Ngawaskeun jaringan sareng deteksi kagiatan jaringan anomali nganggo solusi Flowmon Networks

Anyar-anyar ieu, anjeun tiasa mendakan sajumlah ageung bahan dina topik dina Internét. analisis lalulintas di perimeter jaringan. Dina waktos anu sami, pikeun sababaraha alesan sadayana sadayana hilap analisis lalulintas lokal, nu teu kurang pentingna. Artikel ieu alamat persis topik ieu. Salaku conto Jaringan Flowmon urang bakal apal kana Netflow heubeul alus (jeung alternatif na), kasampak di kasus metot, anomali mungkin dina jaringan jeung manggihan kaunggulan leyuran lamun sakabéh jaringan jalan salaku sensor tunggal. Sareng anu paling penting, anjeun tiasa ngalaksanakeun analisa lalu lintas lokal sacara gratis, dina kerangka lisénsi percobaan (poé 45). Lamun topik metot pikeun anjeun, wilujeng sumping di ucing. Upami anjeun teu puguh maca, teras, ningali payun, anjeun tiasa ngadaptarkeun webinar upcoming, Dimana urang bakal némbongkeun sarta ngabejaan Anjeun sagalana (anjeun ogé bisa diajar ngeunaan latihan produk upcoming aya).

Naon ari Flowmon Networks?

Anu mimiti, Flowmon mangrupikeun padagang IT Éropa. Perusahaan nyaéta Czech, sareng markasna di Brno (masalah sanksi henteu diangkat). Dina bentuk ayeuna, perusahaan parantos aya di pasar saprak 2007. Saméméhna, éta dipikawanoh dina brand Invea-Tech. Janten, total, ampir 20 taun diséépkeun pikeun ngembangkeun produk sareng solusi.

Flowmon diposisikan salaku merek kelas A. Ngembangkeun solusi premium pikeun konsumén perusahaan sareng dikenal dina kotak Gartner pikeun Pangimeutan Kinerja Jaringan sareng Diagnostik (NPMD). Sumawona, anu pikaresepeun, sadaya perusahaan dina laporan éta, Flowmon mangrupikeun hiji-hijina padagang anu kacatet ku Gartner salaku produsén solusi pikeun ngawaskeun jaringan sareng panyalindungan inpormasi (Analisis Paripolah Jaringan). Éta henteu nyandak tempat kahiji, tapi kusabab ieu henteu nangtung sapertos jangjang Boeing.

Masalah naon anu direngsekeun ku produk?

Sacara global, urang tiasa ngabédakeun kumpulan tugas di handap ieu anu direngsekeun ku produk perusahaan:

1. ngaronjatkeun stabilitas jaringan, kitu ogé sumberdaya jaringan, ku ngaminimalkeun downtime na unavailability;
2. ningkatkeun tingkat sakabéh kinerja jaringan;
3. ngaronjatkeun efisiensi tanaga administrasi alatan:
   • ngagunakeun parabot ngawaskeun jaringan inovatif modern dumasar kana informasi ngeunaan aliran IP;
   • nyadiakeun analytics lengkep ngeunaan fungsi jeung kaayaan jaringan - pamaké sarta aplikasi ngajalankeun dina jaringan, data dikirimkeun, interacting sumberdaya, jasa jeung titik;
   • ngabales kajadian sateuacan kajadian, sareng sanés saatos pangguna sareng klien kaleungitan jasa;
   • ngirangan waktos sareng sumber daya anu diperyogikeun pikeun ngatur jaringan sareng infrastruktur IT;
   • nyederhanakeun tugas ngungkulan.
4. ningkatkeun tingkat kaamanan jaringan sareng sumber inpormasi perusahaan, ngalangkungan téknologi non-signature pikeun ngadeteksi kagiatan jaringan anu anomali sareng jahat, ogé "serangan enol dinten";
5. mastikeun tingkat SLA diperlukeun pikeun aplikasi jaringan sarta database.

Portopolio Produk Flowmon Networks

Ayeuna hayu urang tingali langsung kana portopolio produk Flowmon Networks sareng milarian naon anu dilakukeun ku perusahaan. Sakumaha seueur anu parantos ditebak tina nami, spésialisasi utama aya dina solusi pikeun ngawaskeun lalu lintas aliran streaming, ditambah sajumlah modul tambahan anu dilegakeun fungsionalitas dasar.

Kanyataanna, Flowmon bisa disebut parusahaan hiji produk, atawa rada, hiji solusi. Hayu urang terang naha ieu saé atanapi goréng.

Inti sistem nyaéta kolektor, anu tanggung jawab pikeun ngumpulkeun data nganggo sababaraha protokol aliran, sapertos NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Ieu rada logis nu keur parusahaan teu gawe bareng jeung sagala produsén parabot jaringan, hal anu penting pikeun nawiskeun pasar produk universal nu teu dihijikeun ka salah sahiji standar atawa protokol.

Kolektor Flowmon

Kolektor sayogi salaku server hardware sareng salaku mesin virtual (VMware, Hyper-V, KVM). Ku jalan kitu, platform hardware dilaksanakeun dina server DELL ngaropéa, anu sacara otomatis ngaleungitkeun seueur masalah sareng garansi sareng RMA. Hiji-hijina komponén hardware proprietary nyaéta kartu néwak lalu lintas FPGA anu dikembangkeun ku anak perusahaan Flowmon, anu ngamungkinkeun ngawaskeun kecepatan dugi ka 100 Gbps.

Tapi naon anu kudu dipigawé lamun alat jaringan aya teu bisa ngahasilkeun aliran kualitas luhur? Atawa beban dina parabot teuing tinggi? Henteu masalah:

Flowmon Prob

Dina hal ieu, Flowmon Networks nawarkeun ngagunakeun panyilidikan sorangan (Flowmon Probe), nu disambungkeun ka jaringan via port SPAN switch atawa maké splitters TAP pasip.

SPAN (port eunteung) jeung pilihan palaksanaan TAP

Dina hal ieu, lalu lintas atah anu dugi ka Flowmon Probe dirobih janten IPFIX anu diperluas anu ngandung langkung seueur. 240 métrik kalayan inpormasi. Bari protokol NetFlow baku dihasilkeun ku alat jaringan ngandung teu leuwih ti 80 metrics. Hal ieu ngamungkinkeun pikeun pisibilitas protokol teu ukur di tingkat 3 jeung 4, tapi ogé di tingkat 7 nurutkeun model ISO OSI. Hasilna, pangurus jaringan tiasa ngawas fungsi aplikasi sareng protokol sapertos e-mail, HTTP, DNS, SMB...

Sacara konseptual, arsitéktur logis tina sistem sapertos kieu:

Bagian sentral tina sakabéh "ékosistem" Flowmon Networks nyaéta Kolektor, anu nampi lalu lintas tina alat jaringan anu tos aya atanapi panyilidikan sorangan (Probe). Tapi pikeun solusi Perusahaan, nyayogikeun fungsionalitas ngan ukur pikeun ngawaskeun lalu lintas jaringan bakal saderhana teuing. Solusi Open Source ogé tiasa ngalakukeun ieu, sanaos henteu kalayan pagelaran sapertos kitu. Nilai Flowmon mangrupikeun modul tambahan anu ngalegaan fungsionalitas dasar:

• modul Kaamanan Deteksi Anomali - idéntifikasi kagiatan jaringan anomali, kalebet serangan enol dinten, dumasar kana analisa heuristik lalu lintas sareng profil jaringan umum;
• modul Ngawaskeun Performance Performance Aplikasi - ngawaskeun kinerja aplikasi jaringan tanpa masang "agén" sareng mangaruhan sistem target;
• modul Parékam Lalu Lintas - ngarékam fragmen lalu lintas jaringan numutkeun sakumpulan aturan anu tos siap atanapi dumasar kana pemicu tina modul ADS, pikeun ngungkulan salajengna sareng/atawa panalungtikan insiden kaamanan inpormasi;
• modul Protection DDoS - panyalindungan perimeter jaringan tina volumetrik DoS / DDoS panolakan serangan jasa, kalebet serangan dina aplikasi (OSI L3 / L4 / L7).

Dina tulisan ieu, urang bakal ningali kumaha sadayana jalan langsung nganggo conto 2 modul - Pangimeutan Kinerja Jaringan sareng Diagnostik и Kaamanan Deteksi Anomali.
Data awal:

• Lenovo RS 140 server kalawan VMware 6.0 hypervisor;
• Gambar mesin virtual Flowmon Collector anu anjeun tiasa ngundeur di dieu;
• sapasang saklar ngarojong protokol aliran.

Lengkah 1. Pasang Flowmon Collector

Deployment of a mesin virtual on VMware lumangsung dina cara lengkep baku ti template OVF. Hasilna, urang kéngingkeun mesin virtual anu ngajalankeun CentOS sareng parangkat lunak anu siap dianggo. Syarat sumberdaya manusa:

Sadaya anu tetep nyaéta ngalaksanakeun initialization dasar nganggo paréntah sysconfig:

Urang ngonpigurasikeun IP dina port manajemén, DNS, waktos, Hostname tur bisa nyambung ka panganteur WEB.

Lengkah 2. instalasi lisénsi

Lisensi percobaan pikeun hiji satengah bulan dihasilkeun sareng diunduh sareng gambar mesin virtual. Dimuat via Pusat Konfigurasi -> Lisensi. Hasilna urang tingali:

Kabéh geus siap. Anjeun tiasa ngamimitian damel.

lengkah 3. Nyetel panarima on collector

Dina tahap ieu, anjeun kedah mutuskeun kumaha sistem bakal nampi data tina sumber. Salaku ceuk urang tadi, ieu bisa jadi salah sahiji protokol aliran atawa port SPAN on switch.

Dina conto urang, urang bakal ngagunakeun panarimaan data ngagunakeun protokol NetFlow v9 sareng IPFIX. Dina hal ieu, urang nangtukeun alamat IP tina panganteur Manajemén salaku udagan - 192.168.78.198. Interfaces eth2 na eth3 (kalawan tipe panganteur Monitoring) dipaké pikeun nampa salinan tina lalulintas "atah" ti port SPAN saklar. Urang ngantepkeun aranjeunna, sanés kasus urang.
Salajengna, urang pariksa port collector dimana lalulintas kudu indit.

Dina hal urang, kolektor ngadangukeun lalu lintas dina port UDP/2055.

Lengkah 4. Ngonpigurasikeun alat jaringan pikeun ékspor aliran

Nyetél NetFlow on parabot Cisco Systems meureun bisa disebut tugas lengkep umum pikeun sagala administrator jaringan. Pikeun conto urang, urang bakal nyandak hal anu langkung teu biasa. Contona, router MikroTik RB2011UiAS-2HnD. Leres, cukup aneh, solusi anggaran sapertos pikeun kantor leutik sareng bumi ogé ngadukung protokol NetFlow v5 / v9 sareng IPFIX. Dina setélan, setel udagan (alamat kolektor 192.168.78.198 sareng port 2055):

Sareng tambahkeun sadaya métrik anu sayogi pikeun ékspor:

Dina titik ieu urang tiasa nyarios yén setélan dasar parantos réngsé. Urang pariksa naha lalulintas asup kana sistem.

Lengkah 5: Nguji sareng Ngoperasikeun Modul Pangimeutan Kinerja Jaringan sareng Diagnostik

Anjeun tiasa pariksa ayana lalulintas ti sumber dina bagian Flowmon Monitoring Center -> Sumber:

Kami ningali yén data asup kana sistem. Sababaraha waktos saatos kolektor ngumpulkeun lalu lintas, widget bakal mimiti nunjukkeun inpormasi:

Sistim ieu diwangun dina prinsip bor handap. Nyaéta, pangguna, nalika milih sempalan anu dipikaresep dina diagram atanapi grafik, "turun" ka tingkat jero data anu diperyogikeun:

Turun kana inpormasi ngeunaan unggal sambungan sareng sambungan jaringan:

Lengkah 6. Anomali Deteksi Kaamanan Module

modul ieu bisa disebut meureun salah sahiji anu pang metot, berkat pamakéan métode signature-gratis pikeun detecting anomali dina lalulintas jaringan jeung aktivitas jaringan jahat. Tapi ieu sanés analog tina sistem IDS / IPS. Gawe sareng modul dimimitian ku na "latihan". Jang ngalampahkeun ieu, wizard husus nangtukeun sakabéh komponén konci na jasa jaringan, kaasup:

• alamat gateway, DNS, DHCP sareng server NTP,
• alamat dina bagéan pamaké sarta server.

Sanggeus ieu, sistem balik kana mode latihan, nu lasts rata-rata ti 2 minggu ka 1 bulan. Salila ieu, sistem ngahasilkeun lalu lintas dasar anu khusus pikeun jaringan urang. Kantun nempatkeun, sistem diajar:

• kabiasaan naon has pikeun titik jaringan?
• Jilid data naon anu biasana ditransfer sareng normal pikeun jaringan?
• Naon waktos operasi has pikeun pangguna?
• aplikasi naon ngajalankeun dina jaringan?
• sareng seueur deui..

Hasilna, urang meunang alat nu nangtukeun naon anomali dina jaringan urang jeung simpangan tina kabiasaan has. Ieu sababaraha conto anu ngamungkinkeun anjeun ngadeteksi sistem:

• panyebaran malware anyar dina jaringan anu henteu dideteksi ku tanda tangan antipirus;
• ngawangun DNS, ICMP atanapi torowongan sanés sareng ngirimkeun data ngalangkungan firewall;
• penampilan komputer anyar dina jaringan posing salaku DHCP jeung / atawa server DNS.

Hayu urang tingali kumaha éta hirup. Saatos sistem anjeun dilatih sareng ngawangun garis dasar lalu lintas jaringan, éta mimiti ngadeteksi kajadian:

Halaman utama modul mangrupikeun garis waktos anu nunjukkeun kajadian anu diidentifikasi. Dina conto urang, urang ningali spike jelas, kira antara 9 jeung 16 jam. Hayu urang pilih sareng tingali langkung rinci.

Paripolah anomali tina panyerang dina jaringan jelas katingali. Éta sadayana dimimitian ku kanyataan yén host kalayan alamat 192.168.3.225 mimiti scan horizontal jaringan dina port 3389 (layanan Microsoft RDP) sareng mendakan 14 poténsi "korban":

и

Kajadian anu kacatet di handap ieu - host 192.168.3.225 ngamimitian serangan brute force kana kecap konci gaya BRUTE dina layanan RDP (port 3389) dina alamat anu diidentifikasi sateuacana:

Salaku hasil tina serangan, hiji anomali SMTP dideteksi dina salah sahiji host hacked. Dina basa sejen, SPAM geus dimimitian:

Conto ieu mangrupikeun demonstrasi anu jelas ngeunaan kamampuan sistem sareng modul Kaamanan Deteksi Anomali hususna. Nangtoskeun efektivitas pikeun diri anjeun. Ieu nyimpulkeun tinjauan fungsional solusi.

kacindekan

Hayu urang nyimpulkeun naon anu urang tiasa tarik ngeunaan Flowmon:

• Flowmon mangrupakeun solusi premium pikeun konsumén perusahaan;
• hatur nuhun kana versatility sarta kasaluyuan, pendataan sadia tina sagala sumber: alat jaringan (Cisco, Juniper, HPE, Huawei ...) atawa panyilidikan sorangan (Flowmon Probe);
• Kamampuan skalabilitas solusi ngamungkinkeun anjeun pikeun ngalegaan fungsionalitas sistem ku nambihan modul énggal, ogé ningkatkeun produktivitas berkat pendekatan anu fleksibel pikeun lisénsi;
• ngaliwatan pamakéan téknologi analisis signature-gratis, sistem ngidinan Anjeun pikeun ngadeteksi serangan enol poé malah kanyahoan mun antipirus jeung sistem IDS / IPS;
• hatur nuhun kana "transparansi" lengkep dina hal instalasi sareng ayana sistem dina jaringan - solusi henteu mangaruhan operasi titik sareng komponén infrastruktur IT anjeun;
• Flowmon mangrupikeun hiji-hijina solusi dina pasar anu ngadukung ngawaskeun lalu lintas dina kecepatan dugi ka 100 Gbps;
• Flowmon mangrupikeun solusi pikeun jaringan tina skala naon waé;
• rasio harga pangalusna / fungsionalitas diantara solusi sarupa.

Dina ulasan ieu, urang nalungtik kirang ti 10% tina total fungsionalitas solusi. Dina artikel salajengna urang bakal ngobrol ngeunaan modul Flowmon Networks sésana. Ngagunakeun modul Pangimeutan Performance Aplikasi sabagé conto, urang bakal némbongkeun kumaha pangurus aplikasi bisnis bisa mastikeun kasadiaan dina tingkat SLA tinangtu, kitu ogé diagnosis masalah gancang-gancang.

Ogé, kami hoyong ngajak anjeun kana webinar kami (10.09.2019/XNUMX/XNUMX) khusus pikeun solusi anu ngajual Flowmon Networks. Pikeun tos ngadaptar, kami naroskeun ka anjeun ngadaptar dieu.
Sakitu waé pikeun ayeuna, hatur nuhun pikeun kapentingan anjeun!

Ngan pamaké nu kadaptar bisa ilubiung dina survey. Daptar, Punten.

Naha anjeun nganggo Netflow pikeun ngawaskeun jaringan?

• yen

• Henteu, tapi kuring rencanana

• teu

9 pamaké milih. 3 pamaké abstained.

sumber: www.habr.com