Flowmon Networks çözümlerini kullanarak ağ izleme ve anormal ağ etkinliğinin tespiti

Son zamanlarda internette konuyla ilgili çok sayıda materyal bulabilirsiniz. ağ çevresinde trafik analizi. Aynı zamanda, bir nedenden dolayı herkes tamamen unuttu yerel trafik analiziki bu daha az önemli değil. Bu makale tam olarak bu konuyu ele almaktadır. Örneğin Flowmon Ağları eski güzel Netflow'u (ve alternatiflerini) hatırlayacağız, ilginç durumlara, ağdaki olası anormalliklere bakacağız ve çözümün avantajlarını öğreneceğiz. tüm ağ tek bir sensör gibi çalışır. Ve en önemlisi, yerel trafiğin böyle bir analizini deneme lisansı çerçevesinde tamamen ücretsiz olarak yapabilirsiniz (45 günler). Konu ilginizi çekiyorsa cat'e hoş geldiniz. Okumak için fazla tembelseniz, ileriye bakarak kayıt olabilirsiniz. yaklaşan web semineri, size her şeyi gösterip anlatacağımız yer (burada yakında gelecek ürün eğitimi hakkında da bilgi edinebilirsiniz).

Flowmon Ağları Nedir?

Her şeyden önce Flowmon Avrupalı ​​bir BT tedarikçisidir. Şirket Çek Cumhuriyeti'nde olup genel merkezi Brno'dadır (yaptırım konusu gündeme bile getirilmemiştir). Şu anki haliyle şirket 2007'den beri piyasada. Daha önce Invea-Tech markasıyla biliniyordu. Yani toplamda neredeyse 20 yıl ürün ve çözüm geliştirmeye harcandı.

Flowmon A sınıfı bir marka olarak konumlanıyor. Kurumsal müşteriler için birinci sınıf çözümler geliştirir ve Ağ Performansı İzleme ve Teşhis (NPMD) için Gartner kutularında tanınır. Üstelik ilginç bir şekilde, rapordaki tüm şirketler arasında Flowmon, Gartner'ın hem ağ izleme hem de bilgi koruması (Ağ Davranışı Analizi) çözüm üreticisi olarak belirttiği tek satıcıdır. Henüz birincilik alamadı ama bu nedenle Boeing kanadı gibi durmuyor.

Ürün hangi sorunları çözüyor?

Global olarak, şirketin ürünleri tarafından çözülen aşağıdaki görev havuzunu ayırt edebiliriz:

1. kesinti sürelerini ve kullanılamazlıklarını en aza indirerek ağın ve ağ kaynaklarının istikrarını artırmak;
2. genel ağ performansı düzeyinin iyileştirilmesi;
3. İdari personelin verimliliğinin aşağıdaki nedenlerden dolayı arttırılması:
   • IP akışları hakkındaki bilgilere dayalı modern, yenilikçi ağ izleme araçlarının kullanılması;
   • ağın işleyişi ve durumu hakkında ayrıntılı analizlerin sağlanması - ağ üzerinde çalışan kullanıcılar ve uygulamalar, iletilen veriler, etkileşimli kaynaklar, hizmetler ve düğümler;
   • olaylara, kullanıcılar ve müşteriler hizmeti kaybettikten sonra değil, gerçekleşmeden önce müdahale etmek;
   • ağı ve BT altyapısını yönetmek için gereken zaman ve kaynakların azaltılması;
   • sorun giderme görevlerini basitleştirir.
4. anormal ve kötü amaçlı ağ etkinliklerinin yanı sıra "sıfır gün saldırıları"nın tespitine yönelik imza dışı teknolojilerin kullanılması yoluyla işletmenin ağ ve bilgi kaynaklarının güvenlik düzeyinin artırılması;
5. ağ uygulamaları ve veritabanları için gerekli SLA düzeyinin sağlanması.

Flowmon Networks Ürün Portföyü

Şimdi doğrudan Flowmon Networks ürün portföyüne bakalım ve şirketin tam olarak ne yaptığını öğrenelim. Pek çok kişinin adından da tahmin edebileceği gibi, ana uzmanlık, akış trafiğini izlemeye yönelik çözümler ve ayrıca temel işlevselliği genişleten bir dizi ek modüldür.

Aslında Flowmon'a tek üründen, daha doğrusu tek çözümden oluşan bir şirket denilebilir. Bunun iyi mi kötü mü olduğunu anlayalım.

Sistemin çekirdeği, çeşitli akış protokollerini kullanarak veri toplamaktan sorumlu olan toplayıcıdır. NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Herhangi bir ağ ekipmanı üreticisine bağlı olmayan bir şirket için, pazara herhangi bir standart veya protokole bağlı olmayan evrensel bir ürün sunmanın önemli olması oldukça mantıklıdır.

Flowmon Toplayıcı

Toplayıcı hem donanım sunucusu hem de sanal makine (VMware, Hyper-V, KVM) olarak mevcuttur. Bu arada, donanım platformu özelleştirilmiş DELL sunucularında uygulanıyor ve bu da garanti ve RMA ile ilgili sorunların çoğunu otomatik olarak ortadan kaldırıyor. Tek tescilli donanım bileşenleri, Flowmon'un bir yan kuruluşu tarafından geliştirilen ve 100 Gbps'ye kadar hızlarda izlemeye olanak tanıyan FPGA trafik yakalama kartlarıdır.

Peki mevcut ağ ekipmanı yüksek kalitede akış sağlayamıyorsa ne yapmalısınız? Yoksa ekipman üzerindeki yük çok mu yüksek? Sorun değil:

Flowmon Probu

Bu durumda Flowmon Networks, anahtarın SPAN portu üzerinden veya pasif TAP bölücüler kullanılarak ağa bağlanan kendi problarını (Flowmon Probe) kullanmayı önerir.

SPAN (ayna bağlantı noktası) ve TAP uygulama seçenekleri

Bu durumda Flowmon Probe'a gelen ham trafik, daha fazlasını içeren genişletilmiş bir IPFIX'e dönüştürülür. Bilgi içeren 240 metrik. Ağ ekipmanı tarafından oluşturulan standart NetFlow protokolü 80'den fazla ölçüm içermez. Bu, yalnızca 3. ve 4. katmanlarda değil aynı zamanda ISO OSI modeline göre 7. katmanda da protokol görünürlüğüne olanak tanır. Sonuç olarak ağ yöneticileri e-posta, HTTP, DNS, SMB gibi uygulamaların ve protokollerin işleyişini izleyebilir.

Kavramsal olarak sistemin mantıksal mimarisi şuna benzer:

Tüm Flowmon Networks “ekosisteminin” merkezi kısmı, trafiği mevcut ağ ekipmanından veya kendi problarından (Prob) alan Toplayıcıdır. Ancak Kurumsal bir çözüm için yalnızca ağ trafiğini izlemeye yönelik işlevsellik sağlamak çok basit olacaktır. Açık Kaynak çözümleri de bu kadar performansla olmasa da bunu yapabiliyor. Flowmon'un değeri, temel işlevselliği genişleten ek modüllerdir:

• modül Anormallik Tespiti Güvenliği - trafiğin buluşsal analizine ve tipik bir ağ profiline dayanarak, sıfır gün saldırıları da dahil olmak üzere anormal ağ etkinliğinin tanımlanması;
• modül Uygulama Performansı İzleme – “aracılar” kurmadan ve hedef sistemleri etkilemeden ağ uygulamalarının performansını izlemek;
• modül Trafik Kaydedici – bilgi güvenliği olaylarının daha fazla sorun giderilmesi ve/veya araştırılması için, önceden tanımlanmış bir dizi kurala göre veya ADS modülünden gelen bir tetikleyiciye göre ağ trafiğinin parçalarının kaydedilmesi;
• modül DDoS Koruması – uygulamalara yönelik saldırılar da dahil olmak üzere ağ çevresinin hacimsel DoS/DDoS hizmet reddi saldırılarına karşı korunması (OSI L3/L4/L7).

Bu yazıda 2 modül örneğini kullanarak her şeyin canlı olarak nasıl çalıştığına bakacağız - Ağ Performansı İzleme ve Teşhis и Anormallik Tespiti Güvenliği.
Başlangıç ​​verileri:

• VMware 140 hiper yöneticiye sahip Lenovo RS 6.0 sunucusu;
• Yapabileceğiniz Flowmon Collector sanal makine görüntüsü buradan indirin;
• akış protokollerini destekleyen bir çift anahtar.

1. Adım. Flowmon Collector'ı Kurun

Bir sanal makinenin VMware'e dağıtımı, OVF şablonundan tamamen standart bir şekilde gerçekleşir. Sonuç olarak CentOS çalıştıran ve kullanıma hazır yazılıma sahip bir sanal makine elde ediyoruz. Kaynak gereksinimleri insancıldır:

Geriye kalan tek şey komutu kullanarak temel başlatma işlemini gerçekleştirmektir. sistem yapılandırması:

Yönetim portunda IP'yi, DNS'yi, saati, Ana Bilgisayar adını yapılandırıyoruz ve WEB arayüzüne bağlanabiliyoruz.

Adım 2. Lisans kurulumu

Bir buçuk aylık deneme lisansı oluşturulur ve sanal makine görüntüsüyle birlikte indirilir. Şununla yüklendi: Yapılandırma Merkezi -> Lisans. Sonuç olarak şunu görüyoruz:

Her şey hazır. Çalışmaya başlayabilirsiniz.

Adım 3. Alıcının toplayıcıya kurulması

Bu aşamada sistemin kaynaklardan nasıl veri alacağına karar vermeniz gerekiyor. Daha önce de söylediğimiz gibi bu, akış protokollerinden biri veya switch üzerindeki bir SPAN portu olabilir.

Örneğimizde protokolleri kullanarak veri alımını kullanacağız. NetFlow v9 ve IPFIX. Bu durumda Yönetim arayüzünün IP adresini hedef olarak belirtiriz - 192.168.78.198. Eth2 ve eth3 arayüzleri (İzleme arayüz tipiyle), anahtarın SPAN portundan "ham" trafiğin bir kopyasını almak için kullanılır. Biz onların geçmesine izin verdik, bizim davamız değil.
Daha sonra trafiğin gitmesi gereken toplayıcı portunu kontrol ediyoruz.

Bizim durumumuzda toplayıcı UDP/2055 portundaki trafiği dinliyor.

4. Adım. Akış dışa aktarımı için ağ ekipmanını yapılandırma

NetFlow'u Cisco Systems ekipmanına kurmak muhtemelen herhangi bir ağ yöneticisi için tamamen ortak bir görev olarak adlandırılabilir. Örneğimiz için daha alışılmadık bir şeyi ele alacağız. Örneğin, MikroTik RB2011UiAS-2HnD yönlendirici. Evet, garip bir şekilde, küçük ve ev ofisleri için böyle bir bütçe çözümü aynı zamanda NetFlow v5/v9 ve IPFIX protokollerini de destekliyor. Ayarlarda hedefi ayarlayın (toplayıcı adresi 192.168.78.198 ve bağlantı noktası 2055):

Ayrıca dışa aktarılabilecek tüm metrikleri ekleyin:

Bu noktada temel kurulumun tamamlandığını söyleyebiliriz. Sisteme trafik girip girmediğini kontrol ediyoruz.

Adım 5: Ağ Performansı İzleme ve Tanılama Modülünü Test Etme ve Çalıştırma

Bu bölümde kaynaktan gelen trafiğin varlığını kontrol edebilirsiniz. Flowmon İzleme Merkezi –> Kaynaklar:

Verilerin sisteme girdiğini görüyoruz. Toplayıcı trafiği topladıktan bir süre sonra widget'lar bilgileri görüntülemeye başlayacaktır:

Sistem detaya inme prensibi üzerine kurulmuştur. Yani kullanıcı, bir diyagram veya grafik üzerinde ilgilenilen bir parçayı seçerken ihtiyaç duyduğu veri derinliği düzeyine "düşür":

Her ağ bağlantısı ve bağlantıyla ilgili bilgilere kadar:

Adım 6. Anormallik Tespiti Güvenlik Modülü

Ağ trafiğindeki anormallikleri ve kötü amaçlı ağ etkinliğini tespit etmek için imzasız yöntemlerin kullanılması sayesinde bu modül belki de en ilginç modüllerden biri olarak adlandırılabilir. Ancak bu, IDS/IPS sistemlerinin bir benzeri değildir. Modülle çalışmak onun “eğitimi” ile başlar. Bunu yapmak için özel bir sihirbaz, aşağıdakiler de dahil olmak üzere ağın tüm temel bileşenlerini ve hizmetlerini belirtir:

• ağ geçidi adresleri, DNS, DHCP ve NTP sunucuları,
• Kullanıcı ve sunucu segmentlerinde adresleme.

Bundan sonra sistem ortalama 2 haftadan 1 aya kadar süren eğitim moduna geçer. Bu süre zarfında sistem, ağımıza özel temel trafik oluşturur. Basitçe söylemek gerekirse sistem şunları öğrenir:

• Ağ düğümleri için hangi davranış tipiktir?
• Tipik olarak hangi hacimlerde veri aktarılır ve ağ için normaldir?
• Kullanıcılar için tipik çalışma süresi nedir?
• ağda hangi uygulamalar çalışıyor?
• ve daha fazlası..

Sonuç olarak, ağımızdaki anormallikleri ve tipik davranışlardan sapmaları tespit eden bir araca sahip oluyoruz. Sistemin tespit etmenize izin verdiği birkaç örnek:

• antivirüs imzaları tarafından algılanmayan yeni kötü amaçlı yazılımların ağda dağıtılması;
• DNS, ICMP veya diğer tünelleri oluşturmak ve güvenlik duvarını aşarak veri iletmek;
• ağda DHCP ve/veya DNS sunucusu gibi görünen yeni bir bilgisayarın görünümü.

Canlı olarak neye benzediğini görelim. Sisteminiz eğitilip ağ trafiğinin temel çizgisi oluşturulduktan sonra olayları tespit etmeye başlar:

Modülün ana sayfası, belirlenen olayları gösteren bir zaman çizelgesidir. Örneğimizde yaklaşık 9 ila 16 saat arasında net bir artış görüyoruz. Onu seçip daha detaylı inceleyelim.

Saldırganın ağdaki anormal davranışı açıkça görülüyor. Her şey, 192.168.3.225 adresli ana bilgisayarın 3389 numaralı bağlantı noktasında (Microsoft RDP hizmeti) yatay bir ağ taraması başlatması ve 14 potansiyel "kurban" bulması ile başlar:

и

Aşağıdaki kaydedilen olay - 192.168.3.225 ana bilgisayarı, daha önce tanımlanan adreslerdeki RDP hizmetindeki (bağlantı noktası 3389) kaba kuvvet parolalarına kaba kuvvet saldırısı başlatır:

Saldırı sonucunda saldırıya uğrayan hostlardan birinde SMTP anormalliği tespit edildi. Başka bir deyişle SPAM başladı:

Bu örnek, sistemin ve özellikle Anormallik Tespiti Güvenlik modülünün yeteneklerinin açık bir gösterimidir. Etkinliğini kendiniz değerlendirin. Bu, çözümün işlevsel genel görünümünü tamamlıyor.

Sonuç

Flowmon hakkında çıkarabileceğimiz sonuçları özetleyelim:

• Flowmon kurumsal müşteriler için birinci sınıf bir çözümdür;
• Çok yönlülüğü ve uyumluluğu sayesinde veri toplama herhangi bir kaynaktan yapılabilir: ağ ekipmanı (Cisco, Juniper, HPE, Huawei...) veya kendi problarınız (Flowmon Probe);
• Çözümün ölçeklenebilirlik yetenekleri, yeni modüller ekleyerek sistemin işlevselliğini genişletmenize ve esnek lisanslama yaklaşımı sayesinde üretkenliği artırmanıza olanak tanır;
• imzasız analiz teknolojilerinin kullanılması yoluyla sistem, antivirüsler ve IDS/IPS sistemleri tarafından bile bilinmeyen sıfır gün saldırılarını tespit etmenize olanak tanır;
• sistemin ağdaki kurulumu ve varlığı açısından tam "şeffaflık" sayesinde - çözüm, BT altyapınızın diğer düğümlerinin ve bileşenlerinin çalışmasını etkilemez;
• Flowmon, 100 Gbps'ye kadar hızlarda trafik izlemeyi destekleyen piyasadaki tek çözümdür;
• Flowmon her ölçekteki ağ için bir çözümdür;
• Benzer çözümler arasında en iyi fiyat/işlevsellik oranı.

Bu incelememizde çözümün toplam işlevselliğinin %10'dan azını inceledik. Bir sonraki yazımızda kalan Flowmon Networks modüllerinden bahsedeceğiz. Örnek olarak Uygulama Performansı İzleme modülünü kullanarak, iş uygulaması yöneticilerinin belirli bir SLA düzeyinde kullanılabilirliği nasıl sağlayabileceklerini ve sorunları mümkün olan en hızlı şekilde teşhis edebileceklerini göstereceğiz.

Ayrıca sizi, tedarikçi Flowmon Networks'ün çözümlerine yönelik web seminerimize (10.09.2019/XNUMX/XNUMX) davet etmek istiyoruz. Ön kayıt için sizden ricamız buraya kaydolun.
Şimdilik bu kadar, ilginiz için teşekkür ederiz!

Ankete sadece kayıtlı kullanıcılar katılabilir. Giriş yapLütfen.

Ağ izleme için Netflow'u mu kullanıyorsunuz?

• Evet

• Hayır ama yapmayı planlıyorum

• Hayır

9 kullanıcı oy kullandı. 3 kullanıcı çekimser kaldı.

Kaynak: habr.com