最近,您可以在互联网上找到大量有关该主题的材料。 网络周边的流量分析。 与此同时,由于某种原因,每个人都完全忘记了 本地流量分析,这同样重要。 本文正是针对这个主题。 例如
Flowmon 网络是什么?
首先,Flowmon是一家欧洲IT供应商。 该公司是捷克公司,总部位于布尔诺(甚至没有提出制裁问题)。 目前该公司自 2007 年起就已上市。 此前,它以 Invea-Tech 品牌为人所知。 因此,总共花了近 20 年的时间来开发产品和解决方案。
Flowmon定位为A级品牌。 为企业客户开发优质解决方案,并在 Gartner 网络性能监控和诊断 (NPMD) 方面获得认可。 此外,有趣的是,在报告中的所有公司中,Flowmon 是唯一一家被 Gartner 列为网络监控和信息保护(网络行为分析)解决方案制造商的供应商。 它尚未占据第一名,但因此它不像波音机翼那样站立。
产品解决什么问题?
在全球范围内,我们可以区分公司产品解决的以下任务:
- 通过最大限度地减少停机时间和不可用性来提高网络和网络资源的稳定性;
- 提高网络性能的整体水平;
- 提高行政人员的效率,因为:
- 使用基于 IP 流信息的现代创新网络监控工具;
- 提供有关网络功能和状态的详细分析——网络上运行的用户和应用程序、传输的数据、交互的资源、服务和节点;
- 在事件发生之前做出响应,而不是在用户和客户失去服务之后做出响应;
- 减少管理网络和 IT 基础设施所需的时间和资源;
- 简化故障排除任务。
- 通过使用非签名技术检测异常和恶意网络活动以及“零日攻击”,提高企业网络和信息资源的安全水平;
- 确保网络应用程序和数据库所需的 SLA 级别。
Flowmon 网络产品组合
现在让我们直接看看 Flowmon Networks 的产品组合,看看该公司到底是做什么的。 正如许多人已经从名称中猜到的那样,主要专业是流媒体流量监控解决方案,以及一些扩展基本功能的附加模块。
事实上,Flowmon 可以被称为一家只有一种产品,或者更确切地说,一种解决方案的公司。 让我们弄清楚这是好还是坏。
系统的核心是采集器,负责使用各种流协议采集数据,例如 NetFlow v5/v9、jFlow、sFlow、NetStream、IPFIX...对于一家不隶属于任何网络设备制造商的公司来说,向市场提供一种不依赖于任何单一标准或协议的通用产品非常重要,这是非常合乎逻辑的。
Flowmon收藏家
收集器既可用作硬件服务器,也可用作虚拟机(VMware、Hyper-V、KVM)。 顺便说一下,硬件平台是在定制的DELL服务器上实现的,这自动消除了大部分保修和RMA问题。 唯一的专有硬件组件是 Flowmon 子公司开发的 FPGA 流量捕获卡,它允许以高达 100 Gbps 的速度进行监控。
但如果现有网络设备无法产生高质量流量怎么办? 或者设备负载过高? 没问题:
Flowmon 问题
在这种情况下,Flowmon Networks 建议使用自己的探针(Flowmon Probe),这些探针通过交换机的 SPAN 端口或使用无源 TAP 分离器连接到网络。
SPAN(镜像端口)和 TAP 实施选项
在这种情况下,到达 Flowmon Probe 的原始流量将转换为包含更多内容的扩展 IPFIX 240 个包含信息的指标。 而网络设备生成的标准NetFlow协议包含的指标不超过80个。 根据 ISO OSI 模型,这不仅允许第 3 层和第 4 层的协议可见性,而且还允许第 7 层的协议可见性。 因此,网络管理员可以监控应用程序和协议的运行情况,例如电子邮件、HTTP、DNS、SMB...
从概念上讲,系统的逻辑架构如下所示:
整个Flowmon Networks“生态系统”的核心部分是收集器,它从现有网络设备或其自身的探针(Probe)接收流量。 但对于企业解决方案来说,仅提供监控网络流量的功能就太简单了。 开源解决方案也可以做到这一点,尽管没有这样的性能。 Flowmon 的价值在于扩展基本功能的附加模块:
- 模 异常检测安全 – 基于流量和典型网络配置文件的启发式分析,识别异常网络活动,包括零日攻击;
- 模 应用性能监控 – 监控网络应用程序的性能,无需安装“代理”并影响目标系统;
- 模 交通记录仪 – 根据一组预定义规则或根据ADS模块的触发记录网络流量片段,以进一步排除故障和/或调查信息安全事件;
- 模 DDoS保护 – 保护网络周边免受大量 DoS/DDoS 拒绝服务攻击,包括对应用程序的攻击 (OSI L3/L4/L7)。
在本文中,我们将使用 2 个模块的示例来了解一切如何实时运行 - 网络性能监控和诊断 и 异常检测安全.
背景:
- 配备 VMware 140 管理程序的 Lenovo RS 6.0 服务器;
- 您可以使用 Flowmon Collector 虚拟机映像
在这里下载 ; - 一对支持流协议的交换机。
步骤 1. 安装 Flowmon 收集器
VMware 上的虚拟机部署是通过 OVF 模板以完全标准的方式进行的。 结果,我们得到了一个运行 CentOS 并带有现成软件的虚拟机。 资源需求人性化:
剩下的就是使用命令执行基本初始化 SYSCONFIG:
我们在管理端口上配置IP、DNS、时间、主机名,并可以连接到WEB界面。
步骤2.许可证安装
生成一个半月的试用许可证,并与虚拟机镜像一起下载。 加载通过 配置中心->许可证。 结果我们看到:
一切准备就绪。 你可以开始工作了。
步骤 3. 在收集器上设置接收器
在此阶段,您需要决定系统如何从源接收数据。 正如我们之前所说,这可能是一种流协议或交换机上的 SPAN 端口。
在我们的示例中,我们将使用协议进行数据接收 NetFlow v9 和 IPFIX。 在本例中,我们指定管理接口的 IP 地址作为目标 - 192.168.78.198。 接口 eth2 和 eth3(具有监控接口类型)用于从交换机的 SPAN 端口接收“原始”流量的副本。 我们让他们通过,而不是我们的案件。
接下来,我们检查流量应流向的收集器端口。
在我们的例子中,收集器侦听端口 UDP/2055 上的流量。
步骤 4. 配置网络设备以进行流导出
对于任何网络管理员来说,在 Cisco Systems 设备上设置 NetFlow 可能是一项完全常见的任务。 对于我们的例子,我们将采取一些更不寻常的东西。 例如,MikroTik RB2011UiAS-2HnD 路由器。 是的,奇怪的是,这种针对小型和家庭办公室的预算解决方案还支持 NetFlow v5/v9 和 IPFIX 协议。 在设置中,设置目标(收集器地址192.168.78.198和端口2055):
并添加所有可导出的指标:
至此我们可以说基本设置已经完成。 我们检查流量是否正在进入系统。
步骤5:测试和操作网络性能监控和诊断模块
您可以在 部分中检查来自源的流量是否存在 Flowmon 监控中心 –> 来源:
我们看到数据正在进入系统。 收集器积累流量后的一段时间,小部件将开始显示信息:
该系统建立在向下钻取原则的基础上。 也就是说,当用户在图表或图形上选择感兴趣的片段时,“落入”他需要的数据深度级别:
详细了解每个网络连接和连接的信息:
步骤 6. 异常检测安全模块
由于使用无签名方法来检测网络流量和恶意网络活动中的异常,该模块可能被称为最有趣的模块之一。 但这不是 IDS/IPS 系统的模拟。 使用模块从“训练”开始。 为此,一个特殊的向导指定了网络的所有关键组件和服务,包括:
- 网关地址、DNS、DHCP 和 NTP 服务器,
- 用户段和服务器段的寻址。
此后,系统进入训练模式,平均持续2周到1个月。 在此期间,系统会生成特定于我们网络的基线流量。 简而言之,系统学习:
- 网络节点的典型行为是什么?
- 通常传输多少数据量并且对于网络来说是正常的?
- 用户的典型操作时间是多少?
- 网络上运行哪些应用程序?
- 以及更多..
因此,我们获得了一个工具,可以识别网络中的任何异常情况以及与典型行为的偏差。 以下是系统允许您检测的几个示例:
- 在网络上传播防病毒签名未检测到的新恶意软件;
- 建立 DNS、ICMP 或其他隧道并绕过防火墙传输数据;
- 网络上出现一台新计算机,冒充 DHCP 和/或 DNS 服务器。
让我们看看现场是什么样子。 在您的系统经过培训并建立网络流量基线后,它开始检测事件:
该模块的主页是显示已识别事件的时间线。 在我们的示例中,我们看到明显的峰值,大约在 9 到 16 小时之间。 让我们选择它并查看更多细节。
攻击者在网络上的异常行为清晰可见。 这一切都始于这样一个事实:地址为 192.168.3.225 的主机开始在端口 3389(Microsoft RDP 服务)上对网络进行水平扫描,并发现了 14 个潜在的“受害者”:
и
以下记录的事件 - 主机 192.168.3.225 开始暴力攻击,以暴力破解先前识别的地址上的 RDP 服务(端口 3389)上的密码:
攻击的结果是,在其中一台被黑客攻击的主机上检测到 SMTP 异常。 换句话说,SPAM 已经开始:
该示例清楚地展示了系统的功能,特别是异常检测安全模块的功能。 自己判断一下效果吧。 该解决方案的功能概述到此结束。
结论
让我们总结一下关于 Flowmon 可以得出的结论:
- Flowmon 是面向企业客户的优质解决方案;
- 由于其多功能性和兼容性,可以从任何来源收集数据:网络设备(Cisco、Juniper、HPE、华为...)或您自己的探针(Flowmon Probe);
- 该解决方案的可扩展性功能使您可以通过添加新模块来扩展系统的功能,并通过灵活的许可方法提高生产力;
- 通过使用免签名分析技术,系统允许您检测防病毒和 IDS/IPS 系统未知的零日攻击;
- 由于系统在网络上的安装和存在方面完全“透明” - 该解决方案不会影响 IT 基础设施的其他节点和组件的运行;
- Flowmon 是市场上唯一支持速度高达 100 Gbps 流量监控的解决方案;
- Flowmon 是适用于任何规模网络的解决方案;
- 同类解决方案中性价比最高的。
在本次审查中,我们检查了解决方案总功能的不到 10%。 在下一篇文章中,我们将讨论其余的 Flowmon Networks 模块。 以应用程序性能监控模块为例,我们将展示业务应用程序管理员如何确保给定 SLA 级别的可用性,并尽快诊断问题。
此外,我们还想邀请您参加我们的网络研讨会(10.09.2019 年 XNUMX 月 XNUMX 日),该研讨会专门讨论供应商 Flowmon Networks 的解决方案。 如需预注册,我们会要求您
目前就这些,感谢您的关注!
只有注册用户才能参与调查。
您是否使用 Netflow 进行网络监控?
-
是
-
不,但我打算
-
没有
9 位用户投票。 3 名用户弃权。
来源: habr.com