Recentemente, você pode encontrar uma grande quantidade de materiais sobre o tema na Internet. análise de tráfego no perímetro da rede. Ao mesmo tempo, por algum motivo, todos se esqueceram completamente análise de tráfego local, o que não é menos importante. Este artigo aborda precisamente este tópico. Por exemplo vamos relembrar o bom e velho Netflow (e suas alternativas), ver casos interessantes, possíveis anomalias na rede e descobrir as vantagens da solução quando toda a rede funciona como um único sensor. E o mais importante, você pode realizar essa análise do tráfego local de forma totalmente gratuita, no âmbito de uma licença de teste (Dia 45). Se o assunto for interessante para você, seja bem-vindo ao gato. Se você tem preguiça de ler, então, olhando para o futuro, você pode se inscrever no , onde mostraremos e contaremos tudo (você também pode aprender sobre os próximos treinamentos de produtos lá).
O que é redes Flowmon?
Em primeiro lugar, a Flowmon é um fornecedor europeu de TI. A empresa é checa, com sede em Brno (a questão das sanções nem sequer é levantada). Na sua forma atual, a empresa está no mercado desde 2007. Anteriormente, era conhecido pela marca Invea-Tech. Assim, no total, foram quase 20 anos dedicados ao desenvolvimento de produtos e soluções.
Flowmon está posicionada como uma marca de classe A. Desenvolve soluções premium para clientes corporativos e é reconhecida nas categorias do Gartner para Monitoramento e Diagnóstico de Desempenho de Rede (NPMD). Além disso, curiosamente, de todas as empresas no relatório, a Flowmon é o único fornecedor apontado pelo Gartner como fabricante de soluções para monitoramento de rede e proteção de informações (Network Behavior Analysis). Ainda não ocupa o primeiro lugar, mas por isso não se destaca como uma asa de Boeing.
Que problemas o produto resolve?
Globalmente, podemos distinguir o seguinte conjunto de tarefas resolvidas pelos produtos da empresa:
- aumentar a estabilidade da rede, bem como dos recursos da rede, minimizando o seu tempo de inatividade e indisponibilidade;
- aumentando o nível geral de desempenho da rede;
- aumentando a eficiência do pessoal administrativo devido a:
- utilização de ferramentas modernas e inovadoras de monitoramento de rede baseadas em informações sobre fluxos IP;
- fornecimento de análises detalhadas sobre o funcionamento e o estado da rede - usuários e aplicativos em execução na rede, dados transmitidos, recursos, serviços e nós em interação;
- responder a incidentes antes que eles aconteçam, e não depois que usuários e clientes perderem o serviço;
- reduzindo o tempo e os recursos necessários para administrar a rede e a infraestrutura de TI;
- simplificando tarefas de solução de problemas.
- aumentar o nível de segurança da rede e dos recursos de informação da empresa, através da utilização de tecnologias sem assinatura para detecção de atividades anómalas e maliciosas na rede, bem como “ataques de dia zero”;
- garantindo o nível exigido de SLA para aplicativos de rede e bancos de dados.
Portfólio de produtos da Flowmon Networks
Agora vamos dar uma olhada direta no portfólio de produtos da Flowmon Networks e descobrir o que exatamente a empresa faz. Como muitos já adivinharam pelo nome, a principal especialização está em soluções para monitoramento de tráfego de fluxo de streaming, além de uma série de módulos adicionais que ampliam a funcionalidade básica.
Na verdade, a Flowmon pode ser chamada de empresa de um produto, ou melhor, de uma solução. Vamos descobrir se isso é bom ou ruim.
O núcleo do sistema é o coletor, que é responsável por coletar dados utilizando diversos protocolos de fluxo, como NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... É bastante lógico que para uma empresa não afiliada a nenhum fabricante de equipamentos de rede, seja importante oferecer ao mercado um produto universal que não esteja vinculado a nenhum padrão ou protocolo.
Coletor Flowmon
O coletor está disponível como servidor de hardware e como máquina virtual (VMware, Hyper-V, KVM). A propósito, a plataforma de hardware é implementada em servidores DELL customizados, o que elimina automaticamente a maioria dos problemas de garantia e RMA. Os únicos componentes de hardware proprietários são placas de captura de tráfego FPGA desenvolvidas por uma subsidiária da Flowmon, que permitem monitoramento em velocidades de até 100 Gbps.
Mas o que fazer se os equipamentos de rede existentes não forem capazes de gerar fluxo de alta qualidade? Ou a carga do equipamento é muito alta? Sem problemas:
Problema Flowmon
Neste caso, a Flowmon Networks sugere o uso de suas próprias sondas (Flowmon Probe), que são conectadas à rede através da porta SPAN do switch ou usando divisores TAP passivos.
Opções de implementação SPAN (porta espelho) e TAP
Neste caso, o tráfego bruto que chega ao Flowmon Probe é convertido em um IPFIX expandido contendo mais 240 métricas com informações. Embora o protocolo NetFlow padrão gerado por equipamentos de rede não contenha mais de 80 métricas. Isto permite a visibilidade do protocolo não apenas nos níveis 3 e 4, mas também no nível 7 de acordo com o modelo ISO OSI. Como resultado, os administradores de rede podem monitorar o funcionamento de aplicações e protocolos como e-mail, HTTP, DNS, SMB...
Conceitualmente, a arquitetura lógica do sistema é assim:
A parte central de todo o “ecossistema” da Flowmon Networks é o Coletor, que recebe tráfego de equipamentos de rede existentes ou de suas próprias sondas (Probe). Mas para uma solução empresarial, fornecer funcionalidade apenas para monitorar o tráfego de rede seria muito simples. Soluções Open Source também podem fazer isso, embora não com esse desempenho. O valor do Flowmon são módulos adicionais que expandem a funcionalidade básica:
- módulo Segurança de detecção de anomalias – identificação de atividades anómalas na rede, incluindo ataques de dia zero, com base na análise heurística do tráfego e num perfil de rede típico;
- módulo Monitoramento de desempenho de aplicativos – monitorar o desempenho das aplicações de rede sem instalar “agentes” e influenciar os sistemas alvo;
- módulo Gravador de tráfego – registrar fragmentos de tráfego de rede de acordo com um conjunto de regras predefinidas ou de acordo com um gatilho do módulo ADS, para posterior solução de problemas e/ou investigação de incidentes de segurança da informação;
- módulo Proteção contra DDoS – proteção do perímetro da rede contra ataques volumétricos de negação de serviço DoS/DDoS, incluindo ataques a aplicativos (OSI L3/L4/L7).
Neste artigo, veremos como tudo funciona ao vivo usando o exemplo de 2 módulos - Monitoramento e diagnóstico de desempenho de rede и Segurança de detecção de anomalias.
Linha de base:
- Servidor Lenovo RS 140 com hipervisor VMware 6.0;
- Imagem de máquina virtual do Flowmon Collector que você pode ;
- um par de switches que suportam protocolos de fluxo.
Etapa 1. Instale o coletor Flowmon
A implantação de uma máquina virtual no VMware ocorre de maneira totalmente padrão a partir do modelo OVF. Como resultado, obtemos uma máquina virtual rodando CentOS e com software pronto para uso. Os requisitos de recursos são humanos:
Resta apenas realizar a inicialização básica usando o comando sysconfig:
Configuramos IP na porta de gerenciamento, DNS, horário, Hostname e podemos conectar na interface WEB.
Passo 2. Instalação da licença
Uma licença de teste por um mês e meio é gerada e baixada junto com a imagem da máquina virtual. Carregado via Centro de Configuração -> Licença. Como resultado vemos:
Tudo está pronto. Você pode começar a trabalhar.
Passo 3. Configurando o receptor no coletor
Nesta fase, você precisa decidir como o sistema receberá os dados das fontes. Como dissemos anteriormente, este pode ser um dos protocolos de fluxo ou uma porta SPAN no switch.
Em nosso exemplo, usaremos recepção de dados usando protocolos NetFlow v9 e IPFIX. Neste caso, especificamos o endereço IP da interface de gerenciamento como destino - 192.168.78.198. As interfaces eth2 e eth3 (com o tipo de interface Monitoring) são utilizadas para receber uma cópia do tráfego “bruto” da porta SPAN do switch. Nós os deixamos passar, não é o nosso caso.
A seguir, verificamos a porta coletora para onde o tráfego deve passar.
No nosso caso, o coletor escuta o tráfego na porta UDP/2055.
Passo 4. Configurando equipamentos de rede para exportação de fluxo
Configurar o NetFlow em equipamentos Cisco Systems provavelmente pode ser considerado uma tarefa completamente comum para qualquer administrador de rede. Para nosso exemplo, pegaremos algo mais incomum. Por exemplo, o roteador MikroTik RB2011UiAS-2HnD. Sim, por incrível que pareça, essa solução econômica para escritórios pequenos e domésticos também suporta os protocolos NetFlow v5/v9 e IPFIX. Nas configurações, defina o destino (endereço do coletor 192.168.78.198 e porta 2055):
E adicione todas as métricas disponíveis para exportação:
Neste ponto podemos dizer que a configuração básica está concluída. Verificamos se o tráfego está entrando no sistema.
Etapa 5: Teste e operação do módulo de monitoramento e diagnóstico de desempenho da rede
Você pode verificar a presença de tráfego da origem na seção Centro de monitoramento Flowmon –> Fontes:
Vemos que os dados estão entrando no sistema. Algum tempo após o coletor ter acumulado tráfego, os widgets começarão a exibir informações:
O sistema é construído com base no princípio de detalhamento. Ou seja, o usuário, ao selecionar um fragmento de interesse em um diagrama ou gráfico, “cai” ao nível de profundidade de dados que necessita:
Abaixo para informações sobre cada conexão de rede e conexão:
Etapa 6. Módulo de segurança para detecção de anomalias
Este módulo pode ser considerado talvez um dos mais interessantes, graças ao uso de métodos livres de assinatura para detectar anomalias no tráfego de rede e atividades maliciosas na rede. Mas este não é um análogo dos sistemas IDS/IPS. O trabalho com o módulo começa com o seu “treinamento”. Para fazer isso, um assistente especial especifica todos os principais componentes e serviços da rede, incluindo:
- endereços de gateway, servidores DNS, DHCP e NTP,
- endereçamento em segmentos de usuário e servidor.
Depois disso, o sistema entra em modo de treinamento, que dura em média de 2 semanas a 1 mês. Durante esse período, o sistema gera tráfego de linha de base específico da nossa rede. Simplificando, o sistema aprende:
- qual comportamento é típico para nós de rede?
- Quais volumes de dados são normalmente transferidos e são normais para a rede?
- Qual é o tempo de operação típico para os usuários?
- quais aplicativos são executados na rede?
- e muito mais..
Como resultado, obtemos uma ferramenta que identifica eventuais anomalias em nossa rede e desvios de comportamento típico. Aqui estão alguns exemplos que o sistema permite detectar:
- distribuição de novos malwares na rede que não são detectados pelas assinaturas de antivírus;
- construir DNS, ICMP ou outros túneis e transmitir dados contornando o firewall;
- o aparecimento de um novo computador na rede se passando por um servidor DHCP e/ou DNS.
Vamos ver como fica ao vivo. Depois que seu sistema tiver sido treinado e construído uma linha de base de tráfego de rede, ele começará a detectar incidentes:
A página principal do módulo é uma linha do tempo que exibe os incidentes identificados. Em nosso exemplo, vemos um aumento claro, aproximadamente entre 9 e 16 horas. Vamos selecioná-lo e ver com mais detalhes.
O comportamento anômalo do invasor na rede é claramente visível. Tudo começa com o fato de que o host com endereço 192.168.3.225 iniciou uma varredura horizontal da rede na porta 3389 (serviço Microsoft RDP) e encontrou 14 potenciais “vítimas”:
и
O seguinte incidente registrado - host 192.168.3.225 inicia um ataque de força bruta às senhas de força bruta no serviço RDP (porta 3389) nos endereços previamente identificados:
Como resultado do ataque, uma anomalia SMTP é detectada em um dos hosts invadidos. Em outras palavras, o SPAM começou:
Este exemplo é uma demonstração clara das capacidades do sistema e do módulo Segurança de Detecção de Anomalias em particular. Julgue a eficácia por si mesmo. Isso conclui a visão geral funcional da solução.
Conclusão
Vamos resumir as conclusões que podemos tirar sobre o Flowmon:
- Flowmon é uma solução premium para clientes corporativos;
- graças à sua versatilidade e compatibilidade, a recolha de dados está disponível a partir de qualquer fonte: equipamentos de rede (Cisco, Juniper, HPE, Huawei...) ou das suas próprias sondas (Flowmon Probe);
- Os recursos de escalabilidade da solução permitem expandir a funcionalidade do sistema adicionando novos módulos, bem como aumentar a produtividade graças a uma abordagem flexível de licenciamento;
- através do uso de tecnologias de análise sem assinatura, o sistema permite detectar ataques de dia zero, mesmo desconhecidos por antivírus e sistemas IDS/IPS;
- graças à total “transparência” em termos de instalação e presença do sistema na rede - a solução não afeta o funcionamento de outros nós e componentes da sua infraestrutura de TI;
- Flowmon é a única solução do mercado que suporta monitoramento de tráfego em velocidades de até 100 Gbps;
- Flowmon é uma solução para redes de qualquer escala;
- a melhor relação preço/funcionalidade entre soluções similares.
Nesta revisão, examinamos menos de 10% da funcionalidade total da solução. No próximo artigo falaremos sobre os módulos restantes da Flowmon Networks. Usando o módulo Application Performance Monitoring como exemplo, mostraremos como os administradores de aplicativos de negócios podem garantir a disponibilidade em um determinado nível de SLA, bem como diagnosticar problemas o mais rápido possível.
Além disso, gostaríamos de convidá-lo para nosso webinar (10.09.2019/XNUMX/XNUMX) dedicado às soluções do fornecedor Flowmon Networks. Para pré-registo, pedimos-lhe .
Por enquanto é tudo, obrigado pelo seu interesse!
Apenas usuários registrados podem participar da pesquisa. por favor
Você está usando o Netflow para monitoramento de rede?
-
Sim
-
Não, mas pretendo
-
Não
9 usuários votaram. 3 usuários se abstiveram.
Fonte: habr.com