Axın protokolları daxili şəbəkənin təhlükəsizliyinə nəzarət vasitəsi kimi

Daxili korporativ və ya departament şəbəkəsinin təhlükəsizliyinin monitorinqinə gəldikdə, çoxları bunu məlumat sızmalarına nəzarət və DLP həllərinin tətbiqi ilə əlaqələndirirlər. Sualı aydınlaşdırmağa çalışsanız və daxili şəbəkəyə hücumları necə aşkar etdiyinizi soruşsanız, cavab, bir qayda olaraq, müdaxilənin aşkarlanması sistemlərinin (IDS) qeydi olacaqdır. Və 10-20 il əvvəl yeganə variant olan bu gün anaxronizmə çevrilir. Daxili şəbəkənin monitorinqi üçün daha effektiv və bəzi yerlərdə yeganə mümkün variant var - əvvəlcə şəbəkə problemlərini axtarmaq (nasazlıqların aradan qaldırılması) üçün nəzərdə tutulmuş, lakin zamanla çox maraqlı təhlükəsizlik alətinə çevrilən axın protokollarından istifadə. Hansı axın protokollarının olduğunu və hansının şəbəkə hücumlarını aşkar etməkdə daha yaxşı olduğunu, axın monitorinqini harada həyata keçirməyin ən yaxşı olduğunu, belə bir sxemi yerləşdirərkən nələri axtarmaq lazım olduğunu və hətta bütün bunları yerli avadanlıqda necə "qaldırmaq" barədə danışacağıq. bu maddə çərçivəsində.

“Daxili infrastrukturun təhlükəsizliyinə nəzarət nə üçün lazımdır?” sualının üzərində dayanmayacağam. Cavab aydın görünür. Ancaq buna baxmayaraq, bu gün onsuz yaşaya bilməyəcəyinizə bir daha əmin olmaq istəyirsinizsə, bir göz atın firewall tərəfindən qorunan korporativ şəbəkəyə 17 yolla necə daxil ola biləcəyiniz haqqında qısa video. Buna görə də, biz daxili monitorinqin zəruri bir şey olduğunu başa düşəcəyimizi və bunun necə təşkil oluna biləcəyini anlamaqdan başqa bir şey qalmadığını düşünəcəyik.

Şəbəkə səviyyəsində infrastrukturun monitorinqi üçün üç əsas məlumat mənbəyini qeyd edərdim:

• Tutduğumuz və müəyyən analiz sistemlərinə təhlil üçün təqdim etdiyimiz "xam" trafik,
• trafikin keçdiyi şəbəkə cihazlarından gələn hadisələr,
• axın protokollarından biri vasitəsilə alınan trafik məlumatı.

Xam trafiki ələ keçirmək təhlükəsizlik mütəxəssisləri arasında ən populyar seçimdir, çünki o, tarixən yaranıb və ən birincisi olub. Adi şəbəkə müdaxiləsinin aşkarlanması sistemləri (ilk kommersiya müdaxiləsinin aşkarlanması sistemi 1998-ci ildə Cisco tərəfindən satın alınan Wheel Group-dan NetRanger idi) müəyyən imzaların axtarıldığı paketlərin (və sonrakı sessiyaların) ələ keçirilməsi ilə dəqiq məşğul olurdu ("həlledici qaydalar"). FSTEC terminologiyası), siqnal hücumları. Əlbəttə ki, siz xam trafiki təkcə IDS-dən istifadə etməklə deyil, həm də digər alətlərdən (məsələn, Wireshark, tcpdum və ya Cisco IOS-da NBAR2 funksionallığı) istifadə etməklə təhlil edə bilərsiniz, lakin onlar adətən informasiya təhlükəsizliyi alətini adi proqramdan fərqləndirən bilik bazasına malik deyillər. İT aləti.

Beləliklə, hücum aşkarlama sistemləri. Perimetrdə yaxşı iş görən (nə olursa olsun - korporativ, məlumat mərkəzi, seqment və s.), lakin müasir kommutasiya edilmiş və proqram təminatı ilə müəyyən edilmiş şəbəkələrdə uğursuz olan şəbəkə hücumlarının aşkarlanmasının ən qədim və ən populyar üsulu. Adi açarlar əsasında qurulmuş bir şəbəkə vəziyyətində, hücumun aşkarlanması sensorlarının infrastrukturu çox böyük olur - hücumları izləmək istədiyiniz node ilə hər bir əlaqədə bir sensor quraşdırmalı olacaqsınız. Hər hansı bir istehsalçı, əlbəttə ki, sizə yüzlərlə və minlərlə sensor satmaqdan məmnun olacaq, amma məncə büdcəniz bu cür xərcləri dəstəkləyə bilməz. Deyə bilərəm ki, hətta Cisco-da (və biz NGIPS-in tərtibatçılarıyıq) biz bunu edə bilmədik, baxmayaraq ki, qiymət məsələsi qarşımızda görünür. Mən dayanmamalıyam - bu bizim öz qərarımızdır. Bundan əlavə, sual yaranır, bu versiyada sensoru necə birləşdirmək olar? Boşluğa? Sensorun özü uğursuz olarsa nə etməli? Sensorda bypass modulu tələb olunur? Ayırıcılardan istifadə edin (kran)? Bütün bunlar həlli daha bahalı edir və onu istənilən ölçülü şirkət üçün əlçatmaz edir.

Siz sensoru SPAN/RSPAN/ERSPAN portuna “asmağa” və lazımi keçid portlarından trafiki ona yönəltməyə cəhd edə bilərsiniz. Bu seçim əvvəlki paraqrafda təsvir olunan problemi qismən aradan qaldırır, lakin başqa bir problem yaradır - SPAN portu ona göndəriləcək bütün trafiki tamamilə qəbul edə bilməz - kifayət qədər ötürmə qabiliyyəti olmayacaq. Nəyisə qurban verməli olacaqsan. Ya bəzi qovşaqları monitorinq etmədən buraxın (sonra əvvəlcə onları prioritetləşdirməlisiniz) və ya qovşaqdan bütün trafiki deyil, yalnız müəyyən bir növü göndərin. İstənilən halda bəzi hücumları qaçıra bilərik. Bundan əlavə, SPAN portu digər ehtiyaclar üçün istifadə edilə bilər. Nəticədə, mövcud şəbəkə topologiyasını nəzərdən keçirməli və bəlkə də şəbəkənizi malik olduğunuz sensorların sayı ilə maksimum dərəcədə əhatə etmək (və bunu İT ilə əlaqələndirmək) üçün ona düzəlişlər etməli olacağıq.

Əgər şəbəkəniz asimmetrik marşrutlardan istifadə edirsə? Bəs siz SDN-ni həyata keçirmisinizsə və ya həyata keçirməyi planlaşdırırsınızsa? Trafiki ümumiyyətlə fiziki keçidə çatmayan virtuallaşdırılmış maşınlara və ya konteynerlərə nəzarət etməlisinizsə? Bunlar ənənəvi IDS satıcılarının xoşlamadığı suallardır, çünki onlara necə cavab verəcəklərini bilmirlər. Ola bilsin ki, onlar sizi inandırsınlar ki, bütün bu dəbli texnologiyalar şırıngadır və buna ehtiyacınız yoxdur. Ola bilsin ki, kiçikdən başlamağın vacibliyindən danışacaqlar. Və ya bəlkə də deyəcəklər ki, şəbəkənin mərkəzinə güclü bir döymə maşını qoymaq və balanslaşdırıcılardan istifadə edərək bütün trafiki ona yönəltmək lazımdır. Sizə hansı variant təklif olunsa da, bunun sizə necə uyğun olduğunu aydın başa düşməlisiniz. Və yalnız bundan sonra şəbəkə infrastrukturunun informasiya təhlükəsizliyinin monitorinqinə yanaşmanın seçilməsi barədə qərar qəbul edin. Paket ələ keçirməyə qayıdaraq demək istəyirəm ki, bu üsul çox populyar və vacib olmağa davam edir, lakin onun əsas məqsədi sərhəd nəzarətidir; təşkilatınız və İnternet arasındakı sərhədlər, məlumat mərkəzi ilə şəbəkənin qalan hissəsi arasındakı sərhədlər, prosesə nəzarət sistemi və korporativ seqment arasındakı sərhədlər. Bu yerlərdə klassik IDS/IPS hələ də mövcud olmaq və vəzifələrinin öhdəsindən gəlmək hüququna malikdir.

İkinci varianta keçək. Şəbəkə cihazlarından gələn hadisələrin təhlili hücumların aşkarlanması məqsədləri üçün də istifadə edilə bilər, lakin əsas mexanizm kimi deyil, çünki bu, yalnız kiçik bir müdaxilə sinfini aşkar etməyə imkan verir. Bundan əlavə, bu, bəzi reaktivliyə xasdır - hücum əvvəlcə baş verməlidir, sonra bu və ya digər şəkildə informasiya təhlükəsizliyi ilə bağlı problem barədə siqnal verəcək bir şəbəkə cihazı tərəfindən qeyd edilməlidir. Belə bir neçə yol var. Bu syslog, RMON və ya SNMP ola bilər. İnformasiya təhlükəsizliyi kontekstində şəbəkə monitorinqi üçün son iki protokol yalnız şəbəkə avadanlığının özünə bir DoS hücumunu aşkar etmək lazım olduqda istifadə olunur, çünki RMON və SNMP-dən istifadə etməklə, məsələn, cihazın mərkəzinə yükü izləmək mümkündür. prosessor və ya onun interfeysləri. Bu, "ən ucuz"lardan biridir (hər kəsin syslog və ya SNMP var), həm də daxili infrastrukturun informasiya təhlükəsizliyinə nəzarətin bütün üsullarından ən səmərəsizdir - bir çox hücumlar sadəcə ondan gizlədilir. Əlbəttə ki, onlara laqeyd yanaşmaq olmaz və eyni syslog təhlili cihazın özünün konfiqurasiyasındakı dəyişiklikləri, onun güzəştini vaxtında müəyyən etməyə kömək edir, lakin bütün şəbəkəyə hücumları aşkar etmək üçün çox uyğun deyil.

Üçüncü seçim, bir neçə axın protokolundan birini dəstəkləyən bir cihazdan keçən trafik haqqında məlumatı təhlil etməkdir. Bu halda, protokoldan asılı olmayaraq, yivləmə infrastrukturu mütləq üç komponentdən ibarətdir:

• Axının yaradılması və ya ixracı. Bu rol adətən marşrutlaşdırıcıya, keçidə və ya digər şəbəkə cihazına təyin edilir ki, bu da şəbəkə trafikini özündən keçirərək ondan əsas parametrləri çıxarmağa imkan verir, sonra isə toplama moduluna ötürülür. Məsələn, Cisco Netflow protokolunu təkcə virtual və sənaye daxil olmaqla marşrutlaşdırıcılarda və açarlarda deyil, həm də simsiz kontrollerlərdə, firewalllarda və hətta serverlərdə dəstəkləyir.
• Kolleksiya axını. Müasir şəbəkədə adətən birdən çox şəbəkə qurğusunun olduğunu nəzərə alsaq, axınların toplanması və birləşdirilməsi problemi yaranır ki, bu da qəbul edilən axınları emal edən və sonra təhlil üçün ötürən kollektorlar adlanan vasitələrdən istifadə etməklə həll olunur.
• Axın təhlili Analizator əsas intellektual vəzifəni üzərinə götürür və axınlara müxtəlif alqoritmlər tətbiq edərək müəyyən nəticələr çıxarır. Məsələn, İT funksiyasının bir hissəsi olaraq, belə bir analizator şəbəkə darboğazlarını müəyyən edə və ya əlavə şəbəkə optimallaşdırılması üçün trafik yükü profilini təhlil edə bilər. İnformasiya təhlükəsizliyi üçün isə belə analizator məlumat sızmalarını, zərərli kodun yayılmasını və ya DoS hücumlarını aşkar edə bilər.

Bu üç səviyyəli arxitekturanın çox mürəkkəb olduğunu düşünməyin - bütün digər variantlar (bəlkə də SNMP və RMON ilə işləyən şəbəkə monitorinq sistemləri istisna olmaqla) buna uyğun işləyir. Şəbəkə cihazı və ya müstəqil sensor ola bilən təhlil üçün məlumat generatorumuz var. Bütün monitorinq infrastrukturu üçün həyəcan toplama sistemimiz və idarəetmə sistemimiz var. Son iki komponent bir node daxilində birləşdirilə bilər, lakin daha çox və ya daha az böyük şəbəkələrdə miqyaslılığı və etibarlılığı təmin etmək üçün adətən ən azı iki cihaz arasında yayılır.

Hər bir paketin başlıq və bədən məlumatlarının və onun ibarət olduğu seansların öyrənilməsinə əsaslanan paket təhlilindən fərqli olaraq, axın təhlili şəbəkə trafiki haqqında metadata toplanmasına əsaslanır. Nə vaxt, nə qədər, haradan və haradan, necə... bunlar müxtəlif axın protokollarından istifadə etməklə şəbəkə telemetriyasının təhlili ilə cavablandırılan suallardır. Əvvəlcə onlardan statistik məlumatları təhlil etmək və şəbəkədə İT problemlərini tapmaq üçün istifadə olunurdu, lakin sonra analitik mexanizmlər inkişaf etdikcə onları təhlükəsizlik məqsədləri üçün eyni telemetriyaya tətbiq etmək mümkün oldu. Bir daha qeyd etmək lazımdır ki, axın təhlili paket tutmağı əvəz etmir və ya əvəz etmir. Bu üsulların hər birinin öz tətbiq sahəsi var. Lakin bu məqalənin kontekstində daxili infrastrukturun monitorinqi üçün ən uyğun olan axın təhlilidir. Şəbəkə cihazlarınız var (istər proqram tərəfindən müəyyən edilmiş paradiqmada, istərsə də statik qaydalara uyğun olaraq) hücumun keçə bilməyəcəyi. O, klassik IDS sensorunu keçə bilər, lakin axın protokolunu dəstəkləyən şəbəkə cihazı bunu edə bilməz. Bu metodun üstünlüyü budur.

Digər tərəfdən, hüquq-mühafizə orqanları və ya öz insident araşdırma qrupunuz üçün sübuta ehtiyacınız varsa, paket tutmadan edə bilməzsiniz - şəbəkə telemetriyası sübut toplamaq üçün istifadə edilə bilən trafikin surəti deyil; informasiya təhlükəsizliyi sahəsində sürətli aşkarlanması və qərarların qəbulu üçün lazımdır. Digər tərəfdən, telemetriya analizindən istifadə edərək, bütün şəbəkə trafikini deyil (əgər bir şey varsa, Cisco məlumat mərkəzləri ilə məşğul olur :-), ancaq hücumda iştirak edənləri "yazmaq" olar. Bu baxımdan telemetriya təhlili alətləri seçmə tutma və saxlama əmrləri verərək ənənəvi paket tutma mexanizmlərini yaxşı tamamlayacaq. Əks halda, nəhəng saxlama infrastrukturunuz olmalı olacaq.

250 Mbit/san sürətlə işləyən şəbəkəni təsəvvür edək. Bütün bu həcmi saxlamaq istəyirsinizsə, onda bir saniyə trafik ötürülməsi üçün 31 MB, bir dəqiqə üçün 1,8 GB, bir saat üçün 108 GB və bir gün üçün 2,6 TB yaddaşa ehtiyacınız olacaq. 10 Gbit/s bant genişliyi olan şəbəkədən gündəlik məlumatları saxlamaq üçün sizə 108 TB yaddaş lazımdır. Ancaq bəzi tənzimləyicilər təhlükəsizlik məlumatlarının illərlə saxlanmasını tələb edir... Axın təhlili həyata keçirməyə kömək edən tələb üzrə qeyd, bu dəyərləri böyük ölçüdə azaltmağa kömək edir. Yeri gəlmişkən, qeyd edilmiş şəbəkə telemetriya məlumatlarının həcminin və tam məlumatların tutulmasının nisbəti haqqında danışırıqsa, bu, təxminən 1-dən 500-ə qədərdir. Yuxarıda göstərilən eyni dəyərlər üçün bütün gündəlik trafikin tam transkriptini saxlayır. müvafiq olaraq 5 və 216 GB olacaq (hətta onu adi bir flash sürücüyə yaza bilərsiniz ).

Xam şəbəkə məlumatlarını təhlil etmək üçün alətlər üçün, onu tutma üsulu satıcıdan satıcıya demək olar ki, eynidirsə, axın təhlili vəziyyətində vəziyyət fərqlidir. Axın protokolları üçün təhlükəsizlik kontekstində bilməli olduğunuz fərqlər üçün bir neçə variant var. Ən populyarı Cisco tərəfindən hazırlanmış Netflow protokoludur. Bu protokolun imkanları və qeydə alınan trafik məlumatlarının miqdarı ilə fərqlənən bir neçə versiyası var. Cari versiya doqquzuncudur (Netflow v9), bunun əsasında IPFIX kimi tanınan Netflow v10 sənaye standartı hazırlanmışdır. Bu gün əksər şəbəkə satıcıları öz avadanlıqlarında Netflow və ya IPFIX-i dəstəkləyir. Lakin axın protokolları üçün müxtəlif başqa variantlar var - sFlow, jFlow, cFlow, rFlow, NetStream və s., bunlardan sFlow ən populyardır. Yerli şəbəkə avadanlığı istehsalçıları tərəfindən həyata keçirilməsinin asanlığına görə ən çox dəstəklənən bu tipdir. De-fakto standarta çevrilmiş Netflow ilə sFlow arasındakı əsas fərqlər nələrdir? Mən bir neçə əsas məqamı qeyd edərdim. Birincisi, Netflow-da sFlow-da sabit sahələrdən fərqli olaraq istifadəçi tərəfindən fərdiləşdirilə bilən sahələr var. İkincisi, və bu, bizim vəziyyətimizdə ən vacib şeydir, sFlow sözdə nümunəli telemetriyanı toplayır; Netflow və IPFIX üçün nümunəsizdən fərqli olaraq. Onların arasındakı fərq nədir?

Təsəvvür edin ki, kitabı oxumağa qərar verdiniz”Təhlükəsizlik Əməliyyatları Mərkəzi: SOC-unuzun qurulması, istismarı və saxlanması” həmkarlarımdan - Qari Makintayr, Cozef Munitz və Nadem Alfardan (kitabın bir hissəsini linkdən yükləyə bilərsiniz). Məqsədinizə çatmaq üçün üç seçiminiz var - bütün kitabı oxuyun, gözdən keçirin, hər 10 və ya 20-ci səhifədə dayanın və ya SmartReading kimi bloqda və ya xidmətdə əsas anlayışların təkrar izahını tapmağa çalışın. Beləliklə, nümunəsiz telemetriya şəbəkə trafikinin hər bir "səhifəsini" oxuyur, yəni hər bir paket üçün metaməlumatları təhlil edir. Nümunəvi telemetriya seçilmiş nümunələrin sizə lazım olanı ehtiva edəcəyi ümidi ilə trafikin seçmə öyrənilməsidir. Kanalın sürətindən asılı olaraq nümunə götürülmüş telemetriya hər 64-cü, 200-cü, 500-cü, 1000-ci, 2000-ci və hətta 10000-ci paketdən bir analiz üçün göndəriləcək.

İnformasiya təhlükəsizliyinin monitorinqi kontekstində bu o deməkdir ki, nümunə götürülmüş telemetriya DDoS hücumlarını aşkar etmək, skan etmək və zərərli kodu yaymaq üçün yaxşı uyğundur, lakin analiz üçün göndərilən nümunəyə daxil edilməyən atomik və ya çox paketli hücumları qaçıra bilər. Nümunəsiz telemetriyanın belə çatışmazlıqları yoxdur. Bununla da aşkar edilən hücumların diapazonu daha genişdir. Şəbəkə telemetriya təhlili alətlərindən istifadə etməklə aşkarlana bilən hadisələrin qısa siyahısı buradadır.

Əlbəttə ki, bəzi açıq mənbəli Netflow analizatoru bunu etməyə imkan verməyəcək, çünki onun əsas vəzifəsi telemetriya toplamaq və İT baxımından əsas təhlil aparmaqdır. Axına əsaslanan informasiya təhlükəsizliyi təhdidlərini müəyyən etmək üçün analizatoru müxtəlif mühərriklər və alqoritmlərlə təchiz etmək lazımdır ki, bu da standart və ya xüsusi Netflow sahələri əsasında kibertəhlükəsizlik problemlərini müəyyən edəcək, standart məlumatları müxtəlif Təhdid Kəşfiyyatı mənbələrindən olan xarici məlumatlar ilə zənginləşdirəcək və s.

Buna görə seçiminiz varsa, Netflow və ya IPFIX seçin. Ancaq avadanlığınız yerli istehsalçılar kimi yalnız sFlow ilə işləsə belə, hətta bu halda təhlükəsizlik kontekstində ondan faydalana bilərsiniz.

2019-cu ilin yayında mən Rusiya şəbəkə avadanlıq istehsalçılarının imkanlarını təhlil etdim və NSG, Polygon və Craftway istisna olmaqla, hamısı sFlow (ən azı Zelax, Natex, Eltex, QTech, Rusteleteh) üçün dəstək elan etdi.

Qarşılaşacağınız növbəti sual təhlükəsizlik məqsədləri üçün axın dəstəyini harada həyata keçirməkdir? Əslində sual tam olaraq düzgün qoyulmayıb. Müasir avadanlıq demək olar ki, həmişə axın protokollarını dəstəkləyir. Buna görə də, sualı fərqli şəkildə yenidən tərtib edərdim - təhlükəsizlik baxımından telemetriya toplamaq harada daha effektivdir? Cavab olduqca aydın olacaq - bütün trafikin 100% -ni görəcəyiniz giriş səviyyəsində, burada hostlar (MAC, VLAN, interfeys ID) haqqında ətraflı məlumatınız olacaq, burada hətta hostlar arasında P2P trafikinə nəzarət edə bilərsiniz. zərərli kodun aşkarlanması və yayılmasının skan edilməsi üçün vacibdir. Əsas səviyyədə siz sadəcə olaraq trafikin bir hissəsini görməyə bilərsiniz, lakin perimetr səviyyəsində bütün şəbəkə trafikinizin dörddə birini görəcəksiniz. Ancaq nədənsə şəbəkənizdə təcavüzkarlara perimetri keçmədən "giriş və çıxmağa" imkan verən xarici qurğularınız varsa, ondan telemetriyanı təhlil etmək sizə heç nə verməyəcək. Buna görə də, maksimum əhatə dairəsi üçün giriş səviyyəsində telemetriya yığımını aktivləşdirmək tövsiyə olunur. Eyni zamanda, qeyd etmək lazımdır ki, virtuallaşdırma və ya konteynerlərdən danışsaq belə, axın dəstəyi də tez-tez müasir virtual açarlarda olur, bu da oradakı trafikə nəzarət etməyə imkan verir.

Ancaq mövzunu qaldırdığım üçün suala cavab verməliyəm: fiziki və ya virtual avadanlıq axın protokollarını dəstəkləmirsə? Yoxsa onun daxil edilməsi qadağandır (məsələn, etibarlılığı təmin etmək üçün sənaye seqmentlərində)? Yoxsa onu işə salmaq yüksək CPU yüklənməsinə səbəb olur (bu, köhnə aparatlarda olur)? Bu problemi həll etmək üçün xüsusi virtual sensorlar (axın sensorları) mövcuddur ki, bunlar mahiyyətcə trafiki özlərindən keçirən və onu axın şəklində toplama moduluna yayımlayan adi splitterlərdir. Düzdür, bu halda paket tutma vasitələri ilə bağlı yuxarıda danışdığımız bütün problemləri alırıq. Yəni axın təhlili texnologiyasının yalnız üstünlüklərini deyil, həm də məhdudiyyətlərini başa düşməlisiniz.

Axın təhlili alətləri haqqında danışarkən yadda saxlamaq vacib olan başqa bir məqam. Əgər təhlükəsizlik hadisələrinin yaradılmasının şərti vasitələrinə münasibətdə biz EPS metrikasından (saniyədə hadisə) istifadə ediriksə, bu göstərici telemetriya təhlilinə aid edilmir; onu FPS (saniyədə axın) ilə əvəz edir. EPS vəziyyətində olduğu kimi, onu əvvəlcədən hesablamaq mümkün deyil, ancaq müəyyən bir cihazın tapşırığından asılı olaraq yaratdığı mövzuların təxmini sayını təxmin edə bilərsiniz. İnternetdə müxtəlif növ müəssisə cihazları və şərtləri üçün təxmini dəyərləri olan cədvəllər tapa bilərsiniz, bu da analiz alətləri üçün hansı lisenziyalara ehtiyacınız olduğunu və onların arxitekturasının nə olacağını təxmin etməyə imkan verəcəkdir? Fakt budur ki, IDS sensoru "çəkə" biləcəyi müəyyən bir bant genişliyi ilə məhdudlaşır və axın kollektorunun başa düşülməli olan öz məhdudiyyətləri var. Buna görə də, böyük, coğrafi olaraq paylanmış şəbəkələrdə adətən bir neçə kollektor olur. Mən təsvir edəndə şəbəkəyə Cisco daxilində necə nəzarət edilir, Mən artıq kollektorlarımızın sayını vermişəm - onların sayı 21-dir.Və bu, beş qitəyə səpələnmiş və təxminən yarım milyon aktiv cihazı olan şəbəkə üçündür).

Netflow monitorinq sistemi kimi öz həllimizdən istifadə edirik Cisco Stealthwatchtəhlükəsizlik problemlərinin həllinə xüsusi diqqət yetirən . O, anomal, şübhəli və açıq-aydın zərərli fəaliyyəti aşkar etmək üçün çoxlu daxili mühərriklərə malikdir və ona müxtəlif təhdidlərin geniş spektrini - kriptomininqdən məlumat sızmasına, zərərli kodun yayılmasından fırıldaqçılığa qədər aşkar etməyə imkan verir. Əksər axın analizatorları kimi, Stealthwatch da üç səviyyəli sxemə (generator - kollektor - analizator) uyğun olaraq qurulur, lakin o, nəzərdən keçirilən materialın kontekstində vacib olan bir sıra maraqlı xüsusiyyətlərlə tamamlanır. Birincisi, o, daha sonra dərin araşdırma və təhlil üçün seçilmiş şəbəkə seanslarını qeyd etməyə imkan verən paket tutma həlləri ilə (məsələn, Cisco Təhlükəsizlik Paket Analizatoru) inteqrasiya edir. İkincisi, xüsusi olaraq təhlükəsizlik tapşırıqlarını genişləndirmək üçün biz son qovşaqlardakı (serverlər, iş stansiyaları və s.) tətbiqlərin fəaliyyətini telemetriyaya “yayımlamağa” və sonrakı təhlil üçün kollektora ötürməyə imkan verən xüsusi nvzFlow protokolu hazırlamışıq. Orijinal versiyasında Stealthwatch şəbəkə səviyyəsində hər hansı bir axın protokolu (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) ilə işləyirsə, nvzFlow dəstəyi bununla da qovşaq səviyyəsində məlumat korrelyasiyasına imkan verir. bütün sistemin səmərəliliyini artırmaq və adi şəbəkə axını analizatorlarından daha çox hücum görmək.

Aydındır ki, təhlükəsizlik nöqteyi-nəzərindən Netflow analiz sistemləri haqqında danışarkən bazar Cisco-nun tək həlli ilə məhdudlaşmır. Siz həm kommersiya, həm də pulsuz və ya paylaşılan proqram həllərindən istifadə edə bilərsiniz. Cisco bloqunda rəqiblərin həllərini misal gətirsəm çox qəribədir, ona görə də iki məşhur, adlarına bənzəyən, lakin yenə də fərqli alətlərdən - SiLK və ELK-dan istifadə etməklə şəbəkə telemetriyasını necə təhlil etmək barədə bir neçə kəlmə deyəcəyəm.

SiLK Amerika CERT/CC tərəfindən hazırlanmış və bugünkü məqalənin kontekstində Netflow (5-ci və 9-cu, ən populyar versiyalar), IPFIX-i dəstəkləyən trafik təhlili üçün alətlər dəstidir (İnternet Səviyyəsi Bilik Sistemi). və sFlow və müxtəlif utilitlərdən (rwfilter, rwcount, rwflowpack və s.) istifadə edərək şəbəkə telemetriyasında icazəsiz hərəkətlərin əlamətlərini aşkar etmək üçün müxtəlif əməliyyatları yerinə yetirmək. Ancaq bir neçə vacib məqamı qeyd etmək lazımdır. SiLK, bu kimi əmrləri daxil etməklə (200 baytdan böyük ICMP paketlərinin aşkarlanması) onlayn təhlili həyata keçirən komanda xətti alətidir:

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

çox rahat deyil. Siz iSiLK GUI-dən istifadə edə bilərsiniz, lakin bu, həyatınızı çox asanlaşdırmayacaq, yalnız vizuallaşdırma funksiyasını həll edəcək və analitiki əvəz etməyəcək. Və bu ikinci məqamdır. Artıq möhkəm analitik bazaya, anomaliyaların aşkarlanması alqoritmlərinə, müvafiq iş axınına və s.-yə malik olan kommersiya həllərindən fərqli olaraq, SiLK vəziyyətində siz bütün bunları özünüz etməli olacaqsınız ki, bu da sizdən artıq hazır sistemlərdən istifadə etməkdən bir qədər fərqli səlahiyyətlər tələb edəcək. alətlərdən istifadə etmək. Bu, nə yaxşı, nə də pisdir - bu, nə edəcəyinizi bildiyinizi güman edən demək olar ki, hər hansı bir pulsuz alətin xüsusiyyətidir və o, yalnız bu işdə sizə kömək edəcəkdir (kommersiya alətləri istifadəçilərinin bacarıqlarından daha az asılıdır, baxmayaraq ki, onlar da analitiklər ən azı şəbəkə araşdırmalarının və monitorinqinin əsaslarını başa düşür). Ancaq gəlin SiLK-a qayıdaq. Analitikin onunla iş dövrü belə görünür:

• Hipotezin formalaşdırılması. Şəbəkə telemetriyası daxilində nə axtaracağımızı başa düşməliyik, müəyyən anomaliyaları və ya təhlükələri müəyyən edəcəyimiz unikal atributları bilməliyik.
• Modelin qurulması. Bir fərziyyə tərtib etdikdən sonra biz onu eyni Python, shell və ya SiLK-a daxil olmayan digər alətlərdən istifadə edərək proqramlaşdırırıq.
• Test. 'rw', 'set', 'bag' ilə başlayan SiLK yardım proqramlarından istifadə edərək təsdiqlənən və ya təkzib edilən fərziyyəmizin düzgünlüyünü yoxlamağın vaxtıdır.
• Real məlumatların təhlili. Sənaye əməliyyatında SiLK bizə nəyisə müəyyən etməyə kömək edir və analitik “Gözlədiyimizi tapdıqmı?”, “Bu bizim fərziyyəmizə uyğundurmu?”, “Yanlış müsbətlərin sayını necə azaltmaq olar?”, “Necə edək?” suallarına cavab verməlidir. tanınma səviyyəsini artırmaq üçün? » və s.
• Təkmilləşdirmə. Son mərhələdə biz əvvəllər görülən işləri təkmilləşdiririk - şablonlar yaradırıq, kodu təkmilləşdiririk və optimallaşdırırıq, hipotezi yenidən formalaşdırır və aydınlaşdırırıq və s.

Bu dövrə Cisco Stealthwatch-a da şamil ediləcək, yalnız sonuncusu bu beş addımı maksimuma qədər avtomatlaşdırır, analitik səhvlərinin sayını azaldır və insident aşkarlanmasının səmərəliliyini artırır. Məsələn, SiLK-da şəbəkə statistikasını əl ilə yazılmış skriptlərdən istifadə edərək zərərli IP-lər haqqında xarici məlumatlar ilə zənginləşdirə bilərsiniz və Cisco Stealthwatch-da bu, şəbəkə trafikində qara siyahıdakı IP ünvanları ilə qarşılıqlı əlaqə olduqda dərhal həyəcan siqnalı göstərən daxili funksiyadır.

Əgər axın təhlili proqramı üçün “ödənişli” piramidada daha yüksək pillələrə qalxsanız, tamamilə pulsuz SiLK-dan sonra üç əsas komponentdən - Elasticsearch (indeksləmə, axtarış və məlumatların təhlili), Logstash (məlumatların daxil edilməsi/çıxışı) ibarət ELK şərikli proqramı olacaq. ) və Kibana (vizuallaşdırma). Hər şeyi özünüz yazmalı olduğunuz SiLK-dan fərqli olaraq, ELK-da şəbəkə telemetriyasının təhlilini avtomatlaşdıran çoxlu hazır kitabxanalar/modullar (bəziləri pullu, bəziləri isə yox) var. Məsələn, Logstash-da GeoIP filtri monitorinq edilən IP ünvanlarını onların coğrafi yeri ilə əlaqələndirməyə imkan verir (Stealthwatch-da bu daxili xüsusiyyət var).

ELK həmçinin bu monitorinq həlli üçün çatışmayan komponentləri tamamlayan kifayət qədər böyük bir cəmiyyətə malikdir. Məsələn, Netflow, IPFIX və sFlow ilə işləmək üçün moduldan istifadə edə bilərsiniz elastik axın, yalnız Netflow-u dəstəkləyən Logstash Netflow Modulu sizi qane etmirsə.

Axını toplamaqda və onun axtarışında daha çox səmərəlilik verməklə yanaşı, ELK hazırda şəbəkə telemetriyasında anomaliyaları və təhlükələri aşkar etmək üçün zəngin daxili analitikadan məhrumdur. Yəni, yuxarıda təsvir olunan həyat dövründən sonra, pozuntu modellərini müstəqil təsvir etməli və sonra döyüş sistemində istifadə etməli olacaqsınız (orada quraşdırılmış modellər yoxdur).

Şəbəkə telemetriyasında anomaliyaları aşkar etmək üçün artıq bəzi modelləri ehtiva edən ELK üçün daha mürəkkəb uzantılar var, lakin bu cür uzantılar pula başa gəlir və burada sual oyunun şama dəyər olub-olmamasıdır - oxşar modeli özünüz yazın, satın alın. monitorinq alətiniz üçün tətbiq edin və ya Şəbəkə Trafik Analizi sinfinin hazır həllini satın alın.

Ümumiyyətlə, mən mübahisəyə girmək istəmirəm ki, pul xərcləyib şəbəkə telemetriyasındakı anomaliyaları və təhdidləri izləmək üçün hazır həll (məsələn, Cisco Stealthwatch) almaq və ya bunu özünüz müəyyənləşdirib eyni şeyi fərdiləşdirmək daha yaxşıdır. Hər yeni təhlükə üçün SiLK, ELK və ya nfdump və ya OSU Flow Tools (mən onlardan sonuncu ikisindən danışıram. deyə danışdı sonuncu dəfə)? Hər kəs özü üçün seçir və hər kəsin iki variantdan birini seçmək üçün öz motivləri var. Mən sadəcə göstərmək istədim ki, şəbəkə telemetriyası daxili infrastrukturunuzun şəbəkə təhlükəsizliyinin təmin edilməsində çox vacib vasitədir və siz buna məhəl qoymamalısınız ki, mediada adı epitetlərlə birlikdə hallanan şirkətlərin siyahısına qoşulmayasınız”. sındırılıb”, “informasiya təhlükəsizliyi tələblərinə uyğun gəlmir”, “məlumatlarının və müştəri məlumatlarının təhlükəsizliyi haqqında düşünmürlər.”

Xülasə etmək üçün daxili infrastrukturunuzun informasiya təhlükəsizliyi monitorinqini qurarkən əməl etməli olduğunuz əsas məsləhətləri sadalamaq istərdim:

1. Özünüzü yalnız perimetrlə məhdudlaşdırmayın! Şəbəkə infrastrukturundan təkcə trafiki A nöqtəsindən B nöqtəsinə köçürmək üçün deyil, həm də kibertəhlükəsizlik məsələlərini həll etmək üçün istifadə edin (və seçin).
2. Şəbəkə avadanlığınızdakı mövcud informasiya təhlükəsizliyi monitorinq mexanizmlərini öyrənin və onlardan istifadə edin.
3. Daxili monitorinq üçün telemetriya təhlilinə üstünlük verin - bu, şəbəkə paketlərini ələ keçirərkən və bütün informasiya təhlükəsizliyi hadisələrinin saxlanması üçün yerə qənaət edərkən mümkün olmayanı edərkən, bütün şəbəkə məlumat təhlükəsizliyi insidentlərinin 80-90% -ni aşkar etməyə imkan verir.
4. Axınları izləmək üçün Netflow v9 və ya IPFIX-dən istifadə edin - onlar təhlükəsizlik kontekstində daha çox məlumat verir və sizə təkcə IPv4 deyil, həm də IPv6, MPLS və s. nəzarət etməyə imkan verir.
5. Nümunə edilməmiş axın protokolundan istifadə edin - o, təhdidləri aşkar etmək üçün daha çox məlumat verir. Məsələn, Netflow və ya IPFIX.
6. Şəbəkə avadanlığınızdakı yükü yoxlayın - o, axın protokolunu da idarə edə bilməyə bilər. Sonra virtual sensorlar və ya Netflow Generation Appliance istifadə etməyi düşünün.
7. Nəzarəti ilk növbədə giriş səviyyəsində həyata keçirin - bu sizə bütün trafikin 100%-ni görmək imkanı verəcək.
8. Seçiminiz yoxdursa və Rusiya şəbəkə avadanlıqlarından istifadə edirsinizsə, axın protokollarını dəstəkləyən və ya SPAN/RSPAN portları olan birini seçin.
9. Daxili şəbəkədə (buludlar da daxil olmaqla) kənarlarda müdaxilə/hücum aşkarlama/profilaktika sistemlərini və axın təhlili sistemlərini birləşdirin.

Sonuncu ipucu ilə əlaqədar olaraq, əvvəllər verdiyim bir illüstrasiya vermək istərdim. Baxırsınız ki, əgər əvvəllər Cisco informasiya təhlükəsizliyi xidməti informasiya təhlükəsizliyinin monitorinqi sistemini demək olar ki, tamamilə müdaxilənin aşkarlanması sistemləri və imza metodları əsasında qururdusa, indi insidentlərin yalnız 20%-ni təşkil edir. Digər 20% axın təhlili sistemlərinin payına düşür ki, bu da bu həllərin şıltaqlıq deyil, müasir bir müəssisənin informasiya təhlükəsizliyi xidmətlərinin fəaliyyətində əsl alət olduğunu göstərir. Üstəlik, onların həyata keçirilməsi üçün ən vacib şeyiniz var - şəbəkə infrastrukturu, sərmayələr şəbəkəyə informasiya təhlükəsizliyinin monitorinqi funksiyalarını təyin etməklə daha da qoruna bilər.

Şəbəkə axınlarında müəyyən edilmiş anomaliyalara və ya təhlükələrə cavab vermək mövzusuna xüsusi toxunmadım, amma hesab edirəm ki, monitorinqin yalnız təhlükənin aşkarlanması ilə bitməməsi artıq aydındır. Bundan sonra cavab verilməlidir və tercihen avtomatik və ya avtomatlaşdırılmış rejimdə olmalıdır. Ancaq bu ayrı bir məqalənin mövzusudur.

Əlavə məlumat:

• Cisco IOS Netflow-un təsviri
• Müxtəlif Cisco həllərində Netflow dəstək matrisi
• Müxtəlif Cisco Platformalarında Netflow Konfiqurasiyasına dair Bələdçi
• sFlow İcması
• Netflow-u təhlükəsizlik baxımından təhlil etmək üçün Stealtjwatch, SiLK və ELK istifadə edən laboratoriya
• SiLK saytı
• Tonlarca nümunə ilə SiLK-dan istifadə etmək üçün üç yüz səhifəlik bələdçi
• Logstash Netflow Modulu
• ELK-da Netflow Təhlili üçün Cisco Addım-Addım Bələdçisi
• Logstash (ELK) istifadə edərək NetFlow v.9 Cisco ASA-nın təhlili
• Cisco Stealthwatch Həlli

PS. Yuxarıda yazılanların hamısını eşitmək sizin üçün daha asandırsa, bu qeydin əsasını təşkil edən bir saatlıq təqdimata baxa bilərsiniz.

Mənbə: www.habr.com