Мониторинги шабака ва ошкор кардани фаъолияти ғайримуқаррарии шабака бо истифода аз ҳалли Flowmon Networks

Ба наздикӣ, шумо метавонед миқдори зиёди маводҳоро дар ин мавзӯъ дар Интернет пайдо кунед. таҳлили трафик дар периметри шабака. Дар баробари ин аз чй сабаб бошад, ки хама тамоман фаромуш карданд Таҳлили трафики маҳаллӣ, ки аз ин камтар муҳим нест. Ин мақола маҳз ҳамин мавзӯъро баррасӣ мекунад. Барои намуна Шабакаҳои Flowmon мо Netflow-и хуби кӯҳнаро (ва алтернативаҳои онро) ба ёд меорем, ба ҳолатҳои ҷолиб, аномалияҳои эҳтимолӣ дар шабака нигаред ва бартариҳои ҳалли онро ҳангоми тамоми шабака ҳамчун сенсори ягона кор мекунад. Ва муҳимтар аз ҳама, шумо метавонед чунин таҳлили трафики маҳаллиро дар доираи иҷозатномаи озмоишӣ комилан ройгон анҷом диҳед (Рӯзҳои 45). Агар мавзӯъ барои шумо ҷолиб бошад, ба гурба хуш омадед. Агар шумо барои хондан танбал бошед, пас ба пеш нигоҳ карда, шумо метавонед барои сабти ном шавед вебинари дарпешистода, ки мо ҳама чизро ба шумо нишон медиҳем ва мегӯям (шумо инчунин метавонед дар бораи омӯзиши маҳсулоти дарпешистода дар он ҷо маълумот гиред).

Шабакаҳои Flowmon чист?

Пеш аз ҳама, Flowmon як фурӯшандаи аврупоии IT мебошад. Ширкат Чехия буда, қароргоҳаш дар Брно (масъалаи таҳримҳо ҳатто матраҳ нашудааст). Дар шакли ҳозираи худ, ширкат аз соли 2007 дар бозор аст. Пештар, он зери бренди Invea-Tech маълум буд. Ҳамин тавр, дар маҷмӯъ, тақрибан 20 сол барои таҳияи маҳсулот ва ҳалли онҳо сарф карда шуд.

Flowmon ҳамчун бренди синфи A ҷойгир аст. Қарорҳои олӣ барои муштариёни корхона таҳия мекунад ва дар қуттиҳои Gartner барои мониторинг ва ташхиси шабакавӣ (NPMD) эътироф шудааст. Гузашта аз ин, ҷолиб он аст, ки дар байни ҳамаи ширкатҳо дар гузориш, Flowmon ягона фурӯшандаест, ки аз ҷониби Gartner ҳамчун истеҳсолкунандаи ҳалли ҳам барои мониторинги шабака ва ҳам ҳифзи иттилоот (Таҳлили рафтори шабакавӣ) қайд шудааст. Он ҳанӯз ҷои аввалро ишғол намекунад, аммо аз ин рӯ, он мисли боли Боинг намеистад.

Маҳсулот кадом мушкилотро ҳал мекунад?

Дар саросари ҷаҳон, мо метавонем маҷмӯи вазифаҳои зеринро, ки тавассути маҳсулоти ширкат ҳал карда мешаванд, фарқ кунем:

1. баланд бардоштани устувории шабака, инчунин захираҳои шабакавӣ тавассути кам кардани вақти бекорӣ ва дастнорас будани онҳо;
2. баланд бардоштани сатҳи умумии фаъолияти шабака;
3. Баланд бардоштани самаранокии кормандони маъмурӣ аз ҳисоби:
   • бо истифода аз воситаҳои муосири инноватсионии мониторинги шабака дар асоси маълумот дар бораи ҷараёнҳои IP;
   • пешниҳоди таҳлили муфассал дар бораи фаъолият ва ҳолати шабака - корбарон ва замимаҳои дар шабака коркунанда, додаҳои интиқолшуда, захираҳои мутақобила, хидматҳо ва гиреҳҳо;
   • вокуниш ба ҳодисаҳо пеш аз рух додани онҳо, на пас аз он ки корбарон ва муштариён хидматро аз даст медиҳанд;
   • кам кардани вақт ва захираҳои зарурӣ барои идоракунии шабака ва инфрасохтори IT;
   • содда кардани вазифаҳои бартараф кардани мушкилот.
4. баланд бардоштани сатҳи амнияти шабака ва захираҳои иттилоотии корхона тавассути истифодаи технологияҳои ғайриимзоӣ барои ошкор кардани фаъолияти ғайримуқаррарӣ ва зараровар дар шабака, инчунин "ҳамлаҳои рӯзи сифрӣ";
5. таъмини сатҳи зарурии SLA барои барномаҳои шабакавӣ ва пойгоҳи додаҳо.

Портфели маҳсулоти Flowmon Networks

Акнун биёед бевосита ба портфели маҳсулоти Flowmon Networks назар андозем ва бифаҳмем, ки ширкат маҳз чӣ кор мекунад. Тавре ки бисёриҳо аллакай аз ном тахмин карда буданд, тахассуси асосӣ дар ҳалли мониторинги ҷараёни ҷараёни трафик ва инчунин як қатор модулҳои иловагӣ, ки функсияҳои асосиро васеъ мекунанд.

Дар асл, Flowmonро метавон як ширкати як маҳсулот номид, ё дурусттараш, як ҳалли. Биёед бифаҳмем, ки ин хуб аст ё бад.

Асоси система коллекторест, ки барои ҷамъоварии маълумот бо истифода аз протоколҳои гуногуни ҷараён масъул аст, ба монанди NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Комилан мантиқист, ки барои ширкате, ки ба ягон истеҳсолкунандаи таҷҳизоти шабакавӣ алоқаманд нест, ба бозор пешниҳод кардани маҳсулоти универсалӣ муҳим аст, ки ба ягон стандарт ё протокол вобаста набошад.

Коллектори Flowmon

Коллектор ҳам ҳамчун сервери сахтафзор ва ҳам ҳамчун мошини виртуалӣ (VMware, Hyper-V, KVM) дастрас аст. Дар омади гап, платформаи сахтафзор дар серверҳои фармоишии DELL амалӣ карда мешавад, ки аксари мушкилотро бо кафолат ва RMA ба таври худкор бартараф мекунад. Ягона ҷузъҳои сахтафзори хусусӣ кортҳои сабти трафики FPGA мебошанд, ки аз ҷониби як фаръии Flowmon таҳия шудааст, ки имкон медиҳад бо суръати то 100 Гбит / сония назорат кунанд.

Аммо чӣ бояд кард, агар таҷҳизоти мавҷудаи шабака қодир ба тавлиди ҷараёни баландсифат набошад? Ё ин ки бори дастгоххо хеле зиёд аст? Масъалае нест:

Flowmon Prob

Дар ин ҳолат, Flowmon Networks пешниҳод мекунад, ки зондҳои худро (Flowmon Probe) истифода баранд, ки ба шабака тавассути порти SPAN-и коммутатор ё бо истифода аз тақсимкунандагони пассивии TAP пайваст карда мешаванд.

SPAN (порти оина) ва имконоти татбиқи TAP

Дар ин ҳолат, трафики хоме, ки ба Flowmon Probe ворид мешавад, ба IPFIX васеъ табдил дода мешавад, ки дорои маълумоти бештар мебошад. 240 ченак бо маълумот. Дар ҳоле ки протоколи стандартии NetFlow, ки аз ҷониби таҷҳизоти шабакавӣ тавлид шудааст, на бештар аз 80 метрро дар бар мегирад. Ин имкон медиҳад, ки намоиши протокол на танҳо дар сатҳҳои 3 ва 4, балки дар сатҳи 7 мувофиқи модели ISO OSI. Дар натиҷа, маъмурони шабака метавонанд кори барномаҳо ва протоколҳоро, аз қабили почтаи электронӣ, HTTP, DNS, SMB... назорат кунанд.

Консептуалӣ, меъмории мантиқии система чунин менамояд:

Қисми марказии тамоми "экосистемаи Flowmon Networks" Коллектор мебошад, ки трафикро аз таҷҳизоти мавҷудаи шабакавӣ ё зондҳои худ (Зонд) қабул мекунад. Аммо барои ҳалли Enterprise, таъмини функсия танҳо барои мониторинги трафики шабака хеле содда хоҳад буд. Қарорҳои кушодаасос низ метавонанд ин корро кунанд, гарчанде ки на бо чунин кор. Арзиши Flowmon модулҳои иловагӣ мебошанд, ки функсияҳои асосиро васеъ мекунанд:

• модул Амнияти ошкоркунии аномалия – муайян кардани фаъолияти ғайримуқаррарии шабака, аз ҷумла ҳамлаҳои сифрӣ, дар асоси таҳлили эвристикии трафик ва профили маъмулии шабака;
• модул Мониторинги иҷрои барнома – мониторинги иҷрои барномаҳои шабакавӣ бе насби “агентҳо” ва таъсиррасонӣ ба системаҳои мавриди ҳадаф;
• модул Сабткунандаи трафик – сабти порчаҳои трафики шабакавӣ тибқи маҷмӯи қоидаҳои пешакӣ муайяншуда ё мувофиқи триггер аз модули ADS, барои ҳалли минбаъдаи мушкилот ва/ё тафтиши ҳодисаҳои амнияти иттилоотӣ;
• модул Муҳофизати DDoS – муҳофизати периметри шабака аз ҳаҷмҳои DoS/DDoS радкунии ҳамлаҳои хидматӣ, аз ҷумла ҳамлаҳо ба замимаҳо (OSI L3/L4/L7).

Дар ин мақола, мо дида мебароем, ки чӣ тавр ҳама чиз бо истифода аз мисоли 2 модул кор мекунад - Мониторинг ва ташхиси фаъолияти шабака и Амнияти ошкоркунии аномалия.
Маълумоти аввалия:

• Сервери Lenovo RS 140 бо гипервизори VMware 6.0;
• Тасвири мошини виртуалии Flowmon Collector, ки шумо метавонед дар инҷо нависед;
• як ҷуфт коммутаторҳо, ки протоколҳои ҷараёнро дастгирӣ мекунанд.

Қадами 1. Flowmon Collector -ро насб кунед

Ҷойгиркунии мошини виртуалӣ дар VMware ба таври комилан стандартӣ аз қолаби OVF сурат мегирад. Дар натиҷа, мо як мошини маҷозӣ дорем, ки бо CentOS кор мекунад ва нармафзори барои истифода омода аст. Талабот ба захираҳо инсонанд:

Танҳо он чизе, ки бо истифода аз фармон иҷро кардани ибтидосозии асосӣ боқӣ мемонад sysconfig:

Мо IP-ро дар бандари идоракунӣ, DNS, вақт, номи мизбон танзим мекунем ва метавонем ба интерфейси WEB пайваст шавем.

Қадами 2. Насби иҷозатнома

Литсензияи озмоишӣ барои якуним моҳ дар якҷоягӣ бо тасвири мошини виртуалӣ тавлид ва зеркашӣ карда мешавад. Ба воситаи Маркази конфигуратсия -> Литсензия. Дар натиҷа мо мебинем:

Ҳама омода аст. Шумо метавонед ба кор шурӯъ кунед.

Қадами 3. Насб кардани қабулкунак дар коллектор

Дар ин марҳила, шумо бояд муайян кунед, ки система маълумотро аз манбаъҳо чӣ гуна қабул мекунад. Тавре ки мо қаблан гуфта будем, ин метавонад яке аз протоколҳои ҷараён ё порти SPAN дар коммутатор бошад.

Дар мисоли мо, мо бо истифода аз протоколҳо қабули маълумотро истифода мебарем NetFlow v9 ва IPFIX. Дар ин ҳолат, мо суроғаи IP-и интерфейси идоракуниро ҳамчун ҳадаф муайян мекунем - 192.168.78.198. Интерфейсҳои eth2 ва eth3 (бо намуди интерфейси Мониторинг) барои гирифтани нусхаи трафики "хом" аз порти SPAN-и коммутатор истифода мешаванд. Мо ба онҳо иҷозат додем, на парвандаи мо.
Баъдан, мо бандари коллекторро тафтиш мекунем, ки трафик бояд ба он ҷо равад.

Дар ҳолати мо, коллектор трафикро дар порти UDP/2055 гӯш мекунад.

Қадами 4. Танзими таҷҳизоти шабакавӣ барои содироти ҷараён

Насб кардани NetFlow дар таҷҳизоти Cisco Systems метавонад вазифаи комилан маъмул барои ҳама мудири шабака номида шавад. Барои мисоли мо, мо чизи ғайриоддитарро мегирем. Масалан, роутери MikroTik RB2011UiAS-2HnD. Бале, аҷиб аст, ки чунин ҳалли буҷетӣ барои офисҳои хурд ва хонагӣ инчунин протоколҳои NetFlow v5/v9 ва IPFIX-ро дастгирӣ мекунад. Дар танзимот, ҳадафро таъин кунед (суроғаи коллектор 192.168.78.198 ва порти 2055):

Ва ҳамаи нишондиҳандаҳои барои содирот дастрасро илова кунед:

Дар ин лаҳза мо гуфта метавонем, ки танзимоти асосӣ ба анҷом расидааст. Мо тафтиш мекунем, ки трафик ба система ворид мешавад ё не.

Қадами 5: Санҷиш ва истифодаи модули мониторинг ва ташхиси фаъолияти шабака

Шумо метавонед мавҷудияти трафикро аз манбаъ дар қисмат тафтиш кунед Маркази мониторинги Flowmon -> Сарчашмаҳо:

Мо мебинем, ки маълумот ба система ворид мешавад. Чанде пас аз ҷамъоварии трафик, виджетҳо ба намоиш додани маълумот шурӯъ мекунанд:

Система аз рӯи принсипи пармакунӣ сохта шудааст. Яъне, корбар ҳангоми интихоби порчаи таваҷҷӯҳ ба диаграмма ё график ба сатҳи умқи маълумоте, ки ба ӯ лозим аст, "афтад":

Ба маълумот дар бораи ҳар як пайвастшавӣ ба шабака ва пайвастшавӣ:

Қадами 6. Модули амнияти ошкоркунии аномалия

Ин модулро ба шарофати истифодаи усулҳои бидуни имзо барои ошкор кардани аномалияҳо дар трафики шабака ва фаъолияти зараровар дар шабака метавон яке аз ҷолибтарин номид. Аммо ин аналоги системаҳои IDS/IPS нест. Кор бо модул аз «таълим»-и он оғоз мешавад. Барои ин, устоди махсус ҳамаи ҷузъҳо ва хидматҳои асосии шабакаро муайян мекунад, аз ҷумла:

• суроғаҳои дарвоза, серверҳои DNS, DHCP ва NTP,
• адресатсия дар сегментҳои корбар ва сервер.

Пас аз ин, система ба ҳолати омӯзишӣ мегузарад, ки ба ҳисоби миёна аз 2 ҳафта то 1 моҳ давом мекунад. Дар ин муддат система трафики асосиро тавлид мекунад, ки ба шабакаи мо хос аст. Оддӣ карда гӯем, система меомӯзад:

• кадом рафтор барои гиреҳҳои шабака хос аст?
• Кадом ҳаҷми маълумот одатан интиқол дода мешаванд ва барои шабака муқаррарӣ мебошанд?
• Вақти маъмулии корбарон чӣ гуна аст?
• кадом барномаҳо дар шабака кор мекунанд?
• ва бисёр бештар ..

Дар натиҷа, мо асбоберо ба даст меорем, ки ҳама гуна аномалияро дар шабакаи мо ва дуршавӣ аз рафтори маъмулӣ муайян мекунад. Инҳоянд чанд мисоле, ки система ба шумо имкон медиҳад, ки муайян кунед:

• паҳн кардани нармафзори нави зараровар дар шабака, ки аз ҷониби имзоҳои антивирус ошкор карда нашудааст;
• сохтани DNS, ICMP ё дигар нақбҳо ва интиқоли додаҳо тавассути девори девор;
• пайдоиши компютери нав дар шабака ҳамчун сервери DHCP ва/ё DNS.

Биёед бубинем, ки он зинда чӣ гуна аст. Пас аз он ки системаи шумо омӯзонида шуд ва хатти асосии трафики шабакаро бунёд кард, он ба ошкор кардани ҳодисаҳо шурӯъ мекунад:

Саҳифаи асосии модул ҷадвали вақтест, ки ҳодисаҳои муайяншударо нишон медиҳад. Дар мисоли мо, мо як хӯшаи равшанро мебинем, тақрибан аз 9 то 16 соат. Биёед онро интихоб кунем ва муфассалтар дида бароем.

Рафтори аномалии ҳамлагар дар шабака баръало намоён аст. Ҳамааш аз он оғоз мешавад, ки ҳост бо суроғаи 192.168.3.225 скани уфуқии шабакаро дар бандари 3389 (хидмати Microsoft RDP) оғоз кард ва 14 "қурбонони" эҳтимолиро пайдо кард:

и

Ҳодисаи зерини сабтшуда - мизбони 192.168.3.225 ҳамлаи бераҳмона барои паролҳои бераҳмона дар хидмати RDP (порти 3389) дар суроғаҳои қаблан муайяншударо оғоз мекунад:

Дар натиҷаи ҳамла, дар яке аз ҳостҳои ҳакершуда аномалияи SMTP муайян карда мешавад. Ба ибораи дигар, СПАМ оғоз шуд:

Ин мисол як намоиши равшани қобилиятҳои система ва махсусан модули бехатарии аномалия мебошад. Самаранокии худро барои худ арзёбӣ кунед. Ин шарҳи функсионалии ҳалли онро ба анҷом мерасонад.

хулоса

Биёед ҷамъбаст кунем, ки дар бораи Флоумон чӣ гуна хулосаҳо бароварда метавонем:

• Flowmon як ҳалли олӣ барои муштариёни корпоративӣ аст;
• ба шарофати универсалӣ ва мутобиқати он, ҷамъоварии маълумот аз ҳама гуна манбаъ дастрас аст: таҷҳизоти шабакавӣ (Cisco, Juniper, HPE, Huawei...) ё зондҳои шахсии шумо (Flowmon Probe);
• Имкониятҳои миқёспазирии ҳалли шумо имкон медиҳанд, ки функсияҳои системаро тавассути илова кардани модулҳои нав васеъ кунед ва инчунин маҳсулнокӣ ба туфайли муносибати чандир ба иҷозатномадиҳӣ зиёд кунед;
• тавассути истифодаи технологияҳои таҳлили бидуни имзо, система ба шумо имкон медиҳад, ки ҳамлаҳои сифрӣ, ки ҳатто барои антивирусҳо ва системаҳои IDS/IPS номаълуманд, ошкор кунед;
• ба шарофати пурраи "шаффофият" дар робита ба насб ва мавҷудияти система дар шабака - ҳалли дигар ба кори дигар гиреҳҳо ва ҷузъҳои инфрасохтори IT-и шумо таъсир намерасонад;
• Flowmon ягона роҳи ҳалли бозор аст, ки мониторинги трафикро бо суръати то 100 Гбит/с дастгирӣ мекунад;
• Flowmon як ҳалли барои шабакаҳои ҳама гуна миқёс аст;
• таносуби беҳтарини нарх/функсия дар байни ҳалли шабеҳ.

Дар ин барраси, мо камтар аз 10% функсияи умумии ҳалли онро тафтиш кардем. Дар мақолаи навбатӣ мо дар бораи модулҳои боқимондаи Flowmon Networks сӯҳбат хоҳем кард. Бо истифода аз модули Мониторинги иҷрои барномаҳо ҳамчун намуна, мо нишон медиҳем, ки чӣ гуна маъмурони барномаҳои тиҷоратӣ метавонанд дастрасиро дар сатҳи додашудаи SLA таъмин кунанд ва инчунин мушкилотро ҳарчи зудтар ташхис кунанд.

Инчунин, мо мехоҳем шуморо ба вебинари мо (10.09.2019/XNUMX/XNUMX) бахшида ба ҳалли фурӯшандаи Flowmon Networks даъват кунем. Барои сабти ном, аз шумо хоҳиш мекунем дар ин ҷо сабти ном кунед.
Ҳамааш ин аст, ташаккур барои таваҷҷӯҳатон!

Танҳо корбарони сабтиномшуда метавонанд дар пурсиш иштирок кунанд. даромад, Лутфан.

Оё шумо Netflow-ро барои мониторинги шабака истифода мебаред?

• он

• Не, аммо ман нақша дорам

• нест

9 корбар овоз доданд. 3 корбар худдорӣ карданд.

Манбаъ: will.com