Ny fanaraha-maso sy ny fitadiavana ny hetsika tambajotra tsy fahita firy amin'ny alàlan'ny vahaolana Flowmon Networks

Vao haingana ianao dia afaka mahita fitaovana be dia be momba ny lohahevitra amin'ny Internet. fanadihadiana momba ny fifamoivoizana eo amin'ny perimeter tambajotra. Mandritra izany fotoana izany, noho ny antony iray dia nanadino tanteraka ny rehetra fanadihadiana momba ny fifamoivoizana eo an-toerana, izay tsy latsa-danja amin'izany. Ity lahatsoratra ity dia miresaka momba an'io lohahevitra io. Ohatra Flowmon Networks hotsaroantsika ny Netflow taloha tsara (sy ny safidy hafa), jereo ireo tranga mahaliana, mety ho tsy mety amin'ny tambajotra ary fantaro ny tombony amin'ny vahaolana rehefa ny tambajotra manontolo dia miasa toy ny sensor tokana. Ary ny tena zava-dehibe dia azonao atao ny manao fanadihadiana toy izany momba ny fifamoivoizana eo an-toerana maimaim-poana tanteraka, ao anatin'ny rafitry ny fahazoan-dàlana (45 andro). Raha mahaliana anao ny lohahevitra dia tongasoa eto amin'ny saka. Raha kamo loatra mamaky teny ianao dia afaka misoratra anarana amin'ny webinar ho avy, izay hasehonay sy ilazanay anao ny zava-drehetra (azonao atao koa ny mahafantatra momba ny fiofanana momba ny vokatra ho avy any).

Inona no atao hoe Flowmon Networks?

Voalohany indrindra, Flowmon dia mpivarotra IT Eropeana. Tseky ny orinasa, manana foibe ao Brno (tsy navoaka akory ny resaka sazy). Amin'ny endriny amin'izao fotoana izao, ny orinasa dia efa eo amin'ny tsena hatramin'ny taona 2007. Teo aloha, fantatra tamin'ny marika Invea-Tech. Noho izany, amin'ny fitambarany, efa ho 20 taona no lany tamin'ny famolavolana vokatra sy vahaolana.

Flowmon dia napetraka ho marika A-kilasy. Mamolavola vahaolana avo lenta ho an'ny mpanjifa orinasa ary ekena ao amin'ny boaty Gartner ho an'ny Network Performance Monitoring and Diagnostics (NPMD). Ankoatra izany, mahaliana, amin'ny orinasa rehetra ao amin'ny tatitra, Flowmon no hany mpivarotra voamarik'i Gartner ho mpanamboatra vahaolana ho an'ny fanaraha-maso ny tambajotra sy ny fiarovana ny vaovao (Fandinihana ny fitondran-tena amin'ny tambajotra). Tsy mbola mahazo ny laharana voalohany, fa noho izany dia tsy mijoro toy ny elatra Boeing.

Inona no olana voavaha ny vokatra?

Maneran-tany, afaka manavaka ireto karazana asa voavaha amin'ny vokatra avy amin'ny orinasa isika:

1. fampitomboana ny fahamarinan-toeran'ny tambajotra, ary koa ny loharanon-tambajotra, amin'ny fampihenana ny fotoana fitsaharana sy ny tsy fisian'izy ireo;
2. mampitombo ny haavon'ny tambajotra ankapobeny;
3. mampitombo ny fahombiazan'ny mpiasam-panjakana noho ny:
   • mampiasa fitaovana fanaraha-maso tambajotra maoderina mifototra amin'ny fampahalalana momba ny fikorianan'ny IP;
   • manome fanadihadiana amin'ny antsipiriany momba ny fampandehanana sy ny toetry ny tambajotra - ny mpampiasa sy ny rindranasa mandeha amin'ny tambajotra, ny angon-drakitra alefa, ny loharanon-karena mifandray, ny serivisy ary ny nodes;
   • mamaly ny zava-nitranga talohan'ny nitrangan'izany, fa tsy taorian'ny namoy ny serivisy ny mpampiasa sy ny mpanjifa;
   • fampihenana ny fotoana sy ny loharano ilaina amin'ny fitantanana ny tambajotra sy ny fotodrafitrasa IT;
   • fanatsorana ny asa famahana olana.
4. fampitomboana ny haavon'ny fiarovana ny tambajotra sy ny loharanom-baovaon'ny orinasa, amin'ny alàlan'ny fampiasana teknolojia tsy misy sonia mba hamantarana ny hetsika tambajotra tsy misy dikany sy ratsy, ary koa ny "fanafihana tsy misy andro";
5. miantoka ny haavon'ny SLA ilaina ho an'ny rindranasa tambajotra sy ny angona.

Flowmon Networks Product Portfolio

Andeha hojerentsika mivantana ny portfolio-n'ny vokatra Flowmon Networks ary fantaro hoe inona marina no ataon'ny orinasa. Araka ny efa noeritreretin'ny maro avy amin'ny anarana, ny tena manokana dia ny vahaolana amin'ny fanaraha-maso ny fifamoivoizana amin'ny streaming, miampy ireo maody fanampiny izay manitatra ny fiasa fototra.

Raha ny marina, Flowmon dia azo antsoina hoe orinasa vokatra iray, na ny marimarina kokoa, vahaolana iray. Andeha hojerentsika na tsara na ratsy izany.

Ny fototry ny rafitra dia ny mpanangona, izay tompon'andraikitra amin'ny fanangonana angon-drakitra amin'ny alàlan'ny protocols mikoriana isan-karazany, toy ny NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Tena lojika fa ho an'ny orinasa tsy mikambana amin'ny mpanamboatra fitaovana amin'ny tambajotra, dia zava-dehibe ny manolotra ny tsena vokatra manerantany izay tsy mifamatotra amin'ny fenitra na protocol iray.

Flowmon Collector

Ny mpanangona dia azo ampiasaina amin'ny maha-mpizara hardware sy amin'ny milina virtoaly (VMware, Hyper-V, KVM). Raha ny tokony ho izy, ny sehatra hardware dia ampiharina amin'ny server DELL namboarina, izay manafoana ny ankamaroan'ny olana amin'ny fiantohana sy RMA. Ny hany singa manan-danja amin'ny fitaovana dia ny karatra fisamborana fifamoivoizana FPGA novolavolain'ny sampana Flowmon, izay mamela ny fanaraha-maso amin'ny hafainganam-pandeha hatramin'ny 100 Gbps.

Inona anefa no tokony hatao raha toa ka tsy afaka mamokatra fikorianan'ny kalitao avo lenta ny fitaovana tambajotra efa misy? Sa avo loatra ny enta-mavesatry ny fitaovana? Tsisy olana:

Flowmon Prob

Amin'ity tranga ity, ny Flowmon Networks dia manolotra ny hampiasa azy manokana (Flowmon Probe), izay mifandray amin'ny tambajotra amin'ny alàlan'ny seranan-tsambo SPAN amin'ny switch na mampiasa mpizara TAP passive.

Safidy fampiharana SPAN (seranan-taratra) sy TAP

Amin'ity tranga ity, ny fifamoivoizana manta tonga ao amin'ny Flowmon Probe dia avadika ho IPFIX miitatra ahitana bebe kokoa. 240 metrika misy fampahalalana. Raha ny protocol NetFlow mahazatra novokarin'ny fitaovan'ny tambajotra dia tsy misy metrika 80 mahery. Izany dia mamela ny fahitana ny protocol tsy amin'ny ambaratonga 3 sy 4 ihany, fa amin'ny ambaratonga 7 ihany koa araka ny modely ISO OSI. Vokatr'izany dia afaka manara-maso ny fiasan'ny rindranasa sy protocole toy ny mailaka, HTTP, DNS, SMB ny mpitantana ny tambajotra...

Raha ny hevitra, ny rafitra lojika amin'ny rafitra dia toy izao:

Ny ampahany afovoan'ny "ecosystem" Flowmon Networks manontolo dia ny Collector, izay mandray ny fifamoivoizana avy amin'ny fitaovana tambajotra efa misy na ny probe azy manokana (Probe). Saingy ho an'ny vahaolana amin'ny orinasa iray, ny fanomezana fampiasa ho an'ny fanaraha-maso ny fifamoivoizana amin'ny tambajotra dia ho tsotra loatra. Ny vahaolana Open Source dia afaka manao izany ihany koa, na dia tsy amin'ny fampisehoana toy izany aza. Ny sandan'ny Flowmon dia maody fanampiny izay manitatra ny fiasa fototra:

• Module Anomaly Detection Security - famantarana ny hetsika tambajotra tsy fahita firy, ao anatin'izany ny fanafihana aotra andro, mifototra amin'ny fanadihadiana heuristika momba ny fifamoivoizana sy ny mombamomba ny tambajotra mahazatra;
• Module Fanaraha-maso ny fahombiazan'ny fampiharana - manara-maso ny fampandehanana ny rindranasa amin'ny tambajotra tsy misy fametrahana "agent" ary misy fiantraikany amin'ny rafitra kendrena;
• Module Mpanoratra fifamoivoizana - fandraketana ireo sombintsombiny amin'ny fifamoivoizana amin'ny tambajotra araka ny fitsipika voafaritra mialoha na araka ny trigger avy amin'ny maody ADS, ho an'ny famahana olana bebe kokoa sy/na fanadihadiana momba ireo trangan-javatra momba ny fiarovana ny vaovao;
• Module DDoS Protection - fiarovana ny perimeter tambajotra amin'ny fandavana DoS/DDoS amin'ny fandavana ny fanafihana serivisy, ao anatin'izany ny fanafihana ny rindranasa (OSI L3/L4/L7).

Ato amin'ity lahatsoratra ity dia hojerentsika ny fomba fiasan'ny zava-drehetra amin'ny alàlan'ny ohatra amin'ny modules 2 - Fanaraha-maso sy Diagnostika ny fahombiazan'ny tambajotra и Anomaly Detection Security.
Loharano loharano:

• Mpizara Lenovo RS 140 miaraka amin'ny hypervisor VMware 6.0;
• Sary milina virtoaly Flowmon Collector izay azonao atao alaivo eto;
• switch roa manohana ny protocols mikoriana.

Dingana 1. Mametraka Flowmon Collector

Ny fametrahana milina virtoaly amin'ny VMware dia miseho amin'ny fomba manara-penitra tanteraka avy amin'ny maodely OVF. Vokatr'izany dia mahazo milina virtoaly mandeha CentOS izahay ary misy rindrambaiko efa vonona. Ny fitakiana loharanon-karena dia maha-olombelona:

Ny hany sisa tavela dia ny manao fanombohana fototra amin'ny fampiasana ny baiko sysconfig:

Ampifanarahintsika ny IP amin'ny seranan-tsambo fitantanana, DNS, fotoana, Hostname ary afaka mifandray amin'ny interface WEB.

Dingana 2. Fametrahana fahazoan-dàlana

Ny fahazoan-dàlana andrana mandritra ny iray volana sy tapany dia avoaka sy alaina miaraka amin'ny sarin'ny milina virtoaly. Load via Configuration Center -> License. Vokatr'izany dia hitantsika:

Efa vonona ny rehetra. Afaka manomboka miasa ianao.

Dingana 3. Mametraka ny mpandray amin'ny mpanangona

Amin'ity dingana ity, mila manapa-kevitra ianao hoe ahoana no handraisan'ny rafitra angona avy amin'ny loharano. Araka ny voalazanay teo aloha dia mety ho iray amin'ireo protocols flow na seranan-tsambo SPAN amin'ny switch.

Amin'ny ohatra ataontsika dia hampiasa ny fandraisana data amin'ny alàlan'ny protocols NetFlow v9 sy IPFIX. Amin'ity tranga ity, mamaritra ny adiresy IP an'ny interface Management ho tanjona - 192.168.78.198. Interfaces eth2 sy eth3 (miaraka amin'ny karazana interface fanaraha-maso) dia ampiasaina handraisana dika mitovy amin'ny fifamoivoizana "manta" avy amin'ny seranan-tsambo SPAN an'ny switch. Navelanay izy ireo, fa tsy ny anay.
Manaraka, manamarina ny seranan-tsambo mpanangom-bokatra izay tokony halehan'ny fifamoivoizana.

Amin'ity tranga ity, ny mpanangona dia mihaino ny fifamoivoizana amin'ny seranan-tsambo UDP/2055.

Dingana 4. Fametrahana fitaovana tambajotra ho an'ny fanondranana mikoriana

Ny fametrahana NetFlow amin'ny fitaovana Cisco Systems dia azo antsoina hoe asa mahazatra tanteraka ho an'ny mpitantana ny tambajotra. Ho ohatra ataontsika dia haka zavatra tsy mahazatra kokoa isika. Ohatra, ny router MikroTik RB2011UiAS-2HnD. Eny, mahagaga fa ny vahaolana tetibola toy izany ho an'ny birao madinika sy an-trano dia manohana ny protocols NetFlow v5 / v9 sy IPFIX. Ao amin'ny toe-javatra, apetraho ny tanjona (adiresy mpanangona 192.168.78.198 sy port 2055):

Ary ampio ny metrika rehetra azo fanondranana:

Amin'izao fotoana izao dia afaka milaza isika fa vita ny fametrahana fototra. Manamarina izahay raha miditra amin'ny rafitra ny fifamoivoizana.

Dingana 5: Fitsapana sy fampandehanana ny Module Fanaraha-maso sy Diagnostika ny fahombiazan'ny tambajotra

Azonao atao ny manamarina ny fisian'ny fifamoivoizana avy amin'ny loharano ao amin'ny fizarana Flowmon Monitoring Center -> Loharano:

Hitantsika fa miditra ao amin'ny rafitra ny data. Fotoana fohy taorian'ny nanangonan'ny mpanangona fifamoivoizana, dia hanomboka haneho fampahalalana ny widgets:

Ny rafitra dia miorina amin'ny fitsipiky ny drill down. Izany hoe, "milatsaka" amin'ny halalin'ny angon-drakitra ilainy ny mpampiasa rehefa misafidy sombin-javatra mahaliana amin'ny kisary na grafika:

Midina amin'ny fampahalalana momba ny fifandraisana sy ny fifandraisana tsirairay:

Dingana 6. Anomaly Detection Security Module

Ity môdely ity dia azo antsoina hoe iray amin'ireo mahaliana indrindra, noho ny fampiasana fomba tsy misy sonia hamantarana ny tsy fetezana amin'ny fifamoivoizana amin'ny tambajotra sy ny hetsika tambajotra ratsy. Saingy tsy analogue ny rafitra IDS/IPS izany. Ny fiasana amin'ny module dia manomboka amin'ny "fiofanana". Mba hanaovana izany, ny wizard manokana dia mamaritra ny singa fototra rehetra sy ny serivisy amin'ny tambajotra, ao anatin'izany:

• adiresy vavahady, DNS, DHCP ary server NTP,
• adiresy ao amin'ny fizarana mpampiasa sy mpizara.

Aorian'izany dia miditra amin'ny fomba fanofanana ny rafitra, izay maharitra 2 herinandro ka hatramin'ny 1 volana eo ho eo. Mandritra izany fotoana izany, ny rafitra dia miteraka fifamoivoizana fototra izay manokana amin'ny tambajotranay. Raha tsorina dia mianatra ny rafitra:

• inona no fitondran-tena mahazatra ho an'ny nodes tambajotra?
• Inona ny habetsaky ny angona afindra matetika ary mahazatra amin'ny tambajotra?
• Inona ny fotoana fiasana mahazatra ho an'ny mpampiasa?
• inona no fampiharana mandeha amin'ny tambajotra?
• sy ny maro hafa..

Vokatr'izany dia mahazo fitaovana iray izahay izay mamaritra ny tsy mety ao amin'ny tambajotranay sy ny fivilian-dàlana amin'ny fitondrantena mahazatra. Ireto misy ohatra roa ahafahan'ny rafitra ho fantarinao:

• fizarana malware vaovao amin'ny tambajotra izay tsy hitan'ny sonia antivirus;
• manangana DNS, ICMP na tonelina hafa ary mamindra angona amin'ny alàlan'ny firewall;
• ny fisehon'ny solosaina vaovao ao amin'ny tambajotra misolo tena ho mpizara DHCP sy/na DNS.

Andeha hojerentsika hoe manao ahoana izany mivantana. Rehefa avy nampiofanina sy nanangana tondrozotran'ny fifamoivoizana amin'ny tambajotra ny rafitrao, dia manomboka mahita tranga izy:

Ny pejy voalohany amin'ny maody dia tsipika mampiseho ireo tranga fantatra. Amin'ny ohatra asehontsika dia mahita spike mazava isika, eo anelanelan'ny 9 sy 16 ora eo ho eo. Andeha hofidiantsika ary hijery amin'ny antsipiriany bebe kokoa.

Hita mazava tsara ny fihetsiky ny mpanafika amin'ny tambajotra. Izany rehetra izany dia manomboka amin'ny zava-misy fa ny mpampiantrano manana ny adiresy 192.168.3.225 dia nanomboka scan horizontaly ny tambajotra amin'ny seranan-tsambo 3389 (Microsoft RDP service) ary nahita 14 mety ho "niharan'ny":

и

Ity tranga voarakitra manaraka ity - ny mpampiantrano 192.168.3.225 dia manomboka fanafihana an-kerisetra amin'ny tenimiafina an-kerisetra amin'ny serivisy RDP (seranan-tsambo 3389) amin'ireo adiresy voalaza teo aloha:

Vokatry ny fanafihana dia misy anomaliana SMTP hita amin'ny iray amin'ireo mpampiantrano voajirika. Raha lazaina amin'ny teny hafa, nanomboka ny SPAM:

Ity ohatra ity dia fanehoana mazava ny fahaiza-manaon'ny rafitra ary indrindra indrindra ny maody Anomaly Detection Security. Tsarao ho anao ny fahombiazany. Izany dia mamarana ny fomba fijery fampiasa amin'ny vahaolana.

famaranana

Andeha hofintinintsika izay tsoa-kevitra azontsika raisina momba ny Flowmon:

• Flowmon dia vahaolana premium ho an'ny mpanjifa orinasa;
• noho ny fahaiza-manaony sy ny fampifanarahana azy, ny fanangonana angon-drakitra dia azo avy amin'ny loharano rehetra: fitaovana amin'ny tambajotra (Cisco, Juniper, HPE, Huawei ...) na ny probes anao manokana (Flowmon Probe);
• Ny fahafahan'ny scalability amin'ny vahaolana dia ahafahanao manitatra ny fiasan'ny rafitra amin'ny alàlan'ny fampidirana ireo maody vaovao, ary koa ny fampitomboana ny vokatra noho ny fomba mora azo amin'ny fahazoan-dàlana;
• amin'ny alàlan'ny fampiasana teknolojia famakafakana tsy misy sonia, ny rafitra dia mamela anao hamantatra ny fanafihana tsy misy andro na dia tsy fantatry ny antivirus sy ny rafitra IDS/IPS aza;
• noho ny "fangaraharana" feno amin'ny fametrahana sy ny fisian'ny rafitra ao amin'ny tambajotra - ny vahaolana dia tsy misy fiantraikany amin'ny fiasan'ny nodes hafa sy ny singa amin'ny fotodrafitrasa IT anao;
• Flowmon no hany vahaolana amin'ny tsena izay manohana ny fanaraha-maso ny fifamoivoizana amin'ny hafainganam-pandeha hatramin'ny 100 Gbps;
• Flowmon dia vahaolana ho an'ny tambajotra amin'ny ambaratonga rehetra;
• ny tahan'ny vidiny/asa tsara indrindra amin'ireo vahaolana mitovy.

Amin'ity famerenana ity dia nandinika latsaky ny 10% amin'ny fiasan'ny vahaolana izahay. Ao amin'ny lahatsoratra manaraka dia hiresaka momba ny mody Flowmon Networks sisa isika. Amin'ny fampiasana ny module Application Performance Monitoring ho ohatra, dia hasehontsika ny fomba ahafahan'ny mpitantana fampiharana orinasa miantoka ny fisiana amin'ny ambaratonga SLA iray, ary koa ny fizahana ny olana haingana araka izay azo atao.

Ary koa, tianay ny manasa anao amin'ny webinar (10.09.2019/XNUMX/XNUMX) natokana ho an'ny vahaolana amin'ny mpivarotra Flowmon Networks. Mba hisoratra anarana mialoha dia mangataka aminao izahay misoratra anarana eto.
Izay ihany aloha dia misaotra anao amin'ny fahaliananao!

Ireo mpampiasa voasoratra anarana ihany no afaka mandray anjara amin'ny fanadihadiana. HiditraPlease.

Mampiasa Netflow amin'ny fanaraha-maso ny tambajotra ve ianao?

• fa

• Tsia, fa mikasa ny hanao izany aho

• No

Mpampiasa 9 no nifidy. Mpampiasa 3 no nifady.

Source: www.habr.com