🥇Ho lekola marang-rang le ho lemoha ts'ebetso e makatsang ea marang-rang u sebelisa litharollo tsa Flowmon Networks

Haufinyane tjena, u ka fumana palo e kholo ea lisebelisoa ka sehlooho ho Internet. tlhahlobo ea sephethephethe sebakeng sa marang-rang. Ka nako e ts'oanang, ka mabaka a mang bohle ba lebala ka ho feletseng tlhahlobo ea sephethephethe sa lehae, e leng sa bohlokoa hakaalo. Sengoliloeng sena se bua ka taba ena hantle. Ka mohlala Li-network tsa Flowmon re tla hopola Netflow ea khale e ntle (le mekhoa e meng ea eona), sheba linyeoe tse thahasellisang, li-anomalies tse ka khonehang marang-rang le ho fumana melemo ea tharollo ha marang-rang kaofela a sebetsa e le sensor e le 'ngoe. Habohlokoa le ho feta, o ka etsa tlhahlobo e joalo ea sephethephethe sa lehae ntle ho tefo, ka har'a moralo oa lengolo la tumello (Matsatsi a 45). Haeba sehlooho se thahasellisa ho uena, amohela katse. Haeba u le botsoa haholo ho bala, joale, u shebile pele, u ka ngolisa webinar e tlang, moo re tla u bontša le ho u bolella ntho e 'ngoe le e' ngoe (u ka boela ua ithuta ka koetliso ea lihlahisoa tse tlang moo).

Flowmon Networks ke eng?

Pele ho tsohle, Flowmon ke morekisi oa IT oa Europe. Khampani ke Czech, e nang le ntlo-kholo e Brno (taba ea likotlo ha e so hlahisoe). Ka sebopeho sa eona sa hajoale, k'hamphani esale e le 'marakeng ho tloha 2007. Pejana, e ne e tsejoa tlasa lebitso la Invea-Tech. Kahoo, ka kakaretso, hoo e ka bang lilemo tse 20 li ile tsa sebelisoa ho hlahisa lihlahisoa le tharollo.

Flowmon e behiloe joalo ka mofuta oa A-class. E hlahisa litharollo tsa premium bakeng sa bareki ba likhoebo 'me e tsejoa ka har'a mabokose a Gartner bakeng sa Network Performance Monitoring and Diagnostics (NPMD). Ho feta moo, hoa thahasellisa hore ho lik'hamphani tsohle tse tlalehong eo, Flowmon ke eena feela morekisi ea boletsoeng ke Gartner e le moetsi oa tharollo bakeng sa ho shebella marang-rang le tšireletso ea tlhahisoleseding (Network Behavior Analysis). Ha e e-so nke sebaka sa pele, empa ka lebaka la sena ha e eme joalo ka lepheo la Boeing.

Sehlahisoa se rarolla mathata afe?

Lefatšeng ka bophara, re ka khetholla letamo le latelang la mesebetsi e rarolloang ke lihlahisoa tsa k'hamphani:

ho eketsa botsitso ba marang-rang, hammoho le lisebelisoa tsa marang-rang, ka ho fokotsa nako ea bona ea ho theoha le ho se fumanehe;
ho eketsa boemo ba kakaretso ea ts'ebetso ea marang-rang;
ho eketsa bokhoni ba basebetsi ba tsamaiso ka lebaka la:
- ho sebelisa lisebelisoa tsa morao-rao tsa ho shebella marang-rang tse thehiloeng boitsebisong bo mabapi le phallo ea IP;
- ho fana ka litlhahlobo tse qaqileng mabapi le ts'ebetso le boemo ba marang-rang - basebelisi le lits'ebetso tse sebetsang marang-rang, data e fetisitsoeng, lisebelisoa tse sebelisanang, lits'ebeletso le li-node;
- ho arabela liketsahalong pele li etsahala, eseng ka mor'a hore basebelisi le bareki ba lahleheloe ke tšebeletso;
- ho fokotsa nako le lisebelisoa tse hlokahalang ho tsamaisa marang-rang le lisebelisoa tsa IT;
- ho nolofatsa mesebetsi ea ho rarolla mathata.
ho eketsa boemo ba ts'ireletso ea marang-rang le lisebelisoa tsa tlhahisoleseling tsa khoebo, ka ts'ebeliso ea mahlale a sa saenang bakeng sa ho bona ts'ebetso e mpe le e mpe ea marang-rang, hammoho le "litlhaselo tsa matsatsi a zero";
ho netefatsa boemo bo hlokahalang ba SLA bakeng sa lits'ebetso tsa marang-rang le li-database.

Flowmon Networks Product Portfolio

Joale ha re shebeng ka kotloloho sephutheloana sa sehlahisoa sa Flowmon Networks 'me re fumane hore na hantle-ntle k'hamphani e etsa eng. Joalo ka ha ba bangata ba se ba nahanne ka lebitso, boits'oaro bo ka sehloohong ke tharollo ea ho shebella sephethephethe sa phallo, hammoho le li-module tse ling tse eketsang ts'ebetso ea mantlha.

Ha e le hantle, Flowmon e ka bitsoa k'hamphani ea sehlahisoa se le seng, kapa ho e-na le hoo, tharollo e le 'ngoe. Ha re boneng hore na sena se setle kapa se sebe.

Moko oa tsamaiso ke 'mokelli, ea nang le boikarabelo ba ho bokella lintlha ho sebelisa mekhoa e fapaneng ea phallo, joalo ka NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Hoa utloahala hore bakeng sa k'hamphani e sa amaneng le moetsi leha e le ofe oa lisebelisoa tsa marang-rang, ho bohlokoa ho fana ka 'maraka sehlahisoa sa bokahohle se sa tlamahaneng le litekanyetso leha e le life kapa protocol.

Mokelli oa Flowmon

Moqokelli o fumaneha ka bobeli e le seva sa hardware le joalo ka mochine oa sebele (VMware, Hyper-V, KVM). Ka tsela, sethala sa lisebelisoa se kengoa ts'ebetsong ho li-server tsa DELL tse ikhethileng, tse felisang boholo ba litaba ka waranti le RMA. Likarolo feela tsa thepa ea thepa ke likarete tsa ho ts'oara sephethephethe sa FPGA tse ntlafalitsoeng ke setsi sa Flowmon, se lumellang ho beha leihlo ka lebelo le fihlang ho 100 Gbps.

Empa seo u lokelang ho se etsa haeba lisebelisoa tsa marang-rang tse teng li sa khone ho hlahisa phallo ea boleng bo phahameng? Kapa moroalo oa thepa o phahame haholo? Ha ho bothata:

Flowmon Prob

Tabeng ena, Flowmon Networks e fana ka ho sebelisa li-probes tsa eona (Flowmon Probe), tse hokahaneng le marang-rang ka koung ea SPAN ea switch kapa ho sebelisa li-splitter tsa TAP tse sa sebetseng.

SPAN (seipone sa seipone) le likhetho tsa ts'ebetso ea TAP

Tabeng ena, sephethephethe se tala se fihlang Flowmon Probe se fetoloa IPFIX e atolositsoeng e nang le tse ling. 240 metrics e nang le tlhaiso-leseling. Le ha protocol e tloaelehileng ea NetFlow e hlahisoang ke lisebelisoa tsa marang-rang ha e na metrics e fetang 80. Sena se lumella ponahalo ea protocol eseng feela maemong a 3 le 4, empa hape le boemong ba 7 ho latela mohlala oa ISO OSI. Ka lebaka leo, batsamaisi ba marang-rang ba khona ho beha leihlo ts'ebetso ea lits'ebetso le liprothokholo tse kang e-mail, HTTP, DNS, SMB...

Ha e le hantle, moralo o utloahalang oa tsamaiso o shebahala tjena:

Karolo e bohareng ea "ecosystem" eohle ea Flowmon Networks ke Moqokeleli, ea amohelang sephethephethe ho tloha lisebelisoa tse teng tsa marang-rang kapa li-probes tsa eona (Probe). Empa bakeng sa tharollo ea Enterprise, ho fana ka ts'ebetso feela bakeng sa ho lekola sephethephethe sa marang-rang ho ka ba bonolo haholo. Litharollo tsa Open Source le tsona li ka etsa sena, leha e se ka ts'ebetso e joalo. Boleng ba Flowmon ke li-module tse ling tse eketsang ts'ebetso ea mantlha:

mojule Ts'ireletso ea ho lemoha ka mokhoa o sa tloaelehang - ho tsebahatsa ts'ebetso e makatsang ea marang-rang, ho kenyelletsa le litlhaselo tsa matsatsi a zero, ho ipapisitsoe le tlhahlobo ea heuristic ea sephethephethe le profil e tloaelehileng ea marang-rang;
mojule Ts'ebetso ea Ts'ebetso ea Ts'ebetso - ho lekola ts'ebetso ea lits'ebetso tsa marang-rang ntle le ho kenya "baemeli" le ho susumetsa lits'ebetso tsa sepheo;
mojule Sehatisi sa Sephethephethe - ho rekota likaroloana tsa sephethephethe sa marang-rang ho ea ka sete ea melao e boletsoeng esale pele kapa ho ea ka sesosa sa mojule oa ADS, bakeng sa ho rarolla mathata le / kapa lipatlisiso tsa liketsahalo tsa ts'ireletso ea tlhahisoleseling;
mojule Tšireletso ea DDoS - ts'ireletso ea pherimitha ea marang-rang ho tloha ho haneloa ha litlhaselo tsa lits'ebeletso tsa volumetric DoS / DDoS, ho kenyelletsa le litlhaselo tsa lits'ebetso (OSI L3 / L4 / L7).

Sehloohong sena, re tla sheba hore na ntho e 'ngoe le e' ngoe e sebetsa joang ho sebelisa mohlala oa li-module tse peli - Tlhokomelo ea Ts'ebetso ea Marang-rang le Tlhahlobo и Ts'ireletso ea ho lemoha ka mokhoa o sa tloaelehang.
Lintlha tsa pele:

Seva ea Lenovo RS 140 e nang le VMware 6.0 hypervisor;
Setšoantšo sa mochini oa Flowmon Collector seo u ka se khonang jarolla mona;
para ea li-switches tse tšehetsang li-protocol tsa phallo.

Mohato oa 1. Kenya Flowmon Collector

Ho romelloa ha mochini o sebetsang ho VMware ho etsahala ka mokhoa o tloaelehileng ho tsoa template ea OVF. Ka lebaka leo, re fumana mochini o sebetsang oa CentOS le software e ikemiselitseng ho e sebelisa. Litlhoko tsa lisebelisoa ke tsa botho:

Sohle se setseng ke ho etsa qalo ea mantlha u sebelisa taelo sysconfig:

Re lokisa IP boema-kepeng ba tsamaiso, DNS, nako, Hostname mme e ka hokela ho sebopeho sa WEB.

Mohato oa 2. Ho kenya laesense

Laesense ea teko ea khoeli e le 'ngoe le halofo e hlahisoa le ho kopitsoa hammoho le setšoantšo sa mochini o hlakileng. E kenngoe ka Setsi sa Tlhophiso -> License. Ka lebaka leo, re bona:

Tsohle di lokile. U ka qala ho sebetsa.

Mohato oa 3. Ho theha moamoheli ho mokelli

Mothating ona, o hloka ho etsa qeto ea hore na sistimi e tla fumana data ho tsoa mehloling joang. Joalokaha re boletse pejana, ena e ka ba e 'ngoe ea liprothokholo tsa phallo kapa boema-kepe ba SPAN ho switch.

Mohlala oa rona, re tla sebelisa kamohelo ea data re sebelisa li-protocol NetFlow v9 le IPFIX. Tabeng ena, re totobatsa aterese ea IP ea sebopeho sa Tsamaiso e le sepheo - 192.168.78.198. Li-interfaces eth2 le eth3 (tse nang le mofuta oa Monitoring interface) li sebelisoa ho amohela kopi ea sephethephethe se "tala" ho tsoa boema-kepeng ba SPAN ba switjha. Re ba lumella hore ba fete, eseng nyeoe ea rona.
Ka mor'a moo, re hlahloba kou ea mokelli moo sephethephethe se lokelang ho ea teng.

Tabeng ea rona, 'mokelli o mamela sephethephethe ho port UDP/2055.

Mohato oa 4. Ho lokisa lisebelisoa tsa marang-rang bakeng sa ho phalla ha thepa

Ho theha NetFlow lisebelisoa tsa Cisco Systems mohlomong ho ka bitsoa mosebetsi o tloaelehileng ka ho feletseng bakeng sa mookameli ofe kapa ofe oa marang-rang. Mohlala oa rona, re tla nka ntho e 'ngoe e sa tloaelehang. Ka mohlala, router ea MikroTik RB2011UiAS-2HnD. Ee, ka mokhoa o makatsang, tharollo e joalo ea tekanyetso bakeng sa liofisi tse nyane le tsa lapeng e boetse e ts'ehetsa liprothokholo tsa NetFlow v5/v9 le IPFIX. Litlhophisong, beha sepheo (aterese ea pokello 192.168.78.198 le port 2055):

'Me u kenye lintlha tsohle tse fumanehang bakeng sa ho romelloa ka ntle:

Mothating ona re ka bolela hore ho seta ha motheo ho felile. Re hlahloba hore na sephethephethe se kena tsamaisong.

Mohato oa 5: Ho Lekola le ho Sebelisa Network Performance Monitoring le Diagnostics Module

U ka hlahloba boteng ba sephethephethe ho tloha mohloling o karolong Setsi sa Tlhokomelo sa Flowmon -> Mehloli:

Re bona hore data e kena tsamaisong. Nako e itseng ka mor'a hore 'mokelli a bokelle sephethephethe, li-widget li tla qala ho hlahisa tlhahisoleseding:

Sistimi e hahiloe holim'a molao-motheo oa ho cheka. Ka mantsoe a mang, mosebelisi, ha a khetha sekhechana sa thahasello setšoantšong kapa kerafong, "o oela" boemong ba botebo ba data boo a bo hlokang:

Tlas'a tlhahisoleseling mabapi le khokahano e 'ngoe le e' ngoe ea marang-rang le khokahano:

Mohato 6. Anomaly Detection Security Module

Mojule ona o ka bitsoa e 'ngoe ea tse khahlang ka ho fetesisa, ka lebaka la ts'ebeliso ea mekhoa e sa lefelloeng ea ho saena bakeng sa ho lemoha liphoso tsa sephethephethe sa marang-rang le ts'ebetso e mpe ea marang-rang. Empa sena ha se analogue ea litsamaiso tsa IDS/IPS. Ho sebetsa le mojule ho qala ka "thupelo" ea eona. Ho etsa sena, wizate e khethehileng e hlalosa likarolo tsohle tsa bohlokoa le lits'ebeletso tsa marang-rang, ho kenyelletsa:

liaterese tsa heke, li-server tsa DNS, DHCP le NTP,
ho sebetsana le likarolo tsa basebelisi le seva.

Ka mor'a sena, tsamaiso e kena ka mokhoa oa koetliso, o nkang ka karolelano ho tloha libeke tse 2 ho isa ho khoeli e le 'ngoe. Nakong ena, tsamaiso e hlahisa sephethephethe sa motheo se tobileng marang-rang a rona. Ka mantsoe a bonolo, sistimi e ithuta:

ke boitšoaro bofe bo tloaelehileng bakeng sa li-node tsa marang-rang?
Ke mefuta efe ea data e fetisetsoang hangata mme e tloaelehile bakeng sa marang-rang?
Nako e tloaelehileng ea ho sebetsa bakeng sa basebelisi ke efe?
ke lisebelisoa life tse sebetsang marang-rang?
le tse ling tse ngata..

Ka lebaka leo, re fumana sesebelisoa se khethollang mathata leha e le afe marang-rang a rona le ho kheloha boitšoarong bo tloaelehileng. Mona ke mehlala e 'maloa eo sistimi e u lumellang ho e bona:

kabo ea malware a macha marang-rang a sa bonoeng ke li-signature tsa antivirus;
ho haha DNS, ICMP kapa lithanele tse ling le ho fetisa data ka ho feta firewall;
ponahalo ea komporo e ncha marang-rang e iketsang joalo ka DHCP le/kapa seva sa DNS.

Ha re bone hore na e shebahala joang phela. Kamora hore sistimi ea hau e koetlisitsoe le ho theha motheo oa sephethephethe sa marang-rang, e qala ho bona liketsahalo:

Leqephe la sehlooho la mojule ke kemiso ea nako e bonts'ang liketsahalo tse khethiloeng. Mohlala oa rona, re bona sekhahla se hlakileng, se ka bang lipakeng tsa lihora tse 9 le 16. Ha re e khethe 'me re shebe ka botlalo.

Boitšoaro bo sa tloaelehang ba mohlaseli marang-rang bo bonahala ka ho hlaka. Tsohle li qala ka taba ea hore moamoheli ea nang le aterese 192.168.3.225 o ile a qala tlhahlobo e otlolohileng ea marang-rang ho port 3389 (tšebeletso ea Microsoft RDP) mme a fumana "mahlatsipa" a 14 a ka bang teng:

Ketsahalo e latelang e rekotiloeng - moamoheli 192.168.3.225 o qala tlhaselo e matla ea matla ho sebelisa li-password tsa ts'ebeletso ea RDP (port 3389) liatereseng tse neng li tsejoa pele:

Ka lebaka la tlhaselo eo, ho fumanoe phoso ea SMTP ho e 'ngoe ea mabotho a utsoitsoeng. Ka mantsoe a mang, SPAM e se e qalile:

Mohlala ona ke pontšo e hlakileng ea bokhoni ba sistimi le module ea Ts'ireletso ea Anomaly Detection ka ho khetheha. Ahlolele katleho ka bouena. Sena se phethela kakaretso ea ts'ebetso ea tharollo.

fihlela qeto e

Ha re akaretse hore na re ka fihlela liqeto life ka Flowmon:

Flowmon ke tharollo ea premium bakeng sa bareki ba likhoebo;
ka lebaka la ho feto-fetoha ha eona le ho lumellana ha eona, pokello ea lintlha e fumaneha ho tsoa mohloling ofe kapa ofe: lisebelisoa tsa marang-rang (Cisco, Juniper, HPE, Huawei ...) kapa li-probes tsa hau (Flowmon Probe);
Bokhoni ba scalability ba tharollo bo u lumella ho holisa ts'ebetso ea sistimi ka ho eketsa li-module tse ncha, hammoho le ho eketsa tlhahiso ka lebaka la mokhoa o bonolo oa ho fana ka laesense;
ka tšebeliso ea mahlale a tlhahlobo a sa saenang, sistimi e u lumella ho bona litlhaselo tsa matsatsi a zero le tse sa tsejoeng ke li-antivirus le litsamaiso tsa IDS/IPS;
ka lebaka la "ponaletso" e felletseng mabapi le ho kenya le ho ba teng ha sistimi marang-rang - tharollo ha e ame ts'ebetso ea li-node tse ling le likarolo tsa lisebelisoa tsa hau tsa IT;
Flowmon ke eona feela tharollo 'marakeng e tšehetsang ho lekola sephethephethe ka lebelo ho fihla ho 100 Gbps;
Flowmon ke tharollo bakeng sa marang-rang a tekanyo efe kapa efe;
karo-karolelano e ntle ka ho fetisisa ea theko / ts'ebetso har'a litharollo tse tšoanang.

Tlhahlobisong ena, re hlahlobile ka tlase ho 10% ea ts'ebetso eohle ea tharollo. Sehloohong se latelang re tla bua ka li-module tsa Flowmon Networks tse setseng. Re sebelisa mohlala oa Mojule oa Ts'ebetso ea Ts'ebetso ea Ts'ebetso e le mohlala, re tla bonts'a hore na batsamaisi ba kopo ea khoebo ba ka etsa bonnete ba hore bo fumaneha joang boemong bo fanoeng ba SLA, hammoho le ho hlahloba mathata kapele kamoo ho ka khonehang.

Hape, re rata ho u memela ho webinar ea rona (10.09.2019/XNUMX/XNUMX) e inehetseng ho tharollo ea barekisi ba Flowmon Networks. Ho ingolisa esale pele, rea o kopa ngodisa mona.
Ke tsohle hajoale, ke leboha thahasello ea hau!

Ke basebelisi ba ngolisitsoeng feela ba ka kenyang letsoho phuputsong. kenaka kopo.

Na u sebelisa Netflow bakeng sa tlhahlobo ea marang-rang?

hore
Che, empa ke rera ho etsa joalo
No

Basebelisi ba 9 ba ile ba khetha. Basebelisi ba 3 ba hanne.

Source: www.habr.com

Tlhokomelo ea marang-rang le ho lemoha ts'ebetso e sa tloaelehang ea marang-rang ho sebelisa tharollo ea Flowmon Networks