Pemantauan rangkaian dan pengesanan aktiviti rangkaian anomali menggunakan penyelesaian Flowmon Networks

Baru-baru ini, anda boleh menemui sejumlah besar bahan mengenai topik di Internet. analisis trafik di perimeter rangkaian. Pada masa yang sama, atas sebab tertentu semua orang lupa sepenuhnya analisis trafik tempatan, yang tidak kurang pentingnya. Artikel ini membincangkan topik ini dengan tepat. Sebagai contoh Rangkaian Flowmon kita akan mengingati Netflow lama yang baik (dan alternatifnya), melihat kes yang menarik, kemungkinan anomali dalam rangkaian dan mengetahui kelebihan penyelesaian apabila keseluruhan rangkaian berfungsi sebagai penderia tunggal. Dan yang paling penting, anda boleh menjalankan analisis trafik tempatan sedemikian secara percuma, dalam rangka kerja lesen percubaan (45 hari). Jika topik itu menarik untuk anda, selamat datang ke kucing. Jika anda terlalu malas membaca, maka, melihat ke hadapan, anda boleh mendaftar webinar akan datang, di mana kami akan menunjukkan dan memberitahu anda segala-galanya (anda juga boleh belajar tentang latihan produk yang akan datang di sana).

Apakah itu Flowmon Networks?

Pertama sekali, Flowmon ialah vendor IT Eropah. Syarikat itu adalah Czech, dengan ibu pejabat di Brno (isu sekatan tidak dibangkitkan). Dalam bentuk semasa, syarikat itu telah berada di pasaran sejak 2007. Sebelum ini, ia dikenali di bawah jenama Invea-Tech. Jadi, secara keseluruhan, hampir 20 tahun dibelanjakan untuk membangunkan produk dan penyelesaian.

Flowmon diletakkan sebagai jenama kelas A. Membangunkan penyelesaian premium untuk pelanggan perusahaan dan diiktiraf dalam kotak Gartner untuk Pemantauan dan Diagnostik Prestasi Rangkaian (NPMD). Lebih-lebih lagi, menariknya, daripada semua syarikat dalam laporan itu, Flowmon ialah satu-satunya vendor yang dinyatakan oleh Gartner sebagai pengeluar penyelesaian untuk kedua-dua pemantauan rangkaian dan perlindungan maklumat (Analisis Tingkah Laku Rangkaian). Ia belum lagi mendapat tempat pertama, tetapi disebabkan ini ia tidak berdiri seperti sayap Boeing.

Apakah masalah yang diselesaikan oleh produk?

Di peringkat global, kami boleh membezakan kumpulan tugasan berikut yang diselesaikan oleh produk syarikat:

1. meningkatkan kestabilan rangkaian, serta sumber rangkaian, dengan meminimumkan masa henti dan ketiadaannya;
2. meningkatkan tahap keseluruhan prestasi rangkaian;
3. meningkatkan kecekapan kakitangan pentadbiran kerana:
   • menggunakan alat pemantauan rangkaian inovatif moden berdasarkan maklumat tentang aliran IP;
   • menyediakan analisis terperinci tentang fungsi dan keadaan rangkaian - pengguna dan aplikasi yang berjalan pada rangkaian, data yang dihantar, sumber yang berinteraksi, perkhidmatan dan nod;
   • bertindak balas kepada insiden sebelum ia berlaku, dan bukan selepas pengguna dan pelanggan kehilangan perkhidmatan;
   • mengurangkan masa dan sumber yang diperlukan untuk mentadbir rangkaian dan infrastruktur IT;
   • memudahkan tugas penyelesaian masalah.
4. meningkatkan tahap keselamatan rangkaian dan sumber maklumat perusahaan, melalui penggunaan teknologi bukan tandatangan untuk mengesan aktiviti rangkaian anomali dan berniat jahat, serta "serangan sifar hari";
5. memastikan tahap SLA yang diperlukan untuk aplikasi rangkaian dan pangkalan data.

Portfolio Produk Flowmon Networks

Sekarang mari kita lihat terus pada portfolio produk Flowmon Networks dan ketahui apa sebenarnya yang dilakukan oleh syarikat itu. Seperti ramai yang telah meneka dari namanya, pengkhususan utama adalah dalam penyelesaian untuk pemantauan trafik aliran penstriman, ditambah dengan beberapa modul tambahan yang mengembangkan fungsi asas.

Malah, Flowmon boleh dipanggil syarikat satu produk, atau sebaliknya, satu penyelesaian. Mari kita fikirkan sama ada ini baik atau buruk.

Teras sistem ialah pengumpul, yang bertanggungjawab mengumpul data menggunakan pelbagai protokol aliran, seperti NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Adalah agak logik bahawa bagi syarikat yang tidak bergabung dengan mana-mana pengeluar peralatan rangkaian, adalah penting untuk menawarkan pasaran produk universal yang tidak terikat dengan mana-mana satu standard atau protokol.

Pengumpul Flowmon

Pengumpul tersedia sebagai pelayan perkakasan dan sebagai mesin maya (VMware, Hyper-V, KVM). Dengan cara ini, platform perkakasan dilaksanakan pada pelayan DELL tersuai, yang secara automatik menghapuskan kebanyakan isu dengan jaminan dan RMA. Satu-satunya komponen perkakasan proprietari ialah kad tangkapan trafik FPGA yang dibangunkan oleh anak syarikat Flowmon, yang membenarkan pemantauan pada kelajuan sehingga 100 Gbps.

Tetapi apa yang perlu dilakukan jika peralatan rangkaian sedia ada tidak dapat menjana aliran berkualiti tinggi? Atau adakah beban pada peralatan terlalu tinggi? Tiada masalah:

Flowmon Prob

Dalam kes ini, Flowmon Networks mencadangkan menggunakan probenya sendiri (Flowmon Probe), yang disambungkan ke rangkaian melalui port SPAN suis atau menggunakan pembahagi TAP pasif.

SPAN (port cermin) dan pilihan pelaksanaan TAP

Dalam kes ini, trafik mentah yang tiba di Flowmon Probe ditukar kepada IPFIX diperluas yang mengandungi lebih banyak 240 metrik dengan maklumat. Manakala protokol NetFlow standard yang dijana oleh peralatan rangkaian mengandungi tidak lebih daripada 80 metrik. Ini membolehkan keterlihatan protokol bukan sahaja pada tahap 3 dan 4, tetapi juga pada tahap 7 mengikut model ISO OSI. Hasilnya, pentadbir rangkaian boleh memantau fungsi aplikasi dan protokol seperti e-mel, HTTP, DNS, SMB...

Secara konsep, seni bina logik sistem kelihatan seperti ini:

Bahagian tengah keseluruhan "ekosistem" Flowmon Networks ialah Pengumpul, yang menerima trafik daripada peralatan rangkaian sedia ada atau probenya sendiri (Probe). Tetapi untuk penyelesaian Perusahaan, menyediakan fungsi semata-mata untuk memantau trafik rangkaian adalah terlalu mudah. Penyelesaian Sumber Terbuka juga boleh melakukan ini, walaupun tidak dengan prestasi sedemikian. Nilai Flowmon ialah modul tambahan yang mengembangkan fungsi asas:

• modul Keselamatan Pengesanan Anomali – pengenalpastian aktiviti rangkaian anomali, termasuk serangan sifar hari, berdasarkan analisis heuristik trafik dan profil rangkaian biasa;
• modul Pemantauan Prestasi Aplikasi – memantau prestasi aplikasi rangkaian tanpa memasang “ejen” dan mempengaruhi sistem sasaran;
• modul Perakam Trafik – merekodkan serpihan trafik rangkaian mengikut set peraturan yang telah ditetapkan atau mengikut pencetus daripada modul ADS, untuk penyelesaian masalah lanjut dan/atau penyiasatan insiden keselamatan maklumat;
• modul Perlindungan DDoS – perlindungan perimeter rangkaian daripada serangan penolakan perkhidmatan DoS/DDoS volumetrik, termasuk serangan ke atas aplikasi (OSI L3/L4/L7).

Dalam artikel ini, kita akan melihat bagaimana semuanya berfungsi secara langsung menggunakan contoh 2 modul - Pemantauan Prestasi Rangkaian dan Diagnostik и Keselamatan Pengesanan Anomali.
Data awal:

• Pelayan Lenovo RS 140 dengan hipervisor VMware 6.0;
• Imej mesin maya Flowmon Collector yang anda boleh muat turun di sini;
• sepasang suis menyokong protokol aliran.

Langkah 1. Pasang Flowmon Collector

Penggunaan mesin maya pada VMware berlaku dengan cara standard sepenuhnya daripada templat OVF. Hasilnya, kami mendapat mesin maya yang menjalankan CentOS dan dengan perisian sedia untuk digunakan. Keperluan sumber adalah berperikemanusiaan:

Apa yang tinggal ialah melakukan pemulaan asas menggunakan arahan sysconfig:

Kami mengkonfigurasi IP pada port pengurusan, DNS, masa, Nama Hos dan boleh menyambung ke antara muka WEB.

Langkah 2. Pemasangan lesen

Lesen percubaan selama satu setengah bulan dijana dan dimuat turun bersama-sama dengan imej mesin maya. Dimuat melalui Pusat Konfigurasi -> Lesen. Hasilnya kita lihat:

Semua dah siap. Anda boleh mula bekerja.

Langkah 3. Sediakan penerima pada pengumpul

Pada peringkat ini, anda perlu memutuskan bagaimana sistem akan menerima data daripada sumber. Seperti yang kami katakan sebelum ini, ini boleh menjadi salah satu protokol aliran atau port SPAN pada suis.

Dalam contoh kami, kami akan menggunakan penerimaan data menggunakan protokol NetFlow v9 dan IPFIX. Dalam kes ini, kami menentukan alamat IP antara muka Pengurusan sebagai sasaran - 192.168.78.198. Antara muka eth2 dan eth3 (dengan jenis antara muka Pemantauan) digunakan untuk menerima salinan trafik "mentah" daripada port SPAN suis. Kami membiarkan mereka melalui, bukan kes kami.
Seterusnya, kami menyemak port pengumpul di mana trafik harus pergi.

Dalam kes kami, pengumpul mendengar trafik pada port UDP/2055.

Langkah 4. Mengkonfigurasi peralatan rangkaian untuk eksport aliran

Menyediakan NetFlow pada peralatan Cisco Systems mungkin boleh dipanggil tugas biasa untuk mana-mana pentadbir rangkaian. Untuk contoh kami, kami akan mengambil sesuatu yang lebih luar biasa. Sebagai contoh, penghala MikroTik RB2011UiAS-2HnD. Ya, anehnya, penyelesaian belanjawan sedemikian untuk pejabat kecil dan rumah juga menyokong protokol NetFlow v5/v9 dan IPFIX. Dalam tetapan, tetapkan sasaran (alamat pengumpul 192.168.78.198 dan port 2055):

Dan tambahkan semua metrik yang tersedia untuk eksport:

Pada ketika ini kita boleh mengatakan bahawa persediaan asas telah selesai. Kami menyemak sama ada trafik memasuki sistem.

Langkah 5: Menguji dan Mengendalikan Modul Pemantauan dan Diagnostik Prestasi Rangkaian

Anda boleh menyemak kehadiran trafik daripada sumber dalam bahagian tersebut Pusat Pemantauan Flowmon -> Sumber:

Kami melihat bahawa data memasuki sistem. Beberapa ketika selepas pengumpul telah mengumpul trafik, widget akan mula memaparkan maklumat:

Sistem ini dibina berdasarkan prinsip gerudi turun. Iaitu, pengguna, apabila memilih serpihan minat pada rajah atau graf, "jatuh" ke tahap kedalaman data yang dia perlukan:

Turun kepada maklumat tentang setiap sambungan dan sambungan rangkaian:

Langkah 6. Modul Keselamatan Pengesanan Anomali

Modul ini boleh dipanggil mungkin salah satu yang paling menarik, terima kasih kepada penggunaan kaedah tanpa tandatangan untuk mengesan anomali dalam trafik rangkaian dan aktiviti rangkaian berniat jahat. Tetapi ini bukan analog sistem IDS/IPS. Bekerja dengan modul bermula dengan "latihan"nya. Untuk melakukan ini, wizard khas menentukan semua komponen dan perkhidmatan utama rangkaian, termasuk:

• alamat get laluan, pelayan DNS, DHCP dan NTP,
• menangani dalam segmen pengguna dan pelayan.

Selepas ini, sistem masuk ke mod latihan, yang berlangsung secara purata dari 2 minggu hingga 1 bulan. Pada masa ini, sistem menjana trafik garis dasar yang khusus untuk rangkaian kami. Ringkasnya, sistem belajar:

• apakah tingkah laku yang biasa untuk nod rangkaian?
• Apakah volum data yang biasanya dipindahkan dan normal untuk rangkaian?
• Apakah masa operasi biasa untuk pengguna?
• aplikasi apa yang dijalankan pada rangkaian?
• dan banyak lagi..

Akibatnya, kami mendapat alat yang mengenal pasti sebarang anomali dalam rangkaian kami dan penyelewengan daripada gelagat biasa. Berikut ialah beberapa contoh yang sistem membenarkan anda untuk mengesan:

• pengedaran perisian hasad baharu pada rangkaian yang tidak dikesan oleh tandatangan antivirus;
• membina DNS, ICMP atau terowong lain dan menghantar data memintas tembok api;
• kemunculan komputer baharu pada rangkaian menyamar sebagai pelayan DHCP dan/atau DNS.

Mari lihat bagaimana rupanya secara langsung. Selepas sistem anda telah dilatih dan membina garis dasar trafik rangkaian, ia mula mengesan insiden:

Halaman utama modul ialah garis masa yang memaparkan insiden yang dikenal pasti. Dalam contoh kami, kami melihat lonjakan yang jelas, kira-kira antara 9 dan 16 jam. Mari pilih dan lihat dengan lebih terperinci.

Tingkah laku anomali penyerang pada rangkaian jelas kelihatan. Semuanya bermula dengan fakta bahawa hos dengan alamat 192.168.3.225 memulakan imbasan mendatar rangkaian pada port 3389 (perkhidmatan Microsoft RDP) dan menemui 14 "mangsa" yang berpotensi:

и

Insiden yang direkodkan berikut - hos 192.168.3.225 memulakan serangan kekerasan ke atas kata laluan kekerasan pada perkhidmatan RDP (port 3389) di alamat yang dikenal pasti sebelum ini:

Akibat serangan itu, anomali SMTP dikesan pada salah satu hos yang digodam. Dengan kata lain, SPAM telah bermula:

Contoh ini adalah demonstrasi jelas tentang keupayaan sistem dan modul Keselamatan Pengesanan Anomali khususnya. Nilaikan sendiri keberkesanannya. Ini menyimpulkan gambaran keseluruhan fungsi penyelesaian.

Kesimpulan

Mari kita ringkaskan kesimpulan yang boleh kita buat tentang Flowmon:

• Flowmon ialah penyelesaian premium untuk pelanggan korporat;
• terima kasih kepada kepelbagaian dan keserasiannya, pengumpulan data boleh didapati daripada mana-mana sumber: peralatan rangkaian (Cisco, Juniper, HPE, Huawei...) atau probe anda sendiri (Flowmon Probe);
• Keupayaan kebolehskalaan penyelesaian membolehkan anda mengembangkan kefungsian sistem dengan menambah modul baharu, serta meningkatkan produktiviti terima kasih kepada pendekatan yang fleksibel untuk pelesenan;
• melalui penggunaan teknologi analisis tanpa tandatangan, sistem ini membolehkan anda mengesan serangan sifar hari walaupun tidak diketahui oleh antivirus dan sistem IDS/IPS;
• terima kasih untuk melengkapkan "ketelusan" dari segi pemasangan dan kehadiran sistem pada rangkaian - penyelesaian itu tidak menjejaskan operasi nod dan komponen lain infrastruktur IT anda;
• Flowmon ialah satu-satunya penyelesaian di pasaran yang menyokong pemantauan trafik pada kelajuan sehingga 100 Gbps;
• Flowmon ialah penyelesaian untuk rangkaian dalam sebarang skala;
• nisbah harga/fungsi terbaik antara penyelesaian yang serupa.

Dalam ulasan ini, kami memeriksa kurang daripada 10% daripada jumlah kefungsian penyelesaian. Dalam artikel seterusnya kita akan bercakap tentang modul Flowmon Networks yang tinggal. Menggunakan modul Pemantauan Prestasi Aplikasi sebagai contoh, kami akan menunjukkan cara pentadbir aplikasi perniagaan boleh memastikan ketersediaan pada tahap SLA tertentu, serta mendiagnosis masalah secepat mungkin.

Selain itu, kami ingin menjemput anda ke webinar kami (10.09.2019/XNUMX/XNUMX) khusus untuk penyelesaian vendor Flowmon Networks. Untuk pra-pendaftaran, kami meminta anda daftar disini.
Itu sahaja buat masa ini, terima kasih kerana berminat!

Hanya pengguna berdaftar boleh mengambil bahagian dalam tinjauan. Log masuk, Sama-sama.

Adakah anda menggunakan Netflow untuk pemantauan rangkaian?

• Ya

• Tidak, tetapi saya bercadang untuk melakukannya

• Tiada

9 pengguna mengundi. 3 pengguna berpantang.

Sumber: www.habr.com