Recentemente, na Internet, você pode encontrar um grande número de materiais sobre o tópico
de análise de tráfego no perímetro da rede . Ao mesmo tempo, por algum motivo, todos esqueceram completamente a
análise do tráfego local , o que não é menos importante. Este artigo foi visitado apenas neste tópico. Usando a
Flowmon Networks como exemplo, recordaremos o bom e velho Netflow (e suas alternativas), consideraremos casos interessantes, possíveis anomalias na rede e descobriremos as vantagens da solução quando
toda a rede funcionar como um único sensor . E o mais importante - uma análise semelhante do tráfego local pode ser feita de forma totalmente gratuita, sob uma licença de teste (
45 dias ). Se você está interessado no tópico, seja bem-vindo ao gato. Se você lê preguiça, então, olhando para o futuro, pode se registrar no
próximo seminário on-line , onde mostraremos e contaremos tudo (no mesmo local, você pode aprender sobre o próximo treinamento do produto).
O que são as redes Flowmon?
Antes de tudo, a Flowmon é um fornecedor europeu de TI. A empresa tcheca, com sede em Brno (a questão das sanções nem sequer é levantada). Em sua forma atual, a empresa está representada no mercado desde 2007. Antes disso, era conhecido sob a marca Invea-Tech. Assim, no total, quase 20 anos foram gastos no desenvolvimento de produtos e soluções.
A Flowmon está posicionada como uma marca de classe A. Desenvolve soluções premium para clientes corporativos e é marcada nas praças do Gartner na direção do Network Performance Monitoring and Diagnostics (NPMD). E, curiosamente, de todas as empresas do relatório, a Flowmon é o único fornecedor apontado pelo Gartner como fabricante de soluções para monitoramento de rede e proteção de informações (Network Behavior Analysis). Ainda não ocupa o primeiro lugar, mas, devido a isso, não se destaca como uma asa de um Boeing.
Quais tarefas o produto resolve?
Globalmente, podemos distinguir o seguinte conjunto de tarefas resolvidas pelos produtos da empresa:
- melhorar a estabilidade da rede, bem como os recursos da rede, minimizando o tempo de inatividade e a inacessibilidade;
- Melhorando o desempenho geral da rede
- melhorar a eficiência da equipe administrativa, devido a:
- uso de ferramentas modernas e inovadoras de monitoramento de rede com base em informações sobre fluxos de IP;
- fornecer análises detalhadas sobre o funcionamento e as condições da rede - usuários e aplicativos em execução na rede, dados transmitidos, recursos, serviços e nós em interação;
- resposta a incidentes antes que eles ocorram e não após a perda de serviço por usuários e clientes;
- reduzindo o tempo e os recursos necessários para administrar a rede e a infraestrutura de TI;
- simplifique as tarefas de solução de problemas.
- aumentar o nível de segurança dos recursos de rede e informações da empresa, por meio do uso de tecnologias sem assinatura para detectar atividades anormais e mal-intencionadas da rede, bem como "ataques de dia zero";
- fornecendo o nível necessário de aplicativos e bancos de dados de rede SLA.
Portfólio de produtos da Flowmon Networks
Agora, vamos dar uma olhada direta no portfólio de produtos Flowmon Networks e descobrir o que a empresa está fazendo especificamente. Como muitos já imaginaram pelo nome, a principal especialização está em soluções para monitoramento de fluxo de fluxo de tráfego, além de vários módulos adicionais que expandem a funcionalidade básica.
De fato, Flowmon pode ser chamado de empresa de um produto, ou melhor, de uma solução. Vamos descobrir se é bom ou ruim.
O núcleo do sistema é o coletor, responsável pela coleta de dados em vários protocolos de fluxo, como
NetFlow v5 / v9, jFlow, sFlow, NetStream, IPFIX ... É bastante lógico que, para uma empresa que não seja afiliada a nenhum dos fabricantes de equipamentos de rede, seja importante oferecer ao mercado um produto universal, não está vinculado a nenhum padrão ou protocolo.
Coletor FlowmonO coletor está disponível como servidor de hardware e como máquina virtual (VMware, Hyper-V, KVM). A propósito, a plataforma de hardware é implementada em servidores DELL personalizados, que automaticamente eliminam a maioria dos problemas com garantia e RMA. Somente as placas de captura de tráfego FPGA desenvolvidas por uma subsidiária da Flowmon, que permitem o monitoramento em velocidades de até 100 Gbps, são seu único componente de hardware.
Mas e se não houver maneira de gerar fluxo de alta qualidade nos equipamentos de rede existentes? Ou a carga do equipamento é muito alta? Não é um problema:
Prob FlowmonNesse caso, a Flowmon Networks sugere usar suas próprias sondas (Flowmon Probe), que são conectadas à rede através da porta SPAN do switch ou usando divisores TAP passivos.
Opções de implementação de SPAN (porta de espelho) e TAPNesse caso, o tráfego bruto que chega ao Flowmon Probe é convertido em IPFIX avançado, que contém mais de
240 métricas com informações . Enquanto o protocolo NetFlow padrão gerado pelos equipamentos de rede contém no máximo 80 métricas. Isso permite a visibilidade dos protocolos não apenas nos níveis 3 e 4, mas também no nível 7, de acordo com o modelo ISO OSI. Como resultado, os administradores de rede podem monitorar o funcionamento de aplicativos e protocolos como e-mail, HTTP, DNS, SMB ...
Conceitualmente, a arquitetura lógica do sistema é a seguinte:
A parte central de todo o "ecossistema" da Flowmon Networks é o coletor, que recebe tráfego de equipamentos de rede existentes ou de suas próprias sondas (Sonda). Mas para a empresa, fornecer soluções exclusivamente para monitorar o tráfego da rede seria muito simples. As soluções de código aberto podem fazer isso, embora não com esse desempenho. O valor do Flowmon são módulos adicionais que expandem a funcionalidade básica:
- Módulo de segurança de detecção de anomalias - detecção de atividade de rede anormal, incluindo ataques de dia zero, com base em análise de tráfego heurístico e um perfil de rede típico;
- Módulo de monitoramento de desempenho de aplicativos - monitorando o desempenho de aplicativos de rede sem instalar "agentes" e afetar os sistemas de destino;
- Módulo Gravador de Tráfego - registrando fragmentos do tráfego de rede por um conjunto de regras predefinidas ou por um acionador do módulo ADS, para solução de problemas e / ou investigação de incidentes de segurança da informação;
- Módulo de proteção DDoS - proteção do perímetro da rede contra ataques volumétricos de negação de serviço DoS / DDoS, incluindo ataques a aplicativos (OSI L3 / L4 / L7).
Neste artigo, veremos como tudo funciona ao vivo usando o exemplo de 2 módulos -
Monitoramento e desempenho de desempenho de rede e
Segurança de detecção de anomalias .
Dados de origem:
- Servidor Lenovo RS 140 com VMware 6.0;
- imagem da máquina virtual do Flowmon Collector, que pode ser baixada aqui ;
- Um par de switches que suportam protocolos de fluxo.
Etapa 1. Instalando o Flowmon Collector
A implantação de uma máquina virtual no VMware é totalmente padronizada no modelo OVF. Como resultado, obtemos uma máquina virtual executando o CentOS e com software pronto para uso. Requisitos de recursos - Humano:
Resta apenas executar a inicialização básica com o comando
sysconfig :
Nós configuramos o IP na porta de gerenciamento, DNS, hora, Nome do host e podemos conectar à interface WEB.
Etapa 2. Instalando a Licença
Uma licença de avaliação por um mês e meio é gerada e baixada junto com a imagem da máquina virtual. Carregado através do
Centro de Configuração -> Licença . Como resultado, vemos:
Está tudo pronto. Você pode começar a trabalhar.
Etapa 3. Configurando o Receptor no Coletor
Nesta fase, você precisa decidir como os dados das fontes entrarão no sistema. Como dissemos antes, esse pode ser um dos protocolos de fluxo ou a porta SPAN no comutador.
Em nosso exemplo, usaremos a recepção de dados usando os protocolos
NetFlow v9 e IPFIX . Nesse caso, como destino, especificamos o endereço IP da interface de gerenciamento -
192.168.78.198 . As interfaces eth2 e eth3 (com o tipo de interface Monitoring) são usadas para receber uma cópia do tráfego bruto da porta SPAN do switch. Nós ignoramos eles, não o nosso caso.
Em seguida, verifique a porta do coletor para onde o tráfego deve fluir.
No nosso caso, o coletor espera tráfego na porta UDP / 2055.
Etapa 4. Configurando o Equipamento de Rede para Exportação de Fluxo
A configuração do NetFlow em equipamentos da Cisco Systems provavelmente pode ser chamada de algo completamente normal para qualquer administrador de rede. Para o nosso exemplo, tomaremos algo mais incomum. Por exemplo, o roteador MikroTik RB2011UiAS-2HnD. Sim, por incrível que pareça, essa solução de orçamento para escritórios pequenos e domésticos também suporta os protocolos NetFlow v5 / v9 e IPFIX. Nas configurações, definimos o destino (endereço do coletor 192.168.78.198 e porta 2055):
E adicione todas as métricas disponíveis para exportação:
Pode-se dizer que a configuração básica está concluída. Verifique se o tráfego está entrando no sistema.
Etapa 5. Teste e opere o módulo Monitoramento de Desempenho de Rede e Diagnóstico
Você pode verificar o tráfego da fonte na seção
Flowmon Monitoring Center -> Fontes :
Vemos que os dados entram no sistema. Algum tempo após o coletor acumular tráfego, os widgets começarão a exibir informações:
O sistema é construído com base no princípio de detalhamento. Ou seja, o usuário, escolhendo o fragmento de interesse para ele no gráfico ou gráfico, "cai" no nível de profundidade de dados que ele precisa:
Até as informações sobre cada conexão e conexão de rede:
Etapa 6. Módulo de segurança de detecção de anomalias
Este módulo pode ser chamado de talvez um dos mais interessantes, graças ao uso de métodos sem assinatura para detectar anomalias no tráfego da rede e atividades maliciosas da rede. Mas isso não é um análogo dos sistemas IDS / IPS. O trabalho com o módulo começa com o seu "treinamento". Para fazer isso, um assistente especial indica todos os principais componentes e serviços da rede, incluindo:
- Endereços de servidor Gateway, DNS, DHCP e NTP
- Endereçamento nos segmentos de usuário e servidor.
Depois disso, o sistema entra em modo de treinamento, que dura em média de 2 semanas a 1 mês. Durante esse período, o sistema gera tráfego de linha de base específico para nossa rede. Simplificando, o sistema estuda:
- Qual comportamento é típico para hosts?
- Que quantidade de dados geralmente é transmitida e é normal para a rede?
- Qual é o horário típico do usuário?
- Quais aplicativos estão online?
- e muito mais ..
Como resultado, obtemos uma ferramenta que identifica qualquer anomalia em nossa rede e desvios do comportamento característico. Aqui estão alguns exemplos que o sistema pode detectar:
- distribuição de novos malwares na rede que não são detectados por assinaturas de antivírus;
- construir DNS, ICMP ou outros túneis e transmitir dados ignorando o firewall;
- a aparência na rede de um novo computador que se apresenta como um servidor DHCP e / ou DNS.
Vamos ver como fica ao vivo. Após o seu sistema ter sido treinado e construído o tráfego de rede da linha de base, ele começa a detectar incidentes:
A página principal do módulo é uma linha do tempo com uma exibição de incidentes identificados. No nosso exemplo, vemos um aumento claro, aproximadamente entre 9 e 16 horas. Nós o selecionamos e olhamos com mais detalhes.
O comportamento anormal de um invasor na rede é claramente rastreado. Tudo começa com o fato de que o host com o endereço 192.168.3.225 iniciou uma varredura de rede horizontal na porta 3389 (serviço Microsoft RDP) e encontrou 14 possíveis "vítimas":
e
O seguinte incidente registrado - o host 192.168.3.225 inicia um ataque de força bruta para enumerar senhas do serviço RDP (porta 3389) nos endereços identificados anteriormente:
Como resultado de um ataque a um dos hosts invadidos, uma anomalia de SMTP é registrada. Em outras palavras, o spam começou:
Este exemplo é uma demonstração clara dos recursos do sistema e do módulo Anomaly Detection Security, em particular. Julgue a eficácia você mesmo. Isso conclui a revisão funcional da solução.
Conclusão
Resumimos quais conclusões podemos tirar sobre o Flowmon na linha inferior:
- Flowmon - solução de nível premium para clientes corporativos;
- devido à sua versatilidade e compatibilidade, a coleta de dados está disponível em qualquer fonte: equipamento de rede (Cisco, Juniper, HPE, Huawei ...) ou sondas proprietárias (Flowmon Probe);
- a escalabilidade da solução permite aumentar a funcionalidade do sistema adicionando novos módulos, bem como aumentar a produtividade por meio de uma abordagem flexível ao licenciamento;
- devido ao uso de tecnologias de análise sem assinatura, o sistema permite detectar até ataques de dia zero, não conhecidos por antivírus e sistemas IDS / IPS;
- devido à completa "transparência" em termos de instalação e presença do sistema na rede - a solução não afeta a operação de outros nós e componentes da sua infraestrutura de TI;
- Flowmon - a única solução no mercado que suporta monitoramento de tráfego em velocidades de até 100 Gb / s;
- Flowmon - uma solução para redes de qualquer escala;
- a melhor relação preço / funcionalidade entre soluções semelhantes.
Nesta revisão, examinamos menos de 10% da funcionalidade total da solução. No próximo artigo, falaremos sobre o restante dos módulos da Flowmon Networks. Usando o módulo Application Performance Monitoring como exemplo, mostraremos como os administradores de aplicativos de negócios podem garantir a disponibilidade em um determinado nível de SLA e diagnosticar problemas o mais rápido possível.
Também queremos convidá-lo para o nosso webinar (10/09/2019), dedicado às soluções do fornecedor da Flowmon Networks. Para pré-inscrição,
registre-se aqui .
Por enquanto é isso, obrigado pelo seu interesse!