🥇Monitorowanie sieci i wykrywanie anomalnej aktywności sieciowej przy użyciu rozwiązań Flowmon Networks

Ostatnio w Internecie można znaleźć ogromną ilość materiałów na ten temat. analiza ruchu na obwodzie sieci. Jednocześnie z jakiegoś powodu wszyscy całkowicie o tym zapomnieli analiza ruchu lokalnego, co jest nie mniej ważne. Artykuł ten dotyczy właśnie tego tematu. Na przykład Sieci Flowmon przypomnimy sobie stary dobry Netflow (i jego alternatywy), przyjrzymy się ciekawym przypadkom, możliwym anomaliom w sieci i dowiemy się o zaletach rozwiązania, gdy cała sieć działa jako pojedynczy czujnik. A co najważniejsze, taką analizę ruchu lokalnego możesz przeprowadzić całkowicie bezpłatnie, w ramach licencji próbnej (Dni 45). Jeśli temat jest dla Ciebie interesujący, zapraszamy do cat. Jeśli jesteś zbyt leniwy, aby czytać, to patrząc w przyszłość, możesz się zarejestrować nadchodzące webinarium, gdzie wszystko Ci pokażemy i opowiemy (tam też możesz dowiedzieć się o nadchodzących szkoleniach produktowych).

Czym są sieci Flowmon?

Przede wszystkim Flowmon jest europejskim dostawcą rozwiązań IT. Firma jest czeska, z siedzibą w Brnie (w ogóle nie porusza się kwestii sankcji). W obecnym kształcie firma istnieje na rynku od 2007 roku. Wcześniej był znany pod marką Invea-Tech. W sumie na opracowywanie produktów i rozwiązań poświęcono prawie 20 lat.

Flowmon jest pozycjonowany jako marka klasy A. Tworzy rozwiązania premium dla klientów korporacyjnych i jest doceniany w rankingach Gartnera za monitorowanie i diagnostykę wydajności sieci (NPMD). Co ciekawe, spośród wszystkich firm uwzględnionych w raporcie Flowmon jest jedynym dostawcą, który został uznany przez Gartnera za producenta rozwiązań zarówno do monitorowania sieci, jak i ochrony informacji (Network Behaviour Analysis). Nie zajmuje jeszcze pierwszego miejsca, ale przez to nie wyróżnia się niczym skrzydło Boeinga.

Jakie problemy rozwiązuje produkt?

Globalnie możemy wyróżnić następującą pulę zadań rozwiązywanych przez produkty firmy:

zwiększenie stabilności sieci, a także zasobów sieciowych, poprzez minimalizację ich przestojów i niedostępności;
zwiększenie ogólnego poziomu wydajności sieci;
zwiększenie efektywności personelu administracyjnego dzięki:
- wykorzystanie nowoczesnych, innowacyjnych narzędzi monitorowania sieci w oparciu o informacje o przepływach IP;
- dostarczanie szczegółowych analiz dotyczących funkcjonowania i stanu sieci – użytkowników i aplikacji działających w sieci, przesyłanych danych, wchodzących w interakcję zasobów, usług i węzłów;
- reagowanie na incydenty przed ich wystąpieniem, a nie po utracie usług przez użytkowników i klientów;
- ograniczenie czasu i zasobów niezbędnych do administrowania siecią i infrastrukturą informatyczną;
- uproszczenie zadań związanych z rozwiązywaniem problemów.
podniesienie poziomu bezpieczeństwa sieci i zasobów informacyjnych przedsiębiorstwa, poprzez wykorzystanie technologii niesygnowanych do wykrywania anomalnej i złośliwej aktywności sieciowej, a także „ataków dnia zerowego”;
zapewnienie wymaganego poziomu SLA dla aplikacji sieciowych i baz danych.

Portfolio produktów Flowmon Networks

Przyjrzyjmy się teraz bezpośrednio portfolio produktów Flowmon Networks i dowiedzmy się, czym dokładnie zajmuje się ta firma. Jak wielu już domyśliło się z nazwy, główną specjalizacją są rozwiązania do monitorowania ruchu strumieniowego, plus szereg dodatkowych modułów rozszerzających podstawową funkcjonalność.

Tak naprawdę Flowmon można nazwać firmą jednego produktu, a raczej jednego rozwiązania. Zastanówmy się, czy to dobrze, czy źle.

Rdzeniem systemu jest kolektor, który odpowiada za zbieranie danych przy wykorzystaniu różnych protokołów przepływu, m.in NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... To całkiem logiczne, że dla firmy niezwiązanej z żadnym producentem sprzętu sieciowego ważne jest zaoferowanie na rynek produktu uniwersalnego, nie powiązanego z żadnym standardem czy protokołem.

Kolekcjoner Flowmona

Kolektor dostępny jest zarówno jako serwer sprzętowy, jak i jako maszyna wirtualna (VMware, Hyper-V, KVM). Nawiasem mówiąc, platforma sprzętowa jest wdrażana na niestandardowych serwerach DELL, co automatycznie eliminuje większość problemów z gwarancją i RMA. Jedynymi zastrzeżonymi komponentami sprzętowymi są karty przechwytywania ruchu FPGA opracowane przez spółkę zależną Flowmon, które umożliwiają monitorowanie z szybkością do 100 Gbps.

Co jednak zrobić, jeśli istniejący sprzęt sieciowy nie jest w stanie wygenerować przepływu wysokiej jakości? A może obciążenie sprzętu jest zbyt duże? Bez problemu:

Problem Flowmona

W tym przypadku Flowmon Networks oferuje zastosowanie własnych sond (Flowmon Probe), które podłącza się do sieci poprzez port SPAN przełącznika lub za pomocą pasywnych splitterów TAP.

Opcje implementacji SPAN (port lustrzany) i TAP

W tym przypadku surowy ruch docierający do sondy Flowmon Probe jest konwertowany na rozszerzony IPFIX zawierający więcej 240 metryk z informacjami. Podczas gdy standardowy protokół NetFlow generowany przez sprzęt sieciowy zawiera nie więcej niż 80 metryk. Pozwala to na widoczność protokołu nie tylko na poziomach 3 i 4, ale także na poziomie 7 zgodnie z modelem ISO OSI. Dzięki temu administratorzy sieci mogą monitorować działanie aplikacji i protokołów takich jak e-mail, HTTP, DNS, SMB...

Koncepcyjnie logiczna architektura systemu wygląda następująco:

Centralną częścią całego „ekosystemu” Flowmon Networks jest Collector, który odbiera ruch z istniejącego sprzętu sieciowego lub własnych sond (Probe). Jednak w przypadku rozwiązania Enterprise zapewnienie funkcjonalności wyłącznie do monitorowania ruchu sieciowego byłoby zbyt proste. Rozwiązania Open Source również mogą to zrobić, choć nie z taką wydajnością. Wartością Flowmon są dodatkowe moduły rozszerzające podstawową funkcjonalność:

moduł Bezpieczeństwo wykrywania anomalii – identyfikacja anomalnej aktywności sieciowej, w tym ataków typu zero-day, w oparciu o heurystyczną analizę ruchu i typowego profilu sieci;
moduł Monitorowanie wydajności aplikacji – monitorowanie wydajności aplikacji sieciowych bez instalowania „agentów” i wpływania na systemy docelowe;
moduł Rejestrator ruchu – rejestrowanie fragmentów ruchu sieciowego według zestawu predefiniowanych reguł lub zgodnie z wyzwalaczem z modułu ADS, w celu dalszego rozwiązywania problemów i/lub badania incydentów związanych z bezpieczeństwem informacji;
moduł Ochrona DDoS – ochrona obwodu sieci przed wolumetrycznymi atakami typu „odmowa usługi” DoS/DDoS, w tym atakami na aplikacje (OSI L3/L4/L7).

W tym artykule przyjrzymy się jak wszystko działa na żywo na przykładzie 2 modułów - Monitorowanie i diagnostyka wydajności sieci и Bezpieczeństwo wykrywania anomalii.
Linia bazowa:

Serwer Lenovo RS 140 z hypervisorem VMware 6.0;
Obraz maszyny wirtualnej Flowmon Collector, jaki możesz pobierz tutaj;
para przełączników obsługujących protokoły przepływu.

Krok 1. Zainstaluj moduł Flowmon Collector

Wdrożenie maszyny wirtualnej na VMware odbywa się w całkowicie standardowy sposób z szablonu OVF. W rezultacie otrzymujemy maszynę wirtualną z systemem CentOS i gotowym do użycia oprogramowaniem. Wymagania dotyczące zasobów są humanitarne:

Pozostaje tylko wykonać podstawową inicjalizację za pomocą polecenia konfiguracja sys:

Konfigurujemy IP na porcie zarządzania, DNS, czas, nazwę hosta i możemy połączyć się z interfejsem WEB.

Krok 2. Instalacja licencji

Generowana jest licencja próbna na półtora miesiąca, która jest pobierana wraz z obrazem maszyny wirtualnej. Załadowano przez Centrum konfiguracji -> Licencja. W rezultacie widzimy:

Wszystko jest gotowe. Możesz zacząć pracować.

Krok 3. Montaż odbiornika na kolektorze

Na tym etapie należy zdecydować w jaki sposób system będzie odbierał dane ze źródeł. Jak powiedzieliśmy wcześniej, może to być jeden z protokołów przepływu lub port SPAN na przełączniku.

W naszym przykładzie wykorzystamy odbiór danych za pomocą protokołów NetFlow v9 i IPFIX. W tym przypadku jako docelowy podajemy adres IP interfejsu zarządzania - 192.168.78.198. Interfejsy eth2 i eth3 (z typem interfejsu Monitoring) służą do odbierania kopii „surowego” ruchu z portu SPAN przełącznika. To my ich przepuściliśmy, nie nasza sprawa.
Następnie sprawdzamy port kolektora, do którego powinien zmierzać ruch.

W naszym przypadku kolektor nasłuchuje ruchu na porcie UDP/2055.

Krok 4. Konfiguracja sprzętu sieciowego do eksportu przepływu

Konfigurację NetFlow na sprzęcie Cisco Systems można chyba nazwać całkowicie typowym zadaniem każdego administratora sieci. W naszym przykładzie weźmiemy coś bardziej niezwykłego. Na przykład router MikroTik RB2011UiAS-2HnD. Tak, co dziwne, takie budżetowe rozwiązanie dla małych i domowych biur obsługuje także protokoły NetFlow v5/v9 i IPFIX. W ustawieniach ustaw cel (adres kolektora 192.168.78.198 i port 2055):

I dodaj wszystkie dane dostępne do eksportu:

W tym momencie możemy powiedzieć, że podstawowa konfiguracja została zakończona. Sprawdzamy, czy do systemu dociera ruch.

Krok 5: Testowanie i obsługa modułu monitorowania i diagnostyki wydajności sieci

W sekcji możesz sprawdzić obecność ruchu ze źródła Centrum Monitorowania Flowmon –> Źródła:

Widzimy, że dane trafiają do systemu. Jakiś czas po zgromadzeniu ruchu przez moduł zbierający, widżety zaczną wyświetlać informacje:

System zbudowany jest na zasadzie drążenia w dół. Oznacza to, że użytkownik wybierając interesujący go fragment na diagramie lub wykresie „schodzi” do poziomu głębokości danych, którego potrzebuje:

Aż do informacji o każdym połączeniu sieciowym i połączeniu:

Krok 6. Moduł bezpieczeństwa wykrywania anomalii

Moduł ten można nazwać być może jednym z najciekawszych, dzięki wykorzystaniu metod bez sygnatur do wykrywania anomalii w ruchu sieciowym i szkodliwej aktywności sieciowej. Nie jest to jednak odpowiednik systemów IDS/IPS. Pracę z modułem rozpoczynamy od jego „szkolenia”. W tym celu specjalny kreator określa wszystkie kluczowe komponenty i usługi sieci, w tym:

adresy bram, serwerów DNS, DHCP i NTP,
adresowanie w segmentach użytkowników i serwerów.

Następnie system przechodzi w tryb szkoleniowy, który trwa średnio od 2 tygodni do 1 miesiąca. W tym czasie system generuje ruch bazowy, specyficzny dla naszej sieci. Mówiąc najprościej, system uczy się:

jakie zachowanie jest typowe dla węzłów sieci?
Jakie ilości danych są zazwyczaj przesyłane i są normalne dla sieci?
Jaki jest typowy czas pracy użytkowników?
jakie aplikacje działają w sieci?
i wiele więcej..

W rezultacie otrzymujemy narzędzie, które identyfikuje wszelkie anomalie w naszej sieci i odchylenia od typowych zachowań. Oto kilka przykładów, które system umożliwia wykrycie:

dystrybucja nowego szkodliwego oprogramowania w sieci, które nie jest wykrywane przez sygnatury antywirusowe;
budowanie DNS, ICMP lub innych tuneli i przesyłanie danych z pominięciem firewalla;
pojawienie się w sieci nowego komputera udającego serwer DHCP i/lub DNS.

Zobaczymy jak to wygląda na żywo. Po przeszkoleniu systemu i zbudowaniu podstawy ruchu sieciowego zaczyna on wykrywać zdarzenia:

Strona główna modułu to oś czasu wyświetlająca zidentyfikowane zdarzenia. W naszym przykładzie widzimy wyraźny skok, w przybliżeniu między 9 a 16 godziną. Wybierzmy to i spójrzmy bardziej szczegółowo.

Wyraźnie widać anomalne zachowanie atakującego w sieci. Wszystko zaczyna się od tego, że host o adresie 192.168.3.225 rozpoczął poziome skanowanie sieci na porcie 3389 (usługa Microsoft RDP) i znalazł 14 potencjalnych „ofiar”:

Następujący zarejestrowany incydent - host 192.168.3.225 rozpoczyna atak brute-force na hasła w usłudze RDP (port 3389) pod wcześniej zidentyfikowanymi adresami:

W wyniku ataku na jednym z zaatakowanych hostów zostaje wykryta anomalia SMTP. Innymi słowy, rozpoczął się SPAM:

Przykład ten jest czytelną demonstracją możliwości systemu, a w szczególności modułu Anomaly Detection Security. Sami oceńcie skuteczność. Na tym kończy się przegląd funkcjonalny rozwiązania.

wniosek

Podsumujmy jakie wnioski możemy wyciągnąć na temat Flowmon:

Flowmon to rozwiązanie premium dla klientów korporacyjnych;
dzięki swojej wszechstronności i kompatybilności gromadzenie danych jest możliwe z dowolnego źródła: sprzętu sieciowego (Cisco, Juniper, HPE, Huawei...) lub własnych sond (Flowmon Probe);
Możliwości skalowalności rozwiązania pozwalają na rozszerzanie funkcjonalności systemu poprzez dodawanie nowych modułów, a także zwiększanie produktywności dzięki elastycznemu podejściu do licencjonowania;
dzięki zastosowaniu technologii analizy bez sygnatur system pozwala wykryć ataki dnia zerowego nawet nieznane programom antywirusowym i systemom IDS/IPS;
dzięki całkowitej „przejrzystości” w zakresie instalacji i obecności systemu w sieci – rozwiązanie nie wpływa na działanie pozostałych węzłów i komponentów Twojej infrastruktury IT;
Flowmon to jedyne rozwiązanie na rynku obsługujące monitorowanie ruchu z prędkością do 100 Gbps;
Flowmon to rozwiązanie dla sieci dowolnej skali;
najlepszy stosunek ceny do funkcjonalności wśród podobnych rozwiązań.

W tym przeglądzie sprawdziliśmy mniej niż 10% całkowitej funkcjonalności rozwiązania. W następnym artykule porozmawiamy o pozostałych modułach Flowmon Networks. Na przykładzie modułu Monitoring Wydajności Aplikacji pokażemy, jak administratorzy aplikacji biznesowych mogą zapewnić dostępność na danym poziomie SLA, a także możliwie najszybciej zdiagnozować problemy.

Zapraszamy również na nasze webinarium (10.09.2019) poświęcone rozwiązaniom producenta Flowmon Networks. Prosimy o wcześniejszą rejestrację Rejestracja tutaj.
To wszystko na teraz, dziękujemy za zainteresowanie!

W ankiecie mogą brać udział tylko zarejestrowani użytkownicy. Zaloguj się, Proszę.

Czy używasz Netflow do monitorowania sieci?

Tak
Nie, ale mam zamiar
Nie

Głosowało 9 użytkowników. 3 użytkowników wstrzymało się od głosu.

Źródło: www.habr.com

Monitorowanie sieci i wykrywanie anomalnej aktywności sieciowej z wykorzystaniem rozwiązań Flowmon Networks