Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

setevoy monitoring i vyyavleniya anomal noy setevoy aktivnosti s pomosch yu resheniy flowmon networks blog kompanii ts solution habr 1 Мастерская

Вывод

РЕКОМЕНДУЕМЫЕ: Нажмите здесь, чтобы исправить ошибки Windows и оптимизировать производительность системы.

После обновления до Windows 7 или Vista вы можете пропустить классический индикатор сетевой активности, потому что стандарт, разработанный Microsoft для этой операционной системы, практически безжизнен и не проявляет активности. Если вы хотите восстановить классический «старый добрый» аниматор сетевой активности эпохи Windows XP, вы можете легко восстановить его с помощью небольшого приложения, такого как NetAnimate для Windows 7, Vista и 2008, и нескольких других инструментов.

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

Как восстановить классический индикатор активности сети:

Использование NetAnimate

NetAnimate — это очень маленькое приложение, которое отслеживает и отображает сетевой трафик вашего компьютера. Программа работает как значок панели задач и обеспечивает визуальную индикацию сетевого трафика выбранных сетевых адаптеров. Если навести курсор на значок в системном трее, отображается общее количество байтов, отправленных и полученных вашими сетевыми адаптерами.

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

Работа с сетью 220 В

Самый простой указатель напряжения электросети без источника питания делается из резистора, ограничителя тока (транзистора), выпрямителя (диода) и любого светодиода. Сопротивление резистора 100 – 150 кОм.

Характеристики диода:

  • ток 10-100 мА;
  • напряжение 1-1,1 В;
  • обратное напряжение 30-75 В.

Важно! Для изготовления такого индикатора плата не обязательна.

При 220 В частоте 3 Гц светодиод загорается. Корректировать частоту и повысить яркость можно изменением емкости конденсатора. Такой индикатор срабатывает при минимальном напряжении 4,5 В. Кроме тока сети он может определить исправность, включенное и выключенное состояние электроприбора.

Проверка постоянного напряжения

Для проверки сети на 12 вольт и целостности соединений можно сделать другой светодиодный индикатор (нужны 2 разноцветных светодиодных элемента). Для ограничения тока можно использовать резистор с сопротивлением 50-100 Ом или лампочку накаливания с небольшой мощностью. Один из светодиодов загорается при подключении напряжения соответствующей полярности.

В самодельный индикатор для сети 12 В можно добавить конденсатор, диод и 2 транзистора. Полевой транзистор стабилизирует ток. Конденсатор, защищающий диод от скачков напряжения, нужен с емкостью 0,1 мкФ, неполярный. Резистор с сопротивлением 1 Мом является нагрузкой биполярного транзистора. При проверке сети с постоянным напряжением диод проверяет полюса. Если ток переменный, этот элемент срезает минусовую половину. При подаче напряжения значение тока определяет биполярный транзистор и сопротивление резистора (500-600 Ом).

Такой прибор подходит для работы с переменной и постоянной сетью с напряжением 5-600 В.

Использование индикатора активности сети

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

Индикатор сетевой активности приведен после компьютерных примеров (у другого разработчика есть программа с таким же именем), и это простой, но очень эффективный инструмент для вставки анимированного индикатора сетевой активности в панель задач. Программа доступна как в портативной, так и в установочной версиях с версиями 32-bit и 64-bit.

Схемы индикатора напряжения своими руками

Основная функция индикатора напряжения в быту – определить целостность электросети. Для радиолюбителя важна возможность определить параметры и прозвонить даже неработающие электроприборы. Своими руками можно сделать только первый тип индикаторов. Опытный радиолюбитель может сделать индикатор, позволяющий прозванивать провода.

В быту часто используются самодельные пробники (контрольки), реже – мультиметры. Контролька – это лампочка накаливания в патроне, провода выполняют роль щупов. Она позволяет не только определить наличие/отсутствие тока, но и вольтаж по яркости свечения. Сделать что-то подобное со светодиодной лампой не получится.

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

Мультиметр позволяет определить все параметры сразу, так как выполняет функции вольтметра, амперметра и омметра. Им можно определить емкость конденсаторов, проверять транзисторы и диоды. Такой прибор сделать нельзя, его нужно купить.

Обновление за сентябрь 2020 г .:

Теперь мы рекомендуем использовать этот инструмент для вашей ошибки. Кроме того, этот инструмент исправляет распространенные компьютерные ошибки, защищает вас от потери файлов, вредоносных программ, сбоев оборудования и оптимизирует ваш компьютер для максимальной производительности. Вы можете быстро исправить проблемы с вашим ПК и предотвратить появление других программ с этим программным обеспечением:

  • Шаг 1: (Windows 10, 8, 7, XP, Vista — Microsoft Gold Certified).
  • Шаг 2: Нажмите «Начать сканирование”, Чтобы найти проблемы реестра Windows, которые могут вызывать проблемы с ПК.
  • Шаг 3: Нажмите «Починить все», Чтобы исправить все проблемы.

Значок индикатора по умолчанию — это стиль Windows XP, но его можно изменить на более новый стиль Vista, установив флажок в окне настроек. Вы также можете выбрать один индикатор для всех доступных интерфейсов или выбрать до трех сетевых адаптеров и отобразить отдельный индикатор для каждого. Подсказка отображает количество отправленных и полученных данных, а контекстное меню содержит полезные ярлыки, связанные с сетью, а также счетчик трафика интерфейса и окно статистики.

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

В последнее время в Интернете можно найти огромное кол-во материалов по теме анализа трафика на периметре сети

. При этом все почему-то совершенно забыли об

анализе локального трафика

, который является не менее важным. Данная статья как раз и посещена этой теме. На примере Flowmon Networks мы вспомним старый добрый Netflow (и его альтернативы), рассмотрим интересные кейсы, возможные аномалии в сети и узнаем преимущества решения, когда

вся сеть работает как единый сенсор

. И самое главное — провести подобный анализ локально трафика можно совершенно бесплатно, в рамках триальной лицензии (

45 дней

). Если тема вам интересна, добро пожаловать под кат. Если же читать лень, то, забегая вперед, можете зарегистрироваться на предстоящий вебинар, где мы все покажем и расскажем (там же можно будет узнать о предстоящем обучении продукту).

Что такое Flowmon Networks?

Прежде всего, Flowmon это европейский ИТ-вендор. Компания Чешская, со штаб-квартирой в городе Брно (вопрос санкций даже не поднимается). В своем текущем виде компания представлена на рынке с 2007 года. До этого была известна под брендом Invea-Tech. Так что суммарно на разработку продуктов и решений потрачено почти 20 лет.

Flowmon позиционируется как бренд А-класса. Разрабатывает премиальные решения для корпоративных заказчиков и отмечен в квадратах Gartner по направлению Network Performance Monitoring and Diagnostics (NPMD). Причем, что интересно, из всех компаний в отчете, Flowmon – единственный вендор, отмеченный Gartner как производитель решений и для сетевого мониторинга, и для защиты информации (Network Behavior Analysis). Первого места пока не занимает, но за счет этого и не стоит как крыло от Боинга.

Какие задачи позволяет решить продукт?

Глобально, можно выделить следующий пул задач, решаемых продуктами компании:

  1. повышение стабильность работы сети, а также сетевых ресурсов за счет минимизации времени их простоя и недоступности;
  2. повышение общего уровня производительности сети;
  3. повышение эффективности работы администрирующего персонала, за счет:
      использования современных инструментов инновационного сетевого мониторинга, основанных на информации об IP потоках;
  4. предоставления детальной аналитики о функционировании и состоянии сети – пользователях и приложениях, работающих в сети, передаваемых данных, взаимодействующих ресурсах, сервисах и узлах;
  5. реагирования на инциденты до того как они произойдут, а не после потери сервиса пользователями и клиентами;
  6. сокращения времени и ресурсов, необходимых для администрирования сети и IT-инфраструктуры;
  7. упрощения задач поиска неисправностей.
  8. повышение уровня защищенности сети и информационных ресурсов предприятия, за счет использования несигнатурных технологий выявления аномальной и вредоносной сетевой активности, а также «атак нулевого дня» (zero-day);
  9. обеспечение требуемого уровня SLA сетевых приложений и баз данных.

Продуктовый портфель Flowmon Networks

Теперь рассмотрим непосредственно портфель продуктов Flowmon Networks и узнаем, чем конкретно занимается компания. Как многие уже догадались из названия, основная специализация – на решениях для потокового flow мониторинга трафика, плюс ряд дополнительных модулей, расширяющих базовый функционал.

По факту, Flowmon можно назвать компанией одного продукта, или вернее – одного решения. Давайте разбираться, хорошо это или плохо.

Ядром системы является коллектор, отвечающий за сбор данных по всевозможным flow протоколам, как NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX

… Вполне логично, что для компании не аффилированной ни с одним из производителей сетевого оборудования – важно предложить рынку универсальный продукт, не привязанный к какому-то одному стандарту или протоколу.

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

Flowmon Collector

Коллектор выпускается как в виде аппаратного сервера, так и в виде виртуальной машины (VMware, Hyper-V, KVM). Кстати, аппаратная платформа реализована на кастомизированных серверах DELL, что автоматически снимает большую часть вопросов с гарантией и RMA. Собственной аппаратной составляющей являются разве что FPGA платы захвата трафика, разработаные дочерней компанией Flowmon, и позволяющие осуществлять мониторинг на скоростях до 100 Gbps.

Но что делать, если на существующем сетевом оборудовании нет возможности генерировать качественный flow? Или же нагрузка на оборудование слишком высока? Не проблема:

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

Flowmon Prob

На этот случай Flowmon Networks предлагает использовать собственные зонды (Flowmon Probe), которые подключаются в сеть через SPAN порт коммутатора или с использованием пассивных TAP разветвителей.

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

SPAN (mirror port) и TAP варианты внедрения

В этом случае «сырой» трафик, поступающий на Flowmon Probe, преобразуется в расширенный IPFIX, содержащий более 240 метрик с информацией

. В то время как в стандартном NetFlow протоколе, генерируемом сетевым оборудованием, содержится не более 80 метрик. Это позволяет обеспечить видимость протоколов не только на 3 и 4 уровнях, но и на 7 уровне по модели ISO OSI. В итоге, сетевые администраторы могут осуществлять мониторинг функционирования таких приложений и протоколов, как e-mail, HTTP, DNS, SMB…

Концептуально, логическая архитектура системы выглядит следующим образом:

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

Центральной частью всей «экосистемы» Flowmon Networks является Collector, получающий трафик с существующего сетевого оборудования или собственных зондов (Probe). Но для Enterprise решения предоставлять функционал исключительно для мониторинга сетевого трафика было бы слишком просто. Это умеют делать и Open Source решения, пусть и не с такой производительностью. Ценностью Flowmon являются дополнительные модули, расширяющие базовый функционал:

  • модуль Anomaly Detection Security

    – выявление аномальной сетевой активности, включая атаки «нулевого дня», на основании эвристического анализа трафика и типового сетевого профиля;

  • модуль Application Performance Monitoring

    – контроль производительности сетевых приложений без установки «агентов» и влияния на целевые системы;

  • модуль Traffic Recorder

    – запись фрагментов сетевого трафика по набору предопределенных правил или по триггеру с модуля ADS, для дальнейшего траблшутинга и/или расследования инцидентов ИБ;

  • модуль DDoS Protection

    – защита периметра сети от волюметрических атак отказа в обслуживании DoS/DDoS, в том числе атак на приложения (OSI L3/L4/L7).

В рамках данной статьи мы рассмотрим, как все работает вживую на примере 2 модулей – Network Performance Monitoring and Diagnostics

и

Anomaly Detection Security

. Исходные данные:

  • сервер Lenovo RS 140 с гипервизором VMware 6.0;
  • образ виртуальной машины Flowmon Collector, который можно ;
  • пара коммутаторов с поддержкой flow протоколов.

Шаг 1. Инсталляция Flowmon Collector

Развертывание виртуальной машины на VMware происходит совершенно стандартным образом из OVF шаблона. В итоге получаем виртуальную машину под управлением CentOS и с готовым к работе ПО. Требования к ресурсам – гуманные:

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

Остается только выполнить базовую инициализацию по команде sysconfig

:

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

Настраиваем IP на порту управления, DNS, время, Hostname и можем подключаться к WEB-интерфейсу.

Шаг 2. Установка лицензии

Триальная лицензия на полтора месяца генерируется и скачивается вместе с образом виртуальной машины. Подгружается через Configuration Center -> License

. В итоге видим:

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

Все готово. Можно приступать к работе.

Шаг 3. Настройка ресивера на коллекторе

На данном этапе нужно определиться, каким образом в систему будут поступать данные с источников. Как мы говорили раньше, это может быть один из flow протоколов или SPAN порт на коммутаторе.

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

В нашем примере будем использовать прием данных по протоколам NetFlow v9 и IPFIX

. В этом случае, в качестве таргета мы указываем IP адрес Management интерфейса –

192.168.78.198

. Интерфейсы eth2 и eth3 (с типом Monitoring interface) используются для приема копии «сырого» трафика со SPAN порта коммутатора. Их пропускаем, не наш случай. Далее проверяем порт коллектора, куда должен поступать трафик.

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

В нашем случае коллектор ожидает трафик на порту UDP/2055.

Шаг 4. Настройка сетевого оборудования для экспорта flow

Настройку NetFlow на оборудовании Cisco Systems, наверное, можно назвать совершенно обычным делом для любого сетевого администратора. Для нашего примера мы возьмем что-нибудь более необычное. Например, маршрутизатор MikroTik RB2011UiAS-2HnD. Да, как ни странно, такое бюджетное решение для малых и домашних офисов тоже поддерживает протоколы NetFlow v5/v9 и IPFIX. В настройках задаем таргет (адрес коллектора 192.168.78.198 и порт 2055):

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

И добавляем все доступные для экспорта метрики:

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

На этом можно сказать, что базовая настройка завершена. Проверяем, поступает ли в систему трафик.

Шаг 5. Проверка и эксплуатация модуля Network Performance Monitoring and Diagnostics

Проверить наличие трафика от источника можно в разделе Flowmon Monitoring Center –> Sources

:

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

Видим, что данные поступает в систему. Спустя некоторое время после того, как коллектор накопит трафик, виджеты начнут отображать информацию:

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

Построена система по принципу drill down. Тоесть, пользователь, выбирая интересующий его фрагмент на схеме или графике, «проваливается» до того уровня глубины данных, которые ему нужны:

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

Вплоть до информации о каждом сетевом соединении и коннекте:

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

Шаг 6. Модуль Anomaly Detection Security

Этот модуль можно назвать, пожалуй, одним из самых интересных, благодаря использованию безсигнатурных методов обнаружения аномалий в сетевом трафике и вредоносной сетевой активности. Но это не аналог IDS/IPS систем. Работа с модулем начинается с его «обучения». Для этого в специальном визарде указываются все ключевые компоненты и службы сети, включая:

  • адреса шлюза, DNS, DHCP и NTP серверов,
  • адресация в сегментах пользователей и серверов.

После этого система переходит в режим обучения, который в среднем длится от 2 недель до 1 месяца. За это время система формирует baseline трафика, характерного непосредственно для нашей сети. Проще говоря, система изучает:

  • какое поведение является характерным для узлов сети?
  • какие объемы данных обычно передаются и являются нормальными для сети?
  • какое время работы является типовым для пользователей?
  • какие приложения работают в сети?
  • и многое другое..

В итоге мы получаем инструмент, выявляющий любые аномалии в нашей сети и отклонения от характерного поведения. Вот пара примеров, которые позволяет обнаружить система:

  • распространение в сети нового вредоносного ПО, не детектируемого сигнатурами антивирусов;
  • построение DNS, ICMP или других туннелей и передача данных в обход межсетевого экрана;
  • появление в сети нового компьютера, выдающего себя за DHCP и/или DNS сервер.

Посмотрим, как это выглядит в живую. После того, как Ваша система прошла обучение и построила baseline трафика сети, она начинает детектировать инциденты:

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

Главная страница модуля – временной график с отображением выявленных инцидентов. В нашем примере видим явный всплеск, примерно между 9 и 16 часами. Выделяем его и смотрим подробнее.

Явно прослеживается аномальное поведение злоумышленника в сети. Начинается все с того, что хост с адресом 192.168.3.225 начал горизонтальное сканирование сети по порту 3389 (сервис Microsoft RDP) и находит 14 потенциальных «жертв»:

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

и

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

Следующий зафиксированный инцидент – хост 192.168.3.225 начинает брутфорс атаку по перебору паролей на сервис RDP (порт 3389) на выявленных ранее адресах:

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

В итоге атаки на одном из взломанных хостов фиксируется SMTP аномалия. Другими словами, началась рассылка СПАМ:

Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks / Блог компании TS Solution / Хабр

Данный пример является наглядной демонстрацией возможностей работы системы и модуля Anomaly Detection Security, в частности. Об эффективности судите сами. На этом функциональный обзор решения мы завершаем.

Заключение

Резюмируем, какие выводы о Flowmon мы можем сделать в сухом остатке:

  • Flowmon – решение премиального уровня для корпоративных Заказчиков;
  • благодаря универсальности и совместимости, сбор данных доступен с любых источников: сетевого оборудования (Cisco, Juniper, HPE, Huawei…) или собственных зондов (Flowmon Probe);
  • возможности по масштабируемости решения позволяют наращивать функционал системы посредством добавления новых модулей, а также повышать производительность благодаря гибкому подходу к лицензированию;
  • за счет использования технологий безсигнатурного анализа, система позволяет обнаруживать даже не известные антивирусам и IDS/IPS системам zero-day атаки;
  • благодаря полной «прозрачности» с точки зрения установки и присутствия системы в сети – решение не влияет на работу других узлов и компонент Вашей ИТ инфраструктуры;
  • Flowmon – единственное на рынке решение, поддерживающее мониторинг трафика на скоростях до 100 Гбит/с;
  • Flowmon – решение для сетей любого масштаба;
  • лучшее соотношение цена / функционал среди аналогичных решений.

В данном обзоре мы рассмотрели менее 10% общего функционала решения. В следующей статье мы расскажем про остальные модули Flowmon Networks. На примере модуля Application Performance Monitoring мы покажем как администраторы бизнес приложений могут обеспечить доступность на заданном уровне SLA, а также максимально быстро диагностировать проблемы.

Также, хотим пригласить Вас на наш вебинар (10.09.2019), посвященный решениям вендора Flowmon Networks. Для предварительной регистрации просим Вас пройти регистрацию тут. На этом пока все, спасибо за Ваш интерес!

lazy placeholder

lazy placeholder

Гаврилов Алексей
Оцените автора