Nettverksovervåking og deteksjon av unormal nettverksaktivitet ved hjelp av Flowmon Networks-løsninger

Nylig kan du finne en enorm mengde materiale om emnet på Internett. trafikkanalyse ved nettverkets perimeter. Samtidig glemte alle av en eller annen grunn helt lokal trafikkanalyse, som ikke er mindre viktig. Denne artikkelen tar opp nettopp dette emnet. For eksempel Flowmon-nettverk vi vil huske den gode gamle Netflow (og dens alternativer), se på interessante tilfeller, mulige anomalier i nettverket og finne ut fordelene med løsningen når hele nettverket fungerer som en enkelt sensor. Og viktigst av alt, du kan gjennomføre en slik analyse av lokal trafikk helt gratis, innenfor rammen av en prøvelisens (45 dager). Hvis emnet er interessant for deg, velkommen til katt. Hvis du er for lat til å lese, kan du registrere deg for å se fremover kommende webinar, hvor vi vil vise og fortelle deg alt (du kan også lære om kommende produktopplæring der).

Hva er Flowmon Networks?

Først av alt er Flowmon en europeisk IT-leverandør. Selskapet er tsjekkisk, med hovedkontor i Brno (spørsmålet om sanksjoner er ikke engang tatt opp). I sin nåværende form har selskapet vært på markedet siden 2007. Tidligere var det kjent under Invea-Tech-merket. Så totalt ble det brukt nesten 20 år på å utvikle produkter og løsninger.

Flowmon er posisjonert som et merke i A-klassen. Utvikler premiumløsninger for bedriftskunder og er anerkjent i Gartner-boksene for Network Performance Monitoring and Diagnostics (NPMD). Interessant nok, av alle selskapene i rapporten, er Flowmon den eneste leverandøren notert av Gartner som en produsent av løsninger for både nettverksovervåking og informasjonsbeskyttelse (Network Behavior Analysis). Den tar ikke førsteplassen ennå, men på grunn av dette står den ikke som en Boeing-vinge.

Hvilke problemer løser produktet?

Globalt kan vi skille mellom følgende pool av oppgaver som løses av selskapets produkter:

1. øke stabiliteten til nettverket, så vel som nettverksressurser, ved å minimere deres nedetid og utilgjengelighet;
2. øke det generelle nivået av nettverksytelse;
3. øke effektiviteten til administrativt personell på grunn av:
   • bruke moderne innovative nettverksovervåkingsverktøy basert på informasjon om IP-flyter;
   • å tilby detaljerte analyser om funksjonen og tilstanden til nettverket - brukere og applikasjoner som kjører på nettverket, overførte data, samhandlende ressurser, tjenester og noder;
   • å reagere på hendelser før de skjer, og ikke etter at brukere og klienter mister tjenesten;
   • redusere tiden og ressursene som kreves for å administrere nettverket og IT-infrastrukturen;
   • forenkle feilsøkingsoppgaver.
4. øke sikkerhetsnivået til nettverket og informasjonsressursene til bedriften, gjennom bruk av ikke-signaturteknologier for å oppdage unormal og ondsinnet nettverksaktivitet, samt "nulldagsangrep";
5. sikre det nødvendige nivået av SLA for nettverksapplikasjoner og databaser.

Flowmon Networks produktportefølje

La oss nå se direkte på Flowmon Networks produktportefølje og finne ut nøyaktig hva selskapet gjør. Som mange allerede har gjettet ut fra navnet, er hovedspesialiseringen løsninger for strømming av trafikkovervåking, pluss en rekke tilleggsmoduler som utvider den grunnleggende funksjonaliteten.

Faktisk kan Flowmon kalles et selskap av ett produkt, eller rettere sagt, en løsning. La oss finne ut om dette er bra eller dårlig.

Kjernen i systemet er innsamleren, som er ansvarlig for å samle inn data ved hjelp av ulike flytprotokoller, som f.eks. NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Det er ganske logisk at for et selskap som ikke er tilknyttet noen nettverksutstyrsprodusent, er det viktig å tilby markedet et universelt produkt som ikke er knyttet til noen standard eller protokoll.

Flowmon-samler

Samleren er tilgjengelig både som maskinvareserver og som virtuell maskin (VMware, Hyper-V, KVM). Forresten er maskinvareplattformen implementert på tilpassede DELL-servere, noe som automatisk eliminerer de fleste problemene med garanti og RMA. De eneste proprietære maskinvarekomponentene er FPGA-trafikkfangstkort utviklet av et datterselskap av Flowmon, som tillater overvåking med hastigheter på opptil 100 Gbps.

Men hva skal jeg gjøre hvis eksisterende nettverksutstyr ikke er i stand til å generere flyt av høy kvalitet? Eller er belastningen på utstyret for høy? Ikke noe problem:

Flowmon Prob

I dette tilfellet foreslår Flowmon Networks å bruke sine egne prober (Flowmon Probe), som er koblet til nettverket via SPAN-porten på svitsjen eller ved å bruke passive TAP-splittere.

SPAN (speilport) og TAP implementeringsalternativer

I dette tilfellet blir den rå trafikken som ankommer Flowmon-sonden konvertert til en utvidet IPFIX som inneholder mer 240 beregninger med informasjon. Mens standard NetFlow-protokoll generert av nettverksutstyr ikke inneholder mer enn 80 beregninger. Dette muliggjør protokollsynlighet ikke bare på nivå 3 og 4, men også på nivå 7 i henhold til ISO OSI-modellen. Som et resultat kan nettverksadministratorer overvåke funksjonen til applikasjoner og protokoller som e-post, HTTP, DNS, SMB...

Konseptuelt ser den logiske arkitekturen til systemet slik ut:

Den sentrale delen av hele Flowmon Networks "økosystem" er Collector, som mottar trafikk fra eksisterende nettverksutstyr eller egne sonder (Probe). Men for en Enterprise-løsning ville det være for enkelt å tilby funksjonalitet utelukkende for overvåking av nettverkstrafikk. Open Source-løsninger kan også gjøre dette, om enn ikke med slik ytelse. Verdien av Flowmon er tilleggsmoduler som utvider den grunnleggende funksjonaliteten:

• modul Sikkerhet for oppdagelse av anomalier – identifikasjon av unormal nettverksaktivitet, inkludert nulldagers angrep, basert på heuristisk analyse av trafikk og en typisk nettverksprofil;
• modul Overvåking av applikasjonsytelse – overvåke ytelsen til nettverksapplikasjoner uten å installere "agenter" og påvirke målsystemer;
• modul Trafikkopptaker – registrere fragmenter av nettverkstrafikk i henhold til et sett med forhåndsdefinerte regler eller i henhold til en trigger fra ADS-modulen, for ytterligere feilsøking og/eller undersøkelse av informasjonssikkerhetshendelser;
• modul DDoS-beskyttelse – beskyttelse av nettverksperimeteren mot volumetriske DoS/DDoS-nektangrep, inkludert angrep på applikasjoner (OSI L3/L4/L7).

I denne artikkelen vil vi se på hvordan alt fungerer live ved å bruke eksemplet med 2 moduler - Overvåking og diagnostikk av nettverksytelse и Sikkerhet for oppdagelse av anomalier.
Innledende data:

• Lenovo RS 140 server med VMware 6.0 hypervisor;
• Flowmon Collector virtuell maskinbilde som du kan Last ned her;
• et par brytere som støtter flytprotokoller.

Trinn 1. Installer Flowmon Collector

Utrulling av en virtuell maskin på VMware skjer på en helt standard måte fra OVF-malen. Som et resultat får vi en virtuell maskin som kjører CentOS og med klar-til-bruk programvare. Ressurskravene er humane:

Alt som gjenstår er å utføre grunnleggende initialisering ved hjelp av kommandoen sysconfig:

Vi konfigurerer IP på administrasjonsporten, DNS, tid, vertsnavn og kan koble til WEB-grensesnittet.

Trinn 2. Lisensinstallasjon

En prøvelisens for en og en halv måned genereres og lastes ned sammen med bildet av den virtuelle maskinen. Lastet via Konfigurasjonssenter -> Lisens. Som et resultat ser vi:

Alt er klart. Du kan begynne å jobbe.

Trinn 3. Sette opp mottakeren på oppsamleren

På dette stadiet må du bestemme hvordan systemet skal motta data fra kilder. Som vi sa tidligere, kan dette være en av flytprotokollene eller en SPAN-port på bryteren.

I vårt eksempel vil vi bruke datamottak ved hjelp av protokoller NetFlow v9 og IPFIX. I dette tilfellet spesifiserer vi IP-adressen til administrasjonsgrensesnittet som et mål - 192.168.78.198. Grensesnittene eth2 og eth3 (med overvåkingsgrensesnitttypen) brukes til å motta en kopi av den "rå" trafikken fra SPAN-porten til svitsjen. Vi slipper dem gjennom, ikke vår sak.
Deretter sjekker vi samleporten hvor trafikken skal gå.

I vårt tilfelle lytter samleren etter trafikk på port UDP/2055.

Trinn 4. Konfigurere nettverksutstyr for flyteksport

Å sette opp NetFlow på Cisco Systems-utstyr kan nok kalles en helt vanlig oppgave for enhver nettverksadministrator. For vårt eksempel tar vi noe mer uvanlig. For eksempel MikroTik RB2011UiAS-2HnD-ruteren. Ja, merkelig nok støtter en slik budsjettløsning for små kontorer og hjemmekontorer også NetFlow v5/v9 og IPFIX-protokollene. I innstillingene setter du målet (samleradresse 192.168.78.198 og port 2055):

Og legg til alle beregningene som er tilgjengelige for eksport:

På dette tidspunktet kan vi si at det grunnleggende oppsettet er fullført. Vi sjekker om det kommer trafikk inn i systemet.

Trinn 5: Testing og drift av nettverksytelsesovervåkings- og diagnostikkmodulen

Du kan sjekke tilstedeværelsen av trafikk fra kilden i delen Flowmon Monitoring Center –> Kilder:

Vi ser at data kommer inn i systemet. En tid etter at samleren har akkumulert trafikk, vil widgetene begynne å vise informasjon:

Systemet er bygget etter drill down-prinsippet. Det vil si at brukeren, når han velger et fragment av interesse på et diagram eller en graf, "faller" til nivået av dybde av data som han trenger:

Ned til informasjon om hver nettverkstilkobling og tilkobling:

Trinn 6. Sikkerhetsmodul for avviksdeteksjon

Denne modulen kan kanskje kalles en av de mest interessante, takket være bruken av signaturfrie metoder for å oppdage anomalier i nettverkstrafikk og ondsinnet nettverksaktivitet. Men dette er ikke en analog av IDS/IPS-systemer. Arbeidet med modulen begynner med dens "trening". For å gjøre dette spesifiserer en spesiell veiviser alle nøkkelkomponentene og tjenestene til nettverket, inkludert:

• gateway-adresser, DNS-, DHCP- og NTP-servere,
• adressering i bruker- og serversegmenter.

Etter dette går systemet i treningsmodus, som varer i gjennomsnitt fra 2 uker til 1 måned. I løpet av denne tiden genererer systemet grunnlinjetrafikk som er spesifikk for nettverket vårt. Enkelt sagt lærer systemet:

• hvilken oppførsel er typisk for nettverksnoder?
• Hvilke datamengder overføres vanligvis og er normale for nettverket?
• Hva er den typiske driftstiden for brukere?
• hvilke applikasjoner kjører på nettverket?
• og mye mer..

Som et resultat får vi et verktøy som identifiserer eventuelle anomalier i nettverket vårt og avvik fra typisk atferd. Her er et par eksempler som systemet lar deg oppdage:

• distribusjon av ny skadelig programvare på nettverket som ikke oppdages av antivirussignaturer;
• bygge DNS, ICMP eller andre tunneler og overføre data utenom brannmuren;
• utseendet til en ny datamaskin på nettverket som utgir seg for å være en DHCP- og/eller DNS-server.

La oss se hvordan det ser ut live. Etter at systemet ditt har blitt trent og bygget en grunnlinje for nettverkstrafikk, begynner det å oppdage hendelser:

Hovedsiden til modulen er en tidslinje som viser identifiserte hendelser. I vårt eksempel ser vi en tydelig pigg, omtrent mellom 9 og 16 timer. La oss velge det og se mer detaljert.

Den unormale oppførselen til angriperen på nettverket er tydelig synlig. Det hele starter med det faktum at verten med adressen 192.168.3.225 begynte en horisontal skanning av nettverket på port 3389 (Microsoft RDP-tjeneste) og fant 14 potensielle "ofre":

и

Følgende registrerte hendelse - vert 192.168.3.225 begynner et brute force-angrep for å brute force-passord på RDP-tjenesten (port 3389) på de tidligere identifiserte adressene:

Som et resultat av angrepet oppdages en SMTP-anomali på en av de hackede vertene. Med andre ord, SPAM har begynt:

Dette eksemplet er en tydelig demonstrasjon av funksjonene til systemet og spesielt Anomaly Detection Security-modulen. Vurder effektiviteten selv. Dette avslutter den funksjonelle oversikten over løsningen.

Konklusjon

La oss oppsummere hvilke konklusjoner vi kan trekke om Flowmon:

• Flowmon er en premiumløsning for bedriftskunder;
• takket være allsidigheten og kompatibiliteten er datainnsamling tilgjengelig fra alle kilder: nettverksutstyr (Cisco, Juniper, HPE, Huawei...) eller dine egne prober (Flowmon Probe);
• Skalerbarhetsmulighetene til løsningen lar deg utvide funksjonaliteten til systemet ved å legge til nye moduler, samt øke produktiviteten takket være en fleksibel tilnærming til lisensiering;
• gjennom bruk av signaturfrie analyseteknologier lar systemet deg oppdage zero-day angrep selv ukjent for antivirus og IDS/IPS-systemer;
• takket være fullstendig "gjennomsiktighet" når det gjelder installasjon og tilstedeværelse av systemet på nettverket - løsningen påvirker ikke driften av andre noder og komponenter i IT-infrastrukturen din;
• Flowmon er den eneste løsningen på markedet som støtter trafikkovervåking i hastigheter opp til 100 Gbps;
• Flowmon er en løsning for nettverk av enhver skala;
• det beste forholdet pris/funksjonalitet blant lignende løsninger.

I denne gjennomgangen undersøkte vi mindre enn 10 % av den totale funksjonaliteten til løsningen. I den neste artikkelen vil vi snakke om de gjenværende Flowmon Networks-modulene. Ved å bruke modulen Application Performance Monitoring som et eksempel, vil vi vise hvordan forretningsapplikasjonsadministratorer kan sikre tilgjengelighet på et gitt SLA-nivå, samt diagnostisere problemer så raskt som mulig.

Vi vil også invitere deg til vårt webinar (10.09.2019/XNUMX/XNUMX) dedikert til løsningene til leverandøren Flowmon Networks. For forhåndsregistrering ber vi deg Registrer her.
Det var alt for nå, takk for interessen!

Kun registrerte brukere kan delta i undersøkelsen. Logg inn, vær så snill.

Bruker du Netflow for nettverksovervåking?

• Ja

• Nei, men jeg planlegger det

• Ikke

9 brukere stemte. 3 brukere avsto.

Kilde: www.habr.com