Flowmon Networks സൊല്യൂഷനുകൾ ഉപയോഗിച്ച് നെറ്റ്‌വർക്ക് നിരീക്ഷണവും അസാധാരണമായ നെറ്റ്‌വർക്ക് പ്രവർത്തനം കണ്ടെത്തലും

അടുത്തിടെ, നിങ്ങൾക്ക് ഇൻ്റർനെറ്റിൽ വിഷയത്തെക്കുറിച്ചുള്ള ധാരാളം മെറ്റീരിയലുകൾ കണ്ടെത്താൻ കഴിയും. നെറ്റ്‌വർക്ക് പരിധിയിലെ ട്രാഫിക് വിശകലനം. അതേ സമയം, ചില കാരണങ്ങളാൽ എല്ലാവരും പൂർണ്ണമായും മറന്നു പ്രാദേശിക ട്രാഫിക് വിശകലനം, അത് പ്രാധാന്യം കുറഞ്ഞതല്ല. ഈ ലേഖനം ഈ വിഷയത്തെ കൃത്യമായി അഭിസംബോധന ചെയ്യുന്നു. ഉദാഹരണത്തിന് ഫ്ലോമോൺ നെറ്റ്‌വർക്കുകൾ ഞങ്ങൾ നല്ല പഴയ നെറ്റ്ഫ്ലോ (അതിൻ്റെ ഇതരമാർഗങ്ങൾ) ഓർക്കും, രസകരമായ കേസുകൾ, നെറ്റ്‌വർക്കിലെ സാധ്യമായ അപാകതകൾ എന്നിവ നോക്കുകയും പരിഹാരത്തിൻ്റെ ഗുണങ്ങൾ കണ്ടെത്തുകയും ചെയ്യും മുഴുവൻ നെറ്റ്‌വർക്കും ഒരൊറ്റ സെൻസറായി പ്രവർത്തിക്കുന്നു. ഏറ്റവും പ്രധാനമായി, ഒരു ട്രയൽ ലൈസൻസിൻ്റെ ചട്ടക്കൂടിനുള്ളിൽ നിങ്ങൾക്ക് പ്രാദേശിക ട്രാഫിക്കിൻ്റെ അത്തരമൊരു വിശകലനം പൂർണ്ണമായും സൗജന്യമായി നടത്താം (എൺപത് ദിവസം). വിഷയം നിങ്ങൾക്ക് താൽപ്പര്യമുണ്ടെങ്കിൽ, പൂച്ചയിലേക്ക് സ്വാഗതം. നിങ്ങൾക്ക് വായിക്കാൻ മടിയാണെങ്കിൽ, മുന്നോട്ട് നോക്കുമ്പോൾ, നിങ്ങൾക്ക് രജിസ്റ്റർ ചെയ്യാം വരാനിരിക്കുന്ന വെബിനാർ, അവിടെ ഞങ്ങൾ എല്ലാം കാണിക്കുകയും നിങ്ങളോട് പറയുകയും ചെയ്യും (വരാനിരിക്കുന്ന ഉൽപ്പന്ന പരിശീലനത്തെക്കുറിച്ചും നിങ്ങൾക്ക് അവിടെ പഠിക്കാം).

എന്താണ് ഫ്ലോമോൺ നെറ്റ്‌വർക്കുകൾ?

ഒന്നാമതായി, Flowmon ഒരു യൂറോപ്യൻ ഐടി വെണ്ടറാണ്. കമ്പനി ചെക്ക് ആണ്, ആസ്ഥാനം ബ്രണോയിൽ (ഉപരോധത്തിൻ്റെ പ്രശ്നം പോലും ഉയർത്തിയിട്ടില്ല). നിലവിലെ രൂപത്തിൽ, കമ്പനി 2007 മുതൽ വിപണിയിൽ ഉണ്ട്. മുമ്പ്, Invea-Tech ബ്രാൻഡിന് കീഴിലാണ് ഇത് അറിയപ്പെട്ടിരുന്നത്. അതിനാൽ, മൊത്തത്തിൽ, ഉൽപ്പന്നങ്ങളും പരിഹാരങ്ങളും വികസിപ്പിക്കുന്നതിനായി ഏകദേശം 20 വർഷം ചെലവഴിച്ചു.

ഫ്ലോമോൺ ഒരു എ-ക്ലാസ് ബ്രാൻഡായി സ്ഥാപിച്ചിരിക്കുന്നു. എൻ്റർപ്രൈസ് ഉപഭോക്താക്കൾക്കായി പ്രീമിയം സൊല്യൂഷനുകൾ വികസിപ്പിക്കുകയും നെറ്റ്‌വർക്ക് പെർഫോമൻസ് മോണിറ്ററിംഗ് ആൻഡ് ഡയഗ്‌നോസ്റ്റിക്‌സിനായി (NPMD) ഗാർട്ട്‌നർ ബോക്സുകളിൽ അംഗീകരിക്കപ്പെടുകയും ചെയ്യുന്നു. മാത്രമല്ല, രസകരമെന്നു പറയട്ടെ, റിപ്പോർട്ടിലെ എല്ലാ കമ്പനികളിലും, നെറ്റ്‌വർക്ക് നിരീക്ഷണത്തിനും വിവര സംരക്ഷണത്തിനും (നെറ്റ്‌വർക്ക് ബിഹേവിയർ അനാലിസിസ്) പരിഹാരങ്ങളുടെ നിർമ്മാതാവായി ഗാർട്ട്‌നർ രേഖപ്പെടുത്തിയ ഒരേയൊരു വെണ്ടർ ഫ്ലോമോൺ മാത്രമാണ്. ഇത് ഇതുവരെ ഒന്നാം സ്ഥാനം നേടിയിട്ടില്ല, എന്നാൽ ഇതുമൂലം ഇത് ഒരു ബോയിംഗ് വിംഗ് പോലെ നിൽക്കുന്നില്ല.

ഉൽപ്പന്നം എന്ത് പ്രശ്നങ്ങൾ പരിഹരിക്കുന്നു?

ആഗോളതലത്തിൽ, കമ്പനിയുടെ ഉൽപ്പന്നങ്ങൾ പരിഹരിച്ച ഇനിപ്പറയുന്ന ജോലികളുടെ പൂൾ നമുക്ക് വേർതിരിച്ചറിയാൻ കഴിയും:

1. നെറ്റ്‌വർക്കിൻ്റെ സ്ഥിരത വർദ്ധിപ്പിക്കുക, അതുപോലെ നെറ്റ്‌വർക്ക് ഉറവിടങ്ങൾ, അവയുടെ പ്രവർത്തനരഹിതവും ലഭ്യതക്കുറവും കുറയ്ക്കുക;
2. നെറ്റ്‌വർക്ക് പ്രകടനത്തിൻ്റെ മൊത്തത്തിലുള്ള നില വർദ്ധിപ്പിക്കുക;
3. ഇനിപ്പറയുന്ന കാരണങ്ങളാൽ അഡ്മിനിസ്ട്രേറ്റീവ് ഉദ്യോഗസ്ഥരുടെ കാര്യക്ഷമത വർദ്ധിപ്പിക്കുന്നു:
   • ഐപി ഫ്ലോകളെക്കുറിച്ചുള്ള വിവരങ്ങളെ അടിസ്ഥാനമാക്കിയുള്ള ആധുനിക നൂതനമായ നെറ്റ്‌വർക്ക് നിരീക്ഷണ ഉപകരണങ്ങൾ ഉപയോഗിക്കുന്നു;
   • നെറ്റ്‌വർക്കിൻ്റെ പ്രവർത്തനത്തെയും അവസ്ഥയെയും കുറിച്ചുള്ള വിശദമായ വിശകലനങ്ങൾ നൽകുന്നു - നെറ്റ്‌വർക്കിൽ പ്രവർത്തിക്കുന്ന ഉപയോക്താക്കളും ആപ്ലിക്കേഷനുകളും, ട്രാൻസ്മിറ്റ് ചെയ്ത ഡാറ്റ, സംവേദനാത്മക ഉറവിടങ്ങൾ, സേവനങ്ങൾ, നോഡുകൾ;
   • സംഭവങ്ങൾ സംഭവിക്കുന്നതിന് മുമ്പ് പ്രതികരിക്കുക, അല്ലാതെ ഉപയോക്താക്കൾക്കും ക്ലയൻ്റുകൾക്കും സേവനം നഷ്‌ടമായതിന് ശേഷമല്ല;
   • നെറ്റ്‌വർക്കിൻ്റെയും ഐടി ഇൻഫ്രാസ്ട്രക്ചറിൻ്റെയും ഭരണത്തിന് ആവശ്യമായ സമയവും വിഭവങ്ങളും കുറയ്ക്കുക;
   • ട്രബിൾഷൂട്ടിംഗ് ജോലികൾ ലളിതമാക്കുന്നു.
4. നെറ്റ്‌വർക്കിൻ്റെയും എൻ്റർപ്രൈസസിൻ്റെ വിവര ഉറവിടങ്ങളുടെയും സുരക്ഷയുടെ നിലവാരം വർദ്ധിപ്പിക്കുക, അസാധാരണവും ക്ഷുദ്രകരവുമായ നെറ്റ്‌വർക്ക് പ്രവർത്തനങ്ങളും അതുപോലെ തന്നെ "സീറോ-ഡേ ആക്രമണങ്ങളും" കണ്ടെത്തുന്നതിനുള്ള സിഗ്നേച്ചർ അല്ലാത്ത സാങ്കേതികവിദ്യകളുടെ ഉപയോഗത്തിലൂടെ;
5. നെറ്റ്‌വർക്ക് ആപ്ലിക്കേഷനുകൾക്കും ഡാറ്റാബേസുകൾക്കും ആവശ്യമായ SLA ലെവൽ ഉറപ്പാക്കുന്നു.

Flowmon നെറ്റ്‌വർക്കുകളുടെ ഉൽപ്പന്ന പോർട്ട്‌ഫോളിയോ

ഇനി നമുക്ക് Flowmon Networks ഉൽപ്പന്ന പോർട്ട്‌ഫോളിയോ നേരിട്ട് നോക്കാം, കമ്പനി കൃത്യമായി എന്താണ് ചെയ്യുന്നതെന്ന് കണ്ടെത്താം. പലരും ഇതിനകം തന്നെ ഈ പേരിൽ ഊഹിച്ചതുപോലെ, പ്രധാന സ്പെഷ്യലൈസേഷൻ സ്ട്രീമിംഗ് ഫ്ലോ ട്രാഫിക് മോണിറ്ററിംഗിനുള്ള പരിഹാരങ്ങളാണ്, കൂടാതെ അടിസ്ഥാന പ്രവർത്തനക്ഷമത വിപുലീകരിക്കുന്ന നിരവധി അധിക മൊഡ്യൂളുകളും.

വാസ്തവത്തിൽ, ഫ്ലോമോനെ ഒരു ഉൽപ്പന്നത്തിൻ്റെ കമ്പനി എന്ന് വിളിക്കാം, അല്ലെങ്കിൽ ഒരു പരിഹാരം. ഇത് നല്ലതാണോ ചീത്തയാണോ എന്ന് നോക്കാം.

വിവിധ ഫ്ലോ പ്രോട്ടോക്കോളുകൾ ഉപയോഗിച്ച് ഡാറ്റ ശേഖരിക്കുന്നതിന് ഉത്തരവാദിയായ കളക്ടറാണ് സിസ്റ്റത്തിൻ്റെ കാതൽ. NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... ഏതെങ്കിലും നെറ്റ്‌വർക്ക് ഉപകരണ നിർമ്മാതാക്കളുമായി അഫിലിയേറ്റ് ചെയ്യാത്ത ഒരു കമ്പനിക്ക്, ഏതെങ്കിലും ഒരു സ്റ്റാൻഡേർഡ് അല്ലെങ്കിൽ പ്രോട്ടോക്കോൾ എന്നിവയുമായി ബന്ധമില്ലാത്ത ഒരു സാർവത്രിക ഉൽപ്പന്നം വിപണിയിൽ വാഗ്ദാനം ചെയ്യുന്നത് വളരെ പ്രധാനമാണ്.

ഫ്ലോമോൺ കളക്ടർ

കളക്ടർ ഒരു ഹാർഡ്‌വെയർ സെർവറായും വെർച്വൽ മെഷീനായും ലഭ്യമാണ് (VMware, Hyper-V, KVM). വഴിയിൽ, ഹാർഡ്‌വെയർ പ്ലാറ്റ്‌ഫോം ഇഷ്‌ടാനുസൃതമാക്കിയ DELL സെർവറുകളിൽ നടപ്പിലാക്കുന്നു, ഇത് വാറൻ്റി, RMA എന്നിവയിലെ മിക്ക പ്രശ്നങ്ങളും യാന്ത്രികമായി ഇല്ലാതാക്കുന്നു. ഫ്ലോമോണിൻ്റെ ഒരു ഉപസ്ഥാപനം വികസിപ്പിച്ചെടുത്ത FPGA ട്രാഫിക് ക്യാപ്‌ചർ കാർഡുകൾ മാത്രമാണ് ഉടമസ്ഥാവകാശമുള്ള ഹാർഡ്‌വെയർ ഘടകങ്ങൾ, ഇത് 100 Gbps വരെ വേഗതയിൽ നിരീക്ഷിക്കാൻ അനുവദിക്കുന്നു.

എന്നാൽ നിലവിലുള്ള നെറ്റ്‌വർക്ക് ഉപകരണങ്ങൾക്ക് ഉയർന്ന നിലവാരമുള്ള ഒഴുക്ക് സൃഷ്ടിക്കാൻ കഴിയുന്നില്ലെങ്കിൽ എന്തുചെയ്യണം? അതോ ഉപകരണങ്ങളുടെ ലോഡ് വളരെ കൂടുതലാണോ? ഒരു പ്രശ്നവുമില്ല:

ഫ്ലോമോൺ പ്രോബ്

ഈ സാഹചര്യത്തിൽ, സ്വിച്ചിൻ്റെ സ്പാൻ പോർട്ട് വഴിയോ നിഷ്ക്രിയ TAP സ്പ്ലിറ്ററുകൾ ഉപയോഗിച്ചോ നെറ്റ്‌വർക്കിലേക്ക് കണക്റ്റുചെയ്‌തിരിക്കുന്ന സ്വന്തം പ്രോബുകൾ (Flowmon Probe) ഉപയോഗിക്കാൻ Flowmon നെറ്റ്‌വർക്കുകൾ വാഗ്ദാനം ചെയ്യുന്നു.

SPAN (മിറർ പോർട്ട്), TAP നടപ്പിലാക്കൽ ഓപ്ഷനുകൾ

ഈ സാഹചര്യത്തിൽ, ഫ്ലോമോൺ പ്രോബിൽ എത്തുന്ന അസംസ്‌കൃത ട്രാഫിക്ക് കൂടുതൽ ഉൾക്കൊള്ളുന്ന ഒരു വിപുലീകരിച്ച IPFIX ആയി പരിവർത്തനം ചെയ്യപ്പെടുന്നു. വിവരങ്ങളുള്ള 240 മെട്രിക്കുകൾ. നെറ്റ്‌വർക്ക് ഉപകരണങ്ങൾ സൃഷ്‌ടിക്കുന്ന സ്റ്റാൻഡേർഡ് നെറ്റ്‌ഫ്ലോ പ്രോട്ടോക്കോളിൽ 80 മെട്രിക്‌സിൽ കൂടരുത്. ഇത് 3, 4 ലെവലുകളിൽ മാത്രമല്ല, ISO OSI മോഡൽ അനുസരിച്ച് ലെവൽ 7 ലും പ്രോട്ടോക്കോൾ ദൃശ്യപരത അനുവദിക്കുന്നു. തൽഫലമായി, നെറ്റ്‌വർക്ക് അഡ്മിനിസ്ട്രേറ്റർമാർക്ക് ആപ്ലിക്കേഷനുകളുടെയും ഇ-മെയിൽ, എച്ച്ടിടിപി, ഡിഎൻഎസ്, എസ്എംബി തുടങ്ങിയ പ്രോട്ടോക്കോളുകളുടെയും പ്രവർത്തനം നിരീക്ഷിക്കാനാകും.

ആശയപരമായി, സിസ്റ്റത്തിൻ്റെ ലോജിക്കൽ ആർക്കിടെക്ചർ ഇതുപോലെ കാണപ്പെടുന്നു:

മുഴുവൻ ഫ്ലോമോൺ നെറ്റ്‌വർക്കുകളുടെ "ഇക്കോസിസ്റ്റത്തിൻ്റെ" കേന്ദ്രഭാഗം കളക്ടറാണ്, അത് നിലവിലുള്ള നെറ്റ്‌വർക്ക് ഉപകരണങ്ങളിൽ നിന്നോ സ്വന്തം പേടകങ്ങളിൽ നിന്നോ (പ്രോബ്) ട്രാഫിക് സ്വീകരിക്കുന്നു. എന്നാൽ ഒരു എൻ്റർപ്രൈസ് സൊല്യൂഷനായി, നെറ്റ്‌വർക്ക് ട്രാഫിക് നിരീക്ഷിക്കുന്നതിന് മാത്രമായി പ്രവർത്തനം നൽകുന്നത് വളരെ ലളിതമായിരിക്കും. ഓപ്പൺ സോഴ്‌സ് സൊല്യൂഷനുകൾക്കും ഇത് ചെയ്യാൻ കഴിയും, അത്തരം പ്രകടനത്തോടെയല്ലെങ്കിലും. ഫ്ലോമോണിൻ്റെ മൂല്യം അടിസ്ഥാന പ്രവർത്തനം വികസിപ്പിക്കുന്ന അധിക മൊഡ്യൂളുകളാണ്:

• മൊഡ്യൂൾ അനോമലി ഡിറ്റക്ഷൻ സെക്യൂരിറ്റി - ട്രാഫിക്കിൻ്റെയും ഒരു സാധാരണ നെറ്റ്‌വർക്ക് പ്രൊഫൈലിൻ്റെയും ഹ്യൂറിസ്റ്റിക് വിശകലനത്തെ അടിസ്ഥാനമാക്കി, സീറോ-ഡേ ആക്രമണങ്ങൾ ഉൾപ്പെടെയുള്ള അസാധാരണ നെറ്റ്‌വർക്ക് പ്രവർത്തനത്തിൻ്റെ തിരിച്ചറിയൽ;
• മൊഡ്യൂൾ അപ്ലിക്കേഷൻ പ്രകടന നിരീക്ഷണം - "ഏജൻ്റുകൾ" ഇൻസ്റ്റാൾ ചെയ്യാതെയും ടാർഗെറ്റ് സിസ്റ്റങ്ങളെ സ്വാധീനിക്കാതെയും നെറ്റ്വർക്ക് ആപ്ലിക്കേഷനുകളുടെ പ്രകടനം നിരീക്ഷിക്കൽ;
• മൊഡ്യൂൾ ട്രാഫിക് റെക്കോർഡർ - കൂടുതൽ ട്രബിൾഷൂട്ടിംഗിനും കൂടാതെ/അല്ലെങ്കിൽ വിവര സുരക്ഷാ സംഭവങ്ങളുടെ അന്വേഷണത്തിനും, ഒരു കൂട്ടം മുൻനിശ്ചയിച്ച നിയമങ്ങൾക്കനുസൃതമായി അല്ലെങ്കിൽ ADS മൊഡ്യൂളിൽ നിന്നുള്ള ഒരു ട്രിഗർ അനുസരിച്ച് നെറ്റ്‌വർക്ക് ട്രാഫിക്കിൻ്റെ ശകലങ്ങൾ രേഖപ്പെടുത്തുന്നു;
• മൊഡ്യൂൾ DDoS സംരക്ഷണം - ആപ്ലിക്കേഷനുകളിലെ ആക്രമണങ്ങൾ (OSI L3/L4/L7) ഉൾപ്പെടെയുള്ള സേവന ആക്രമണങ്ങളുടെ വോള്യൂമെട്രിക് DoS/DDoS നിഷേധത്തിൽ നിന്ന് നെറ്റ്‌വർക്ക് പരിധിയുടെ സംരക്ഷണം.

ഈ ലേഖനത്തിൽ, 2 മൊഡ്യൂളുകളുടെ ഉദാഹരണം ഉപയോഗിച്ച് എല്ലാം എങ്ങനെ പ്രവർത്തിക്കുന്നുവെന്ന് ഞങ്ങൾ നോക്കും - നെറ്റ്‌വർക്ക് പെർഫോമൻസ് മോണിറ്ററിംഗും ഡയഗ്നോസ്റ്റിക്‌സും и അനോമലി ഡിറ്റക്ഷൻ സെക്യൂരിറ്റി.
പ്രാരംഭ ഡാറ്റ:

• VMware 140 ഹൈപ്പർവൈസർ ഉള്ള Lenovo RS 6.0 സെർവർ;
• നിങ്ങൾക്ക് കഴിയുന്ന Flowmon കളക്ടർ വെർച്വൽ മെഷീൻ ഇമേജ് ഇവിടെ ഡൗൺലോഡ് ചെയ്യുക;
• ഫ്ലോ പ്രോട്ടോക്കോളുകളെ പിന്തുണയ്ക്കുന്ന ഒരു ജോടി സ്വിച്ചുകൾ.

ഘട്ടം 1. Flowmon കളക്ടർ ഇൻസ്റ്റാൾ ചെയ്യുക

VMware-ൽ ഒരു വെർച്വൽ മെഷീൻ്റെ വിന്യാസം OVF ടെംപ്ലേറ്റിൽ നിന്ന് തികച്ചും സാധാരണ രീതിയിലാണ് സംഭവിക്കുന്നത്. തൽഫലമായി, CentOS പ്രവർത്തിക്കുന്ന ഒരു വെർച്വൽ മെഷീൻ, ഉപയോഗിക്കാൻ തയ്യാറുള്ള സോഫ്റ്റ്‌വെയർ. വിഭവ ആവശ്യകതകൾ മാനുഷികമാണ്:

കമാൻഡ് ഉപയോഗിച്ച് അടിസ്ഥാന സമാരംഭം നടത്തുക മാത്രമാണ് അവശേഷിക്കുന്നത് sysconfig:

മാനേജ്മെൻ്റ് പോർട്ട്, DNS, സമയം, ഹോസ്റ്റ്നാമം എന്നിവയിൽ ഞങ്ങൾ IP കോൺഫിഗർ ചെയ്യുന്നു, കൂടാതെ WEB ഇൻ്റർഫേസിലേക്ക് കണക്റ്റുചെയ്യാനും കഴിയും.

ഘട്ടം 2. ലൈസൻസ് ഇൻസ്റ്റാളേഷൻ

വെർച്വൽ മെഷീൻ ഇമേജിനൊപ്പം ഒന്നര മാസത്തേക്കുള്ള ട്രയൽ ലൈസൻസ് ജനറേറ്റ് ചെയ്യുകയും ഡൗൺലോഡ് ചെയ്യുകയും ചെയ്യുന്നു. വഴി ലോഡ് ചെയ്തു കോൺഫിഗറേഷൻ സെൻ്റർ -> ലൈസൻസ്. തൽഫലമായി, ഞങ്ങൾ കാണുന്നു:

എല്ലാം തയ്യാറാണ്. നിങ്ങൾക്ക് ജോലി ആരംഭിക്കാം.

ഘട്ടം 3. കളക്ടറിൽ റിസീവർ സജ്ജീകരിക്കുന്നു

ഈ ഘട്ടത്തിൽ, ഉറവിടങ്ങളിൽ നിന്ന് സിസ്റ്റം എങ്ങനെ ഡാറ്റ സ്വീകരിക്കുമെന്ന് നിങ്ങൾ തീരുമാനിക്കേണ്ടതുണ്ട്. ഞങ്ങൾ നേരത്തെ പറഞ്ഞതുപോലെ, ഇത് ഫ്ലോ പ്രോട്ടോക്കോളുകളിൽ ഒന്നായിരിക്കാം അല്ലെങ്കിൽ സ്വിച്ചിലെ ഒരു സ്പാൻ പോർട്ട് ആകാം.

ഞങ്ങളുടെ ഉദാഹരണത്തിൽ, ഞങ്ങൾ പ്രോട്ടോക്കോളുകൾ ഉപയോഗിച്ച് ഡാറ്റ റിസപ്ഷൻ ഉപയോഗിക്കും NetFlow v9 ഉം IPFIX ഉം. ഈ സാഹചര്യത്തിൽ, മാനേജ്മെൻ്റ് ഇൻ്റർഫേസിൻ്റെ ഐപി വിലാസം ഒരു ടാർഗെറ്റായി ഞങ്ങൾ വ്യക്തമാക്കുന്നു - 192.168.78.198. സ്വിച്ചിൻ്റെ SPAN പോർട്ടിൽ നിന്ന് "റോ" ട്രാഫിക്കിൻ്റെ ഒരു പകർപ്പ് സ്വീകരിക്കുന്നതിന് ഇൻ്റർഫേസുകൾ eth2, eth3 (മോണിറ്ററിംഗ് ഇൻ്റർഫേസ് തരത്തിനൊപ്പം) ഉപയോഗിക്കുന്നു. ഞങ്ങൾ അവരെ കടന്നുപോകാൻ അനുവദിച്ചു, ഞങ്ങളുടെ കാര്യമല്ല.
അടുത്തതായി, ട്രാഫിക് പോകേണ്ട കളക്ടർ പോർട്ട് ഞങ്ങൾ പരിശോധിക്കുന്നു.

ഞങ്ങളുടെ കാര്യത്തിൽ, പോർട്ട് UDP/2055-ലെ ട്രാഫിക്കിനായി കളക്ടർ ശ്രദ്ധിക്കുന്നു.

ഘട്ടം 4. ഫ്ലോ എക്‌സ്‌പോർട്ടിനായി നെറ്റ്‌വർക്ക് ഉപകരണങ്ങൾ ക്രമീകരിക്കുന്നു

Cisco Systems ഉപകരണങ്ങളിൽ NetFlow സജ്ജീകരിക്കുന്നത് ഏതൊരു നെറ്റ്‌വർക്ക് അഡ്‌മിനിസ്‌ട്രേറ്ററുടെയും തികച്ചും സാധാരണമായ ഒരു ടാസ്‌ക് എന്ന് വിളിക്കാം. ഞങ്ങളുടെ ഉദാഹരണത്തിനായി, ഞങ്ങൾ കൂടുതൽ അസാധാരണമായ എന്തെങ്കിലും എടുക്കും. ഉദാഹരണത്തിന്, MikroTik RB2011UiAS-2HnD റൂട്ടർ. അതെ, വിചിത്രമെന്നു പറയട്ടെ, ചെറുതും ഹോം ഓഫീസുകൾക്കുമുള്ള അത്തരമൊരു ബജറ്റ് പരിഹാരം NetFlow v5/v9, IPFIX പ്രോട്ടോക്കോളുകളെ പിന്തുണയ്ക്കുന്നു. ക്രമീകരണങ്ങളിൽ, ലക്ഷ്യം സജ്ജമാക്കുക (കളക്ടർ വിലാസം 192.168.78.198, പോർട്ട് 2055):

കയറ്റുമതിക്കായി ലഭ്യമായ എല്ലാ മെട്രിക്കുകളും ചേർക്കുക:

ഈ ഘട്ടത്തിൽ അടിസ്ഥാന സജ്ജീകരണം പൂർത്തിയായി എന്ന് നമുക്ക് പറയാം. സിസ്റ്റത്തിലേക്ക് ട്രാഫിക് പ്രവേശിക്കുന്നുണ്ടോയെന്ന് ഞങ്ങൾ പരിശോധിക്കുന്നു.

ഘട്ടം 5: നെറ്റ്‌വർക്ക് പെർഫോമൻസ് മോണിറ്ററിംഗ് ആൻഡ് ഡയഗ്‌നോസ്റ്റിക്‌സ് മൊഡ്യൂൾ പരിശോധിക്കലും പ്രവർത്തിപ്പിക്കലും

വിഭാഗത്തിലെ ഉറവിടത്തിൽ നിന്ന് നിങ്ങൾക്ക് ട്രാഫിക്കിൻ്റെ സാന്നിധ്യം പരിശോധിക്കാം ഫ്ലോമോൺ മോണിറ്ററിംഗ് സെൻ്റർ –> ഉറവിടങ്ങൾ:

ഡാറ്റ സിസ്റ്റത്തിലേക്ക് പ്രവേശിക്കുന്നത് ഞങ്ങൾ കാണുന്നു. കളക്ടർ ട്രാഫിക് ശേഖരിച്ച് കുറച്ച് സമയത്തിന് ശേഷം, വിജറ്റുകൾ വിവരങ്ങൾ പ്രദർശിപ്പിക്കാൻ തുടങ്ങും:

ഡ്രിൽ ഡൗൺ തത്വത്തിലാണ് സിസ്റ്റം നിർമ്മിച്ചിരിക്കുന്നത്. അതായത്, ഉപയോക്താവ്, ഒരു ഡയഗ്രാമിലോ ഗ്രാഫിലോ താൽപ്പര്യത്തിൻ്റെ ഒരു ഭാഗം തിരഞ്ഞെടുക്കുമ്പോൾ, അയാൾക്ക് ആവശ്യമായ ഡാറ്റയുടെ ഡെപ്ത് ലെവലിലേക്ക് “വീഴുന്നു”:

ഓരോ നെറ്റ്‌വർക്ക് കണക്ഷനെയും കണക്ഷനെയും കുറിച്ചുള്ള വിവരങ്ങളിലേക്ക്:

ഘട്ടം 6. അനോമലി ഡിറ്റക്ഷൻ സെക്യൂരിറ്റി മൊഡ്യൂൾ

നെറ്റ്‌വർക്ക് ട്രാഫിക്കിലും ക്ഷുദ്ര നെറ്റ്‌വർക്ക് പ്രവർത്തനത്തിലും അപാകതകൾ കണ്ടെത്തുന്നതിനുള്ള സിഗ്നേച്ചർ രഹിത രീതികളുടെ ഉപയോഗത്തിന് നന്ദി, ഈ മൊഡ്യൂളിനെ ഏറ്റവും രസകരമായ ഒന്നായി വിളിക്കാം. എന്നാൽ ഇത് IDS/IPS സിസ്റ്റങ്ങളുടെ അനലോഗ് അല്ല. മൊഡ്യൂളിനൊപ്പം പ്രവർത്തിക്കുന്നത് അതിൻ്റെ "പരിശീലനം" ഉപയോഗിച്ച് ആരംഭിക്കുന്നു. ഇത് ചെയ്യുന്നതിന്, ഒരു പ്രത്യേക വിസാർഡ് നെറ്റ്‌വർക്കിൻ്റെ എല്ലാ പ്രധാന ഘടകങ്ങളും സേവനങ്ങളും വ്യക്തമാക്കുന്നു:

• ഗേറ്റ്‌വേ വിലാസങ്ങൾ, DNS, DHCP, NTP സെർവറുകൾ,
• ഉപയോക്തൃ, സെർവർ വിഭാഗങ്ങളിൽ അഭിസംബോധന ചെയ്യുന്നു.

ഇതിനുശേഷം, സിസ്റ്റം പരിശീലന മോഡിലേക്ക് പോകുന്നു, ഇത് ശരാശരി 2 ആഴ്ച മുതൽ 1 മാസം വരെ നീണ്ടുനിൽക്കും. ഈ സമയത്ത്, സിസ്റ്റം ഞങ്ങളുടെ നെറ്റ്‌വർക്കിന് പ്രത്യേകമായ അടിസ്ഥാന ട്രാഫിക്ക് സൃഷ്ടിക്കുന്നു. ലളിതമായി പറഞ്ഞാൽ, സിസ്റ്റം പഠിക്കുന്നു:

• നെറ്റ്‌വർക്ക് നോഡുകളുടെ സാധാരണ സ്വഭാവം എന്താണ്?
• ഏത് അളവിലുള്ള ഡാറ്റയാണ് സാധാരണയായി കൈമാറ്റം ചെയ്യപ്പെടുന്നത്, നെറ്റ്‌വർക്കിന് സാധാരണമാണ്?
• ഉപയോക്താക്കൾക്കുള്ള സാധാരണ പ്രവർത്തന സമയം എന്താണ്?
• നെറ്റ്‌വർക്കിൽ ഏതൊക്കെ ആപ്ലിക്കേഷനുകളാണ് പ്രവർത്തിക്കുന്നത്?
• അതോടൊപ്പം തന്നെ കുടുതല്..

തൽഫലമായി, ഞങ്ങളുടെ നെറ്റ്‌വർക്കിലെ ഏതെങ്കിലും അപാകതകളും സാധാരണ സ്വഭാവത്തിൽ നിന്നുള്ള വ്യതിയാനങ്ങളും തിരിച്ചറിയുന്ന ഒരു ഉപകരണം ഞങ്ങൾക്ക് ലഭിക്കുന്നു. കണ്ടുപിടിക്കാൻ സിസ്റ്റം നിങ്ങളെ അനുവദിക്കുന്ന രണ്ട് ഉദാഹരണങ്ങൾ ഇതാ:

• ആൻ്റിവൈറസ് സിഗ്നേച്ചറുകൾ വഴി കണ്ടെത്താത്ത നെറ്റ്‌വർക്കിലെ പുതിയ ക്ഷുദ്രവെയറിൻ്റെ വിതരണം;
• DNS, ICMP അല്ലെങ്കിൽ മറ്റ് തുരങ്കങ്ങൾ നിർമ്മിക്കുകയും ഫയർവാളിനെ മറികടന്ന് ഡാറ്റ കൈമാറുകയും ചെയ്യുക;
• ഒരു DHCP കൂടാതെ/അല്ലെങ്കിൽ DNS സെർവറായി കാണിക്കുന്ന നെറ്റ്‌വർക്കിൽ ഒരു പുതിയ കമ്പ്യൂട്ടറിൻ്റെ രൂപം.

ലൈവ് എങ്ങനെയുണ്ടെന്ന് നോക്കാം. നിങ്ങളുടെ സിസ്റ്റം പരിശീലിപ്പിച്ച് നെറ്റ്‌വർക്ക് ട്രാഫിക്കിൻ്റെ അടിസ്ഥാനം നിർമ്മിച്ച ശേഷം, അത് സംഭവങ്ങൾ കണ്ടുപിടിക്കാൻ തുടങ്ങുന്നു:

തിരിച്ചറിഞ്ഞ സംഭവങ്ങൾ പ്രദർശിപ്പിക്കുന്ന ഒരു ടൈംലൈൻ ആണ് മൊഡ്യൂളിൻ്റെ പ്രധാന പേജ്. ഞങ്ങളുടെ ഉദാഹരണത്തിൽ, ഏകദേശം 9 മുതൽ 16 മണിക്കൂർ വരെ വ്യക്തമായ സ്പൈക്ക് ഞങ്ങൾ കാണുന്നു. നമുക്ക് അത് തിരഞ്ഞെടുത്ത് കൂടുതൽ വിശദമായി നോക്കാം.

നെറ്റ്‌വർക്കിലെ ആക്രമണകാരിയുടെ അസാധാരണമായ പെരുമാറ്റം വ്യക്തമായി കാണാം. 192.168.3.225 എന്ന വിലാസമുള്ള ഹോസ്റ്റ് പോർട്ട് 3389 (മൈക്രോസോഫ്റ്റ് RDP സേവനം) ൽ നെറ്റ്‌വർക്കിൻ്റെ തിരശ്ചീന സ്കാൻ ആരംഭിക്കുകയും 14 സാധ്യതയുള്ള “ഇരകളെ” കണ്ടെത്തുകയും ചെയ്തു എന്ന വസ്തുതയിലാണ് ഇതെല്ലാം ആരംഭിക്കുന്നത്:

и

ഇനിപ്പറയുന്ന റെക്കോർഡ് ചെയ്‌ത സംഭവം - ഹോസ്റ്റ് 192.168.3.225 മുമ്പ് തിരിച്ചറിഞ്ഞ വിലാസങ്ങളിൽ RDP സേവനത്തിലെ (പോർട്ട് 3389) പാസ്‌വേഡുകൾ ബ്രൂട്ട് ഫോഴ്‌സ് ചെയ്യുന്നതിനായി ഒരു ബ്രൂട്ട് ഫോഴ്‌സ് ആക്രമണം ആരംഭിക്കുന്നു:

ആക്രമണത്തിൻ്റെ ഫലമായി, ഹാക്ക് ചെയ്ത ഹോസ്റ്റുകളിലൊന്നിൽ ഒരു SMTP അപാകത കണ്ടെത്തി. മറ്റൊരു വിധത്തിൽ പറഞ്ഞാൽ, SPAM ആരംഭിച്ചു:

ഈ ഉദാഹരണം സിസ്റ്റത്തിൻ്റെ കഴിവുകളുടെയും പ്രത്യേകിച്ച് അനോമലി ഡിറ്റക്ഷൻ സെക്യൂരിറ്റി മൊഡ്യൂളിൻ്റെയും വ്യക്തമായ പ്രകടനമാണ്. ഫലപ്രാപ്തി സ്വയം വിലയിരുത്തുക. ഇത് പരിഹാരത്തിൻ്റെ പ്രവർത്തനപരമായ അവലോകനം അവസാനിപ്പിക്കുന്നു.

തീരുമാനം

ഫ്ലോമോണിനെക്കുറിച്ച് നമുക്ക് എന്ത് നിഗമനങ്ങളിൽ എത്തിച്ചേരാനാകും എന്ന് നമുക്ക് സംഗ്രഹിക്കാം:

• കോർപ്പറേറ്റ് ഉപഭോക്താക്കൾക്കുള്ള പ്രീമിയം പരിഹാരമാണ് ഫ്ലോമോൺ;
• അതിൻ്റെ വൈദഗ്ധ്യത്തിനും അനുയോജ്യതയ്ക്കും നന്ദി, ഏത് ഉറവിടത്തിൽ നിന്നും ഡാറ്റ ശേഖരണം ലഭ്യമാണ്: നെറ്റ്‌വർക്ക് ഉപകരണങ്ങൾ (സിസ്കോ, ജുനൈപ്പർ, എച്ച്പിഇ, ഹുവായ്...) അല്ലെങ്കിൽ നിങ്ങളുടെ സ്വന്തം പ്രോബുകൾ (ഫ്ലോമോൺ പ്രോബ്);
• പരിഹാരത്തിൻ്റെ സ്കേലബിളിറ്റി കഴിവുകൾ, പുതിയ മൊഡ്യൂളുകൾ ചേർത്ത് സിസ്റ്റത്തിൻ്റെ പ്രവർത്തനം വിപുലീകരിക്കാനും അതുപോലെ തന്നെ ലൈസൻസിംഗിനുള്ള വഴക്കമുള്ള സമീപനത്തിന് ഉൽപ്പാദനക്ഷമത വർദ്ധിപ്പിക്കാനും നിങ്ങളെ അനുവദിക്കുന്നു;
• സിഗ്നേച്ചർ രഹിത വിശകലന സാങ്കേതികവിദ്യകളുടെ ഉപയോഗത്തിലൂടെ, ആൻ്റിവൈറസുകൾക്കും ഐഡിഎസ്/ഐപിഎസ് സിസ്റ്റങ്ങൾക്കും പോലും അറിയാത്ത സീറോ-ഡേ ആക്രമണങ്ങൾ കണ്ടെത്താൻ സിസ്റ്റം നിങ്ങളെ അനുവദിക്കുന്നു;
• നെറ്റ്‌വർക്കിലെ സിസ്റ്റത്തിൻ്റെ ഇൻസ്റ്റാളേഷനും സാന്നിധ്യവും കണക്കിലെടുത്ത് “സുതാര്യത” പൂർത്തിയാക്കിയതിന് നന്ദി - പരിഹാരം നിങ്ങളുടെ ഐടി ഇൻഫ്രാസ്ട്രക്ചറിൻ്റെ മറ്റ് നോഡുകളുടെയും ഘടകങ്ങളുടെയും പ്രവർത്തനത്തെ ബാധിക്കില്ല;
• 100 Gbps വരെ വേഗതയിൽ ട്രാഫിക് നിരീക്ഷണത്തെ പിന്തുണയ്ക്കുന്ന മാർക്കറ്റിലെ ഏക പരിഹാരമാണ് Flowmon;
• ഏത് സ്കെയിലിലുമുള്ള നെറ്റ്‌വർക്കുകൾക്കുള്ള ഒരു പരിഹാരമാണ് ഫ്ലോമോൺ;
• സമാന പരിഹാരങ്ങൾക്കിടയിൽ മികച്ച വില/പ്രവർത്തന അനുപാതം.

ഈ അവലോകനത്തിൽ, പരിഹാരത്തിൻ്റെ മൊത്തം പ്രവർത്തനത്തിൻ്റെ 10% ൽ താഴെയാണ് ഞങ്ങൾ പരിശോധിച്ചത്. അടുത്ത ലേഖനത്തിൽ നമ്മൾ ശേഷിക്കുന്ന Flowmon നെറ്റ്‌വർക്കുകളുടെ മൊഡ്യൂളുകളെ കുറിച്ച് സംസാരിക്കും. ഒരു ഉദാഹരണമായി ആപ്ലിക്കേഷൻ പെർഫോമൻസ് മോണിറ്ററിംഗ് മൊഡ്യൂൾ ഉപയോഗിച്ച്, നൽകിയിരിക്കുന്ന എസ്എൽഎ തലത്തിൽ ബിസിനസ് ആപ്ലിക്കേഷൻ അഡ്മിനിസ്ട്രേറ്റർമാർക്ക് ലഭ്യത എങ്ങനെ ഉറപ്പാക്കാമെന്നും അതുപോലെ പ്രശ്നങ്ങൾ എത്രയും പെട്ടെന്ന് കണ്ടുപിടിക്കാമെന്നും ഞങ്ങൾ കാണിക്കും.

കൂടാതെ, വെണ്ടർ ഫ്ലോമോൺ നെറ്റ്‌വർക്കുകളുടെ പരിഹാരങ്ങൾക്കായി സമർപ്പിച്ചിരിക്കുന്ന ഞങ്ങളുടെ വെബിനാറിലേക്ക് (10.09.2019/XNUMX/XNUMX) നിങ്ങളെ ക്ഷണിക്കാൻ ഞങ്ങൾ ആഗ്രഹിക്കുന്നു. മുൻകൂട്ടി രജിസ്റ്റർ ചെയ്യാൻ, ഞങ്ങൾ നിങ്ങളോട് ആവശ്യപ്പെടുന്നു ഇവിടെ രജിസ്റ്റർ ചെയ്യുക.
തൽക്കാലം അത്രയേയുള്ളൂ, നിങ്ങളുടെ താൽപ്പര്യത്തിന് നന്ദി!

രജിസ്റ്റർ ചെയ്ത ഉപയോക്താക്കൾക്ക് മാത്രമേ സർവേയിൽ പങ്കെടുക്കാൻ കഴിയൂ. സൈൻ ഇൻദയവായി.

നെറ്റ്‌വർക്ക് നിരീക്ഷണത്തിനായി നിങ്ങൾ നെറ്റ്ഫ്ലോ ഉപയോഗിക്കുന്നുണ്ടോ?

• ആ

• ഇല്ല, പക്ഷെ ഞാൻ പ്ലാൻ ചെയ്യുന്നു

• ഇല്ല

9 ഉപയോക്താക്കൾ വോട്ട് ചെയ്തു. 3 ഉപയോക്താക്കൾ വിട്ടുനിന്നു.

അവലംബം: www.habr.com