Laipe, o le wa iye nla ti awọn ohun elo lori koko lori Intanẹẹti. itupalẹ ijabọ ni agbegbe nẹtiwọki. Ni akoko kanna, fun idi kan gbogbo eniyan ti gbagbe patapata agbegbe ijabọ onínọmbà, eyi ti o jẹ ko kere pataki. Nkan yii sọrọ ni pato koko-ọrọ yii. Fun apere a yoo ranti Netflow atijọ ti o dara (ati awọn omiiran), wo awọn ọran ti o nifẹ, awọn asemase ti o ṣeeṣe ninu nẹtiwọọki ati rii awọn anfani ti ojutu nigbati gbogbo nẹtiwọọki n ṣiṣẹ bi sensọ kan. Ati ni pataki julọ, o le ṣe iru itupalẹ iru ijabọ agbegbe ni ọfẹ laisi idiyele, laarin ilana ti iwe-aṣẹ idanwo kan (Awọn ọjọ 45). Ti koko naa ba nifẹ si ọ, kaabọ si ologbo. Ti o ba jẹ ọlẹ lati ka, lẹhinna, nwa niwaju, o le forukọsilẹ fun , Nibi ti a yoo fihan ati sọ ohun gbogbo fun ọ (o tun le kọ ẹkọ nipa ikẹkọ ọja ti nbọ nibẹ).
Kini Awọn nẹtiwọki Flowmon?
Ni akọkọ, Flowmon jẹ olutaja IT European kan. Ile-iṣẹ jẹ Czech, pẹlu ile-iṣẹ ni Brno (ọrọ ti awọn ijẹniniya ko paapaa dide). Ni fọọmu lọwọlọwọ rẹ, ile-iṣẹ ti wa lori ọja lati ọdun 2007. Ni iṣaaju, o ti mọ labẹ Invea-Tech brand. Nitorinaa, lapapọ, o fẹrẹ to ọdun 20 ni a lo lori awọn ọja idagbasoke ati awọn solusan.
Flowmon wa ni ipo bi ami iyasọtọ A-kilasi kan. Ṣe agbekalẹ awọn solusan Ere fun awọn alabara ile-iṣẹ ati pe a mọ ni awọn apoti Gartner fun Abojuto Iṣẹ ṣiṣe Nẹtiwọọki ati Awọn iwadii (NPMD). Pẹlupẹlu, ni iyanilenu, ti gbogbo awọn ile-iṣẹ ti o wa ninu ijabọ naa, Flowmon jẹ olutaja nikan ti o ṣe akiyesi nipasẹ Gartner gẹgẹbi olupese ti awọn solusan fun ibojuwo nẹtiwọki mejeeji ati aabo alaye (Itupalẹ ihuwasi Nẹtiwọọki). Ko gba aaye akọkọ sibẹsibẹ, ṣugbọn nitori eyi ko duro bi iyẹ Boeing kan.
Awọn iṣoro wo ni ọja yanju?
Ni kariaye, a le ṣe iyatọ adagun omi atẹle ti awọn iṣẹ ṣiṣe ti o yanju nipasẹ awọn ọja ile-iṣẹ:
- jijẹ iduroṣinṣin ti nẹtiwọọki, ati awọn orisun nẹtiwọọki, nipa didinku akoko idinku ati aisi wọn;
- jijẹ ipele apapọ ti iṣẹ nẹtiwọọki;
- jijẹ ṣiṣe ti oṣiṣẹ ti iṣakoso nitori:
- lilo awọn irinṣẹ ibojuwo nẹtiwọọki tuntun tuntun ti o da lori alaye nipa ṣiṣan IP;
- pese awọn atupale alaye nipa iṣẹ ṣiṣe ati ipo nẹtiwọọki - awọn olumulo ati awọn ohun elo ti n ṣiṣẹ lori nẹtiwọọki, data gbigbe, awọn orisun ibaraenisepo, awọn iṣẹ ati awọn apa;
- fesi si awọn iṣẹlẹ ṣaaju ki wọn ṣẹlẹ, kii ṣe lẹhin awọn olumulo ati awọn alabara padanu iṣẹ;
- idinku akoko ati awọn orisun ti o nilo lati ṣakoso nẹtiwọọki ati awọn amayederun IT;
- irọrun awọn iṣẹ-ṣiṣe laasigbotitusita.
- jijẹ ipele aabo ti nẹtiwọọki ati awọn orisun alaye ti ile-iṣẹ, nipasẹ lilo awọn imọ-ẹrọ ti kii ṣe ibuwọlu fun wiwa ailorukọ ati iṣẹ nẹtiwọọki irira, ati “awọn ikọlu ọjọ-odo”;
- aridaju ipele ti a beere fun SLA fun awọn ohun elo nẹtiwọki ati awọn apoti isura infomesonu.
Flowmon Networks Ọja Portfolio
Bayi jẹ ki a wo taara ni Flowmon Networks ọja portfolio ati rii kini gangan ti ile-iṣẹ naa ṣe. Bii ọpọlọpọ ti ṣe akiyesi tẹlẹ lati orukọ naa, amọja akọkọ wa ni awọn solusan fun ibojuwo ṣiṣan ṣiṣan ṣiṣan, pẹlu nọmba awọn modulu afikun ti o faagun iṣẹ ṣiṣe ipilẹ.
Ni otitọ, Flowmon le pe ni ile-iṣẹ ti ọja kan, tabi dipo, ojutu kan. Jẹ ki a ro boya eyi dara tabi buburu.
Ohun pataki ti eto naa ni olugba, eyiti o ni iduro fun gbigba data nipa lilo awọn ilana ṣiṣan lọpọlọpọ, bii NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIXO jẹ ohun ọgbọn pe fun ile-iṣẹ ti ko ni nkan ṣe pẹlu olupese ohun elo nẹtiwọọki eyikeyi, o ṣe pataki lati fun ọja ni ọja agbaye ti ko so mọ boṣewa tabi ilana kan.
Akojo Flowmon
Olukojọpọ wa mejeeji bi olupin ohun elo ati bi ẹrọ foju (VMware, Hyper-V, KVM). Nipa ọna, ipilẹ ohun elo jẹ imuse lori awọn olupin DELL ti a ṣe adani, eyiti o yọkuro pupọ julọ awọn ọran pẹlu atilẹyin ọja ati RMA. Awọn paati ohun elo ohun elo ohun-ini nikan ni awọn kaadi gbigba ijabọ FPGA ti o dagbasoke nipasẹ oniranlọwọ ti Flowmon, eyiti o gba ibojuwo laaye ni awọn iyara ti o to 100 Gbps.
Ṣugbọn kini lati ṣe ti ohun elo nẹtiwọọki ti o wa tẹlẹ ko ni anfani lati ṣe ina ṣiṣan didara ga? Tabi ni fifuye lori ẹrọ ga ju? Kosi wahala:
Flowmon Prob
Ni idi eyi, Flowmon Networks nfunni lati lo awọn iwadii ti ara rẹ (Flowmon Probe), eyiti o ni asopọ si nẹtiwọki nipasẹ ibudo SPAN ti iyipada tabi lilo awọn pipin TAP palolo.
SPAN (ibudo digi) ati awọn aṣayan imuse TAP
Ni ọran yii, ijabọ aise ti o de ni Flowmon Probe ti yipada si IPFIX ti o gbooro ti o ni diẹ sii. 240 metiriki pẹlu alaye. Lakoko ti ilana NetFlow boṣewa ti ipilẹṣẹ nipasẹ ohun elo nẹtiwọọki ko ni diẹ sii ju awọn metiriki 80 lọ. Eyi ngbanilaaye fun hihan ilana kii ṣe ni awọn ipele 3 ati 4 nikan, ṣugbọn tun ni ipele 7 ni ibamu si awoṣe ISO OSI. Bi abajade, awọn alabojuto nẹtiwọọki le ṣe atẹle iṣẹ ṣiṣe ti awọn ohun elo ati awọn ilana bii imeeli, HTTP, DNS, SMB…
Ni imọran, faaji ọgbọn ti eto naa dabi eyi:
Aarin apakan ti gbogbo Flowmon Networks “eto ilolupo” ni Alakojọpọ, eyiti o gba ijabọ lati awọn ohun elo nẹtiwọọki ti o wa tabi awọn iwadii tirẹ (Iwadii). Ṣugbọn fun ojutu Idawọlẹ kan, pese iṣẹ ṣiṣe nikan fun ibojuwo ijabọ nẹtiwọọki yoo rọrun pupọ. Awọn ojutu orisun orisun tun le ṣe eyi, botilẹjẹpe kii ṣe pẹlu iru iṣẹ bẹẹ. Iye Flowmon jẹ awọn modulu afikun ti o faagun iṣẹ ṣiṣe ipilẹ:
- modulu Aabo Iwari Anomaly - idanimọ ti iṣẹ nẹtiwọọki ailorukọ, pẹlu awọn ikọlu ọjọ-odo, da lori itupalẹ heuristic ti ijabọ ati profaili nẹtiwọọki aṣoju;
- modulu Abojuto Iṣẹ Ohun elo - Mimojuto iṣẹ ti awọn ohun elo nẹtiwọọki laisi fifi “awọn aṣoju” sori ẹrọ ati ni ipa awọn eto ibi-afẹde;
- modulu Traffic Agbohunsile - gbigbasilẹ awọn ajẹkù ti ijabọ nẹtiwọọki ni ibamu si ṣeto awọn ofin ti a ti yan tẹlẹ tabi ni ibamu si okunfa lati module ADS, fun laasigbotitusita siwaju ati/tabi iwadii awọn iṣẹlẹ aabo alaye;
- modulu Idaabobo DDoS - Idaabobo ti agbegbe nẹtiwọọki lati kiko DoS/DDoS volumetric ti awọn ikọlu iṣẹ, pẹlu awọn ikọlu lori awọn ohun elo (OSI L3/L4/L7).
Ninu nkan yii, a yoo wo bii ohun gbogbo ṣe n ṣiṣẹ laaye nipa lilo apẹẹrẹ ti awọn modulu 2 - Abojuto Iṣe Nẹtiwọọki ati Awọn iwadii aisan и Aabo Iwari Anomaly.
Orisun orisun:
- Lenovo RS 140 olupin pẹlu VMware 6.0 hypervisor;
- Aworan ẹrọ foju Flowmon Collector ti o le ;
- bata ti awọn iyipada ti n ṣe atilẹyin awọn ilana sisan.
Igbese 1. Fi Flowmon-odè
Gbigbe ẹrọ foju kan lori VMware waye ni ọna boṣewa patapata lati awoṣe OVF. Bi abajade, a gba ẹrọ foju kan ti n ṣiṣẹ CentOS ati pẹlu sọfitiwia ti o ṣetan lati lo. Awọn ibeere orisun jẹ ti eniyan:
Gbogbo ohun ti o ku ni lati ṣe ipilẹṣẹ ipilẹṣẹ nipa lilo aṣẹ naa sysconfig:
A tunto IP lori ibudo iṣakoso, DNS, akoko, Orukọ ogun ati pe o le sopọ si wiwo WEB.
Igbesẹ 2. fifi sori iwe-aṣẹ
Iwe-aṣẹ idanwo fun oṣu kan ati idaji jẹ ipilẹṣẹ ati ṣe igbasilẹ pẹlu aworan ẹrọ foju. Ti kojọpọ nipasẹ Ile-iṣẹ iṣeto ni -> Iwe-aṣẹ. Bi abajade, a rii:
Gbogbo ti šetan. O le bẹrẹ ṣiṣẹ.
Igbesẹ 3. Ṣiṣeto olugba lori olugba
Ni ipele yii, o nilo lati pinnu bi eto yoo ṣe gba data lati awọn orisun. Gẹgẹbi a ti sọ tẹlẹ, eyi le jẹ ọkan ninu awọn ilana sisan tabi ibudo SPAN kan lori yipada.
Ninu apẹẹrẹ wa, a yoo lo gbigba data nipa lilo awọn ilana NetFlow v9 ati IPFIX. Ni ọran yii, a pato adiresi IP ti wiwo iṣakoso bi ibi-afẹde kan - 192.168.78.198. Awọn atọkun eth2 ati eth3 (pẹlu iru wiwo Abojuto) ni a lo lati gba ẹda ti ijabọ “aise” lati ibudo SPAN ti yipada. A jẹ ki wọn kọja, kii ṣe ọran wa.
Nigbamii ti, a ṣayẹwo ibudo olugba nibiti ijabọ yẹ ki o lọ.
Ninu ọran wa, olugba n tẹtisi ijabọ lori ibudo UDP/2055.
Igbesẹ 4. Ṣiṣeto ohun elo nẹtiwọki fun okeere sisan
Eto NetFlow on Sisiko Systems ẹrọ le jasi wa ni a npe ni a patapata wọpọ-ṣiṣe fun eyikeyi nẹtiwọki alámùójútó. Fun apẹẹrẹ wa, a yoo mu nkan diẹ sii dani. Fun apẹẹrẹ, olulana MikroTik RB2011UiAS-2HnD. Bẹẹni, lainidi to, iru ojutu isuna fun kekere ati awọn ọfiisi ile tun ṣe atilẹyin NetFlow v5/v9 ati awọn ilana IPFIX. Ninu awọn eto, ṣeto ibi-afẹde (adirẹsi olugba 192.168.78.198 ati ibudo 2055):
Ati ṣafikun gbogbo awọn metiriki ti o wa fun okeere:
Ni aaye yii a le sọ pe iṣeto ipilẹ ti pari. A ṣayẹwo boya ijabọ n wọle si eto naa.
Igbesẹ 5: Idanwo ati Ṣiṣẹ Abojuto Iṣe Nẹtiwọọki ati Module Ayẹwo
O le ṣayẹwo wiwa ijabọ lati orisun ni apakan Ile-iṣẹ Abojuto Flowmon -> Awọn orisun:
A rii pe data n wọle si eto naa. Ni akoko diẹ lẹhin ti olugba ti ṣajọpọ ijabọ, awọn ẹrọ ailorukọ yoo bẹrẹ lati ṣafihan alaye:
Awọn eto ti wa ni itumọ ti lori lu si isalẹ opo. Iyẹn ni, olumulo, nigbati o ba yan ajẹkù ti iwulo lori aworan atọka tabi aworan kan, “ṣubu” si ipele ijinle data ti o nilo:
Si isalẹ lati alaye nipa asopọ nẹtiwọki kọọkan ati asopọ:
Igbese 6. Anomaly erin Aabo Module
Module yii le pe ni boya ọkan ninu awọn ti o nifẹ julọ, o ṣeun si lilo awọn ọna ti ko ni ibuwọlu fun wiwa awọn aiṣedeede ni ijabọ nẹtiwọọki ati iṣẹ nẹtiwọọki irira. Ṣugbọn eyi kii ṣe afọwọṣe ti awọn eto IDS/IPS. Ṣiṣẹ pẹlu module bẹrẹ pẹlu awọn oniwe-"ikẹkọ". Lati ṣe eyi, oluṣeto pataki kan pato gbogbo awọn paati bọtini ati awọn iṣẹ nẹtiwọọki, pẹlu:
- awọn adirẹsi ẹnu-ọna, DNS, DHCP ati olupin NTP,
- sọrọ ni olumulo ati olupin apa.
Lẹhin eyi, eto naa lọ sinu ipo ikẹkọ, eyiti o wa ni apapọ lati ọsẹ 2 si oṣu kan. Lakoko yii, eto naa n ṣe agbejade ijabọ ipilẹ ti o jẹ pato si nẹtiwọọki wa. Ni irọrun, eto naa kọ ẹkọ:
- kini ihuwasi jẹ aṣoju fun awọn apa nẹtiwọki?
- Awọn ipele data wo ni igbagbogbo gbe ati pe o jẹ deede fun nẹtiwọọki naa?
- Kini akoko iṣẹ aṣoju fun awọn olumulo?
- ohun elo nṣiṣẹ lori nẹtiwọki?
- ati pupọ diẹ sii ..
Bi abajade, a gba ohun elo kan ti o ṣe idanimọ eyikeyi aiṣedeede ninu nẹtiwọọki wa ati awọn iyapa lati ihuwasi aṣoju. Eyi ni awọn apẹẹrẹ meji ti eto naa fun ọ laaye lati rii:
- pinpin malware tuntun lori nẹtiwọọki ti a ko rii nipasẹ awọn ibuwọlu antivirus;
- kọ DNS, ICMP tabi awọn tunnels miiran ati gbigbe data nipa gbigbe ogiriina;
- hihan kọmputa tuntun lori nẹtiwọọki ti o farahan bi DHCP ati/tabi olupin DNS.
Jẹ ká wo ohun ti o dabi ifiwe. Lẹhin ti eto rẹ ti ni ikẹkọ ati kọ ipilẹ ipilẹ ti ijabọ nẹtiwọọki, o bẹrẹ lati ṣawari awọn iṣẹlẹ:
Oju-iwe akọkọ ti module jẹ aago kan ti n ṣafihan awọn iṣẹlẹ idanimọ. Ninu apẹẹrẹ wa, a rii iwasoke ti o han, to laarin awọn wakati 9 ati 16. Jẹ ki a yan ki o wo ni awọn alaye diẹ sii.
Ihuwasi aibikita ti ikọlu lori nẹtiwọọki jẹ han gbangba. Gbogbo rẹ bẹrẹ pẹlu otitọ pe agbalejo pẹlu adirẹsi 192.168.3.225 bẹrẹ ọlọjẹ petele kan ti nẹtiwọọki lori ibudo 3389 (iṣẹ Microsoft RDP) o rii “awọn olufaragba” 14 ti o pọju:
и
Iṣẹlẹ ti o gbasilẹ atẹle yii - agbalejo 192.168.3.225 bẹrẹ ikọlu ipa aburu si awọn ọrọ igbaniwọle ipa lori iṣẹ RDP (ibudo 3389) ni awọn adirẹsi ti a ti mọ tẹlẹ:
Bi abajade ikọlu naa, a rii anomaly SMTP kan lori ọkan ninu awọn agbalejo ti a ti gepa. Ni awọn ọrọ miiran, SPAM ti bẹrẹ:
Apeere yii jẹ ifihan gbangba ti awọn agbara ti eto ati module Aabo Aabo Anomaly ni pataki. Ṣe idajọ ṣiṣe fun ara rẹ. Eyi pari akopọ iṣẹ-ṣiṣe ti ojutu.
ipari
Jẹ ki a ṣe akopọ kini awọn ipinnu ti a le fa nipa Flowmon:
- Flowmon jẹ ojutu Ere fun awọn alabara ile-iṣẹ;
- o ṣeun si iyipada ati ibaramu rẹ, gbigba data wa lati eyikeyi orisun: ẹrọ nẹtiwọki (Cisco, Juniper, HPE, Huawei ...) tabi awọn iwadii ti ara rẹ (Flowmon Probe);
- Awọn agbara scalability ti ojutu gba ọ laaye lati faagun iṣẹ ṣiṣe ti eto naa nipa fifi awọn modulu tuntun kun, bakanna bi alekun iṣelọpọ ọpẹ si ọna irọrun si iwe-aṣẹ;
- nipasẹ lilo awọn imọ-ẹrọ itupalẹ ti ko ni ibuwọlu, eto naa fun ọ laaye lati ṣawari awọn ikọlu ọjọ-odo paapaa ti a ko mọ si awọn antiviruses ati awọn eto IDS/IPS;
- o ṣeun lati pari “akoyawo” ni awọn ofin ti fifi sori ẹrọ ati wiwa ti eto lori nẹtiwọọki - ojutu ko ni ipa iṣẹ ti awọn apa miiran ati awọn paati ti amayederun IT rẹ;
- Flowmon nikan ni ojutu lori ọja ti o ṣe atilẹyin ibojuwo ijabọ ni awọn iyara to 100 Gbps;
- Flowmon jẹ ojutu fun awọn nẹtiwọki ti eyikeyi iwọn;
- ti o dara ju owo / ipin iṣẹ laarin iru awọn solusan.
Ninu atunyẹwo yii, a ṣe ayẹwo kere ju 10% ti iṣẹ ṣiṣe lapapọ ti ojutu naa. Ninu nkan atẹle a yoo sọrọ nipa awọn modulu Flowmon Networks ti o ku. Lilo module Abojuto Iṣe Ohun elo bi apẹẹrẹ, a yoo ṣafihan bii awọn alabojuto ohun elo iṣowo ṣe le rii daju wiwa ni ipele SLA ti a fun, ati ṣe iwadii awọn iṣoro ni yarayara bi o ti ṣee.
Paapaa, a yoo fẹ lati pe ọ si webinar wa (10.09.2019/XNUMX/XNUMX) ti a ṣe igbẹhin si awọn ojutu ti Awọn nẹtiwọki Flowmon ataja. Lati forukọsilẹ tẹlẹ, a beere lọwọ rẹ .
Iyẹn ni gbogbo fun bayi, o ṣeun fun iwulo rẹ!
Awọn olumulo ti o forukọsilẹ nikan le kopa ninu iwadi naa. , Jowo.
Ṣe o nlo Netflow fun ibojuwo nẹtiwọki?
-
Bẹẹni
-
Rara, ṣugbọn Mo gbero lati
-
No
9 olumulo dibo. 3 olumulo abstained.
orisun: www.habr.com