam pieejamos rÄdÄ«tÄjus:
Å ajÄ brÄ«dÄ« mÄs varam teikt, ka pamata iestatÄ«Å”ana ir pabeigta. MÄs pÄrbaudÄm, vai sistÄmÄ ieplÅ«st satiksme.
5. darbÄ«ba. TÄ«kla veiktspÄjas uzraudzÄ«bas un diagnostikas moduļa pÄrbaude un darbÄ«ba
SadaÄ¼Ä varat pÄrbaudÄ«t trafika klÄtbÅ«tni no avota Flowmon uzraudzÄ«bas centrs -> Avoti:
MÄs redzam, ka dati tiek ievadÄ«ti sistÄmÄ. KÄdu laiku pÄc tam, kad savÄcÄjs ir uzkrÄjis trafiku, logrÄ«ki sÄks parÄdÄ«t informÄciju:
SistÄma ir veidota pÄc drill down principa. Tas nozÄ«mÄ, ka lietotÄjs, diagrammÄ vai diagrammÄ atlasot interesÄjoÅ”o fragmentu, ānokrÄ«tā lÄ«dz viÅam vajadzÄ«gajam datu dziļuma lÄ«menim:
LÄ«dz informÄcijai par katru tÄ«kla savienojumu un savienojumu:
Å o moduli var saukt par vienu no interesantÄkajiem, jo āātiek izmantotas metodes bez paraksta, lai noteiktu tÄ«kla trafika un ļaunprÄtÄ«gas tÄ«kla darbÄ«bas anomÄlijas. Bet tas nav IDS/IPS sistÄmu analogs. Darbs ar moduli sÄkas ar tÄ āapmÄcÄ«buā. Lai to izdarÄ«tu, Ä«paÅ”s vednis norÄda visus galvenos tÄ«kla komponentus un pakalpojumus, tostarp:
vÄrtejas adreses, DNS, DHCP un NTP serveri,
adresÄÅ”ana lietotÄju un servera segmentos.
PÄc tam sistÄma pÄriet treniÅu režīmÄ, kas ilgst vidÄji no 2 nedÄļÄm lÄ«dz 1 mÄnesim. Å ajÄ laikÄ sistÄma Ä£enerÄ bÄzes trafiku, kas ir raksturÄ«ga mÅ«su tÄ«klam. VienkÄrÅ”i sakot, sistÄma mÄcÄs:
kÄda uzvedÄ«ba ir raksturÄ«ga tÄ«kla mezgliem?
KÄdi datu apjomi parasti tiek pÄrsÅ«tÄ«ti un ir normÄli tÄ«klam?
KÄds ir lietotÄju parastais darbÄ«bas laiks?
kÄdas lietojumprogrammas darbojas tÄ«klÄ?
un daudz vairÄk..
RezultÄtÄ mÄs iegÅ«stam rÄ«ku, kas identificÄ visas mÅ«su tÄ«kla anomÄlijas un novirzes no tipiskas uzvedÄ«bas. Å eit ir daži piemÄri, ko sistÄma ļauj noteikt:
jaunas ļaunprÄtÄ«gas programmatÅ«ras izplatÄ«Å”ana tÄ«klÄ, ko neatklÄj pretvÄ«rusu paraksti;
DNS, ICMP vai citu tuneļu veidoÅ”ana un datu pÄrraide, apejot ugunsmÅ«ri;
jauna datora parÄdÄ«Å”anÄs tÄ«klÄ, kas ir DHCP un/vai DNS serveris.
PaskatÄ«simies, kÄ tas izskatÄs tieÅ”raidÄ. Kad jÅ«su sistÄma ir apmÄcÄ«ta un izveidota tÄ«kla trafika bÄzes lÄ«nija, tÄ sÄk noteikt incidentus:
Moduļa galvenÄ lapa ir laika skala, kurÄ parÄdÄ«ti identificÄtie incidenti. MÅ«su piemÄrÄ mÄs redzam skaidru smaili, aptuveni no 9 lÄ«dz 16 stundÄm. AtlasÄ«sim to un apskatÄ«sim sÄ«kÄk.
UzbrucÄja anomÄlÄ uzvedÄ«ba tÄ«klÄ ir skaidri redzama. Viss sÄkas ar faktu, ka resursdators ar adresi 192.168.3.225 sÄka horizontÄlu tÄ«kla skenÄÅ”anu portÄ 3389 (Microsoft RDP pakalpojums) un atrada 14 potenciÄlos āupurusā:
Uzbrukuma rezultÄtÄ vienÄ no uzlauztajiem saimniekiem tiek konstatÄta SMTP anomÄlija. Citiem vÄrdiem sakot, surogÄtpasts ir sÄcies:
Å is piemÄrs skaidri parÄda sistÄmas un jo Ä«paÅ”i anomÄliju noteikÅ”anas droŔības moduļa iespÄjas. Spriediet par efektivitÄti paÅ”i. Tas noslÄdz risinÄjuma funkcionÄlo pÄrskatu.
SecinÄjums
Apkoposim, kÄdus secinÄjumus varam izdarÄ«t par Flowmon:
Flowmon ir premium klases risinÄjums korporatÄ«vajiem klientiem;
pateicoties tÄs daudzpusÄ«bai un savietojamÄ«bai, datu vÄkÅ”ana ir pieejama no jebkura avota: tÄ«kla aprÄ«kojuma (Cisco, Juniper, HPE, Huawei...) vai jÅ«su paÅ”u zondÄm (Flowmon Probe);
RisinÄjuma mÄrogojamÄ«bas iespÄjas ļauj paplaÅ”inÄt sistÄmas funkcionalitÄti, pievienojot jaunus moduļus, kÄ arÄ« paaugstinÄt produktivitÄti, pateicoties elastÄ«gai pieejai licencÄÅ”anai;
izmantojot bezparakstu analÄ«zes tehnoloÄ£ijas, sistÄma ļauj atklÄt nulles dienas uzbrukumus, kas pat nav zinÄmi antivÄ«rusiem un IDS/IPS sistÄmÄm;
pateicoties pilnÄ«gai ācaurspÄ«dÄ«gumamā attiecÄ«bÄ uz sistÄmas uzstÄdÄ«Å”anu un klÄtbÅ«tni tÄ«klÄ ā risinÄjums neietekmÄ citu JÅ«su IT infrastruktÅ«ras mezglu un komponentu darbÄ«bu;
Flowmon ir vienÄ«gais risinÄjums tirgÅ«, kas atbalsta satiksmes uzraudzÄ«bu ar Ätrumu lÄ«dz 100 Gbps;
Flowmon ir risinÄjums jebkura mÄroga tÄ«kliem;
labÄkÄ cenas/funkcionalitÄtes attiecÄ«ba starp lÄ«dzÄ«giem risinÄjumiem.
Å ajÄ pÄrskatÄ mÄs pÄrbaudÄ«jÄm mazÄk nekÄ 10% no risinÄjuma kopÄjÄs funkcionalitÄtes. NÄkamajÄ rakstÄ mÄs runÄsim par atlikuÅ”ajiem Flowmon Networks moduļiem. Izmantojot lietojumprogrammu veiktspÄjas uzraudzÄ«bas moduli kÄ piemÄru, mÄs parÄdÄ«sim, kÄ biznesa lietojumprogrammu administratori var nodroÅ”inÄt pieejamÄ«bu noteiktÄ SLA lÄ«menÄ«, kÄ arÄ« pÄc iespÄjas ÄtrÄk diagnosticÄt problÄmas.
TÄpat vÄlamies jÅ«s uzaicinÄt uz mÅ«su vebinÄru (10.09.2019/XNUMX/XNUMX), kas veltÄ«ts pÄrdevÄja Flowmon Networks risinÄjumiem. Lai veiktu iepriekÅ”Äju reÄ£istrÄciju, lÅ«dzam jÅ«s reÄ£istrÄties Å”eit.
PagaidÄm tas arÄ« viss, paldies par interesi!
AptaujÄ var piedalÄ«ties tikai reÄ£istrÄti lietotÄji. Ielogoties, lÅ«dzu.