🥇Ufuatiliaji wa mtandao na ugunduzi wa shughuli za mtandao zisizo za kawaida kwa kutumia suluhu za Flowmon Networks

Hivi karibuni, unaweza kupata kiasi kikubwa cha vifaa kwenye mada kwenye mtandao. uchambuzi wa trafiki kwenye mzunguko wa mtandao. Wakati huo huo, kwa sababu fulani kila mtu alisahau kabisa uchambuzi wa trafiki wa ndani, ambayo sio muhimu sana. Nakala hii inashughulikia mada hii kwa usahihi. Kwa mfano Mitandao ya Flowmon tutakumbuka Netflow nzuri ya zamani (na mbadala zake), angalia kesi za kupendeza, shida zinazowezekana kwenye mtandao na kujua faida za suluhisho wakati. mtandao mzima hufanya kazi kama sensor moja. Na muhimu zaidi, unaweza kufanya uchambuzi kama huu wa trafiki ya ndani bila malipo, ndani ya mfumo wa leseni ya majaribio (45 siku) Ikiwa mada inakuvutia, karibu paka. Ikiwa wewe ni wavivu sana kusoma, basi, ukiangalia mbele, unaweza kujiandikisha mtandao ujao, ambapo tutaonyesha na kukuambia kila kitu (unaweza pia kujifunza kuhusu mafunzo ya ujao wa bidhaa huko).

Flowmon Networks ni nini?

Kwanza kabisa, Flowmon ni muuzaji wa IT wa Ulaya. Kampuni hiyo ni ya Kicheki, yenye makao makuu huko Brno (suala la vikwazo hata halijafufuliwa). Katika hali yake ya sasa, kampuni imekuwa sokoni tangu 2007. Hapo awali, ilijulikana chini ya chapa ya Invea-Tech. Kwa hiyo, kwa jumla, karibu miaka 20 ilitumika katika kuendeleza bidhaa na ufumbuzi.

Flowmon imewekwa kama chapa ya daraja la A. Hutengeneza suluhu zinazolipiwa kwa wateja wa biashara na inatambulika katika visanduku vya Gartner vya Ufuatiliaji na Uchunguzi wa Utendaji wa Mtandao (NPMD). Zaidi ya hayo, cha kufurahisha, kati ya kampuni zote kwenye ripoti hiyo, Flowmon ndiye muuzaji pekee aliyebainishwa na Gartner kama mtengenezaji wa suluhisho za ufuatiliaji wa mtandao na ulinzi wa habari (Uchambuzi wa Tabia ya Mtandao). Haichukui nafasi ya kwanza bado, lakini kwa sababu ya hii haisimama kama mrengo wa Boeing.

Je, bidhaa hutatua matatizo gani?

Ulimwenguni, tunaweza kutofautisha safu zifuatazo za kazi zinazotatuliwa na bidhaa za kampuni:

kuongeza utulivu wa mtandao, pamoja na rasilimali za mtandao, kwa kupunguza muda wao wa chini na kutokuwepo;
kuongeza kiwango cha jumla cha utendaji wa mtandao;
kuongeza ufanisi wa wafanyakazi wa utawala kutokana na:
- kutumia zana za kisasa za ubunifu za ufuatiliaji wa mtandao kulingana na habari kuhusu mtiririko wa IP;
- kutoa uchambuzi wa kina juu ya utendaji na hali ya mtandao - watumiaji na programu zinazoendesha kwenye mtandao, data iliyopitishwa, rasilimali zinazoingiliana, huduma na nodi;
- kujibu matukio kabla hayajatokea, na sio baada ya watumiaji na wateja kupoteza huduma;
- kupunguza muda na rasilimali zinazohitajika kusimamia mtandao na miundombinu ya TEHAMA;
- kurahisisha kazi za utatuzi.
kuongeza kiwango cha usalama wa mtandao na rasilimali za habari za biashara, kupitia utumiaji wa teknolojia zisizo za saini za kugundua shughuli mbaya na mbaya za mtandao, pamoja na "mashambulizi ya siku sifuri";
kuhakikisha kiwango kinachohitajika cha SLA kwa programu za mtandao na hifadhidata.

Kwingineko ya Bidhaa ya Flowmon Networks

Sasa hebu tuangalie moja kwa moja kwingineko ya bidhaa ya Flowmon Networks na tujue ni nini hasa kampuni hufanya. Kama wengi tayari wamekisia kutoka kwa jina, utaalam kuu ni katika suluhu za ufuatiliaji wa mtiririko wa trafiki, pamoja na idadi ya moduli za ziada zinazopanua utendakazi wa kimsingi.

Kwa kweli, Flowmon inaweza kuitwa kampuni ya bidhaa moja, au tuseme, suluhisho moja. Wacha tujue ikiwa hii ni nzuri au mbaya.

Msingi wa mfumo ni mtoza, ambaye ana jukumu la kukusanya data kwa kutumia itifaki mbalimbali za mtiririko, kama vile NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Ni mantiki kabisa kwamba kwa kampuni isiyohusishwa na mtengenezaji wa vifaa vya mtandao, ni muhimu kutoa soko bidhaa ya ulimwengu wote ambayo haijaunganishwa na kiwango au itifaki yoyote.

Mtozaji wa Flowmon

Mkusanyaji anapatikana kama seva ya vifaa na kama mashine ya kawaida (VMware, Hyper-V, KVM). Kwa njia, jukwaa la vifaa linatekelezwa kwenye seva za DELL zilizobinafsishwa, ambazo huondoa moja kwa moja masuala mengi na udhamini na RMA. Vipengee pekee vya maunzi ya wamiliki ni kadi za kunasa trafiki za FPGA zilizotengenezwa na kampuni tanzu ya Flowmon, ambayo inaruhusu ufuatiliaji kwa kasi ya hadi Gbps 100.

Lakini nini cha kufanya ikiwa vifaa vya mtandao vilivyopo haviwezi kutoa mtiririko wa hali ya juu? Au mzigo kwenye vifaa ni mkubwa sana? Hakuna shida:

Flowmon Prob

Katika hali hii, Flowmon Networks inatoa kutumia probes zake (Flowmon Probe), ambazo zimeunganishwa kwenye mtandao kupitia lango la SPAN la swichi au kutumia vigawanyiko vya TAP tu.

SPAN (kioo bandari) na chaguo za utekelezaji wa TAP

Katika hali hii, trafiki ghafi inayofika kwenye Uchunguzi wa Flowmon inabadilishwa kuwa IPFIX iliyopanuliwa iliyo na zaidi. Vipimo 240 vyenye maelezo. Ingawa itifaki ya kawaida ya NetFlow inayozalishwa na vifaa vya mtandao haina zaidi ya metriki 80. Hii inaruhusu mwonekano wa itifaki sio tu katika viwango vya 3 na 4, lakini pia katika kiwango cha 7 kulingana na mfano wa ISO OSI. Kwa hivyo, wasimamizi wa mtandao wanaweza kufuatilia utendakazi wa programu na itifaki kama vile barua pepe, HTTP, DNS, SMB...

Kwa kweli, usanifu wa kimantiki wa mfumo unaonekana kama hii:

Sehemu ya kati ya "mfumo wa ikolojia" wa Mitandao ya Flowmon ni Mtozaji, ambaye hupokea trafiki kutoka kwa vifaa vya mtandao vilivyopo au uchunguzi wake mwenyewe (Probe). Lakini kwa suluhisho la Biashara, kutoa utendakazi kwa ufuatiliaji wa trafiki ya mtandao itakuwa rahisi sana. Suluhisho la Chanzo huria pia linaweza kufanya hivi, ingawa sio kwa utendaji kama huo. Thamani ya Flowmon ni moduli za ziada zinazopanua utendakazi wa kimsingi:

moduli Usalama wa Utambuzi usio wa kawaida - utambulisho wa shughuli zisizo za kawaida za mtandao, ikiwa ni pamoja na mashambulizi ya siku sifuri, kulingana na uchambuzi wa heuristic wa trafiki na wasifu wa kawaida wa mtandao;
moduli Ufuatiliaji wa Utendaji wa Maombi - kufuatilia utendaji wa programu za mtandao bila kusakinisha "mawakala" na kuathiri mifumo inayolengwa;
moduli Kinasa sauti cha Trafiki - kurekodi vipande vya trafiki ya mtandao kulingana na seti ya sheria zilizoainishwa mapema au kulingana na kichochezi kutoka kwa moduli ya ADS, kwa utatuzi zaidi na/au uchunguzi wa matukio ya usalama wa habari;
moduli Ulinzi wa DDoS - ulinzi wa mzunguko wa mtandao dhidi ya kunyimwa huduma kwa kiasi cha DoS/DDoS, ikiwa ni pamoja na mashambulizi ya programu (OSI L3/L4/L7).

Katika nakala hii, tutaangalia jinsi kila kitu kinavyofanya kazi moja kwa moja kwa kutumia mfano wa moduli 2 - Ufuatiliaji wa Utendaji wa Mtandao na Uchunguzi и Usalama wa Utambuzi usio wa kawaida.
Data ya awali:

Seva ya Lenovo RS 140 yenye hypervisor ya VMware 6.0;
Picha ya mashine pepe ya Flowmon Collector ambayo unaweza pakua hapa;
jozi ya swichi zinazounga mkono itifaki za mtiririko.

Hatua ya 1. Sakinisha Ukusanyaji wa Flowmon

Usambazaji wa mashine pepe kwenye VMware hutokea kwa njia ya kawaida kabisa kutoka kwa kiolezo cha OVF. Kwa hivyo, tunapata mashine pepe inayoendesha CentOS na programu iliyo tayari kutumia. Mahitaji ya rasilimali ni ya kibinadamu:

Kinachobaki ni kufanya uanzishaji wa kimsingi kwa kutumia amri sysconfig:

Tunasanidi IP kwenye bandari ya usimamizi, DNS, saa, Jina la Mpangishi na tunaweza kuunganisha kwenye kiolesura cha WEB.

Hatua ya 2. Ufungaji wa leseni

Leseni ya majaribio ya mwezi mmoja na nusu inatolewa na kupakuliwa pamoja na picha ya mashine pepe. Imepakiwa kupitia Kituo cha Usanidi -> Leseni. Kama matokeo, tunaona:

Yote ni tayari. Unaweza kuanza kufanya kazi.

Hatua ya 3. Kuweka mpokeaji kwenye mtoza

Katika hatua hii, unahitaji kuamua jinsi mfumo utapokea data kutoka kwa vyanzo. Kama tulivyosema hapo awali, hii inaweza kuwa mojawapo ya itifaki za mtiririko au bandari ya SPAN kwenye swichi.

Katika mfano wetu, tutatumia mapokezi ya data kwa kutumia itifaki NetFlow v9 na IPFIX. Katika kesi hii, tunataja anwani ya IP ya kiolesura cha Usimamizi kama lengo - 192.168.78.198. Violesura eth2 na eth3 (vilivyo na aina ya kiolesura cha Ufuatiliaji) hutumika kupokea nakala ya trafiki "mbichi" kutoka kwa mlango wa SPAN wa swichi. Tunawaruhusu wapitie, sio kesi yetu.
Ifuatayo, tunaangalia bandari ya mtoza ambapo trafiki inapaswa kwenda.

Kwa upande wetu, mtoza husikiliza trafiki kwenye bandari ya UDP/2055.

Hatua ya 4. Kusanidi vifaa vya mtandao kwa usafirishaji wa mtiririko

Kuweka NetFlow kwenye vifaa vya Cisco Systems pengine kunaweza kuitwa kazi ya kawaida kabisa kwa msimamizi yeyote wa mtandao. Kwa mfano wetu, tutachukua jambo lisilo la kawaida zaidi. Kwa mfano, kipanga njia cha MikroTik RB2011UiAS-2HnD. Ndio, isiyo ya kawaida, suluhisho kama hilo la bajeti kwa ofisi ndogo na za nyumbani pia inasaidia itifaki za NetFlow v5/v9 na IPFIX. Katika mipangilio, weka lengo (anwani ya mtoza 192.168.78.198 na bandari 2055):

Na ongeza vipimo vyote vinavyopatikana kwa usafirishaji:

Kwa wakati huu tunaweza kusema kwamba usanidi wa msingi umekamilika. Tunaangalia ikiwa trafiki inaingia kwenye mfumo.

Hatua ya 5: Kujaribu na Kuendesha Moduli ya Ufuatiliaji na Uchunguzi wa Utendaji wa Mtandao

Unaweza kuangalia uwepo wa trafiki kutoka kwa chanzo kwenye sehemu Kituo cha Ufuatiliaji cha Flowmon -> Vyanzo:

Tunaona kwamba data inaingia kwenye mfumo. Muda fulani baada ya mkusanyaji kukusanya trafiki, wijeti zitaanza kuonyesha habari:

Mfumo umejengwa juu ya kanuni ya kuchimba visima. Hiyo ni, mtumiaji, wakati wa kuchagua kipande cha riba kwenye mchoro au grafu, "huanguka" kwa kiwango cha kina cha data anachohitaji:

Chini ya habari kuhusu kila muunganisho wa mtandao na muunganisho:

Hatua ya 6. Moduli ya Usalama ya Ugunduzi Usio Rahisi

Moduli hii inaweza kuitwa labda moja ya kuvutia zaidi, shukrani kwa matumizi ya njia zisizo na saini za kugundua hitilafu katika trafiki ya mtandao na shughuli mbaya za mtandao. Lakini hii si mlinganisho wa mifumo ya IDS/IPS. Kufanya kazi na moduli huanza na "mafunzo" yake. Kwa kufanya hivyo, mchawi maalum hutaja vipengele vyote muhimu na huduma za mtandao, ikiwa ni pamoja na:

anwani za lango, seva za DNS, DHCP na NTP,
kushughulikia katika sehemu za watumiaji na seva.

Baada ya hayo, mfumo huenda katika hali ya mafunzo, ambayo hudumu kwa wastani kutoka kwa wiki 2 hadi mwezi 1. Wakati huu, mfumo huzalisha trafiki ya msingi ambayo ni maalum kwa mtandao wetu. Kwa ufupi, mfumo unajifunza:

ni tabia gani ni ya kawaida kwa nodi za mtandao?
Je, ni kiasi gani cha data kwa kawaida huhamishwa na ni cha kawaida kwa mtandao?
Ni wakati gani wa kawaida wa kufanya kazi kwa watumiaji?
ni maombi gani yanayoendeshwa kwenye mtandao?
na mengi zaidi..

Kwa hivyo, tunapata zana inayotambua hitilafu zozote katika mtandao wetu na mikengeuko kutoka kwa tabia ya kawaida. Hapa kuna mifano michache ambayo mfumo hukuruhusu kugundua:

usambazaji wa programu hasidi mpya kwenye mtandao ambayo haijatambuliwa na saini za antivirus;
kujenga DNS, ICMP au vichuguu vingine na kusambaza data kwa kupita ngome;
kuonekana kwa kompyuta mpya kwenye mtandao inayojifanya kama seva ya DHCP na/au DNS.

Wacha tuone jinsi inavyoonekana moja kwa moja. Baada ya mfumo wako kupata mafunzo na kujenga msingi wa trafiki ya mtandao, huanza kugundua matukio:

Ukurasa kuu wa moduli ni kalenda ya matukio inayoonyesha matukio yaliyotambuliwa. Katika mfano wetu, tunaona spike wazi, takriban kati ya 9 na 16 masaa. Wacha tuichague na tuangalie kwa undani zaidi.

Tabia isiyo ya kawaida ya mshambuliaji kwenye mtandao inaonekana wazi. Yote huanza na ukweli kwamba mwenyeji aliye na anwani 192.168.3.225 alianza skanning ya usawa ya mtandao kwenye bandari 3389 (huduma ya Microsoft RDP) na kupata "waathirika" 14 wanaowezekana:

Tukio lifuatalo lililorekodiwa - mwenyeji 192.168.3.225 anaanza shambulio la kikatili la kulazimisha manenosiri kwenye huduma ya RDP (bandari 3389) katika anwani zilizotambuliwa hapo awali:

Kama matokeo ya shambulio hilo, hitilafu ya SMTP imegunduliwa kwenye mojawapo ya seva pangishi waliovamiwa. Kwa maneno mengine, SPAM imeanza:

Mfano huu ni onyesho wazi la uwezo wa mfumo na moduli ya Usalama ya Kugundua Anomaly haswa. Jaji ufanisi kwako mwenyewe. Hii inahitimisha muhtasari wa kazi wa suluhisho.

Hitimisho

Wacha tufanye muhtasari ni hitimisho gani tunaweza kupata kuhusu Flowmon:

Flowmon ni suluhisho la malipo kwa wateja wa kampuni;
kutokana na uchangamano na utangamano wake, ukusanyaji wa data unapatikana kutoka kwa chanzo chochote: vifaa vya mtandao (Cisco, Juniper, HPE, Huawei...) au probes zako mwenyewe (Flowmon Probe);
Uwezo wa scalability wa suluhisho hukuruhusu kupanua utendaji wa mfumo kwa kuongeza moduli mpya, na pia kuongeza shukrani za tija kwa njia rahisi ya kutoa leseni;
kupitia matumizi ya teknolojia za uchanganuzi zisizo na saini, mfumo hukuruhusu kugundua mashambulio ya siku sifuri hata haijulikani kwa antivirus na mifumo ya IDS/IPS;
shukrani kwa "uwazi" kamili katika suala la ufungaji na uwepo wa mfumo kwenye mtandao - suluhisho haliathiri uendeshaji wa nodi nyingine na vipengele vya miundombinu yako ya IT;
Flowmon ndiyo suluhisho pekee kwenye soko linalounga mkono ufuatiliaji wa trafiki kwa kasi hadi 100 Gbps;
Flowmon ni suluhisho kwa mitandao ya kiwango chochote;
uwiano bora wa bei/utendaji kati ya suluhu zinazofanana.

Katika hakiki hii, tulichunguza chini ya 10% ya utendaji wa jumla wa suluhisho. Katika makala inayofuata tutazungumza juu ya moduli zilizobaki za Mitandao ya Flowmon. Kwa kutumia moduli ya Ufuatiliaji wa Utendaji wa Maombi kama mfano, tutaonyesha jinsi wasimamizi wa maombi ya biashara wanaweza kuhakikisha upatikanaji katika kiwango fulani cha SLA, na pia kutambua matatizo haraka iwezekanavyo.

Pia, tungependa kukualika kwenye mtandao wetu (10.09.2019/XNUMX/XNUMX) unaojitolea kwa suluhu za wauzaji wa Flowmon Networks. Ili kujiandikisha mapema, tunakuuliza jiandikishe hapa.
Ni hayo tu kwa sasa, asante kwa nia yako!

Watumiaji waliojiandikisha pekee ndio wanaweza kushiriki katika utafiti. Weka sahihitafadhali.

Je, unatumia Netflow kwa ufuatiliaji wa mtandao?

Да
Hapana, lakini ninapanga
Hakuna

Watumiaji 9 walipiga kura. Watumiaji 3 walijizuia.

Chanzo: mapenzi.com

Ufuatiliaji wa mtandao na ugunduzi wa shughuli za mtandao zisizo za kawaida kwa kutumia suluhu za Flowmon Networks