Pagsubaybay sa network at pagtuklas ng maanomalyang aktibidad ng network gamit ang mga solusyon sa Flowmon Networks

Kamakailan lamang, makakahanap ka ng isang malaking halaga ng mga materyales sa paksa sa Internet. pagsusuri ng trapiko sa perimeter ng network. Kasabay nito, sa ilang kadahilanan ay ganap na nakalimutan ng lahat lokal na pagsusuri sa trapiko, na hindi gaanong mahalaga. Ang artikulong ito ay tiyak na tumutugon sa paksang ito. Halimbawa Mga Network ng Flowmon maaalala natin ang magandang lumang Netflow (at ang mga alternatibo nito), tingnan ang mga kagiliw-giliw na kaso, posibleng mga anomalya sa network at alamin ang mga pakinabang ng solusyon kapag gumagana ang buong network bilang isang sensor. At higit sa lahat, maaari kang magsagawa ng naturang pagsusuri ng lokal na trapiko na ganap na walang bayad, sa loob ng balangkas ng isang lisensya sa pagsubok (45 araw). Kung ang paksa ay kawili-wili sa iyo, maligayang pagdating sa pusa. Kung tinatamad kang magbasa, kung gayon, sa hinaharap, maaari kang magparehistro paparating na webinar, kung saan ipapakita at sasabihin namin sa iyo ang lahat (maaari mo ring malaman ang tungkol sa paparating na pagsasanay sa produkto doon).

Ano ang Flowmon Networks?

Una sa lahat, ang Flowmon ay isang European IT vendor. Ang kumpanya ay Czech, na may punong-tanggapan sa Brno (ang isyu ng mga parusa ay hindi itinaas). Sa kasalukuyang anyo nito, ang kumpanya ay nasa merkado mula noong 2007. Dati, kilala ito sa ilalim ng tatak ng Invea-Tech. Kaya, sa kabuuan, halos 20 taon ang ginugol sa pagbuo ng mga produkto at solusyon.

Ang Flowmon ay nakaposisyon bilang isang A-class na brand. Bumubuo ng mga premium na solusyon para sa mga customer ng enterprise at kinikilala sa mga kahon ng Gartner para sa Network Performance Monitoring and Diagnostics (NPMD). Bukod dito, kawili-wili, sa lahat ng mga kumpanya sa ulat, ang Flowmon ay ang tanging vendor na binanggit ni Gartner bilang isang tagagawa ng mga solusyon para sa parehong pagsubaybay sa network at proteksyon ng impormasyon (Pagsusuri ng Pag-uugali ng Network). Hindi pa ito nangunguna, ngunit dahil dito hindi ito tumatayo na parang Boeing wing.

Anong mga problema ang nalulutas ng produkto?

Sa buong mundo, maaari nating tukuyin ang mga sumusunod na pangkat ng mga gawaing nalutas ng mga produkto ng kumpanya:

1. pagpapataas ng katatagan ng network, gayundin ng mga mapagkukunan ng network, sa pamamagitan ng pagliit ng kanilang downtime at kawalan ng kakayahang magamit;
2. pagtaas ng pangkalahatang antas ng pagganap ng network;
3. pagtaas ng kahusayan ng mga tauhan ng administratibo dahil sa:
   • gamit ang makabagong mga tool sa pagsubaybay sa network batay sa impormasyon tungkol sa mga daloy ng IP;
   • pagbibigay ng detalyadong analytics tungkol sa paggana at estado ng network - mga user at application na tumatakbo sa network, ipinadalang data, nakikipag-ugnayan na mga mapagkukunan, mga serbisyo at mga node;
   • pagtugon sa mga insidente bago mangyari ang mga ito, at hindi pagkatapos mawalan ng serbisyo ang mga user at kliyente;
   • pagbabawas ng oras at mga mapagkukunang kinakailangan upang pangasiwaan ang network at imprastraktura ng IT;
   • pinapasimple ang mga gawain sa pag-troubleshoot.
4. pagtaas ng antas ng seguridad ng network at mga mapagkukunan ng impormasyon ng negosyo, sa pamamagitan ng paggamit ng mga teknolohiyang hindi pirma para sa pag-detect ng maanomalyang at malisyosong aktibidad ng network, pati na rin ang "zero-day attacks";
5. tinitiyak ang kinakailangang antas ng SLA para sa mga aplikasyon at database ng network.

Portfolio ng Produkto ng Flowmon Networks

Ngayon tingnan natin nang direkta ang portfolio ng produkto ng Flowmon Networks at alamin kung ano ang eksaktong ginagawa ng kumpanya. Tulad ng nahulaan na ng marami mula sa pangalan, ang pangunahing espesyalisasyon ay nasa mga solusyon para sa pagsubaybay sa daloy ng trapiko sa streaming, kasama ang ilang karagdagang mga module na nagpapalawak sa pangunahing pag-andar.

Sa katunayan, ang Flowmon ay maaaring tawaging isang kumpanya ng isang produkto, o sa halip, isang solusyon. Alamin natin kung ito ay mabuti o masama.

Ang core ng system ay ang collector, na responsable sa pagkolekta ng data gamit ang iba't ibang flow protocols, tulad ng NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Ito ay lubos na lohikal na para sa isang kumpanya na hindi kaakibat sa anumang tagagawa ng kagamitan sa network, mahalagang mag-alok sa merkado ng isang unibersal na produkto na hindi nakatali sa alinmang pamantayan o protocol.

Kolektor ng Flowmon

Ang kolektor ay magagamit bilang isang server ng hardware at bilang isang virtual machine (VMware, Hyper-V, KVM). Sa pamamagitan ng paraan, ang platform ng hardware ay ipinatupad sa mga naka-customize na DELL server, na awtomatikong nag-aalis ng karamihan sa mga isyu sa warranty at RMA. Ang tanging proprietary na bahagi ng hardware ay ang mga FPGA traffic capture card na binuo ng isang subsidiary ng Flowmon, na nagpapahintulot sa pagsubaybay sa bilis na hanggang 100 Gbps.

Ngunit ano ang gagawin kung ang mga kasalukuyang kagamitan sa network ay hindi makabuo ng mataas na kalidad na daloy? O masyadong mataas ang load sa equipment? Walang problema:

Flowmon Prob

Sa kasong ito, iminumungkahi ng Flowmon Networks ang paggamit ng sarili nitong mga probe (Flowmon Probe), na konektado sa network sa pamamagitan ng SPAN port ng switch o paggamit ng mga passive TAP splitter.

SPAN (mirror port) at mga opsyon sa pagpapatupad ng TAP

Sa kasong ito, ang hilaw na trapiko na dumarating sa Flowmon Probe ay na-convert sa isang pinalawak na IPFIX na naglalaman ng higit 240 mga sukatan na may impormasyon. Habang ang karaniwang NetFlow protocol na nabuo ng network equipment ay naglalaman ng hindi hihigit sa 80 sukatan. Nagbibigay-daan ito para sa visibility ng protocol hindi lamang sa antas 3 at 4, kundi pati na rin sa antas 7 ayon sa modelong ISO OSI. Bilang resulta, masusubaybayan ng mga administrator ng network ang paggana ng mga application at protocol gaya ng e-mail, HTTP, DNS, SMB...

Sa konsepto, ang lohikal na arkitektura ng system ay ganito ang hitsura:

Ang gitnang bahagi ng buong "ecosystem" ng Flowmon Networks ay ang Collector, na tumatanggap ng trapiko mula sa mga kasalukuyang kagamitan sa network o sarili nitong mga probe (Probe). Ngunit para sa isang solusyon sa Enterprise, ang pagbibigay ng functionality para lamang sa pagsubaybay sa trapiko sa network ay magiging masyadong simple. Magagawa rin ito ng mga solusyon sa Open Source, kahit na hindi sa ganoong pagganap. Ang halaga ng Flowmon ay mga karagdagang module na nagpapalawak sa pangunahing pag-andar:

• module Anomaly Detection Security – pagkilala sa maanomalyang aktibidad ng network, kabilang ang mga zero-day attack, batay sa heuristic analysis ng trapiko at isang tipikal na profile ng network;
• module Pagsubaybay sa Pagganap ng Application – pagsubaybay sa pagganap ng mga aplikasyon ng network nang hindi nag-i-install ng "mga ahente" at nakakaimpluwensya sa mga target na sistema;
• module Tagapagtala ng Trapiko – pagtatala ng mga fragment ng trapiko sa network ayon sa isang set ng mga paunang natukoy na panuntunan o ayon sa trigger mula sa ADS module, para sa karagdagang pag-troubleshoot at/o pagsisiyasat ng mga insidente ng seguridad ng impormasyon;
• module Proteksyon ng DDoS – proteksyon ng perimeter ng network mula sa volumetric na DoS/DDoS na pagtanggi sa mga pag-atake ng serbisyo, kabilang ang mga pag-atake sa mga application (OSI L3/L4/L7).

Sa artikulong ito, titingnan natin kung paano gumagana ang lahat nang live gamit ang halimbawa ng 2 module - Network Performance Monitoring at Diagnostics и Anomaly Detection Security.
Pinagmulan ng data:

• Lenovo RS 140 server na may VMware 6.0 hypervisor;
• Flowmon Collector virtual machine na imahe na magagawa mo download dito;
• isang pares ng mga switch na sumusuporta sa mga protocol ng daloy.

Hakbang 1. I-install ang Flowmon Collector

Ang deployment ng isang virtual machine sa VMware ay nangyayari sa isang ganap na karaniwang paraan mula sa OVF template. Bilang resulta, nakakakuha kami ng virtual machine na nagpapatakbo ng CentOS at may handa nang gamitin na software. Ang mga kinakailangan sa mapagkukunan ay makatao:

Ang natitira na lang ay ang magsagawa ng basic initialization gamit ang command sysconfig:

Kino-configure namin ang IP sa management port, DNS, oras, Hostname at maaaring kumonekta sa interface ng WEB.

Hakbang 2. Pag-install ng lisensya

Ang isang lisensya sa pagsubok para sa isa at kalahating buwan ay nabuo at dina-download kasama ang imahe ng virtual machine. Na-load sa pamamagitan ng Configuration Center -> Lisensya. Bilang resulta, nakikita natin:

Handa na ang lahat. Maaari kang magsimulang magtrabaho.

Hakbang 3. Pag-set up ng receiver sa kolektor

Sa yugtong ito, kailangan mong magpasya kung paano makakatanggap ang system ng data mula sa mga mapagkukunan. Gaya ng sinabi namin kanina, ito ay maaaring isa sa mga flow protocol o isang SPAN port sa switch.

Sa aming halimbawa, gagamitin namin ang pagtanggap ng data gamit ang mga protocol NetFlow v9 at IPFIX. Sa kasong ito, tinukoy namin ang IP address ng interface ng Pamamahala bilang isang target - 192.168.78.198. Ang mga interface na eth2 at eth3 (na may uri ng Monitoring interface) ay ginagamit upang makatanggap ng kopya ng “raw” na trapiko mula sa SPAN port ng switch. Hinayaan natin sila, hindi ang kaso natin.
Susunod, sinusuri namin ang port ng kolektor kung saan dapat pumunta ang trapiko.

Sa aming kaso, nakikinig ang kolektor para sa trapiko sa port UDP/2055.

Hakbang 4. Pag-configure ng kagamitan sa network para sa pag-export ng daloy

Ang pag-set up ng NetFlow sa kagamitan ng Cisco Systems ay maaaring tawaging ganap na karaniwang gawain para sa sinumang administrator ng network. Para sa aming halimbawa, kukuha kami ng mas kakaiba. Halimbawa, ang MikroTik RB2011UiAS-2HnD router. Oo, kakaiba, ang gayong solusyon sa badyet para sa maliliit at mga opisina sa bahay ay sumusuporta din sa mga protocol ng NetFlow v5/v9 at IPFIX. Sa mga setting, itakda ang target (address ng kolektor 192.168.78.198 at port 2055):

At idagdag ang lahat ng mga sukatan na magagamit para sa pag-export:

Sa puntong ito masasabi nating kumpleto na ang pangunahing pag-setup. Sinusuri namin kung pumapasok ang trapiko sa system.

Hakbang 5: Pagsubok at Pagpapatakbo ng Network Performance Monitoring at Diagnostics Module

Maaari mong suriin ang pagkakaroon ng trapiko mula sa pinagmulan sa seksyon Flowmon Monitoring Center -> Mga Pinagmulan:

Nakikita namin na ang data ay pumapasok sa system. Ilang oras pagkatapos makaipon ng trapiko ang kolektor, magsisimulang magpakita ng impormasyon ang mga widget:

Ang sistema ay binuo sa prinsipyo ng drill down. Iyon ay, ang user, kapag pumipili ng isang fragment ng interes sa isang diagram o graph, "bumabagsak" sa antas ng lalim ng data na kailangan niya:

Pababa sa impormasyon tungkol sa bawat koneksyon sa network at koneksyon:

Hakbang 6. Anomaly Detection Security Module

Ang module na ito ay maaaring tawaging isa sa mga pinaka-kawili-wili, salamat sa paggamit ng mga pamamaraan na walang lagda para sa pag-detect ng mga anomalya sa trapiko sa network at malisyosong aktibidad ng network. Ngunit hindi ito isang analogue ng mga sistema ng IDS/IPS. Ang paggawa sa modyul ay nagsisimula sa "pagsasanay" nito. Upang gawin ito, ang isang espesyal na wizard ay tumutukoy sa lahat ng mga pangunahing bahagi at serbisyo ng network, kabilang ang:

• gateway address, DNS, DHCP at NTP server,
• pagtugon sa mga segment ng user at server.

Pagkatapos nito, napupunta ang system sa mode ng pagsasanay, na tumatagal sa average mula 2 linggo hanggang 1 buwan. Sa panahong ito, bumubuo ang system ng baseline na trapiko na partikular sa aming network. Sa madaling salita, natututo ang system:

• anong pag-uugali ang karaniwang para sa mga node ng network?
• Anong mga volume ng data ang karaniwang inililipat at normal para sa network?
• Ano ang karaniwang oras ng pagpapatakbo para sa mga user?
• anong mga application ang tumatakbo sa network?
• at marami pang iba..

Bilang resulta, nakakakuha kami ng tool na tumutukoy sa anumang mga anomalya sa aming network at mga paglihis mula sa karaniwang pag-uugali. Narito ang ilang mga halimbawa na pinapayagan ka ng system na makita:

• pamamahagi ng bagong malware sa network na hindi natukoy ng mga pirma ng antivirus;
• pagbuo ng DNS, ICMP o iba pang mga tunnel at pagpapadala ng data na lumalampas sa firewall;
• ang hitsura ng isang bagong computer sa network na nagpapanggap bilang isang DHCP at/o DNS server.

Tingnan natin kung ano ang hitsura nito nang live. Matapos masanay ang iyong system at bumuo ng baseline ng trapiko sa network, magsisimula itong makakita ng mga insidente:

Ang pangunahing pahina ng module ay isang timeline na nagpapakita ng mga natukoy na insidente. Sa aming halimbawa, nakikita namin ang isang malinaw na spike, humigit-kumulang sa pagitan ng 9 at 16 na oras. Piliin natin ito at tingnan nang mas detalyado.

Ang maanomalyang pag-uugali ng umaatake sa network ay malinaw na nakikita. Nagsisimula ang lahat sa katotohanan na ang host na may address na 192.168.3.225 ay nagsimula ng isang pahalang na pag-scan ng network sa port 3389 (serbisyo ng Microsoft RDP) at nakahanap ng 14 na potensyal na "mga biktima":

и

Ang sumusunod na naitala na insidente - ang host na 192.168.3.225 ay nagsimula ng isang malupit na pag-atake sa mga password ng brute force sa serbisyo ng RDP (port 3389) sa mga dating natukoy na address:

Bilang resulta ng pag-atake, may nakitang anomalya ng SMTP sa isa sa mga na-hack na host. Sa madaling salita, nagsimula na ang SPAM:

Ang halimbawang ito ay isang malinaw na pagpapakita ng mga kakayahan ng system at partikular sa module ng Anomaly Detection Security. Hatulan ang pagiging epektibo para sa iyong sarili. Ito ay nagtatapos sa functional na pangkalahatang-ideya ng solusyon.

Konklusyon

Ibuod natin kung anong mga konklusyon ang maaari nating gawin tungkol sa Flowmon:

• Ang Flowmon ay isang premium na solusyon para sa mga corporate na customer;
• salamat sa versatility at compatibility nito, available ang pangongolekta ng data mula sa anumang source: network equipment (Cisco, Juniper, HPE, Huawei...) o sarili mong mga probe (Flowmon Probe);
• Ang mga kakayahan ng scalability ng solusyon ay nagbibigay-daan sa iyo na palawakin ang functionality ng system sa pamamagitan ng pagdaragdag ng mga bagong module, pati na rin ang pagtaas ng produktibidad salamat sa isang flexible na diskarte sa paglilisensya;
• sa pamamagitan ng paggamit ng mga teknolohiya ng pagsusuri na walang lagda, pinapayagan ka ng system na makita ang mga zero-day attack kahit na hindi alam ng mga antivirus at IDS/IPS system;
• salamat sa kumpletong "transparency" sa mga tuntunin ng pag-install at pagkakaroon ng system sa network - ang solusyon ay hindi nakakaapekto sa pagpapatakbo ng iba pang mga node at mga bahagi ng iyong imprastraktura ng IT;
• Ang Flowmon ay ang tanging solusyon sa merkado na sumusuporta sa pagsubaybay sa trapiko sa bilis na hanggang 100 Gbps;
• Ang Flowmon ay isang solusyon para sa mga network ng anumang sukat;
• ang pinakamahusay na ratio ng presyo/functionality sa mga katulad na solusyon.

Sa pagsusuring ito, sinuri namin ang mas mababa sa 10% ng kabuuang functionality ng solusyon. Sa susunod na artikulo ay pag-uusapan natin ang tungkol sa natitirang mga module ng Flowmon Networks. Gamit ang module ng Application Performance Monitoring bilang isang halimbawa, ipapakita namin kung paano masisiguro ng mga administrator ng application ng negosyo ang pagkakaroon sa isang partikular na antas ng SLA, pati na rin ang pag-diagnose ng mga problema sa lalong madaling panahon.

Gayundin, gusto ka naming imbitahan sa aming webinar (10.09.2019/XNUMX/XNUMX) na nakatuon sa mga solusyon ng vendor na Flowmon Networks. Upang mag-preregister, hinihiling namin sa iyo Magrehistro dito.
Iyon lang sa ngayon, salamat sa iyong interes!

Ang mga rehistradong user lamang ang maaaring lumahok sa survey. Mag-sign in, pakiusap

Gumagamit ka ba ng Netflow para sa pagsubaybay sa network?

• Oo

• Hindi, pero balak ko

• Hindi

9 mga gumagamit ang bumoto. 3 user ang umiwas.

Pinagmulan: www.habr.com