Netwerkmonitoring en detectie van afwijkende netwerkactiviteit met behulp van Flowmon Networks-oplossingen

Onlangs kunt u op internet een enorme hoeveelheid materiaal over dit onderwerp vinden. verkeersanalyse aan de netwerkperimeter. Tegelijkertijd is iedereen het om de een of andere reden volledig vergeten analyse van lokaal verkeer, wat niet minder belangrijk is. Dit artikel gaat precies over dit onderwerp. Bijvoorbeeld Flowmon-netwerken we zullen de goede oude Netflow (en zijn alternatieven) herinneren, interessante gevallen bekijken, mogelijke afwijkingen in het netwerk en de voordelen van de oplossing ontdekken wanneer het hele netwerk werkt als één enkele sensor. En het allerbelangrijkste: u kunt een dergelijke analyse van het lokale verkeer geheel gratis uitvoeren in het kader van een proeflicentie (45 dagen). Als het onderwerp je interesseert, welkom bij cat. Bent u te lui om te lezen, dan kunt u zich, vooruitkijkend, aanmelden komende webinar, waar we u alles laten zien en vertellen (u kunt daar ook meer te weten komen over aankomende producttrainingen).

Wat is Flowmon-netwerken?

Allereerst is Flowmon een Europese IT-leverancier. Het bedrijf is Tsjechisch, met het hoofdkantoor in Brno (de kwestie van sancties komt niet eens ter sprake). In de huidige vorm is het bedrijf sinds 2007 op de markt. Voorheen was het bekend onder het merk Invea-Tech. In totaal is er dus bijna 20 jaar besteed aan het ontwikkelen van producten en oplossingen.

Flowmon positioneert zich als een A-klasse merk. Ontwikkelt premiumoplossingen voor zakelijke klanten en wordt erkend in de Gartner-boxen voor Network Performance Monitoring and Diagnostics (NPMD). Bovendien is Flowmon, interessant genoeg, van alle bedrijven in het rapport de enige leverancier die door Gartner wordt genoemd als fabrikant van oplossingen voor zowel netwerkmonitoring als informatiebescherming (Network Behavior Analysis). Het staat nog niet op de eerste plaats, maar staat daardoor niet op een Boeing-vleugel.

Welke problemen lost het product op?

Globaal gezien kunnen we de volgende reeks taken onderscheiden die door de producten van het bedrijf worden opgelost:

1. het vergroten van de stabiliteit van het netwerk, evenals van netwerkbronnen, door de downtime en onbeschikbaarheid ervan te minimaliseren;
2. het verhogen van het algemene niveau van netwerkprestaties;
3. het verhogen van de efficiëntie van administratief personeel als gevolg van:
   • het gebruik van moderne innovatieve netwerkmonitoringtools op basis van informatie over IP-stromen;
   • het verstrekken van gedetailleerde analyses over het functioneren en de status van het netwerk: gebruikers en applicaties die op het netwerk draaien, verzonden gegevens, op elkaar inwerkende bronnen, diensten en knooppunten;
   • reageren op incidenten voordat ze zich voordoen, en niet nadat gebruikers en klanten de service hebben verloren;
   • het verminderen van de tijd en middelen die nodig zijn voor het beheer van de netwerk- en IT-infrastructuur;
   • het vereenvoudigen van probleemoplossingstaken.
4. het verhogen van het beveiligingsniveau van het netwerk en de informatiebronnen van de onderneming, door het gebruik van niet-signatuurtechnologieën voor het detecteren van afwijkende en kwaadaardige netwerkactiviteiten, evenals “zero-day-aanvallen”;
5. het garanderen van het vereiste SLA-niveau voor netwerkapplicaties en databases.

Flowmon Networks-productportfolio

Laten we nu direct naar het productportfolio van Flowmon Networks kijken en ontdekken wat het bedrijf precies doet. Zoals velen al uit de naam kunnen opmaken, ligt de belangrijkste specialisatie in oplossingen voor het monitoren van streaming-verkeersstromen, plus een aantal extra modules die de basisfunctionaliteit uitbreiden.

In feite kan Flowmon een bedrijf van één product worden genoemd, of beter gezegd, één oplossing. Laten we uitzoeken of dit goed of slecht is.

De kern van het systeem is de verzamelaar, die verantwoordelijk is voor het verzamelen van gegevens met behulp van verschillende stroomprotocollen, zoals NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Het is heel logisch dat het voor een bedrijf dat niet verbonden is met een fabrikant van netwerkapparatuur belangrijk is om de markt een universeel product aan te bieden dat niet gebonden is aan een bepaalde standaard of protocol.

Flowmon-verzamelaar

De collector is zowel beschikbaar als hardwareserver als als virtuele machine (VMware, Hyper-V, KVM). Overigens is het hardwareplatform geïmplementeerd op aangepaste DELL-servers, waardoor de meeste problemen met garantie en RMA automatisch worden geëlimineerd. De enige eigen hardwarecomponenten zijn FPGA-verkeersregistratiekaarten, ontwikkeld door een dochteronderneming van Flowmon, waarmee monitoring met snelheden tot 100 Gbps mogelijk is.

Maar wat te doen als bestaande netwerkapparatuur geen hoogwaardige flow kan genereren? Of is de belasting van de apparatuur te hoog? Geen probleem:

Flowmon-prob

In dit geval stelt Flowmon Networks voor om eigen probes (Flowmon Probe) te gebruiken, die via de SPAN-poort van de switch op het netwerk zijn aangesloten of via passieve TAP-splitters.

SPAN (mirror port) en TAP-implementatieopties

In dit geval wordt het ruwe verkeer dat bij de Flowmon Probe binnenkomt, omgezet in een uitgebreide IPFIX die meer bevat 240 statistieken met informatie. Terwijl het standaard NetFlow-protocol dat door netwerkapparatuur wordt gegenereerd, niet meer dan 80 statistieken bevat. Dit maakt protocolzichtbaarheid niet alleen mogelijk op niveau 3 en 4, maar ook op niveau 7 volgens het ISO OSI-model. Hierdoor kunnen netwerkbeheerders de werking van applicaties en protocollen zoals e-mail, HTTP, DNS, SMB... monitoren.

Conceptueel ziet de logische architectuur van het systeem er als volgt uit:

Het centrale deel van het gehele ‘ecosysteem’ van Flowmon Networks is de Collector, die verkeer ontvangt van bestaande netwerkapparatuur of zijn eigen sondes (Probe). Maar voor een Enterprise-oplossing zou het bieden van functionaliteit uitsluitend voor het monitoren van netwerkverkeer te simpel zijn. Open Source-oplossingen kunnen dit ook, zij het niet met zulke prestaties. De waarde van Flowmon zijn aanvullende modules die de basisfunctionaliteit uitbreiden:

• module Beveiliging van anomaliedetectie – identificatie van abnormale netwerkactiviteit, inclusief zero-day-aanvallen, op basis van heuristische analyse van verkeer en een typisch netwerkprofiel;
• module Monitoring van applicatieprestaties – het monitoren van de prestaties van netwerkapplicaties zonder “agents” te installeren en doelsystemen te beïnvloeden;
• module Verkeersrecorder – het vastleggen van fragmenten van netwerkverkeer volgens een reeks vooraf gedefinieerde regels of volgens een trigger van de ADS-module, voor verdere probleemoplossing en/of onderzoek van informatiebeveiligingsincidenten;
• module DDoS-bescherming – bescherming van de netwerkperimeter tegen volumetrische DoS/DDoS denial-of-service-aanvallen, inclusief aanvallen op applicaties (OSI L3/L4/L7).

In dit artikel zullen we kijken hoe alles live werkt aan de hand van het voorbeeld van 2 modules: Monitoring en diagnostiek van netwerkprestaties и Beveiliging van anomaliedetectie.
Initiële data:

• Lenovo RS 140-server met VMware 6.0-hypervisor;
• Flowmon Collector virtuele machine-image die u kunt download hier;
• een paar schakelaars die stroomprotocollen ondersteunen.

Stap 1. Installeer Flowmon Collector

Implementatie van een virtuele machine op VMware gebeurt geheel standaard vanuit de OVF-template. Als resultaat krijgen we een virtuele machine waarop CentOS draait en met kant-en-klare software. De vereisten voor hulpbronnen zijn menselijk:

Het enige dat overblijft is het uitvoeren van de basisinitialisatie met behulp van de opdracht sysconfig:

We configureren IP op de beheerpoort, DNS, tijd, hostnaam en kunnen verbinding maken met de WEB-interface.

Stap 2. Licentie-installatie

Er wordt een proeflicentie voor anderhalve maand gegenereerd en gedownload samen met de image van de virtuele machine. Geladen via Configuratiecentrum -> Licentie. Als resultaat zien we:

Alles is klaar. Je kunt beginnen met werken.

Stap 3. Het plaatsen van de ontvanger op de collector

In dit stadium moet u beslissen hoe het systeem gegevens uit bronnen zal ontvangen. Zoals we eerder zeiden, kan dit een van de stroomprotocollen zijn of een SPAN-poort op de switch.

In ons voorbeeld gebruiken we gegevensontvangst met behulp van protocollen NetFlow v9 en IPFIX. In dit geval specificeren we het IP-adres van de beheerinterface als doel - 192.168.78.198. Interfaces eth2 en eth3 (met het monitoringinterfacetype) worden gebruikt om een ​​kopie te ontvangen van het ‘ruwe’ verkeer van de SPAN-poort van de switch. Wij hebben ze doorgelaten, niet onze zaak.
Vervolgens controleren we de verzamelpoort waar het verkeer naartoe moet.

In ons geval luistert de collector naar verkeer op poort UDP/2055.

Stap 4. Netwerkapparatuur configureren voor stroomexport

Het instellen van NetFlow op Cisco Systems-apparatuur kan waarschijnlijk een heel gewone taak worden genoemd voor elke netwerkbeheerder. Voor ons voorbeeld nemen we iets ongewoons. Bijvoorbeeld de MikroTik RB2011UiAS-2HnD-router. Ja, vreemd genoeg ondersteunt zo'n budgetoplossing voor kleine kantoren en thuiskantoren ook de NetFlow v5/v9- en IPFIX-protocollen. Stel in de instellingen het doel in (collectoradres 192.168.78.198 en poort 2055):

En voeg alle statistieken toe die beschikbaar zijn voor export:

Op dit punt kunnen we zeggen dat de basisconfiguratie voltooid is. Wij controleren of er verkeer het systeem binnenkomt.

Stap 5: Testen en bedienen van de module voor monitoring en diagnose van netwerkprestaties

In de sectie kunt u de aanwezigheid van verkeer van de bron controleren Flowmon Monitoring Center -> Bronnen:

We zien dat er gegevens het systeem binnenkomen. Enige tijd nadat de verzamelaar verkeer heeft verzameld, beginnen de widgets informatie weer te geven:

Het systeem is gebaseerd op het drill-down-principe. Dat wil zeggen dat de gebruiker bij het selecteren van een interessant fragment in een diagram of grafiek 'valt' tot het niveau van gegevensdiepte dat hij nodig heeft:

Tot informatie over elke netwerkverbinding en verbinding:

Stap 6. Beveiligingsmodule voor anomaliedetectie

Deze module kan misschien wel een van de meest interessante worden genoemd, dankzij het gebruik van handtekeningvrije methoden voor het detecteren van afwijkingen in het netwerkverkeer en kwaadaardige netwerkactiviteit. Maar dit is geen analoog van IDS/IPS-systemen. Het werken met de module begint met de “training”. Om dit te doen, specificeert een speciale wizard alle belangrijke componenten en diensten van het netwerk, waaronder:

• gateway-adressen, DNS-, DHCP- en NTP-servers,
• adressering in gebruikers- en serversegmenten.

Hierna gaat het systeem in de trainingsmodus, die gemiddeld 2 weken tot 1 maand duurt. Gedurende deze tijd genereert het systeem basisverkeer dat specifiek is voor ons netwerk. Simpel gezegd leert het systeem:

• welk gedrag is typisch voor netwerkknooppunten?
• Welke gegevensvolumes worden doorgaans overgedragen en zijn normaal voor het netwerk?
• Wat is de typische bedrijfstijd voor gebruikers?
• welke applicaties draaien op het netwerk?
• en nog veel meer..

Als gevolg hiervan krijgen we een tool die eventuele afwijkingen in ons netwerk en afwijkingen van typisch gedrag identificeert. Hier zijn een paar voorbeelden die u met het systeem kunt detecteren:

• verspreiding van nieuwe malware op het netwerk die niet wordt gedetecteerd door antivirushandtekeningen;
• het bouwen van DNS-, ICMP- of andere tunnels en het verzenden van gegevens waarbij de firewall wordt omzeild;
• het verschijnen van een nieuwe computer op het netwerk die zich voordoet als een DHCP- en/of DNS-server.

Laten we eens kijken hoe het er live uitziet. Nadat uw systeem is getraind en een basislijn voor netwerkverkeer heeft opgebouwd, begint het incidenten te detecteren:

De hoofdpagina van de module is een tijdlijn met geïdentificeerde incidenten. In ons voorbeeld zien we een duidelijke piek, ongeveer tussen de 9 en 16 uur. Laten we het selecteren en in meer detail bekijken.

Het afwijkende gedrag van de aanvaller op het netwerk is duidelijk zichtbaar. Het begint allemaal met het feit dat de host met het adres 192.168.3.225 een horizontale scan van het netwerk op poort 3389 (Microsoft RDP-service) begon en 14 potentiële “slachtoffers” vond:

и

Het volgende geregistreerde incident - host 192.168.3.225 begint een brute force-aanval om wachtwoorden op de RDP-service (poort 3389) op de eerder geïdentificeerde adressen brute force te forceren:

Als gevolg van de aanval wordt een SMTP-afwijking gedetecteerd op een van de gehackte hosts. Met andere woorden, SPAM is begonnen:

Dit voorbeeld is een duidelijke demonstratie van de mogelijkheden van het systeem en de Anomaly Detection Security-module in het bijzonder. Beoordeel zelf de effectiviteit. Hiermee is het functionele overzicht van de oplossing afgerond.

Conclusie

Laten we samenvatten welke conclusies we kunnen trekken over Flowmon:

• Flowmon is een premium oplossing voor zakelijke klanten;
• dankzij de veelzijdigheid en compatibiliteit is het verzamelen van gegevens beschikbaar vanaf elke bron: netwerkapparatuur (Cisco, Juniper, HPE, Huawei...) of uw eigen sondes (Flowmon Probe);
• Dankzij de schaalbaarheidsmogelijkheden van de oplossing kunt u de functionaliteit van het systeem uitbreiden door nieuwe modules toe te voegen en de productiviteit verhogen dankzij een flexibele benadering van licentieverlening;
• door het gebruik van handtekeningvrije analysetechnologieën stelt het systeem u in staat zero-day-aanvallen te detecteren, zelfs onbekend bij antivirus- en IDS/IPS-systemen;
• dankzij volledige “transparantie” wat betreft installatie en aanwezigheid van het systeem op het netwerk - de oplossing heeft geen invloed op de werking van andere knooppunten en componenten van uw IT-infrastructuur;
• Flowmon is de enige oplossing op de markt die verkeersmonitoring ondersteunt met snelheden tot 100 Gbps;
• Flowmon is een oplossing voor netwerken van elke omvang;
• de beste prijs-/functionaliteitsverhouding onder vergelijkbare oplossingen.

In deze review hebben we minder dan 10% van de totale functionaliteit van de oplossing onderzocht. In het volgende artikel zullen we het hebben over de overige Flowmon Networks-modules. Met de module Application Performance Monitoring als voorbeeld laten we zien hoe beheerders van bedrijfsapplicaties de beschikbaarheid op een bepaald SLA-niveau kunnen garanderen en problemen zo snel mogelijk kunnen diagnosticeren.

We willen u ook graag uitnodigen voor ons webinar (10.09.2019/XNUMX/XNUMX) gewijd aan de oplossingen van leverancier Flowmon Networks. Om u vooraf in te schrijven vragen wij u Registreer hier.
Dat was alles voor nu. Bedankt voor uw interesse!

Alleen geregistreerde gebruikers kunnen deelnemen aan het onderzoek. Inloggen, Alsjeblieft.

Gebruikt u Netflow voor netwerkmonitoring?

• Ja

• Nee, maar ik ben het wel van plan

• Geen

9 gebruikers hebben gestemd. 3 gebruikers onthielden zich van stemming.

Bron: www.habr.com