yn ddatrysiad dadansoddol ym maes diogelwch gwybodaeth sy'n darparu monitro cynhwysfawr o fygythiadau mewn rhwydwaith dosbarthedig. Mae StealthWatch yn seiliedig ar gasglu NetFlow ac IPFIX o lwybryddion, switshis a dyfeisiau rhwydwaith eraill. O ganlyniad, mae'r rhwydwaith yn dod yn synhwyrydd sensitif ac yn caniatáu i'r gweinyddwr edrych i mewn i leoedd lle na all dulliau diogelwch rhwydwaith traddodiadol, fel Mur Tân y Genhedlaeth Nesaf, gyrraedd.
Mewn erthyglau blaenorol ysgrifennais eisoes am StealthWatch: Ac . Nawr rwy'n bwriadu symud ymlaen a thrafod sut i weithio gyda larymau ac ymchwilio i ddigwyddiadau diogelwch y mae'r datrysiad yn eu cynhyrchu. Bydd 6 enghraifft a fydd, gobeithio, yn rhoi syniad da o ddefnyddioldeb y cynnyrch.
Yn gyntaf, dylid dweud bod gan StealthWatch rywfaint o ddosbarthu larymau rhwng algorithmau a ffrydiau. Mae'r cyntaf yn wahanol fathau o larymau (hysbysiadau), pan gânt eu hysgogi, gallwch ganfod pethau amheus ar y rhwydwaith. Yr ail yw digwyddiadau diogelwch. Bydd yr erthygl hon yn edrych ar 4 enghraifft o algorithmau a sbardunwyd a 2 enghraifft o borthiant.
1. Dadansoddiad o'r rhyngweithiadau mwyaf o fewn y rhwydwaith
Y cam cychwynnol wrth sefydlu StealthWatch yw diffinio gwesteiwyr a rhwydweithiau yn grwpiau. Yn y tab rhyngwyneb gwe Ffurfweddu > Rheoli Grŵp Gwesteiwr Dylid dosbarthu rhwydweithiau, gwesteiwyr a gweinyddwyr yn grwpiau priodol. Gallwch hefyd greu eich grwpiau eich hun. Gyda llaw, mae dadansoddi rhyngweithio rhwng gwesteiwyr yn Cisco StealthWatch yn eithaf cyfleus, gan y gallwch nid yn unig arbed hidlwyr chwilio yn ôl ffrwd, ond hefyd y canlyniadau eu hunain.
I ddechrau, yn y rhyngwyneb gwe dylech fynd i'r tab Dadansoddi > Chwiliad Llif. Yna dylech osod y paramedrau canlynol:
- Math o Chwilio - Sgyrsiau Gorau (rhyngweithiadau mwyaf poblogaidd)
- Ystod Amser - 24 awr (cyfnod amser, gallwch ddefnyddio un arall)
- Enw Chwilio - Sgyrsiau Gorau Y Tu Mewn Y Tu Mewn (unrhyw enw cyfeillgar)
- Pwnc - Grwpiau Gwesteiwr → Gwesteiwyr Mewnol (ffynhonnell - grŵp o westeion mewnol)
- Cysylltiad (gallwch nodi porthladdoedd, cymwysiadau)
- Cyfoedion - Grwpiau Gwesteiwr → Gwesteiwyr Mewnol (cyrchfan - grŵp o nodau mewnol)
- Yn Opsiynau Uwch, gallwch hefyd nodi'r casglwr y mae'r data yn cael ei weld ohono, gan ddidoli'r allbwn (yn ôl beit, ffrydiau, ac ati). 'N annhymerus' yn ei adael fel rhagosodiad.
Ar ôl pwyso'r botwm Chwilio dangosir rhestr o ryngweithiadau sydd eisoes wedi'u didoli yn ôl faint o ddata a drosglwyddwyd.
Yn fy enghraifft y gwesteiwr 10.150.1.201 (gweinydd) a drosglwyddir o fewn un edefyn yn unig 1.5 GB traffig i'w gynnal 10.150.1.200 (cleient) yn ôl protocol mysql. Botwm Rheoli Colofnau yn caniatáu ichi ychwanegu mwy o golofnau at y data allbwn.
Nesaf, yn ôl disgresiwn y gweinyddwr, gallwch greu rheol arfer a fydd bob amser yn sbarduno'r math hwn o ryngweithio ac yn eich hysbysu trwy SNMP, e-bost neu Syslog.
2. Dadansoddiad o'r rhyngweithiadau cleient-gweinydd arafaf o fewn y rhwydwaith ar gyfer oedi
Tags SRT (Amser Ymateb Gweinydd), RTT (Amser Taith Gron) caniatáu i chi ddarganfod oedi gweinyddwr ac oedi rhwydwaith cyffredinol. Mae'r offeryn hwn yn arbennig o ddefnyddiol pan fydd angen i chi ddod o hyd i achos cwynion defnyddwyr yn gyflym am raglen sy'n rhedeg yn araf.
Nodyn: bron pob allforiwr Netflow ddim yn gwybod sut anfon SRT, tagiau RTT, mor aml, er mwyn gweld data o'r fath ar FlowSensor, mae angen i chi ffurfweddu anfon copi o draffig o ddyfeisiau rhwydwaith. Mae FlowSensor yn ei dro yn anfon yr IPFIX estynedig i FlowCollector.
Mae'n fwy cyfleus cynnal y dadansoddiad hwn yn y cymhwysiad java StealtWatch, sydd wedi'i osod ar gyfrifiadur y gweinyddwr.
Botwm de'r llygoden ymlaen Gwesteiwyr Mewnol a mynd i'r tab Tabl Llif.
Cliciwch ar Hidlo a gosod y paramedrau angenrheidiol. Fel enghraifft:
- Dyddiad/Amser - Am y 3 diwrnod diwethaf
- Perfformiad — Amser Taith Rownd Cyfartalog >=50ms
Ar ôl arddangos y data, dylem ychwanegu'r meysydd RTT a SRT sydd o ddiddordeb i ni. I wneud hyn, cliciwch ar y golofn yn y sgrin a dewiswch gyda botwm dde'r llygoden Rheoli Colofnau. Nesaf, cliciwch ar RTT, paramedrau SRT.
Ar ôl prosesu'r cais, fe wnes i ddidoli yn ôl cyfartaledd RTT a gweld y rhyngweithio arafaf.
I fynd i mewn i wybodaeth fanwl, de-gliciwch ar y ffrwd a dewis Golwg Cyflym ar gyfer Llif.
Mae'r wybodaeth hon yn dangos bod y gwesteiwr 10.201.3.59 o'r grŵp Gwerthu a Marchnata yn ôl protocol NFS yn cyfeirio at gweinydd DNS am funud a 23 eiliad ac mae ganddo oedi ofnadwy. Yn y tab Rhyngwynebau gallwch ddarganfod o ba allforiwr data Netflow y cafwyd y wybodaeth. Yn y tab Tabl Dangosir gwybodaeth fanylach am y rhyngweithio.
Nesaf, dylech ddarganfod pa ddyfeisiau sy'n anfon traffig i FlowSensor ac mae'r broblem yn fwyaf tebygol o fod yno.
Ar ben hynny, mae StealthWatch yn unigryw gan ei fod yn cynnal dadblygiad data (yn cyfuno'r un ffrydiau). Felly, gallwch chi gasglu o bron pob dyfais Netflow a pheidio â bod ofn y bydd llawer o ddata dyblyg. I'r gwrthwyneb, yn y cynllun hwn bydd yn helpu i ddeall pa hop sy'n achosi'r oedi mwyaf.
3. Archwiliad o brotocolau cryptograffig HTTPS
ETA (Dadansoddeg Traffig wedi'i Amgryptio) yn dechnoleg a ddatblygwyd gan Cisco sy'n eich galluogi i ganfod cysylltiadau maleisus mewn traffig wedi'i amgryptio heb ei ddadgryptio. Ar ben hynny, mae'r dechnoleg hon yn caniatáu ichi “ddosrannu” HTTPS yn fersiynau TLS a phrotocolau cryptograffig a ddefnyddir yn ystod cysylltiadau. Mae'r swyddogaeth hon yn arbennig o ddefnyddiol pan fydd angen i chi ganfod nodau rhwydwaith sy'n defnyddio safonau crypto gwan.
Nodyn: Yn gyntaf rhaid i chi osod yr ap rhwydwaith ar StealthWatch - Archwiliad Cryptograffig ETA.
Ewch i'r tab Dangosfyrddau → Archwiliad Cryptograffig ETA a dewiswch y grŵp o westeion rydyn ni'n bwriadu eu dadansoddi. Ar gyfer y darlun cyffredinol, gadewch i ni ddewis Gwesteiwyr Mewnol.
Gallwch weld bod y fersiwn TLS a'r safon crypto cyfatebol yn allbwn. Yn ôl y cynllun arferol yn y golofn Camau Gweithredu mynd i Gweld Llif ac mae'r chwiliad yn dechrau mewn tab newydd.
O'r allbwn gellir gweld bod y gwesteiwr 198.19.20.136 drwyddi draw Oriau 12 defnyddio HTTPS gyda TLS 1.2, lle mae'r algorithm amgryptio AES-256 a swyddogaeth hash SHA-384. Felly, mae ETA yn caniatáu ichi ddod o hyd i algorithmau gwan ar y rhwydwaith.
4. Dadansoddiad anomaledd rhwydwaith
Gall Cisco StealthWatch adnabod anghysondebau traffig ar y rhwydwaith gan ddefnyddio tri offeryn: Digwyddiadau Craidd (digwyddiadau diogelwch), Digwyddiadau Perthynas (digwyddiadau o ryngweithio rhwng segmentau, nodau rhwydwaith) a dadansoddi ymddygiad.
Mae dadansoddi ymddygiad, yn ei dro, yn caniatáu dros amser i adeiladu model ymddygiad ar gyfer gwesteiwr neu grŵp penodol o westeion. Po fwyaf o draffig sy'n mynd trwy StealthWatch, y mwyaf cywir fydd y rhybuddion diolch i'r dadansoddiad hwn. Ar y dechrau, mae'r system yn sbarduno llawer yn anghywir, felly dylai'r rheolau gael eu “troelli” â llaw. Rwy'n argymell eich bod yn anwybyddu digwyddiadau o'r fath am yr ychydig wythnosau cyntaf, gan y bydd y system yn addasu ei hun, neu'n eu hychwanegu at eithriadau.
Isod mae enghraifft o reol wedi'i diffinio ymlaen llaw Anomaleddau, sy'n nodi y bydd y digwyddiad yn tanio heb larwm os mae gwesteiwr yn y grŵp Inside Hosts yn rhyngweithio â'r grŵp Inside Hosts ac o fewn 24 awr bydd y traffig yn fwy na 10 megabeit.
Er enghraifft, gadewch i ni gymryd larwm Cadw Data, sy'n golygu bod rhyw ffynhonnell / gwesteiwr cyrchfan wedi llwytho i fyny / lawrlwytho swm anarferol o fawr o ddata o grŵp o westeion neu westeiwr. Cliciwch ar y digwyddiad ac ewch i'r tabl lle nodir y gwesteiwyr sbarduno. Nesaf, dewiswch y gwesteiwr y mae gennym ddiddordeb ynddo yn y golofn Cadw Data.
Mae digwyddiad yn cael ei arddangos sy'n nodi bod 162k o “bwyntiau” wedi'u canfod, ac yn ôl y polisi, caniateir 100k o “bwyntiau” - mae'r rhain yn fetrigau StealthWatch mewnol. Mewn colofn Camau Gweithredu gwthio Gweld Llif.
Gallwn arsylwi hynny gwesteiwr a roddwyd rhyngweithio â'r gwesteiwr yn y nos 10.201.3.47 o'r adran Gwerthu a Marchnata yn ôl protocol HTTPS a llwytho i lawr 1.4 GB. Efallai nad yw'r enghraifft hon yn gwbl lwyddiannus, ond mae canfod rhyngweithiadau hyd yn oed ar gyfer cannoedd o gigabeit yn cael ei wneud yn union yr un ffordd. Felly, gall ymchwilio ymhellach i'r anomaleddau arwain at ganlyniadau diddorol.
Nodyn: yn y rhyngwyneb gwe SMC, mae data mewn tabiau Dangosfyrddau yn cael eu harddangos am yr wythnos ddiwethaf yn unig ac yn y tab Monitro dros y 2 wythnos diwethaf. I ddadansoddi digwyddiadau hŷn a chynhyrchu adroddiadau, mae angen i chi weithio gyda'r consol java ar gyfrifiadur y gweinyddwr.
5. Dod o hyd i sganiau rhwydwaith mewnol
Nawr, gadewch i ni edrych ar rai enghreifftiau o borthiant - digwyddiadau diogelwch gwybodaeth. Mae'r swyddogaeth hon o fwy o ddiddordeb i weithwyr diogelwch proffesiynol.
Mae yna sawl math o ddigwyddiad sgan rhagosodedig yn StealthWatch:
- Port Scan - mae'r ffynhonnell yn sganio porthladdoedd lluosog ar y gwesteiwr cyrchfan.
- Sgan tcp Addr - mae'r ffynhonnell yn sganio'r rhwydwaith cyfan ar yr un porthladd TCP, gan newid cyfeiriad IP y gyrchfan. Yn yr achos hwn, mae'r ffynhonnell yn derbyn pecynnau Ailosod TCP neu nid yw'n derbyn ymatebion o gwbl.
- Sgan udp Addr - mae'r ffynhonnell yn sganio'r rhwydwaith cyfan ar yr un porthladd CDU, wrth newid cyfeiriad IP cyrchfan. Yn yr achos hwn, mae'r ffynhonnell yn derbyn pecynnau ICMP Port Unreachable neu nid yw'n derbyn ymatebion o gwbl.
- Sgan Ping - mae'r ffynhonnell yn anfon ceisiadau ICMP i'r rhwydwaith cyfan er mwyn chwilio am atebion.
- Stealth Scan tсp/udp - defnyddiodd y ffynhonnell yr un porthladd i gysylltu â phorthladdoedd lluosog ar y nod cyrchfan ar yr un pryd.
Er mwyn ei gwneud hi'n fwy cyfleus dod o hyd i'r holl sganwyr mewnol ar unwaith, mae ap rhwydwaith ar gyfer StealthWatch - Asesiad Gwelededd. Mynd i'r tab Dangosfyrddau → Asesiad Gwelededd → Sganwyr Rhwydwaith Mewnol byddwch yn gweld digwyddiadau diogelwch yn ymwneud â sganio am y pythefnos diwethaf.
Clicio ar y botwm manylion, fe welwch ddechrau sganio pob rhwydwaith, y duedd traffig a'r larymau cyfatebol.
Nesaf, gallwch chi “fethu” i'r gwesteiwr o'r tab yn y sgrin flaenorol a gweld digwyddiadau diogelwch, yn ogystal â gweithgaredd dros yr wythnos ddiwethaf ar gyfer y gwesteiwr hwn.
Fel enghraifft, gadewch i ni ddadansoddi'r digwyddiad Sgan Porthladd o gwesteiwr 10.201.3.149 ar 10.201.0.72, Gwasgu Camau Gweithredu > Llifau Cysylltiedig. Mae chwiliad trywydd yn cael ei lansio a gwybodaeth berthnasol yn cael ei arddangos.
Sut y gwelwn y gwesteiwr hwn o un o'i borthladdoedd 51508 / TCP sganio 3 awr yn ôl y gwesteiwr cyrchfan fesul porthladd 22, 28, 42, 41, 36, 40 (TCP). Nid yw rhai meysydd yn dangos gwybodaeth ychwaith oherwydd nid yw pob maes Netflow yn cael ei gynnal ar yr allforiwr Netflow.
6. Dadansoddiad o malware wedi'i lawrlwytho gan ddefnyddio CTA
CTA (Dadansoddeg Bygythiad Gwybyddol) — Dadansoddeg cwmwl Cisco, sy'n integreiddio'n berffaith â Cisco StealthWatch ac sy'n caniatáu ichi ategu dadansoddiad di-lofnod â dadansoddiad llofnod. Mae hyn yn ei gwneud hi'n bosibl canfod Trojans, mwydod rhwydwaith, malware dim diwrnod a meddalwedd faleisus arall a'u dosbarthu o fewn y rhwydwaith. Hefyd, mae'r dechnoleg ETA a grybwyllwyd yn flaenorol yn caniatáu ichi ddadansoddi cyfathrebiadau maleisus o'r fath mewn traffig wedi'i amgryptio.
Yn llythrennol ar y tab cyntaf un yn y rhyngwyneb gwe mae teclyn arbennig Dadansoddeg Bygythiad Gwybyddol. Mae crynodeb byr yn nodi bygythiadau a ganfuwyd ar westeion defnyddwyr: Trojan, meddalwedd twyllodrus, meddalwedd hysbysebu annifyr. Mae'r gair “Amgryptio” mewn gwirionedd yn dynodi gwaith ETA. Trwy glicio ar westeiwr, mae'r holl wybodaeth amdano, digwyddiadau diogelwch, gan gynnwys logiau CTA, yn ymddangos.
Trwy hofran dros bob cam o'r CTA, mae'r digwyddiad yn dangos gwybodaeth fanwl am y rhyngweithio. Am ddadansoddeg gyflawn, cliciwch yma Gweld Manylion Digwyddiad, a byddwch yn cael eich cymryd i gonsol ar wahân Dadansoddeg Bygythiad Gwybyddol.
Yn y gornel dde uchaf, mae hidlydd yn caniatáu ichi arddangos digwyddiadau yn ôl lefel difrifoldeb. Pan fyddwch chi'n pwyntio at anghysondeb penodol, mae logiau'n ymddangos ar waelod y sgrin gyda llinell amser gyfatebol ar y dde. Felly, mae'r arbenigwr diogelwch gwybodaeth yn deall yn glir pa westeiwr heintiedig, ac ar ôl hynny, dechreuodd y camau gweithredu pa gamau gweithredu.
Isod mae enghraifft arall - pren Troea bancio a heintiodd y gwesteiwr 198.19.30.36. Dechreuodd y gwesteiwr hwn ryngweithio â pharthau maleisus, ac mae'r logiau'n dangos gwybodaeth am lif y rhyngweithiadau hyn.
Nesaf, un o'r atebion gorau a all fod yw cwarantîn y gwesteiwr diolch i'r brodorol gyda Cisco ISE ar gyfer triniaeth a dadansoddiad pellach.
Casgliad
Mae datrysiad Cisco StealthWatch yn un o'r arweinwyr ymhlith cynhyrchion monitro rhwydwaith o ran dadansoddi rhwydwaith a diogelwch gwybodaeth. Diolch iddo, gallwch ganfod rhyngweithiadau anghyfreithlon o fewn y rhwydwaith, oedi wrth wneud cais, y defnyddwyr mwyaf gweithredol, anomaleddau, malware ac APTs. Ar ben hynny, gallwch ddod o hyd i sganwyr, pentesters, a chynnal crypto-archwiliad o draffig HTTPS. Gallwch ddod o hyd i hyd yn oed mwy o achosion defnydd yn .
Os hoffech wirio pa mor llyfn ac effeithlon y mae popeth yn gweithio ar eich rhwydwaith, anfonwch .
Yn y dyfodol agos, rydym yn cynllunio sawl cyhoeddiad technegol arall ar wahanol gynhyrchion diogelwch gwybodaeth. Os oes gennych ddiddordeb yn y pwnc hwn, yna dilynwch y diweddariadau yn ein sianeli (, , , )!
Ffynhonnell: hab.com