เมื่อเร็ว ๆ นี้คุณสามารถค้นหาเนื้อหาจำนวนมากในหัวข้อนี้บนอินเทอร์เน็ต การวิเคราะห์การรับส่งข้อมูลที่ขอบเขตเครือข่าย- ในเวลาเดียวกัน ด้วยเหตุผลบางอย่างที่ทุกคนลืมไปโดยสิ้นเชิง การวิเคราะห์การจราจรในท้องถิ่นซึ่งก็มีความสำคัญไม่น้อย บทความนี้กล่าวถึงหัวข้อนี้อย่างแม่นยำ ตัวอย่างเช่น
Flowmon Networks คืออะไร?
ก่อนอื่น Flowmon คือผู้จำหน่ายไอทีในยุโรป บริษัทเป็นบริษัทสัญชาติเช็ก โดยมีสำนักงานใหญ่อยู่ที่เบอร์โน (ประเด็นเรื่องการคว่ำบาตรยังไม่ได้รับการหยิบยกขึ้นมาด้วยซ้ำ) ในรูปแบบปัจจุบัน บริษัทเข้าสู่ตลาดมาตั้งแต่ปี 2007 ก่อนหน้านี้เป็นที่รู้จักภายใต้แบรนด์ Invea-Tech โดยรวมแล้วเราใช้เวลาเกือบ 20 ปีในการพัฒนาผลิตภัณฑ์และโซลูชั่น
Flowmon อยู่ในตำแหน่งแบรนด์ A-class พัฒนาโซลูชันระดับพรีเมียมสำหรับลูกค้าองค์กร และได้รับการยอมรับในกล่อง Gartner สำหรับการตรวจสอบและวินิจฉัยประสิทธิภาพเครือข่าย (NPMD) ยิ่งไปกว่านั้น ที่น่าสนใจคือ ในบรรดาบริษัททั้งหมดในรายงาน Flowmon เป็นผู้จำหน่ายเพียงรายเดียวที่ Gartner ระบุว่าเป็นผู้ผลิตโซลูชันสำหรับการตรวจสอบเครือข่ายและการปกป้องข้อมูล (การวิเคราะห์พฤติกรรมเครือข่าย) มันยังไม่เกิดขึ้นที่หนึ่ง แต่ด้วยเหตุนี้ มันจึงไม่ยืนหยัดเหมือนปีกโบอิ้ง
สินค้าแก้ปัญหาอะไรบ้าง?
ทั่วโลก เราสามารถแยกแยะกลุ่มงานที่แก้ไขโดยผลิตภัณฑ์ของบริษัทดังต่อไปนี้:
- เพิ่มความเสถียรของเครือข่ายตลอดจนทรัพยากรเครือข่ายโดยลดการหยุดทำงานและความไม่พร้อมใช้งานให้เหลือน้อยที่สุด
- เพิ่มระดับประสิทธิภาพของเครือข่ายโดยรวม
- การเพิ่มประสิทธิภาพของบุคลากรฝ่ายบริหารเนื่องจาก:
- การใช้เครื่องมือตรวจสอบเครือข่ายที่เป็นนวัตกรรมสมัยใหม่โดยอิงตามข้อมูลเกี่ยวกับโฟลว์ IP
- ให้การวิเคราะห์โดยละเอียดเกี่ยวกับการทำงานและสถานะของเครือข่าย - ผู้ใช้และแอปพลิเคชันที่ทำงานบนเครือข่าย ข้อมูลที่ส่ง การโต้ตอบทรัพยากร บริการ และโหนด
- การตอบสนองต่อเหตุการณ์ก่อนที่จะเกิดขึ้น ไม่ใช่หลังจากที่ผู้ใช้และลูกค้าสูญเสียการบริการ
- ลดเวลาและทรัพยากรที่จำเป็นในการบริหารจัดการเครือข่ายและโครงสร้างพื้นฐานด้านไอที
- ทำให้งานการแก้ไขปัญหาง่ายขึ้น
- เพิ่มระดับความปลอดภัยของเครือข่ายและทรัพยากรข้อมูลขององค์กรผ่านการใช้เทคโนโลยีที่ไม่ใช่ลายเซ็นเพื่อตรวจจับกิจกรรมเครือข่ายที่ผิดปกติและเป็นอันตรายตลอดจน "การโจมตีซีโร่เดย์"
- รับประกันระดับ SLA ที่จำเป็นสำหรับแอปพลิเคชันเครือข่ายและฐานข้อมูล
กลุ่มผลิตภัณฑ์ Flowmon Networks
ตอนนี้เรามาดูโดยตรงที่กลุ่มผลิตภัณฑ์ของ Flowmon Networks และดูว่าบริษัททำอะไรกันแน่ ดังที่หลายคนเดาได้จากชื่อแล้ว ความเชี่ยวชาญหลักอยู่ที่โซลูชันสำหรับการตรวจสอบปริมาณข้อมูลการสตรีมสตรีม รวมถึงโมดูลเพิ่มเติมจำนวนหนึ่งที่ขยายฟังก์ชันการทำงานพื้นฐาน
ในความเป็นจริง Flowmon สามารถเรียกได้ว่าเป็นบริษัทที่มีผลิตภัณฑ์เดียวหรือเป็นโซลูชันเดียว ลองคิดดูว่าสิ่งนี้ดีหรือไม่ดี
แกนหลักของระบบคือตัวรวบรวมซึ่งมีหน้าที่รวบรวมข้อมูลโดยใช้โปรโตคอลการไหลต่างๆ เช่น NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... เป็นเรื่องที่ค่อนข้างสมเหตุสมผลสำหรับบริษัทที่ไม่เกี่ยวข้องกับผู้ผลิตอุปกรณ์เครือข่ายใดๆ สิ่งสำคัญคือต้องเสนอผลิตภัณฑ์สากลที่ไม่เชื่อมโยงกับมาตรฐานหรือโปรโตคอลใดๆ ให้กับตลาด
นักสะสมโฟลว์มอน
ตัวรวบรวมสามารถใช้ได้ทั้งในรูปแบบเซิร์ฟเวอร์ฮาร์ดแวร์และเครื่องเสมือน (VMware, Hyper-V, KVM) อย่างไรก็ตาม แพลตฟอร์มฮาร์ดแวร์ถูกนำไปใช้กับเซิร์ฟเวอร์ DELL ที่ปรับแต่งเอง ซึ่งจะช่วยขจัดปัญหาส่วนใหญ่เกี่ยวกับการรับประกันและ RMA โดยอัตโนมัติ ส่วนประกอบฮาร์ดแวร์ที่เป็นกรรมสิทธิ์เพียงชิ้นเดียวคือการ์ดบันทึกการรับส่งข้อมูล FPGA ที่พัฒนาโดยบริษัทในเครือของ Flowmon ซึ่งช่วยให้สามารถตรวจสอบที่ความเร็วสูงถึง 100 Gbps
แต่จะทำอย่างไรถ้าอุปกรณ์เครือข่ายที่มีอยู่ไม่สามารถสร้างโฟลว์คุณภาพสูงได้? หรือโหลดบนอุปกรณ์สูงเกินไป? ไม่มีปัญหา:
โพรบ Flowmon
ในกรณีนี้ Flowmon Networks แนะนำให้ใช้โพรบของตัวเอง (Flowmon Probe) ซึ่งเชื่อมต่อกับเครือข่ายผ่านพอร์ต SPAN ของสวิตช์ หรือใช้ตัวแยก TAP แบบพาสซีฟ
SPAN (พอร์ตมิเรอร์) และตัวเลือกการใช้งาน TAP
ในกรณีนี้ ปริมาณข้อมูลดิบที่มาถึง Flowmon Probe จะถูกแปลงเป็น IPFIX แบบขยายที่มีมากกว่านั้น 240 เมตริกพร้อมข้อมูล- ในขณะที่โปรโตคอล NetFlow มาตรฐานที่สร้างโดยอุปกรณ์เครือข่ายจะมีเมตริกไม่เกิน 80 ตัว ซึ่งช่วยให้มองเห็นโปรโตคอลได้ไม่เพียงแต่ในระดับ 3 และ 4 เท่านั้น แต่ยังรวมถึงระดับ 7 ตามโมเดล ISO OSI อีกด้วย เป็นผลให้ผู้ดูแลระบบเครือข่ายสามารถตรวจสอบการทำงานของแอปพลิเคชันและโปรโตคอล เช่น อีเมล, HTTP, DNS, SMB...
ตามแนวคิดแล้ว สถาปัตยกรรมลอจิคัลของระบบมีลักษณะดังนี้:
ส่วนกลางของ “ระบบนิเวศ” ของ Flowmon Networks ทั้งหมดคือ Collector ซึ่งรับการรับส่งข้อมูลจากอุปกรณ์เครือข่ายที่มีอยู่หรือโพรบ (Probe) ของตัวเอง แต่สำหรับโซลูชันระดับองค์กร การจัดหาฟังก์ชันการทำงานสำหรับการตรวจสอบการรับส่งข้อมูลเครือข่ายเพียงอย่างเดียวจะง่ายเกินไป โซลูชันโอเพ่นซอร์สก็สามารถทำได้เช่นกัน แม้ว่าจะไม่ได้มีประสิทธิภาพเช่นนั้นก็ตาม ค่าของ Flowmon เป็นโมดูลเพิ่มเติมที่ขยายฟังก์ชันพื้นฐาน:
- โมดูล การรักษาความปลอดภัยการตรวจจับความผิดปกติ – การระบุกิจกรรมเครือข่ายที่ผิดปกติ รวมถึงการโจมตีซีโรเดย์ โดยอิงจากการวิเคราะห์พฤติกรรมการรับส่งข้อมูลและโปรไฟล์เครือข่ายทั่วไป
- โมดูล การตรวจสอบประสิทธิภาพของแอพพลิเคชั่น – ตรวจสอบประสิทธิภาพของแอปพลิเคชันเครือข่ายโดยไม่ต้องติดตั้ง “ตัวแทน” และมีอิทธิพลต่อระบบเป้าหมาย
- โมดูล เครื่องบันทึกการจราจร – บันทึกส่วนของการรับส่งข้อมูลเครือข่ายตามกฎที่กำหนดไว้ล่วงหน้าหรือตามทริกเกอร์จากโมดูล ADS เพื่อการแก้ไขปัญหาเพิ่มเติมและ/หรือการตรวจสอบเหตุการณ์ความปลอดภัยของข้อมูล
- โมดูล การป้องกัน DDoS – การป้องกันขอบเขตเครือข่ายจากการปฏิเสธการโจมตีบริการ DoS/DDoS ตามปริมาตร รวมถึงการโจมตีแอปพลิเคชัน (OSI L3/L4/L7)
ในบทความนี้ เราจะมาดูกันว่าทุกอย่างทำงานอย่างไรโดยใช้ตัวอย่าง 2 โมดูล - การตรวจสอบและวินิจฉัยประสิทธิภาพเครือข่าย и การรักษาความปลอดภัยการตรวจจับความผิดปกติ.
พื้นหลัง:
- เซิร์ฟเวอร์ Lenovo RS 140 พร้อมไฮเปอร์ไวเซอร์ VMware 6.0;
- อิมเมจเครื่องเสมือน Flowmon Collector ที่คุณสามารถทำได้
ดาวน์โหลดได้ที่นี่ ; - สวิตช์คู่หนึ่งที่รองรับโปรโตคอลโฟลว์
ขั้นตอนที่ 1 ติดตั้ง Flowmon Collector
การปรับใช้เครื่องเสมือนบน VMware เกิดขึ้นในลักษณะมาตรฐานโดยสมบูรณ์จากเทมเพลต OVF เป็นผลให้เราได้รับเครื่องเสมือนที่ใช้ CentOS และมีซอฟต์แวร์ที่พร้อมใช้งาน ความต้องการทรัพยากรเป็นไปตามหลักมนุษยธรรม:
สิ่งที่เหลืออยู่คือดำเนินการเริ่มต้นขั้นพื้นฐานโดยใช้คำสั่ง sysconfig.php:
เรากำหนดค่า IP บนพอร์ตการจัดการ, DNS, เวลา, ชื่อโฮสต์ และสามารถเชื่อมต่อกับอินเทอร์เฟซเว็บได้
ขั้นตอนที่ 2 การติดตั้งใบอนุญาต
สิทธิ์การใช้งานแบบทดลองใช้เป็นเวลาหนึ่งเดือนครึ่งจะถูกสร้างและดาวน์โหลดพร้อมกับอิมเมจเครื่องเสมือน โหลดผ่าน ศูนย์การกำหนดค่า -> ใบอนุญาต- ด้วยเหตุนี้เราจึงเห็น:
ทุกอย่างพร้อมแล้ว คุณสามารถเริ่มทำงานได้
ขั้นตอนที่ 3 การตั้งค่าเครื่องรับบนตัวสะสม
ในขั้นตอนนี้ คุณต้องตัดสินใจว่าระบบจะรับข้อมูลจากแหล่งที่มาอย่างไร ดังที่เราได้กล่าวไว้ก่อนหน้านี้ นี่อาจเป็นหนึ่งในโฟลว์โปรโตคอลหรือพอร์ต SPAN บนสวิตช์
ในตัวอย่างของเรา เราจะใช้การรับข้อมูลโดยใช้โปรโตคอล NetFlow v9 และ IPFIX- ในกรณีนี้ เราระบุที่อยู่ IP ของอินเทอร์เฟซการจัดการเป็นเป้าหมาย - 192.168.78.198- อินเทอร์เฟซ eth2 และ eth3 (ที่มีประเภทอินเทอร์เฟซการตรวจสอบ) ใช้เพื่อรับสำเนาของการรับส่งข้อมูล "ดิบ" จากพอร์ต SPAN ของสวิตช์ เราปล่อยให้พวกเขาผ่าน ไม่ใช่กรณีของเรา
ต่อไป เราจะตรวจสอบพอร์ตตัวรวบรวมที่ซึ่งการรับส่งข้อมูลควรไป
ในกรณีของเรา ตัวรวบรวมจะรับฟังการรับส่งข้อมูลบนพอร์ต UDP/2055
ขั้นตอนที่ 4 การกำหนดค่าอุปกรณ์เครือข่ายสำหรับการส่งออกโฟลว์
การตั้งค่า NetFlow บนอุปกรณ์ Cisco Systems อาจเรียกได้ว่าเป็นงานทั่วไปสำหรับผู้ดูแลระบบเครือข่าย สำหรับตัวอย่างของเรา เราจะใช้สิ่งที่ผิดปกติกว่านี้ ตัวอย่างเช่น เราเตอร์ MikroTik RB2011UiAS-2HnD ใช่ น่าแปลกที่โซลูชันราคาประหยัดสำหรับสำนักงานขนาดเล็กและโฮมออฟฟิศยังรองรับโปรโตคอล NetFlow v5/v9 และ IPFIX อีกด้วย ในการตั้งค่าให้กำหนดเป้าหมาย (ที่อยู่ตัวรวบรวม 192.168.78.198 และพอร์ต 2055):
และเพิ่มเมตริกทั้งหมดที่สามารถส่งออกได้:
ณ จุดนี้เราสามารถพูดได้ว่าการตั้งค่าพื้นฐานเสร็จสมบูรณ์แล้ว เราตรวจสอบว่าทราฟฟิกเข้าสู่ระบบหรือไม่
ขั้นตอนที่ 5: การทดสอบและการใช้งานโมดูลการตรวจสอบและวินิจฉัยประสิทธิภาพเครือข่าย
คุณสามารถตรวจสอบการเข้าชมจากแหล่งที่มาได้ในส่วนนี้ ศูนย์ตรวจสอบ Flowmon -> แหล่งที่มา:
เราเห็นว่าข้อมูลกำลังเข้าสู่ระบบ สักพักหลังจากที่ตัวรวบรวมมีปริมาณการเข้าชม วิดเจ็ตจะเริ่มแสดงข้อมูล:
ระบบถูกสร้างขึ้นบนหลักการเจาะลึก นั่นคือผู้ใช้เมื่อเลือกส่วนที่น่าสนใจบนไดอะแกรมหรือกราฟ "ตก" ถึงระดับความลึกของข้อมูลที่เขาต้องการ:
ลงไปที่ข้อมูลเกี่ยวกับการเชื่อมต่อเครือข่ายและการเชื่อมต่อแต่ละรายการ:
ขั้นตอนที่ 6 โมดูลความปลอดภัยการตรวจจับความผิดปกติ
โมดูลนี้สามารถเรียกได้ว่าเป็นหนึ่งในโมดูลที่น่าสนใจที่สุด ด้วยการใช้วิธีการที่ไม่มีลายเซ็นในการตรวจจับความผิดปกติในการรับส่งข้อมูลเครือข่ายและกิจกรรมเครือข่ายที่เป็นอันตราย แต่นี่ไม่ใช่อะนาล็อกของระบบ IDS/IPS การทำงานกับโมดูลเริ่มต้นด้วย "การฝึกอบรม" เมื่อต้องการทำเช่นนี้ วิซาร์ดพิเศษจะระบุส่วนประกอบและบริการที่สำคัญทั้งหมดของเครือข่าย รวมถึง:
- ที่อยู่เกตเวย์, เซิร์ฟเวอร์ DNS, DHCP และ NTP
- ที่อยู่ในส่วนของผู้ใช้และเซิร์ฟเวอร์
หลังจากนั้น ระบบจะเข้าสู่โหมดการฝึก ซึ่งกินเวลาโดยเฉลี่ยตั้งแต่ 2 สัปดาห์ถึง 1 เดือน ในช่วงเวลานี้ ระบบจะสร้างการรับส่งข้อมูลพื้นฐานที่เฉพาะเจาะจงสำหรับเครือข่ายของเรา พูดง่ายๆ ก็คือ ระบบจะเรียนรู้:
- ลักษณะการทำงานปกติของโหนดเครือข่ายเป็นอย่างไร
- โดยทั่วไปมีการถ่ายโอนข้อมูลจำนวนเท่าใดและเป็นเรื่องปกติสำหรับเครือข่าย
- โดยทั่วไปผู้ใช้จะเปิดให้บริการเวลาเท่าไร?
- แอปพลิเคชั่นใดบ้างที่ทำงานบนเครือข่าย?
- และอีกมากมาย ..
ด้วยเหตุนี้ เราจึงได้รับเครื่องมือที่ระบุความผิดปกติในเครือข่ายของเราและการเบี่ยงเบนไปจากพฤติกรรมทั่วไป นี่คือตัวอย่างบางส่วนที่ระบบอนุญาตให้คุณตรวจพบ:
- การกระจายมัลแวร์ใหม่บนเครือข่ายที่ลายเซ็นของโปรแกรมป้องกันไวรัสตรวจไม่พบ
- การสร้าง DNS, ICMP หรืออุโมงค์อื่น ๆ และส่งข้อมูลโดยข้ามไฟร์วอลล์
- ลักษณะที่ปรากฏของคอมพิวเตอร์เครื่องใหม่บนเครือข่ายที่วางตัวเป็นเซิร์ฟเวอร์ DHCP และ/หรือ DNS
มาดูกันว่าจะสดขนาดไหน หลังจากที่ระบบของคุณได้รับการฝึกอบรมและสร้างพื้นฐานการรับส่งข้อมูลเครือข่ายแล้ว ระบบจะเริ่มตรวจพบเหตุการณ์:
หน้าหลักของโมดูลคือไทม์ไลน์ที่แสดงเหตุการณ์ที่ระบุ ในตัวอย่างของเรา เราเห็นการเพิ่มขึ้นอย่างรวดเร็ว ประมาณระหว่าง 9 ถึง 16 ชั่วโมง มาเลือกกันและดูรายละเอียดเพิ่มเติม
พฤติกรรมผิดปกติของผู้โจมตีบนเครือข่ายสามารถมองเห็นได้ชัดเจน ทุกอย่างเริ่มต้นด้วยความจริงที่ว่าโฮสต์ที่มีที่อยู่ 192.168.3.225 เริ่มสแกนแนวนอนของเครือข่ายบนพอร์ต 3389 (บริการ Microsoft RDP) และพบ "เหยื่อ" ที่อาจเกิดขึ้น 14 ราย:
и
เหตุการณ์ที่บันทึกไว้ต่อไปนี้ - โฮสต์ 192.168.3.225 เริ่มการโจมตีแบบ bruteforce เพื่อรหัสผ่านแบบ bruteforce บนบริการ RDP (พอร์ต 3389) ที่ที่อยู่ที่ระบุไว้ก่อนหน้านี้:
จากผลของการโจมตี ตรวจพบความผิดปกติของ SMTP บนโฮสต์ที่ถูกแฮ็กตัวใดตัวหนึ่ง กล่าวอีกนัยหนึ่ง สแปมได้เริ่มต้นแล้ว:
ตัวอย่างนี้แสดงให้เห็นอย่างชัดเจนถึงความสามารถของระบบและโมดูล Anomaly Detection Security โดยเฉพาะ ตัดสินประสิทธิภาพด้วยตัวคุณเอง นี่เป็นการสรุปภาพรวมการทำงานของโซลูชัน
ข้อสรุป
เรามาสรุปข้อสรุปเกี่ยวกับ Flowmon กันดีกว่า:
- Flowmon เป็นโซลูชั่นระดับพรีเมียมสำหรับลูกค้าองค์กร
- ด้วยความอเนกประสงค์และความเข้ากันได้ ทำให้สามารถรวบรวมข้อมูลได้จากทุกแหล่ง: อุปกรณ์เครือข่าย (Cisco, Juniper, HPE, Huawei...) หรือโพรบของคุณเอง (Flowmon Probe)
- ความสามารถในการปรับขนาดของโซลูชันช่วยให้คุณสามารถขยายฟังก์ชันการทำงานของระบบโดยการเพิ่มโมดูลใหม่ ตลอดจนเพิ่มประสิทธิภาพการทำงานด้วยแนวทางการออกใบอนุญาตที่ยืดหยุ่น
- ด้วยการใช้เทคโนโลยีการวิเคราะห์ที่ไม่มีลายเซ็น ระบบจะช่วยให้คุณสามารถตรวจจับการโจมตีแบบซีโร่เดย์ได้ แม้แต่โปรแกรมป้องกันไวรัสและระบบ IDS/IPS ที่ไม่รู้จัก
- ขอบคุณ "ความโปร่งใส" ที่สมบูรณ์ในแง่ของการติดตั้งและการมีอยู่ของระบบบนเครือข่าย - โซลูชันนี้ไม่ส่งผลกระทบต่อการทำงานของโหนดและส่วนประกอบอื่น ๆ ของโครงสร้างพื้นฐานด้านไอทีของคุณ
- Flowmon เป็นโซลูชั่นเดียวในตลาดที่รองรับการตรวจสอบการรับส่งข้อมูลด้วยความเร็วสูงถึง 100 Gbps;
- Flowmon เป็นโซลูชั่นสำหรับเครือข่ายทุกขนาด
- อัตราส่วนราคา/ฟังก์ชันการทำงานที่ดีที่สุดในบรรดาโซลูชันที่คล้ายคลึงกัน
ในการทบทวนนี้ เราได้ตรวจสอบฟังก์ชันการทำงานทั้งหมดของโซลูชันไม่ถึง 10% ในบทความถัดไป เราจะพูดถึงโมดูล Flowmon Networks ที่เหลือ เมื่อใช้โมดูลการตรวจสอบประสิทธิภาพของแอปพลิเคชันเป็นตัวอย่าง เราจะแสดงให้เห็นว่าผู้ดูแลระบบแอปพลิเคชันทางธุรกิจสามารถรับประกันความพร้อมใช้งานในระดับ SLA ที่กำหนดได้อย่างไร รวมถึงวินิจฉัยปัญหาโดยเร็วที่สุด
นอกจากนี้ เราขอเชิญคุณเข้าร่วมการสัมมนาผ่านเว็บของเรา (10.09.2019/XNUMX/XNUMX) เกี่ยวกับโซลูชันของผู้จำหน่าย Flowmon Networks หากต้องการลงทะเบียนล่วงหน้า เราขอให้คุณ
เพียงเท่านี้ ขอขอบคุณที่ให้ความสนใจ!
เฉพาะผู้ใช้ที่ลงทะเบียนเท่านั้นที่สามารถเข้าร่วมในการสำรวจได้
คุณใช้ Netflow สำหรับการตรวจสอบเครือข่ายหรือไม่?
-
มี
-
ไม่ แต่ฉันวางแผนที่จะ
-
ไม่
ผู้ใช้ 9 คนโหวต ผู้ใช้ 3 รายงดออกเสียง
ที่มา: will.com