ProHoster > blog > Amministrazzjoni > Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

Riċentement, tista 'ssib ammont kbir ta' materjali dwar is-suġġett fuq l-Internet. analiżi tat-traffiku fil-perimetru tan-netwerk. Fl-istess ħin, għal xi raġuni kulħadd nesa kompletament analiżi tat-traffiku lokali, li mhux inqas importanti. Dan l-artikolu jindirizza preċiżament dan is-suġġett. Pereżempju Netwerks Flowmon se niftakru n-Netflow antik tajjeb (u l-alternattivi tiegħu), inħarsu lejn każijiet interessanti, anomaliji possibbli fin-netwerk u nsib il-vantaġġi tas-soluzzjoni meta in-netwerk kollu jaħdem bħala sensor wieħed. U l-aktar importanti, tista 'twettaq tali analiżi tat-traffiku lokali kompletament mingħajr ħlas, fil-qafas ta' liċenzja ta 'prova (45 jiem). Jekk is-suġġett huwa interessanti għalik, merħba lill-qattus. Jekk inti għażżien wisq biex taqra, allura, tħares 'il quddiem, tista' tirreġistra għalih webinar li ġej, fejn nuru u ngħidulek kollox (tista 'titgħallem ukoll dwar it-taħriġ tal-prodott li ġej hemmhekk).

X'inhu Flowmon Networks?

L-ewwelnett, Flowmon huwa bejjiegħ Ewropew tal-IT. Il-kumpanija hija Ċeka, bil-kwartieri ġenerali fi Brno (il-kwistjoni tas-sanzjonijiet lanqas biss tqajmet). Fil-forma attwali tagħha, il-kumpanija ilha fis-suq mill-2007. Preċedentement, kien magħruf taħt il-marka Invea-Tech. Għalhekk, b'kollox, inqatgħu kważi 20 sena fuq l-iżvilupp ta 'prodotti u soluzzjonijiet.

Flowmon huwa pożizzjonat bħala marka ta 'klassi A. Jiżviluppa soluzzjonijiet premium għal klijenti intrapriżi u huwa rikonoxxut fil-kaxxi Gartner għall-Monitoraġġ u Dijanjostiċi tal-Prestazzjoni tan-Netwerk (NPMD). Barra minn hekk, interessanti, mill-kumpaniji kollha fir-rapport, Flowmon huwa l-uniku bejjiegħ innutat minn Gartner bħala manifattur ta 'soluzzjonijiet kemm għall-monitoraġġ tan-netwerk kif ukoll għall-protezzjoni tal-informazzjoni (Network Behavior Analysis). Għadu ma jieħux l-ewwel post, iżda minħabba dan ma joqgħodx bħal ġwienaħ Boeing.

X'problemi jsolvi l-prodott?

Globalment, nistgħu niddistingwu l-grupp li ġej ta’ kompiti solvuti mill-prodotti tal-kumpanija:

  1. tiżdied l-istabbiltà tan-netwerk, kif ukoll ir-riżorsi tan-netwerk, billi jiġu minimizzati l-waqfien u d-disponibbiltà tagħhom;
  2. jiżdied il-livell ġenerali tal-prestazzjoni tan-netwerk;
  3. tiżdied l-effiċjenza tal-persunal amministrattiv minħabba:
    • bl-użu ta' għodod moderni innovattivi ta' monitoraġġ tan-netwerk ibbażati fuq informazzjoni dwar il-flussi tal-IP;
    • Provvista ta' analiżi dettaljata dwar il-funzjonament u l-istat tan-netwerk - utenti u applikazzjonijiet li jaħdmu fuq in-netwerk, dejta trażmessa, riżorsi ta' interazzjoni, servizzi u nodi;
    • rispons għall-inċidenti qabel ma jseħħu, u mhux wara li l-utenti u l-klijenti jitilfu s-servizz;
    • it-tnaqqis tal-ħin u r-riżorsi meħtieġa għall-amministrazzjoni tan-netwerk u l-infrastruttura tal-IT;
    • tissimplifika l-kompiti tas-soluzzjoni tal-problemi.
  4. iżżid il-livell ta 'sigurtà tan-netwerk u r-riżorsi ta' informazzjoni tal-intrapriża, permezz tal-użu ta 'teknoloġiji mhux tal-firem għall-iskoperta ta' attività tan-netwerk anomala u malizzjuża, kif ukoll "attakki ta 'ġurnata żero";
  5. li jiġi żgurat il-livell meħtieġ ta' SLA għal applikazzjonijiet tan-netwerk u databases.

Flowmon Networks Portafoll tal-Prodotti

Issa ejja nħarsu direttament lejn il-portafoll tal-prodotti ta 'Flowmon Networks u nsib x'tagħmel eżattament il-kumpanija. Kif ħafna diġà guessed mill-isem, l-ispeċjalizzazzjoni ewlenija hija f'soluzzjonijiet għall-monitoraġġ tat-traffiku tal-fluss tal-fluss, flimkien ma 'numru ta' moduli addizzjonali li jespandu l-funzjonalità bażika.

Fil-fatt, Flowmon tista 'tissejjaħ kumpanija ta' prodott wieħed, jew aħjar, soluzzjoni waħda. Ejja naraw jekk dan hux tajjeb jew ħażin.

Il-qalba tas-sistema hija l-kollettur, li huwa responsabbli għall-ġbir tad-dejta billi juża diversi protokolli tal-fluss, bħal NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Huwa pjuttost loġiku li għal kumpanija mhux affiljata ma 'xi manifattur ta' tagħmir tan-netwerk, huwa importanti li toffri lis-suq prodott universali li ma jkunx marbut ma 'xi standard jew protokoll wieħed.

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks
Kollettur Flowmon

Il-kollettur huwa disponibbli kemm bħala server hardware kif ukoll bħala magna virtwali (VMware, Hyper-V, KVM). Mill-mod, il-pjattaforma tal-ħardwer hija implimentata fuq servers DELL personalizzati, li awtomatikament telimina ħafna mill-kwistjonijiet bil-garanzija u l-RMA. L-uniċi komponenti tal-hardware proprjetarji huma karti tal-qbid tat-traffiku FPGA żviluppati minn sussidjarja ta 'Flowmon, li jippermettu monitoraġġ b'veloċitajiet sa 100 Gbps.

Imma x'għandek tagħmel jekk it-tagħmir tan-netwerk eżistenti ma jkunx kapaċi jiġġenera fluss ta 'kwalità għolja? Jew it-tagħbija fuq it-tagħmir hija għolja wisq? Mhux problema:

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks
Flowmon Prob

F'dan il-każ, Flowmon Networks joffri li juża s-sondi tiegħu stess (Flowmon Probe), li huma konnessi man-netwerk permezz tal-port SPAN tas-swiċċ jew bl-użu ta 'spliters TAP passivi.

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks
SPAN (port mera) u għażliet ta 'implimentazzjoni TAP

F'dan il-każ, it-traffiku mhux maħdum li jasal fil-Flowmon Probe jiġi kkonvertit f'IPFIX estiż li fih aktar 240 metrika b'informazzjoni. Filwaqt li l-protokoll NetFlow standard iġġenerat mit-tagħmir tan-netwerk fih mhux aktar minn 80 metrika. Dan jippermetti viżibilità tal-protokoll mhux biss fil-livelli 3 u 4, iżda wkoll fil-livell 7 skont il-mudell ISO OSI. Bħala riżultat, l-amministraturi tan-netwerk jistgħu jimmonitorjaw il-funzjonament tal-applikazzjonijiet u l-protokolli bħall-posta elettronika, HTTP, DNS, SMB...

Kunċettwalment, l-arkitettura loġika tas-sistema tidher bħal din:

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

Il-parti ċentrali tal-“ekosistema” kollha tan-Netwerks Flowmon hija l-Kollezzjonisti, li jirċievi traffiku minn tagħmir tan-netwerk eżistenti jew is-sondi tiegħu stess (Probe). Iżda għal soluzzjoni Enterprise, li tipprovdi funzjonalità biss għall-monitoraġġ tat-traffiku tan-netwerk tkun sempliċi wisq. Is-soluzzjonijiet Open Source jistgħu wkoll jagħmlu dan, għalkemm mhux b'tali prestazzjoni. Il-valur ta 'Flowmon huma moduli addizzjonali li jespandu l-funzjonalità bażika:

  • modulu Sigurtà ta 'Sejbien ta' Anomalie – identifikazzjoni ta' attività tan-netwerk anormali, inklużi attakki zero-day, ibbażata fuq analiżi euristika tat-traffiku u profil tipiku tan-netwerk;
  • modulu Monitoraġġ tal-Prestazzjoni tal-Applikazzjoni – tissorvelja l-prestazzjoni tal-applikazzjonijiet tan-netwerk mingħajr ma jiġu installati “aġenti” u jinfluwenzaw is-sistemi fil-mira;
  • modulu Reġistratur tat-Traffiku – ir-reġistrazzjoni ta' frammenti ta' traffiku tan-netwerk skont sett ta' regoli predefiniti jew skont trigger mill-modulu ADS, għal aktar soluzzjoni ta' problemi u/jew investigazzjoni ta' inċidenti ta' sigurtà tal-informazzjoni;
  • modulu DDoS Protezzjoni – protezzjoni tal-perimetru tan-netwerk minn attakki volumetriċi ta' ċaħda ta' servizz DoS/DDoS, inklużi attakki fuq applikazzjonijiet (OSI L3/L4/L7).

F'dan l-artikolu, se nħarsu lejn kif kollox jaħdem live billi tuża l-eżempju ta '2 moduli - Monitoraġġ u Dijanjostika tal-Prestazzjoni tan-Netwerk и Sigurtà ta 'Sejbien ta' Anomalie.
Dejta tas-sors:

  • Server Lenovo RS 140 b'hypervisor VMware 6.0;
  • Flowmon Collector immaġni tal-magna virtwali li tista ' tniżżel hawn;
  • par ta 'swiċċijiet li jappoġġjaw protokolli tal-fluss.

Pass 1. Installa Flowmon Collector

L-iskjerament ta 'magna virtwali fuq VMware iseħħ b'mod kompletament standard mill-mudell OVF. Bħala riżultat, aħna jkollna magna virtwali li taħdem CentOS u b'softwer lest għall-użu. Ir-rekwiżiti tar-riżorsi huma umani:

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

Kulma jibqa 'huwa li twettaq l-inizjalizzazzjoni bażika bl-użu tal-kmand sysconfig:

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

Aħna kkonfigurat l-IP fuq il-port tal-ġestjoni, DNS, ħin, Hostname u nistgħu nikkonnettjaw mal-interface WEB.

Pass 2. Installazzjoni tal-liċenzja

Liċenzja ta' prova għal xahar u nofs tiġi ġġenerata u mniżżla flimkien mal-immaġni tal-magna virtwali. Mgħobbija permezz Ċentru ta' Konfigurazzjoni -> Liċenzja. Bħala riżultat naraw:

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

Kollox lest. Tista' tibda taħdem.

Pass 3. Twaqqif tar-riċevitur fuq il-kollettur

F'dan l-istadju, trid tiddeċiedi kif is-sistema se tirċievi d-dejta minn sorsi. Kif għidna qabel, dan jista 'jkun wieħed mill-protokolli tal-fluss jew port SPAN fuq is-swiċċ.

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

Fl-eżempju tagħna, se nużaw ir-riċeviment tad-dejta billi nużaw protokolli NetFlow v9 u IPFIX. F'dan il-każ, aħna nispeċifikaw l-indirizz IP tal-interface tal-Ġestjoni bħala mira - 192.168.78.198. Interfaces eth2 u eth3 (bit-tip ta 'interface ta' Monitoraġġ) huma użati biex jirċievu kopja tat-traffiku "mhux maħdum" mill-port SPAN tas-swiċċ. Inħalluhom jgħaddu, mhux il-każ tagħna.
Sussegwentement, niċċekkjaw il-port tal-kollettur fejn għandu jmur it-traffiku.

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

Fil-każ tagħna, il-kollettur jisma' għat-traffiku fuq il-port UDP/2055.

Pass 4. Konfigurazzjoni tat-tagħmir tan-netwerk għall-esportazzjoni tal-fluss

It-twaqqif ta' NetFlow fuq it-tagħmir ta' Cisco Systems probabbilment jista' jissejjaħ kompitu kompletament komuni għal kwalunkwe amministratur tan-netwerk. Għall-eżempju tagħna, aħna ser nieħdu xi ħaġa aktar mhux tas-soltu. Pereżempju, ir-router MikroTik RB2011UiAS-2HnD. Iva, stramba, tali soluzzjoni tal-baġit għal uffiċċji żgħar u domestiċi tappoġġja wkoll il-protokolli NetFlow v5/v9 u IPFIX. Fis-settings, issettja l-mira (indirizz tal-kollettur 192.168.78.198 u port 2055):

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

U żid il-metriċi kollha disponibbli għall-esportazzjoni:

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

F'dan il-punt nistgħu ngħidu li s-setup bażiku huwa komplut. Aħna niċċekkjaw jekk it-traffiku hux dieħel fis-sistema.

Pass 5: Ittestjar u Operazzjoni tal-Modulu ta' Monitoraġġ u Dijanjostiċi tal-Prestazzjoni tan-Netwerk

Tista 'tiċċekkja l-preżenza tat-traffiku mis-sors fit-taqsima Ċentru ta' Monitoraġġ Flowmon –> Sorsi:

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

Naraw li d-data qed tidħol fis-sistema. Xi żmien wara li l-kollettur ikun akkumula t-traffiku, il-widgets jibdew juru informazzjoni:

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

Is-sistema hija mibnija fuq il-prinċipju drill down. Jiġifieri, l-utent, meta jagħżel framment ta 'interess fuq dijagramma jew graff, "jaqa" għal-livell ta' fond ta 'dejta li għandu bżonn:

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

Sa l-informazzjoni dwar kull konnessjoni u konnessjoni tan-netwerk:

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

Pass 6. Modulu tas-Sigurtà ta 'Sejbien ta' Anomalie

Dan il-modulu jista 'jissejjaħ forsi wieħed mill-aktar interessanti, grazzi għall-użu ta' metodi mingħajr firma għall-iskoperta ta 'anomaliji fit-traffiku tan-netwerk u l-attività tan-netwerk malizzjuża. Iżda dan mhuwiex analogu tas-sistemi IDS/IPS. Il-ħidma mal-modulu jibda bit-“taħriġ” tiegħu. Biex tagħmel dan, wizard speċjali jispeċifika l-komponenti u s-servizzi ewlenin kollha tan-netwerk, inklużi:

  • indirizzi tal-gateway, servers DNS, DHCP u NTP,
  • indirizzar fis-segmenti tal-utent u tas-server.

Wara dan, is-sistema tidħol fil-mod ta 'taħriġ, li jdum bħala medja minn ġimgħatejn sa xahar. Matul dan iż-żmien, is-sistema tiġġenera traffiku bażi li huwa speċifiku għan-netwerk tagħna. Fi kliem sempliċi, is-sistema titgħallem:

  • liema imġieba hija tipika għan-nodi tan-netwerk?
  • Liema volumi ta' dejta huma tipikament trasferiti u huma normali għan-netwerk?
  • X'inhu l-ħin operattiv tipiku għall-utenti?
  • liema applikazzjonijiet jaħdmu fuq in-netwerk?
  • u ħafna aktar..

Bħala riżultat, aħna jkollna għodda li tidentifika kwalunkwe anomalija fin-netwerk tagħna u devjazzjonijiet mill-imġieba tipika. Hawn huma ftit eżempji li s-sistema tippermettilek tiskopri:

  • distribuzzjoni ta 'malware ġdid fuq in-netwerk li ma jiġix skopert mill-firem antivirus;
  • il-bini ta' DNS, ICMP jew mini oħra u t-trażmissjoni tad-dejta billi tevita l-firewall;
  • id-dehra ta' kompjuter ġdid fin-netwerk li jippożita bħala server DHCP u/jew DNS.

Ejja naraw kif jidher live. Wara li s-sistema tiegħek tkun ġiet imħarrġa u bniet linja bażi tat-traffiku tan-netwerk, tibda tiskopri inċidenti:

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

Il-paġna ewlenija tal-modulu hija skeda tal-ħin li turi inċidenti identifikati. Fl-eżempju tagħna, naraw spike ċara, bejn wieħed u ieħor bejn 9 u 16-il siegħa. Ejja nagħżluha u nħarsu f'aktar dettall.

L-imġieba anomalija tal-attakkant fuq in-netwerk hija viżibbli b'mod ċar. Kollox jibda bil-fatt li l-host bl-indirizz 192.168.3.225 beda skan orizzontali tan-netwerk fuq il-port 3389 (servizz Microsoft RDP) u sab 14-il "vittma" potenzjali:

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

и

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

L-inċident irreġistrat li ġej - il-host 192.168.3.225 jibda attakk ta' forza bruta għal passwords ta' forza bruta fuq is-servizz RDP (port 3389) fl-indirizzi identifikati qabel:

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

Bħala riżultat tal-attakk, tiġi skoperta anomalija SMTP fuq wieħed mill-hosts hacked. Fi kliem ieħor, SPAM beda:

Monitoraġġ tan-netwerk u skoperta ta' attività tan-netwerk anomali bl-użu ta' soluzzjonijiet ta' Flowmon Networks

Dan l-eżempju huwa turija ċara tal-kapaċitajiet tas-sistema u b'mod partikolari l-modulu tas-Sigurtà ta' Sejbien ta' Anomalie. Iġġudika l-effettività għalik innifsek. Dan jikkonkludi l-ħarsa ġenerali funzjonali tas-soluzzjoni.

Konklużjoni

Ejja nġabru fil-qosor liema konklużjonijiet nistgħu nieħdu dwar Flowmon:

  • Flowmon hija soluzzjoni premium għal klijenti korporattivi;
  • grazzi għall-versatilità u l-kompatibilità tiegħu, il-ġbir tad-dejta huwa disponibbli minn kwalunkwe sors: tagħmir tan-netwerk (Cisco, Juniper, HPE, Huawei...) jew is-sondi tiegħek stess (Flowmon Probe);
  • Il-kapaċitajiet tal-iskalabbiltà tas-soluzzjoni jippermettulek tespandi l-funzjonalità tas-sistema billi żżid moduli ġodda, kif ukoll iżżid il-produttività grazzi għal approċċ flessibbli għal-liċenzjar;
  • permezz tal-użu ta 'teknoloġiji ta' analiżi mingħajr firma, is-sistema tippermettilek li tiskopri attakki ta 'ġurnata żero anki mhux magħrufa għal antiviruses u sistemi IDS/IPS;
  • grazzi għal "trasparenza" sħiħa f'termini ta 'installazzjoni u preżenza tas-sistema fuq in-netwerk - is-soluzzjoni ma taffettwax l-operat ta' nodi u komponenti oħra tal-infrastruttura tal-IT tiegħek;
  • Flowmon hija l-unika soluzzjoni fis-suq li tappoġġja l-monitoraġġ tat-traffiku b'veloċitajiet sa 100 Gbps;
  • Flowmon hija soluzzjoni għal netwerks ta 'kull skala;
  • l-aħjar proporzjon prezz/funzjonalità fost soluzzjonijiet simili.

F'din ir-reviżjoni, eżaminajna inqas minn 10% tal-funzjonalità totali tas-soluzzjoni. Fl-artiklu li jmiss se nitkellmu dwar il-moduli tal-Flowmon Networks li fadal. Bl-użu tal-modulu tal-Monitoraġġ tal-Prestazzjoni tal-Applikazzjoni bħala eżempju, se nuru kif l-amministraturi tal-applikazzjonijiet tan-negozju jistgħu jiżguraw disponibbiltà f'livell SLA partikolari, kif ukoll jiddijanjostikaw il-problemi malajr kemm jista 'jkun.

Ukoll, nixtiequ nistednuk għall-webinar tagħna (10.09.2019/XNUMX/XNUMX) iddedikat għas-soluzzjonijiet tal-bejjiegħ Flowmon Networks. Biex tirreġistra minn qabel, nitolbuk irreġistra hawn.
Dak kollu għalissa, grazzi tal-interess tiegħek!

Utenti reġistrati biss jistgħu jipparteċipaw fl-istħarriġ. Idħol, ta 'xejn.

Qed tuża Netflow għall-monitoraġġ tan-netwerk?

  • Iva

  • Le, imma qed nippjana

  • Nru

Ivvutaw 9 utent. 3 utent astjenew.

Sors: www.habr.com

Żid kumment