Monitorovanie siete a detekcia anomálnej aktivity siete pomocou riešení Flowmon Networks

V poslednej dobe nájdete na internete obrovské množstvo materiálov k danej téme. analýzu návštevnosti na perimetri siete. Zároveň z nejakého dôvodu všetci úplne zabudli analýza miestnej dopravy, čo je nemenej dôležité. Tento článok sa zaoberá práve touto témou. Napríklad Flowmon Networks spomenieme si na starý dobrý Netflow (a jeho alternatívy), pozrieme sa na zaujímavé prípady, možné anomálie v sieti a zistíme výhody riešenia, keď celá sieť funguje ako jeden senzor. A čo je najdôležitejšie, takúto analýzu miestnej dopravy môžete vykonať úplne zadarmo v rámci skúšobnej licencie (45 dni). Ak je pre vás téma zaujímavá, vitajte v kat. Ak ste príliš leniví na čítanie, môžete sa s výhľadom do budúcnosti zaregistrovať nadchádzajúci webinár, kde vám všetko ukážeme a povieme (dozviete sa tam aj o pripravovaných produktových školeniach).

Čo je Flowmon Networks?

Po prvé, Flowmon je európsky IT predajca. Firma je česká, so sídlom v Brne (otázka sankcií nie je ani nastolená). V súčasnej podobe je spoločnosť na trhu od roku 2007. Predtým bola známa pod značkou Invea-Tech. Celkovo sa teda vývoju produktov a riešení venovalo takmer 20 rokov.

Flowmon je umiestnená ako značka triedy A. Vyvíja prémiové riešenia pre podnikových zákazníkov a je známy v rebríčkoch Gartner v smere Network Performance Monitoring and Diagnostics (NPMD). Navyše je zaujímavé, že zo všetkých spoločností v správe je Flowmon jediným dodávateľom, ktorého Gartner označil ako výrobcu riešení pre monitorovanie siete a ochranu informácií (Network Behavior Analysis). Zatiaľ nie je na prvom mieste, ale vďaka tomu nestojí ako krídlo Boeingu.

Aké problémy produkt rieši?

Globálne môžeme rozlíšiť nasledujúci okruh úloh, ktoré riešia produkty spoločnosti:

1. zvýšenie stability siete, ako aj sieťových zdrojov, minimalizáciou ich prestojov a nedostupnosti;
2. zvýšenie celkovej úrovne výkonu siete;
3. zvýšenie efektívnosti administratívneho personálu vďaka:
   • používanie moderných inovatívnych nástrojov na monitorovanie siete založených na informáciách o tokoch IP;
   • poskytovanie podrobných analýz o fungovaní a stave siete – používatelia a aplikácie bežiace na sieti, prenášané dáta, interagujúce zdroje, služby a uzly;
   • reagovať na incidenty skôr, ako k nim dôjde, a nie potom, čo používatelia a klienti stratia službu;
   • zníženie času a zdrojov potrebných na správu siete a IT infraštruktúry;
   • zjednodušenie úloh pri odstraňovaní problémov.
4. zvýšenie úrovne bezpečnosti siete a informačných zdrojov podniku pomocou technológií bez podpisu na zisťovanie anomálnych a škodlivých sieťových aktivít, ako aj „útokov nultého dňa“;
5. zabezpečenie požadovanej úrovne SLA pre sieťové aplikácie a databázy.

Portfólio produktov Flowmon Networks

Teraz sa pozrime priamo na portfólio produktov Flowmon Networks a zistime, čo presne spoločnosť robí. Ako už mnohí z názvu tušili, hlavná špecializácia je v riešeniach pre sledovanie streamingovej prevádzky plus množstvo doplnkových modulov, ktoré rozširujú základnú funkcionalitu.

V skutočnosti možno Flowmon nazvať spoločnosťou jedného produktu alebo skôr jedného riešenia. Poďme zistiť, či je to dobré alebo zlé.

Jadrom systému je kolektor, ktorý má na starosti zber dát pomocou rôznych tokových protokolov, ako napr NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Je celkom logické, že pre spoločnosť, ktorá nie je prepojená so žiadnym výrobcom sieťových zariadení, je dôležité ponúknuť trhu univerzálny produkt, ktorý nie je viazaný na žiadny jeden štandard alebo protokol.

Zberateľ Flowmon

Kolektor je dostupný ako hardvérový server aj ako virtuálny stroj (VMware, Hyper-V, KVM). Mimochodom, hardvérová platforma je implementovaná na prispôsobených serveroch DELL, čo automaticky eliminuje väčšinu problémov so zárukou a RMA. Jedinými proprietárnymi hardvérovými komponentmi sú karty na zachytávanie prevádzky FPGA vyvinuté dcérskou spoločnosťou Flowmon, ktoré umožňujú monitorovanie rýchlosťou až 100 Gbps.

Čo však robiť, ak existujúce sieťové zariadenia nie sú schopné generovať vysokokvalitný tok? Alebo je zaťaženie zariadenia príliš vysoké? Žiaden problém:

Flowmon Prob

V tomto prípade Flowmon Networks ponúka použiť vlastné sondy (Flowmon Probe), ktoré sa pripájajú do siete cez SPAN port switchu alebo pomocou pasívnych TAP splitterov.

SPAN (zrkadlový port) a možnosti implementácie TAP

V tomto prípade sa nespracovaný prenos prichádzajúci do Flowmon Probe premení na rozšírený IPFIX obsahujúci viac 240 metrík s informáciami. Zatiaľ čo štandardný protokol NetFlow generovaný sieťovým zariadením neobsahuje viac ako 80 metrík. To umožňuje viditeľnosť protokolu nielen na úrovni 3 a 4, ale aj na úrovni 7 podľa modelu ISO OSI. Vďaka tomu môžu správcovia siete monitorovať fungovanie aplikácií a protokolov ako e-mail, HTTP, DNS, SMB...

Koncepčne vyzerá logická architektúra systému takto:

Centrálnou časťou celého „ekosystému“ Flowmon Networks je kolektor, ktorý prijíma prevádzku z existujúcich sieťových zariadení alebo vlastných sond (Probe). Pre podnikové riešenie by však poskytovanie funkcií výlučne na monitorovanie sieťovej prevádzky bolo príliš jednoduché. Open Source riešenia to tiež dokážu, aj keď nie s takým výkonom. Hodnotou Flowmon sú dodatočné moduly, ktoré rozširujú základnú funkcionalitu:

• modul Bezpečnosť detekcie anomálií – identifikácia anomálnej sieťovej aktivity vrátane zero-day útokov na základe heuristickej analýzy prevádzky a typického sieťového profilu;
• modul Monitorovanie výkonu aplikácií – monitorovanie výkonu sieťových aplikácií bez inštalácie „agentov“ a ovplyvňovania cieľových systémov;
• modul Záznamník premávky – zaznamenávanie fragmentov sieťovej prevádzky podľa súboru preddefinovaných pravidiel alebo podľa spúšťača z modulu ADS na ďalšie riešenie problémov a/alebo vyšetrovanie incidentov informačnej bezpečnosti;
• modul Ochrana DDoS – ochrana perimetra siete pred objemovými DoS/DDoS útokmi odmietnutia služby vrátane útokov na aplikácie (OSI L3/L4/L7).

V tomto článku sa pozrieme na to, ako všetko funguje naživo na príklade 2 modulov - Monitorovanie a diagnostika výkonu siete и Bezpečnosť detekcie anomálií.
Počiatočné údaje:

• Server Lenovo RS 140 s hypervízorom VMware 6.0;
• Obraz virtuálneho stroja Flowmon Collector, ktorý môžete stiahnuť tu;
• dvojica prepínačov podporujúcich tokové protokoly.

Krok 1. Nainštalujte Flowmon Collector

Nasadenie virtuálneho stroja na VMware prebieha úplne štandardným spôsobom zo šablóny OVF. Výsledkom je virtuálny stroj so systémom CentOS a softvérom pripraveným na použitie. Požiadavky na zdroje sú humánne:

Zostáva už len vykonať základnú inicializáciu pomocou príkazu sysconfig:

Nakonfigurujeme IP na porte správy, DNS, čas, názov hostiteľa a môžeme sa pripojiť na WEB rozhranie.

Krok 2. Inštalácia licencie

Vygeneruje sa skúšobná licencia na jeden a pol mesiaca a stiahne sa spolu s obrazom virtuálneho počítača. Načítané cez Konfiguračné centrum -> Licencia. V dôsledku toho vidíme:

Všetko je pripravené. Môžete začať pracovať.

Krok 3. Nastavenie prijímača na kolektor

V tejto fáze sa musíte rozhodnúť, ako bude systém prijímať údaje zo zdrojov. Ako sme už povedali, môže to byť jeden z tokových protokolov alebo SPAN port na prepínači.

V našom príklade použijeme príjem dát pomocou protokolov NetFlow v9 a IPFIX. V tomto prípade špecifikujeme IP adresu riadiaceho rozhrania ako cieľ - 192.168.78.198. Rozhrania eth2 a eth3 (s typom rozhrania Monitoring) sa používajú na príjem kópie „surovej“ prevádzky z portu SPAN prepínača. Nechali sme ich prejsť, nie náš prípad.
Ďalej skontrolujeme zberný port, kam by mala smerovať prevádzka.

V našom prípade kolektor počúva prevádzku na porte UDP/2055.

Krok 4. Konfigurácia sieťového zariadenia na export toku

Nastavenie NetFlow na zariadeniach Cisco Systems možno nazvať úplne bežnou úlohou každého správcu siete. Pre náš príklad si vezmeme niečo nezvyčajnejšie. Napríklad router MikroTik RB2011UiAS-2HnD. Áno, napodiv, takéto rozpočtové riešenie pre malé a domáce kancelárie podporuje aj protokoly NetFlow v5/v9 a IPFIX. V nastaveniach nastavte cieľ (adresa kolektora 192.168.78.198 a port 2055):

A pridajte všetky dostupné metriky na export:

V tomto bode môžeme povedať, že základné nastavenie je dokončené. Kontrolujeme, či do systému vstupuje premávka.

Krok 5: Testovanie a prevádzka modulu na monitorovanie a diagnostiku výkonu siete

Prítomnosť premávky zo zdroja si môžete skontrolovať v sekcii Monitorovacie centrum Flowmon –> Zdroje:

Vidíme, že údaje vstupujú do systému. Po určitom čase po nahromadení návštevnosti kolektora začnú widgety zobrazovať informácie:

Systém je postavený na princípe vŕtania. To znamená, že používateľ pri výbere požadovaného fragmentu na diagrame alebo grafe „spadne“ na úroveň hĺbky údajov, ktorú potrebuje:

Nadol k informáciám o každom sieťovom pripojení a pripojení:

Krok 6. Bezpečnostný modul detekcie anomálií

Tento modul možno nazvať možno jedným z najzaujímavejších, a to vďaka použitiu metód bez signatúr na zisťovanie anomálií v sieťovej prevádzke a zákernej sieťovej aktivity. Toto však nie je analógom systémov IDS/IPS. Práca s modulom začína jeho „zaškolením“. Na tento účel špeciálny sprievodca špecifikuje všetky kľúčové komponenty a služby siete vrátane:

• adresy brán, servery DNS, DHCP a NTP,
• adresovanie v užívateľských a serverových segmentoch.

Potom systém prejde do tréningového režimu, ktorý trvá v priemere od 2 týždňov do 1 mesiaca. Počas tejto doby systém generuje základnú prevádzku, ktorá je špecifická pre našu sieť. Jednoducho povedané, systém sa učí:

• aké správanie je typické pre sieťové uzly?
• Aké objemy dát sa zvyčajne prenášajú a sú normálne pre sieť?
• Aký je typický prevádzkový čas pre používateľov?
• aké aplikácie bežia na sieti?
• a oveľa viac..

Výsledkom je nástroj, ktorý identifikuje akékoľvek anomálie v našej sieti a odchýlky od typického správania. Tu je niekoľko príkladov, ktoré vám systém umožňuje zistiť:

• distribúcia nového škodlivého softvéru v sieti, ktorý nie je detekovaný antivírusovými podpismi;
• budovanie DNS, ICMP alebo iných tunelov a prenos dát obchádzaním firewallu;
• vzhľad nového počítača v sieti, ktorý sa vydáva za server DHCP a/alebo DNS.

Pozrime sa, ako to vyzerá naživo. Po zaškolení vášho systému a vybudovaní základnej línie sieťovej prevádzky začne zisťovať incidenty:

Hlavná stránka modulu je časová os zobrazujúca identifikované incidenty. V našom príklade vidíme jasný vrchol, približne medzi 9 a 16 hodinami. Vyberme si ho a pozrime sa podrobnejšie.

Anomálne správanie útočníka na sieti je jasne viditeľné. Všetko to začína tým, že hostiteľ s adresou 192.168.3.225 začal horizontálne skenovanie siete na porte 3389 (služba Microsoft RDP) a našiel 14 potenciálnych „obete“:

и

Nasledujúci zaznamenaný incident – ​​hostiteľ 192.168.3.225 začína útok hrubou silou na heslá hrubou silou na službu RDP (port 3389) na predtým identifikovaných adresách:

V dôsledku útoku sa zistí anomália SMTP na jednom z napadnutých hostiteľov. Inými slovami, SPAM sa začal:

Tento príklad je jasnou ukážkou schopností systému a konkrétne modulu zabezpečenia detekcie anomálií. Účinnosť posúďte sami. Týmto je funkčný prehľad riešenia ukončený.

Záver

Zhrňme si, aké závery môžeme o Flowmon vyvodiť:

• Flowmon je prémiové riešenie pre firemných zákazníkov;
• vďaka svojej všestrannosti a kompatibilite je zber dát dostupný z akéhokoľvek zdroja: sieťové zariadenia (Cisco, Juniper, HPE, Huawei...) alebo vlastné sondy (Flowmon Probe);
• Možnosti škálovateľnosti riešenia umožňujú rozšíriť funkcionalitu systému pridaním nových modulov, ako aj zvýšiť produktivitu vďaka flexibilnému prístupu k licencovaniu;
• pomocou technológií analýzy bez signatúr vám systém umožňuje odhaliť zero-day útoky, ktoré antivírusy a systémy IDS/IPS nepoznajú;
• vďaka úplnej „transparentnosti“ z hľadiska inštalácie a prítomnosti systému v sieti - riešenie neovplyvňuje prevádzku ostatných uzlov a komponentov vašej IT infraštruktúry;
• Flowmon je jediné riešenie na trhu, ktoré podporuje sledovanie prevádzky rýchlosťou až 100 Gbps;
• Flowmon je riešenie pre siete akéhokoľvek rozsahu;
• najlepší pomer cena/funkčnosť spomedzi podobných riešení.

V tomto prehľade sme preskúmali menej ako 10 % celkovej funkčnosti riešenia. V ďalšom článku si povieme niečo o zostávajúcich moduloch Flowmon Networks. Na príklade modulu Monitorovanie výkonu aplikácií si ukážeme, ako môžu správcovia podnikových aplikácií zabezpečiť dostupnosť na danej úrovni SLA, ako aj čo najrýchlejšie diagnostikovať problémy.

Taktiež by sme Vás radi pozvali na náš webinár (10.09.2019) venovaný riešeniam predajcu Flowmon Networks. Žiadame vás o predbežnú registráciu zaregistrujte sa tu.
To je zatiaľ všetko, ďakujeme za váš záujem!

Do prieskumu sa môžu zapojiť iba registrovaní užívatelia. Prihlásiť saProsím.

Používate Netflow na monitorovanie siete?

• Да

• Nie, ale plánujem

• Nie

Hlasovalo 9 užívateľov. 3 používatelia sa zdržali hlasovania.

Zdroj: hab.com