Giám sát mạng và phát hiện hoạt động mạng bất thường bằng giải pháp Flowmon Networks

Gần đây, bạn có thể tìm thấy một lượng lớn tài liệu về chủ đề này trên Internet. phân tích lưu lượng truy cập ở vành đai mạng. Đồng thời, vì lý do nào đó mà mọi người hoàn toàn quên mất phân tích giao thông địa phương, điều này không kém phần quan trọng. Bài viết này đề cập chính xác chủ đề này. Ví dụ Mạng Flowmon chúng ta sẽ nhớ đến Netflow cũ (và các lựa chọn thay thế của nó), xem xét các trường hợp thú vị, những điểm bất thường có thể xảy ra trong mạng và tìm ra những ưu điểm của giải pháp khi toàn bộ mạng hoạt động như một cảm biến duy nhất. Và quan trọng nhất, bạn có thể tiến hành phân tích lưu lượng truy cập địa phương như vậy hoàn toàn miễn phí, trong khuôn khổ giấy phép dùng thử (45 дней). Nếu chủ đề này thú vị với bạn, chào mừng bạn đến với mèo. Nếu bạn lười đọc thì trước mắt bạn có thể đăng ký hội thảo trực tuyến sắp tới, nơi chúng tôi sẽ hiển thị và cho bạn biết mọi thứ (bạn cũng có thể tìm hiểu về chương trình đào tạo về sản phẩm sắp tới ở đó).

Mạng Flowmon là gì?

Trước hết, Flowmon là nhà cung cấp CNTT Châu Âu. Công ty của Séc, có trụ sở chính tại Brno (vấn đề trừng phạt thậm chí không được nêu ra). Ở hình thức hiện tại, công ty đã có mặt trên thị trường từ năm 2007. Trước đây, nó được biết đến dưới thương hiệu Invea-Tech. Vì vậy, tổng cộng, chúng tôi đã dành gần 20 năm để phát triển các sản phẩm và giải pháp.

Flowmon được định vị là thương hiệu hạng A. Phát triển các giải pháp cao cấp cho khách hàng doanh nghiệp và được công nhận trong hộp Gartner về Giám sát và Chẩn đoán Hiệu suất Mạng (NPMD). Hơn nữa, điều thú vị là trong số tất cả các công ty trong báo cáo, Flowmon là nhà cung cấp duy nhất được Gartner ghi nhận là nhà sản xuất các giải pháp cho cả giám sát mạng và bảo vệ thông tin (Phân tích hành vi mạng). Nó chưa chiếm được vị trí đầu tiên, nhưng do đó nó không giống cánh của Boeing.

Sản phẩm giải quyết được vấn đề gì?

Trên toàn cầu, chúng ta có thể phân biệt nhóm nhiệm vụ sau đây được giải quyết bằng sản phẩm của công ty:

1. tăng tính ổn định của mạng cũng như tài nguyên mạng bằng cách giảm thiểu thời gian ngừng hoạt động và tính không khả dụng của chúng;
2. tăng mức hiệu suất tổng thể của mạng;
3. nâng cao hiệu quả của đội ngũ nhân sự hành chính do:
   • sử dụng các công cụ giám sát mạng cải tiến hiện đại dựa trên thông tin về luồng IP;
   • cung cấp các phân tích chi tiết về chức năng và trạng thái của mạng - người dùng và ứng dụng đang chạy trên mạng, dữ liệu được truyền, tài nguyên, dịch vụ và nút tương tác;
   • ứng phó với các sự cố trước khi chúng xảy ra chứ không phải sau khi người dùng và khách hàng bị mất dịch vụ;
   • giảm thời gian và nguồn lực cần thiết để quản trị mạng và cơ sở hạ tầng CNTT;
   • đơn giản hóa các công việc xử lý sự cố.
4. tăng mức độ bảo mật của mạng và tài nguyên thông tin của doanh nghiệp, thông qua việc sử dụng các công nghệ không có chữ ký để phát hiện hoạt động mạng bất thường và độc hại, cũng như “các cuộc tấn công zero-day”;
5. đảm bảo mức SLA cần thiết cho các ứng dụng và cơ sở dữ liệu mạng.

Danh mục sản phẩm của Flowmon Networks

Bây giờ chúng ta hãy xem trực tiếp danh mục sản phẩm của Flowmon Networks và tìm hiểu chính xác công ty làm gì. Như nhiều người đã đoán từ cái tên, chuyên môn chính là về các giải pháp giám sát lưu lượng luồng trực tuyến, cùng với một số mô-đun bổ sung giúp mở rộng chức năng cơ bản.

Trên thực tế, Flowmon có thể được gọi là công ty của một sản phẩm, hay đúng hơn là một giải pháp. Hãy cùng tìm hiểu xem điều này là tốt hay xấu.

Cốt lõi của hệ thống là bộ thu thập, chịu trách nhiệm thu thập dữ liệu bằng nhiều giao thức luồng khác nhau, chẳng hạn như NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX... Điều khá logic là đối với một công ty không liên kết với bất kỳ nhà sản xuất thiết bị mạng nào, điều quan trọng là phải cung cấp cho thị trường một sản phẩm phổ thông không bị ràng buộc với bất kỳ tiêu chuẩn hoặc giao thức nào.

Bộ sưu tập Flowmon

Bộ sưu tập có sẵn cả dưới dạng máy chủ phần cứng và máy ảo (VMware, Hyper-V, KVM). Nhân tiện, nền tảng phần cứng được triển khai trên các máy chủ DELL tùy chỉnh, điều này tự động loại bỏ hầu hết các vấn đề về bảo hành và RMA. Thành phần phần cứng độc quyền duy nhất là thẻ ghi lưu lượng truy cập FPGA được phát triển bởi một công ty con của Flowmon, cho phép giám sát ở tốc độ lên tới 100 Gbps.

Nhưng phải làm gì nếu thiết bị mạng hiện tại không thể tạo ra luồng chất lượng cao? Hoặc là tải trên thiết bị quá cao? Không có gì:

Vấn đề Flowmon

Trong trường hợp này, Flowmon Networks đề xuất sử dụng các đầu dò riêng (Flowmon Probe), được kết nối với mạng thông qua cổng SPAN của bộ chuyển mạch hoặc sử dụng bộ chia TAP thụ động.

Tùy chọn triển khai SPAN (cổng nhân bản) và TAP

Trong trường hợp này, lưu lượng thô đến Đầu dò Flowmon được chuyển đổi thành IPFIX mở rộng chứa nhiều 240 số liệu với thông tin. Trong khi giao thức NetFlow tiêu chuẩn do thiết bị mạng tạo ra không chứa quá 80 số liệu. Điều này cho phép khả năng hiển thị giao thức không chỉ ở cấp 3 và 4 mà còn ở cấp 7 theo mô hình ISO OSI. Nhờ đó, quản trị viên mạng có thể giám sát hoạt động của các ứng dụng và giao thức như e-mail, HTTP, DNS, SMB...

Về mặt khái niệm, kiến ​​trúc logic của hệ thống trông như thế này:

Phần trung tâm của toàn bộ “hệ sinh thái” Flowmon Networks là Collector, nhận lưu lượng truy cập từ thiết bị mạng hiện có hoặc các đầu dò của chính nó (Probe). Nhưng đối với giải pháp Doanh nghiệp, việc cung cấp chức năng chỉ để giám sát lưu lượng mạng sẽ quá đơn giản. Các giải pháp Nguồn mở cũng có thể thực hiện được điều này, mặc dù hiệu suất không như vậy. Giá trị của Flowmon là các mô-đun bổ sung mở rộng chức năng cơ bản:

• mô-đun Bảo mật phát hiện bất thường – xác định hoạt động mạng bất thường, bao gồm các cuộc tấn công zero-day, dựa trên phân tích heuristic về lưu lượng truy cập và cấu hình mạng điển hình;
• mô-đun Giám sát hiệu suất ứng dụng – giám sát hiệu suất của các ứng dụng mạng mà không cần cài đặt “tác nhân” và ảnh hưởng đến hệ thống mục tiêu;
• mô-đun Máy ghi lưu lượng – ghi lại các đoạn lưu lượng truy cập mạng theo một bộ quy tắc được xác định trước hoặc theo trình kích hoạt từ mô-đun ADS, để khắc phục sự cố và/hoặc điều tra thêm về các sự cố bảo mật thông tin;
• mô-đun Bảo vệ DDoS – bảo vệ chu vi mạng khỏi các cuộc tấn công từ chối dịch vụ DoS/DDoS quy mô lớn, bao gồm các cuộc tấn công vào các ứng dụng (OSI L3/L4/L7).

Trong bài viết này, chúng ta sẽ xem xét cách mọi thứ hoạt động trực tiếp bằng ví dụ về 2 mô-đun - Giám sát và chẩn đoán hiệu suất mạng и Bảo mật phát hiện bất thường.
Dữ liệu nguồn:

• Máy chủ Lenovo RS 140 với bộ ảo hóa VMware 6.0;
• Hình ảnh máy ảo Flowmon Collector mà bạn có thể tải xuống ở đây;
• một cặp công tắc hỗ trợ các giao thức luồng.

Bước 1. Cài đặt Flowmon Collector

Việc triển khai máy ảo trên VMware diễn ra theo cách hoàn toàn tiêu chuẩn từ mẫu OVF. Kết quả là chúng ta có được một máy ảo chạy CentOS và có phần mềm sẵn sàng sử dụng. Yêu cầu về nguồn lực mang tính nhân văn:

Tất cả những gì còn lại là thực hiện khởi tạo cơ bản bằng lệnh cấu hình hệ thống:

Chúng ta cấu hình IP trên cổng quản lý, DNS, thời gian, Hostname và có thể kết nối với giao diện WEB.

Bước 2. Cài đặt giấy phép

Giấy phép dùng thử trong một tháng rưỡi được tạo và tải xuống cùng với hình ảnh máy ảo. Đã tải qua Trung tâm cấu hình -> Giấy phép. Kết quả là chúng ta thấy:

Tất cả đã sẵn sàng. Bạn có thể bắt đầu làm việc.

Bước 3. Thiết lập bộ thu trên bộ thu

Ở giai đoạn này, bạn cần quyết định cách hệ thống sẽ nhận dữ liệu từ các nguồn. Như chúng tôi đã nói trước đó, đây có thể là một trong các giao thức luồng hoặc cổng SPAN trên bộ chuyển mạch.

Trong ví dụ của chúng tôi, chúng tôi sẽ sử dụng việc nhận dữ liệu bằng các giao thức NetFlow v9 và IPFIX. Trong trường hợp này, chúng tôi chỉ định địa chỉ IP của giao diện Quản lý làm mục tiêu - 192.168.78.198. Các giao diện eth2 và eth3 (với loại giao diện Giám sát) được sử dụng để nhận bản sao lưu lượng truy cập “thô” từ cổng SPAN của bộ chuyển mạch. Chúng tôi để họ đi qua, không phải trường hợp của chúng tôi.
Tiếp theo, chúng tôi kiểm tra cổng thu nơi lưu lượng sẽ đi.

Trong trường hợp của chúng tôi, bộ thu thập lắng nghe lưu lượng truy cập trên cổng UDP/2055.

Bước 4. Cấu hình thiết bị mạng để xuất luồng

Thiết lập NetFlow trên thiết bị Cisco Systems có thể coi là một nhiệm vụ hoàn toàn phổ biến đối với bất kỳ quản trị viên mạng nào. Ví dụ của chúng tôi, chúng tôi sẽ lấy một cái gì đó bất thường hơn. Ví dụ: bộ định tuyến MikroTik RB2011UiAS-2HnD. Đúng, thật kỳ lạ, một giải pháp ngân sách như vậy dành cho văn phòng nhỏ và gia đình cũng hỗ trợ giao thức NetFlow v5/v9 và IPFIX. Trong cài đặt, đặt mục tiêu (địa chỉ bộ thu 192.168.78.198 và cổng 2055):

Và thêm tất cả các số liệu có sẵn để xuất:

Tại thời điểm này chúng ta có thể nói rằng thiết lập cơ bản đã hoàn tất. Chúng tôi kiểm tra xem lưu lượng truy cập có vào hệ thống hay không.

Bước 5: Kiểm tra và vận hành Mô-đun chẩn đoán và giám sát hiệu suất mạng

Bạn có thể kiểm tra sự hiện diện của lưu lượng truy cập từ nguồn trong phần Trung tâm giám sát Flowmon -> Nguồn:

Chúng tôi thấy rằng dữ liệu đang vào hệ thống. Một thời gian sau khi bộ sưu tập đã tích lũy lưu lượng truy cập, các tiện ích sẽ bắt đầu hiển thị thông tin:

Hệ thống được xây dựng theo nguyên tắc truy sâu. Nghĩa là, người dùng, khi chọn một đoạn quan tâm trên sơ đồ hoặc biểu đồ, sẽ “rơi” vào mức độ sâu của dữ liệu mà mình cần:

Xuống thông tin về từng kết nối và kết nối mạng:

Bước 6. Mô-đun bảo mật phát hiện bất thường

Mô-đun này có thể được gọi là một trong những mô-đun thú vị nhất nhờ sử dụng các phương pháp không có chữ ký để phát hiện sự bất thường trong lưu lượng mạng và hoạt động mạng độc hại. Nhưng đây không phải là hệ thống tương tự của hệ thống IDS/IPS. Làm việc với mô-đun bắt đầu bằng việc “đào tạo” nó. Để thực hiện việc này, một trình hướng dẫn đặc biệt sẽ chỉ định tất cả các thành phần và dịch vụ chính của mạng, bao gồm:

• địa chỉ cổng, máy chủ DNS, DHCP và NTP,
• địa chỉ trong phân đoạn người dùng và máy chủ.

Sau đó, hệ thống chuyển sang chế độ đào tạo, kéo dài trung bình từ 2 tuần đến 1 tháng. Trong thời gian này, hệ thống tạo ra lưu lượng truy cập cơ bản dành riêng cho mạng của chúng tôi. Nói một cách đơn giản, hệ thống học:

• hành vi nào là điển hình cho các nút mạng?
• Khối lượng dữ liệu nào thường được truyền và bình thường đối với mạng?
• Thời gian hoạt động thông thường của người dùng là bao lâu?
• những ứng dụng nào chạy trên mạng?
• và nhiều hơn nữa..

Kết quả là chúng tôi có được một công cụ xác định mọi điểm bất thường trong mạng của chúng tôi và những sai lệch so với hành vi thông thường. Dưới đây là một số ví dụ mà hệ thống cho phép bạn phát hiện:

• phân phối phần mềm độc hại mới trên mạng mà chữ ký chống vi-rút không phát hiện được;
• xây dựng DNS, ICMP hoặc các đường hầm khác và truyền dữ liệu vượt qua tường lửa;
• sự xuất hiện của một máy tính mới trên mạng giả dạng là máy chủ DHCP và/hoặc DNS.

Hãy xem trực tiếp nó trông như thế nào. Sau khi hệ thống của bạn đã được huấn luyện và xây dựng cơ sở về lưu lượng mạng, nó bắt đầu phát hiện các sự cố:

Trang chính của mô-đun là dòng thời gian hiển thị các sự cố đã được xác định. Trong ví dụ của chúng tôi, chúng tôi thấy mức tăng đột biến rõ ràng, khoảng từ 9 đến 16 giờ. Hãy chọn nó và xem xét chi tiết hơn.

Hành vi bất thường của kẻ tấn công trên mạng có thể thấy rõ. Mọi chuyện bắt đầu từ việc máy chủ có địa chỉ 192.168.3.225 bắt đầu quét ngang mạng trên cổng 3389 (dịch vụ Microsoft RDP) và tìm thấy 14 “nạn nhân” tiềm năng:

и

Sự cố được ghi lại sau đây - máy chủ 192.168.3.225 bắt đầu một cuộc tấn công vũ phu nhằm lấy mật khẩu vũ phu trên dịch vụ RDP (cổng 3389) tại các địa chỉ đã xác định trước đó:

Kết quả của cuộc tấn công là phát hiện sự bất thường của SMTP trên một trong các máy chủ bị tấn công. Nói cách khác, SPAM đã bắt đầu:

Ví dụ này là minh chứng rõ ràng về khả năng của hệ thống và mô-đun Bảo mật Phát hiện Bất thường nói riêng. Đánh giá hiệu quả cho chính mình. Điều này kết thúc tổng quan chức năng của giải pháp.

Kết luận

Hãy tóm tắt những kết luận mà chúng ta có thể rút ra về Flowmon:

• Flowmon là giải pháp cao cấp dành cho khách hàng doanh nghiệp;
• nhờ tính linh hoạt và khả năng tương thích, việc thu thập dữ liệu có sẵn từ bất kỳ nguồn nào: thiết bị mạng (Cisco, Juniper, HPE, Huawei...) hoặc đầu dò của riêng bạn (Flowmon Probe);
• Khả năng mở rộng của giải pháp cho phép bạn mở rộng chức năng của hệ thống bằng cách thêm các mô-đun mới, cũng như tăng năng suất nhờ cách tiếp cận cấp phép linh hoạt;
• thông qua việc sử dụng các công nghệ phân tích không có chữ ký, hệ thống cho phép bạn phát hiện các cuộc tấn công zero-day thậm chí chưa được biết đến đối với các chương trình chống vi-rút và hệ thống IDS/IPS;
• nhờ tính “minh bạch” hoàn toàn về cài đặt và sự hiện diện của hệ thống trên mạng - giải pháp không ảnh hưởng đến hoạt động của các nút và thành phần khác trong cơ sở hạ tầng CNTT của bạn;
• Flowmon là giải pháp duy nhất trên thị trường hỗ trợ giám sát lưu lượng ở tốc độ lên tới 100 Gbps;
• Flowmon là giải pháp cho các mạng ở mọi quy mô;
• tỷ lệ giá/chức năng tốt nhất trong số các giải pháp tương tự.

Trong đánh giá này, chúng tôi đã kiểm tra chưa đến 10% tổng chức năng của giải pháp. Trong bài viết tiếp theo, chúng tôi sẽ nói về các mô-đun Flowmon Networks còn lại. Lấy mô-đun Giám sát Hiệu suất Ứng dụng làm ví dụ, chúng tôi sẽ chỉ ra cách quản trị viên ứng dụng doanh nghiệp có thể đảm bảo tính khả dụng ở cấp SLA nhất định cũng như chẩn đoán sự cố nhanh nhất có thể.

Ngoài ra, chúng tôi xin mời bạn tham dự hội thảo trực tuyến của chúng tôi (10.09.2019/XNUMX/XNUMX) dành riêng cho các giải pháp của nhà cung cấp Flowmon Networks. Để đăng ký trước, chúng tôi yêu cầu bạn đăng ký ở đây.
Đó là tất cả bây giờ, cảm ơn bạn đã quan tâm!

Chỉ những người dùng đã đăng ký mới có thể tham gia khảo sát. Đăng nhập, xin vui lòng.

Bạn có đang sử dụng Netflow để giám sát mạng không?

• vâng

• Không, nhưng tôi dự định

• Không

9 người dùng bình chọn. 3 người dùng bỏ phiếu trắng.

Nguồn: www.habr.com