Pemantauan jaringan dan deteksi aktivitas jaringan abnormal menggunakan solusi Flowmon Networks

Baru-baru ini, di Internet Anda dapat menemukan sejumlah besar materi tentang topik analisis lalu lintas pada perimeter jaringan . Pada saat yang sama, untuk beberapa alasan, semua orang benar-benar lupa tentang analisis lalu lintas lokal , yang tidak kalah pentingnya. Artikel ini baru saja mengunjungi topik ini. Menggunakan Flowmon Networks sebagai contoh, kita akan mengingat Netflow lama yang baik (dan alternatifnya), mempertimbangkan kasus-kasus menarik, kemungkinan anomali dalam jaringan dan mencari tahu keuntungan dari solusi ketika seluruh jaringan bekerja sebagai sensor tunggal . Dan yang paling penting - analisis serupa dari lalu lintas lokal dapat dilakukan sepenuhnya gratis, di bawah lisensi percobaan ( 45 hari ). Jika Anda tertarik dengan topik ini, selamat datang di kucing. Jika Anda membaca kemalasan, maka, melihat ke depan, Anda dapat mendaftar untuk webinar yang akan datang , di mana kami akan menunjukkan dan memberi tahu Anda segalanya (di sana Anda juga dapat mempelajari tentang pelatihan produk yang akan datang).

Apa itu Flowmon Networks?

Pertama-tama, Flowmon adalah vendor TI Eropa. Perusahaan Ceko, yang berkantor pusat di Brno (masalah sanksi bahkan tidak diangkat). Dalam bentuk saat ini, perusahaan telah terwakili di pasar sejak 2007. Sebelumnya, itu dikenal dengan merek Invea-Tech. Jadi totalnya hampir 20 tahun telah dihabiskan untuk mengembangkan produk dan solusi.

Flowmon diposisikan sebagai merek kelas A. Mengembangkan solusi premium untuk pelanggan korporat dan ditandai di kotak Gartner ke arah Network Performance Monitoring and Diagnostics (NPMD). Dan, yang menarik, dari semua perusahaan dalam laporan ini, Flowmon adalah satu-satunya vendor yang dicatat oleh Gartner sebagai produsen solusi untuk pemantauan jaringan dan perlindungan informasi (Network Behavior Analysis). Itu belum mengambil tempat pertama, tetapi karena ini, itu tidak berdiri seperti sayap dari Boeing.

Tugas apa yang dipecahkan produk?

Secara global, kita dapat membedakan kumpulan tugas berikut yang diselesaikan oleh produk perusahaan:

1. meningkatkan stabilitas jaringan, serta sumber daya jaringan dengan meminimalkan waktu henti dan tidak dapat diaksesnya mereka;
2. Meningkatkan kinerja jaringan secara keseluruhan
3. meningkatkan efisiensi staf administrasi, karena:
   
   • penggunaan alat pemantauan jaringan inovatif modern berdasarkan informasi tentang aliran IP;
   • memberikan analisis terperinci tentang fungsi dan kondisi jaringan - pengguna dan aplikasi yang berjalan di jaringan, mentransmisikan data, berinteraksi sumber daya, layanan dan node;
   • respons terhadap insiden sebelum terjadi, dan bukan setelah hilangnya layanan oleh pengguna dan pelanggan;
   • mengurangi waktu dan sumber daya yang diperlukan untuk mengelola jaringan dan infrastruktur TI;
   • menyederhanakan tugas pemecahan masalah.
4. meningkatkan tingkat keamanan jaringan dan sumber daya informasi perusahaan, melalui penggunaan teknologi non-tanda tangan untuk mendeteksi aktivitas jaringan yang tidak normal dan berbahaya, serta "serangan zero-day";
5. menyediakan level yang diperlukan dari aplikasi dan basis data jaringan SLA.

Portofolio Produk Flowmon Networks

Sekarang mari kita lihat langsung portofolio produk Flowmon Networks dan cari tahu apa yang secara spesifik dilakukan perusahaan. Seperti yang sudah banyak ditebak dari namanya, spesialisasi utama adalah dalam solusi untuk streaming aliran pemantauan lalu lintas, ditambah sejumlah modul tambahan yang memperluas fungsionalitas dasar.

Bahkan, Flowmon dapat disebut perusahaan dari satu produk, atau lebih tepatnya - satu solusi. Mari kita cari tahu apakah itu baik atau buruk.

Inti dari sistem ini adalah kolektor, yang bertanggung jawab untuk mengumpulkan data tentang berbagai protokol aliran, seperti NetFlow v5 / v9, jFlow, sFlow, NetStream, IPFIX ... Sangat logis bahwa bagi perusahaan yang tidak berafiliasi dengan salah satu produsen peralatan jaringan, penting untuk menawarkan pasar produk universal, tidak terikat pada satu standar atau protokol.


Kolektor Flowmon

Kolektor tersedia baik sebagai server perangkat keras dan sebagai mesin virtual (VMware, Hyper-V, KVM). Omong-omong, platform perangkat keras diimplementasikan pada server DELL yang disesuaikan, yang secara otomatis menghapus sebagian besar masalah dengan garansi dan RMA. Hanya kartu trafik FPGA yang dikembangkan oleh anak perusahaan Flowmon, yang memungkinkan pemantauan pada kecepatan hingga 100 Gbps, adalah satu-satunya komponen perangkat keras mereka.

Tetapi bagaimana jika tidak ada cara untuk menghasilkan aliran berkualitas tinggi pada peralatan jaringan yang ada? Atau apakah beban peralatan terlalu tinggi? Tidak masalah:


Prob Flowmon

Dalam hal ini, Flowmon Networks menyarankan untuk menggunakan probe sendiri (Flowmon Probe), yang terhubung ke jaringan melalui port SPAN dari sakelar atau menggunakan splitter TAP pasif.


SPAN (mirror port) dan opsi implementasi TAP

Dalam hal ini, lalu lintas mentah yang datang ke Flowmon Probe dikonversi ke Advanced IPFIX, yang berisi lebih dari 240 metrik berisi informasi . Sementara protokol NetFlow standar yang dihasilkan oleh peralatan jaringan tidak mengandung lebih dari 80 metrik. Ini memungkinkan visibilitas protokol tidak hanya pada level 3 dan 4, tetapi juga pada level 7 sesuai dengan model ISO OSI. Akibatnya, administrator jaringan dapat memantau fungsi aplikasi dan protokol seperti e-mail, HTTP, DNS, SMB ...

Secara konseptual, arsitektur logis dari sistem adalah sebagai berikut:



Bagian utama dari seluruh "ekosistem" Jaringan Flowmon adalah Kolektor, yang menerima lalu lintas dari peralatan jaringan yang ada atau probe sendiri (Penyelidikan). Tetapi untuk Enterprise, memberikan solusi secara eksklusif untuk memonitor lalu lintas jaringan akan terlalu sederhana. Solusi Open Source dapat melakukan ini, walaupun tidak dengan kinerja seperti itu. Nilai Flowmon adalah modul tambahan yang memperluas fungsi dasar:

• Modul Keamanan Deteksi Anomali - deteksi aktivitas jaringan yang tidak normal, termasuk serangan zero-day, berdasarkan analisis lalu lintas heuristik dan profil jaringan yang khas;
• Modul Pemantauan Kinerja Aplikasi - memantau kinerja aplikasi jaringan tanpa memasang "agen" dan memengaruhi sistem target;
• Modul Traffic Recorder - merekam fragmen lalu lintas jaringan dengan seperangkat aturan yang telah ditentukan atau oleh pemicu dari modul ADS, untuk pemecahan masalah lebih lanjut dan / atau investigasi insiden keamanan informasi;
• Modul Perlindungan DDoS - perlindungan perimeter jaringan dari serangan DoS / DDoS volumetrik, termasuk serangan pada aplikasi (OSI L3 / L4 / L7).

Pada artikel ini, kita akan melihat bagaimana semuanya berjalan hidup menggunakan contoh 2 modul - Network Performance Monitoring and Diagnostics dan Anomaly Detection Security .
Sumber data:

• Server Lenovo RS 140 dengan VMware 6.0;
• gambar mesin virtual Flowmon Collector, yang dapat diunduh di sini ;
• Sepasang switch mendukung protokol aliran.

Langkah 1. Memasang Flowmon Collector

Menyebarkan mesin virtual pada VMware datang dengan cara yang sepenuhnya standar dari template OVF. Sebagai hasilnya, kami mendapatkan mesin virtual yang menjalankan CentOS dan dengan perangkat lunak yang siap digunakan. Persyaratan Sumber Daya - Manusiawi:



Tetap hanya melakukan inisialisasi dasar dengan perintah sysconfig :



Kami mengonfigurasi IP pada port manajemen, DNS, waktu, Hostname, dan dapat terhubung ke antarmuka WEB.

Langkah 2. Memasang lisensi

Lisensi uji coba selama satu setengah bulan dihasilkan dan diunduh bersama dengan gambar dari mesin virtual. Dimuat melalui Pusat Konfigurasi -> Lisensi . Sebagai hasilnya, kita melihat:



Semuanya sudah siap. Anda bisa mulai bekerja.

Langkah 3. Mengkonfigurasi penerima pada kolektor

Pada tahap ini, Anda perlu memutuskan bagaimana data dari sumber akan masuk ke sistem. Seperti yang kami katakan sebelumnya, ini bisa menjadi salah satu protokol aliran atau port SPAN di sakelar.



Dalam contoh kami, kami akan menggunakan penerimaan data menggunakan protokol NetFlow v9 dan IPFIX . Dalam hal ini, sebagai target kami menentukan alamat IP dari antarmuka Manajemen - 192.168.78.198 . Antarmuka eth2 dan eth3 (dengan tipe antarmuka Pemantauan) digunakan untuk menerima salinan lalu lintas mentah dari port SPAN pada sakelar. Kami melewatkan mereka, bukan kasus kami.
Selanjutnya, periksa port collector di mana lalu lintas harus mengalir.



Dalam kasus kami, kolektor mengharapkan lalu lintas di port UDP / 2055.

Langkah 4. Mengkonfigurasi peralatan jaringan untuk aliran ekspor

Menyiapkan NetFlow pada peralatan Sistem Cisco mungkin bisa disebut hal yang sepenuhnya normal bagi administrator jaringan mana pun. Sebagai contoh kita, kita akan mengambil sesuatu yang lebih tidak biasa. Misalnya, router MikroTik RB2011UiAS-2HnD. Ya, anehnya, solusi anggaran untuk kantor kecil dan rumah juga mendukung NetFlow v5 / v9 dan protokol IPFIX. Dalam pengaturan, kami menetapkan target (alamat pengumpul 192.168.78.198 dan port 2055):



Dan tambahkan semua metrik yang tersedia untuk ekspor:



Ini dapat dikatakan bahwa pengaturan dasar sudah selesai. Periksa apakah lalu lintas memasuki sistem.

Langkah 5. Tes dan operasikan modul Network Performance Monitoring and Diagnostics

Anda dapat memeriksa lalu lintas dari sumber di bagian Flowmon Monitoring Center -> Sumber :



Kami melihat bahwa data memasuki sistem. Beberapa waktu setelah pengumpul mengumpulkan lalu lintas, widget akan mulai menampilkan informasi:



Sistem ini dibangun berdasarkan prinsip drill down. Artinya, pengguna, memilih fragmen yang menarik baginya pada grafik atau grafik, "jatuh" ke tingkat kedalaman data yang ia butuhkan:



Hingga informasi tentang setiap koneksi jaringan dan koneksi:

Langkah 6. Modul Keamanan Deteksi Anomali

Modul ini dapat disebut mungkin salah satu yang paling menarik, berkat penggunaan metode tanpa tanda tangan untuk mendeteksi anomali dalam lalu lintas jaringan dan aktivitas jaringan jahat. Tapi ini bukan analog dari sistem IDS / IPS. Bekerja dengan modul dimulai dengan "pelatihan" -nya. Untuk melakukan ini, panduan khusus menunjukkan semua komponen dan layanan utama jaringan, termasuk:

• Alamat gateway, DNS, DHCP dan NTP server
• Mengatasi segmen pengguna dan server.

Setelah itu, sistem beralih ke mode pelatihan, yang rata-rata berlangsung dari 2 minggu hingga 1 bulan. Selama waktu ini, sistem menghasilkan lalu lintas baseline khusus untuk jaringan kami. Sederhananya, sistem mempelajari:

• Perilaku apa yang khas untuk host?
• Berapa jumlah data yang biasanya ditransmisikan dan normal untuk jaringan?
• Apa waktu khas pengguna?
• Aplikasi apa yang online?
• dan masih banyak lagi ..

Akibatnya, kami mendapatkan alat yang mengidentifikasi setiap anomali di jaringan kami dan penyimpangan dari perilaku karakteristik. Berikut adalah beberapa contoh yang dapat dideteksi sistem:

• distribusi malware baru di jaringan yang tidak terdeteksi oleh tanda tangan antivirus;
• membangun DNS, ICMP atau terowongan lain dan mentransmisikan data yang melewati firewall;
• penampilan pada jaringan komputer baru yang menyamar sebagai DHCP dan / atau server DNS.

Mari kita lihat tampilannya. Setelah sistem Anda dilatih dan membangun lalu lintas jaringan dasar, sistem itu mulai mendeteksi insiden:



Halaman utama modul adalah garis waktu dengan tampilan insiden yang teridentifikasi. Dalam contoh kita, kita melihat lonjakan yang jelas, sekitar antara 9 dan 16 jam. Kami memilihnya dan mencari lebih detail.

Perilaku abnormal penyerang di jaringan jelas ditelusuri. Semuanya dimulai dengan fakta bahwa tuan rumah dengan alamat 192.168.3.225 memulai pemindaian jaringan horizontal pada port 3389 (layanan Microsoft RDP) dan menemukan 14 "korban" potensial:



dan



Peristiwa terekam berikut ini - host 192.168.3.225 memulai serangan brute force untuk menyebutkan kata sandi untuk layanan RDP (port 3389) di alamat yang sebelumnya diidentifikasi:



Sebagai hasil dari serangan pada salah satu host yang diretas, anomali SMTP direkam. Dengan kata lain, spam dimulai:



Contoh ini adalah demonstrasi yang jelas dari kemampuan sistem dan modul Keamanan Deteksi Anomali, khususnya. Nilai sendiri keefektifannya. Ini menyimpulkan tinjauan fungsional dari solusi.

Kesimpulan

Kami merangkum kesimpulan apa yang bisa kami ambil tentang Flowmon di baris bawah:

• Flowmon - solusi tingkat premium untuk Pelanggan korporat;
• karena fleksibilitas dan kompatibilitasnya, pengumpulan data tersedia dari sumber apa pun: peralatan jaringan (Cisco, Juniper, HPE, Huawei ...) atau probe kepemilikan (Flowmon Probe);
• skalabilitas solusi memungkinkan Anda untuk meningkatkan fungsionalitas sistem dengan menambahkan modul baru, serta meningkatkan produktivitas melalui pendekatan yang fleksibel untuk perizinan;
• karena penggunaan teknologi analisis tanpa tanda tangan, sistem ini memungkinkan mendeteksi bahkan serangan zero-day yang tidak diketahui oleh antivirus dan sistem IDS / IPS;
• karena "transparansi" lengkap dalam hal pemasangan dan keberadaan sistem pada jaringan - solusinya tidak mempengaruhi pengoperasian node dan komponen lain dari infrastruktur TI Anda;
• Flowmon - satu-satunya solusi di pasar yang mendukung pemantauan lalu lintas dengan kecepatan hingga 100 Gb / s;
• Flowmon - solusi untuk jaringan skala apa pun;
• rasio harga / fungsionalitas terbaik di antara solusi serupa.

Dalam ulasan ini, kami memeriksa kurang dari 10% dari total fungsionalitas solusi. Pada artikel selanjutnya, kita akan berbicara tentang modul Flowmon Networks lainnya. Menggunakan modul Pemantauan Kinerja Aplikasi sebagai contoh, kami akan menunjukkan bagaimana administrator aplikasi bisnis dapat memastikan ketersediaan pada tingkat SLA tertentu dan mendiagnosis masalah secepat mungkin.

Kami juga ingin mengundang Anda ke webinar kami (09/10/2019), didedikasikan untuk solusi vendor Flowmon Networks. Untuk pra-pendaftaran, silakan daftar di sini .
Itu saja untuk saat ini, terima kasih atas minat Anda!