ProHoster > blog > Amministrazzjoni > Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks
Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks
Riċentement, tista 'ssib ammont kbir ta' materjali dwar is-suġġett fuq l-Internet. analiżi tat-traffiku fil-perimetru tan-netwerk. Fl-istess ħin, għal xi raġuni kulħadd nesa kompletament analiżi tat-traffiku lokali, li mhux inqas importanti. Dan l-artikolu jindirizza preċiżament dan is-suġġett. Pereżempju Netwerks Flowmon se niftakru n-Netflow antik tajjeb (u l-alternattivi tiegħu), inħarsu lejn każijiet interessanti, anomaliji possibbli fin-netwerk u nsib il-vantaġġi tas-soluzzjoni meta in-netwerk kollu jaħdem bħala sensor wieħed. U l-aktar importanti, tista 'twettaq tali analiżi tat-traffiku lokali kompletament mingħajr ħlas, fil-qafas ta' liċenzja ta 'prova (45 jiem). Jekk is-suġġett huwa interessanti għalik, merħba lill-qattus. Jekk inti għażżien wisq biex taqra, allura, tħares 'il quddiem, tista' tirreġistra għalih webinar li ġej, fejn nuru u ngħidulek kollox (tista 'titgħallem ukoll dwar it-taħriġ tal-prodott li ġej hemmhekk).
X'inhu Flowmon Networks?
L-ewwelnett, Flowmon huwa bejjiegħ Ewropew tal-IT. Il-kumpanija hija Ċeka, bil-kwartieri ġenerali fi Brno (il-kwistjoni tas-sanzjonijiet lanqas biss tqajmet). Fil-forma attwali tagħha, il-kumpanija ilha fis-suq mill-2007. Preċedentement, kien magħruf taħt il-marka Invea-Tech. Għalhekk, b'kollox, inqatgħu kważi 20 sena fuq l-iżvilupp ta 'prodotti u soluzzjonijiet.
Flowmon huwa pożizzjonat bħala marka ta 'klassi A. Jiżviluppa soluzzjonijiet premium għal klijenti intrapriżi u huwa rikonoxxut fil-kaxxi Gartner għall-Monitoraġġ u Dijanjostiċi tal-Prestazzjoni tan-Netwerk (NPMD). Barra minn hekk, interessanti, mill-kumpaniji kollha fir-rapport, Flowmon huwa l-uniku bejjiegħ innutat minn Gartner bħala manifattur ta 'soluzzjonijiet kemm għall-monitoraġġ tan-netwerk kif ukoll għall-protezzjoni tal-informazzjoni (Network Behavior Analysis). Għadu ma jieħux l-ewwel post, iżda minħabba dan ma joqgħodx bħal ġwienaħ Boeing.
X'problemi jsolvi l-prodott?
Globalment, nistgħu niddistingwu l-grupp li ġej ta’ kompiti solvuti mill-prodotti tal-kumpanija:
tiżdied l-istabbiltà tan-netwerk, kif ukoll ir-riżorsi tan-netwerk, billi jiġu minimizzati l-waqfien u d-disponibbiltà tagħhom;
jiżdied il-livell ġenerali tal-prestazzjoni tan-netwerk;
bl-użu ta' għodod moderni innovattivi ta' monitoraġġ tan-netwerk ibbażati fuq informazzjoni dwar il-flussi tal-IP;
Provvista ta' analiżi dettaljata dwar il-funzjonament u l-istat tan-netwerk - utenti u applikazzjonijiet li jaħdmu fuq in-netwerk, dejta trażmessa, riżorsi ta' interazzjoni, servizzi u nodi;
rispons għall-inċidenti qabel ma jseħħu, u mhux wara li l-utenti u l-klijenti jitilfu s-servizz;
it-tnaqqis tal-ħin u r-riżorsi meħtieġa għall-amministrazzjoni tan-netwerk u l-infrastruttura tal-IT;
iżżid il-livell ta 'sigurtà tan-netwerk u r-riżorsi ta' informazzjoni tal-intrapriża, permezz tal-użu ta 'teknoloġiji mhux tal-firem għall-iskoperta ta' attività tan-netwerk anomala u malizzjuża, kif ukoll "attakki ta 'ġurnata żero";
li jiġi żgurat il-livell meħtieġ ta' SLA għal applikazzjonijiet tan-netwerk u databases.
Flowmon Networks Portafoll tal-Prodotti
Issa ejja nħarsu direttament lejn il-portafoll tal-prodotti ta 'Flowmon Networks u nsib x'tagħmel eżattament il-kumpanija. Kif ħafna diġà guessed mill-isem, l-ispeċjalizzazzjoni ewlenija hija f'soluzzjonijiet għall-monitoraġġ tat-traffiku tal-fluss tal-fluss, flimkien ma 'numru ta' moduli addizzjonali li jespandu l-funzjonalità bażika.
Fil-fatt, Flowmon tista 'tissejjaħ kumpanija ta' prodott wieħed, jew aħjar, soluzzjoni waħda. Ejja naraw jekk dan hux tajjeb jew ħażin.
Il-qalba tas-sistema hija l-kollettur, li huwa responsabbli għall-ġbir tad-dejta billi juża diversi protokolli tal-fluss, bħal NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Huwa pjuttost loġiku li għal kumpanija mhux affiljata ma 'xi manifattur ta' tagħmir tan-netwerk, huwa importanti li toffri lis-suq prodott universali li ma jkunx marbut ma 'xi standard jew protokoll wieħed.
Kollettur Flowmon
Il-kollettur huwa disponibbli kemm bħala server hardware kif ukoll bħala magna virtwali (VMware, Hyper-V, KVM). Mill-mod, il-pjattaforma tal-ħardwer hija implimentata fuq servers DELL personalizzati, li awtomatikament telimina ħafna mill-kwistjonijiet bil-garanzija u l-RMA. L-uniċi komponenti tal-hardware proprjetarji huma karti tal-qbid tat-traffiku FPGA żviluppati minn sussidjarja ta 'Flowmon, li jippermettu monitoraġġ b'veloċitajiet sa 100 Gbps.
Imma x'għandek tagħmel jekk it-tagħmir tan-netwerk eżistenti ma jkunx kapaċi jiġġenera fluss ta 'kwalità għolja? Jew it-tagħbija fuq it-tagħmir hija għolja wisq? Mhux problema:
Flowmon Prob
F'dan il-każ, Flowmon Networks joffri li juża s-sondi tiegħu stess (Flowmon Probe), li huma konnessi man-netwerk permezz tal-port SPAN tas-swiċċ jew bl-użu ta 'spliters TAP passivi.
SPAN (port mera) u għażliet ta 'implimentazzjoni TAP
F'dan il-każ, it-traffiku mhux maħdum li jasal fil-Flowmon Probe jiġi kkonvertit f'IPFIX estiż li fih aktar 240 metrika b'informazzjoni. Filwaqt li l-protokoll NetFlow standard iġġenerat mit-tagħmir tan-netwerk fih mhux aktar minn 80 metrika. Dan jippermetti viżibilità tal-protokoll mhux biss fil-livelli 3 u 4, iżda wkoll fil-livell 7 skont il-mudell ISO OSI. Bħala riżultat, l-amministraturi tan-netwerk jistgħu jimmonitorjaw il-funzjonament tal-applikazzjonijiet u l-protokolli bħall-posta elettronika, HTTP, DNS, SMB...
Kunċettwalment, l-arkitettura loġika tas-sistema tidher bħal din:
Il-parti ċentrali tal-“ekosistema” kollha tan-Netwerks Flowmon hija l-Kollezzjonisti, li jirċievi traffiku minn tagħmir tan-netwerk eżistenti jew is-sondi tiegħu stess (Probe). Iżda għal soluzzjoni Enterprise, li tipprovdi funzjonalità biss għall-monitoraġġ tat-traffiku tan-netwerk tkun sempliċi wisq. Is-soluzzjonijiet Open Source jistgħu wkoll jagħmlu dan, għalkemm mhux b'tali prestazzjoni. Il-valur ta 'Flowmon huma moduli addizzjonali li jespandu l-funzjonalità bażika:
modulu Sigurtà ta 'Sejbien ta' Anomalie – identifikazzjoni ta' attività tan-netwerk anormali, inklużi attakki zero-day, ibbażata fuq analiżi euristika tat-traffiku u profil tipiku tan-netwerk;
modulu Monitoraġġ tal-Prestazzjoni tal-Applikazzjoni – tissorvelja l-prestazzjoni tal-applikazzjonijiet tan-netwerk mingħajr ma jiġu installati “aġenti” u jinfluwenzaw is-sistemi fil-mira;
modulu Reġistratur tat-Traffiku – ir-reġistrazzjoni ta' frammenti ta' traffiku tan-netwerk skont sett ta' regoli predefiniti jew skont trigger mill-modulu ADS, għal aktar soluzzjoni ta' problemi u/jew investigazzjoni ta' inċidenti ta' sigurtà tal-informazzjoni;
modulu DDoS Protezzjoni – protezzjoni tal-perimetru tan-netwerk minn attakki volumetriċi ta' ċaħda ta' servizz DoS/DDoS, inklużi attakki fuq applikazzjonijiet (OSI L3/L4/L7).
F'dan l-artikolu, se nħarsu lejn kif kollox jaħdem live billi tuża l-eżempju ta '2 moduli - Monitoraġġ u Dijanjostika tal-Prestazzjoni tan-Netwerk и Sigurtà ta 'Sejbien ta' Anomalie.
Dejta tas-sors:
Server Lenovo RS 140 b'hypervisor VMware 6.0;
Flowmon Collector immaġni tal-magna virtwali li tista ' tniżżel hawn;
par ta 'swiċċijiet li jappoġġjaw protokolli tal-fluss.
Pass 1. Installa Flowmon Collector
L-iskjerament ta 'magna virtwali fuq VMware iseħħ b'mod kompletament standard mill-mudell OVF. Bħala riżultat, aħna jkollna magna virtwali li taħdem CentOS u b'softwer lest għall-użu. Ir-rekwiżiti tar-riżorsi huma umani:
Kulma jibqa 'huwa li twettaq l-inizjalizzazzjoni bażika bl-użu tal-kmand sysconfig:
Aħna kkonfigurat l-IP fuq il-port tal-ġestjoni, DNS, ħin, Hostname u nistgħu nikkonnettjaw mal-interface WEB.
Pass 2. Installazzjoni tal-liċenzja
Liċenzja ta' prova għal xahar u nofs tiġi ġġenerata u mniżżla flimkien mal-immaġni tal-magna virtwali. Mgħobbija permezz Ċentru ta' Konfigurazzjoni -> Liċenzja. Bħala riżultat naraw:
Kollox lest. Tista' tibda taħdem.
Pass 3. Twaqqif tar-riċevitur fuq il-kollettur
F'dan l-istadju, trid tiddeċiedi kif is-sistema se tirċievi d-dejta minn sorsi. Kif għidna qabel, dan jista 'jkun wieħed mill-protokolli tal-fluss jew port SPAN fuq is-swiċċ.
Fl-eżempju tagħna, se nużaw ir-riċeviment tad-dejta billi nużaw protokolli NetFlow v9 u IPFIX. F'dan il-każ, aħna nispeċifikaw l-indirizz IP tal-interface tal-Ġestjoni bħala mira - 192.168.78.198. Interfaces eth2 u eth3 (bit-tip ta 'interface ta' Monitoraġġ) huma użati biex jirċievu kopja tat-traffiku "mhux maħdum" mill-port SPAN tas-swiċċ. Inħalluhom jgħaddu, mhux il-każ tagħna.
Sussegwentement, niċċekkjaw il-port tal-kollettur fejn għandu jmur it-traffiku.
Fil-każ tagħna, il-kollettur jisma' għat-traffiku fuq il-port UDP/2055.
It-twaqqif ta' NetFlow fuq it-tagħmir ta' Cisco Systems probabbilment jista' jissejjaħ kompitu kompletament komuni għal kwalunkwe amministratur tan-netwerk. Għall-eżempju tagħna, aħna ser nieħdu xi ħaġa aktar mhux tas-soltu. Pereżempju, ir-router MikroTik RB2011UiAS-2HnD. Iva, stramba, tali soluzzjoni tal-baġit għal uffiċċji żgħar u domestiċi tappoġġja wkoll il-protokolli NetFlow v5/v9 u IPFIX. Fis-settings, issettja l-mira (indirizz tal-kollettur 192.168.78.198 u port 2055):
U żid il-metriċi kollha disponibbli għall-esportazzjoni:
F'dan il-punt nistgħu ngħidu li s-setup bażiku huwa komplut. Aħna niċċekkjaw jekk it-traffiku hux dieħel fis-sistema.
Pass 5: Ittestjar u Operazzjoni tal-Modulu ta' Monitoraġġ u Dijanjostiċi tal-Prestazzjoni tan-Netwerk
Naraw li d-data qed tidħol fis-sistema. Xi żmien wara li l-kollettur ikun akkumula t-traffiku, il-widgets jibdew juru informazzjoni:
Is-sistema hija mibnija fuq il-prinċipju drill down. Jiġifieri, l-utent, meta jagħżel framment ta 'interess fuq dijagramma jew graff, "jaqa" għal-livell ta' fond ta 'dejta li għandu bżonn:
Sa l-informazzjoni dwar kull konnessjoni u konnessjoni tan-netwerk:
Pass 6. Modulu tas-Sigurtà ta 'Sejbien ta' Anomalie
Dan il-modulu jista 'jissejjaħ forsi wieħed mill-aktar interessanti, grazzi għall-użu ta' metodi mingħajr firma għall-iskoperta ta 'anomaliji fit-traffiku tan-netwerk u l-attività tan-netwerk malizzjuża. Iżda dan mhuwiex analogu tas-sistemi IDS/IPS. Il-ħidma mal-modulu jibda bit-“taħriġ” tiegħu. Biex tagħmel dan, wizard speċjali jispeċifika l-komponenti u s-servizzi ewlenin kollha tan-netwerk, inklużi:
indirizzi tal-gateway, servers DNS, DHCP u NTP,
indirizzar fis-segmenti tal-utent u tas-server.
Wara dan, is-sistema tidħol fil-mod ta 'taħriġ, li jdum bħala medja minn ġimgħatejn sa xahar. Matul dan iż-żmien, is-sistema tiġġenera traffiku bażi li huwa speċifiku għan-netwerk tagħna. Fi kliem sempliċi, is-sistema titgħallem:
liema imġieba hija tipika għan-nodi tan-netwerk?
Liema volumi ta' dejta huma tipikament trasferiti u huma normali għan-netwerk?
X'inhu l-ħin operattiv tipiku għall-utenti?
liema applikazzjonijiet jaħdmu fuq in-netwerk?
u ħafna aktar..
Bħala riżultat, aħna jkollna għodda li tidentifika kwalunkwe anomalija fin-netwerk tagħna u devjazzjonijiet mill-imġieba tipika. Hawn huma ftit eżempji li s-sistema tippermettilek tiskopri:
distribuzzjoni ta 'malware ġdid fuq in-netwerk li ma jiġix skopert mill-firem antivirus;
il-bini ta' DNS, ICMP jew mini oħra u t-trażmissjoni tad-dejta billi tevita l-firewall;
id-dehra ta' kompjuter ġdid fin-netwerk li jippożita bħala server DHCP u/jew DNS.
Ejja naraw kif jidher live. Wara li s-sistema tiegħek tkun ġiet imħarrġa u bniet linja bażi tat-traffiku tan-netwerk, tibda tiskopri inċidenti:
Il-paġna ewlenija tal-modulu hija skeda tal-ħin li turi inċidenti identifikati. Fl-eżempju tagħna, naraw spike ċara, bejn wieħed u ieħor bejn 9 u 16-il siegħa. Ejja nagħżluha u nħarsu f'aktar dettall.
L-imġieba anomalija tal-attakkant fuq in-netwerk hija viżibbli b'mod ċar. Kollox jibda bil-fatt li l-host bl-indirizz 192.168.3.225 beda skan orizzontali tan-netwerk fuq il-port 3389 (servizz Microsoft RDP) u sab 14-il "vittma" potenzjali:
и
L-inċident irreġistrat li ġej - il-host 192.168.3.225 jibda attakk ta' forza bruta għal passwords ta' forza bruta fuq is-servizz RDP (port 3389) fl-indirizzi identifikati qabel:
Bħala riżultat tal-attakk, tiġi skoperta anomalija SMTP fuq wieħed mill-hosts hacked. Fi kliem ieħor, SPAM beda:
Dan l-eżempju huwa turija ċara tal-kapaċitajiet tas-sistema u b'mod partikolari l-modulu tas-Sigurtà ta' Sejbien ta' Anomalie. Iġġudika l-effettività għalik innifsek. Dan jikkonkludi l-ħarsa ġenerali funzjonali tas-soluzzjoni.
Konklużjoni
Ejja nġabru fil-qosor liema konklużjonijiet nistgħu nieħdu dwar Flowmon:
Flowmon hija soluzzjoni premium għal klijenti korporattivi;
grazzi għall-versatilità u l-kompatibilità tiegħu, il-ġbir tad-dejta huwa disponibbli minn kwalunkwe sors: tagħmir tan-netwerk (Cisco, Juniper, HPE, Huawei...) jew is-sondi tiegħek stess (Flowmon Probe);
Il-kapaċitajiet tal-iskalabbiltà tas-soluzzjoni jippermettulek tespandi l-funzjonalità tas-sistema billi żżid moduli ġodda, kif ukoll iżżid il-produttività grazzi għal approċċ flessibbli għal-liċenzjar;
permezz tal-użu ta 'teknoloġiji ta' analiżi mingħajr firma, is-sistema tippermettilek li tiskopri attakki ta 'ġurnata żero anki mhux magħrufa għal antiviruses u sistemi IDS/IPS;
grazzi għal "trasparenza" sħiħa f'termini ta 'installazzjoni u preżenza tas-sistema fuq in-netwerk - is-soluzzjoni ma taffettwax l-operat ta' nodi u komponenti oħra tal-infrastruttura tal-IT tiegħek;
Flowmon hija l-unika soluzzjoni fis-suq li tappoġġja l-monitoraġġ tat-traffiku b'veloċitajiet sa 100 Gbps;
Flowmon hija soluzzjoni għal netwerks ta 'kull skala;
l-aħjar proporzjon prezz/funzjonalità fost soluzzjonijiet simili.
F'din ir-reviżjoni, eżaminajna inqas minn 10% tal-funzjonalità totali tas-soluzzjoni. Fl-artiklu li jmiss se nitkellmu dwar il-moduli tal-Flowmon Networks li fadal. Bl-użu tal-modulu tal-Monitoraġġ tal-Prestazzjoni tal-Applikazzjoni bħala eżempju, se nuru kif l-amministraturi tal-applikazzjonijiet tan-negozju jistgħu jiżguraw disponibbiltà f'livell SLA partikolari, kif ukoll jiddijanjostikaw il-problemi malajr kemm jista 'jkun.
Ukoll, nixtiequ nistednuk għall-webinar tagħna (10.09.2019/XNUMX/XNUMX) iddedikat għas-soluzzjonijiet tal-bejjiegħ Flowmon Networks. Biex tirreġistra minn qabel, nitolbuk irreġistra hawn.
Dak kollu għalissa, grazzi tal-interess tiegħek!
Utenti reġistrati biss jistgħu jipparteċipaw fl-istħarriġ. Idħol, ta 'xejn.