Rozšiřující analytické funkce řešení Flowmon

Roman Tomášek

Sr. Systems Engineer

roman.tomasek@alef.com

Známým systémem pro sledování toků v síti je řešení společnosti Flowmon. V základu se toto řešení používá pro monitorování datových toků v síti a k řešení problémů s touto komunikací. Při použití Flowmon sond se viditelnost do komunikace dostává až na úroveň aplikací. Kromě tohoto základního monitoringu a nástroje na řešení problémů má Flowmon také rozšiřující moduly.

První modul je modul ADS (Anomaly Detection System) umožňující detekovat změny chování uživatelů v síti, a tím upozorňovat na případné provozní a bezpečnostní problémy na síti. Pro zjištění výkonnostních problémů na úrovni webových a databázových aplikací je určen modul APM (Application Performance Monitor).  V případě potřeby zachytávat reálnou komunikaci v čase až na úroveň paketů a tuto komunikaci pro vybrané aplikace analyzovat je možné využít modul s názvem Flowmon Packet Investigator (FPI). Poslední modul je určen pro ISP sítě. Umožňuje detekovat volumetrické DDoS útoky a ty ve spolupráci se zařízeními třetích stran mitigovat, tedy zmírňovat či omezovat. Tento modul se nazývá DDoS Defender. V tomto článku se věnujeme všem těmto modulům.

Potřebujete zjistit, zda máte v síti provozní nebo bezpečnostní problémy? Použijte modul ADS

Modul ADS je rozšířením stávajícího Flowmon řešení o provozní a bezpečnostní analýzu sítě. Lze ho implementovat na všechny hardwarové Flowmon komponenty a na virtuální Flowmon kolektor. Tento modul využívá automatické učení pro detekování změn v chování uživatelů v síti, a tím i k detekování neznámých a interních hrozeb. Mimo strojového učení jsou pro analýzu událostí v síti použité další pokročilé metody jako je adaptivní baselining, heuristická analýza, vzory chování a reputační databáze. Modul ADS je možné doplnit signaturami z IDS systému Suricata.

Nasazení ADS modulu je jednoduché a konfigurace je zajištěna pomocí konfiguračního průvodce. Po ukončení konfigurace začne systém ADS vyhodnocovat chování sítě a na základě toho pak vytvářet události. Konfiguraci je pak možné na základě detekovaných událostí dále přizpůsobovat požadavkům uživatele. Nedílnou součástí je i reportování a vizualizace událostí a nastavení zasílání a logování událostí do systémů třetích stran. Flowmon ADS lze integrovat s NAC, autentizační službou, firewallem nebo jinými nástroji pro okamžitou reakci na danou událost.

Co s volumetrickými útoky z internetu? Řešením je Flowmon modul DDoS Defender

Dalším modulem pro detekci hrozeb je Flowmon DDoS Defender. Tento modul je určený především pro ISP a jejich zákazníky a umožňuje detekování volumetrických útoků.

Podstatou konfigurace je definování chráněných segmentů na základě IP adres nebo čísel autonomních systémů. Pro tyto segmenty se pak automaticky a kontinuálně vytváří baseline (prahová hodnota), s jejíž pomocí dochází k detekování útoků. Prahy mají nastavené dvě úrovně citlivosti, které lze ještě manuálně upravit, aby se snížilo množství tzv. false positive událostí (větší množství legálního provozu není detekováno jako DDoS útok). Jedna úroveň je určena pro detekci podezřelého provozu a druhá pro detekci útoku. Pro oba tyto prahy je pak možné definovat, zda dojde k automatickému přesměrování nevalidního provozu do mitigačního nástroje a zda se pro tento provoz má automaticky provádět mitigace.  V případě DDoS útoku systém DDoS Defender vytváří signatury útoku a ty pak posílá do mitigačního nástroje. Zároveň DDoS Defender ale stále monitoruje i legitimní provoz.

DDoS defender je možné použít pouze jako pasivní monitorovací nástroj nebo, což je častější, jako nástroj spolupracující se zařízeními třetích stran pro aktivní mitigaci volumetrických útoků. Přesměrování nevalidního provozu může být provedeno pomocí policy based routingu (PBR) nebo pomocí BGP (Border Gateway Protocol). BGP Flowspec se používá k mitigaci nebo zahození nevalidního provozu na hraničních směrovačích.

DDoS Defender plně podporuje multiuživatelská prostředí, kdy lze pro každý účet nastavit různé způsoby detekce, mitigace útoku a reportingu. Každý účet je definován pomocí segmentů. Pro analýzu útoku jsou k dispozici detailní statistiky o provozu předcházejícímu útoku, struktura provozu při probíhajícím útoku a detailní statistiky o provozu po útoku.

Od bezpečnosti k monitorování výkonu aplikací. Na co je dobrý modul APM?

Flowmon modul APM je určen pro měření výkonnosti webových aplikací a databází. Podporovanými protokoly a databázemi jsou HTTP, HTTPS, MySQL, Oracle, PostgreSQL a MySQL/MariaDB. Obrovskou výhodou tohoto řešení je, že není potřeba pro sběr dat instalovat agenty na webové a databázové servery a není potřeba měnit jejich konfiguraci. Je potřeba pouze Flowmon sonda, která má kompletní vhled do komunikace mezi uživateli a monitorovanými aplikacemi.

APM v reálném čase monitoruje „uživatelskou spokojenost“. To znamená, že APM umožňuje sledovat, zda aplikace funguje korektně pro všechny uživatele zejména z hlediska její výkonnosti. Snadno lze zjistit, jak závisí rychlost aplikace na počtu současně pracujících uživatelů, jaká část aplikace je nejpomalejší, zda aplikaci nezpomalují dotazy na databázové servery apod.

Základním ukazatelem výkonosti aplikace a database je APM index, který je vypočítán na základě nastavených SLA (Server Level Agreements), které dané systémy mají splňovat. Dalšími měřenými metrikami výkonnosti aplikací a databází jsou doba odezvy transakcí, celkový počet transakcí, počet současných uživatelů, počet chyb a typ chybových návratových kódů, objem přenesených dat a doba přenosu dat na síti. Všechny tyto metriky lze vidět v dasboardu pro danou aplikaci nebo databázi.

APM je ideálním nástrojem na řešení problémů s aplikacemi a databázemi, který vám pomůže detekovat, jaká část transakce je nejpomalejší a zda se vyskytují pro danou komunikaci nějaké chybové kódy.

Pro automatické testování kritických HTTP a HTTPS aplikací je součástí Flowmon APM modul Transaction Generator, který simuluje chování uživatele a reportuje SLA.

Co když flow data nestačí? Máme tu modul FPI

Funkčnost Flowmon sond může být rozšířena o záchyt paketů určených pro další analýzu. Záchyt paketů může být automatický nebo může být spuštěn manuálně. Ideálním příkladem automatického záchytu paketů je situace, kdy modul ADS detekuje nějakou událost a je potřeba pro tuto událost vidět do paketů, které tuto událost způsobily pro účely forenzní analýzy. Pro tuto situaci lze v modulu ADS nastavit následující postup: když se vyskytne tato událost, proveď záchyt paketů. Manuální záchyt paketů lze využít v případě řešení nějakého problému na síti, kdy potřebujete viditelnost do komunikace na úrovni paketů v dané chvíli.

Zachycené pakety lze automaticky přímo vyhodnotit v modulu FPI. V tomto případě hledá FPI chybové kódy, poskytuje vysvětlení a doporučuje, jakým způsobem daný problém řešit. Tato expertní znalost je v FPI zabudovaná pro nejpoužívanější protokoly (IP, TCP, DHCP, DNS, SMTP, SSL apod.). Další možností je stažení souboru se záchytem paketů a analýza tohoto souboru v externím nástroji (např. Wireshark). Modul FPI dokonce umožňuje nahrát soubor se záchytem paketů (pcap soubor) z externího nástroje do Flowmon zařízení a tento soubor si nechat automaticky zanalyzovat.

Modul FPI je možné také nakonfigurovat pro zpětný záznam provozu. V tomto případě je využíván rotující buffer, který umožňuje, aby zůstával určitý počet paketů pro každou komunikaci po určitou dobu v paměti a v momentě nahrávání byla tato data k dispozici zpětně. To znamená, že se nepřichází o začátek komunikace v době spuštění záchytu paketů.