Flowmon Networks yechimlari yordamida tarmoq monitoringi va anomal tarmoq faolligini aniqlash

So'nggi paytlarda siz Internetda mavzu bo'yicha juda ko'p materiallarni topishingiz mumkin. tarmoq perimetri bo'yicha trafik tahlili. Shu bilan birga, negadir hamma butunlay unutdi mahalliy trafik tahlili, bu muhim emas. Ushbu maqola aynan shu mavzuga bag'ishlangan. Masalan Flowmon tarmoqlari Biz eski yaxshi Netflowni (va uning muqobillarini) eslaymiz, qiziqarli holatlarni, tarmoqdagi mumkin bo'lgan anomaliyalarni ko'rib chiqamiz va qachonki yechimning afzalliklarini bilib olamiz. butun tarmoq bitta sensor sifatida ishlaydi. Va eng muhimi, siz sinov litsenziyasi doirasida mahalliy trafikning bunday tahlilini mutlaqo bepul qilishingiz mumkin (45 kun). Agar mavzu siz uchun qiziq bo'lsa, mushukka xush kelibsiz. Agar siz o'qishga dangasa bo'lsangiz, oldinga qarab, ro'yxatdan o'tishingiz mumkin yaqinlashib kelayotgan vebinar, bu erda biz sizga hamma narsani ko'rsatamiz va aytib beramiz (shuningdek, siz u erda bo'lajak mahsulotlar haqida o'rganishingiz mumkin).

Flowmon Networks nima?

Birinchidan, Flowmon Yevropa IT sotuvchisidir. Kompaniya Chexiya, bosh qarorgohi Brno shahrida joylashgan (sanksiyalar masalasi hatto ko'tarilmagan). Hozirgi shaklda kompaniya 2007 yildan beri bozorda. Ilgari u Invea-Tech brendi ostida tanilgan. Shunday qilib, mahsulot va echimlarni ishlab chiqish uchun jami 20 yil sarflandi.

Flowmon A-sinf brendi sifatida joylashtirilgan. Korporativ mijozlar uchun premium yechimlarni ishlab chiqadi va Gartner tarmoq ishlashi monitoringi va diagnostikasi (NPMD) qutilarida tan olingan. Bundan tashqari, qiziq tomoni shundaki, hisobotdagi barcha kompaniyalar orasida Flowmon Gartner tomonidan tarmoq monitoringi va axborotni himoya qilish (Tarmoq xatti-harakatlari tahlili) uchun yechimlar ishlab chiqaruvchisi sifatida qayd etilgan yagona sotuvchidir. U hali birinchi o'rinni egallamaydi, lekin shu tufayli u Boeing qanoti kabi turmaydi.

Mahsulot qanday muammolarni hal qiladi?

Global miqyosda biz kompaniya mahsulotlari tomonidan hal qilinadigan quyidagi vazifalar to'plamini ajratib ko'rsatishimiz mumkin:

1. tarmoqning barqarorligini, shuningdek, tarmoq resurslarining ishlamay qolish vaqtini minimallashtirish orqali oshirish;
2. tarmoq ishlashining umumiy darajasini oshirish;
3. Quyidagilar hisobiga ma'muriy xodimlarning samaradorligini oshirish:
   • IP oqimlari haqidagi ma'lumotlarga asoslangan zamonaviy innovatsion tarmoq monitoringi vositalaridan foydalanish;
   • tarmoqning ishlashi va holati - tarmoqda ishlaydigan foydalanuvchilar va ilovalar, uzatiladigan ma'lumotlar, o'zaro ta'sir qiluvchi resurslar, xizmatlar va tugunlar haqida batafsil tahlillarni taqdim etish;
   • foydalanuvchilar va mijozlar xizmatni yo'qotgandan keyin emas, balki voqealar sodir bo'lishidan oldin ularga javob berish;
   • tarmoq va IT infratuzilmasini boshqarish uchun talab qilinadigan vaqt va resurslarni qisqartirish;
   • muammolarni bartaraf etish vazifalarini soddalashtirish.
4. anomal va zararli tarmoq faoliyatini, shuningdek “nol kunlik hujumlarni” aniqlash uchun imzosiz texnologiyalardan foydalangan holda tarmoq va korxona axborot resurslari xavfsizligi darajasini oshirish;
5. tarmoq ilovalari va ma'lumotlar bazalari uchun talab qilinadigan SLA darajasini ta'minlash.

Flowmon Networks mahsulot portfeli

Endi keling, to'g'ridan-to'g'ri Flowmon Networks mahsulot portfelini ko'rib chiqamiz va kompaniya aynan nima bilan shug'ullanayotganini bilib olaylik. Ko'pchilik allaqachon nomidan taxmin qilganidek, asosiy ixtisoslik oqim oqimini kuzatish uchun echimlar, shuningdek, asosiy funksiyalarni kengaytiradigan bir qator qo'shimcha modullardir.

Aslida, Flowmonni bitta mahsulot, aniqrog'i, bitta yechim kompaniyasi deb atash mumkin. Keling, bu yaxshi yoki yomon ekanligini aniqlaylik.

Tizimning yadrosi kollektor bo'lib, u turli xil oqim protokollari yordamida ma'lumotlarni to'plash uchun javobgardir, masalan NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Hech qanday tarmoq uskunalari ishlab chiqaruvchisi bilan bog'liq bo'lmagan kompaniya uchun bozorga biron bir standart yoki protokolga bog'liq bo'lmagan universal mahsulotni taklif qilish juda mantiqiy.

Flowmon kollektori

Kollektor ham apparat serveri, ham virtual mashina (VMware, Hyper-V, KVM) sifatida mavjud. Aytgancha, apparat platformasi moslashtirilgan DELL serverlarida amalga oshiriladi, bu esa kafolat va RMA bilan bog'liq ko'pgina muammolarni avtomatik ravishda bartaraf etadi. Yagona xususiy apparat komponentlari Flowmon sho''ba korxonasi tomonidan ishlab chiqilgan FPGA trafikni yozib olish kartalari bo'lib, ular 100 Gbit / s gacha tezlikda monitoring qilish imkonini beradi.

Ammo mavjud tarmoq uskunalari yuqori sifatli oqim hosil qila olmasa nima qilish kerak? Yoki uskunadagi yuk juda kattami? Muammo emas:

Flowmon Prob

Bunday holda, Flowmon Networks o'z problaridan (Flowmon Probe) foydalanishni taklif qiladi, ular tarmoqqa kalitning SPAN porti orqali yoki passiv TAP ajratgichlari yordamida ulanadi.

SPAN (oyna porti) va TAPni amalga oshirish imkoniyatlari

Bunday holda, Flowmon probe-ga keladigan xom trafik ko'proq ma'lumotlarni o'z ichiga olgan kengaytirilgan IPFIXga aylantiriladi. Ma'lumot bilan 240 ko'rsatkich. Tarmoq uskunalari tomonidan yaratilgan standart NetFlow protokoli 80 dan ortiq ko'rsatkichlarni o'z ichiga olmaydi. Bu faqat 3 va 4 darajalarda emas, balki ISO OSI modeliga muvofiq 7-darajada ham protokol ko'rinishini ta'minlaydi. Natijada, tarmoq ma'murlari elektron pochta, HTTP, DNS, SMB... kabi ilovalar va protokollarning ishlashini kuzatishi mumkin.

Kontseptual jihatdan tizimning mantiqiy arxitekturasi quyidagicha ko'rinadi:

Butun Flowmon Networks "ekotizimining" markaziy qismi kollektor bo'lib, u mavjud tarmoq uskunasidan yoki o'zining zondlaridan (Probe) trafikni qabul qiladi. Ammo Enterprise yechimi uchun faqat tarmoq trafigini kuzatish uchun funksionallikni ta'minlash juda oddiy bo'ladi. Ochiq manbali echimlar ham buni amalga oshirishi mumkin, garchi bunday ishlash bilan bo'lmasa ham. Flowmon qiymati asosiy funksiyalarni kengaytiradigan qo'shimcha modullardir:

• modul Anomaliyalarni aniqlash xavfsizligi - trafikning evristik tahlili va odatiy tarmoq profili asosida nol kunlik hujumlarni o'z ichiga olgan anomal tarmoq faolligini aniqlash;
• modul Ilovalar samaradorligini monitoring qilish – “agentlar”ni o‘rnatmasdan va maqsadli tizimlarga ta’sir qilmasdan tarmoq ilovalarining ishlashini kuzatish;
• modul Trafik yozuvchisi - oldindan belgilangan qoidalar to'plami bo'yicha yoki ADS modulining triggeriga muvofiq tarmoq trafigining parchalarini qayd etish, keyingi muammolarni bartaraf etish va/yoki axborot xavfsizligi intsidentlarini tekshirish uchun;
• modul DDoS himoyasi – tarmoq perimetrini DoS/DDoS-ning xizmat ko'rsatish hujumlarini, shu jumladan ilovalarga (OSI L3/L4/L7) hujumlarini hajmli rad etishdan himoya qilish.

Ushbu maqolada biz 2 modul misolidan foydalanib, hamma narsa qanday ishlashini ko'rib chiqamiz - Tarmoq ish faoliyatini monitoring qilish va diagnostika и Anomaliyalarni aniqlash xavfsizligi.
Dastlabki ma'lumotlar:

• VMware 140 gipervizoriga ega Lenovo RS 6.0 serveri;
• Flowmon Collector virtual mashinasi tasviri bu yerdan yuklab oling;
• oqim protokollarini qo'llab-quvvatlaydigan bir juft kalit.

1-qadam. Flowmon Collector-ni o'rnating

VMware-da virtual mashinani o'rnatish OVF shablonidan butunlay standart tarzda amalga oshiriladi. Natijada biz CentOS-da ishlaydigan va foydalanishga tayyor dasturiy ta'minotga ega virtual mashinaga ega bo'lamiz. Resurs talablari insoniydir:

Qolgan narsa buyruq yordamida asosiy ishga tushirishni amalga oshirishdir sysconfig:

Biz IP-ni boshqaruv portida, DNS, vaqt, Xost nomida sozlaymiz va WEB interfeysiga ulanishimiz mumkin.

Qadam 2. Litsenziyani o'rnatish

Bir yarim oylik sinov litsenziyasi ishlab chiqariladi va virtual mashina tasviri bilan birga yuklab olinadi. orqali yuklangan Konfiguratsiya markazi -> Litsenziya. Natijada biz quyidagilarni ko'ramiz:

Hammasi tayyor. Siz ishlashni boshlashingiz mumkin.

Qadam 3. Kollektorda qabul qilgichni sozlash

Ushbu bosqichda siz tizim manbalardan ma'lumotlarni qanday qabul qilishini hal qilishingiz kerak. Yuqorida aytib o'tganimizdek, bu oqim protokollaridan biri yoki kalitdagi SPAN porti bo'lishi mumkin.

Bizning misolimizda biz protokollar yordamida ma'lumotlarni qabul qilishdan foydalanamiz NetFlow v9 va IPFIX. Bunday holda, biz maqsad sifatida boshqaruv interfeysining IP manzilini belgilaymiz - 192.168.78.198. eth2 va eth3 interfeyslari (Monitoring interfeysi turi bilan) kalitning SPAN portidan “xom” trafik nusxasini olish uchun ishlatiladi. Biz ularga o'z ishimizni emas, balki ruxsat berdik.
Keyinchalik, biz trafik ketishi kerak bo'lgan kollektor portini tekshiramiz.

Bizning holatda, kollektor UDP/2055 portidagi trafikni tinglaydi.

Qadam 4. Oqimni eksport qilish uchun tarmoq uskunalarini sozlash

Cisco Systems uskunasida NetFlow-ni sozlash har qanday tarmoq ma'muri uchun mutlaqo umumiy vazifa deb atash mumkin. Bizning misolimiz uchun biz g'ayrioddiyroq narsani olamiz. Masalan, MikroTik RB2011UiAS-2HnD router. Ha, g'alati, kichik va uy ofislari uchun bunday byudjet echimi NetFlow v5/v9 va IPFIX protokollarini ham qo'llab-quvvatlaydi. Sozlamalarda maqsadni belgilang (kollektor manzili 192.168.78.198 va port 2055):

Va eksport uchun mavjud bo'lgan barcha ko'rsatkichlarni qo'shing:

Shu nuqtada biz asosiy sozlash tugallangan deb aytishimiz mumkin. Biz trafikning tizimga kirayotganini tekshiramiz.

5-qadam: Tarmoq ishlashini monitoring qilish va diagnostika modulini sinovdan o'tkazish va ishlatish

Bo'limdagi manbadan trafik mavjudligini tekshirishingiz mumkin Flowmon monitoring markazi -> Manbalar:

Biz ma'lumotlar tizimga kirayotganini ko'ramiz. Kollektor trafikni to'plaganidan keyin bir muncha vaqt o'tgach, vidjetlar ma'lumotlarni ko'rsatishni boshlaydi:

Tizim burg'ulash printsipi asosida qurilgan. Ya'ni, foydalanuvchi diagramma yoki grafikdagi qiziqish bo'lagini tanlayotganda, unga kerak bo'lgan ma'lumotlar chuqurligi darajasiga "tushadi":

Har bir tarmoq ulanishi va ulanishi haqidagi ma'lumotlarga:

Qadam 6. Anomaliyalarni aniqlash xavfsizlik moduli

Tarmoq trafigi va zararli tarmoq faoliyatidagi anomaliyalarni aniqlash uchun imzosiz usullardan foydalanish tufayli ushbu modulni eng qiziqarlilaridan biri deb atash mumkin. Lekin bu IDS/IPS tizimlarining analogi emas. Modul bilan ishlash uning "trening" dan boshlanadi. Buning uchun maxsus sehrgar tarmoqning barcha asosiy komponentlari va xizmatlarini belgilaydi, jumladan:

• shlyuz manzillari, DNS, DHCP va NTP serverlari,
• foydalanuvchi va server segmentlarida adreslash.

Shundan so'ng, tizim o'rtacha 2 haftadan 1 oygacha davom etadigan o'quv rejimiga o'tadi. Bu vaqt ichida tizim bizning tarmog'imizga xos bo'lgan asosiy trafikni hosil qiladi. Oddiy qilib aytganda, tizim quyidagilarni o'rganadi:

• tarmoq tugunlari uchun qanday xatti-harakatlar xosdir?
• Qaysi hajmdagi ma'lumotlar odatda uzatiladi va tarmoq uchun odatiy hisoblanadi?
• Foydalanuvchilar uchun odatdagi ish vaqti qancha?
• tarmoqda qanday ilovalar ishlaydi?
• va boshqalar..

Natijada, biz tarmog'imizdagi har qanday anomaliyalarni va odatiy xatti-harakatlardan og'ishlarni aniqlaydigan vositani olamiz. Tizim sizga aniqlashga imkon beradigan bir nechta misollar:

• antivirus imzolari tomonidan aniqlanmagan yangi zararli dasturlarni tarmoqda tarqatish;
• DNS, ICMP yoki boshqa tunnellarni qurish va xavfsizlik devorini chetlab o'tib ma'lumotlarni uzatish;
• tarmoqda DHCP va/yoki DNS serveri sifatida paydo bo'lgan yangi kompyuterning paydo bo'lishi.

Keling, jonli ravishda qanday ko'rinishini ko'rib chiqaylik. Sizning tizimingiz o'qitilgandan va tarmoq trafigining asosiy chizig'ini qurgandan so'ng, u hodisalarni aniqlay boshlaydi:

Modulning asosiy sahifasi aniqlangan hodisalarni ko'rsatadigan vaqt jadvalidir. Bizning misolimizda, taxminan 9 dan 16 soatgacha bo'lgan aniq bir pog'onani ko'ramiz. Keling, uni tanlaymiz va batafsilroq ko'rib chiqamiz.

Buzg'unchining tarmoqdagi anomal xatti-harakati aniq ko'rinadi. Hammasi 192.168.3.225 manzilli xost 3389 portida (Microsoft RDP xizmati) tarmoqni gorizontal skanerlashni boshlaganligi va 14 ta potentsial "qurbon" topilganligi bilan boshlanadi:

и

Quyidagi qayd etilgan hodisa - 192.168.3.225 xosti RDP xizmatida (port 3389) oldindan aniqlangan manzillarda qo'pol kuch parollariga qo'pol kuch hujumini boshlaydi:

Hujum natijasida buzilgan xostlardan birida SMTP anomaliyasi aniqlanadi. Boshqacha qilib aytganda, SPAM boshlandi:

Ushbu misol tizimning imkoniyatlarini va xususan, Anomaliyalarni aniqlash xavfsizligi modulini aniq namoyish etadi. Samaradorlikni o'zingiz baholang. Bu yechimning funktsional ko'rinishini yakunlaydi.

xulosa

Keling, Flowmon haqida qanday xulosalar chiqarishimiz mumkinligini umumlashtiramiz:

• Flowmon - korporativ mijozlar uchun yuqori darajadagi yechim;
• uning ko'p qirraliligi va mosligi tufayli ma'lumotlarni to'plash har qanday manbadan mavjud: tarmoq uskunalari (Cisco, Juniper, HPE, Huawei...) yoki o'zingizning zondlaringiz (Flowmon Probe);
• Yechimning miqyoslash imkoniyatlari yangi modullarni qo‘shish orqali tizim funksionalligini kengaytirish, shuningdek, litsenziyalashga moslashuvchan yondashuv tufayli samaradorlikni oshirish imkonini beradi;
• imzosiz tahlil texnologiyalaridan foydalanish orqali tizim antiviruslar va IDS/IPS tizimlariga ham nomaʼlum boʻlgan nol kunlik hujumlarni aniqlash imkonini beradi;
• tizimning tarmoqda o'rnatilishi va mavjudligi nuqtai nazaridan to'liq "shaffoflik" tufayli - yechim sizning IT infratuzilmangizning boshqa tugunlari va tarkibiy qismlarining ishlashiga ta'sir qilmaydi;
• Flowmon - bu bozorda 100 Gbit / s gacha tezlikda trafik monitoringini qo'llab-quvvatlaydigan yagona yechim;
• Flowmon - har qanday masshtabdagi tarmoqlar uchun yechim;
• shunga o'xshash echimlar orasida eng yaxshi narx / funksionallik nisbati.

Ushbu sharhda biz yechimning umumiy funksionalligining 10% dan kamrog'ini ko'rib chiqdik. Keyingi maqolada qolgan Flowmon Networks modullari haqida gapiramiz. Misol sifatida Ilovalar samaradorligini monitoring qilish modulidan foydalanib, biz biznes ilovalari ma'murlari qanday qilib ma'lum bir SLA darajasida mavjudligini ta'minlashi va muammolarni imkon qadar tezroq tashxislashi mumkinligini ko'rsatamiz.

Shuningdek, biz sizni Flowmon Networks sotuvchisining yechimlariga bag'ishlangan webinarimizga (10.09.2019/XNUMX/XNUMX) taklif qilmoqchimiz. Oldindan ro'yxatdan o'tish uchun sizdan so'raymiz bu yerda roʻyxatdan oʻting.
Hozircha hammasi shu, qiziqishingiz uchun rahmat!

So'rovda faqat ro'yxatdan o'tgan foydalanuvchilar ishtirok etishlari mumkin. tizimga kirishiltimos.

Tarmoq monitoringi uchun Netflow dan foydalanasizmi?

• ekan

• Yo'q, lekin men rejalashtiryapman

• yo'q

9 nafar foydalanuvchi ovoz berdi. 3 nafar foydalanuvchi betaraf qolgan.

Manba: www.habr.com