Мережевий моніторинг та виявлення аномальної мережевої активності за допомогою рішень Flowmon Networks

Останнім часом в Інтернеті можна знайти величезну кількість матеріалів за темою аналізу трафіку на периметрі мережі. При цьому всі чомусь зовсім забули про аналіз локального трафікущо є не менш важливим. Ця стаття якраз і відвідана цією темою. На прикладі Flowmon Networks ми згадаємо старий добрий Netflow (і його альтернативи), розглянемо цікаві кейси, можливі аномалії в мережі та дізнаємося про переваги рішення, коли вся мережа працює як єдиний сенсор. І найголовніше - провести подібний аналіз локального трафіку можна абсолютно безкоштовно, в рамках тріальної ліцензії (як 45 днів.). Якщо тема вам цікава, ласкаво просимо під кат. Якщо ж читати ліньки, то, забігаючи вперед, можете зареєструватися майбутній вебінарде ми все покажемо і розповімо (там же можна буде дізнатися про майбутнє навчання продукту).

Що таке Flowmon Networks?

Насамперед, Flowmon це європейський ІТ-вендор. Компанія Чеська, зі штаб-квартирою у місті Брно (питання санкцій навіть не піднімається). У своєму поточному вигляді компанія представлена ​​на ринку із 2007 року. До цього була відома під брендом Invea-Tech. Отже, сумарно на розробку продуктів і рішень витрачено майже 20 років.

Flowmon позиціонується як бренд класу А. Розробляє преміальні рішення для корпоративних замовників та відзначений у квадратах Gartner за напрямом Network Performance Monitoring and Diagnostics (NPMD). Причому цікаво, з усіх компаній у звіті, Flowmon – єдиний вендор, відзначений Gartner як виробник рішень і для мережевого моніторингу, і для захисту інформації (Network Behavior Analysis). Першого місця поки що не займає, але за рахунок цього і не стоїть як крило від Боїнга.

Які завдання дозволяє розв'язати продукт?

Глобально, можна назвати наступний пул завдань, розв'язуваних продуктами підприємства:

1. підвищення стабільності роботи мережі, а також мережевих ресурсів за рахунок мінімізації часу їх простою та недоступності;
2. підвищення загального рівня продуктивності мережі;
3. підвищення ефективності роботи адмініструючого персоналу за рахунок:
   • використання сучасних інструментів інноваційного мережевого моніторингу, що базуються на інформації про IP потоки;
   • надання детальної аналітики про функціонування та стан мережі – користувачів та додатків, що працюють у мережі, переданих даних, взаємодіючих ресурсах, сервісах та вузлах;
   • реагування на інциденти перед тим, як вони відбудуться, а не після втрати сервісу користувачами та клієнтами;
   • скорочення часу та ресурсів, необхідних для адміністрування мережі та IT-інфраструктури;
   • спрощення задач пошуку несправностей.
4. підвищення рівня захищеності мережі та інформаційних ресурсів підприємства, за рахунок використання несигнатурних технологій виявлення аномальної та шкідливої ​​мережної активності, а також «атак нульового дня» (zero-day);
5. забезпечення необхідного рівня SLA мережевих додатків та баз даних.

Продуктовий портфель Flowmon Networks

Тепер розглянемо безпосередньо портфель продуктів Flowmon Networks і дізнаємося, чим займається компанія. Як багато хто вже здогадався з назви, основна спеціалізація – на рішеннях для потокового flow моніторингу трафіку плюс ряд додаткових модулів, що розширюють базовий функціонал.

За фактом, Flowmon можна назвати компанією одного продукту, чи вірніше одного рішення. Давайте розбиратися, добре це чи погано.

Ядром системи є колектор, який відповідає за збирання даних по всіляких flow протоколах, як NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX… Цілком логічно, що для компанії не афілійованої з жодним із виробників мережевого обладнання – важливо запропонувати ринку універсальний продукт, не прив'язаний до якогось одного стандарту чи протоколу.

Flowmon Collector

Колектор випускається як апаратного сервера, і у вигляді віртуальної машини (VMware, Hyper-V, KVM). До речі, апаратна платформа реалізована на кастомізованих серверах DELL, що автоматично знімає більшу частину питань із гарантією та RMA. Власною апаратною складовою є хіба що FPGA плати захоплення трафіку, розроблені дочірньою компанією Flowmon, що дозволяють здійснювати моніторинг на швидкостях до 100 Gbps.

Але що робити, якщо на існуючому мережному обладнанні немає можливості генерувати якісне flow? Чи навантаження на обладнання занадто високе? Не проблема:

Flowmon Prob

На цей випадок Flowmon Networks пропонує використовувати власні зонди (Flowmon Probe), які підключаються до мережі через SPAN порт комутатора або з використанням пасивних розгалужувачів TAP.

SPAN (mirror port) та TAP варіанти впровадження

У цьому випадку «сирий» трафік, що надходить на Flowmon Probe, перетворюється на розширений IPFIX, що містить більше 240 метрик з інформацією. У той час як у стандартному NetFlow протоколі, що генерується мережевим обладнанням, міститься не більше 80 метриків. Це дозволяє забезпечити видимість протоколів не лише на 3 та 4 рівнях, а й на 7 рівні за моделлю ISO OSI. У результаті мережні адміністратори можуть здійснювати моніторинг функціонування таких додатків та протоколів, як e-mail, HTTP, DNS, SMB…

Концептуально, логічна архітектура системи виглядає так:

Центральною частиною всієї «екосистеми» Flowmon Networks є Collector, який отримує трафік з наявного мережного обладнання або власних зондів (Probe). Але для Enterprise рішення надавати функціонал виключно для моніторингу мережного трафіку було б надто просто. Це вміють робити й Open Source рішення, хай і з такою продуктивністю. Цінністю Flowmon є додаткові модулі, що розширюють базовий функціонал:

• модуль Anomaly Detection Security - Виявлення аномальної мережевої активності, включаючи атаки «нульового дня», на підставі евристичного аналізу трафіку і типового мережного профілю;
• модуль Моніторинг продуктивності додатків – контроль продуктивності мережевих додатків без встановлення «агентів» та впливу на цільові системи;
• модуль Реєстратор дорожнього руху – запис фрагментів мережевого трафіку за набором визначених правил або тригеру з модуля ADS, для подальшого траблшутинга та/або розслідування інцидентів ІБ;
• модуль Захист DDoS – захист периметра мережі від волюметричних атак відмови в обслуговуванні DoS/DDoS, у тому числі атак на програми (OSI L3/L4/L7).

У рамках цієї статті ми розглянемо, як усе працює наживо на прикладі 2 модулів – Network Performance Monitoring and Diagnostics и Anomaly Detection Security.
Вихідні дані:

• сервер Lenovo RS 140 з гіпервізором VMware 6.0;
• образ віртуальної машини Flowmon Collector, який можна скачати тут;
• пара комутаторів із підтримкою flow протоколів.

Крок 1. Інсталяція Flowmon Collector

Розгортання віртуальної машини на VMware відбувається цілком стандартним чином із OVF шаблону. У результаті отримуємо віртуальну машину під керуванням CentOS та з готовим до роботи ПЗ. Вимоги до ресурсів – гуманні:

Залишається лише виконати базову ініціалізацію за командою sysconfig:

Налаштовуємо IP на порту керування, DNS, час, Hostname та можемо підключатися до WEB-інтерфейсу.

Крок 2. Встановлення ліцензії

Триальна ліцензія на півтора місяці генерується і завантажується разом із образом віртуальної машини. Підвантажується через Configuration Center -> License. У результаті бачимо:

Все готово. Можна розпочинати роботу.

Крок 3. Налаштування ресивера на колекторі

На даному етапі потрібно визначитися, яким чином до системи надходитимуть дані з джерел. Як ми говорили раніше, це може бути один з flow протоколів або SPAN порт на комутаторі.

У нашому прикладі будемо використовувати прийом даних за протоколами NetFlow v9 та IPFIX. У цьому випадку, як націлення ми вказуємо IP адресу Management інтерфейсу – 192.168.78.198. Інтерфейси eth2 і eth3 (з типом Monitoring interface) використовуються прийому копії «сирого» трафіку зі SPAN порту комутатора. Їх пропускаємо не наш випадок.
Далі перевіряємо порт колектора, куди має надходити трафік.

У нашому випадку колектор чекає на трафік на порту UDP/2055.

Крок 4. Налаштування мережного обладнання для експорту flow

Налаштування NetFlow на обладнанні Cisco Systems, напевно, можна назвати абсолютно звичайною справою для будь-якого адміністратора мережі. Для нашого прикладу ми візьмемо щось незвичайніше. Наприклад, маршрутизатор MikroTik RB2011UiAS-2HnD. Так, як не дивно, таке бюджетне рішення для малих та домашніх офісів теж підтримує протоколи NetFlow v5/v9 та IPFIX. У налаштуваннях задаємо таргет (адреса колектора 192.168.78.198 та порт 2055):

І додаємо всі доступні для експорту метрики:

На цьому можна сказати, що базове налаштування завершено. Перевіряємо, чи надходить до системи трафік.

Крок 5. Перевірка та експлуатація модуля Network Performance Monitoring and Diagnostics

Перевірити наявність трафіку від джерела можна у розділі Flowmon Monitoring Center -> Sources:

Бачимо, що дані надходить до системи. Через деякий час після того, як колектор накопичить трафік, віджети почнуть відображати інформацію:

Побудовано систему за принципом drill down. Тобто, користувач, вибираючи фрагмент, що його цікавить на схемі або графіці, «провалюється» до того рівня глибини даних, які йому потрібні:

Аж до інформації про кожне мережне з'єднання та коннект:

Крок 6. Модуль Anomaly Detection Security

Цей модуль можна назвати, мабуть, одним із найцікавіших завдяки використанню безсигнатурних методів виявлення аномалій у мережевому трафіку та шкідливої ​​мережевої активності. Але це аналог IDS/IPS систем. Робота з модулем починається з його навчання. Для цього у спеціальному візарді вказуються всі ключові компоненти та служби мережі, включаючи:

• адреси шлюзу, DNS, DHCP та NTP серверів,
• адресація в сегментах користувачів та серверів.

Після цього система переходить у режим навчання, який у середньому триває від 2 тижнів до 1 місяця. За цей час система формує baseline трафіку, характерного безпосередньо для нашої мережі. Простіше кажучи, система вивчає:

• яка поведінка є характерною для вузлів мережі?
• які обсяги даних зазвичай передаються та є нормальними для мережі?
• який час роботи є типовим для користувачів?
• які програми працюють у мережі?
• і багато іншого..

У результаті ми отримуємо інструмент, який виявляє будь-які аномалії в нашій мережі та відхилення від характерної поведінки. Ось кілька прикладів, які дозволяє виявити система:

• поширення в мережі нового шкідливого ПЗ, що не детектується сигнатурами антивірусів;
• побудова DNS, ICMP або інших тунелів та передача даних в обхід міжмережевого екрану;
• поява у мережі нового комп'ютера, що видає себе за DHCP та/або DNS сервер.

Подивимося, як це виглядає живим. Після того, як Ваша система пройшла навчання і побудувала baseline трафіку мережі, вона починає детектувати інциденти:

Головна сторінка модуля – тимчасовий графік із відображенням виявлених інцидентів. У прикладі бачимо явний сплеск, приблизно між 9 і 16 годинами. Виділяємо його та дивимося докладніше.

Очевидно простежується аномальна поведінка зловмисника у мережі. Починається все з того, що хост з адресою 192.168.3.225 розпочав горизонтальне сканування мережі портом 3389 (сервіс Microsoft RDP) і знаходить 14 потенційних «жертв»:

и

Наступний зафіксований інцидент – хост 192.168.3.225 розпочинає брутфорс атаку з перебору паролів на сервіс RDP (порт 3389) на виявлених раніше адресах:

В результаті атаки на одному зі зламаних хостів фіксується SMTP аномалія. Іншими словами, почалося розсилання СПАМ:

Даний приклад є наочною демонстрацією можливостей роботи системи та модуля Anomaly Detection Security, зокрема. Про ефективність судіть самі. На цьому функціональний огляд рішення ми завершуємо.

Висновок

Резюмуємо, які висновки про Flowmon ми можемо зробити у сухому залишку:

• Flowmon – рішення преміального рівня для корпоративних замовників;
• завдяки універсальності та сумісності, збір даних доступний з будь-яких джерел: мережевого обладнання (Cisco, Juniper, HPE, Huawei…) або власних зондів (Flowmon Probe);
• можливості масштабування рішення дозволяють нарощувати функціонал системи за допомогою додавання нових модулів, а також підвищувати продуктивність завдяки гнучкому підходу до ліцензування;
• за рахунок використання технологій безсигнатурного аналізу, система дозволяє виявляти навіть не відомі антивірусам та IDS/IPS системам zero-day атаки;
• завдяки повній «прозорості» з точки зору встановлення та присутності системи в мережі – рішення не впливає на роботу інших вузлів та компонентів Вашої ІТ інфраструктури;
• Flowmon – єдине на ринку рішення, яке підтримує моніторинг трафіку на швидкостях до 100 Гбіт/с;
• Flowmon – рішення для мереж будь-якого масштабу;
• найкраще співвідношення ціна/функціонал серед аналогічних рішень.

У цьому огляді ми розглянули менше ніж 10% загального функціоналу рішення. У наступній статті ми розповімо про інші модулі Flowmon Networks. На прикладі модуля Application Performance Monitoring ми покажемо, як адміністратори бізнес-додатків можуть забезпечити доступність на заданому рівні SLA, а також максимально швидко діагностувати проблеми.

Також хочемо запросити Вас на наш вебінар (10.09.2019), присвячений рішенням вендора Flowmon Networks. Для попередньої реєстрації просимо Вас пройти реєстрацію тут.
На цьому поки що все, дякую за Ваш інтерес!

Тільки зареєстровані користувачі можуть брати участь в опитуванні. Увійдіть, будь ласка.

Чи використовуєте ви Netflow для моніторингу мережі?

• Так

• Ні, але планую

• Ні

Проголосували 9 користувачів. Утрималися 3 користувача.

Джерело: habr.com