Analitika, Flowmon, IT biztonság

Mi folyik a hálózaton?

Mi folyik a hálózaton?

Ennek a kérdésnek számtalan aspektusa lehet, attól függően, hogy ki kérdezi, és ki válaszol rá.
Mert ha egy hálózat üzemeltető teszi fel ezt a kérdést, az mást jelenthet, mintha egy IT infrastruktúra üzemeltető, és megint máshogy hangozhat egy alkalmazás üzemeltetőtől, és a válasz sem mindig egyértelmű mindenki számára. Egy nem túl egzakt kérdésre nem tudunk egzakt választ adni, vagy mégis?

A jelenlegi technológiai kihívások közepette, több szempontból is fontos lehet, hogy tudjuk azt:

  • Mi történt hálózaton átmenő forgalom szempontjából?
  • Mi fog történni a hálózattal, ha IT kapacitásbővítés lesz (vagy nem lesz) a jövőben?
  • Milyen hatással lesz az IT infrastruktúrára a hálózat?
  • Biztonságban van-e a hálózat?
  • Néhány kérdésre elegendő választ adhat a hagyományos NMS (Network Monitoring System) rendszerünk, de önmagukban az NMS rendszerek olyanok, mintha csak fél szemmel, vagy szemellenzővel figyelnénk az IT architektúrát. Szóval mi adhat jobb képet a hálózatról? Mi az, ami felnyithatja a szemünket?
  • Hogy kaphatnánk nagyobb vizibilitást?

Nézzük az opciókat!

1. Elkezdjük vizsgálni az átmenő forgalmat bitről bitre?

Ennek a módszernek túl magas a kapacitás igénye, továbbá csak egy bizonyos ponton kapunk képet a hálózatról.

2. Összegyűjtjük a hálózati eszközökben fellelhető NetFlow adatokat?

Ha több helyről gyűjtünk be információt, az önmagában nem jelenti azt, hogy több hasznos információval rendelkezünk.

A NetFlow gyűjtés viszont jó kiindulási alap ahhoz, hogy az átmenő forgalom karakterisztikájáról és kategóriájáról képet alkossunk, de sem biztonsági, sem alkalmazás szempontjából nem tartalmaz elegendő információt.
Mi lenne, ha az 1-es és 2-es módszert kombinálnánk, és egy olyan alacsonyabb kapacitásigényű rendszerrel dolgoznánk, ami „látja” a teljes képet, de nem tárolja, csak a fontosabb, számunkra értékesebb információt a forgalomról. Ebben az esetben már elegendő információval rendelkeznénk a magasabb szintű hálózatbiztonsági és alkalmazásokat érintő kérdésekben, és közel real-time adatok alapján látnák, hogy mi folyik a hálózaton.

Mi az a NetFlow és IPFIX?

A NetFlow egy cisco által fejlesztett protokoll, ami képes a routereken és switcheken átmenő forgalomról közel valós-időben képet adni a forgalom irányáról, típusáról és mennyiségéről.

A NetFlow adatokat egy kollektor típusú szerveralkalmazás gyűjti össze és dolgozza fel, ezeknek az adatoknak minősége nagyban függ attól, hogy éppen milyen verziót támogatnak belőle az eszközök.

A jelenleg elterjedt NetFlow verziókra példákat az alábbi táblázatban gyűjtöttük össze:

Gyártók és típusokVerziók
Cisco IOS-XR routersv5, v8, v9, IPFIX
Cisco IOS routersv5, v8, v9, IPFIX
Cisco Catalyst switchesv5, v8, v9
Cisco Nexus switchesv5, v9
Juniper routersv5, IPFIX
Alcatel-Lucent routersv5, v8, v9, IPFIX
Flowmon Probesv5, v9, IPFIX
PC and Serversv5, v9, IPFIX
VMware serversv5, IPFIX

Az iparági sztenderdizációnak köszönhetően megjelent az IPFIX (RFC 5101 5102, 7011, 7012) protokoll, amely magas felbontású (L2-L7) információt biztosít a hálózaton átmenő forgalomról.
Vajon létezik-e a hálózati eszközgyártók mellett olyan rendszert szállító cég, ami támogatja az összes Netflow verzió gyűjtését, mindamellett biztosítja azokat az analitikai rendszereket, amelyekre a korábban említett szempontok alapján szükség lenne?

Igen, ez a rendszer létezik!

A NetFlow/IPFIX adatgyűjtésen alapuló rendszerek sora szinte megszámlálhatatlan, de mégis van olyan gyártó, amely technikai szinten kiemelkedik a többi közül, és ennek az egyik legfőbb oka, hogy a hálózat analitikai megoldásuk nem csak egy szemszögből vizsgálja a hálózatot. Ez pedig nem más mint a Flowmon.
A Flowmon alapvetően egy hálózat monitorozó és analitikai platform, amely a Netflow/IPFIX adatok alapján nem csak színes-szagos riportok generálására képes, hanem real-time információval szolgál a hálózaton átmenő forgalomról az alábbi vizsgálati szempontok szerint:

Hálózat monitoring és analitika (NPMD)

Az alap hálózat monitoringhoz egészen addig nincs szükség Flow alapú analitikai rendszerre, amíg valaki fel nem teszi azt a kérdést, hogy melyik rendszernek mekkora hálózati kapacitás igénye van? Ebben az esetben a hagyományos SNMP alapú rendszerek csődöt mondanak, mert a hálózati eszköz interfész statisztikák már nem képesek kimutatni azt, hogy a rendelkezésre álló kapacitás 60%-át nem a céges infrastruktúra elérése, hanem a social media használat teszi ki. Továbbá nem képesek kimutatni, ha a vállalatunkban cégesnek kinevezett O365 felhő helyett a dolgozók a Google által kínált drive-ot és levelező rendszert használják inkább. Pedig ezek a kérdések IT stratégia megalkotásánál, és stratégiánk lemérésénél fontosak, mint ahogy a válaszok is elengedhetetlenek.

Alkalmazás performancia mérés (APM)

Külső szemlélőként sokszor tapasztalom, hogy van egyfajta ellentét az IT szerver infrastruktúra, az alkalmazás üzemeltető és fejlesztő, valamint a hálózat üzemeltetési csapatok között. Ennek az ellentétnek az az alapja, hogy ezek a csapatok nem beszélnek közös nyelvet, mindenki a saját területére koncentráltan veszi ki a részét feladatokból, és probléma esetén kialakul az egymásra mutogatás, a felelősség hárítása. Mi lenne, ha ezek a csapatok nem egymással versengve, hanem együtt dolgoznának a problémák megoldásán? Mi lenne, ha adnánk egy olyan eszközt a kezükbe, amely alkalmas a hálózat és az alkalmazás mérésére egyaránt? Parttalan vitáknak vethetünk véget, ha végre láthatnánk az IT rendszer szűk keresztmetszetét, amelyet okozhat hibásan fejlesztett kód, nem megfelelő szerver- és hálózat-kapacitás, vagy beállítás.

A Flowmon Application Performance Monitoring hivatott ezeket a kérdéseket tisztázni, egy asztalhoz ültetni, az alkalmazás fejlesztőt a szerver üzemeltetővel és a hálózati szakértővel.

Hálózat viselkedés analízis (NBA)

Nem csak mérjük, hanem látjuk is hálózati forgalmat, amit – ha megfelelő felbontású adatokkal rendelkezünk – alkalmazás és viselkedés szinten is tudunk profilozni. Ha a megszokottól eltérő viselkedést tapasztalunk a hálózaton, akkor annak több oka lehet:

Nem ismert, vagy nem jól konfigurált IT szegmenst találtunk.
Felhasználóink nem az IT biztonsági szabályok alapján használják a környezetet (pl. torrent).
Szabotázs történik éppen (Malware, Man in the Middle).

A megfelelő végpont- és határvédelmi rendszerek általában felismerik és megakadályozzák az utóbbi esetek egy részét, de vannak olyan zeroday típusú támadások, amely esetén ezek a megszokott technológiák csődöt mondanak. A felhasználók is egyre „kifinomultabb” módját találják meg annak, hogy IT biztonsági szabályokkal ellentétes módon használják a céges infrastruktúrát.
Három-szem (Határvédelem, Végpontvédelem, Hálózatvédelem) elv alapján a gyanús hálózati forgalmakat nem csak a végpont- vagy határvédelmi rendszereknél észlelhetjük, hanem hálózaton átmenő forgalomból, viselkedés alapján is beazonosíthatjuk a már kártékony kódot vagy kódokat futtató számítógépeket, a nem kívánt alkalmazásokat, és be is avatkozhatunk aktívan, amennyiben megvan a megfelelően integrált környezetünk ehhez.

DDoS védelem

A hálózati forgalom mennyiségéből és típusából a fent felsoroltakon kívül még olyan következtetésekre is juthatunk, hogy az infrastruktúránk áll-e valamilyen túlterheléses támadás alatt. Nem csak volumetrikus, hanem kifinomult technikát alkalmazó slow rate típusú támadásokat is azonosíthatunk, és ha az infrastruktúra rendelkezésre áll, be is avatkozhatunk valós időben.

Real Time packet capture

A Flowmon teljes architektúrája nem csak a Netflow adatok gyűjtéséből adódó hálózat analitikát biztosítja, hanem a probe segítségével akár real-time packet capture analízist is megvalósíthatunk a platform segítségével.

Összegezve

Arra kérdésre, hogy mi folyik hálózaton, nagyon leegyszerűsödik a válasz a kérdés szinte összes aspektusában: nézzük meg a Flowmon-on.
A Flowmon nem csak egy sokadik hálózat monitorzó rendszer, amit nem figyel senki, hanem egy hálózat vizibilitást nyújtó eszköz, amely a megfelelő időben szolgáltatja a megfelelő adatokat annak érdekében, hogy minél hatékonyabban tudjuk tervezni, üzemeltetni a komplett IT infrastruktúránkat.

By Makláry Tamás

Tamás elkötelezett híve a hálózati és IT biztonsági területeken megvalósítható hálózat-virtualizációnak, software defined rendszereknek, 2020-ban Magyarországon elsők között szerezte meg a Cisco DevNet Associate minősítését, emellett, több gyártónál, nagyvállalati és szolgáltatói hálózatokkal valamint végpont védelemmel kapcsolatos professzionális szintű minősítései is vannak.