Network Monitoring - Hệ thống giám sát mạng FlowMon

Giới thiệu tổng quan

Flowmon là một hãng công nghệ của CH Séc chuyên về giám sát lưu lượng mạng (network
traffic monitoring) và các giải pháp phân tích luồng dữ liệu (netflow analysis solutions), đóng
vai trò bổ khuyết cho những công nghệ truyền thống, giải pháp của hãng dành cho những
doanh nghiệp lớn (enterprises) vì vậy Flowmon không quan tâm đến những giải pháp an ninh
vòng ngoài (perimeter, vd như IPS, IDS) hay các giải pháp cho người dùng cuối (endpoint),
Flowmon chỉ tập trung vào công nghệ theo dõi mạng (network visibility) và giải pháp an ninh
mạng cho những doanh nghiệp, tổ chức lớn. Nhiệm vụ của Flowmoni là lấp khoảng trống giữa
người dùng cuối và các giải pháp an ninh vòng ngoài.
Hệ thống ghi nhận thông tin luồng dữ liệu và giám sát hành vi bất thường cho phép giám sát
lưu lượng trên hệ thống mạng dựa trên giao thức Netflow, có thể giám sát từ các cổng tốc độ
10Mbps cho tới 100Gbps. Giải pháp cung cấp các số liệu thống kê quan trọng cho việc giám sát
người dùng và ứng dụng trong mạng, giúp việc khắc phục lỗi cũng như bảo mật mạng được
đơn giản hơn.

Flowmon vận hành nhờ các thiết bị tự phát triển Flowmon Probe (thiết bị thu thập dữ liệu) và
Flowmon Collector (thiết bị tiếp nhận xử lý, phân tích) - đây là các thiết bị phần cứng hoặc ứng
dụng chạy ảo hóa. Các module mà Flowmon cung cấp là Flowmon APM - Application
Performance Manager, Flowmon ADS - Anomaly Detection System, Flowmon DDOS Defender,
Flowmon Traffic Recorder.

FlowMon Probe

● Thu thập toàn bộ lưu lượng mạng của doanh nghiệp, tổ chức
● Tập hợp thông tin gửi tới thiết bị FlowMon Collector
● Hỗ trợ NetFlow v5/v9, IPFIX, sFlow, NetStream, jFlow including NBAR2, SEL/NEL, MAC
addresses, HTTP information, VoIP statistics support
● Thông tin mở rộng WHOIS, IP reputation databases
● Hỗ trợ tích hợp SIEM: CEF (Syslog, SNMP)
● Khả năng thông báo qua E-mail, SMS, Syslog, SNMP
● Khả năng phát hiện bất thường qua SPAM, Port scan, DNS, ICMP, DoS, DDoS,

FlowMon Collector

● Tiếp nhận thông tin luồng dữ liệu từ các thiết bị Flowmon Probe
● Xử lý dữ liệu để hiển thị, cảnh báo bất thường
● Hỗ trợ thu thập flow: NetFlow v5/v9/IPFIX
● Hỗ trợ IPv4, IPv6, MAC, VLAN, MPLS
● Phân tích, dò ứng dụng HTTP & VoIP
● Giao diện quản trị web
Nguyên lý vận hành

Hệ thống bao gồm 01 thiết bị tiếp nhận thông tin luồng dữ liệu (collector) được triển khai tại
trung tâm để tập hợp các thông tin thu thập lưu lượng mạng từ các thiết bị thu thập (probe)
đặt tại cơ sở cần giám sát-vd như 1 văn phòng chi nhánh hoặc cơ quan /đơn vị cấp địa phương.
Mỗi cơ sở được bố trị một thiết bị thu thập lưu lượng kết nối với Switch core để thu thập toàn
bộ lưu lượng trong mạng cơ sở, từ đó tập hợp thông tin gửi tới thiết bị ghi nhận thông tin đặt
tại trung tâm.

Luồng thông tin hoạt động của hệ thống như sau:

Bước 1: Thu thập thông tin traffic mạng

Thiết bị thu thập lưu lượng đặt tại mỗi chi nhánh/cơ quan/đơn vị được kết nối với chuyển
mạch(switch) lõi, nhận thông tin lưu lượng mạng của cơ sở đó thông qua việc cấu hình
mirroring dữ liệu, cấu hình thông tin Netflow gửi tới.

Các thông tin lưu lượng thu thập này được gửi tới máy chủ ghi nhận thông tin luồng dữ liệu đặt
tại trung tâm để hiển thị và phân tích đưa ra cảnh báo các bất thường nếu phát hiện ra.

Bước 2: Xử lý, phân tích và hiển thị thông tin

Tại trung tâm đặt máy chủ ghi nhận thông tin luồng dữ liệu có vai trò tiếp nhận thông tin thu
thập từ các thiết bị thu thập đặt tại đơn vị và xử lý dữ liệu này để hiển thị, cảnh báo bất
thường.

Màn hình giám sát (DashBoard)

Trên thiết bị cấu hình các nhóm sự kiện, các định nghĩa về các loại tấn công và nội dung này
được cập nhật thường xuyên.
Sau khi nhận được các thông tin thống kê, thiết bị ghi nhận thông tin luồng dữ liệu phân tích và
hiển thị thành các báo cáo trực quan dạng biểu đồ về lưu lượng của các ứng dụng trong mạng
để tìm ra điểm bất thường trong việc sử dụng ứng dụng, ví dụ ứng dụng nào tăng đột biến so
với thường ngày hoặc ứng dụng lạ trong mạng.

Flowmon sẽ cảnh báo cho người quản trị về những thay đổi bất thường này, bao gồm:

o Tấn công dịch vụ mạng (để giành quyền truy cập trái phép mạng)
o Các thiết bị bị nhiễm mã độc
o Bất thường trong DNS traffic
o Bất thường trong DHCP traffic
o Port scanning
o Hoạt động của các ứng dụng không được cho phép (P2P)
o Các nguy cơ tấn công qua Proxies, TOR, Email, VoIP ….
 o Việc cấu hình sai các thiết bị
o Nguy cơ rò rỉ dữ liệu

Các module của Flowmon gồm có

Flowmon ADS - Anomaly Detection System – Hệ thống phát hiện yếu tốt bất thường

ADS là module phát hiện các sự kiện bất thường và những hành vi đáng ngờ, dựa trên phân
tích luồng dữ liệu (netflow). Mục đích chính là để tăng cường an ninh bên trong cũng như bên
ngoài mạng máy tính. Ưu thế chính giải pháp này so với các hệ thống IDS truyền thống nằm ở
việc theo dõi tổng quan hành vi của thiết bị, chủ động nhận diện các nguyên nhân cốt lõi dẫn
đến các nguy cơ trong thời gian thực. Bảng điều khiển trực quan cũng cho cái nhìn toàn diện
đối những sự kiện gần nhất và số liệu đầy đủ về các sự kiện, tạo điều kiện phát hiện dễ dàng
các vấn đề cũng như các thiết bị đang gặp vấn đề trong hệ thống.

Flowmon ADS sử dụng NBA(Network Behavior Analysis), đây là một sự bổ khuyết cho các công
cụ an ninh mạng vòng ngoài truyền thống như IPS, IDS, Antivirus vốn dựa trên các mô thức tấn
công được định nghĩa rõ ràng (signature). NBA sử dụng hơn 50 thuật toán trí tuệ nhân tạo khác
nhau (đường biên(baseline) chuẩn về hành vi, sơ đồ ra quyết định, machine learning..) để đánh
giá đa chiều về các thông số dữ liệu traffic mạng thu thập được.

Quá trình triển khai cài đặt các thành phần chính của Flowmon ADS là probe, collector tương
đối đơn giản do có sẵn các template, wizard.

Flowmon DDOS Defender – Hệ thống phòng thủ trước những cuộc tấn công từ chối
dịch vụ quy mô lớn

Là giải pháp phát hiện và làm giảm tác hai của tấn công từ chối dịch vụ DOS và DDOS nhằm
vào các hạ tầng CNTT, máy chủ, các hệ thống hoặc các ứng dụng trong thời gian thực mà
không cần đầu tư thêm thiết bị mạng hay thay đổi cấu hình của mạng hiện tại.

Flowmon DDOS có thể được triển khai ở các môi trường nhiều thành phần không đồng nhất,
Probe thu nhận thông tin luồng dữ liệu từ các thiết bị mạng đang hoạt động ở nhiều dạng khác
nhau và Collector xử lý chính xác các dữ liệu traffic mà Probe thu thập được. Nhờ thiết kế tối
ưu, module chống DDOS của Flowmon có thể triển khai độc lập hoặc kết hợp với các giải pháp
chống hết đường truyền hoặc các giải pháp giảm thiểu tác hại của DDOS khác. Việc chuyển
hướng và giảm tác hại cuộc tấn công có thể được thực hiện bằng các giao thức PBR (Policy
Based Routing), BGP (Border Gateway Protocol) hoặc RTBH (Remotely Triggered Black Hole).

Flowmon DDoS Defender giám sát các đặc tính của khối lượng traffic và phản hồi khi thấy khối
lượng này tăng dựa trên các quy tắc định ra cũng như các đường biên động. Để định ra các
tiêu chuẩn này cần sử dụng đến: quy định các giải IP đáng nghi, các giao thức hay cổng gắn
với một số dịch vụ hoặc các số VLAN, MPLS tag..khi phát hiện khả năng xảy ra tấn công DDOS
thì các hành động sau đây sẽ được tiến hành

o Cảnh báo (qua email, syslog, SNMP trap)

o Chuyển hướng traffic(PBR, BGP)
o Kích hoạt các script do người dùng lập nên
o Dập tắt/giảm tác hại cuộc tấn công bằng RTBH và các giải pháp chống cạn băng thông khác
(vd Scrubbing center của Radware)

Flowmon Traffic Recorder – ghi nhận từng gói tin

Module này huy động khả năng của Probe ghi nhận toàn bộ việc trao đổi dữ liệu chi tiết trong
tất cả các tầng (Layer 2-Layer 7) nhằm cung cấp thông tin theo yêu cầu của người quản trị
mạng để giải quyết các vấn đề vận hành và đảm bảo an ninh mạng. Giải pháp này hỗ trợ cả
các cấu trúc mạng phân tán nhằm đáp ứng các yêu cầu ghi dữ liệu mà Collector trung tâm đưa
ra.

Việc lựa chọn và ghi các gói tin có thể thực hiện theo các tiêu chí như: Giải địa chỉ IPv4 / IPv6,
địa chỉ vật lý (MAC address), số hiệu Port, Giao thức IP, số hiệu VLAN, VoIP SIP URI, MPLS
label hoặc theo khung thời gian.

Flowmon APM - Application Performance Manager – Quản lý hiệu năng ứng dụng
web

Flowmon APM là chức năng giám sát ứng dụng dạng web, hoạt động trên nguyên lý giám sát
tất cả luồng dữ liệu của ứng dụng giao tiếp với người dùng, do vậy không cần đánh giá server,
hay cài các agent hoặc là sửa đổi ứng dụng cần giám sát. APM là module thiên về giám sát trải
nghiệm thực của người dùng – tức là đánh giá hiệu năng của phần mềm thay đổi ra sao khi
tăng giảm số người dùng cùng lúc kết nối, phần nào của ứng dụng chạy chậm nhất, việc vận
hành thay đổi ra sao khi có thay đổi về hạ tầng hay ứng dụng có chạy đồng nhất với tất cả
người dùng không? Tất cả diễn ra trong thời gian thực.

Một số tiêu chí được đo lường nhờ APM:

o Chỉ số APM (thang điểm từ 0-100 để đánh giá thời gian phản hồi của server)
o Thời gian thực hiện giao dịch
o Số lượng giao dịch và thời gian hồi đáp tương ứng
o Tổng số cuộc trao đổi
o Số lượng người dùng cùng lúc
o Số lượng lỗi
o Kích thước dữ liệu được truyền đi
o Thời gian truyền

Tất cả những tiêu chí nhằm mục tiêu trả lời các câu hỏi: ứng dụng chạy nhanh đến mức nào?
khách hàng có thỏa mãn với ứng dụng không hay họ đang bỏ đi? nhân viên có phải đợi phần
mềm phản hồi lâu không? đâu là lý do cốt lỗi khiến phần mềm bị mất điểm? ai đang gặp vấn
đề, khi nào bị vấn đề, bị với phần nào của ứng dụng?
 Các khách hàng quan trọng của Flowmon

O2 IT services: triển khai Probe, Collector, ADS nâng cao khả năng giám sát mạng bao gồm
cả các ứng dụng L7 và giám sát các truy cập vào các kho dữ liệu của O2.
Orage (viễn thông/ISP): triển khai ADS, collector nhằm phát hiện tấn công DDOS và các bất
thường trong traffic, chống các nỗ lực để crack password
KIA (sản xuất ô tô): triển khai Probe, Collector, ADS để tăng cường an ninh mạng và rút ngắn
thời gian phản ứng với các sự kiện trong mạng.