最近,您可以在互聯網上找到大量有關該主題的資料。 網路週邊的流量分析。 同時,由於某種原因,每個人都完全忘記了 本地流量分析,這同樣重要。 本文正是針對這個主題。 例如 我們將記住古老的 Netflow(及其替代方案),查看有趣的案例、網路中可能的異常情況,並找出解決方案的優勢 整個網路作為單一感測器工作。 最重要的是,您可以在試用許可證的框架內完全免費地對本地流量進行此類分析(45天)。 如果您對這個主題感興趣,歡迎來到貓。 如果您懶得閱讀,那麼,展望未來,您可以註冊 ,我們將向您展示並告訴您一切(您還可以在那裡了解即將推出的產品培訓)。
Flowmon 網路是什麼?
首先,Flowmon是一家歐洲IT供應商。 該公司是捷克公司,總部位於布爾諾(甚至沒有提出製裁問題)。 目前該公司自 2007 年起就已上市。 此前,它以 Invea-Tech 品牌為人所知。 因此,總共花了近 20 年的時間來開發產品和解決方案。
Flowmon定位為A級品牌。 為企業客戶開發優質解決方案,並在 Gartner 網路效能監控和診斷 (NPMD) 方面獲得認可。 此外,有趣的是,在報告中的所有公司中,Flowmon 是唯一一家被 Gartner 列為網路監控和資訊保護(網路行為分析)解決方案製造商的供應商。 它尚未佔據第一名,但因此它不像波音機翼那樣站立。
產品解決什麼問題?
在全球範圍內,我們可以區分公司產品解決的以下任務:
- 透過最大限度地減少停機時間和不可用性來提高網路和網路資源的穩定性;
- 提高網路效能的整體水準;
- 提高行政人員的效率,因為:
- 使用基於 IP 串流資訊的現代創新網路監控工具;
- 提供有關網路功能和狀態的詳細分析-網路上運行的使用者和應用程式、傳輸的資料、互動的資源、服務和節點;
- 在事件發生之前做出回應,而不是在用戶和客戶失去服務之後做出回應;
- 減少管理網路和 IT 基礎設施所需的時間和資源;
- 簡化故障排除任務。
- 透過使用非簽名技術檢測異常和惡意網路活動以及“零時差攻擊”,提高企業網路和資訊資源的安全水準;
- 確保網路應用程式和資料庫所需的 SLA 等級。
Flowmon 網路產品組合
現在讓我們直接來看看 Flowmon Networks 的產品組合,看看該公司到底是做什麼的。 正如許多人已經從名稱中猜到的那樣,主要專業是串流媒體流量監控解決方案,以及一些擴展基本功能的附加模組。
事實上,Flowmon 可以被稱為一家只有一種產品,或者更確切地說,一種解決方案的公司。 讓我們弄清楚這是好還是壞。
系統的核心是採集器,負責使用各種流協定來收集數據,例如 NetFlow v5/v9、jFlow、sFlow、NetStream、IPFIX……對於一家不隸屬於任何網路設備製造商的公司來說,向市場提供一種不依賴任何單一標準或協議的通用產品非常重要,這是非常合乎邏輯的。
Flowmon收藏家
收集器既可用作硬體伺服器,也可用作虛擬機器(VMware、Hyper-V、KVM)。 順便說一下,硬體平台是在定制的DELL伺服器上實現的,這自動消除了大部分保固和RMA問題。 唯一的專有硬體元件是 Flowmon 子公司開發的 FPGA 流量擷取卡,它允許以高達 100 Gbps 的速度進行監控。
但如果現有網路設備無法產生高品質流量怎麼辦? 或設備負載過高? 沒問題:
Flowmon 問題
在這種情況下,Flowmon Networks 提供使用自己的探針 (Flowmon Probe),這些探針透過交換器的 SPAN 連接埠或使用被動 TAP 分離器連接到網路。
SPAN(鏡像連接埠)和 TAP 實作選項
在這種情況下,到達 Flowmon Probe 的原始流量將轉換為包含更多內容的擴展 IPFIX 240 個包含資訊的指標。 而網路設備產生的標準NetFlow協定所包含的指標則不超過80個。 根據 ISO OSI 模型,這不僅可以實現第 3 級和第 4 級的協議可見性,還可以實現第 7 級的協議可見性。 因此,網路管理員可以監控應用程式和協定的運作情況,例如電子郵件、HTTP、DNS、SMB...
從概念上講,系統的邏輯架構如下所示:
整個Flowmon Networks「生態系統」的核心部分是收集器,它從現有網路設備或其自身的探針(Probe)接收流量。 但對於企業解決方案來說,僅提供監控網路流量的功能就太簡單了。 開源解決方案也可以做到這一點,儘管沒有這樣的效能。 Flowmon 的價值在於擴充基本功能的附加模組:
- 模 異常檢測安全 – 基於流量和典型網路設定檔的啟發式分析,識別異常網路活動,包括零時差攻擊;
- 模 應用程序性能監控 – 監控網路應用程式的效能,無需安裝「代理」並影響目標系統;
- 模 交通記錄儀 – 根據一組預先定義規則或根據ADS模組的觸發記錄網路流量片段,以進一步排除故障和/或調查資訊安全事件;
- 模 DDoS保護 – 保護網路週邊免受大量 DoS/DDoS 拒絕服務攻擊,包括對應用程式的攻擊 (OSI L3/L4/L7)。
在本文中,我們將使用 2 個模組的範例來了解一切如何實時運行 - 網路效能監控與診斷 и 異常檢測安全.
初始數據:
- 配備 VMware 140 管理程式的 Lenovo RS 6.0 伺服器;
- 您可以使用 Flowmon Collector 虛擬機器映像 ;
- 一對支援流協定的交換器。
步驟 1. 安裝 Flowmon 收集器
VMware 上的虛擬機器部署是透過 OVF 範本以完全標準的方式進行的。 結果,我們得到了一個運行 CentOS 並帶有現成軟體的虛擬機器。 資源需求人性化:
剩下的就是使用指令執行基本初始化 系統配置:
我們在管理埠上配置IP、DNS、時間、主機名,並且可以連接到WEB介面。
步驟2.許可證安裝
產生一個半月的試用許可證,並與虛擬機器鏡像一起下載。 載入透過 配置中心->許可證。 結果我們看到:
一切準備就緒。 你可以開始工作了。
步驟 3. 在收集器上設定接收器
在此階段,您需要決定係統如何從來源接收資料。 正如我們之前所說,這可能是一種流協定或交換器上的 SPAN 連接埠。
在我們的範例中,我們將使用協定進行資料接收 NetFlow v9 和 IPFIX。 在本例中,我們指定管理介面的 IP 位址作為目標 - 192.168.78.198。 介面 eth2 和 eth3(具有監控介面類型)用於從交換器的 SPAN 連接埠接收「原始」流量的副本。 我們讓他們通過,而不是我們的案件。
接下來,我們檢查流量應流向的收集器連接埠。
在我們的例子中,收集器會偵聽連接埠 UDP/2055 上的流量。
步驟 4. 設定網路設備以進行串流導出
對於任何網路管理員來說,在 Cisco Systems 設備上設定 NetFlow 可能是一項完全常見的任務。 對於我們的例子,我們將採取一些更不尋常的東西。 例如,MikroTik RB2011UiAS-2HnD 路由器。 是的,奇怪的是,這種針對小型和家庭辦公室的預算解決方案還支援 NetFlow v5/v9 和 IPFIX 協定。 在設定中,設定目標(收集器位址192.168.78.198和連接埠2055):
並且加入所有可匯出的指標:
至此我們可以說基本設定已經完成。 我們檢查流量是否正在進入系統。
步驟5:測試和操作網路效能監控和診斷模組
您可以在 部分檢查來自來源的流量是否存在 Flowmon 監控中心 –> 來源:
我們看到數據正在進入系統。 收集器累積流量後的一段時間,小工具將開始顯示資訊:
該系統建立在向下鑽取原則的基礎上。 也就是說,當使用者在圖表或圖形上選擇感興趣的片段時,「落入」他需要的資料深度等級:
詳細了解每個網路連接和連接的資訊:
步驟 6. 異常檢測安全模組
由於使用無簽名方法來偵測網路流量和惡意網路活動中的異常,該模組可能被稱為最有趣的模組之一。 但這不是 IDS/IPS 系統的模擬。 使用模組從“訓練”開始。 為此,一個特殊的嚮導指定了網路的所有關鍵元件和服務,包括:
- 網關位址、DNS、DHCP 和 NTP 伺服器,
- 用戶段和伺服器段的尋址。
此後,系統進入訓練模式,平均持續2週到1個月。 在此期間,系統會產生特定於我們網路的基線流量。 簡而言之,系統學習:
- 網路節點的典型行為是什麼?
- 通常傳輸多少資料量並且對於網路來說是正常的?
- 使用者的典型操作時間是多少?
- 網路上運行哪些應用程式?
- 以及更多..
因此,我們獲得了一個工具,可以識別網路中的任何異常情況以及與典型行為的偏差。 以下是系統允許您檢測的幾個範例:
- 在網路上傳播防毒簽章未偵測到的新惡意軟體;
- 建立 DNS、ICMP 或其他隧道並繞過防火牆傳輸資料;
- 網路上出現一台新計算機,冒充 DHCP 和/或 DNS 伺服器。
讓我們看看現場是什麼樣子。 在您的系統經過培訓並建立網路流量基線後,它開始偵測事件:
此模組的主頁是顯示已識別事件的時間軸。 在我們的範例中,我們看到明顯的峰值,大約在 9 到 16 小時之間。 讓我們選擇它並查看更多細節。
攻擊者在網路上的異常行為清晰可見。 這一切都始於這樣一個事實:位址為 192.168.3.225 的主機開始在連接埠 3389(Microsoft RDP 服務)上對網路進行水平掃描,並發現了 14 個潛在的「受害者」:
и
以下記錄的事件 - 主機 192.168.3.225 開始暴力攻擊,以在先前識別的位址處的 RDP 服務(連接埠 3389)上暴力破解密碼:
攻擊的結果是,在其中一台被駭客攻擊的主機上偵測到 SMTP 異常。 換句話說,SPAM 已經開始:
此範例清楚地展示了系統的功能,特別是異常檢測安全模組的功能。 自己判斷一下效果吧。 此解決方案的功能概述到此結束。
結論
讓我們總結一下關於 Flowmon 可以得出的結論:
- Flowmon 是企業客戶的優質解決方案;
- 由於其多功能性和相容性,可以從任何來源收集資料:網路設備(Cisco、Juniper、HPE、華為...)或您自己的探針(Flowmon Probe);
- 此解決方案的可擴展性功能可讓您透過新增模組來擴展系統的功能,並透過靈活的授權方法提高生產力;
- 透過使用免簽名分析技術,系統可讓您偵測防毒和 IDS/IPS 系統未知的零時差攻擊;
- 由於系統在網路上的安裝和存在方面完全「透明」 - 該解決方案不會影響 IT 基礎設施的其他節點和組件的運作;
- Flowmon 是市場上唯一支援速度高達 100 Gbps 流量監控的解決方案;
- Flowmon 是適用於任何規模網路的解決方案;
- 同類解決方案中性價比最高的。
在本次審查中,我們檢查了解決方案總功能的不到 10%。 在下一篇文章中,我們將討論其餘的 Flowmon Networks 模組。 以應用程式效能監控模組為例,我們將展示業務應用程式管理員如何確保給定 SLA 等級的可用性,並儘快診斷問題。
此外,我們也想邀請您參加我們的網路研討會(10.09.2019 年 XNUMX 月 XNUMX 日),專門討論供應商 Flowmon Networks 的解決方案。 如需預註冊,我們會要求您 .
目前就這些,感謝您的關注!
只有註冊用戶才能參與調查。 , 請。
您是否使用 Netflow 進行網路監控?
-
Да
-
不,但我打算
-
沒有
9 位用戶投票。 3 名用戶棄權。
來源: www.habr.com