Nadzor omrežja in odkrivanje neobičajnih omrežnih aktivnosti z uporabo rešitev Flowmon Networks

V zadnjem času lahko na internetu najdete ogromno gradiva na to temo. analiza prometa na obodu omrežja. Hkrati so iz neznanega razloga vsi popolnoma pozabili analiza lokalnega prometa, kar ni nič manj pomembno. Ta članek obravnava točno to temo. Na primer Flowmon Networks spomnili se bomo dobrega starega Netflowa (in njegovih alternativ), pogledali zanimive primere, morebitne anomalije v omrežju in ugotovili prednosti rešitve, ko celotno omrežje deluje kot en senzor. In kar je najpomembneje, takšno analizo lokalnega prometa lahko opravite popolnoma brezplačno, v okviru preizkusne licence (45 dni). Če vam je tema zanimiva, dobrodošli v kat. Če ste preleni za branje, se lahko, če pogledate naprej, registrirate prihajajoči spletni seminar, kjer vam bomo vse pokazali in povedali (tam lahko izveste tudi o prihajajočem produktnem izobraževanju).

Kaj je Flowmon Networks?

Prvič, Flowmon je evropski IT prodajalec. Podjetje je češko, s sedežem v Brnu (vprašanje sankcij se niti ne odpira). V sedanji obliki je podjetje na trgu od leta 2007. Prej je bil znan pod blagovno znamko Invea-Tech. Skupno je bilo torej skoraj 20 let porabljenih za razvoj izdelkov in rešitev.

Flowmon je pozicioniran kot blagovna znamka razreda A. Razvija vrhunske rešitve za poslovne stranke in je priznan v Gartnerjevih okvirih za spremljanje in diagnostiko delovanja omrežja (NPMD). Poleg tega je zanimivo, da je Flowmon od vseh podjetij v poročilu edini prodajalec, ki ga je Gartner opazil kot proizvajalca rešitev tako za nadzor omrežja kot za zaščito informacij (analiza vedenja omrežja). Še ne zaseda prvega mesta, a zaradi tega ne stoji kot Boeingovo krilo.

Katere težave rešuje izdelek?

Globalno lahko ločimo naslednji sklop nalog, ki jih rešujejo izdelki podjetja:

1. povečanje stabilnosti omrežja in omrežnih virov z zmanjševanjem njihovega izpada in nerazpoložljivosti;
2. povečanje splošne ravni zmogljivosti omrežja;
3. povečanje učinkovitosti upravnega osebja zaradi:
   • uporaba sodobnih inovativnih orodij za spremljanje omrežja na podlagi informacij o IP tokovih;
   • zagotavljanje podrobne analitike o delovanju in stanju omrežja – uporabniki in aplikacije, ki se izvajajo v omrežju, preneseni podatki, medsebojno povezani viri, storitve in vozlišča;
   • odzivanje na incidente, preden se zgodijo, in ne potem, ko uporabniki in stranke izgubijo storitev;
   • zmanjšanje časa in virov, potrebnih za upravljanje omrežja in IT infrastrukture;
   • poenostavitev opravil pri odpravljanju težav.
4. povečanje ravni varnosti omrežja in informacijskih virov podjetja z uporabo nepodpisnih tehnologij za odkrivanje nenormalnih in zlonamernih omrežnih aktivnosti ter »napadov ničelnega dne«;
5. zagotavljanje zahtevane ravni SLA za omrežne aplikacije in baze podatkov.

Portfelj izdelkov Flowmon Networks

Zdaj pa poglejmo neposredno na portfelj izdelkov Flowmon Networks in ugotovimo, kaj točno podjetje počne. Kot so mnogi že uganili iz imena, je glavna specializacija rešitve za spremljanje pretočnega prometa ter številni dodatni moduli, ki razširjajo osnovno funkcionalnost.

Pravzaprav lahko Flowmon imenujemo podjetje enega izdelka oziroma ene rešitve. Ugotovimo, ali je to dobro ali slabo.

Jedro sistema je zbiralnik, ki skrbi za zbiranje podatkov po različnih pretočnih protokolih, kot je npr. NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Povsem logično je, da je za podjetje, ki ni povezano z nobenim proizvajalcem omrežne opreme, pomembno, da trgu ponudi univerzalen izdelek, ki ni vezan na noben standard ali protokol.

Flowmon zbiralnik

Zbiralnik je na voljo kot strojni strežnik in kot virtualni stroj (VMware, Hyper-V, KVM). Mimogrede, strojna platforma je implementirana na prilagojenih strežnikih DELL, kar samodejno odpravi večino težav z garancijo in RMA. Edine lastniške strojne komponente so kartice za zajem prometa FPGA, ki jih je razvila hčerinska družba Flowmon, ki omogočajo spremljanje s hitrostjo do 100 Gbps.

Toda kaj storiti, če obstoječa omrežna oprema ne more ustvariti visokokakovostnega pretoka? Ali pa je obremenitev opreme prevelika? Ni problema:

Flowmon Prob

V tem primeru Flowmon Networks ponuja uporabo lastnih sond (Flowmon Probe), ki so povezane v omrežje preko SPAN porta stikala ali s pomočjo pasivnih razdelilnikov TAP.

Možnosti izvedbe SPAN (zrcalna vrata) in TAP

V tem primeru se neobdelani promet, ki prispe na sondo Flowmon, pretvori v razširjen IPFIX, ki vsebuje več 240 metrik z informacijami. Medtem ko standardni protokol NetFlow, ki ga ustvari omrežna oprema, ne vsebuje več kot 80 meritev. To omogoča vidnost protokola ne le na nivojih 3 in 4, temveč tudi na nivoju 7 po modelu ISO OSI. Tako lahko skrbniki omrežja spremljajo delovanje aplikacij in protokolov, kot so e-pošta, HTTP, DNS, SMB ...

Konceptualno je logična arhitektura sistema videti takole:

Osrednji del celotnega »ekosistema« Flowmon Networks je Collector, ki prejema promet iz obstoječe omrežne opreme ali lastnih sond (Probe). Toda za rešitev Enterprise bi bilo zagotavljanje funkcionalnosti samo za spremljanje omrežnega prometa preveč preprosto. To zmorejo tudi odprtokodne rešitve, čeprav ne s takšno zmogljivostjo. Vrednost Flowmona so dodatni moduli, ki širijo osnovno funkcionalnost:

• modul Varnost za odkrivanje nepravilnosti – prepoznavanje neobičajne omrežne dejavnosti, vključno z napadi ničelnega dne, na podlagi hevristične analize prometa in tipičnega omrežnega profila;
• modul Spremljanje delovanja aplikacij – spremljanje delovanja omrežnih aplikacij brez nameščanja »agentov« in vplivanja na ciljne sisteme;
• modul Snemalnik prometa – snemanje fragmentov omrežnega prometa v skladu z naborom vnaprej določenih pravil ali v skladu s sprožilcem iz modula ADS za nadaljnje odpravljanje težav in/ali preiskavo informacijsko varnostnih incidentov;
• modul DDoS zaščita – zaščita omrežnega perimetra pred volumetričnimi napadi zavrnitve storitve DoS/DDoS, vključno z napadi na aplikacije (OSI L3/L4/L7).

V tem članku si bomo ogledali, kako vse deluje v živo na primeru 2 modulov - Nadzor in diagnostika delovanja omrežja и Varnost za odkrivanje nepravilnosti.
Vir podatkov:

• strežnik Lenovo RS 140 s hipervizorjem VMware 6.0;
• Slika virtualnega stroja Flowmon Collector, ki jo lahko prenesite tukaj;
• par stikal, ki podpirajo pretočne protokole.

Korak 1. Namestite Flowmon Collector

Namestitev virtualnega stroja na VMware poteka na povsem standarden način iz predloge OVF. Kot rezultat dobimo virtualni stroj, ki poganja CentOS in s programsko opremo, pripravljeno za uporabo. Zahteve po virih so humane:

Vse kar ostane je, da izvedemo osnovno inicializacijo z ukazom sysconfig:

Konfiguriramo IP na vratih upravljanja, DNS, času, imenu gostitelja in se lahko povežemo s spletnim vmesnikom.

2. korak. Namestitev licence

Preizkusna licenca za en mesec in pol se ustvari in prenese skupaj s sliko virtualnega stroja. Naloženo prek Konfiguracijski center -> Licenca. Kot rezultat vidimo:

Vse je pripravljeno. Lahko začnete delati.

Korak 3. Nastavitev sprejemnika na zbiralniku

Na tej stopnji se morate odločiti, kako bo sistem prejemal podatke iz virov. Kot smo že povedali, je to lahko eden od protokolov toka ali vrata SPAN na stikalu.

V našem primeru bomo uporabili sprejem podatkov z uporabo protokolov NetFlow v9 in IPFIX. V tem primeru določimo naslov IP vmesnika za upravljanje kot cilj - 192.168.78.198. Vmesnika eth2 in eth3 (s tipom nadzornega vmesnika) se uporabljata za sprejem kopije "neobdelanega" prometa iz vrat SPAN stikala. Mi smo jih spustili skozi, ne naš primer.
Nato preverimo priključek zbiralnika, kamor naj poteka promet.

V našem primeru zbiralnik posluša promet na vratih UDP/2055.

Korak 4. Konfiguracija omrežne opreme za izvoz toka

Nastavitev NetFlow na opremi Cisco Systems verjetno lahko imenujemo povsem običajna naloga vsakega skrbnika omrežja. Za naš primer bomo vzeli nekaj bolj nenavadnega. Na primer, usmerjevalnik MikroTik RB2011UiAS-2HnD. Da, nenavadno je, da takšna proračunska rešitev za majhne in domače pisarne podpira tudi protokola NetFlow v5/v9 in IPFIX. V nastavitvah nastavite cilj (naslov zbiralnika 192.168.78.198 in vrata 2055):

In dodajte vse meritve, ki so na voljo za izvoz:

Na tej točki lahko rečemo, da je osnovna nastavitev končana. Preverimo, ali promet vstopa v sistem.

5. korak: Preizkušanje in delovanje modula za spremljanje in diagnostiko delovanja omrežja

Prisotnost prometa iz vira lahko preverite v razdelku Center za spremljanje Flowmon –> Viri:

Vidimo, da podatki vstopajo v sistem. Nekaj ​​časa po tem, ko zbiralnik nabere promet, bodo pripomočki začeli prikazovati informacije:

Sistem je zgrajen na principu vrtanja navzdol. To pomeni, da uporabnik pri izbiri zanimivega fragmenta na diagramu ali grafu "pade" na raven globine podatkov, ki jih potrebuje:

Vse do informacij o vsaki omrežni povezavi in ​​povezavi:

Korak 6. Varnostni modul za odkrivanje nepravilnosti

Ta modul lahko imenujemo morda eden najbolj zanimivih, zahvaljujoč uporabi metod brez podpisov za odkrivanje nepravilnosti v omrežnem prometu in zlonamerne omrežne dejavnosti. Vendar to ni analog sistemov IDS/IPS. Delo z modulom se začne z njegovim "usposabljanjem". Za to poseben čarovnik določi vse ključne komponente in storitve omrežja, vključno z:

• naslovi prehodov, strežniki DNS, DHCP in NTP,
• naslavljanje v uporabniškem in strežniškem segmentu.

Po tem sistem preide v način usposabljanja, ki v povprečju traja od 2 tednov do 1 meseca. V tem času sistem ustvari osnovni promet, ki je specifičen za naše omrežje. Preprosto povedano, sistem se uči:

• Kakšno vedenje je značilno za omrežna vozlišča?
• Kakšne količine podatkov se običajno prenašajo in so običajne za omrežje?
• Kakšen je tipičen čas delovanja za uporabnike?
• katere aplikacije delujejo v omrežju?
• in veliko več..

Kot rezultat dobimo orodje, ki prepozna morebitne anomalije v našem omrežju in odstopanja od tipičnega vedenja. Tu je nekaj primerov, ki vam jih sistem omogoča zaznati:

• distribucija nove zlonamerne programske opreme v omrežju, ki je protivirusni podpisi ne zaznajo;
• izgradnja DNS, ICMP ali drugih tunelov in prenos podatkov mimo požarnega zidu;
• pojav novega računalnika v omrežju, ki se predstavlja kot strežnik DHCP in/ali DNS.

Poglejmo, kako to izgleda v živo. Ko se vaš sistem usposobi in zgradi osnovno linijo omrežnega prometa, začne zaznavati incidente:

Glavna stran modula je časovnica, ki prikazuje identificirane incidente. V našem primeru vidimo jasen skok, približno med 9 in 16 urami. Izberimo ga in poglejmo podrobneje.

Nenormalno obnašanje napadalca v omrežju je jasno vidno. Vse se začne z dejstvom, da je gostitelj z naslovom 192.168.3.225 začel horizontalno skeniranje omrežja na vratih 3389 (Microsoft RDP storitev) in našel 14 potencialnih "žrtev":

и

Naslednji zabeleženi incident - gostitelj 192.168.3.225 začne napad s surovo silo na gesla s surovo silo v storitvi RDP (vrata 3389) na predhodno identificiranih naslovih:

Kot rezultat napada je na enem od vdrtih gostiteljev odkrita anomalija SMTP. Z drugimi besedami, SPAM se je začel:

Ta primer je jasen prikaz zmogljivosti sistema in še posebej varnostnega modula za odkrivanje nepravilnosti. O učinkovitosti presodite sami. S tem je funkcionalni pregled rešitve zaključen.

Zaključek

Povzemimo, kakšne zaključke lahko naredimo o Flowmonu:

• Flowmon je vrhunska rešitev za poslovne stranke;
• zaradi vsestranskosti in združljivosti je zbiranje podatkov na voljo iz katerega koli vira: omrežne opreme (Cisco, Juniper, HPE, Huawei...) ali lastnih sond (Flowmon Probe);
• Zmožnosti razširljivosti rešitve vam omogočajo, da razširite funkcionalnost sistema z dodajanjem novih modulov, kot tudi povečate produktivnost zahvaljujoč prilagodljivemu pristopu k licenciranju;
• z uporabo tehnologij za analizo brez podpisov vam sistem omogoča zaznavanje napadov ničelnega dne, tudi neznanih protivirusnim programom in sistemom IDS/IPS;
• zahvaljujoč popolni “transparentnosti” glede namestitve in prisotnosti sistema v omrežju - rešitev ne vpliva na delovanje drugih vozlišč in komponent vaše IT infrastrukture;
• Flowmon je edina rešitev na trgu, ki podpira spremljanje prometa s hitrostjo do 100 Gbps;
• Flowmon je rešitev za omrežja vseh velikosti;
• najboljše razmerje med ceno in funkcionalnostjo med podobnimi rešitvami.

V tem pregledu smo pregledali manj kot 10 % celotne funkcionalnosti rešitve. V naslednjem članku bomo govorili o preostalih modulih Flowmon Networks. Na primeru modula Application Performance Monitoring bomo pokazali, kako lahko skrbniki poslovnih aplikacij zagotovijo razpoložljivost na danem nivoju SLA in čim hitreje diagnosticirajo težave.

Prav tako bi vas radi povabili na naš webinar (10.09.2019), posvečen rešitvam prodajalca Flowmon Networks. Za predprijavo vas prosimo registriraj se tukaj.
To je zaenkrat vse, hvala za vaše zanimanje!

V anketi lahko sodelujejo samo registrirani uporabniki. Prijaviti se, prosim.

Ali uporabljate Netflow za nadzor omrežja?

• Da

• Ne, ampak nameravam

• Št

Glasovalo je 9 uporabnikov. 3 uporabnika sta se vzdržala.

Vir: www.habr.com