د شبکې څارنه او د فلومون شبکې حلونو په کارولو سره د شبکې غیر منظم فعالیت کشف کول

په دې وروستیو کې، تاسو کولی شئ په انټرنیټ کې د موضوع په اړه خورا لوی مواد ومومئ. د شبکې په چوکاټ کې د ترافیک تحلیل. په ورته وخت کې، د ځینو دلیلونو لپاره هرڅوک په بشپړه توګه هیر شوي د محلي ترافیک تحلیل، کوم چې لږ مهم ندي. دا مقاله دقیقا دې موضوع ته ګوته نیسي. د مثال په ډول د فلومون شبکې موږ به ښه زوړ Netflow (او د هغې بدیلونه) په یاد ولرو، په زړه پورې قضیې وګورو، په شبکه کې ممکنه ګډوډي او د حل ګټې ومومئ کله چې ټوله شبکه د یو واحد سینسر په توګه کار کوي. او تر ټولو مهم، تاسو کولی شئ د محلي ترافیک دا ډول تحلیل په بشپړ ډول وړیا ترسره کړئ، د محاکمې جواز په چوکاټ کې (د 45 ورځو). که موضوع ستاسو لپاره په زړه پورې وي، بلی ته ښه راغلاست. که تاسو په لوستلو کې ډیر سست یاست ، نو ، مخکې لېدلئ ، تاسو کولی شئ نوم لیکنه وکړئ راتلونکی ویبینار، چیرې چې موږ به تاسو ته هرڅه وښیو او ووایو (تاسو کولی شئ هلته د راتلونکي محصول روزنې په اړه هم زده کړئ).

د فلومون شبکې څه شی دی؟

له هرڅه دمخه ، فلومون د اروپا IT پلورونکی دی. دا شرکت چک دی چې مرکزي دفتر یې په برنو کې دی (د بندیزونو مسله حتی راپورته شوې نه ده). په خپل اوسني شکل کې، شرکت د 2007 راهیسې په بازار کې دی. مخکې، دا د Invea-Tech برانډ لاندې پیژندل شوی و. نو، په مجموع کې، نږدې 20 کاله د محصولاتو او حلونو په پراختیا کې مصرف شوي.

فلومون د A- ټولګي برانډ په توګه موقعیت لري. د تصدۍ پیرودونکو لپاره پریمیم حلونه رامینځته کوي او د شبکې فعالیت نظارت او تشخیص (NPMD) لپاره د ګارټینر بکسونو کې پیژندل شوي. سربیره پردې ، په زړه پورې خبره دا ده چې په راپور کې د ټولو شرکتونو څخه ، فلومون یوازینی پلورونکی دی چې د ګارټینر لخوا د شبکې نظارت او معلوماتو محافظت (د شبکې چلند تحلیل) لپاره د حلونو جوړونکي په توګه یادونه شوې. دا تر اوسه لومړی ځای نه نیسي، مګر د دې له امله دا د بوینګ وزر په څیر نه ودریږي.

محصول کومې ستونزې حل کوي؟

په نړیواله کچه، موږ کولی شو د دندو د لاندې حوض توپیر وکړو چې د شرکت محصولاتو لخوا حل شوي:

1. د شبکې ثبات زیاتول، او همدارنګه د شبکې سرچینې، د دوی د کم وخت او نه شتون په کمولو سره؛
2. د شبکې د فعالیت عمومي کچه لوړول؛
3. د اداري پرسونل د موثریت د زیاتوالي له امله:
   • د IP جریانونو په اړه د معلوماتو پراساس د عصري شبکې څارنې وسیلو کارول؛
   • د شبکې د فعالیت او حالت په اړه مفصل تحلیلونه چمتو کول - کاروونکي او غوښتنلیکونه چې په شبکه کې روان دي، لیږدول شوي ډاټا، د اړیکو سرچینې، خدمات او نوډونه؛
   • پیښو ته ځواب ویل مخکې له دې چې پیښ شي، او نه وروسته له دې چې کاروونکي او پیرودونکي خدمت له لاسه ورکړي؛
   • د شبکې او معلوماتي ټیکنالوژۍ زیربنا اداره کولو لپاره اړین وخت او سرچینې کمول؛
   • د ستونزو د حل کولو دندو ساده کول.
4. د شبکې د امنیت کچې لوړول او د تصدۍ د معلوماتو سرچینې، د غیر السلیک ټیکنالوژیو کارولو له لارې د غیر نامناسب او ناوړه شبکې فعالیت کشف کولو لپاره، او همدارنګه د "صفر ورځ بریدونه"؛
5. د شبکې غوښتنلیکونو او ډیټابیسونو لپاره د SLA اړین کچې ډاډ ترلاسه کول.

د فلومون شبکې محصول پورټ فولیو

اوس راځئ چې مستقیم د فلومون شبکې محصول پورټ فولیو ته وګورو او ومومئ چې واقعیا شرکت څه کوي. لکه څنګه چې ډیری دمخه د نوم څخه اټکل کړی ، اصلي تخصص د جریان جریان ترافیک نظارت لپاره حلونو کې دی ، او یو شمیر اضافي ماډلونه چې لومړني فعالیت پراخوي.

په حقیقت کې، فلومون د یو محصول شرکت بلل کیدی شي، یا بلکه، یو حل. راځئ چې معلومه کړو چې دا ښه یا بد دی.

د سیسټم اصلي راټولونکی دی ، کوم چې د مختلف جریان پروتوکولونو په کارولو سره د معلوماتو راټولولو مسؤلیت لري ، لکه NetFlow v5/v9، jFlow، sFlow، NetStream، IPFIX... دا خورا منطقي ده چې د هغه شرکت لپاره چې د شبکې تجهیزاتو جوړونکي سره تړاو نلري، دا مهمه ده چې بازار ته یو نړیوال محصول وړاندې کړي چې په هیڅ یو معیار یا پروتوکول پورې تړلی نه وي.

فلومون کلکټر

راټولونکی دواړه د هارډویر سرور او د مجازی ماشین (VMware، Hyper-V، KVM) په توګه شتون لري. په هرصورت ، د هارډویر پلیټ فارم په دودیز شوي DELL سرورونو کې پلي کیږي ، کوم چې په اتوماتيک ډول د تضمین او RMA سره ډیری مسلې له مینځه وړي. یوازې د ملکیت هارډویر اجزا د FPGA ترافیک نیول کارتونه دي چې د فلومون فرعي شرکت لخوا رامینځته شوي ، کوم چې تر 100 Gbps سرعت کې نظارت ته اجازه ورکوي.

مګر څه باید وکړو که چیرې د شبکې موجوده تجهیزات د لوړ کیفیت جریان تولید نشي کولی؟ یا د تجهیزاتو بار ډیر لوړ دی؟ هیڅ ستونزه:

فلومون ستونزه

په دې حالت کې، د فلومون شبکې وړاندیز کوي چې د خپلو تحقیقاتو (Flowmon Probe) کارولو لپاره، کوم چې د سویچ د SPAN بندر له لارې د شبکې سره وصل شوي یا د غیر فعال TAP سپلیټرونو په کارولو سره.

SPAN (د عکس بندر) او د TAP پلي کولو اختیارونه

په دې حالت کې، خام ټرافيک چې د فلومون پروب ته راځي په پراخ شوي IPFIX کې بدلیږي چې نور لري د معلوماتو سره 240 میټریکونه. پداسې حال کې چې د شبکې تجهیزاتو لخوا رامینځته شوي معیاري NetFlow پروتوکول له 80 میټریکونو څخه ډیر نلري. دا د پروتوکول لید ته اجازه ورکوي نه یوازې په 3 او 4 کچه بلکې د ISO OSI ماډل سره سم په 7 کچه هم. د پایلې په توګه، د شبکې مدیران کولی شي د غوښتنلیکونو او پروتوکولونو فعالیت وڅاري لکه بریښنالیک، HTTP، DNS، SMB ...

په تصور کې، د سیسټم منطقي جوړښت داسې ښکاري:

د ټول Flowmon شبکې مرکزي برخه "ایکوسیستم" جمع کونکی دی، کوم چې د موجوده شبکې تجهیزاتو یا د خپلو تحقیقاتو (Probe) څخه ترافیک ترلاسه کوي. مګر د تصدۍ حل لپاره ، یوازې د شبکې ترافیک نظارت لپاره فعالیت چمتو کول به خورا ساده وي. د خلاصې سرچینې حلونه هم دا کولی شي ، که څه هم د داسې فعالیت سره ندي. د فلومون ارزښت اضافي ماډلونه دي چې بنسټیز فعالیت پراخوي:

• موډل د بې نظمۍ کشف امنیت - د غیر معمولي شبکې فعالیت پیژندنه، په شمول د صفر ورځني بریدونو په شمول، د ټرافیک د تحلیلي تحلیل او د شبکې ځانګړي پروفایل پراساس؛
• موډل د غوښتنلیک د کړنې څارنه - د "اجنټانو" نصبولو او د هدف سیسټمونو اغیزه کولو پرته د شبکې غوښتنلیکونو فعالیت څارنه؛
• موډل د ترافیک ریکارډر - د مخکینۍ ټاکل شوي مقرراتو له مخې یا د ADS ماډل څخه د محرک له مخې د شبکې ټرافيکي ټوټې ثبت کول، د نورو ستونزو حل کولو او / یا د معلوماتو امنیتي پیښو تحقیق لپاره؛
• موډل د DDoS ساتنه - د حجمیتریک DoS/DDoS د خدماتو بریدونو انکار څخه د شبکې محیط محافظت ، په شمول په غوښتنلیکونو باندې بریدونه (OSI L3/L4/L7).

پدې مقاله کې ، موږ به وګورو چې څنګه هرڅه د 2 ماډلونو مثال په کارولو سره ژوند کوي - د شبکې فعالیت څارنه او تشخیص и د بې نظمۍ کشف امنیت.
لومړني معلومات:

• Lenovo RS 140 سرور د VMware 6.0 hypervisor سره؛
• د فلومون کلکټر مجازی ماشین عکس چې تاسو یې کولی شئ دلته ډاونلوډ کړئ;
• د سویچونو یوه جوړه د جریان پروتوکولونو ملاتړ کوي.

مرحله 1. د فلومون کلکټر نصب کړئ

په VMware کې د مجازی ماشین ځای په ځای کول د OVF ټیمپلیټ څخه په بشپړ ډول معیاري ډول پیښیږي. د پایلې په توګه ، موږ یو مجازی ماشین ترلاسه کوو چې CentOS چلوي او د کارونې لپاره چمتو سافټویر سره. د سرچینو اړتیاوې انساني دي:

ټول هغه څه چې پاتې دي د کمانډ په کارولو سره لومړني پیل کول دي sysconfig:

موږ د مدیریت بندر، DNS، وخت، کوربه نوم کې IP تنظیم کوو او کولی شو د ویب انٹرفیس سره وصل کړو.

مرحله 2. د جواز نصب کول

د یوې نیمې میاشتې لپاره د آزموینې جواز رامینځته شوی او د مجازی ماشین عکس سره ډاونلوډ شوی. له لارې بار شوی د تنظیم کولو مرکز -> جواز. په پایله کې موږ ګورو:

ټول چمتو دي. تاسو کولی شئ کار پیل کړئ.

مرحله 3. په راټولونکي کې د رسیدونکي تنظیم کول

پدې مرحله کې، تاسو اړتیا لرئ پریکړه وکړئ چې سیسټم به څنګه د سرچینو څخه ډاټا ترلاسه کړي. لکه څنګه چې موږ مخکې وویل، دا کیدای شي د فلو پروتوکولونو څخه یو وي یا په سویچ کې د SPAN بندر.

زموږ په مثال کې، موږ به د پروتوکولونو په کارولو سره د معلوماتو استقبال وکاروو NetFlow v9 او IPFIX. په دې حالت کې، موږ د مدیریت انٹرفیس IP پته د هدف په توګه مشخص کوو - 192.168.78.198. eth2 او eth3 انٹرفیسونه (د څارنې د انٹرفیس ډول سره) د سویچ د SPAN بندر څخه د "خام" ترافیک کاپي ترلاسه کولو لپاره کارول کیږي. موږ دوی پریږدو، نه زموږ قضیه.
بیا ، موږ د کلکټر بندر ګورو چیرې چې ترافیک باید لاړ شي.

زموږ په قضیه کې، راټولونکی په بندر UDP/2055 کې ټرافیک ته غوږ نیسي.

4 ګام. د جریان صادرولو لپاره د شبکې تجهیزات ترتیب کول

د سیسکو سیسټم تجهیزاتو کې د نیټ فلو تنظیم کول شاید د هرې شبکې مدیر لپاره په بشپړ ډول عام دنده وبلل شي. زموږ د مثال لپاره، موږ به یو څه نور غیر معمولي واخلو. د مثال په توګه، MikroTik RB2011UiAS-2HnD روټر. هو، په عجیب ډول، د وړو او کور دفترونو لپاره دا ډول بودیجه حل هم د NetFlow v5/v9 او IPFIX پروتوکولونو ملاتړ کوي. په ترتیباتو کې، هدف وټاکئ (د راټولونکي پته 192.168.78.198 او پورټ 2055):

او د صادراتو لپاره موجود ټول میټریکونه اضافه کړئ:

پدې مرحله کې موږ کولی شو ووایو چې بنسټیز ترتیب بشپړ شوی. موږ ګورو چې ایا ترافیک سیسټم ته ننوځي.

5 ګام: د شبکې د فعالیت نظارت او تشخیص ماډل ازموینه او عملیات

تاسو کولی شئ په برخه کې د سرچینې څخه د ترافیک شتون وګورئ د فلومون د څارنې مرکز –> سرچینې:

موږ ګورو چې ډاټا سیسټم ته ننوځي. یو څه وخت وروسته چې راټولونکی ترافیک راټول کړي ، ویجټونه به د معلوماتو ښودلو پیل وکړي:

سیسټم د ډرل ډاؤن اصولو باندې جوړ شوی. دا دی، کاروونکي، کله چې په ډیاګرام یا ګراف کې د ګټو یوه ټوټه غوره کوي، د ډیټا ژورې کچې ته "ټکیږي" چې هغه ورته اړتیا لري:

د هرې شبکې اتصال او اتصال په اړه معلوماتو ته ښکته کول:

6 ګام. د بې نظمۍ کشف امنیتي ماډل

دا ماډل شاید یو له خورا په زړه پورې وبلل شي ، د شبکې ترافیک او ناوړه شبکې فعالیت کې د ګډوډي موندلو لپاره د لاسلیک څخه پاک میتودونو کارولو څخه مننه. مګر دا د IDS/IPS سیسټمونو انالوګ ندی. د ماډل سره کار کول د هغې "روزنې" سره پیل کیږي. د دې کولو لپاره، یو ځانګړی وزرډ د شبکې ټولې کلیدي برخې او خدمات مشخص کوي، په شمول:

• د دروازې پتې، DNS، DHCP او NTP سرورونه،
• د کارونکي او سرور برخو کې پته ورکول.

له دې وروسته، سیسټم د روزنې حالت ته ځي، کوم چې په اوسط ډول له 2 اونیو څخه تر 1 میاشتې پورې دوام کوي. د دې وخت په جریان کې، سیسټم اساسی ترافیک رامینځته کوي چې زموږ شبکې ته ځانګړی دی. په ساده ډول، سیسټم زده کوي:

• د شبکې نوډونو لپاره کوم چلند معمول دی؟
• د معلوماتو کوم مقدار عموما لیږدول کیږي او د شبکې لپاره نورمال دي؟
• د کاروونکو لپاره عادي عملیاتي وخت څه دی؟
• کوم غوښتنلیکونه په شبکه کې چلیږي؟
• او نور زیات..

د پایلې په توګه، موږ داسې وسیله ترلاسه کوو چې زموږ په شبکه کې هر ډول بې نظمۍ او د عادي چلند څخه انحرافات پیژني. دلته یو څو مثالونه دي چې سیسټم تاسو ته اجازه درکوي کشف کړئ:

• په شبکه کې د نوي مالویر توزیع چې د انټي ویروس لاسلیکونو لخوا ندي کشف شوي؛
• د DNS، ICMP یا نورو تونلونو جوړول او د اور وژنې له لارې د معلوماتو لیږدول؛
• په شبکه کې د نوي کمپیوټر ظاهري بڼه د DHCP او/یا DNS سرور په توګه.

راځئ وګورو چې دا په ژوندۍ بڼه څه ښکاري. وروسته له دې چې ستاسو سیسټم روزل شوی او د شبکې ترافیک اساسی کرښه رامینځته شوی ، دا د پیښو کشف کول پیل کوي:

د ماډل اصلي پاڼه یو مهال ویش دی چې پیژندل شوي پیښې څرګندوي. زموږ په مثال کې، موږ یو روښانه سپک ګورو، نږدې د 9 او 16 ساعتونو ترمنځ. راځئ چې دا غوره کړو او په ډیر تفصیل سره وګورو.

په شبکه کې د برید کونکي غیر معمولي چلند په ښکاره ډول لیدل کیږي. دا ټول د دې حقیقت سره پیل کیږي چې کوربه د 192.168.3.225 پته سره په 3389 پورټ (د مایکروسافټ RDP خدمت) کې د شبکې افقی سکین پیل کړ او 14 احتمالي "قربانیان" یې وموندل:

и

لاندې ثبت شوې پیښه - کوربه 192.168.3.225 د RDP خدمت (پورټ 3389) کې په مخکینۍ پیژندل شوي پته کې د وحشي ځواک پاسورډونو لپاره د وحشي ځواک برید پیل کوي:

د برید په پایله کې، یو هیک شوي کوربه کې د SMTP بې نظمۍ کشف شوې. په بل عبارت، سپیم پیل شوی دی:

دا بیلګه د سیسټم وړتیا او په ځانګړي توګه د انومالي کشف امنیت ماډل روښانه څرګندونه ده. د ځان لپاره اغیزمنتوب قضاوت وکړئ. دا د حل فعاله کتنه پای ته رسوي.

پایلې

راځئ چې لنډیز وکړو چې موږ د فلومون په اړه کومې پایلې اخلو:

• فلومون د کارپوریټ پیرودونکو لپاره یو پریمیم حل دی؛
• د دې استقامت او مطابقت څخه مننه ، د معلوماتو راټولول له هرې سرچینې څخه شتون لري: د شبکې تجهیزات (سسکو، جونیپر، HPE، Huawei...) یا ستاسو خپل تحقیقات (Flowmon Probe)؛
• د حل د اندازې وړتیا وړتیا تاسو ته اجازه درکوي د نوي ماډلونو په اضافه کولو سره د سیسټم فعالیت پراخه کړئ ، او همدارنګه د جواز ورکولو لپاره د انعطاف وړ چلند څخه مننه د تولید کچه لوړه کړئ؛
• د لاسلیک څخه پاک تحلیلي ټیکنالوژیو کارولو له لارې، سیسټم تاسو ته اجازه درکوي د صفر ورځې بریدونه کشف کړئ حتی د انټي ویروسونو او IDS/IPS سیسټمونو لپاره نامعلوم؛
• په شبکه کې د سیسټم نصب او شتون په شرایطو کې د "شفافیت" بشپړولو څخه مننه - حل ستاسو د معلوماتي ټیکنالوژۍ زیربنا د نورو نوډونو او برخو په عملیاتو اغیزه نه کوي؛
• فلومون په بازار کې یوازینی حل دی چې تر 100 Gbps سرعت کې د ترافیک نظارت ملاتړ کوي؛
• فلومون د هرې کچې شبکې لپاره حل دی؛
• د ورته حلونو تر مینځ غوره قیمت / فعالیت تناسب.

په دې بیاکتنه کې، موږ د حل د ټول فعالیت 10٪ څخه لږ معاینه کړه. په راتلونکې مقاله کې به موږ د فلومون شبکې پاتې ماډلونو په اړه وغږیږو. د مثال په توګه د غوښتنلیک د فعالیت نظارت ماډل کارول، موږ به وښیو چې څنګه د سوداګرۍ غوښتنلیک مدیران کولی شي په ټاکل شوي SLA کچه شتون ډاډمن کړي، او همدارنګه ژر تر ژره ستونزې تشخیص کړي.

همچنان ، موږ غواړو تاسو ته زموږ ویبینار (10.09.2019/XNUMX/XNUMX) ته بلنه درکړو چې د پلورونکي فلومون شبکې حلونو ته وقف شوي. مخکې له مخکې راجستر کولو لپاره، موږ له تاسو څخه غوښتنه کوو دلته راجستر کړئ.
دا ټول د اوس لپاره دي، ستاسو د علاقې لپاره مننه!

یوازې راجستر شوي کاروونکي کولی شي په سروې کې برخه واخلي. ننوزئمهرباني وکړئ

ایا تاسو د شبکې څارنې لپاره Netflow کاروئ؟

• چې

• نه، مګر زه پلان لرم

• نه

9 کاروونکو رایه ورکړه. 3 کاروونکي منع شوي.

سرچینه: www.habr.com