नेटवर्क की निगरानी और फ़्लोमोन नेटवर्क समाधानों का उपयोग करके असामान्य नेटवर्क गतिविधि का पता लगाना

हाल ही में, इंटरनेट पर आप नेटवर्क की परिधि पर यातायात विश्लेषण के विषय पर बड़ी संख्या में सामग्री पा सकते हैं। इसी समय, किसी कारण से, हर कोई स्थानीय यातायात के विश्लेषण के बारे में पूरी तरह से भूल गया, जो कम महत्वपूर्ण नहीं है। यह लेख सिर्फ इस विषय का दौरा किया है। उदाहरण के रूप में फ्लोअमोन नेटवर्क का उपयोग करना, हम अच्छे पुराने नेटफ्लो (और इसके विकल्प) को याद करेंगे, नेटवर्क में दिलचस्प मामलों, संभावित विसंगतियों पर विचार करेंगे और समाधान के फायदे का पता लगाएंगे जब पूरा नेटवर्क एकल सेंसर के रूप में काम करता है । और सबसे महत्वपूर्ण बात - एक परीक्षण लाइसेंस ( 45 दिन ) के तहत स्थानीय यातायात का एक समान विश्लेषण पूरी तरह से नि: शुल्क किया जा सकता है। यदि आप विषय में रुचि रखते हैं, तो बिल्ली में आपका स्वागत है। यदि आप आलस्य पढ़ते हैं, तो, आगे देखते हुए, आप आगामी वेबिनार के लिए पंजीकरण कर सकते हैं, जहां हम आपको सब कुछ दिखाएंगे और बताएंगे (वहां आप आगामी उत्पाद प्रशिक्षण के बारे में भी सीख सकते हैं)।

फ्लोअमोन नेटवर्क क्या हैं?

सबसे पहले, Flowmon एक यूरोपीय आईटी विक्रेता है। चेक कंपनी, जिसका मुख्यालय ब्रनो में है (प्रतिबंधों का मुद्दा भी नहीं उठाया गया है)। अपने वर्तमान रूप में, कंपनी को 2007 के बाद से बाजार पर प्रतिनिधित्व किया गया है। इससे पहले, यह Invea-Tech ब्रांड के तहत जाना जाता था। तो कुल मिलाकर लगभग 20 साल विकासशील उत्पादों और समाधानों पर खर्च किए गए हैं।

फ्लोअमोन को ए-क्लास ब्रांड के रूप में तैनात किया गया है। कॉर्पोरेट ग्राहकों के लिए प्रीमियम समाधान विकसित करता है और नेटवर्क प्रदर्शन निगरानी और निदान (एनपीएमडी) की दिशा में गार्टनर के वर्गों में चिह्नित किया गया है। और, दिलचस्प बात यह है कि रिपोर्ट की सभी कंपनियों में, फ्लोअमोन एकमात्र विक्रेता है जो गार्टनर द्वारा नेटवर्क निगरानी और सूचना संरक्षण (नेटवर्क व्यवहार विश्लेषण) दोनों के समाधान के निर्माता के रूप में विख्यात है। यह अभी तक पहला स्थान नहीं लेता है, लेकिन इसके कारण, यह बोइंग से एक पंख की तरह नहीं खड़ा होता है।

उत्पाद किन कार्यों को हल करता है?

वैश्विक स्तर पर, हम कंपनी के उत्पादों द्वारा हल किए गए कार्यों के निम्नलिखित पूल को अलग कर सकते हैं:

1. नेटवर्क की स्थिरता में सुधार, साथ ही साथ नेटवर्क संसाधनों को उनके डाउनटाइम और दुर्गमता को कम करके;
2. समग्र नेटवर्क प्रदर्शन में सुधार
3. प्रशासनिक कर्मचारियों की दक्षता में सुधार, के कारण:
   
   • आईपी ​​प्रवाह के बारे में जानकारी के आधार पर आधुनिक नवीन नेटवर्क निगरानी उपकरणों का उपयोग;
   • नेटवर्क के कामकाज और स्थिति के बारे में विस्तृत विश्लेषण प्रदान करना - उपयोगकर्ता और एप्लिकेशन नेटवर्क पर चल रहे हैं, डेटा संचारित करते हैं, संसाधनों, सेवाओं और नोड्स का आदान-प्रदान करते हैं;
   • घटित होने से पहले की घटनाओं की प्रतिक्रिया, और उपयोगकर्ताओं और ग्राहकों द्वारा सेवा के नुकसान के बाद नहीं;
   • नेटवर्क और आईटी अवसंरचना के प्रबंधन के लिए आवश्यक समय और संसाधनों को कम करना;
   • समस्या निवारण कार्यों को सरल बनाएं।
4. असामान्य और दुर्भावनापूर्ण नेटवर्क गतिविधि का पता लगाने के लिए गैर-हस्ताक्षर प्रौद्योगिकियों के उपयोग के साथ-साथ "शून्य-दिन के हमलों" के माध्यम से उद्यम के नेटवर्क और सूचना संसाधनों की सुरक्षा के स्तर में वृद्धि;
5. एसएलए नेटवर्क अनुप्रयोगों और डेटाबेस के आवश्यक स्तर प्रदान करना।

फ्लोअमोन नेटवर्क उत्पाद पोर्टफोलियो

चलिए अब फ्लोअमोन नेटवर्क्स उत्पाद पोर्टफोलियो पर एक नज़र डालें और पता करें कि कंपनी विशेष रूप से क्या कर रही है। जैसा कि कई लोग पहले ही नाम से अनुमान लगा चुके हैं, मुख्य विशेषज्ञता यातायात की स्ट्रीमिंग की निगरानी के लिए समाधान है, साथ ही कई अतिरिक्त मॉड्यूल हैं जो बुनियादी कार्यक्षमता का विस्तार करते हैं।

वास्तव में, फ्लोमोन को एक उत्पाद की कंपनी कहा जा सकता है, या बल्कि - एक समाधान। चलो यह पता लगाएं कि यह अच्छा है या बुरा।

सिस्टम का मूल संग्राहक है, जो विभिन्न प्रवाह प्रोटोकॉल पर डेटा एकत्र करने के लिए जिम्मेदार है, जैसे कि नेटफ्लो v5 / v9, jFlow, sFlow, NetStream, IPFIX ... यह काफी तार्किक है कि एक कंपनी के लिए जो नेटवर्क उपकरण के किसी भी निर्माता के साथ संबद्ध नहीं है, यह बाजार को एक सार्वभौमिक उत्पाद पेश करने के लिए महत्वपूर्ण है, किसी एक मानक या प्रोटोकॉल से बंधा हुआ नहीं।


फ्लोअमोन कलेक्टर

कलेक्टर एक हार्डवेयर सर्वर और एक वर्चुअल मशीन (वीएमवेयर, हाइपर-वी, केवीएम) दोनों के रूप में उपलब्ध है। वैसे, हार्डवेयर प्लेटफ़ॉर्म को अनुकूलित डेल सर्वरों पर लागू किया जाता है, जो वारंटी और आरएमए के साथ स्वचालित रूप से अधिकांश मुद्दों को हटा देता है। केवल एफपीजीए ट्रैफिक कैप्चर कार्ड फ्लोमोन की एक सहायक कंपनी द्वारा विकसित किए गए हैं, जो 100 जीबीपीएस तक की गति की निगरानी की अनुमति देते हैं, उनका एकमात्र हार्डवेयर घटक है।

लेकिन क्या होगा यदि मौजूदा नेटवर्क उपकरणों पर उच्च-गुणवत्ता वाले प्रवाह को उत्पन्न करने का कोई तरीका नहीं है? या उपकरण लोड बहुत अधिक है? कोई समस्या नहीं:


प्रवाह की संभावना

इस मामले में, फ्लोअमोन नेटवर्क अपने स्वयं के जांच (फ्लोअमोन जांच) का उपयोग करने का सुझाव देता है, जो स्विच के स्पैन पोर्ट के माध्यम से या निष्क्रिय टीएपी स्प्लिटर्स का उपयोग करके नेटवर्क से जुड़े होते हैं।


स्पैन (मिरर पोर्ट) और टीएपी कार्यान्वयन विकल्प

इस मामले में, Flowmon Probe पर आने वाला कच्चा ट्रैफ़िक उन्नत IPFIX में बदल जाता है, जिसमें 240 से अधिक मीट्रिक जानकारी के साथ होते हैं । जबकि नेटवर्क उपकरण द्वारा उत्पन्न मानक नेटफ्लो प्रोटोकॉल में 80 से अधिक मीट्रिक नहीं हैं। यह न केवल 3 और 4 के स्तर पर प्रोटोकॉल की दृश्यता की अनुमति देता है, बल्कि आईएसओ ओएसआई मॉडल के अनुसार स्तर 7 पर भी है। नतीजतन, नेटवर्क प्रशासक ई-मेल, एचटीटीपी, डीएनएस, एसएमबी के रूप में इस तरह के अनुप्रयोगों और प्रोटोकॉल के कामकाज की निगरानी कर सकते हैं ...

वैचारिक रूप से, सिस्टम की तार्किक वास्तुकला इस प्रकार है:



संपूर्ण फ्लोअमोन नेटवर्क "पारिस्थितिकी तंत्र" का मध्य भाग कलेक्टर है, जो मौजूदा नेटवर्क उपकरण या इसकी जांच (जांच) से यातायात प्राप्त करता है। लेकिन एंटरप्राइज़ के लिए, नेटवर्क ट्रैफ़िक की निगरानी के लिए विशेष रूप से समाधान प्रदान करना बहुत सरल होगा। ओपन सोर्स सॉल्यूशंस ऐसा कर सकते हैं, भले ही इस तरह के प्रदर्शन से नहीं। फ़्लोअमोन का मूल्य अतिरिक्त मॉड्यूल हैं जो बुनियादी कार्यक्षमता का विस्तार करते हैं:

• विसंगति का पता लगाने के सुरक्षा मॉड्यूल - असामान्य नेटवर्क गतिविधि का पता लगाना, जिसमें शून्य-दिन के हमले शामिल हैं, अनुमानी यातायात विश्लेषण और एक विशिष्ट नेटवर्क प्रोफाइल पर आधारित है;
• अनुप्रयोग प्रदर्शन निगरानी मॉड्यूल - "एजेंटों" को स्थापित करने और लक्ष्य प्रणालियों को प्रभावित किए बिना नेटवर्क अनुप्रयोगों के प्रदर्शन की निगरानी करना;
• ट्रैफ़िक रिकॉर्डर मॉड्यूल - पूर्वनिर्धारित नियमों के एक सेट द्वारा नेटवर्क ट्रैफ़िक की रिकॉर्डिंग या ADS मॉड्यूल से ट्रिगर करके, आगे की समस्या निवारण और / या सूचना सुरक्षा घटनाओं की जांच के लिए;
• DDoS सुरक्षा मॉड्यूल - अनुप्रयोगों पर हमले (OSI L3 / L4 / L7) सहित वॉल्यूमेट्रिक DoS / DDoS सेवा हमलों से नेटवर्क परिधि की सुरक्षा।

इस लेख में, हम देखेंगे कि 2 मॉड्यूल के उदाहरण का उपयोग करके सब कुछ कैसे काम करता है - नेटवर्क प्रदर्शन निगरानी और निदान और विसंगति डिटेक्शन सुरक्षा ।
स्रोत डेटा:

• VMware 6.0 के साथ लेनोवो RS 140 सर्वर;
• फ्लोमोन कलेक्टर वर्चुअल मशीन की छवि, जिसे यहां डाउनलोड किया जा सकता है ;
• प्रवाह प्रोटोकॉल का समर्थन करने वाले स्विच की एक जोड़ी।

चरण 1. फ्लोइमोन कलेक्टर को स्थापित करना

VMware पर एक वर्चुअल मशीन तैनात करना OVF टेम्पलेट से पूरी तरह से मानक तरीके से आता है। नतीजतन, हमें एक वर्चुअल मशीन चल रही है जो CentOS और रेडी-टू-यूज़ सॉफ्टवेयर के साथ है। संसाधन आवश्यकताएँ - मानवीय:



यह केवल sysconfig कमांड के साथ मूल आरंभ करने के लिए बना हुआ है:



हम प्रबंधन पोर्ट, DNS, समय, होस्टनाम पर आईपी को कॉन्फ़िगर करते हैं और वेब इंटरफेस से जुड़ सकते हैं।

चरण 2. लाइसेंस स्थापित करना

वर्चुअल मशीन की छवि के साथ डेढ़ महीने के लिए एक परीक्षण लाइसेंस जेनरेट और डाउनलोड किया जाता है। कॉन्फ़िगरेशन केंद्र के माध्यम से लोड -> लाइसेंस । परिणामस्वरूप, हम देखते हैं:



सब कुछ तैयार है। आपको काम मिल सकता है।

चरण 3. कलेक्टर पर रिसीवर को कॉन्फ़िगर करना

इस स्तर पर, आपको यह तय करने की आवश्यकता है कि स्रोतों से डेटा सिस्टम में कैसे प्रवेश करेगा। जैसा कि हमने पहले कहा था, यह स्विच पर प्रवाह प्रोटोकॉल या स्पैन पोर्ट में से एक हो सकता है।



हमारे उदाहरण में, हम नेटफ्लो v9 और IPFIX प्रोटोकॉल का उपयोग करके डेटा रिसेप्शन का उपयोग करेंगे। इस मामले में, एक लक्ष्य के रूप में हम प्रबंधन इंटरफ़ेस के आईपी पते को निर्दिष्ट करते हैं - 192.168.78.198 । Eth2 और eth3 इंटरफेस (मॉनिटरिंग इंटरफ़ेस प्रकार के साथ) स्विच के स्पैन पोर्ट से कच्चे ट्रैफ़िक की एक प्रति प्राप्त करने के लिए उपयोग किया जाता है। हम उन्हें छोड़ देते हैं, हमारा मामला नहीं।
इसके बाद, कलेक्टर पोर्ट की जाँच करें जहाँ ट्रैफ़िक प्रवाहित होना चाहिए।



हमारे मामले में, कलेक्टर को UDP / 2055 पोर्ट पर यातायात की उम्मीद है।

चरण 4. प्रवाह निर्यात के लिए नेटवर्क उपकरण कॉन्फ़िगर करना

सिस्को सिस्टम्स उपकरणों पर नेटफ्लो स्थापित करना संभवतः किसी भी नेटवर्क व्यवस्थापक के लिए पूरी तरह से सामान्य बात कही जा सकती है। हमारे उदाहरण के लिए, हम कुछ और असामान्य कदम उठाएंगे। उदाहरण के लिए, मिक्रोटिक RB2011UiAS-2HnD राउटर। हां, अजीब तरह से पर्याप्त है, छोटे और घर के कार्यालयों के लिए इस तरह का एक बजट समाधान भी नेटफ्लो v5 / v9 और IPFIX प्रोटोकॉल का समर्थन करता है। सेटिंग्स में, हम लक्ष्य निर्धारित करते हैं (कलेक्टर पता 192.168.78.198 और पोर्ट 2055):



और निर्यात के लिए उपलब्ध सभी मीट्रिक जोड़ें:



यह कहा जा सकता है कि मूल सेटअप पूरा हो गया है। जांचें कि क्या ट्रैफिक सिस्टम में प्रवेश कर रहा है।

चरण 5. नेटवर्क प्रदर्शन निगरानी और निदान मॉड्यूल का परीक्षण और संचालन करें

आप फ़्लोअमोन मॉनिटरिंग सेंटर -> स्रोत अनुभाग में स्रोत से ट्रैफ़िक की जांच कर सकते हैं:



हम देखते हैं कि डेटा सिस्टम में प्रवेश करता है। कलेक्टर द्वारा ट्रैफ़िक जमा करने के कुछ समय बाद, विजेट जानकारी प्रदर्शित करना शुरू कर देंगे:



सिस्टम ड्रिल डाउन के सिद्धांत पर बनाया गया है। वह है, उपयोगकर्ता, चार्ट या ग्राफ पर उसके लिए ब्याज के टुकड़े को चुनते हुए, "डेटा की गहराई के स्तर" के माध्यम से "गिरता है":



प्रत्येक नेटवर्क कनेक्शन और कनेक्शन के बारे में जानकारी तक:

चरण 6. एनोमली डिटेक्शन सिक्योरिटी मॉड्यूल

नेटवर्क ट्रैफ़िक और दुर्भावनापूर्ण नेटवर्क गतिविधि में विसंगतियों का पता लगाने के लिए हस्ताक्षर रहित तरीकों के उपयोग के लिए इस मॉड्यूल को शायद सबसे दिलचस्प में से एक कहा जा सकता है। लेकिन यह आईडीएस / आईपीएस सिस्टम का एनालॉग नहीं है। मॉड्यूल के साथ काम अपने "प्रशिक्षण" से शुरू होता है। ऐसा करने के लिए, एक विशेष विज़ार्ड नेटवर्क के सभी प्रमुख घटकों और सेवाओं को इंगित करता है, जिसमें शामिल हैं:

• गेटवे, डीएनएस, डीएचसीपी और एनटीपी सर्वर पते
• उपयोगकर्ता और सर्वर खंडों में संबोधित करना।

उसके बाद, सिस्टम एक प्रशिक्षण मोड में जाता है, जो औसतन 2 सप्ताह से 1 महीने तक रहता है। इस समय के दौरान, सिस्टम हमारे नेटवर्क के लिए विशिष्ट आधारभूत यातायात उत्पन्न करता है। सीधे शब्दों में कहें, सिस्टम अध्ययन:

• मेजबानों के लिए क्या व्यवहार विशिष्ट है?
• आमतौर पर किस मात्रा में डेटा संचारित होता है और नेटवर्क के लिए सामान्य है?
• विशिष्ट उपयोगकर्ता समय क्या है?
• ऑनलाइन क्या हैं आवेदन?
• और बहुत कुछ ..

नतीजतन, हमें एक उपकरण मिलता है जो हमारे नेटवर्क में किसी भी विसंगतियों की पहचान करता है और विशेषता व्यवहार से विचलन करता है। यहां कुछ ऐसे उदाहरण दिए गए हैं जिनका सिस्टम पता लगा सकता है:

• उस नेटवर्क पर नए मैलवेयर का वितरण जो एंटीवायरस हस्ताक्षर द्वारा पता नहीं लगाया गया है;
• DNS, ICMP या अन्य सुरंगों का निर्माण और फ़ायरवॉल को दरकिनार कर डेटा संचारित करना;
• डीएचसीपी और / या डीएनएस सर्वर के रूप में प्रस्तुत एक नए कंप्यूटर के नेटवर्क पर उपस्थिति।

आइए देखें कि यह कैसा दिखता है। आपके सिस्टम को प्रशिक्षित और आधारभूत नेटवर्क ट्रैफ़िक का निर्माण करने के बाद, यह घटनाओं का पता लगाने के लिए शुरू होता है:



मॉड्यूल का मुख्य पृष्ठ पहचान की गई घटनाओं के प्रदर्शन के साथ एक समयरेखा है। हमारे उदाहरण में, हम एक स्पष्ट उछाल देखते हैं, लगभग 9 और 16 घंटे के बीच। हम इसे चुनते हैं और अधिक विस्तार से देखते हैं।

नेटवर्क पर एक हमलावर के असामान्य व्यवहार का स्पष्ट पता लगाया जाता है। यह सब इस तथ्य से शुरू होता है कि पता 192.168.3.225 के साथ मेजबान ने पोर्ट 3389 (माइक्रोसॉफ्ट आरडीपी सेवा) पर एक क्षैतिज नेटवर्क स्कैन शुरू किया और 14 संभावित "पीड़ितों" को खोजा:



और



निम्न दर्ज की गई घटना - मेजबान 192.168.3.225 पहले पहचाने गए पते पर RDP सेवा (पोर्ट 3389) के लिए पासवर्ड एन्यूमरेट करने के लिए एक क्रूर बल हमला शुरू करता है:



हैक किए गए मेजबानों में से एक पर हमले के परिणामस्वरूप, एक एसएमटीपी विसंगति दर्ज की गई है। दूसरे शब्दों में, स्पैम शुरू हुआ:



यह उदाहरण सिस्टम की क्षमताओं और विशेष रूप से एनोमली डिटेक्शन सुरक्षा मॉड्यूल का एक स्पष्ट प्रदर्शन है। प्रभावशीलता को स्वयं आंकें। यह समाधान की कार्यात्मक समीक्षा को समाप्त करता है।

निष्कर्ष

हम संक्षेप में बताते हैं कि फ़्लोमोन के बारे में हम किस निष्कर्ष पर जा सकते हैं:

• फ्लोअमोन - कॉर्पोरेट ग्राहकों के लिए प्रीमियम स्तर का समाधान;
• इसकी बहुमुखी प्रतिभा और अनुकूलता के कारण, डेटा संग्रह किसी भी स्रोत से उपलब्ध है: नेटवर्क उपकरण (सिस्को, जुनिपर, एचपीई, हुआवेई ...) या मालिकाना जांच (फ्लोअम जांच);
• समाधान की मापनीयता आपको नए मॉड्यूल जोड़कर सिस्टम की कार्यक्षमता बढ़ाने के लिए, साथ ही साथ लाइसेंसिंग के लिए एक लचीली दृष्टिकोण के माध्यम से उत्पादकता में वृद्धि करने की अनुमति देती है;
• हस्ताक्षर रहित विश्लेषण की प्रौद्योगिकियों के उपयोग के कारण, सिस्टम एंटीवायरस और आईडीएस / आईपीएस सिस्टम को ज्ञात नहीं होने वाले शून्य-दिवसीय हमलों का भी पता लगाने की अनुमति देता है;
• स्थापना के संदर्भ में पूर्ण "पारदर्शिता" और नेटवर्क पर सिस्टम की उपस्थिति के कारण - समाधान आपके आईटी इन्फ्रास्ट्रक्चर के अन्य नोड्स और घटकों के संचालन को प्रभावित नहीं करता है;
• फ्लोअमोन - बाजार पर एकमात्र समाधान जो 100 जीबी / एस तक की गति पर यातायात निगरानी का समर्थन करता है;
• फ्लोअमोन - किसी भी पैमाने के नेटवर्क के लिए एक समाधान;
• समान समाधानों के बीच सर्वोत्तम मूल्य / कार्यक्षमता अनुपात।

इस समीक्षा में, हमने कुल समाधान कार्यक्षमता के 10% से कम की जांच की। अगले लेख में, हम फ़्लोअमोन नेटवर्क के बाकी हिस्सों के बारे में बात करेंगे। एक उदाहरण के रूप में अनुप्रयोग प्रदर्शन निगरानी मॉड्यूल का उपयोग करना, हम दिखाएंगे कि व्यावसायिक अनुप्रयोग प्रशासक किसी दिए गए SLA स्तर पर उपलब्धता कैसे सुनिश्चित कर सकते हैं और समस्याओं का जल्द से जल्द निदान कर सकते हैं।

हम आपको हमारे वेबिनार (09/10/2019) में भी आमंत्रित करना चाहते हैं, जो कि फ्लोमोन नेटवर्क्स विक्रेता के समाधान के लिए समर्पित है। पूर्व पंजीकरण के लिए, कृपया यहां पंजीकरण करें ।
यह सब अब के लिए है, आपकी रुचि के लिए धन्यवाद!