á¨ááľáŁá áŽáááŹá˝á ááá á¨áááŞáŤáá ááľááá á°á
áááľ ááá¨áłá°á á˛áᣠáĽááá˝ á¨áá¨á áá°áľ ááĽáĽá áĽá á¨á˛á¤áá áááľááá˝ áľáá ፠áá áŤáááąáłáᢠáĽá áĽáŤááá áááŁáŤáľ á¨áá¨áŠ áĽá á ááľáŁá á ááłá¨áá¨áĽ áá áĽááśá˝á áĽáá´áľ áĽáá°ááŤáá á¨á á¨á áááą áĽááá áá áľá áŁáá-áἠááá፠áľáááśá˝ (IDS) áá ááłáᢠáĽá á¨10-20 áááłáľ á ááľ áŤáá áĽá¸áá á ááŤá áᏠá áááŽááá áĽá¨áá ááᢠá¨á áá áá¤áłá áĽá á á ááłááľ áŚáłáá˝ á¨ááľáŁááá á ááłá¨áá¨áĽ ááá¨áłá°á áĽá¸áá á ááŤá á ááŤá á á - á¨áá°áľ ááŽáśáŽáá˝á ááá áá á ááááŞáŤ á¨á ááłá¨ áá¨áĽ á˝ááŽá˝á (áá ááá) ááááá á¨á°áá°á ᣠáá á¨áá á áá áá° á áŁá á áľá°áłá˝ á¨á°á
áááľ ááłáŞáŤ á°ááá ᢠáĽáá
áľá áá°áľ ááŽáśáŽáá˝ áá áĽáá°áá áĽá á¨áľááš á¨á ááłá¨ áá¨áĽ áĽááśá˝á á á°áťá áááł áááá¨áľ áĽáá°áá¨áą ᣠá¨áá°áľ ááĽáĽáá áá°áá á á¨á°áťáá á¨áľ áĽáá°áá ᣠáĽáá˛á
ááááąá áĽá
áľ á˛á áá áá áááá áĽááłáá áľ áĽá ááá áááś áááá á á¤áľ ááľáĽ ááłáŞáŤáá˝ áá áĽáá´áľ âááłá°áâ áĽáá°ááťá áĽáááááŤáá ᢠ, á áá
á˝áá áá°á ááľáĽ áĽáááááŤáá.
âá¨ááľáĽ áá á¨á° áááľá á°á
áááľ áá¨áłá°á ááá á áľáááá?â á ááá áĽáŤá áá á ááááᢠáá፠áááą ááá˝ áá. áá ᣠá˘ááá ᣠáᏠáŤááą ááľá¨á áĽáá°ááá˝á áĽáá°áá áá¨ááἠá¨ááá áŁ
á ááľááአá°á¨á ááá á¨á° áááľ ááľáľá áśáľáľ ááá á¨áá¨á áááŽá˝á áááťá¸ááááĄ-
- áá ááłááľ á¨áľááłá áľáááśá˝ á¨ááááá áĽá ááá°áá°á á¨ááááá á âáĽáŹâ áľáŤáááŁ
- áľáŤáá á¨ááŤáááŁá¸á á¨á ááłá¨ áá¨áĽ ááłáŞáŤáá˝ ááľá°áśá˝áŁ
- á á ááą áá°áľ ááŽáśáŽáá˝ á áŠá á¨á°áá áá á¨áľáŤáá áá¨áá˘
áĽáŹ áľáŤááá ááŤá á á°á
áááľ á°áá˝ áááľ á áŁá áłááá á ááŤá áá, ááááŤáąá á áłáŞá áłááˇá áĽá á áŁá á¨ááááŞáŤ áá á. á°áááˇá á¨á ááłá¨ áá¨áĽ áŁááááĽááľ ááá፠áľáááśá˝ (á¨ááááŞáŤá á¨áááľ áŁáá ááĽááľ ááá፠áľáááľ NetRanger á¨áá ááŠá á 1998 á á˛á˛á˛á˛ á¨á°ááá) á¨á°áá°á ááááá˝ á¨á°áááá áľá ááŹáśá˝á (áĽá á áá ááá áááá˝á) á áááłáľ áá áĽáť á°á°ááá°á áá á (âááłá á
áá˝â á ᨠFSTEC áááśá˝) ᣠá¨ááááľ áĽááśá˝á˘ á áĽááἠáĽáŹ áľáŤááá á IDS áĽáť áłááá á ááá˝ ááłáŞáŤáá˝ (áááłá Wiresharkᣠtcpdum ááá NBAR2 á°ááŁá á á˛áľáŽ IOS) áá°áá°á áá˝ááᣠááá áá á áĽáááá áá á¨áá¨á á°á
áááľ ááłáŞáŤá á¨á¤. áá°á á á¨á áᲠááłáŞáŤ.
áľááá , á¨áŁáá ááá፠áľáááśá˝. á ááŞááľá (ááá á˘áá - áŽáááŹáľ ᣠáłáł á´áá°á ᣠááá ᣠááá°.) áá áĽáŠ áĽáŤ á¨áá áŤá á¨á ááłá¨ áá¨áĽ áĽááśá˝á áááá¨áľ á áŁá áĽááłáá áĽá á áŁá áłááá áᴠᣠáá á áááá á¨á°áá¨á¨ áĽá á áśááľáá á¨á°áááš á ááłá¨ áá¨áŚá˝ ááľáĽ á áá°áłáŤáᢠá á°áááˇá ááá¨áŞáŤáá˝ áá á á°áááŁá á ááłá¨ áá¨áĽ ááľáĽ, á¨á áá ááá፠áłáłážá˝ áá á¨á° áááľ á áŁá áľáá áááá - áĽááśá˝á ááá¨áłá°á á¨áááááľ á áľá°ááá áá á áĽáŤááłááą áááááľ áá áłáłá˝ ááľá¨á á ááĽááľ. á áĽááἠááááá á ááŤá˝ á ááśáá˝ áĽá á áşáá˝ á¨ááá አáłáłážá˝á áá¸áĽáá áá°á°áłá, ááá áá áŁááľá áĽáá°áá á áááľ ááŞáá˝á áááá á¨ááá˝á áááľááá. á á˛áľáŽ (áĽá áĽá ᨠNGIPS ááá˘áá˝ áá) áĽá áá áá ááľá¨á á ááťááá áááľ áĽá˝ááá ᣠááá áĽááłá ᣠá˘ááľáá ᣠá¨áá áĽáŤá á¨ááłá˝á ááᢠááá á¨áá áľá - áá á¨áŤáłá˝á ááłá áá. á á°á¨ááŞá, á áá áľáŞáľ ááľáĽ áłáłášá áĽáá´áľ áááááľ áĽáá°ááťá, áĽáŤáá áááłá? áá° ááá°áľ? áłáłáš áŤáą áŤáá°áłáŤáľ? á á ááááá ááľáĽ ááá፠ááá ááááá? áá¨áááŤáá˝ (ááł) áá áá? áá áá á¨áááľááá áá á¨áá¨áá áĽá áááááá áá á ááá áŠáŁá፠á¨áááá˝ áŤá°áááá.
áłáłášá á SPAN/RSPAN/ERSPAN áá°áĽ áá "áááľáá" áĽá áľáŤááá á¨á áľáááááš á¨ááá¨áŞáŤ áá°áŚá˝ áá° áĽáą ááááŤáľ ááá¨á áá˝ááᢠáá
á ááŤá á ááľáá á ááá˝ áá á¨á°ááá¸áá á˝áá á á¨áá áŤáľáááłá ᣠáá áá áááĽáŤá - ᨠSPAN áá°áĽ á¨áááááľá áľáŤáá áá á áá ááá á á áá˝áá - á á á¨áá°ááá፠áááľ á ááá¨ááᢠá¨áá ááá ááá ááľ ááá°áᢠá ááłááľ á áááá˝á áŤá ááľáľá áá°ááľ (á¨á፠á ááááŞáŤ ááĽááą á
áľá፠ááľá áľ áŤáľáááááłá) ááá áááá áľáŤáá á¨ááľááŤá áá á ááአᣠáá á¨á°áá°á ááááľ áĽáťá˘ á ááááá áááł á ááłááľ áĽááśá˝á ááááἠáĽáá˝ááá. á á°á¨ááŞá ᨠSPAN áá°áĽ áááá˝ ááááśá˝ áááἠáá˝áá. á áá¤áąáᣠááľááááá áŁáááľ á¨á´áá°áŽá˝ áĽááľ ááá¸áá (áĽá áá
áá ᨠIT áá áááľá°áŁá á) áŤááá á¨ááľááá áśááá ááááá áĽá á áĽáą áá ááľá°áŤá¨áŤ ááľá¨á á ááĽáá˘
á¨áĽááľá á ááłá¨ áá¨áĽ áŤáá°ááŁá á ááľááŽá˝á á˘á áááľ? áĽá á¤áľá˛á¤áá á°ááŁáŤá áŤá°á¨á ááá ááá°áá á áŤááą? ááá áá á¨áášáá á¨á°á°áŠ áá˝áá˝á ááá áŽáá´áááŽá˝á áľáŤáá áá° á áŤáá ááĽáŞáŤ / ááĽá፠/ ááĽáŞáŤ / ááĽá፠/ ááĽáŞáŤ / ááĽá፠/ áŽáá´áááŽá˝á áá¨áłá°á á˘áŤáľááááľ? áĽááá áŁá áá á¨IDS á á áŤá˘áá˝ áĽáá´áľ áĽáá°ááááą áľáááŤáá á¨ááááˇá¸á áĽáŤááá˝ áá¸áᢠááááŁáľ áĽááá áá áá˝á á´áááááá˝ á á á¨áłá˝ áá¸á áĽá áĽááľá á áŤáľáááá¸áá áĽáá áŤáłááááłáᢠááááŁáľ áľáá˝ á¨áááá á áľáááááľá áááááŤá. ááá á°áá á á ááłá¨ áá¨áĄ ááá áá áááá á ááłá ááľá¨á áĽá á¨áááľ áááá á áá áá áááá áľáŤáá áá° áĽáą áááŤáľ áŤáľáááááłá áá ááááᢠááá á áááľ á ááŤá á˘á°áĄááľ, áĽááľá áĽáŤáľá áĽáá´áľ ááĽááľá áĽáá°ááľáá á ááá áá¨áłáľ á ááĽááľ. áĽá á¨á፠á áá áĽáť á¨á ááłá áá á¨á° áááľ á¨áá¨á á°á áááľá ááááŁá á á¨á ááŤá¨áĽ áá፠áá ááłá áŤáľáá. áá° ááŹáľ áá¨áť áľááááľ, áá áá´ á áŁá á°ááłá áĽá á áľááá áá áĽáá°áá á áááá áĽááááá, ááá áá ááá áááá á¨áľáá á ááĽáĽá áá; á áľáá áľá áĽá á áááá¨áĽ ááŤá¨á áŤá áľáá áŽá˝, á áá¨á ááĽá¨á áĽá á á°áá¨á á ááłá¨áá¨áĽ ááŤá¨á áŤá áľáá áŽá˝, á áá°áľ ááĽáĽá áľáááľ áĽá á áľáá áľ ááá ááŤá¨á áŤá áá°áá˝. á ááá áŚáłáá˝áŁ ááá˛á ááłáááŤáá˝/á ááá¤áľ á ááá á¨ááá áĽá á á°ááŁáŤá¸á áĽáŠ áľáŤ á¨ááľáŤáľ ááĽáľ á áá¸áá˘
áá° ááá°áá á ááŤá áĽáááľá˘ á¨á ááłá¨ áá¨áĽ ááłáŞáŤáá˝ á¨ááᥠááľá°áśá˝á áľáá°á ááĽáá
á ááááá፠ááááá˝á ááŤáááá áá˝áá, ááá áá áĽáá° ááá áá´ á áá°áá, ááááŤáąá áľáá˝ á¨á áá áááá áĽáť áľáááŤáá
. á á°á¨ááŞá ᣠá ááłááľ á ááá áĽáá
áľáá´áá˝ á ááľáĄ á á - áĽááľ ááááŞáŤ áá¨á°áľ á áá ᾠᣠá¨á፠á á ááłá¨ áá¨áĽ ááŁáŞáŤ ááľá°áŤá¨á á áá ᾠᣠáá
á á á ááľ ááá á áá ááááľ á¨áá¨á á°á
áááľ á˝ááá áŤáłáŤáᢠáĽá áĽáá°áá
áŤá áá´áá˝ á á. áĽáą syslog ᣠRMON ááá SNMP ááá áá˝ááᢠá áá¨á á°á
áááľ á ááľ ááľáĽ á¨áá¨á¨áťááš áááľ ááŽáśáŽáá˝ áĽá
á áá á¨ááááľ á ááľááአááłáŞáŤáá˝ áá ᨠDoS áĽááľá ááá¨áľ á¨áááá áĽáť áá ᣠRMON áĽá SNMP á á áá áá ᣠáááłá á ááłáŞáŤá ááá¨áá ááŽá°á°á áá áŤááá áááľ ááá áá¨áłá°á áá˝áá ᢠá¨áĽáą á áááážá˝. áá
âá áŁá ááŤášâ á ááą áá (ááá á°á syslog ááá SNMP á áá)ᣠááá áá á¨ááľáĽ áá á¨á° áááľá á¨áá¨á á°á
áááľ ááááŁá á á¨ááá ááááśá˝ á áŁá áá¤áłá áŤáááá áá - áĽá áĽááśá˝ á ááá á¨áĽáą á°á°áĽáááᢠáĽááἠáá, áĽááą á˝á ááŁá á áááŁá, áĽá á°ááłáłá syslog áľáá°á ááŁáŞáŤá á áŤáą áá
á áá áááŚá˝á á ááá áááá¨áľ áá¨áłá, á¨ááŤá áá˝, ááá áá á ááá á ááłá¨ áá¨áĽ áá áĽááśá˝á áááá¨áľ á áŁá á°áľáá á áá°áá.
áśáľá°áá á ááŤá á¨á ááŤáł á¨áá°áľ ááŽáśáŽáá˝ ááľáĽ á ááąá á áá°áá ááłáŞáŤ ááľáĽ áľáááŤáá á¨áľáŤáá áá°áľ áá¨áá áá°áá°á ááᢠá áá áá᳠ᣠááŽáśáŽá ááá ááá áá ᣠá¨áĽá¨áľ áá á¨á° áááľ á¨ááľ áśáľáľ á áŤááľá áŤáá áá-
- á¨áááá¨áľ ááá á¨á¤ááľáááľ áá°áľ. áá áá áĽááá áá á áŤáá°á ᣠááĽáŞáŤ ááá áá á¨á ááłá¨ áá¨áĽ ááłáŞáŤ ááá°áŁá ᣠáá á á¨ááľááá áľáŤááá á áŤáą ááľáĽ á ááá ááá áááŞáŤáá˝á á¨áĽáą ááááŁáľ áŤáľá˝áááłá ᣠá¨á፠áá° áľáĽáľáĄ ááá áá°ááááᢠáááłá á¨Cisco Netflow ááŽáśáŽá á¨áá°ááá á áŤáá°á áĽá áľáá˝ áá áĽáť áłááá á¨áášáá áĽá á˘áá°áľáľáŞáá á¨áᎠá áááľ á áᣠá°ááŁáŁáŞáá˝áŁáá¨ááá áĽá á°áá¨áŽá˝ áá ááá ááá˘
- á¨áľáĽáľáĽ áá°áľ. á ááááá á ááłá¨áá¨áĽ ááľáĽ áĽááá áá á¨á ááľ á áá á¨ááľááá ááłáŞáŤáá˝ áĽááłá á¨áááľ ááľáĽ á ááľááŁáľ á á¨áśá˝á á¨áá°áĽá°áĽ áĽá á¨ááááľ á˝áá ááá áŤá, áá á á°áĽáłá˘ á ááŁááľ áĽááłáł á¨á°áá ááľá áĽá¨áśá˝ á ááááŁá á áĽá á¨ááŤá ááá°áá°á áŤáľá°áááá.
- áá°áľ áľáá°á. á°ááłá áááá á¨á ááᎠáľáŤ áááľáłá áĽá á¨á°ááŤáŠ áľáá° áááŽá˝á á á á¨áśá˝ áá á áá°áá á á¨á°áá°á áľááłááá˝á áá°áŁáᢠáááłáᣠá IT á°ááŁá ááľáĽáŁ áĽáá°áá á áááľ á°ááłá á¨ááľááá ááááá˝á ááá¨áľ ááá á¨áľáŤáá áááľ ááŽáááá á¨á áá ááľáááŠá ááááťá¸áľ áá˝ááᢠáĽá ááá¨á á°á áááľáŁ áĽáá°áá á áááľ á°ááłá á¨áá¨á áááŽá˝áᣠá¨á°ááŽá áŽáľ áľáááľá ááá ᨠDoS áĽááśá˝á ááá¨áľ áá˝ááá˘
áĽáá°áá ááááą áŁá áśáľáľ-á°á¨á á ááá´áá¸á á áŁá á¨á°ááłá°á áá áĽáá á áŤáľáĄ - ááá ááá˝ á ááŤáŽá˝ (ᨠSNMP áĽá RMON áá á¨áá°áŠ á¨á ááłá¨ áá¨áĽ ááĽáĽá áľáááśá˝ á áľá°áá) áĽáá˛á á áĽáą áá á¨áľ áá°áŤáᢠááá°áá°á áłáł áááŹá°á á áá áá á á¨ááľááá ááłáŞáŤ ááá áŤáąá á¨áťá áłáłá˝ ááᢠá¨ááá፠áá°áŁá°áĽáŤ áľáááľ á áá áĽá áá á ááá á¨ááľáľá áá á¨á° áááľ á áľá°áłá°á áľáááľ á áá ᢠá¨áá¨á¨áťááš áááľ á áŤááľ á á ááľ ááľááá ááááľ ááľáĽ ááŁáአáá˝áá, ááá áá áĽá ááá áŁáá° áľááá á ááłá¨ áá¨áŚá˝ ááľáĽ á áĽáááá áá áá á-á°á áĽá á áľá°áááááľá ááá¨ááἠá˘áŤááľ á áááľ ááłáŞáŤáá˝ áá áá°áŤáŤá.
á¨áĽáŤááłááą ááŹáľ áŤáľá áĽá á¨áá¨á á áŤá áĽááľ áĽá áĽááąá áŁáŤá°áąáľ ááá-áááá˝ áá á¨á°áá á¨á°á á¨ááŹáľ áľáá°á á á°ááŤá á¨áá°áľ áľáá°á áľá áá¨áĽ áľáŤáá ááłáłáł á áá°áŁá°áĽ áá á¨á°áá°á¨á° ááᢠááźáŁ áľááľáŁ á¨á¨áľ áĽá á¨á¨áľáŁ áĽáá´áľ... á¨ááľááá á´áááľáŞ áľáá°á á¨á°ááŤáŠ á¨áá°áľ ááŽáśáŽáá˝á á áá áá á¨ááááłá¸á áĽáŤááá˝ áá¸áᢠááááŞáŤ áá áľáłá˛áľá˛ááľá ááá°áá°á áĽá á ááľááአááľáĽ ᨠIT á˝ááŽá˝á ááááá áŤáááá áá á, ááá áá áĽáá° á¨áľááłá áá´áá˝ áĽáľááľ, áá°á
áááľ ááááá˝ áá° á°ááłáłá á´áááľáŞ áá°áá á á°áťá. áĽáá
áá á¨áá°áľ áľáá°á á¨ááŹáľ áá¨áťá áĽáá°ááá°áŤ ááá áĽáá°ááá°áŤ áá°ááá á áá áá. áĽáŤááłááłá¸á áĽááá
áá´áá˝ á¨áŤáłá¸á áá°á á áá¸á. ááá áá á áá
á˝áá á ááľ ááľáĽ á¨ááľáĽ áá á¨á° áááľá ááá¨áłá°á á áŁá á°áľáá á¨ááá áá°áľ áľáá°á áá. áĽááľ ááŤáá á¨ááá˝áá á¨á ááłá¨ áá¨áĽ ááłáŞáŤáá˝ (á áśááľáá á á°ááá¸á ááŤáłáá ááá á áľáłá˛áľá˛ááľ á
á áá°á¨áľ á¨áá°áŠ áá¸á) á áááľá˘ á¨ááłáááá á¨IDS áłáłá˝ ááá áá˝ááᣠááá áá á¨áá°áľ ááŽáśáŽáá á¨áá°áá á¨á ááłá¨ áá¨áĽ ááłáŞáŤ á áá°ááᢠáá
á¨áá
áá´ áĽá
á áá.
á áá á áŠá áá á á áľá¨áŁáŞ á áŤááľ ááá ááŤáľá á¨ááľá°áśá˝ á áŁáŞ áĄáľá á¨ááľá¨á áá°á¨áľ áŤáľáááá á¨ááŹáľ áá¨áť áá ááľá¨á á áľá˝áá - á¨ááľááá á´áááľáŞ ááľá¨áá ááá°áĽá°áĽ á¨ááŤáááá á¨áľáŤáá á á á áá°áá; á áá¨á á°á áááľ ááľá áááŁá ááá áĽá ááłá ááľá áľ áŤáľááááᢠá áá á áŠá á¨á´áááľáŞ áľááłáá á áá áá áááá á¨ááľááá áľáŤáá "ááá" á áá˝áá (ááá á¨áá, Cisco á áá¨á ááĽá¨áá˝ ááľáĽá ááłá°áá :-), áá á áĽááą ááľáĽ á¨á°áłá°ááá áĽáť áá. á áá á¨ááľ á¨á´áááľáŞ áááááŞáŤ ááłáŞáŤáá˝ áŁá áá á¨ááŹáľ áá¨áť áá´áá˝á á ááᣠáŤááá, áá á áá°áá¨á áá¨áť áĽá áá¨ááť áľááá áá°áŁá. áŤáá áá፠áľáá á¨áá¨ááť áá á¨á° áááľ áááááľ áááŁá á˘
á 250Mbps áĽá¨áŽá áŤá á ááłá¨ áá¨áĽ á áľáĄáľá˘ áá áá áá áá á áááľááἠá¨ááá áá ááľ á°á¨ááľ á¨áľáŤáá ááľá°ááá 31 áᣠáá¨áᝠᣠáá ááľ á°áá 1,8 áᢠᣠáá ááľ á°ááľ 108 áᢠáĽá áá ááľ áá 2,6 á´áŁ áŤáľáááááłá ᢠá¨áá°ááá፠áááľ áŤáá á ááłá¨ áá¨áĽ áááłá áá¨áá ááá¨áá¸áľ 10 Gb/s 108 á´áŁ áá¨ááť áŤáľáááááłáᢠááá áá á ááłááľ á°ááŁáŁáŞáá˝ á¨á°á áááľ áá¨áá ááááłáľ áĽáá˛áŤá¨ááš áá áááᢠá áááŤá˝á áá áľá á¨á ááłá¨ áá¨áĽ á´áááľáŞ á¨á°ááłá á¨ááἠáá á áĽá áá á¨ááἠáá¨áť áá á á¨á°ááááá á ááᾠᨠ1 áĽáľá¨ 500 áá ᢠá¨áá áá°á ááąáľ á°ááłáłá áĽá´áśá˝ á¨áá á˛ááŞááľ áá¨ááťá˘ á¨ááá áááłá áľáŤáá 5 áĽá 216 áᢠáááá, (áá°ááá°á ááá˝ á ááá áĽááłá ááťá áá˝áá).
áĽáŹ ááľááá áá¨áá ááľááłá ááłáŞáŤáá˝ á¨áá á¨á˝ áá´ á¨áá áá°á á¨áťá áá° áťá á°ááłáłá á¨ááᣠá áĽá¨áľ áľáá°á áááłá ââá¨á°áᨠááᢠá ááŤáł á¨áá°áľ ááŽáśáŽáá˝ á°áááŽá˝ á áᣠá á°á áááľ á ááľ ááľáĽ ááá áŤááĽááľ ááŠááśá˝á˘ á áŁá áłááá á á˛áľáŽ á¨á°áááŁá ᨠNetflow ááŽáśáŽá ááᢠá á˝ááłá¸á áĽá áľá áľáŤáá á¨á°áááá á á¨áá¨á áá á á¨áááŤáŠ á¨áá ááŽáśáŽá á ááŤáł áľáŞáśá˝ á áᢠá¨á áá áĽáľá áá ááá (Netflow v9) áá, á¨áĽáą á¨á˘áá°áľáľáŞ á°á¨á Netflow v10, áĽáá˛áá IPFIX á ááŁá á¨ááłááá, á¨á°á°áŤ áá. ááŹ, á áĽááááš á¨á ááłá¨ áá¨áĽ á á áŤá˘áá˝ Netflow ááá IPFIX á ááłáŞáŤááťá¸á ááľáĽ áá°ááá. ááá áá ááá˝ á¨á°ááŤáŠ á¨áá°áľ ááŽáśáŽáá˝ ááŠááśá˝ á á - sFlowᣠjFlowᣠcFlowᣠrFlowᣠNetStreamᣠááá°áŁ á¨áĽááá á ááľáĽ sFlow á áŁá áłáá ááᢠá á á°ááŁá á áááááľ ááááŤáľ á á áĽááá á á áá ááľáĽ á ááŤážá˝ á¨ááľááá áĽááá˝ á¨áá°ááá áĽáą áá. á Netflow ᣠáĽáá° áľáááá á°á¨á áĽá á á°ááłáłáŠ sFlow ááŤá¨á áŤá ááá ááŠááśá˝ áááľ áá¸á? áĽááľ ááá á¨áááľá á áááź áá áᢠá ááááŞáŤáŁ Netflow á sFlow ááľáĽ áŤá áá ááľáŽá˝ á á°ááŤá á á°á áá á¨áááአááľáŽá˝ á ááľá˘ áĽá á ááá°á á°á¨á, áĽá á áĽá áááł ááľáĽ áá á áŁá á áľáááá ááá áá, sFlow ááá á´áááľáŞ á°áĽá á¨áá áŤáá áá°á áľáŁá; ááá á¨ááá Netflow áĽá IPFIX á á°áá¨á˘ á ááŤá¨áá¸á áŤáá ááŠááľ áááľá áá?
áá˝ááá áááá ἠáĽáá°áá°áá á áľááá
á áľáĽ.
á á˘ááááá˝á á°á
áááľ ááĽáĽá á ááľ ááľáĽ áá
áááľ ááá á¨á°á°á¨áá á´áááľáŞ á¨ DDoS áĽááśá˝á áááá¨áľ ᣠááááᾠᣠá°ááŽá á áá áŽáľ ááá°áŤá¨áľ á áŁá á°áľáá áá ᣠáá ááľáá°á á á°áá¨á ááá ááľáĽ áŤáá°áŤá°áą á¨á áśáá ááá á¨áĽá ááŹáľ áĽááśá˝á ááŤááἠáá˝ááᢠáŤáá°áŁáŤ á´áááľáŞ á¨áĽáą áá ááá á áááľ áľáááśá˝ á¨ááľá. á¨á°áááľá áĽááśá˝ áá á áá áá á áŁá á°á áá. á¨ááľááá á´áááľáŞ áááááŞáŤ ááłáŞáŤáá˝á á áá áá ááá á¨áá˝á áľáá˝ á¨ááľá°áśá˝ áááá áĽááá˘
áĽááἠááᣠá ááłááľ áááľ ááá Netflow analyzer áá
á áĽáá˛áŤá°áá á ááá
áľáááľá ááááŤáąá ááá áľáŤá á´áááľáŞ áá°áĽá°áĽ áĽá á áĽáą áá áá°á¨áłá áľááłááá˝á ᨠIT áĽááł á ááťá ááŤááľ áá. á¨á áá¤áľá áľááśá˝ á áá°áľ áá á áááľá¨áľ áááá¨áľ á¨á°ááŤáŠ áá°áŽá˝á áĽá áľáá° áááŽá˝á á áááááľ á°ááłáá ááľáłá á
á áľááá á˛áá áĽááá
á á¨áłáá á á°á
áááľ á˝ááŽá˝á áá°á á ááá áĽá á¨ááľáá°áľ ááľáŽá˝á á ááá¨áľáŁ áá°á á áá¨ááá˝á á¨á°ááŤáŠ á¨áľááľ á˘áá°ááááľ áááŽá˝ á ááŤá áá¨á á áá áá¸á ááá°.
áľááá
, áá፠áŤáááľ, á Netflow ááá IPFIX áá áŤáááľ. ááá áá ááłáŞáŤá áá áĽáá° á¨á¤áľ ááľáĽ á ááŤážá˝ ᨠsFlow áá áĽáť á˘á°áŤá, á áá
áááł ááľáĽ áĽááłá á á°á
áááľ á ááľ ááľáĽ áá ááá áľ áá˝áá.
áĽ.á¤.á . á 2019 á¨á á áá
áľ á¨áŠá˛áŤ á¨ááľááá áĽá¨áľ á ááŤážá˝ áŤáá¸áá áĽáľáá˝ á°ááľáťáá ᣠáĽá ááá á¨á¤áá¤áľá ᣠáááá áĽá ááŤááľáá á áľá°áá á sFlow (á˘áŤááľ Zelaks ᣠNatex ᣠEltex ᣠQTech ᣠRusteletech) áľáá á áľáłááá˘
á¨áĽááľá á ááľ á¨áááłá ááŁáŠ áĽáŤá áá°á
áááľ ááááá˝ á¨áá°áľ áľáá á¨áľ áĽáá°áá°áá á áá? áĽáá° áĽáááą á¨áá, áĽáŤáá á áľááá á áá°ááá á. á áááá ááłáŞáŤáá˝ áá, á¨áá°áľ ááŽáśáŽáá˝ áááá áááľ ááťáá áá°ááá. áľááá
, áĽáŤááá á á°áᨠááááľ áĽáááŤáá - á¨á°á
áááľ áĽááł á ááťá á´áááľáŞ ááá°áĽá°áĽ á áŁá áá¤áłáá ááááľ á¨áľ áá? áááą á áŁá ááá
áááá - á ááłá¨áť á°á¨á ᣠá¨ááá áľáŤáá 100% á ááŤáŠá ᾠᣠá á áľá°áááá˝ (MAC ᣠVLAN ᣠá áááá˝ ááłáááŤ) áá áááá áá¨á á ááŤááá ᾠᣠá á áľá°áááá˝ ááŤá¨á ᨠP2P áľáŤááá áĽááłá áá¨áłá°á áá˝áá ᣠáá
á á°ááŽá-á áá áŽáľá áááá¨áľ áĽá ááá°áŤá¨áľ á áŁá á áľááá ááᢠá áá á°á¨áᣠá ááłááľ áľáŤááá á ááá ááŤáŠ áá˝ááᣠááá áá á ááŞááľá á°á¨á áá á¨á ááłá¨ áá¨áĽá áŠáĽ áľáŤáá á¨áá á á°áἠáŤáŤáᢠááá áá á áá ááááŤáľ á áĽááá˝ ááŞááľáá á ááá "áĽáá˛áᥠáĽá áĽáá˛ááĄ" á¨ááá
áą á á ááłá¨ áá¨áĽá áá ááŤá ááłáŞáŤáá˝ áŤáááľ á´áááľáŞáá á¨áĽáą áá°áá°á ááá á áá°áĽááľáᢠáľááá
áá¨áá°á á˝áá á¨á´áááľáŞ áá°áĽá°áĽá á ááłá¨áť á°á¨á áááááľ ááá¨áŤá. á á°ááłáłá áá, áľá á¨áášáá ááá áŽáá´áááŽá˝ áĽá¨á°ááááá á˘ááá, áááá áááŁá ááĽáŞáŤáá˝ áĽá áá áá°áľá áĽáá°áá°áá áἠááŁá á¨áááŁá áá, áá
á áĽááŤá áľáŤááá áĽáá˛ááŁá አáŤáľá˝áááłá.
ááá áá áááąá áľáááłá ááĽáŤáá áááľ ááľá áľ á ááĽá ᣠá¨ááá á áá ᣠááŁáŞáŤá á áŤáá ááá áááŁá ᣠá¨áá°áľ ááŽáśáŽáá˝á á¨ááá°áá á¨áááľ? áááľ á ááľáĄ ááŤá°áľ á¨á°á¨áá¨á áá (áááłá, á áľá°áááááľá ááá¨ááἠá á˘ááąáľáľáŞ áááá˝ ááľáĽ)? ááá áĽáąá ááĽáŤáľ á¨áá°á á¨á˛áአá á áááá áŤáľá¨áľáá (áá á á áŽá áááľáá áá áá¨á°áłá)? áá áá á˝áá ááááłáľ áአá¨áášáá á´áá°áŽá˝ (áá°áľ áłáłá˝) á á áĽááąá á áá á¨áą á°áŤ á¨áááŽá˝ á áŤáłá¸á ááľáĽ áľáŤááá á ááá áá° áľáĽáľáĄ ááá áá°áľ ááá áŤáľá°ááááᢠáĽáááľ áá, á áá ááłá áá á¨ááŹáľ ááŤá˘áŤ ááłáŞáŤáá˝ áá á á°áŤáŤá á¨áá á¨á°ááááááá á á ááá á¨á˝áá ááá áĽááááá. áááľá á¨áá°áľ áľáá°á á´ááááá áĽá áá˝ áĽáť áłááá ááąáááśá˝áá áá¨áłáľ áŤáľááááá˘
áľá áá°áľ áľáá°á ááłáŞáŤáá˝ á˛ááአááľáłááľ á áľááá á¨áá á ááľ á°á¨á᪠ááĽáĽ. ᨠEPS (ááľá°áľ á á´áŽááľáŁááľá°áśá˝ á á°á¨ááľ) áááŞáŤá á¨á°á áááá áľ á¨á°áááąáľ á¨á°á
áááľ ááááá˝ áá á á°áŤáŤá áá
á áááŤá˝ á á´áááľáŞ áľááłá áá á°ááá á ááááᢠá FPS (á á´áŽááľ áá°áľ, á á°á¨ááľ áá°áľ) áá°áŤá. áĽáá° EPS áááł, á áľááľá áá°á á áá˝áá, ááá áá á ááľ á¨á°áá°á ááŁáŞáŤ áĽáá° áĽáŤá á¨ááŤááá¨áá áááłá á¨ááŽá˝ áĽááľ ááááľ ááťáá. á á áááá¨áĄ áá áá°ááŤáŠ á¨áľáá
áľ ááłáŞáŤáá˝ áĽá áááłáá˝ áááłá áááá˝ áŤáá¸áá á á¨á´ááá˝ ááááľ áá˝áá ᣠáá
á ááá°áá°á ááłáŞáŤáá˝ áá ááááľ áááśá˝ áĽáá°áááá áááááľ áĽá á¨áĽááą á ááá´áá¸á áá ááá áá˝áá? áĽáááłá áá á¨á áá˛á¤áľ áłáłá˝ á á°áá°á á¨áá°ááá፠áááľ á¨á°áá°á áá, áĽáąá "áááŁáá", áĽá áá°áľ á°áĽáłá˘á áá¨áłáľ áŤááŁá¸á á¨áŤáą áá°áŚá˝ á ááľ. áľááá
, á áľáá
, á ááŚááŤááŤá á¨á°á¨ááá á ááłá¨ áá¨áŚá˝, áĽááá áá áĽá á°áĽáłá˘áá˝ á á. áľááá˝
á¨áŤáłá˝áá áááľá áĽáá° Netflow á¨ááľáľá áľáááľ áĽáá ááááá˘
á¨á°á áááľ áĽááł á ááťá áľá Netflow áľáá°á áľáááśá˝ á˛áááŠ, áá áŤá á¨á˛áľáŽ á ááľ áááľá áĽáť á¨á°áá°á áĽááłááá ááá˝ áá. áááąáá á¨áááľ áĽá áá ááá á¨á áá˛áŽá áááľááá˝á áá áá áá˝ááᢠá á˛áľáŽ áĽáá áá á¨á°ááŤáŤáŞáá˝á áááľá áĽá á áľ á áŁá áĽáááł ááá áá áŁáľááá á¨ááľááá á´áááľáŞ áááľ áłáá ᣠá áľá á°ááłáłá ᣠáá á ááá á¨á°ááŤáŠ ááłáŞáŤáá˝á á áá áá áĽáá´áľ áĽáá°áá°áá°á áĽááľ áááľ áĽááá - SiLK áĽá ELKá˘
SiLK á á ááŞáŤ CERT/CC á¨á°áááá á¨áľáŤáá áľáá°á ááłáŞáŤ áľáĽáľáĽ áá (á¨á˘áá°áááľ-á°á¨á áĽáááľ áľáááľ) áĽá á ááŹá á ááá˝ á ááľ ááľáĽ Netflow (5 á áĽá 9 á ᣠá áŁá áłáá áľáŞáśá˝) ᣠIPFIX áĽá sFlow áĽá á¨á°ááŤáŠ áááááŤáá˝á (rwfilter, rwcount, rwflowpack, ááá°) á áá áá á ááľááá á´áááľáŞ áá á¨á°ááŤáŠ áľáŤáá˝á áááľáŤáľ á ááľáĄ áŤáá°áááą áľáááśá˝ ááááśá˝á áááá¨áľ. áá áἠááá¸á á¨ááᥠáááľ á áá áááŽá˝ á áᢠSiLK á¨áľáĽáá ááľáá ááłáŞáŤ áá áĽá á¨ááľáá áá áľááłáá áŤáŤááłáᣠáááá á¨á ášá áľááá á áá°ááĄá áľ áá (ᨠ200 áŁááľ á áá á¨áá ᨠICMP ááŹáśá˝á ááá¨áľ)
rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15
á áŁá ááš á áá°áá. ᨠiSiLK GUI á áá áá áľá˝ááá ᣠááá áá á°ááłáá ááľá áłááá á¨áĽááł á°ááŁáá á áááłáľ á áááśá ááá á áŤá°ááááᢠáĽá áá ááá°áá ááĽáĽ áá. áĽáá° áááľ áááľááὠᣠááľááá á ááŤáŤ á¨áľááłá áá á¨áľ ᣠá¨áĽáŤ áá°áľ áá á¨ááááą áŤáá°áááą á¨áááŞáŤ áľáá° áááŽá˝ ᣠááá°. ᣠá á˛áᏠáá᳠ᣠáá áá áá áĽáŤáľá ááľá¨á á ááĽáᾠᣠáá á ááľááá ááá á¨áá áá ááá á¨áĽááľá áľáá˝ á¨á°áᨠá˝ááł áá áááᢠ-á¨á á ááá ááŁáŞáŤ áľáĽáľáĽá˘ áá áĽáŠ áĽá ááĽá á áá°áá - áá áá ááľá¨á áĽááłááĽááľ á¨ááŤáááľ áĽáááł á¨áááŁá á¨ááááá áá ááŁáŞáŤ áŁá ᪠áá ᣠáĽá á áá áĽáť áá¨áłááłá (á¨áááľ ááłáŞáŤáá˝ á á°á ááááš áĽááľ áá áĽáá á áá°áá ᣠááá áĽááłá á°ááłáá˝ á¨ááľááá ááááŤáá˝á áĽá ááľáľáá á¨ááŤááľ á˘áŤááľ áá°á¨áłá áááŽá˝á áĽáá°áá¨áą á˘áŤáľáĽá)ᢠáá áá° SiLK á°áááľá˘ á¨áĽáą áá áŤáá á°ááłá á¨áĽáŤ áá°áľ áĽáá°áá¨á°áá áá-
- ááááľ ááá áᢠá ááľááá á´áááľáŞ ááľáĽ áá áĽáá°ááááá áá¨áłáľ á ááĽáᣠá¨á°áá°á áŤáá°áááą áááŽá˝á ááá áľááśá˝á á¨áááááŁá¸áá áአáŁá áŞáŤáľ ááá á ááĽáá˘
- áá´á áááŁáł. ááááľ á¨áá¨á á á ááᣠá á˛áᏠááľáĽ áŤáá°áŤá°áąáľá á°ááłáłá ááááᣠáźá ááá ááá˝ ááłáŞáŤáá˝á á áá áá ááŽááŤá áĽáá°ááááá˘
- á ááá¨á ááᢠá¨SILK áááááŤáá˝á á¨'rw'ᣠ'set'ᣠ'bag' ááᎠá áá áá á¨á°á¨ááá áá ááá ááľá á¨áááá á¨áĽáá ááááľ áľááááááľ á¨ááááľá˝á áľ áá ááá˘
- á¨áĽááá°á ááἠáľáá°á. á áááľ áĽáŤ áá, SiLK á ááľá ááá áááá¨áľ áá¨áłáá áĽá á°ááłá "á¨á á á ááá á ááá°áá?", "áá á¨á ááááľ áá ááááłá?", "á¨áá°áľ á áááłááá˝á ááĽá áĽáá´áľ ááááłá?", ááááľ áĽáŤááá˝ áááľ ááľá áľ á áá áľ. "á¨áĽáá á á°á¨áá áĽáá´áľ ááťáťá ááťáá?" áĽáá áááĽáá.
- ááťáťáᢠá áá¨á¨áťá á°á¨á ᣠáá°á á˛á á¨á°á¨ááááá áĽááťá˝ááá - á áĽááśá˝á áĽáááĽáŤáá ᣠáŽáąá áĽááťá˝ááá ᣠááááąá áĽááľá°áŤáááá ᣠááá°.
áá áá°áľ áá°ááłáłá Cisco Stealthwatch á°ááťá ááááᣠá¨áá¨á¨áťááš á ááľáľ á°á¨ááá˝ áĽáť áá° á¨áá°áá á áŤáľ á°á á¨áá°áŠáŁ á¨á°ááłáá˝á áľá á°áśá˝ áĽááľ á ááááľ áĽá á¨á á°á ááááŤá áá¤áłáááľ áá¨ááŤáᢠáááłáᣠá á˛ááŹáŁ á¨áĽáŤáľáá áľááŞááśá˝ á áá áá á á°ááŽá á áá á áááá˝ áá á¨ááľááá áľáłá˛áľá˛ááľá áá áá¸á áá˝ááᣠáĽá á á˛áľáŽ Stealthwatch ááľáĽ áá á áĽáŽ á¨á°á°áŤ á°ááŁá á˛áá á á°á¨áá¨ááľ á¨á áá á áľáŤáťáá˝ á á ááłá¨ áá¨áĽ ááľáĽ á¨á°áá ᨠáá˛áŤáá ááá፠áŤáłá¨ááłáᢠáľáŤáá.
áá°áľá ááá°áá°á âá¨áá¨ááá áľâ áśááľááá ááŤááľ á¨ááŁá ááá áá á¨ááá SiLK á shareware ELK áá¨á°áá ᣠáá á áśáľáľ ááá á áŤááľá áŤáá áá - Elasticsearch (áá¨á á áá ᣠááá áĽá áľáá°á) ᣠLogstash (á¨ááἠááĽááľ / áá ááľ)ᢠ) áĽá áŞáŁá (áĽááł). áĽáá° SiLK áłááá áááá ááá áĽáŤáľá ááá áŤááĽááľáŁ ELK á áľááľá áĽá á¨á°ááá á¤á°-ááťáááľ / áááá˝ (á ááłááśáš á°á¨ááááᣠá ááłááśášá á áá°áá) á¨ááľááá á´áááľáŞ áľááłáá á áŤáľ á°á á¨áá አáá¸áᢠáááłá, á Logstash ááľáĽ áŤáá á¨ááŚá áá ááŁáŞáŤ ááľáľá á¨áá°á¨ááŁá¸áá á¨á áá á áľáŤáťáá˝ á¨ááŚááŤááŤá áŚáłá¸á áá áĽáá˛áŤááá ááá áľáááłá (á°ááłáłá Stealthwatch áá á áĽáŽ á¨á°á°áŤ á°ááŁá á áá)á˘
á á°á¨ááŞá ELK á¨áá°ááľá á áŤááľ áá°áá
á¨ááľáľá áááľá á¨áá¨áá áľáá
áá
á á¨á°áĽ á ááᢠáááłá, ᨠNetflow, IPFIX áĽá sFlow áá áááľáŤáľ áááá áá áá áá˝áá
áá°áľá á áá°áĽá°áĽ áĽá á ááľáĄ áááá á¨á áá á ááĽááá á ááľá áľáŁ ELK á á áá áá á á ááłá¨ áá¨áĽ á´áááľáŞ ááľáĽ áŤáá°áááą áááŽá˝á áĽá áľááśá˝á áááá¨áľ á¨á ááá á áĽáŽ á¨á°á°áŤ áľááłá á¨áááᢠáááľá ᣠá¨áá á¨á°ááááá á¨á áááľ áĄá°áľ á áá¨á°á áŁá¨á°áŁáą áá´áá˝á á á°ááĽá áááá áĽá á¨á፠á áŚáááľ áľáááľ ááľáĽ áá áá á ááĽááľ (á áĽáŽ á¨á°á°áŠ áá´áá˝ á¨áá)á˘
á áĽááἠá ELK á¨á áá á¨á°áŤáá ááŤáááŤáá˝ á á ᣠáĽáąá ááľááá á ááľááá á´áááľáŞ ááľáĽ áŤáá°áááą áááŽá˝á áááá¨áľ á ááłááľ áá´áá˝á áááá ᣠáá áĽáá°áá
áŤá ááŤáááŤáá˝ áááἠáŤáľá¨ááá áĽá áĽáŤáá á¨ááłá áťáá áá áŤáá áá áá áá - áĽáŤáľá á°ááłáłá áá´á ááá ᣠá á°ááŁá áŠá áááᢠá¨áĽááľáá á¨ááľáľá ááŁáŞáŤ ááá á¨ááľááá áľáŤáá áľáá°á ááá á¨áááŞáŤ ááá áááá˘
á á á ááá á ááľááá á´áááľáŞ (áááłá á˛á˛á˛áľáŽ áľá˛ááľáá˝) áá áŤá á˝ááŽá˝á áĽá áľááśá˝á ááááŁá á áááἠáááŁáą áĽá ááá á¨áá áááľá ááááľ ááťáá áá áá° áááἠáááŁáľ á ááááá ááá á áŤáľá áááá
áĽá áááľá°áŤá¨á ááĽáŤááłááą á á˛áľ áľááľ á°ááłáłá SiLKᣠELK ááá nfdump ááá OSU Flow Tools (áĽá á¨áááŤá áľá áá¨á¨áťááš áááą ááá˘
ááá áááᣠá¨ááľáĽ áá á¨á° áááľáá á¨áá¨á á°á
áááľ ááĽáĽá á ááááĄá áľ áá áá¨á°á áŤááĽááľá ááá áááŽá˝ ááááá áĽáááááá˘
- áĽáŤáľáá á ááááľá áĽáť á áááľáĄ! áľáŤááá ᨠááĽáĽ A áá° ááĽáĽ B áááľá°ááá áĽáť áłááá á¨áłáá á á°á áááľ ááłáŽá˝á ááááłáľ á¨ááľááá áá á¨á° áááľá áá áá (áĽá ááá¨áĄ)á˘
- á ááľááá ááłáŞáŤá ááľáĽ áŤááľá á¨áá¨á á°á áááľ áá¨áłá°áŤ áá´áá˝á á áĽá áĽá á°á áááŁá¸áá˘
- áááľáŁá ááĽáĽá ᣠáá´áááľáŞ áľááłá áááŤá ááľáĄ - á¨ááá á¨á ááłá¨ áá¨áĽ áá¨á á°á áááľ ááłáŽá˝ áĽáľá¨ 80-90% áĽáá˛á°ááąááľ ááá áľáááłá ᣠá¨á ááłá¨ áá¨áĽ ááŹáśá˝á á˛áá áĽá á¨áá¨ááť áŚáłá áááá á¨áá¨á á°á áááľ ááľá°áśá˝ á˛ááĽáĄ á¨áááťááá á˛áŤá°ááá˘
- áá°áśá˝á ááá¨áłá°á Netflow v9 ááá IPFIX áá áá - á á°á áááľ á ááľ ááľáĽ á°á¨á᪠áá¨á áá°áŁá áĽá IPv4 áĽáť áłááá IPv6, MPLS, ááá° áĽáá˛á¨áłá°á áŤáľá˝áááłá.
- ááá áŤááá¨á á¨áá°áľ ááŽáśáŽá áá áá - áľááśá˝á áááá¨áľ á°á¨á᪠áá¨á áá°áŁáᢠáááłá, Netflow ááá IPFIX.
- á¨á ááłá¨ áá¨áĽ ááłáŞáŤáá áááľ áŤá¨ááᥠ- á¨áá°áľ ááŽáśáŽáá áá°áľá ááľá°áááľ ááá˝á áá˝ááᢠá¨á፠áááŁá áłáłážá˝á ááá Netflow Generation Applianceá ááá áá áŤáľáĄá áľá˘
- á ááááŞáŤ á°á¨á ááĽáĽáá á ááłá¨áť á°á¨á áá áá°ááĽáŠ - áá 100% áááá á¨áľáŤáá áá°áľ ááá¨áľ áĽáľá áá°áĽááłáá˘
- ááá áá፠á¨ááááľ áĽá á¨áŠá˛áŤ á ááłá¨ áá¨áĽ ááłáŞáŤáá˝á áĽá¨á°á áá á¨áá ᣠá¨á፠á¨áá°áľ ááŽáśáŽáá˝á á¨áá°áá ááá ᨠSPAN / RSPAN áá°áŚá˝ áŤááľ ááá¨áĄá˘
- á ááľáŁáá á ááłá¨áá¨áĽ ááľáĽ (á á°áá ááľáĽá á¨ááŽ) á áľáá áŽá˝ áĽá á¨áá°áľ áľáá°á áľáááśá˝ áá áŁáá-ááĽááľá / áĽááľá ááá¨áľ / áá¨áá¨áá áŤáŁááŠá˘
á¨áá¨á¨áťáá ááá á á°ááá¨á°áŁ á¨áá
á ááľ á¨á°á ááľá ááłá ááľá áľ áĽáááááᢠá¨áá
áá°á á¨á˛áľáŽ á áá¤áľ á áááááľ áá ááá áááľ ááťáá ᨠIS ááĽáĽá áľáááąá á áá¨áŤ ááá፠áľáááśá˝ áĽá á ááá áá´áá˝ áá á áááľá¨áľ áááĽáś á¨áá á¨áŁ á áá 20% ááľá°áśá˝á áĽáť ááááᢠáá 20% á°áá á áá°áľ áľáá°á áľáááśá˝ á°ááĽáŻá, áá
á áĽááá
áááľááá˝ áááľ áĽááłááá áá ááá, ááá áá á áááá á˘áá°áááŤáá á¨áá¨á á°á
áááľ á áááááśá˝ áĽáá
áľáá´áá˝ ááľáĽ áĽááá°á ááłáŞáŤ áá. á á°á¨ááŞá ᣠááľáá áŤá¸á á áŁá á áľáááá ááá á áááľ - á¨á ááłá¨ áá¨áĽ áá á¨á° ááᾠᣠá˘áá¨áľáľáááśá˝ á¨áá¨á á°á
áááľ ááĽáĽá á°ááŁáŤáľá áá ááłá¨ áá¨áĄ á ááá°áĽ á á°á¨á᪠áá á á áá˝ááá˘
á ááľááá áá°áśá˝ ááľáĽ áá°áá áŤáá°áááą ááá áľááśá˝ ááá˝ á¨ááľá áľá áááľ áá áĽáŹ á áááŠáľá ááá áá ááľáľá áľááľá á ááá
áĽáť ááá áĽáá°ááá áľ ááá˝ áááľáááᢠááášá áá¨á°á áĽá á á°ááá á á ááśáá˛á ááá á áŤáľ-á°á áááł ááá á áá áľ. áá áá
áá°áᨠááŁáĽá áááľ ááá˘
á°á¨á᪠áá¨á:
Cisco IOS Netflow ááá፠á á°ááŤáŠ á¨á˛áľáŽ áááľááá˝ ááľáĽ á¨á ááłá¨ áá¨áĽ áá°áľ áľáá ááľáŞááľ á á°ááŤáŠ Cisco ááľá¨áŽá˝ áá Netflow áá á áááŞáŤ sFlow áá á á¨á°áĽ á¨ááľááá áá°áľá á¨á°á áááľ á ááá ááá°áá°á StealtjwatchᣠSiLK áĽá ELKá áľááá áá ááĽáŤáśáŞ áŁá˘áŤ SiLK áŁá XNUMX-áá˝ áááŞáŤ SiLK á¨áĽá ááłááá˝ áá Logstash Netflow ááąá á á¤áᏠááľáĽ á¨á°áŁáŤ áá°áľá ááá°áá°á Cisco á°á¨á á á°á¨á áááŞáŤ Cisco ASA NetFlow v.9 áľááłá á¨Logstash (ELK) áá Cisco Stealthwatch áááľá
á.á¤áľ. á¨áá á áá á¨á°áťááá áá áááłáἠááĽááľá ááá á¨áá, á¨áá á ááľáłááť áá°á¨áľ áŤá°á¨ááá á¨á ááľ á°ááľ á ááŤá¨áĽ áá¨áľ áá˝áá.
ááá: hab.com