Informazioaren segurtasunaren alorreko irtenbide analitikoa da, sare banatu batean mehatxuen jarraipen integrala eskaintzen duena. StealthWatch NetFlow eta IPFIX bideratzaile, kommutadore eta sareko beste gailu batzuen bilketan oinarritzen da. Ondorioz, sarea sentsore sentikor bihurtzen da eta administratzaileak sareko segurtasun-metodo tradizionalak, adibidez, Next Generation Firewall, irits ezin diren tokiak azter ditzake.
Aurreko artikuluetan StealthWatch-i buruz idatzi nuen: Eta . Orain, aurrera egitea eta alarmekin nola lan egin eta irtenbideak sortzen dituen segurtasun gorabeherak ikertzea proposatzen dut. 6 adibide egongo dira, produktuaren erabilgarritasunari buruzko ideia ona ematea espero dut.
Lehenik eta behin, esan behar da StealthWatch-ek algoritmoen eta jarioen artean alarmen nolabaiteko banaketa duela. Lehenengoak hainbat motatako alarmak (jakinarazpenak) dira, abiarazten direnean, sarean gauza susmagarriak hauteman ditzakezu. Bigarrenak segurtasun gorabeherak dira. Artikulu honek abiarazitako algoritmoen 4 adibide eta jarioen 2 adibide ikusiko ditu.
1. Sareko interakzio handienak aztertzea
StealthWatch konfiguratzeko hasierako urratsa ostalariak eta sareak taldetan definitzea da. Web interfazearen fitxan Konfiguratu > Ostalari-taldeen kudeaketa Sareak, ostalariak eta zerbitzariak talde egokietan sailkatu behar dira. Zure taldeak ere sor ditzakezu. Bide batez, Cisco StealthWatch-en ostalarien arteko interakzioak aztertzea nahiko erosoa da, bilaketa-iragazkiak korronte bidez gorde ditzakezulako, emaitzak berak ere bai.
Hasteko, web interfazean fitxara joan beharko zenuke Aztertu > Fluxuaren bilaketa. Ondoren, parametro hauek ezarri behar dituzu:
- Bilaketa mota - Elkarrizketa nagusiak (interakzio ezagunenak)
- Denbora tartea - 24 ordu (denbora-tartea, beste bat erabil dezakezu)
- Bilatu izena - Barrutik-Barruko elkarrizketa nagusiak (lagunarteko edozein izen)
- Gaia - Ostalari-taldeak β Ostalarien barnean (iturria - barne-ostalarien taldea)
- Konexioa (portuak, aplikazioak zehaztu ditzakezu)
- Parekidea - Ostalari-taldeak β Ostalarien barnean (helmuga - barne-nodoen taldea)
- Aukera aurreratuetan, gainera, datuak ikusteko zein biltzailea zehaztu dezakezu, irteera ordenatuz (byteka, korronteka, etab.). Lehenetsi gisa utziko dut.
Botoia sakatu ondoren Search transferitutako datu kopuruaren arabera ordenatuta dauden interakzioen zerrenda bistaratzen da.
Nire adibidean ostalaria 10.150.1.201 (zerbitzaria) hari bakarrean transmititua 1.5 GB ostatu hartzeko trafikoa 10.150.1.200 (bezeroa) protokoloaren bidez mysql. Botoia Kudeatu Zutabeak irteerako datuei zutabe gehiago gehitzeko aukera ematen dizu.
Jarraian, administratzailearen erabakiz, arau pertsonalizatu bat sor dezakezu, beti interakzio mota hau eragingo duena eta SNMP, posta elektronikoa edo Syslog bidez jakinaraziko dizuna.
2. Sareko bezero-zerbitzari-interakzio motelenak aztertzea atzerapenetarako
Tags SRT (zerbitzariaren erantzun-denbora), RTT (joan-etorriko denbora) zerbitzariaren atzerapenak eta sareko atzerapen orokorrak ezagutzeko aukera ematen dizu. Tresna hau bereziki erabilgarria da exekutatzen ari den aplikazio baten inguruan erabiltzaileen kexen arrazoia azkar aurkitu behar duzunean.
Kontuan izan: Netflow esportatzaile ia guztiak ez dakit nola bidali SRT, RTT etiketak, askotan, FlowSensor-en datu horiek ikusteko, sareko gailuetatik trafikoaren kopia bat bidaltzeko konfiguratu behar duzu. FlowSensor-ek IPFIX hedatua bidaltzen dio FlowCollector-era.
Erosoagoa da analisi hau administratzailearen ordenagailuan instalatuta dagoen StealtWatch java aplikazioan egitea.
Saguaren eskuineko botoia aktibatuta Ostalari Barruan eta joan fitxara Fluxuen Taula.
Egin klik gainean iragazkiak eta ezarri beharrezko parametroak. Adibide gisa:
- Data/Ordua - Azken 3 egunetarako
- Errendimendua β Batez besteko joan-etorriko denbora >=50 ms
Datuak erakutsi ondoren, interesatzen zaizkigun RTT eta SRT eremuak gehitu beharko genituzke. Horretarako, egin klik pantaila-argazkiko zutabean eta hautatu saguaren eskuineko botoiarekin Kudeatu Zutabeak. Ondoren, sakatu RTT, SRT parametroak.
Eskaera prozesatu ondoren, RTT batez bestekoaren arabera ordenatu eta interakzio motelenak ikusi ditut.
Informazio zehatzean sartzeko, egin klik eskuineko botoiarekin korrontean eta hautatu Fluxurako ikuspegi azkarra.
Informazio honek ostalaria dela adierazten du 10.201.3.59 taldetik Salmentak eta Marketing protokoloaren bidez NFS errekurtsoak DNS zerbitzaria minutu eta 23 segundoz eta atzerapen izugarria du. Fitxan Interfazeak informazioa zein Netflow datu-esportatzailetatik lortu den jakin dezakezu. Fitxan Taula Interakzioari buruzko informazio zehatzagoa erakusten da.
Ondoren, FlowSensor-era trafikoa zein gailu bidaltzen duten jakin beharko zenuke eta arazoa ziurrenik hor dago.
Gainera, StealthWatch bakarra da egiten duelako deduplicazioa datuak (korronte berdinak konbinatzen ditu). Hori dela eta, Netflow gailu ia guztietatik bil dezakezu eta ez izan beldurrik datu bikoiztu asko egongo direlako. Aitzitik, eskema honetan atzerapen handiena zein hop duen ulertzen lagunduko du.
3. HTTPS protokolo kriptografikoen auditoretza
ETA (Enkriptatutako Trafiko Analitika) Ciscok garatutako teknologia bat da, enkriptatutako trafikoan konexio gaiztoak detektatzeko aukera ematen duena, deszifratu gabe. Gainera, teknologia honek HTTPS konexioetan erabiltzen diren TLS bertsioetan eta protokolo kriptografikoetan "analisia" egiteko aukera ematen du. Funtzionalitate hau bereziki erabilgarria da kriptografia estandar ahulak erabiltzen dituzten sare-nodoak detektatu behar dituzunean.
Kontuan izan: Lehenik sareko aplikazioa instalatu behar duzu StealthWatch-en - ETAren Ikuskaritza Kriptografikoa.
Joan fitxara Aginte-panelak β ETAren Ikuskaritza Kriptografikoa eta hautatu aztertu nahi dugun ostalari-taldea. Irudi orokorra lortzeko, aukera dezagun Ostalari Barruan.
TLS bertsioa eta dagokion kriptografia estandarra ateratzen direla ikus dezakezu. Zutabeko ohiko eskemaren arabera Ekintzak joan Ikusi fluxuak eta bilaketa fitxa berri batean hasten da.
Irteeran ikus daiteke ostalariarena 198.19.20.136 zehar 12 ordu HTTPS erabili zuen TLS 1.2-rekin, non enkriptatzeko algoritmoa AES-256 eta hash funtzioa SHA-384. Horrela, ETAk sarean algoritmo ahulak aurkitzeko aukera ematen du.
4. Sareko anomalien azterketa
Cisco StealthWatch-ek sareko trafiko-anomaliak antzeman ditzake hiru tresna erabiliz: Oinarrizko Gertaerak (segurtasun gertaerak), Harreman Gertaerak (segmentuen arteko interakzio-gertaerak, sare-nodoak) eta portaeraren analisia.
Jokabidearen analisiak, denborarekin, ostalari edo ostalari talde jakin baterako portaera-eredu bat eraikitzeko aukera ematen du. StealthWatchetik zenbat eta trafiko gehiago igaro, orduan eta zehatzagoak izango dira alertak analisi honi esker. Hasieran, sistema oker asko abiarazten da, beraz, arauak eskuz "bihurritu" behar dira. Lehenengo asteetan horrelako gertaerak alde batera uztea gomendatzen dut, sistemak bere burua egokituko duelako, edo salbuespenetara gehitzeko.
Jarraian, aurrez zehaztutako arau baten adibidea dago Anomalia, gertaera alarmarik gabe piztuko dela dioena bada Inside Hosts taldeko ostalari batek Inside Hosts taldearekin elkarreragiten du eta 24 orduko epean trafikoak 10 megabyte baino gehiago izango ditu.
Adibidez, har dezagun alarma Datuak pilatzea, horrek esan nahi du iturburu/helmugako ostalari batzuk ostalari talde edo ostalari batetik datu kopuru anormala kargatu/deskargatu duela. Egin klik gertaeran eta joan abiarazteko ostalariak adierazten diren taulara. Ondoren, hautatu interesatzen zaigun ostalaria zutabean Datuak pilatzea.
Gertaera bat bistaratzen da 162k "puntu" detektatu zirela adierazten duena, eta politikaren arabera, 100k "puntu" onartzen dira - StealthWatch barneko neurketak dira. Zutabe batean Ekintzak bultzatu Ikusi fluxuak.
Hori beha dezakegu ostalari emana gauez anfitrioiarekin elkarreragin 10.201.3.47 sailetik Salmentak eta Marketina protokoloaren bidez HTTPS eta deskargatu 1.4 GB. Agian adibide hau ez da guztiz arrakastatsua, baina elkarrekintzak detektatzea ehunka gigabytekotan ere modu berean egiten da. Beraz, anomaliak gehiago aztertzeak emaitza interesgarriak lor ditzake.
Kontuan izan: SMC web interfazean, datuak fitxetan daude Panelak azken astean eta fitxan soilik bistaratzen dira Ikuskatu azken 2 asteetan. Gertaera zaharragoak aztertzeko eta txostenak sortzeko, administratzailearen ordenagailuko java kontsolarekin lan egin behar duzu.
5. Barne sareko miaketa aurkitzea
Ikus ditzagun orain jarioen adibide batzuk: informazioaren segurtasuneko gorabeherak. Funtzionalitate hau interes handiagoa da segurtasun profesionalentzat.
StealthWatch-en aurrez ezarritako eskaneatu gertaera mota batzuk daude:
- Port Scan: iturburuak helmugako ostalariaren hainbat ataka aztertzen ditu.
- Addr tcp scan - iturburuak sare osoa eskaneatzen du TCP ataka berean, helburuko IP helbidea aldatuz. Kasu honetan, iturriak TCP Berrezarri paketeak jasotzen ditu edo ez du erantzunik jasotzen.
- Adr udp scan - iturburuak sare osoa arakatzen du UDP ataka berean, helburuko IP helbidea aldatzen duen bitartean. Kasu honetan, iturriak ICMP Port Unreachable paketeak jasotzen ditu edo ez du erantzunik jasotzen.
- Ping Scan - iturriak ICMP eskaerak bidaltzen ditu sare osora, erantzunak bilatzeko.
- Stealth Scan tΡp/udp - iturburuak ataka bera erabili zuen helmugako nodoko hainbat portutara aldi berean konektatzeko.
Barne eskaner guztiak aldi berean aurkitzea erosoagoa izan dadin, sareko aplikazio bat dago StealthWatch - Ikusgarritasunaren ebaluazioa. fitxara joatea Aginte-panelak β Ikusgarritasunaren ebaluazioa β Barne sareko eskanerrak azken 2 asteotako eskaneatzearekin lotutako segurtasun-gertaerak ikusiko dituzu.
Botoia sakatuz Xehetasunak, sare bakoitzaren eskaneazioaren hasiera, trafikoaren joera eta dagozkion alarmak ikusiko dituzu.
Ondoren, aurreko pantaila-argazkiko fitxatik ostalarira "huts" egin dezakezu eta segurtasun-gertaerak ikusi, baita ostalari honen azken asteko jarduerak ere.
Adibide gisa, azter dezagun gertaera Portuak eskaneatzea ostalaritik 10.201.3.149 on 10.201.0.72, Sakatuz Ekintzak > Lotutako fluxuak. Hari bilaketa bat abiarazten da eta informazio garrantzitsua bistaratzen da.
Nola ikusten dugun ostalari hau bere portuetako batetik 51508 / TCP duela 3 ordu eskaneatu zuen helmugako ostalaria portuz 22, 28, 42, 41, 36, 40 (TCP). Eremu batzuek ere ez dute informaziorik erakusten, Netflow eremu guztiak ez direlako onartzen Netflow esportatzailean.
6. Deskargatutako malwarearen analisia CTA erabiliz
CTA (Mehatxu kognitiboaren analitika) β Cisco cloud analytics, Cisco StealthWatch-ekin ezin hobeto integratzen dena eta sinadurarik gabeko azterketa sinadura analisiarekin osatzeko aukera ematen duena. Horri esker, troiarrak, sareko zizareak, zero-day malwareak eta bestelako malwareak detektatu eta sarean banatzeko aukera ematen du. Era berean, lehen aipatutako ETA teknologiari esker, halako komunikazio gaiztoak enkriptatutako trafikoan azter daitezke.
Literalki web interfazeko lehenengo fitxan widget berezi bat dago Mehatxu kognitiboaren analitika. Laburpen labur batek erabiltzaileen ostalarietan atzemandako mehatxuak adierazten ditu: Troiakoa, iruzurrezko softwarea, adware gogaikarria. "Enkriptatutako" hitzak ETAren lana adierazten du benetan. Ostalari batean klik eginez gero, horri buruzko informazio guztia, segurtasun-gertaerak, CTA erregistroak barne, agertzen dira.
CTAren etapa bakoitzaren gainean pasatzean, ekitaldiak elkarrekintzari buruzko informazio zehatza erakusten du. Analitika osoa lortzeko, egin klik hemen Ikusi gertakarien xehetasunak, eta aparteko kontsola batera eramango zaituzte Mehatxu kognitiboaren analitika.
Goiko eskuineko izkinan, iragazki batek gertaerak larritasun mailaren arabera bistaratzeko aukera ematen du. Anormaltasun zehatz bat seinalatzen duzunean, erregistroak pantailaren behealdean agertzen dira eskuinaldean dagokion denbora-lerroarekin. Horrela, informazioaren segurtasuneko espezialistak argi ulertzen du kutsatutako ostalari, zein ekintzaren ondoren, zein ekintza egiten hasi zen.
Jarraian beste adibide bat dago: ostalaria kutsatu zuen banku-troiako bat 198.19.30.36. Ostalari hau domeinu gaiztoekin elkarreraginean hasi zen, eta erregistroek interakzio horien fluxuari buruzko informazioa erakusten dute.
Ondoren, izan daitekeen irtenbide onenetako bat ostalaria berrogeialdian jartzea da bertakoari esker Cisco ISErekin tratamendu eta azterketa gehiago egiteko.
Ondorioa
Cisco StealthWatch irtenbidea sarearen monitorizazio produktuen artean liderretako bat da, bai sarearen analisiari bai informazioaren segurtasunari dagokionez. Horri esker, sarearen barruko interakzio ez-legitimoak, aplikazioen atzerapenak, erabiltzaile aktiboenak, anomaliak, malwarea eta APTak detekta ditzakezu. Gainera, eskanerrak, pentesterrak aurki ditzakezu eta HTTPS trafikoaren kripto-ikuskapena egin dezakezu. Are erabilera-kasu gehiago aurki ditzakezu hemen .
Zure sarean dena nola funtzionatzen duen ondo eta eraginkortasunez egiaztatu nahi baduzu, bidali .
Etorkizun hurbilean, informazio-segurtasun-produktu ezberdinei buruzko hainbat argitalpen tekniko gehiago planifikatzen ari gara. Gai hau interesatzen bazaizu, jarraitu gure kanaletako eguneraketak (, , , )!
Iturria: www.habr.com