Nätverksövervakning och detektering av onormal nätverksaktivitet med Flowmon Networks lösningar

Nyligen kan du hitta en enorm mängd material om ämnet på Internet. trafikanalys vid nätverkets perimeter. Samtidigt glömde alla av någon anledning helt bort lokal trafikanalys, vilket inte är mindre viktigt. Den här artikeln tar upp just detta ämne. Till exempel Flowmon nätverk vi kommer att minnas det gamla goda Netflow (och dess alternativ), titta på intressanta fall, möjliga anomalier i nätverket och ta reda på fördelarna med lösningen när hela nätverket fungerar som en enda sensor. Och viktigast av allt, du kan genomföra en sådan analys av lokal trafik helt kostnadsfritt, inom ramen för en provlicens (45 dagar). Om ämnet är intressant för dig, välkommen till katt. Om du är för lat för att läsa kan du, när du ser framåt, registrera dig för kommande webbseminarium, där vi kommer att visa och berätta allt (du kan också lära dig om kommande produktutbildning där).

Vad är Flowmon Networks?

För det första är Flowmon en europeisk IT-leverantör. Företaget är tjeckiskt, med huvudkontor i Brno (frågan om sanktioner tas inte ens upp). I sin nuvarande form har företaget funnits på marknaden sedan 2007. Tidigare var det känt under varumärket Invea-Tech. Så totalt ägnades nästan 20 år åt att utveckla produkter och lösningar.

Flowmon är positionerat som ett varumärke i A-klass. Utvecklar premiumlösningar för företagskunder och är erkänd i Gartner-boxarna för Network Performance Monitoring and Diagnostics (NPMD). Dessutom, intressant nog, av alla företag i rapporten är Flowmon den enda leverantören som Gartner noterar som tillverkare av lösningar för både nätverksövervakning och informationsskydd (Network Behavior Analysis). Den tar inte förstaplatsen än, men på grund av detta står den inte som en Boeing-vinge.

Vilka problem löser produkten?

Globalt kan vi särskilja följande pool av uppgifter som löses av företagets produkter:

1. öka stabiliteten i nätverket, såväl som nätverksresurser, genom att minimera deras stilleståndstid och otillgänglighet;
2. öka den övergripande nivån av nätverksprestanda;
3. öka effektiviteten hos administrativ personal på grund av:
   • använda moderna innovativa nätverksövervakningsverktyg baserade på information om IP-flöden;
   • tillhandahålla detaljerad analys om nätverkets funktion och tillstånd - användare och applikationer som körs på nätverket, överförda data, interagerande resurser, tjänster och noder;
   • reagera på incidenter innan de inträffar, och inte efter att användare och kunder förlorat service;
   • minska den tid och de resurser som krävs för att administrera nätverket och IT-infrastrukturen;
   • förenkla felsökningsuppgifter.
4. öka säkerhetsnivån för företagets nätverk och informationsresurser genom användning av icke-signaturteknologier för att upptäcka onormal och skadlig nätverksaktivitet, såväl som "nolldagsattacker";
5. säkerställa den erforderliga nivån av SLA för nätverksapplikationer och databaser.

Flowmon Networks produktportfölj

Låt oss nu titta direkt på Flowmon Networks produktportfölj och ta reda på exakt vad företaget gör. Som många redan har gissat från namnet ligger huvudinriktningen på lösningar för strömmande flödestrafikövervakning, plus ett antal ytterligare moduler som utökar den grundläggande funktionaliteten.

Faktum är att Flowmon kan kallas ett företag med en produkt, eller snarare en lösning. Låt oss ta reda på om detta är bra eller dåligt.

Kärnan i systemet är insamlaren som ansvarar för att samla in data med hjälp av olika flödesprotokoll, som t.ex. NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Det är ganska logiskt att för ett företag som inte är anslutet till någon tillverkare av nätverksutrustning är det viktigt att erbjuda marknaden en universell produkt som inte är bunden till någon standard eller protokoll.

Flowmon samlare

Samlaren finns både som hårdvaruserver och som virtuell maskin (VMware, Hyper-V, KVM). Förresten är hårdvaruplattformen implementerad på anpassade DELL-servrar, vilket automatiskt eliminerar de flesta problem med garanti och RMA. De enda proprietära hårdvarukomponenterna är FPGA-trafikfångstkort utvecklade av ett dotterbolag till Flowmon, som tillåter övervakning i hastigheter på upp till 100 Gbps.

Men vad ska man göra om befintlig nätverksutrustning inte kan generera högkvalitativt flöde? Eller är belastningen på utrustningen för hög? Inga problem:

Flowmon Prob

I det här fallet erbjuder Flowmon Networks att använda sina egna prober (Flowmon Probe), som är anslutna till nätverket via SPAN-porten på switchen eller med hjälp av passiva TAP-delare.

SPAN (spegelport) och TAP implementeringsalternativ

I det här fallet omvandlas den råa trafiken som anländer till Flowmon-sonden till en utökad IPFIX som innehåller mer 240 mätvärden med information. Medan standard NetFlow-protokoll som genereras av nätverksutrustning inte innehåller mer än 80 mätvärden. Detta möjliggör protokollsynlighet inte bara på nivåerna 3 och 4, utan även på nivå 7 enligt ISO OSI-modellen. Som ett resultat kan nätverksadministratörer övervaka funktionen hos applikationer och protokoll som e-post, HTTP, DNS, SMB...

Konceptuellt ser systemets logiska arkitektur ut så här:

Den centrala delen av hela Flowmon Networks "ekosystem" är Collector, som tar emot trafik från befintlig nätverksutrustning eller sina egna sonder (Probe). Men för en Enterprise-lösning skulle det vara för enkelt att tillhandahålla funktionalitet enbart för att övervaka nätverkstrafik. Open Source-lösningar kan också göra detta, om än inte med sådan prestanda. Värdet av Flowmon är ytterligare moduler som utökar den grundläggande funktionaliteten:

• modul Säkerhet för upptäckt av anomalier – Identifiering av onormal nätverksaktivitet, inklusive nolldagsattacker, baserat på heuristisk analys av trafik och en typisk nätverksprofil.
• modul Övervakning av applikationsprestanda – övervaka prestanda för nätverkstillämpningar utan att installera "agenter" och påverka målsystem;
• modul Trafikmätare – registrera fragment av nätverkstrafik enligt en uppsättning fördefinierade regler eller enligt en trigger från ADS-modulen, för vidare felsökning och/eller undersökning av informationssäkerhetsincidenter;
• modul DDoS-skydd – skydd av nätverksperimetern från volymetriska DoS/DDoS-överbelastningsattacker, inklusive attacker på applikationer (OSI L3/L4/L7).

I den här artikeln kommer vi att titta på hur allt fungerar live med exemplet med 2 moduler - Nätverksprestandaövervakning och diagnostik и Säkerhet för upptäckt av anomalier.
Initial data:

• Lenovo RS 140-server med VMware 6.0 hypervisor;
• Flowmon Collector virtuell maskinbild som du kan ladda ner här;
• ett par omkopplare som stöder flödesprotokoll.

Steg 1. Installera Flowmon Collector

Distribution av en virtuell maskin på VMware sker på ett helt standardsätt från OVF-mallen. Som ett resultat får vi en virtuell maskin som kör CentOS och med programvara som är färdig att använda. Resurskraven är humana:

Allt som återstår är att utföra grundläggande initiering med kommandot sysconfig:

Vi konfigurerar IP på hanteringsporten, DNS, tid, värdnamn och kan ansluta till WEB-gränssnittet.

Steg 2. Licensinstallation

En testlicens för en och en halv månad genereras och laddas ner tillsammans med den virtuella maskinavbildningen. Laddas via Konfigurationscenter -> Licens. Som ett resultat ser vi:

Allt är klart. Du kan börja jobba.

Steg 3. Installation av mottagaren på uppsamlaren

I detta skede måste du bestämma hur systemet ska ta emot data från källor. Som vi sa tidigare kan detta vara ett av flödesprotokollen eller en SPAN-port på switchen.

I vårt exempel kommer vi att använda datamottagning med protokoll NetFlow v9 och IPFIX. I det här fallet anger vi IP-adressen för hanteringsgränssnittet som ett mål - 192.168.78.198. Gränssnitt eth2 och eth3 (med gränssnittstypen Monitoring) används för att ta emot en kopia av den "råa" trafiken från SPAN-porten på switchen. Vi släppte igenom dem, inte vårt fall.
Därefter kontrollerar vi samlarporten där trafiken ska gå.

I vårt fall lyssnar samlaren efter trafik på port UDP/2055.

Steg 4. Konfigurera nätverksutrustning för flödesexport

Att ställa in NetFlow på Cisco Systems utrustning kan nog kallas en helt vanlig uppgift för vilken nätverksadministratör som helst. Som vårt exempel tar vi något mer ovanligt. Till exempel, routern MikroTik RB2011UiAS-2HnD. Ja, konstigt nog stöder en sådan budgetlösning för små kontor och hemmakontor också NetFlow v5/v9 och IPFIX-protokollen. I inställningarna, ställ in målet (samlaradress 192.168.78.198 och port 2055):

Och lägg till alla mätvärden som är tillgängliga för export:

Vid det här laget kan vi säga att grundinställningen är klar. Vi kontrollerar om trafik kommer in i systemet.

Steg 5: Testa och använda modulen för övervakning och diagnostik av nätverksprestanda

Du kan kontrollera närvaron av trafik från källan i avsnittet Flowmon Monitoring Center –> Källor:

Vi ser att data kommer in i systemet. En tid efter att samlaren har samlat på sig trafik kommer widgetarna att börja visa information:

Systemet är byggt på drill down-principen. Det vill säga att användaren, när han väljer ett fragment av intresse på ett diagram eller diagram, "faller" till den nivå av djup av data som han behöver:

Ned till information om varje nätverksanslutning och anslutning:

Steg 6. Säkerhetsmodul för avvikelsedetektering

Denna modul kan kallas kanske en av de mest intressanta, tack vare användningen av signaturfria metoder för att upptäcka anomalier i nätverkstrafik och skadlig nätverksaktivitet. Men detta är inte en analog till IDS/IPS-system. Arbetet med modulen börjar med dess "träning". För att göra detta specificerar en speciell guide alla nyckelkomponenter och tjänster i nätverket, inklusive:

• gateway-adresser, DNS-, DHCP- och NTP-servrar,
• adressering i användar- och serversegment.

Efter detta går systemet in i träningsläge, som varar i genomsnitt från 2 veckor till 1 månad. Under denna tid genererar systemet baslinjetrafik som är specifik för vårt nätverk. Enkelt uttryckt lär sig systemet:

• vilket beteende är typiskt för nätverksnoder?
• Vilka mängder data överförs vanligtvis och är normala för nätverket?
• Vad är den typiska drifttiden för användare?
• vilka program körs på nätverket?
• och mycket mer..

Som ett resultat får vi ett verktyg som identifierar eventuella anomalier i vårt nätverk och avvikelser från typiskt beteende. Här är ett par exempel som systemet låter dig upptäcka:

• distribution av ny skadlig programvara på nätverket som inte upptäcks av antivirussignaturer;
• bygga DNS, ICMP eller andra tunnlar och sända data förbi brandväggen;
• utseendet på en ny dator i nätverket som poserar som en DHCP- och/eller DNS-server.

Låt oss se hur det ser ut live. Efter att ditt system har tränats och byggt en baslinje för nätverkstrafik, börjar det upptäcka incidenter:

Modulens huvudsida är en tidslinje som visar identifierade incidenter. I vårt exempel ser vi en tydlig spik, ungefär mellan 9 och 16 timmar. Låt oss välja det och titta mer i detalj.

Angriparens avvikande beteende på nätverket är tydligt synligt. Allt börjar med det faktum att värden med adressen 192.168.3.225 påbörjade en horisontell genomsökning av nätverket på port 3389 (Microsoft RDP-tjänst) och hittade 14 potentiella "offer":

и

Följande inspelade incident - värd 192.168.3.225 börjar en brute force-attack för att brute force-lösenord på RDP-tjänsten (port 3389) på de tidigare identifierade adresserna:

Som ett resultat av attacken upptäcks en SMTP-avvikelse på en av de hackade värdarna. Med andra ord, SPAM har börjat:

Det här exemplet är en tydlig demonstration av funktionerna hos systemet och i synnerhet anomalidetektionssäkerhetsmodulen. Bedöm effektiviteten själv. Detta avslutar den funktionella översikten av lösningen.

Slutsats

Låt oss sammanfatta vilka slutsatser vi kan dra om Flowmon:

• Flowmon är en premiumlösning för företagskunder;
• tack vare dess mångsidighet och kompatibilitet är datainsamling tillgänglig från alla källor: nätverksutrustning (Cisco, Juniper, HPE, Huawei...) eller dina egna sonder (Flowmon Probe);
• Lösningens skalbarhetsmöjligheter gör att du kan utöka funktionaliteten i systemet genom att lägga till nya moduler, samt öka produktiviteten tack vare ett flexibelt tillvägagångssätt för licensiering;
• genom användning av signaturfria analysteknologier låter systemet dig upptäcka nolldagsattacker även okända för antivirus och IDS/IPS-system;
• tack vare fullständig "transparens" när det gäller installation och närvaro av systemet i nätverket - lösningen påverkar inte driften av andra noder och komponenter i din IT-infrastruktur;
• Flowmon är den enda lösningen på marknaden som stöder trafikövervakning i hastigheter upp till 100 Gbps;
• Flowmon är en lösning för nätverk av alla skala;
• det bästa förhållandet pris/funktionalitet bland liknande lösningar.

I den här recensionen undersökte vi mindre än 10 % av lösningens totala funktionalitet. I nästa artikel kommer vi att prata om de återstående Flowmon Networks-modulerna. Med hjälp av modulen Application Performance Monitoring som exempel kommer vi att visa hur affärsapplikationsadministratörer kan säkerställa tillgänglighet på en given SLA-nivå, samt diagnostisera problem så snabbt som möjligt.

Vi vill också bjuda in dig till vårt webbseminarium (10.09.2019/XNUMX/XNUMX) dedikerat till lösningarna från leverantören Flowmon Networks. För att föranmäla dig ber vi dig registrera här.
Det var allt för nu, tack för visat intresse!

Endast registrerade användare kan delta i undersökningen. Logga in, Snälla du.

Använder du Netflow för nätverksövervakning?

• Ja

• Nej, men jag tänker göra det

• Ingen

9 användare röstade. 3 användare avstod från att rösta.

Källa: will.com