የፍሰት ፕሮቶኮሎች የውስጥ አውታረ መረብን ደህንነት ለመቆጣጠር እንደ መሳሪያ

የውስጣዊ ኮርፖሬሽን ወይም የመምሪያውን ኔትወርክ ደህንነት ለመከታተል ሲመጣ ብዙዎች ከመረጃ ፍሰት ቁጥጥር እና ከዲኤልፒ መፍትሄዎች ትግበራ ጋር ያዛምዱታል። እና ጥያቄውን ለማጣራት ከሞከሩ እና በውስጣዊ አውታረመረብ ላይ ጥቃቶችን እንዴት እንደሚያውቁ ከጠየቁ መልሱ ብዙውን ጊዜ ስለ ጣልቃ-ገብ ማወቂያ ስርዓቶች (IDS) ይጠቀሳል። እና ከ10-20 ዓመታት በፊት ያለው ብቸኛው አማራጭ ዛሬ አናክሮኒዝም እየሆነ ነው። የበለጠ ውጤታማ እና በአንዳንድ ቦታዎች የውስጣዊውን አውታረመረብ ለመከታተል ብቸኛው አማራጭ አማራጭ አለ - የፍሰት ፕሮቶኮሎችን ለመጠቀም በመጀመሪያ የአውታረ መረብ ችግሮችን (መላ ፍለጋ) ለመፈለግ የተነደፈ ፣ ግን ከጊዜ በኋላ ወደ በጣም አስደሳች የደህንነት መሳሪያ ተለወጠ። እዚህ ስለ ፍሰት ፕሮቶኮሎች ምን እንደሆኑ እና የትኞቹ የአውታረ መረብ ጥቃቶችን በተሻለ ሁኔታ ለመለየት እንደሚረዱ ፣ የፍሰት ቁጥጥርን መተግበር የተሻለው የት እንደሆነ ፣ እንዲህ ዓይነቱን እቅድ ሲጠቀሙ ምን መፈለግ እንዳለበት እና ሌላው ቀርቶ ሁሉንም በቤት ውስጥ መሳሪያዎች ላይ እንዴት “ማሳደግ” እንደሚቻል እንነጋገራለን ። , በዚህ ጽሑፍ ወሰን ውስጥ እንነጋገራለን.

“የውስጥ መሠረተ ልማትን ደህንነት መከታተል ለምን አስፈለገን?” በሚለው ጥያቄ ላይ አልቆይም። ለዚያ መልሱ ግልጽ ነው. ግን ፣ ቢሆንም ፣ ዛሬ ያለሱ ማድረግ እንደማይችሉ እንደገና ማረጋገጥ ከፈለጉ ፣ ይመልከቱ አጭር ቪዲዮ በፋየርዎል ወደተጠበቀው የድርጅት ኔትወርክ በ17 መንገዶች እንዴት መግባት እንደምትችል ታሪክ ያለው። ስለዚህ የውስጥ ክትትል አስፈላጊ ነገር መሆኑን ተረድተን እንዴት መደራጀት እንደሚቻል ለመረዳት ብቻ ይቀራል ብለን እንገምታለን።

በኔትወርኩ ደረጃ ለመሠረተ ልማት ክትትል ሶስት ቁልፍ የመረጃ ምንጮችን ለይቻቸዋለሁ፡-

• ለአንዳንድ የትንታኔ ስርዓቶች የምንይዘው እና ለመተንተን የምናቀርበው “ጥሬ” ትራፊክ፣
• ትራፊክ የሚያልፍባቸው የአውታረ መረብ መሳሪያዎች ክስተቶች፣
• በአንዱ ፍሰት ፕሮቶኮሎች በኩል የተቀበለው የትራፊክ መረጃ።

ጥሬ ትራፊክን መያዝ በደህንነት ሰዎች ዘንድ በጣም ታዋቂው አማራጭ ነው, ምክንያቱም በታሪክ ታይቷል እና በጣም የመጀመሪያ ነበር. ተለምዷዊ የአውታረ መረብ ጣልቃገብነት ማወቂያ ስርዓቶች (የመጀመሪያው የንግድ ጣልቃ ገብነት ማወቂያ ስርዓት NetRanger ከዊል ግሩፕ በ 1998 በሲሲሲሲ የተገዛው) የተወሰኑ ፊርማዎች የተፈለጉበትን ፓኬቶችን (እና በኋላ ክፍለ ጊዜዎችን) በማንሳት ላይ ብቻ ተሰማርተው ነበር (“ወሳኝ ህጎች” በ የ FSTEC ቃላቶች) ፣ የምልክት ጥቃቶች። በእርግጥ ጥሬ ትራፊክን በIDS ብቻ ሳይሆን በሌሎች መሳሪያዎች (ለምሳሌ Wireshark፣ tcpdum ወይም NBAR2 ተግባር በሲስኮ IOS) መተንተን ይችላሉ፣ ነገር ግን አብዛኛውን ጊዜ የመረጃ ደህንነት መሳሪያን ከኤ. መደበኛ የአይቲ መሳሪያ.

ስለዚህ, የጣልቃ ማወቂያ ስርዓቶች. በፔሪሜትር (ምንም ቢሆን - ኮርፖሬት ፣ ዳታ ሴንተር ፣ ክፍል ፣ ወዘተ.) ላይ ጥሩ ሥራ የሚሠራው የአውታረ መረብ ጥቃቶችን ለመለየት በጣም ጥንታዊው እና በጣም ታዋቂው ዘዴ ፣ ግን በዘመናዊ የተቀየረ እና በሶፍትዌር የተገለጹ አውታረ መረቦች ውስጥ አልተሳካም። በተለምዷዊ መቀየሪያዎች ላይ በተገነባው አውታረ መረብ ውስጥ, የጠለፋ ማወቂያ ዳሳሾች መሠረተ ልማት በጣም ትልቅ ይሆናል - ጥቃቶችን ለመከታተል ከሚፈልጉት አስተናጋጅ ጋር በእያንዳንዱ ግንኙነት ላይ ዳሳሽ ማድረግ አለብዎት. በእርግጥ ማንኛውም አምራች በመቶዎች እና በሺዎች የሚቆጠሩ ዳሳሾችን ሊሸጥልዎ ይደሰታል, ነገር ግን ባጀትዎ እንደዚህ አይነት ወጪዎችን መቋቋም የማይችል ይመስለኛል. በሲስኮ (እና እኛ የ NGIPS ገንቢዎች ነን) እኛ ይህንን ማድረግ አልቻልንም ማለት እችላለሁ ፣ ምንም እንኳን ፣ ቢመስልም ፣ የዋጋ ጥያቄ ከፊታችን ነው። መቆም የለበትም - ይህ የራሳችን ውሳኔ ነው. በተጨማሪም, በዚህ ስሪት ውስጥ ዳሳሹን እንዴት ማገናኘት እንደሚቻል, ጥያቄው ይነሳል? ወደ ክፍተት? ዳሳሹ ራሱ ካልተሳካስ? በአነፍናፊው ውስጥ ማለፊያ ሞጁል ይፈልጋሉ? ማከፋፈያዎች (መታ) ይጠቀሙ? ይህ ሁሉ የመፍትሄውን ዋጋ የሚጨምር እና ለማንኛውም መጠን ላለው ኩባንያ የማይመች ያደርገዋል.

ዳሳሹን በ SPAN/RSPAN/ERSPAN ወደብ ላይ "ለመስቀል" እና ትራፊክን ከአስፈላጊዎቹ የመቀየሪያ ወደቦች ወደ እሱ ለመምራት መሞከር ይችላሉ። ይህ አማራጭ በቀድሞው አንቀጽ ላይ የተገለጸውን ችግር በከፊል ያስወግዳል ፣ ግን ሌላ ይፈጥራል - የ SPAN ወደብ የሚላክለትን ትራፊክ ሙሉ በሙሉ መቀበል አይችልም - በቂ የመተላለፊያ ይዘት አይኖረውም። የሆነ ነገር ለመሠዋት ፈቃደኛ። አንዳንድ አንጓዎችን ያለ ክትትል ይተዉት (ከዚያ በመጀመሪያ ለእነሱ ቅድሚያ መስጠት ያስፈልግዎታል) ወይም ሁሉንም ትራፊክ ከመስቀያው ላይ አይልኩ ፣ ግን የተወሰነ ዓይነት ብቻ። በማንኛውም ሁኔታ አንዳንድ ጥቃቶችን ልናመልጥ እንችላለን. በተጨማሪም የ SPAN ወደብ ለሌሎች ፍላጎቶች ሊቀመጥ ይችላል. በውጤቱም፣ ኔትዎርክዎን ባለዎት የሴንሰሮች ብዛት ለመሸፈን (እና ይህንን ከ IT ጋር ለማስተባበር) ያለውን የኔትወርክ ቶፖሎጂ መገምገም እና በእሱ ላይ ማስተካከያ ማድረግ አለብን።

የእርስዎ አውታረ መረብ ያልተመጣጠነ መስመሮችን ቢጠቀምስ? እና ኤስዲኤንን ተግባራዊ ካደረጉ ወይም ለመተግበር ካቀዱ? ነገር ግን ቨርቹዋል የተሰሩ ማሽኖችን ወይም ኮንቴይነሮችን ትራፊክ ወደ አካላዊ ማብሪያ / ማጥፊያ / ማብሪያ / ማጥፊያ / ማብሪያ / ማጥፊያ / ኮንቴይነሮችን መከታተል ቢያስፈልግስ? እነዚህ ባህላዊ የIDS አቅራቢዎች እንዴት እንደሚመልሱ ስለማያውቁ የማይወዷቸው ጥያቄዎች ናቸው። ምናልባት እነዚህ ሁሉ ፋሽን ቴክኖሎጂዎች አበረታች ናቸው እና እርስዎ አያስፈልጓቸውም ብለው ያሳምኑዎታል። ምናልባት ትንሽ የመጀመር አስፈላጊነትን ይነጋገራሉ. ወይም ደግሞ በአውታረ መረቡ መሃል ላይ ኃይለኛ አውዳሚ ማድረግ እና የጭነት ሚዛንን በመጠቀም ሁሉንም ትራፊክ ወደ እሱ መምራት ያስፈልግዎታል ይሉ ይሆናል። ምንም አይነት አማራጭ ቢሰጡዎት, እርስዎ እራስዎ እንዴት ለእርስዎ እንደሚስማማ በግልፅ መረዳት አለብዎት. እና ከዚያ በኋላ ብቻ የአውታር መሠረተ ልማት የመረጃ ደህንነትን ለመቆጣጠር የአቀራረብ ምርጫ ላይ ውሳኔ ያድርጉ. ወደ ፓኬት ቀረጻ ስንመለስ, ይህ ዘዴ በጣም ተወዳጅ እና አስፈላጊ ሆኖ እንደቀጠለ መናገር እፈልጋለሁ, ነገር ግን ዋናው ዓላማው የድንበር ቁጥጥር ነው; በድርጅትዎ እና በይነመረብ መካከል ያሉ ድንበሮች, በመረጃ ማእከል እና በተቀረው አውታረመረብ መካከል ያሉ ድንበሮች, በሂደት ቁጥጥር ስርዓት እና በድርጅት ክፍል መካከል ያሉ ወሰኖች. በነዚህ ቦታዎች፣ ክላሲክ መታወቂያዎች/አይፒኤስ አሁንም የመኖር እና በተግባራቸው ጥሩ ስራ የመስራት መብት አላቸው።

ወደ ሁለተኛው አማራጭ እንሂድ። ከአውታረ መረብ መሳሪያዎች የሚመጡ ክስተቶችን ትንተና ለጥቃቅን ማፈላለጊያ ዓላማዎችም ሊያገለግል ይችላል, ነገር ግን እንደ ዋናው ዘዴ አይደለም, ምክንያቱም ትንሽ የጠለፋ ክፍልን ብቻ ስለሚያውቅ. በተጨማሪም ፣ አንዳንድ አፀፋዊ እንቅስቃሴዎች በውስጡ አሉ - ጥቃት መጀመሪያ መከሰት አለበት ፣ ከዚያ በአውታረ መረብ መሣሪያ መስተካከል አለበት ፣ ይህም በአንድ ወይም በሌላ መንገድ የመረጃ ደህንነት ችግርን ያሳያል። ብዙ እንደዚህ ያሉ ዘዴዎች አሉ. እሱ syslog ፣ RMON ወይም SNMP ሊሆን ይችላል። በመረጃ ደህንነት አውድ ውስጥ የመጨረሻዎቹ ሁለት ፕሮቶኮሎች ጥቅም ላይ የሚውሉት በኔትወርኩ መሳሪያዎች ላይ የ DoS ጥቃትን መለየት ከፈለግን ብቻ ነው ፣ RMON እና SNMP ን በመጠቀም ፣ ለምሳሌ በመሳሪያው ማዕከላዊ ፕሮሰሰር ላይ ያለውን ጭነት ወይም መከታተል ይችላሉ ። የእሱ በይነገጾች. ይህ “በጣም ርካሹ” አንዱ ነው (ሁሉም ሰው syslog ወይም SNMP አለው)፣ ነገር ግን የውስጥ መሠረተ ልማትን የመረጃ ደህንነት ለመቆጣጠር ከሁሉም መንገዶች በጣም ውጤታማ ያልሆነው ነው - ብዙ ጥቃቶች በቀላሉ ከእሱ ተደብቀዋል። እርግጥ ነው, እነሱ ችላ ሊባሉ አይገባም, እና ተመሳሳይ syslog ትንተና መሣሪያው በራሱ ውቅር ላይ ለውጦችን በጊዜው ለመለየት ይረዳል, የሚያበላሽ, ነገር ግን በመላው አውታረ መረብ ላይ ጥቃቶችን ለመለየት በጣም ተስማሚ አይደለም.

ሶስተኛው አማራጭ ከበርካታ የፍሰት ፕሮቶኮሎች ውስጥ አንዱን በሚደግፍ መሳሪያ ውስጥ ስለሚያልፍ የትራፊክ ፍሰት መረጃን መተንተን ነው። በዚህ ሁኔታ ፣ ፕሮቶኮሉ ምንም ይሁን ምን ፣ የዥረት መሠረተ ልማት የግድ ሶስት አካላትን ያቀፈ ነው-

• የማመንጨት ወይም የኤክስፖርት ፍሰት. ይህ ሚና ብዙውን ጊዜ ለ ራውተር ፣ ማብሪያ ወይም ሌላ የአውታረ መረብ መሳሪያ ይመደባል ፣ ይህም የኔትወርክ ትራፊክን በራሱ ውስጥ በማለፍ ቁልፍ መለኪያዎችን ከእሱ ለማውጣት ያስችልዎታል ፣ ከዚያ ወደ ስብስቡ ሞጁል ይተላለፋል። ለምሳሌ የCisco Netflow ፕሮቶኮል የሚደገፈው በራውተር እና ስዊች ላይ ብቻ ሳይሆን ቨርቹዋል እና ኢንደስትሪውን ጨምሮ በገመድ አልባ ተቆጣጣሪዎች፣ፋየርዎል እና ሰርቨሮች ላይ ጭምር ነው።
• የስብስብ ፍሰት. በዘመናዊው አውታረመረብ ውስጥ ብዙውን ጊዜ ከአንድ በላይ የኔትወርክ መሳሪያዎች እንዳሉ ከግምት ውስጥ በማስገባት ጅረቶችን የመሰብሰብ እና የማዋሃድ ችግር ይፈጠራል, ይህም ሰብሳቢ በሚባሉት እርዳታ የተቀበሉትን ዥረቶች በማቀነባበር እና ከዚያም ለመተንተን ያስተላልፋሉ.
• ፍሰት ትንተና. ተንታኙ ዋናውን የአዕምሮ ስራ ይወስዳል እና የተለያዩ ስልተ ቀመሮችን በጅረቶች ላይ በመተግበር የተወሰኑ ድምዳሜዎችን ይሰጣል። ለምሳሌ፣ በ IT ተግባር ውስጥ፣ እንደዚህ አይነት ተንታኝ የኔትወርክ ማነቆዎችን መለየት ወይም የትራፊክ ጭነት ፕሮፋይሉን የበለጠ ኔትወርኩን ለማመቻቸት ይችላል። እና ለመረጃ ደህንነት፣ እንደዚህ አይነት ተንታኝ የመረጃ ፍንጮችን፣ የተንኮል ኮድ ስርጭትን ወይም የ DoS ጥቃቶችን መለየት ይችላል።

እንደዚህ ዓይነቱ ባለ ሶስት-ደረጃ አርክቴክቸር በጣም የተወሳሰበ ነው ብለው አያስቡ - ሁሉም ሌሎች አማራጮች (ከ SNMP እና RMON ጋር የሚሰሩ የአውታረ መረብ ቁጥጥር ስርዓቶች በስተቀር) እንዲሁ በእሱ መሠረት ይሰራሉ። ለመተንተን ዳታ ጀነሬተር አለን ይህም የኔትወርክ መሳሪያ ወይም ራሱን የቻለ ዳሳሽ ነው። የማንቂያ ማሰባሰብያ ስርዓት አለን እና ለጠቅላላው የክትትል መሠረተ ልማት አስተዳደር ስርዓት አለን ። የመጨረሻዎቹ ሁለት አካላት በአንድ መስቀለኛ መንገድ ውስጥ ሊጣመሩ ይችላሉ, ነገር ግን ብዙ ወይም ባነሰ ትላልቅ አውታረ መረቦች ውስጥ አብዛኛውን ጊዜ መጠነ-ሰፊ እና አስተማማኝነትን ለማረጋገጥ ቢያንስ በሁለት መሳሪያዎች ላይ ይሰራጫሉ.

የእያንዳንዱ ፓኬት ራስጌ እና የመረጃ አካል ጥናት እና እነሱን ባካተቱት ክፍለ-ጊዜዎች ላይ ከተመሠረተው የፓኬት ትንተና በተቃራኒ የፍሰት ትንተና ስለ መረብ ትራፊክ ሜታዳታ በማሰባሰብ ላይ የተመሰረተ ነው። መቼ፣ ስንት፣ ከየት እና ከየት፣ እንዴት... የኔትዎርክ ቴሌሜትሪ ትንተና የተለያዩ የፍሰት ፕሮቶኮሎችን በመጠቀም የሚመልሳቸው ጥያቄዎች ናቸው። መጀመሪያ ላይ ስታቲስቲክስን ለመተንተን እና በኔትወርኩ ውስጥ የ IT ችግሮችን ለመፈለግ ያገለግሉ ነበር, ነገር ግን እንደ የትንታኔ ዘዴዎች እድገት, ለደህንነት ዓላማዎች ወደ ተመሳሳይ ቴሌሜትሪ መተግበር ተቻለ. እዚህ ላይ የፍሰት ትንተና የፓኬት ቀረጻን እንደማይተካ ወይም እንደማይተካ መደጋገሙ ጠቃሚ ነው. እያንዳንዳቸው እነዚህ ዘዴዎች የራሳቸው ወሰን አላቸው. ነገር ግን በዚህ ጽሑፍ አውድ ውስጥ የውስጥ መሠረተ ልማትን ለመከታተል በጣም ተስማሚ የሆነው ፍሰት ትንተና ነው. ጥቃት ሊያልፍ የማይችለው የአውታረ መረብ መሳሪያዎች (በሶፍትዌር በተገለጸው ፓራዳይም ወይም በስታቲስቲክስ ህግ መሰረት የሚሰሩ ናቸው) አልዎት። የሚታወቀውን የIDS ዳሳሽ ማለፍ ይችላል፣ ነገር ግን የፍሰት ፕሮቶኮሉን የሚደግፍ የአውታረ መረብ መሳሪያ አይደለም። ይህ የዚህ ዘዴ ጥቅም ነው.

በሌላ በኩል ለህግ አስከባሪ አካላት ወይም ለራስህ የክስተቶች አጣሪ ቡድን የማስረጃ መሰረት ካስፈለገህ ከፓኬት ቀረጻ ውጭ ማድረግ አትችልም - የኔትወርክ ቴሌሜትሪ ማስረጃን ለመሰብሰብ የሚያገለግል የትራፊክ ቅጂ አይደለም; በመረጃ ደህንነት መስክ ለፈጣን ፍለጋ እና ውሳኔ መስጠት ያስፈልጋል። በሌላ በኩል የቴሌሜትሪ ትንታኔን በመጠቀም ሁሉንም የኔትወርክ ትራፊክ "መፃፍ" አይችሉም (ምንም ከሆነ, Cisco በመረጃ ማእከሎች ውስጥም ይሳተፋል :-), ግን በጥቃቱ ውስጥ የተሳተፈውን ብቻ ነው. በዚህ ረገድ የቴሌሜትሪ መመርመሪያ መሳሪያዎች ባህላዊ የፓኬት ቀረጻ ዘዴዎችን በሚገባ ያሟላሉ, ይህም ለተመረጠ ቀረጻ እና ማከማቻ ትዕዛዝ ይሰጣል. ያለበለዚያ ትልቅ የማከማቻ መሠረተ ልማት ሊኖርዎት ይገባል ።

በ250Mbps እየሮጠ ያለ አውታረ መረብ አስቡት። ይህንን ሁሉ መጠን ለማስቀመጥ ከፈለጉ ለአንድ ሰከንድ የትራፊክ ማስተላለፍ 31 ሜባ ማከማቻ ፣ ለአንድ ደቂቃ 1,8 ጂቢ ፣ ለአንድ ሰዓት 108 ጂቢ እና ለአንድ ቀን 2,6 ቴባ ያስፈልግዎታል ። የመተላለፊያ ይዘት ካለው አውታረ መረብ ዕለታዊ መረጃን ለማከማቸት 10 Gb/s 108 ቴባ ማከማቻ ያስፈልግዎታል። ነገር ግን አንዳንድ ተቆጣጣሪዎች የደህንነት መረጃን ለዓመታት እንዲያከማቹ ይጠይቃሉ። በነገራችን ላይ ስለ የአውታረ መረብ ቴሌሜትሪ የተቀዳው የውሂብ መጠን እና ሙሉ የውሂብ ቀረጻ መጠን ከተነጋገርን በግምት ከ 1 እስከ 500 ነው ። ከላይ ለተጠቀሱት ተመሳሳይ እሴቶች የሙሉ ዲክሪፕት ማከማቻ። ከሁሉም ዕለታዊ ትራፊክ 5 እና 216 ጂቢ ይሆናል, (ለተለመደው ፍላሽ አንፃፊ እንኳን መጻፍ ይችላሉ).

ጥሬ ኔትወርክ መረጃን ለትንታኔ መሳሪያዎች የመቅረጽ ዘዴ ከሞላ ጎደል ከሻጭ ወደ ሻጭ ተመሳሳይ ከሆነ፣ በዥረት ትንተና ሁኔታው ​​የተለየ ነው። በርካታ የፍሰት ፕሮቶኮሎች ተለዋጮች አሉ፣ በደኅንነት አውድ ውስጥ ማወቅ ያለብዎት ልዩነቶች። በጣም ታዋቂው በሲስኮ የተገነባው የ Netflow ፕሮቶኮል ነው። በችሎታቸው እና ስለ ትራፊክ የተመዘገበው የመረጃ መጠን የሚለያዩ የዚህ ፕሮቶኮል በርካታ ስሪቶች አሉ። የአሁኑ እትም ዘጠነኛው (Netflow v9) ነው, ከእሱ የኢንደስትሪ ደረጃ Netflow v10, እንዲሁም IPFIX በመባል የሚታወቀው, የተሰራ ነው. ዛሬ, አብዛኛዎቹ የአውታረ መረብ አቅራቢዎች Netflow ወይም IPFIX በመሳሪያዎቻቸው ውስጥ ይደግፋሉ. ነገር ግን ሌሎች የተለያዩ የፍሰት ፕሮቶኮሎች ልዩነቶች አሉ - sFlow፣ jFlow፣ cFlow፣ rFlow፣ NetStream፣ ወዘተ፣ ከእነዚህም ውስጥ sFlow በጣም ታዋቂ ነው። በአተገባበር ቀላልነት ምክንያት በአብዛኛው በአገር ውስጥ አምራቾች የኔትወርክ እቃዎች የሚደገፈው እሱ ነው. በNetflow ፣ እንደ ትክክለኛ ደረጃ እና በተመሳሳዩ sFlow መካከል ያሉ ቁልፍ ልዩነቶች ምንድ ናቸው? ጥቂት ቁልፍ የሆኑትን አጉልቼ ነበር። በመጀመሪያ፣ Netflow በ sFlow ውስጥ ካሉ ቋሚ መስኮች በተቃራኒ በተጠቃሚ የሚዋቀሩ መስኮች አሉት። እና በሁለተኛ ደረጃ, እና በእኛ ሁኔታ ውስጥ ይህ በጣም አስፈላጊው ነገር ነው, sFlow ናሙና ቴሌሜትሪ ተብሎ የሚጠራውን ይሰበስባል; ናሙና ከሌለው Netflow እና IPFIX በተለየ። በመካከላቸው ያለው ልዩነት ምንድን ነው?

መጽሐፉን ለማንበብ እንደወሰንክ አድርገህ አስብ.የደህንነት ስራዎች ማእከል፡ የእርስዎን SOC መገንባት፣ መስራት እና መጠበቅ” ባልደረቦቼ ጋሪ ማኪንታይር፣ ጆሴፍ ሙኒትስ እና ናደም አልፋርዳን (የመጽሐፉን የተወሰነ ክፍል ከአገናኙ ላይ ማውረድ ትችላለህ)። ግቡን ለማሳካት ሶስት አማራጮች አሉዎት - መጽሐፉን ሙሉ በሙሉ ያንብቡ ፣ በእሱ ውስጥ ይንሸራተቱ ፣ በየ 10 ኛው እና 20 ኛ ገጽ ላይ ያቁሙ ፣ ወይም እንደ ስማርት ንባብ ባሉ ብሎግ ወይም አገልግሎት ውስጥ ቁልፍ ጽንሰ-ሀሳቦችን እንደገና ለማግኘት ይሞክሩ። ስለዚህ, ናሙና ያልሆነ ቴሌሜትሪ የእያንዳንዱን "ገጽ" የኔትወርክ ትራፊክ ማንበብ ነው, ማለትም ለእያንዳንዱ ፓኬት ሜታዳታ ትንተና. የናሙና ቴሌሜትሪ የተመረጡት ናሙናዎች እርስዎ የሚፈልጉትን እንደሚሆኑ በማሰብ የተመረጠ የትራፊክ ጥናት ነው። እንደ ቻናሉ ፍጥነት፣ ናሙና የተደረገው ቴሌሜትሪ በየ64ኛው፣ 200ኛው፣ 500ኛው፣ 1000ኛው፣ 2000ኛው ወይም 10000ኛው ፓኬት ለመተንተን ይልካል።

በኢንፎርሜሽን ደህንነት ቁጥጥር አውድ ውስጥ ይህ ማለት ናሙና የተደረገው ቴሌሜትሪ የ DDoS ጥቃቶችን ለመለየት ፣ ለመቃኘት ፣ ተንኮል አዘል ኮድ ለማሰራጨት በጣም ተስማሚ ነው ፣ ግን ለትንተና በተላከው ናሙና ውስጥ ያልተካተቱ የአቶሚክ ወይም የብዙ ፓኬት ጥቃቶችን ሊያመልጥ ይችላል። ያልተጣራ ቴሌሜትሪ ከእሱ ጋር ምንም አይነት ድክመቶች የሉትም. የተገኙትን ጥቃቶች መጠን መጠቀም በጣም ሰፊ ነው. የኔትወርክ ቴሌሜትሪ መመርመሪያ መሳሪያዎችን በመጠቀም ሊገኙ የሚችሉ ትንሽ የክስተቶች ዝርዝር እነሆ።

እርግጥ ነው፣ አንዳንድ ክፍት ምንጭ Netflow analyzer ይህን እንዲያደርጉ አይፈቅድልዎትም ምክንያቱም ዋናው ስራው ቴሌሜትሪ መሰብሰብ እና በእሱ ላይ መሰረታዊ ትንታኔዎችን ከ IT እይታ አንጻር ማካሄድ ነው. የአይኤስን ስጋቶች በፍሰት ላይ በመመስረት ለመለየት የተለያዩ ሞተሮችን እና ስልተ ቀመሮችን በማዘጋጀት ተንታኙን ማስታጠቅ አስፈላጊ ሲሆን እነዚህም የሳይበር ደህንነት ችግሮችን መደበኛ ወይም ብጁ የኔትፍሰት መስኮችን በመለየት፣ መደበኛ መረጃዎችን ከተለያዩ የስጋት ኢንተለጀንስ ምንጮች በውጫዊ መረጃ በማበልጸግ ወዘተ.

ስለዚህ, ምርጫ ካለዎት, በ Netflow ወይም IPFIX ላይ ያቁሙት. ነገር ግን መሳሪያዎ ልክ እንደ የቤት ውስጥ አምራቾች ከ sFlow ጋር ብቻ ቢሰራም, በዚህ ሁኔታ ውስጥ እንኳን በደህንነት አውድ ውስጥ ሊጠቀሙበት ይችላሉ.

እ.ኤ.አ. በ 2019 የበጋ ወቅት የሩሲያ የኔትወርክ ብረት አምራቾች ያሏቸውን እድሎች ተንትቻለሁ ፣ እና ሁሉም ከኤንኤስጂ ፣ ፖሊጎን እና ክራፍትዌይ በስተቀር ለ sFlow (ቢያንስ Zelaks ፣ Natex ፣ Eltex ፣ QTech ፣ Rusteletech) ድጋፍ አስታወቁ።

ከእርስዎ በፊት የሚነሳው ቀጣዩ ጥያቄ ለደህንነት ዓላማዎች የፍሰት ድጋፍ የት እንደሚተገበር ነው? እንደ እውነቱ ከሆነ, ጥያቄው በትክክል አልተቀመጠም. በዘመናዊ መሳሪያዎች ላይ, የፍሰት ፕሮቶኮሎች ሁልጊዜ ማለት ይቻላል ይደገፋሉ. ስለዚህ, ጥያቄውን በተለየ መንገድ እቀይራለሁ - ከደህንነት እይታ አንጻር ቴሌሜትሪ ለመሰብሰብ በጣም ውጤታማው መንገድ የት ነው? መልሱ በጣም ግልፅ ይሆናል - በመዳረሻ ደረጃ ፣ ከሁሉም ትራፊክ 100% በሚያዩበት ፣ በአስተናጋጆች (MAC ፣ VLAN ፣ በይነገጽ መታወቂያ) ላይ ዝርዝር መረጃ በሚያገኙበት ፣ በአስተናጋጆች መካከል የ P2P ትራፊክን እንኳን መከታተል ይችላሉ ፣ ይህም ተንኮል-አዘል ኮድን ለመለየት እና ለማሰራጨት በጣም አስፈላጊ ነው። በዋና ደረጃ፣ አንዳንድ ትራፊክን በቀላሉ ላያዩ ይችላሉ፣ ነገር ግን በፔሪሜትር ደረጃ ላይ ከአውታረ መረብዎ ሩብ ትራፊክ ከሆነ በደንብ ያያሉ። ነገር ግን በሆነ ምክንያት አጥቂዎች ፔሪሜትርን በማለፍ "እንዲገቡ እና እንዲወጡ" የሚፈቅዱ በአውታረ መረብዎ ላይ ውጫዊ መሳሪያዎች ካሉዎት ቴሌሜትሪውን ከእሱ መተንተን ምንም አይሰጥዎትም። ስለዚህ ለከፍተኛ ሽፋን የቴሌሜትሪ መሰብሰብን በመዳረሻ ደረጃ ለማንቃት ይመከራል. በተመሳሳይ ጊዜ, ስለ ቨርቹዋል ወይም ኮንቴይነሮች እየተነጋገርን ቢሆንም, ዘመናዊ ምናባዊ ማብሪያዎች ብዙ ጊዜ ፍሰትን እንደሚደግፉ ልብ ሊባል የሚገባው ነው, ይህም እዚያም ትራፊክን እንዲቆጣጠሩ ያስችልዎታል.

ነገር ግን ርዕሱን ስላነሳሁ ለጥያቄው መልስ መስጠት አለብኝ ፣ ከሁሉም በላይ ፣ መሣሪያው አካላዊ ወይም ምናባዊ ፣ የፍሰት ፕሮቶኮሎችን የማይደግፍ ከሆነስ? ወይስ በውስጡ ማካተት የተከለከለ ነው (ለምሳሌ, አስተማማኝነትን ለማረጋገጥ በኢንዱስትሪ ክፍሎች ውስጥ)? ወይም እሱን ማብራት ከፍተኛ የሲፒዩ አጠቃቀምን ያስከትላል (ይህ በአሮጌ ሃርድዌር ላይ ይከሰታል)? ይህንን ችግር ለመፍታት ልዩ ቨርቹዋል ሴንሰሮች (ፍሰት ዳሳሽ) አሉ እነሱም በመሠረቱ ተራ ከፋፋዮች በራሳቸው ውስጥ ትራፊክን በማለፍ ወደ ስብስቡ ሞጁል ፍሰት መልክ ያስተላልፋሉ። እውነት ነው, በዚህ ጉዳይ ላይ ከፓኬት መያዢያ መሳሪያዎች ጋር በተያያዘ ከላይ የተነጋገርነውን አጠቃላይ የችግር ክምር እናገኛለን. ማለትም የፍሰት ትንተና ቴክኖሎጂን ጥቅሞች ብቻ ሳይሆን ውሱንነቶችንም መረዳት ያስፈልጋል።

ስለ ፍሰት ትንተና መሳሪያዎች ሲናገሩ ማስታወስ አስፈላጊ የሆነ አንድ ተጨማሪ ነጥብ. የ EPS (ክስተት በሴኮንድ፣ክስተቶች በሰከንድ) መለኪያን ከተጠቀምንበት ከተለመዱት የደህንነት ክንውኖች ጋር በተያያዘ ይህ አመላካች በቴሌሜትሪ ትንታኔ ላይ ተፈፃሚ አይሆንም። በ FPS (በሴኮንድ ፍሰት, በሰከንድ ፍሰት) ይተካል. እንደ EPS ሁኔታ, አስቀድሞ ሊሰላ አይችልም, ነገር ግን አንድ የተወሰነ መሣሪያ እንደ ሥራው የሚያመነጨውን ግምታዊ የክሮች ብዛት መገመት ይቻላል. በበይነመረቡ ላይ ለተለያዩ የድርጅት መሳሪያዎች እና ሁኔታዎች ግምታዊ ዋጋዎች ያላቸውን ጠረጴዛዎች ማግኘት ይችላሉ ፣ ይህም ለመተንተን መሳሪያዎች ምን ዓይነት ፈቃዶች እንደሚፈልጉ ለመገመት እና የእነሱ አርክቴክቸር ምን ሊሆን ይችላል? እውነታው ግን የአይዲኤስ ዳሳሽ በተወሰነ የመተላለፊያ ይዘት የተገደበ ነው, እሱም "ይወጣዋል", እና ፍሰት ሰብሳቢው መረዳት ያለባቸው የራሱ ገደቦች አሉት. ስለዚህ, በትልቅ, በጂኦግራፊያዊ የተከፋፈሉ አውታረ መረቦች, ብዙውን ጊዜ ብዙ ሰብሳቢዎች አሉ. ስገልጽ በሲስኮ ውስጥ አውታረ መረቡ እንዴት እንደሚቆጣጠር, የኛን ሰብሳቢዎች ቁጥር አስቀድሜ ሰጥቻለሁ - ከእነዚህ ውስጥ 21 ቱ አሉ. እና ይህ በአምስት አህጉራት ውስጥ የተበታተነ አውታረመረብ እና ወደ ግማሽ ሚሊዮን የሚጠጉ ንቁ መሳሪያዎች ናቸው).

የራሳችንን መፍትሄ እንደ Netflow የክትትል ስርዓት እንጠቀማለን። Cisco Stealth Watchበተለይም የደህንነት ችግሮችን በመፍታት ላይ ያተኮረ ነው። ያልተለመደ ፣ አጠራጣሪ እና ግልፅ የሆነ ተንኮል አዘል እንቅስቃሴን ለመለየት ብዙ አብሮ የተሰሩ ሞተሮች አሉት ፣ ይህም የተለያዩ አደጋዎችን ለመለየት ያስችላል - ከክሪፕቶሚንግ እስከ የመረጃ ፍሰት ፣ ከተንኮል-አዘል ኮድ ስርጭት እስከ ማጭበርበር። ልክ እንደ አብዛኞቹ የፍሰት ተንታኞች፣ Stealthwatch በሶስት-ደረጃ እቅድ (ጄነሬተር - ሰብሳቢ - ተንታኝ) ላይ ተገንብቷል ፣ ግን ከግምት ውስጥ በሚገቡት ቁሳቁሶች አውድ ውስጥ አስፈላጊ በሆኑ በርካታ አስደሳች ባህሪዎች ተጨምሯል። በመጀመሪያ፣ ከፓኬት ቀረጻ መፍትሄዎች (እንደ ሲሲስኮ ሴኩሪቲ ፓኬት ተንታኝ) ጋር ይዋሃዳል፣ ይህም በኋላ ላይ ጥልቅ ምርመራ እና ትንተና የተመረጡ የአውታረ መረብ ክፍለ ጊዜዎችን እንዲመዘግቡ ያስችልዎታል። በሁለተኛ ደረጃ, በተለይም የደህንነት ስራዎችን ለማስፋት ልዩ የ nvzFlow ፕሮቶኮል አዘጋጅተናል, ይህም በመጨረሻው ኖዶች (ሰርቨሮች, የስራ ቦታዎች, ወዘተ) ላይ የመተግበሪያ እንቅስቃሴን ወደ ቴሌሜትሪ "ማሰራጨት" እና ለበለጠ ትንተና ወደ ሰብሳቢው ያስተላልፉ. በመጀመሪያ ስሪቱ Stealthwatch በኔትወርክ ደረጃ ከማንኛውም የፍሰት ፕሮቶኮል (sFlow ፣ rFlow ፣ Netflow ፣ IPFIX ፣ cFlow ፣ jFlow ፣ NetStream) ጋር የሚሰራ ከሆነ የ nvzFlow ድጋፍ መረጃ በመስቀለኛ ደረጃም እንዲዛመድ ያስችለዋል። አጠቃላይ የስርዓት ቅልጥፍናን ማሻሻል እና ከተለመዱት የአውታረ መረብ ፍሰት ተንታኞች የበለጠ ጥቃቶችን ማየት።

ከደህንነት እይታ አንጻር ስለ Netflow ትንተና ስርዓቶች ሲናገሩ, ገበያው ከሲስኮ አንድ መፍትሄ ብቻ የተወሰነ እንዳልሆነ ግልጽ ነው. ሁለቱንም የንግድ እና ነፃ ወይም የአክሲዮን መፍትሄዎችን መጠቀም ይችላሉ። በሲስኮ ብሎግ ላይ የተፎካካሪዎችን መፍትሄ ብጠቅስ በጣም እንግዳ ነገር ነው ፣ስለዚህ የኔትወርክ ቴሌሜትሪ ሁለት ታዋቂ ፣ በስም ተመሳሳይ ፣ ግን አሁንም የተለያዩ መሳሪያዎችን በመጠቀም እንዴት እንደሚተነተን ጥቂት ቃላት እላለሁ - SiLK እና ELK።

SiLK በአሜሪካ CERT/CC የተዘጋጀው የትራፊክ ትንተና መሳሪያ ስብስብ ነው (የኢንተርኔት-ደረጃ እውቀት ስርዓት) እና በዛሬው አንቀጽ አውድ ውስጥ Netflow (5 ኛ እና 9 ኛ ፣ በጣም ታዋቂ ስሪቶች) ፣ IPFIX እና sFlow እና የተለያዩ መገልገያዎችን (rwfilter, rwcount, rwflowpack, ወዘተ) በመጠቀም በኔትወርክ ቴሌሜትሪ ላይ የተለያዩ ስራዎችን ለመስራት በውስጡ ያልተፈቀዱ ድርጊቶች ምልክቶችን ለመለየት. ግን ልብ ሊሏቸው የሚገቡ ሁለት ጠቃሚ ነገሮች አሉ። SiLK የትእዛዝ መስመር መሳሪያ ነው እና የመስመር ላይ ትንታኔን ያካሂዳል፣ ሁሉንም የቅጹን ትዕዛዝ በሚተይቡበት ጊዜ (ከ 200 ባይት በላይ የሆኑ የ ICMP ፓኬቶችን መለየት)

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

በጣም ምቹ አይደለም. የ iSiLK GUI ን መጠቀም ትችላለህ፣ ነገር ግን ተንታኙን ምትክ ሳይሆን የእይታ ተግባርን በመፍታት ህይወቶን ቀላል አያደርገውም። እና ይህ ሁለተኛው ነጥብ ነው. እንደ ንግድ መፍትሄዎች ፣ ቀድሞውኑ ጠንካራ የትንታኔ መሠረት ፣ ከሥራ ፍሰት ጋር የሚዛመዱ ያልተለመዱ የመለኪያ ስልተ ቀመሮች ፣ ወዘተ. ፣ በሲልኬ ሁኔታ ፣ ይህንን ሁሉ እራስዎ ማድረግ አለብዎት ፣ ይህም ቀድሞውኑ ዝግጁ ከመጠቀም ይልቅ ከእርስዎ ትንሽ የተለየ ችሎታ ይጠይቃል። -የአጠቃቀም መሣሪያ ስብስብ። ይህ ጥሩ እና መጥፎ አይደለም - ይህ ምን ማድረግ እንዳለብዎት ከሚያውቁት እውነታ የሚመጣው የማንኛውም ነፃ መሣሪያ ባህሪ ነው ፣ እና በዚህ ብቻ ይረዳዎታል (የንግድ መሳሪያዎች በተጠቃሚዎቹ ብቃት ላይ ጥገኛ አይደሉም ፣ ምንም እንኳን ተንታኞች የኔትወርክ ምርመራዎችን እና ክትትልን የማካሄድ ቢያንስ መሰረታዊ ነገሮችን እንደሚረዱ ቢያስብም)። ግን ወደ SiLK ተመለስ። ከእሱ ጋር ያለው ተንታኝ የሥራ ዑደት እንደሚከተለው ነው-

• መላምት መፈጠር። በኔትወርክ ቴሌሜትሪ ውስጥ ምን እንደምንፈልግ መረዳት አለብን፣ የተወሰኑ ያልተለመዱ ነገሮችን ወይም ስጋቶችን የምንለይባቸውን ልዩ ባህሪያት ማወቅ አለብን።
• ሞዴል ግንባታ. መላምት ከቀረፅን በኋላ፣ በሲልኬ ውስጥ ያልተካተቱትን ተመሳሳይ ፓይዘን፣ ሼል ወይም ሌሎች መሳሪያዎችን በመጠቀም ፕሮግራም እናደርጋለን።
• በመሞከር ላይ። የSILK መገልገያዎችን ከ'rw'፣ 'set'፣ 'bag' ጀምሮ በመጠቀም የተረጋገጠውን ወይም ውድቅ የሆነውን የእኛን መላምት ትክክለኛነት የምንፈትሽበት ጊዜ ነው።
• የእውነተኛ ውሂብ ትንተና. በንግድ ሥራ ላይ, SiLK አንድን ነገር ለመለየት ይረዳናል እና ተንታኙ "የጠበቅነውን አግኝተናል?", "ይህ ከኛ መላምት ጋር ይዛመዳል?", "የሐሰት አወንታዊዎችን ቁጥር እንዴት ይቀንሳል?", ለሚሉት ጥያቄዎች መልስ መስጠት አለበት. "የእውቅና ደረጃን እንዴት ማሻሻል ይቻላል?" እናም ይቀጥላል.
• መሻሻል። በመጨረሻው ደረጃ ፣ ቀደም ሲል የተከናወነውን እናሻሽላለን - አብነቶችን እንፈጥራለን ፣ ኮዱን እናሻሽላለን ፣ መላምቱን እናስተካክላለን ፣ ወዘተ.

ይህ ዑደት ለተመሳሳይ Cisco Stealthwatch ተፈጻሚ ይሆናል፣ የመጨረሻዎቹ አምስት ደረጃዎች ብቻ ወደ ከፍተኛው በራስ ሰር የሚሰሩ፣ የተንታኞችን ስህተቶች ብዛት በመቀነስ እና የአደጋ ማወቂያን ውጤታማነት ይጨምራል። ለምሳሌ፣ በሲልኬ፣ የእራስዎን ስክሪፕቶች በመጠቀም በተንኮል አዘል አይፒዎች ላይ የኔትወርክ ስታቲስቲክስን ማበልጸግ ይችላሉ፣ እና በሲስኮ Stealthwatch ውስጥ ይህ አብሮ የተሰራ ተግባር ሲሆን በተከለከሉት የአይፒ አድራሻዎች በአውታረ መረብ ውስጥ ከተፈጠረ ወዲያውኑ ማንቂያ ያሳየዎታል። ትራፊክ.

ፍሰትን ለመተንተን “የሚከፈልበት” ሶፍትዌርን ፒራሚድ ከወጣህ ፍፁም ነፃ የሆነው SiLK በ shareware ELK ይከተላል ፣ ይህም ሶስት ቁልፍ አካላትን ያቀፈ ነው - Elasticsearch (መረጃ ጠቋሚ ፣ ፍለጋ እና ትንተና) ፣ Logstash (የውሂብ ግብዓት / ውፅዓት)። ) እና ኪባና (እይታ). እንደ SiLK ሳይሆን ሁሉንም ነገር እራስዎ መፃፍ ካለብዎት፣ ELK አስቀድሞ ብዙ የተዘጋጁ ቤተ-መጻሕፍት / ሞጁሎች (አንዳንዶቹ ተከፍለዋል፣ አንዳንዶቹም አይደሉም) የኔትወርክ ቴሌሜትሪ ትንታኔን በራስ ሰር የሚሠሩ ናቸው። ለምሳሌ, በ Logstash ውስጥ ያለው የጂኦአይፒ ማጣሪያ ክትትል የሚደረግባቸውን የአይፒ አድራሻዎች ከጂኦግራፊያዊ ቦታቸው ጋር እንዲያገናኙ ይፈቅድልዎታል (ተመሳሳይ Stealthwatch ይህ አብሮ የተሰራ ተግባር አለው)።

በተጨማሪም ELK የጎደሉትን አካላት ወደዚህ የክትትል መፍትሄ የሚጨምር ትልቅ ማህበረሰብ አለው። ለምሳሌ, ከ Netflow, IPFIX እና sFlow ጋር ለመስራት ሞጁሉን መጠቀም ይችላሉ የመለጠጥ ፍሰትNetflowን ብቻ በሚደግፈው Logstash Netflow Module ካልረኩ

ፍሰትን በመሰብሰብ እና በውስጡ መፈለግ የበለጠ ቅልጥፍናን በመስጠት፣ ELK በአሁኑ ጊዜ በአውታረ መረብ ቴሌሜትሪ ውስጥ ያልተለመዱ ነገሮችን እና ስጋቶችን ለመለየት የበለፀገ አብሮ የተሰራ ትንታኔ የለውም። ማለትም ፣ ከላይ የተገለፀውን የህይወት ኡደት በመከተል ፣የተጣሱ ሞዴሎችን በተናጥል መግለፅ እና ከዚያ በጦርነት ስርዓት ውስጥ መጠቀም አለብዎት (አብሮ የተሰሩ ሞዴሎች የሉም)።

በእርግጥ ለ ELK የበለጠ የተራቀቁ ማራዘሚያዎች አሉ ፣ እሱም ቀድሞውኑ በኔትወርክ ቴሌሜትሪ ውስጥ ያልተለመዱ ነገሮችን ለመለየት አንዳንድ ሞዴሎችን ይይዛል ፣ ግን እንደዚህ ያሉ ማራዘሚያዎች ገንዘብ ያስከፍላሉ እና ጥያቄው ጨዋታው ሻማው ዋጋ ያለው ነው ወይ ነው - እራስዎ ተመሳሳይ ሞዴል ይፃፉ ፣ አተገባበሩን ይግዙ። የእርስዎን የክትትል መሣሪያ ወይም የኔትወርክ ትራፊክ ትንተና ክፍል የመዞሪያ ቁልፍ ይግዙ።

በአጠቃላይ በኔትዎርክ ቴሌሜትሪ (ለምሳሌ ሲሲሲስኮ ስቲልትዋች) ላይ ያሉ ችግሮችን እና ስጋቶችን ለመቆጣጠር ገንዘብ ማውጣቱ እና ዝግጁ የሆነ መፍትሄ መግዛት ይሻላል ወይ ወደ ውዝግብ መግባት አልፈልግም ወይም በራስዎ ለማወቅ እና ለማስተካከል ለእያንዳንዱ አዲስ ስጋት ተመሳሳይ SiLK፣ ELK ወይም nfdump ወይም OSU Flow Tools (እኔ የማወራው ስለ መጨረሻዎቹ ሁለቱ ነው። ተናገሩ ባለፈዉ ጊዜ)? ሁሉም ሰው ለራሱ ይመርጣል እና እያንዳንዱ ሰው ከሁለቱ አማራጮች አንዱን ለመምረጥ የራሱ የሆነ ምክንያት አለው. የኔትዎርክ ቴሌሜትሪ የውስጥ መሠረተ ልማትዎን የኔትወርክ ደህንነት ለማረጋገጥ በጣም ጠቃሚ መሳሪያ መሆኑን ለማሳየት ፈልጌ ነው እና እሱን ችላ እንዳትሉት ፣ ስሙ በመገናኛ ብዙኃን ውስጥ ከሥነ-ጽሑፍ መግለጫዎች ጋር ዝርዝሩ ውስጥ ላለመጨመር። "የተጠለፈ"፣ "የመረጃ ደህንነት መስፈርቶችን የማያከብር"፣ ስለ ውሂባቸው እና የደንበኛ ውሂብ ደህንነት ሳያስቡ።

ለማጠቃለል፣ የውስጥ መሠረተ ልማትዎን የመረጃ ደህንነት ቁጥጥር በሚገነቡበት ጊዜ መከተል ያለብዎትን ቁልፍ ምክሮች መዘርዘር እፈልጋለሁ።

1. እራስዎን በፔሚሜትር ብቻ አይገድቡ! ትራፊክን ከ ነጥብ A ወደ ነጥብ B ለማስተላለፍ ብቻ ሳይሆን የሳይበር ደህንነት ጉዳዮችን ለመፍታት የኔትወርክ መሠረተ ልማትን ይጠቀሙ (እና ይምረጡ)።
2. በኔትወርክ መሳሪያዎ ውስጥ ያሉትን የመረጃ ደህንነት መከታተያ ዘዴዎችን አጥኑ እና ተጠቀምባቸው።
3. ለውስጣዊ ቁጥጥር ፣ ለቴሌሜትሪ ትንታኔ ምርጫን ይስጡ - ከሁሉም የአውታረ መረብ መረጃ ደህንነት ጉዳዮች እስከ 80-90% እንዲደርሱዎት ይፈቅድልዎታል ፣ የአውታረ መረብ ፓኬቶችን ሲይዙ እና የማከማቻ ቦታን ለሁሉም የመረጃ ደህንነት ክስተቶች ሲቆጥቡ የማይቻለውን ሲያደርጉ።
4. ፍሰቶችን ለመከታተል Netflow v9 ወይም IPFIX ይጠቀሙ - በደህንነት አውድ ውስጥ ተጨማሪ መረጃ ይሰጣሉ እና IPv4 ብቻ ሳይሆን IPv6, MPLS, ወዘተ እንዲከታተሉ ያስችሉዎታል.
5. ናሙና ያልቀረበ የፍሰት ፕሮቶኮል ይጠቀሙ - ስጋቶችን ለመለየት ተጨማሪ መረጃ ይሰጣል። ለምሳሌ, Netflow ወይም IPFIX.
6. የአውታረ መረብ መሳሪያዎን ጭነት ያረጋግጡ - የፍሰት ፕሮቶኮሉን ሂደትም ማስተናገድ ላይችል ይችላል። ከዚያ ምናባዊ ዳሳሾችን ወይም Netflow Generation Applianceን ለመጠቀም ያስቡበት።
7. በመጀመሪያ ደረጃ ቁጥጥርን በመዳረሻ ደረጃ ላይ ይተግብሩ - ይህ 100% ሁሉንም የትራፊክ ፍሰት ለማየት እድል ይሰጥዎታል።
8. ምንም ምርጫ ከሌለዎት እና የሩሲያ አውታረ መረብ መሳሪያዎችን እየተጠቀሙ ከሆነ ፣ ከዚያ የፍሰት ፕሮቶኮሎችን የሚደግፍ ወይም የ SPAN / RSPAN ወደቦች ያሉት ይምረጡ።
9. በውስጣዊው አውታረመረብ ውስጥ (በደመና ውስጥም ጨምሮ) በድንበሮች እና የፍሰት ትንተና ስርዓቶች ላይ ጣልቃ-ገብነትን / ጥቃትን መለየት / መከላከልን ያጣምሩ።

የመጨረሻውን ምክር በተመለከተ፣ ከዚህ በፊት የሰጠሁትን ምሳሌ መስጠት እፈልጋለሁ። ከዚህ ቀደም የሲስኮ አይኤስ አገልግሎት ሙሉ ለሙሉ ማለት ይቻላል የ IS ቁጥጥር ስርዓቱን በወረራ ማወቂያ ስርዓቶች እና በፊርማ ዘዴዎች ላይ በመመስረት ገንብቶ ከነበረ፣ አሁን 20% ክስተቶችን ብቻ ይይዛሉ። ሌላ 20% ደግሞ በፍሰት ትንተና ስርዓቶች ተቆጥሯል, ይህም እነዚህ መፍትሔዎች ምኞት እንዳልሆኑ ይጠቁማል, ነገር ግን በዘመናዊ ኢንተርፕራይዝ የመረጃ ደህንነት አገልግሎቶች እንቅስቃሴዎች ውስጥ እውነተኛ መሳሪያ ነው. በተጨማሪም ፣ ለትግበራቸው በጣም አስፈላጊው ነገር አለዎት - የአውታረ መረብ መሠረተ ልማት ፣ ኢንቨስትመንቶች የመረጃ ደህንነት ቁጥጥር ተግባራትን ለአውታረ መረቡ በመመደብ በተጨማሪ ሊጠበቁ ይችላሉ።

በኔትወርክ ፍሰቶች ውስጥ ለተገኙ ያልተለመዱ ወይም ስጋቶች ምላሽ የመስጠትን ርዕስ ሆን ብዬ አልነኩትም ነገር ግን ክትትል ስጋትን በማወቅ ብቻ ማቆም እንደሌለበት ግልጽ ይመስለኛል። ምላሹን መከተል እና በተለይም በአውቶማቲክ ወይም በራስ-ሰር ሁነታ መሆን አለበት. ግን ይህ ለተለየ መጣጥፍ ርዕስ ነው።

ተጨማሪ መረጃ:

• Cisco IOS Netflow መግለጫ
• በተለያዩ የሲስኮ መፍትሔዎች ውስጥ የአውታረ መረብ ፍሰት ድጋፍ ማትሪክስ
• በተለያዩ Cisco መድረኮች ላይ Netflow ውቅር መመሪያ
• sFlow ማህበረሰብ
• የኔትዎርክ ፍሰትን ከደህንነት አንፃር ለመተንተን Stealtjwatch፣ SiLK እና ELKን ስለመጠቀም ላብራቶሪ
• ጣቢያ SiLK
• ባለ XNUMX-ገጽ መመሪያ SiLK ከብዙ ምሳሌዎች ጋር
• Logstash Netflow ሞዱል
• በኤልኬ ውስጥ የተጣራ ፍሰትን ለመተንተን Cisco ደረጃ በደረጃ መመሪያ
• Cisco ASA NetFlow v.9 ትንታኔ ከLogstash (ELK) ጋር
• Cisco Stealthwatch መፍትሔ

ፒ.ኤስ. ከዚህ በላይ የተጻፈውን ሁሉ ለማዳመጥ ለእርስዎ ቀላል ከሆነ, የዚህን ማስታወሻ መሰረት ያደረገውን የአንድ ሰዓት አቀራረብ ማየት ይችላሉ.

ምንጭ: hab.com