🥇Monitorimi i rrjetit dhe zbulimi i aktivitetit anormal të rrjetit duke përdorur zgjidhjet e Flowmon Networks

Kohët e fundit, ju mund të gjeni një sasi të madhe materialesh mbi këtë temë në internet. analiza e trafikut në perimetrin e rrjetit. Në të njëjtën kohë, për disa arsye të gjithë e harruan plotësisht analiza e trafikut lokal, e cila nuk është më pak e rëndësishme. Ky artikull trajton pikërisht këtë temë. Për shembull Rrjetet Flowmon ne do të kujtojmë Netflow-in e vjetër të mirë (dhe alternativat e tij), do të shikojmë raste interesante, anomalitë e mundshme në rrjet dhe do të zbulojmë avantazhet e zgjidhjes kur i gjithë rrjeti funksionon si një sensor i vetëm. Dhe më e rëndësishmja, ju mund të bëni një analizë të tillë të trafikut lokal plotësisht pa pagesë, brenda kornizës së një licence prove (Ditë 45). Nëse tema është interesante për ju, mirë se vini në mace. Nëse jeni shumë dembel për të lexuar, atëherë, duke parë përpara, mund të regjistroheni webinari i ardhshëm, ku do t'ju tregojmë dhe do t'ju tregojmë gjithçka (aty mund të mësoni edhe për trajnimin e ardhshëm të produktit).

Çfarë është Rrjetet Flowmon?

Para së gjithash, Flowmon është një shitës evropian i IT. Kompania është çeke, me seli në Brno (çështja e sanksioneve as që është ngritur). Në formën e saj aktuale, kompania është në treg që nga viti 2007. Më parë, ajo ishte e njohur nën markën Invea-Tech. Pra, në total, pothuajse 20 vjet u shpenzuan për zhvillimin e produkteve dhe zgjidhjeve.

Flowmon pozicionohet si një markë e klasit A. Zhvillon zgjidhje premium për klientët e ndërmarrjeve dhe njihet në kutitë Gartner për Monitorimin dhe Diagnostifikimin e Performancës së Rrjetit (NPMD). Për më tepër, interesant është se nga të gjitha kompanitë në raport, Flowmon është shitësi i vetëm i shënuar nga Gartner si prodhues i zgjidhjeve si për monitorimin e rrjetit ashtu edhe për mbrojtjen e informacionit (Analiza e Sjelljes së Rrjetit). Nuk e zë ende vendin e parë, por për shkak të kësaj nuk qëndron si një krah i Boeing.

Çfarë problemesh zgjidh produkti?

Globalisht, ne mund të dallojmë grupin e mëposhtëm të detyrave të zgjidhura nga produktet e kompanisë:

rritja e stabilitetit të rrjetit, si dhe burimeve të rrjetit, duke minimizuar kohën e ndërprerjes dhe mosdisponueshmërisë së tyre;
rritja e nivelit të përgjithshëm të performancës së rrjetit;
rritja e efikasitetit të personelit administrativ për shkak të:
- përdorimi i mjeteve moderne inovative të monitorimit të rrjetit bazuar në informacionin rreth flukseve IP;
- ofrimi i analizave të hollësishme për funksionimin dhe gjendjen e rrjetit - përdoruesit dhe aplikacionet që funksionojnë në rrjet, të dhënat e transmetuara, burimet ndërvepruese, shërbimet dhe nyjet;
- reagimi ndaj incidenteve para se të ndodhin, dhe jo pasi përdoruesit dhe klientët humbasin shërbimin;
- reduktimi i kohës dhe burimeve të nevojshme për administrimin e rrjetit dhe infrastrukturës së TI-së;
- thjeshtimi i detyrave për zgjidhjen e problemeve.
rritja e nivelit të sigurisë së rrjetit dhe burimeve të informacionit të ndërmarrjes, nëpërmjet përdorimit të teknologjive pa nënshkrim për zbulimin e aktivitetit anormal dhe keqdashës të rrjetit, si dhe “sulme ditore zero”;
sigurimi i nivelit të kërkuar të SLA për aplikacionet e rrjetit dhe bazat e të dhënave.

Portofoli i produkteve të Rrjeteve Flowmon

Tani le të shohim drejtpërdrejt portofolin e produkteve të Rrjeteve Flowmon dhe të zbulojmë se çfarë bën saktësisht kompania. Siç e kanë marrë me mend tashmë shumë nga emri, specializimi kryesor është në zgjidhjet për monitorimin e trafikut të rrjedhës së transmetimit, plus një numër modulesh shtesë që zgjerojnë funksionalitetin bazë.

Në fakt, Flowmon mund të quhet një kompani e një produkti, ose më saktë, një zgjidhje. Le të kuptojmë nëse kjo është e mirë apo e keqe.

Thelbi i sistemit është kolektori, i cili është përgjegjës për mbledhjen e të dhënave duke përdorur protokolle të ndryshme të rrjedhës, si p.sh. NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Është mjaft logjike që për një kompani që nuk është e lidhur me asnjë prodhues pajisjesh rrjeti, është e rëndësishme t'i ofrohet tregut një produkt universal që nuk është i lidhur me asnjë standard apo protokoll.

Koleksionist Flowmon

Koleksionisti është i disponueshëm si si server hardueri ashtu edhe si një makinë virtuale (VMware, Hyper-V, KVM). Nga rruga, platforma e harduerit zbatohet në serverë të personalizuar DELL, i cili eliminon automatikisht shumicën e problemeve me garancinë dhe RMA. Të vetmit komponentë të pronarit të harduerit janë kartat e kapjes së trafikut FPGA të zhvilluara nga një filial i Flowmon, të cilat lejojnë monitorimin me shpejtësi deri në 100 Gbps.

Por çfarë të bëni nëse pajisjet ekzistuese të rrjetit nuk janë në gjendje të gjenerojnë rrjedhje me cilësi të lartë? Apo ngarkesa në pajisje është shumë e lartë? Nuk ka problem:

Flowmon Prob

Në këtë rast, Flowmon Networks ofron përdorimin e sondave të veta (Flowmon Probe), të cilat lidhen me rrjetin nëpërmjet portës SPAN të switch-it ose duke përdorur ndarës pasivë TAP.

Opsionet e zbatimit të SPAN (port pasqyrë) dhe TAP

Në këtë rast, trafiku i papërpunuar që arrin në Flowmon Probe konvertohet në një IPFIX të zgjeruar që përmban më shumë 240 metrikë me informacion. Ndërsa protokolli standard NetFlow i krijuar nga pajisjet e rrjetit përmban jo më shumë se 80 metrikë. Kjo lejon dukshmërinë e protokollit jo vetëm në nivelet 3 dhe 4, por edhe në nivelin 7 sipas modelit ISO OSI. Si rezultat, administratorët e rrjetit mund të monitorojnë funksionimin e aplikacioneve dhe protokolleve si e-mail, HTTP, DNS, SMB...

Konceptualisht, arkitektura logjike e sistemit duket si kjo:

Pjesa qendrore e të gjithë "ekosistemeve" të Rrjeteve Flowmon është Kolektor, i cili merr trafik nga pajisjet ekzistuese të rrjetit ose sondat e veta (Probe). Por për një zgjidhje Enterprise, ofrimi i funksionalitetit vetëm për monitorimin e trafikut të rrjetit do të ishte shumë i thjeshtë. Zgjidhjet me burim të hapur gjithashtu mund ta bëjnë këtë, megjithëse jo me një performancë të tillë. Vlera e Flowmon janë module shtesë që zgjerojnë funksionalitetin bazë:

modul Siguria e zbulimit të anomalive – identifikimi i aktivitetit anormal të rrjetit, duke përfshirë sulmet në ditë zero, bazuar në analizën heuristike të trafikut dhe një profil tipik rrjeti;
modul Monitorimi i Performancës së Aplikimit – monitorimi i performancës së aplikacioneve të rrjetit pa instaluar “agjentë” dhe pa ndikuar në sistemet e synuara;
modul Regjistrues i trafikut – regjistrimi i fragmenteve të trafikut të rrjetit sipas një grupi rregullash të paracaktuara ose sipas një shkasje nga moduli ADS, për zgjidhjen e mëtejshme të problemeve dhe/ose hetimin e incidenteve të sigurisë së informacionit;
modul Mbrojtja DDoS – mbrojtja e perimetrit të rrjetit nga sulmet vëllimore të mohimit të shërbimit DoS/DDoS, duke përfshirë sulmet ndaj aplikacioneve (OSI L3/L4/L7).

Në këtë artikull, ne do të shikojmë se si funksionon gjithçka drejtpërdrejt duke përdorur shembullin e 2 moduleve - Monitorimi dhe diagnostikimi i performancës së rrjetit и Siguria e zbulimit të anomalive.
Të dhënat fillestare:

Serveri Lenovo RS 140 me hipervizor VMware 6.0;
Imazhi i makinës virtuale Flowmon Collector që mundeni shkarko këtu;
një palë çelsash që mbështesin protokollet e rrjedhës.

Hapi 1. Instaloni Flowmon Collector

Vendosja e një makine virtuale në VMware ndodh në një mënyrë krejtësisht standarde nga shablloni OVF. Si rezultat, marrim një makinë virtuale që funksionon CentOS dhe me softuer të gatshëm për përdorim. Kërkesat për burime janë humane:

Gjithçka që mbetet është të kryeni inicializimin bazë duke përdorur komandën sysconfig:

Ne konfigurojmë IP-në në portin e menaxhimit, DNS, kohën, emrin e hostit dhe mund të lidhemi me ndërfaqen WEB.

Hapi 2. Instalimi i licencës

Një licencë prove për një muaj e gjysmë gjenerohet dhe shkarkohet së bashku me imazhin e makinës virtuale. Ngarkuar nëpërmjet Qendra e konfigurimit -> Licenca. Si rezultat shohim:

Gjithçka është gati. Mund të filloni të punoni.

Hapi 3. Vendosja e marrësit në kolektor

Në këtë fazë, ju duhet të vendosni se si sistemi do të marrë të dhëna nga burimet. Siç thamë më herët, ky mund të jetë një nga protokollet e rrjedhës ose një port SPAN në ndërprerës.

Në shembullin tonë, ne do të përdorim marrjen e të dhënave duke përdorur protokolle NetFlow v9 dhe IPFIX. Në këtë rast, ne specifikojmë adresën IP të ndërfaqes së Menaxhimit si një objektiv - 192.168.78.198. Ndërfaqet eth2 dhe eth3 (me llojin e ndërfaqes Monitoring) përdoren për të marrë një kopje të trafikut "të papërpunuar" nga porta SPAN e ndërprerësit. Ne i lamë të kalojnë, jo rasti ynë.
Më pas, kontrollojmë portin e kolektorit ku duhet të shkojë trafiku.

Në rastin tonë, kolektori dëgjon trafikun në portin UDP/2055.

Hapi 4. Konfigurimi i pajisjeve të rrjetit për eksport të rrjedhës

Vendosja e NetFlow në pajisjet Cisco Systems ndoshta mund të quhet një detyrë krejtësisht e zakonshme për çdo administrator rrjeti. Për shembullin tonë, ne do të marrim diçka më të pazakontë. Për shembull, ruteri MikroTik RB2011UiAS-2HnD. Po, çuditërisht, një zgjidhje e tillë buxhetore për zyrat e vogla dhe në shtëpi mbështet gjithashtu protokollet NetFlow v5/v9 dhe IPFIX. Në cilësimet, vendosni objektivin (adresa e koleksionistit 192.168.78.198 dhe porta 2055):

Dhe shtoni të gjitha metrikat e disponueshme për eksport:

Në këtë pikë mund të themi se konfigurimi bazë ka përfunduar. Ne kontrollojmë nëse trafiku po hyn në sistem.

Hapi 5: Testimi dhe funksionimi i Modulit të Monitorimit dhe Diagnostifikimit të Performancës së Rrjetit

Ju mund të kontrolloni praninë e trafikut nga burimi në seksion Qendra e Monitorimit Flowmon –> Burimet:

Ne shohim që të dhënat po hyjnë në sistem. Disa kohë pasi koleksionisti të ketë grumbulluar trafik, miniaplikacionet do të fillojnë të shfaqin informacione:

Sistemi është ndërtuar mbi parimin e shpimit. Kjo do të thotë, përdoruesi, kur zgjedh një fragment me interes në një diagram ose grafik, "bie" në nivelin e thellësisë së të dhënave që i nevojiten:

Deri te informacioni për çdo lidhje dhe lidhje rrjeti:

Hapi 6. Moduli i Sigurisë për Zbulimin e Anomalive

Ky modul mund të quhet ndoshta një nga më interesantët, falë përdorimit të metodave pa nënshkrime për zbulimin e anomalive në trafikun e rrjetit dhe aktivitetin me qëllim të keq të rrjetit. Por ky nuk është një analog i sistemeve IDS/IPS. Puna me modulin fillon me "trajnimin" e tij. Për ta bërë këtë, një magjistar i veçantë specifikon të gjithë komponentët dhe shërbimet kryesore të rrjetit, duke përfshirë:

adresat e portës, serverët DNS, DHCP dhe NTP,
adresimi në segmentet e përdoruesve dhe serverëve.

Pas kësaj, sistemi kalon në modalitetin e trajnimit, i cili zgjat mesatarisht nga 2 javë në 1 muaj. Gjatë kësaj kohe, sistemi gjeneron trafik bazë që është specifik për rrjetin tonë. E thënë thjesht, sistemi mëson:

çfarë sjellje është tipike për nyjet e rrjetit?
Cilat vëllime të të dhënave zakonisht transferohen dhe janë normale për rrjetin?
Cila është koha tipike e funksionimit për përdoruesit?
Cilat aplikacione funksionojnë në rrjet?
edhe me shume..

Si rezultat, ne marrim një mjet që identifikon çdo anomali në rrjetin tonë dhe devijime nga sjellja tipike. Këtu janë disa shembuj që sistemi ju lejon të zbuloni:

shpërndarja e malware të ri në rrjet që nuk zbulohet nga nënshkrimet antivirus;
ndërtimi i DNS, ICMP ose tunele të tjera dhe transmetimi i të dhënave duke anashkaluar murin e zjarrit;
shfaqja e një kompjuteri të ri në rrjet që paraqitet si server DHCP dhe/ose DNS.

Le të shohim se si duket live. Pasi sistemi juaj është trajnuar dhe ndërtuar një bazë të trafikut të rrjetit, ai fillon të zbulojë incidentet:

Faqja kryesore e modulit është një afat kohor që shfaq incidentet e identifikuara. Në shembullin tonë, ne shohim një goditje të qartë, afërsisht midis 9 dhe 16 orësh. Le ta zgjedhim atë dhe të shohim më në detaje.

Sjellja anormale e sulmuesit në rrjet është qartë e dukshme. E gjitha fillon me faktin se hosti me adresën 192.168.3.225 filloi një skanim horizontal të rrjetit në portin 3389 (shërbimi Microsoft RDP) dhe gjeti 14 "viktima" të mundshme:

Incidenti i mëposhtëm i regjistruar - hosti 192.168.3.225 fillon një sulm me forcë brutale ndaj fjalëkalimeve me forcë brutale në shërbimin RDP (porti 3389) në adresat e identifikuara më parë:

Si rezultat i sulmit, një anomali SMTP zbulohet në një nga hostet e hakuar. Me fjalë të tjera, SPAM ka filluar:

Ky shembull është një demonstrim i qartë i aftësive të sistemit dhe modulit të Sigurisë së Zbulimit të Anomalive në veçanti. Gjykojeni vetë efektivitetin. Kjo përfundon përmbledhjen funksionale të zgjidhjes.

Përfundim

Le të përmbledhim se çfarë përfundimesh mund të nxjerrim rreth Flowmon:

Flowmon është një zgjidhje premium për klientët e korporatave;
falë shkathtësisë dhe përputhshmërisë së tij, mbledhja e të dhënave është e disponueshme nga çdo burim: pajisjet e rrjetit (Cisco, Juniper, HPE, Huawei...) ose sondat tuaja (Flowmon Probe);
Aftësitë e shkallëzueshmërisë së zgjidhjes ju lejojnë të zgjeroni funksionalitetin e sistemit duke shtuar module të reja, si dhe të rrisni produktivitetin falë një qasjeje fleksibël ndaj licencimit;
nëpërmjet përdorimit të teknologjive të analizës pa nënshkrime, sistemi ju lejon të zbuloni sulme të ditës zero edhe të panjohura për antiviruset dhe sistemet IDS/IPS;
falë "transparencës" së plotë për sa i përket instalimit dhe pranisë së sistemit në rrjet - zgjidhja nuk ndikon në funksionimin e nyjeve dhe komponentëve të tjerë të infrastrukturës suaj të IT;
Flowmon është e vetmja zgjidhje në treg që mbështet monitorimin e trafikut me shpejtësi deri në 100 Gbps;
Flowmon është një zgjidhje për rrjetet e çdo shkalle;
raporti më i mirë çmim/funksionalitet midis zgjidhjeve të ngjashme.

Në këtë rishikim, ne shqyrtuam më pak se 10% të funksionalitetit total të zgjidhjes. Në artikullin tjetër do të flasim për modulet e mbetura të Flowmon Networks. Duke përdorur modulin e monitorimit të performancës së aplikacionit si shembull, ne do të tregojmë se si administratorët e aplikacioneve të biznesit mund të sigurojnë disponueshmërinë në një nivel të caktuar SLA, si dhe të diagnostikojnë problemet sa më shpejt të jetë e mundur.

Gjithashtu, dëshirojmë t'ju ftojmë në webinarin tonë (10.09.2019/XNUMX/XNUMX) kushtuar zgjidhjeve të shitësit Flowmon Networks. Për t'u regjistruar paraprakisht, ju kërkojmë regjistrohu këtu.
Kjo është e gjitha për momentin, faleminderit për interesimin tuaj!

Vetëm përdoruesit e regjistruar mund të marrin pjesë në anketë. Hyni, te lutem

A po përdorni Netflow për monitorimin e rrjetit?

Po
Jo, por kam në plan
Jo

9 përdorues votuan. 3 përdorues abstenuan.

Burimi: www.habr.com

Monitorimi i rrjetit dhe zbulimi i aktivitetit anormal të rrjetit duke përdorur zgjidhjet e Flowmon Networks