Nuair a thagann sé chun monatóireacht a dhéanamh ar shlándáil líonra corparáideach nó roinne inmheánach, déanann go leor é a nascadh le sceitheanna faisnéise a rialú agus réitigh DCA a chur i bhfeidhm. Agus má dhéanann tú iarracht an cheist a shoiléiriú agus a iarraidh ar conas a bhraitheann tú ionsaithe ar an líonra inmheánach, ansin beidh an freagra, mar riail, ina lua ar chórais braite ionsáite (IDS). Agus cad a bhí an t-aon rogha 10-20 bliain ó shin ag éirí anachronism lá atá inniu ann. Tá níos éifeachtaí, agus i roinnt áiteanna, an t-aon rogha is féidir chun monatóireacht a dhéanamh ar líonra inmheánach - ag baint úsáide as prótacail sreabhadh, a bhí deartha ar dtús chun cuardach a dhéanamh ar fhadhbanna líonra (fabhtcheartú), ach le himeacht ama a chlaochlú i uirlis slándála an-suimiúil. Labhróimid faoi na prótacail sreafa atá ann agus cé na cinn is fearr chun ionsaithe líonra a bhrath, cá háit is fearr monatóireacht sreafa a chur i bhfeidhm, cad ba cheart a lorg agus scéim den sórt sin á himscaradh, agus fiú conas é seo go léir a “ardú” ar threalamh baile. laistigh de raon feidhme an ailt seo.
Ní bheidh mé ag dul i muinín na ceiste "Cén fáth a bhfuil gá le monatóireacht inmheánach slándála bonneagair?" Is cosúil go bhfuil an freagra soiléir. Ach dá mba mhaith leat a chinntiú arís, mar sin féin, nach féidir leat maireachtáil gan é inniu, físeán gearr faoi conas is féidir leat dul isteach i líonra corparáideach atá cosanta ag balla dóiteáin ar 17 mbealach. Mar sin, glacfaimid leis go dtuigimid gur rud riachtanach é monatóireacht inmheánach agus nach bhfuil fágtha ach a thuiscint conas is féidir é a eagrú.
Thabharfainn suntas do thrí phríomhfhoinse sonraí chun monatóireacht a dhéanamh ar bhonneagar ar leibhéal an líonra:
- trácht “amh” a ghabhaimid agus a chuirimid isteach le haghaidh anailíse chuig córais anailíse áirithe,
- imeachtaí ó ghléasanna líonra trína dtéann trácht,
- faisnéis tráchta a fuarthas trí cheann de na prótacail sreafa.
Is é an trácht amh a ghabháil an rogha is coitianta i measc speisialtóirí slándála, toisc go raibh an chuma air go stairiúil agus ba é an chéad rogha é. Bhí gnáthchórais braite ionsá líonra (an chéad chóras braite isteach tráchtála ná NetRanger ón Wheel Group, a cheannaigh Cisco i 1998) ag gabháil go beacht do phaicéid (agus seisiúin níos déanaí) a ghabháil inar lorgaíodh sínithe áirithe (“rialacha cinntitheacha” i. téarmaíocht FSTEC), ionsaithe comharthaíochta. Ar ndóigh, is féidir leat trácht amh a anailísiú, ní hamháin ag baint úsáide as IDS, ach freisin ag baint úsáide as uirlisí eile (mar shampla, Wireshark, tcpdum nó feidhmiúlacht NBAR2 i Cisco IOS), ach de ghnáth níl an bonn eolais acu a dhéanann idirdhealú idir uirlis slándála faisnéise agus rialta. Uirlis TF.
Mar sin, córais braite ionsaí. Is é an modh is sine agus is coitianta chun ionsaithe líonra a bhrath, a dhéanann post maith ar an imlíne (is cuma cad - corparáideach, lárionad sonraí, deighleog, etc.), ach a theipeann ar líonraí lasctha nua-aimseartha agus bogearraí-sainithe. I gcás líonra a tógadh ar bhonn lasca traidisiúnta, éiríonn bonneagar braiteoirí braite ionsaithe ró-mhór - beidh ort braiteoir a shuiteáil ar gach nasc leis an nód ar a bhfuil tú ag iarraidh monatóireacht a dhéanamh ar ionsaithe. Beidh aon mhonaróir, ar ndóigh, sásta na céadta agus na mílte braiteoirí a dhíol leat, ach is dóigh liom nach féidir le do bhuiséad tacú le costais den sórt sin. Is féidir liom a rá, fiú ag Cisco (agus is forbróirí NGIPS muid) nach bhféadfaimis é seo a dhéanamh, cé go bhfuil an chuma ar an scéal go bhfuil ceist an phraghais os ár gcomhair. Níor cheart dom seasamh - is é ár gcinneadh féin é. Ina theannta sin, eascraíonn an cheist, conas an braiteoir a nascadh sa leagan seo? Isteach sa bhearna? Cad a tharlaíonn má theipeann ar an braiteoir féin? An dteastaíonn modúl seachbhóthar sa braiteoir? Úsáid scoilteoirí (sconna)? Déanann sé seo go léir an réiteach níos costasaí agus déanann sé neamh-inacmhainne do chuideachta d'aon mhéid.
Is féidir leat iarracht a dhéanamh an braiteoir a “chrochadh” ar chalafort SPAN/RSPAN/ERSPAN agus trácht a dhíriú ó na poirt aistrithe riachtanacha chuige. Baineann an rogha seo go páirteach leis an bhfadhb a bhfuil cur síos uirthi san alt roimhe seo, ach cuireann sé ceann eile i gceist - ní féidir leis an gcalafort SPAN glacadh leis an trácht go léir a sheolfar chuige - ní bheidh go leor bandaleithead aige. Beidh ort rud éigin a íobairt. Ceachtar cuid de na nóid a fhágáil gan monatóireacht a dhéanamh (ansin ní mór duit iad a chur in ord tosaíochta ar dtús), nó ní gá an trácht go léir a sheoladh ón nód, ach gan ach cineál áirithe. In aon chás, is féidir linn a chailleann roinnt ionsaithe. Ina theannta sin, is féidir an calafort SPAN a úsáid le haghaidh riachtanais eile. Mar thoradh air sin, beidh orainn athbhreithniú a dhéanamh ar an topology líonra atá ann faoi láthair agus b'fhéidir coigeartuithe a dhéanamh air chun do líonra a chlúdach chomh fada agus is féidir leis an líon braiteoirí atá agat (agus é seo a chomhordú le TF).
Cad a tharlóidh má úsáideann do líonra bealaí neamhshiméadracha? Cad a tharlóidh má tá SDN curtha i bhfeidhm agat nó ag beartú é a chur i bhfeidhm? Cad a tharlóidh má theastaíonn uait monatóireacht a dhéanamh ar mheaisíní nó ar choimeádáin fhíorúla nach sroicheann a dtrácht an lasc fisiceach ar chor ar bith? Is ceisteanna iad seo nach dtaitníonn le díoltóirí traidisiúnta IDS toisc nach bhfuil a fhios acu conas iad a fhreagairt. B'fhéidir go gcuirfidh siad ina luí ort go bhfuil na teicneolaíochtaí faiseanta seo go léir hype agus nach bhfuil sé de dhíth ort. B'fhéidir go labhróidh siad faoin ngá atá le tosú beag. Nó b'fhéidir go ndéarfaidh siad go gcaithfidh tú tairseoir cumhachtach a chur i lár an líonra agus an trácht go léir a dhíriú chuige ag baint úsáide as cothromóirí. Cibé rogha a thairgtear duit, ní mór duit a thuiscint go soiléir conas a oireann duit. Agus ach amháin ina dhiaidh sin cinneadh a dhéanamh maidir le cur chuige a roghnú chun faireachán a dhéanamh ar shlándáil faisnéise an bhonneagair líonra. Ag filleadh ar ghabháil paicéid, ba mhaith liom a rá go leanann an modh seo an-tóir agus tábhachtach, ach is é a phríomhchuspóir ná rialú teorann; teorainneacha idir d'eagraíocht agus an tIdirlíon, teorainneacha idir an t-ionad sonraí agus an chuid eile den líonra, teorainneacha idir an córas rialaithe próisis agus an deighleog chorparáideach. Sna háiteanna seo, tá sé de cheart fós ag IDS/IPS clasaiceach a bheith ann agus déileáil go maith lena gcuid tascanna.
A ligean ar bogadh ar aghaidh go dtí an dara rogha. Is féidir anailís ar imeachtaí a thagann ó fheistí líonra a úsáid freisin chun críocha braite ionsaithe, ach ní mar phríomh-mheicníocht, ós rud é go gceadaíonn sé ach aicme beag cur isteach a bhrath. Ina theannta sin, tá sé bunúsach i roinnt imoibríocht - ní mór an t-ionsaí tarlú ar dtús, ansin ní mór é a thaifeadadh le gléas líonra, a bheidh ar bhealach amháin nó eile comhartha fadhb le slándáil faisnéise. Tá roinnt bealaí den sórt sin ann. D’fhéadfadh sé seo a bheith ina syslog, RMON nó SNMP. Ní úsáidtear an dá phrótacal deiridh le haghaidh monatóireachta líonra i gcomhthéacs slándála faisnéise ach amháin más gá dúinn ionsaí DoS a bhrath ar an trealamh líonra féin, ós rud é go n-úsáidtear RMON agus SNMP is féidir, mar shampla, monatóireacht a dhéanamh ar an ualach ar lár an fheiste. próiseálaí nó a chomhéadain. Tá sé seo ar cheann de na “is saoire” (tá syslog nó SNMP ag gach duine), ach freisin an modh is neamhéifeachtaí chun monatóireacht a dhéanamh ar shlándáil faisnéise an bhonneagair inmheánaigh - tá go leor ionsaithe i bhfolach uaidh. Ar ndóigh, níor cheart faillí a dhéanamh orthu, agus cabhraíonn an anailís syslog céanna leat athruithe a aithint go tráthúil i gcumraíocht an fheiste féin, an comhréiteach a bhaineann leis, ach níl sé an-oiriúnach chun ionsaithe ar an líonra iomlán a bhrath.
Is é an tríú rogha ná anailís a dhéanamh ar fhaisnéis faoin trácht a théann trí fheiste a thacaíonn le ceann amháin de roinnt prótacail sreafa. Sa chás seo, beag beann ar an bprótacal, is gá go mbeadh trí chomhpháirt sa bhonneagar snáithithe:
- Sreabhadh a ghiniúint nó a onnmhairiú. De ghnáth sanntar an ról seo do ródaire, lasc nó feiste líonra eile, a ligeann duit, trí thrácht líonra a chur tríd féin, eochair-pharaiméadair a bhaint as, a tharchuirtear ansin chuig an modúl bailiúcháin. Mar shampla, tacaíonn Cisco le prótacal Netflow, ní hamháin ar ródairí agus lasca, lena n-áirítear cinn fhíorúla agus tionsclaíocha, ach freisin ar rialtóirí gan sreang, ballaí dóiteáin agus fiú freastalaithe.
- Sreabhadh bailiúcháin. Ag cur san áireamh go bhfuil níos mó ná gléas líonra amháin ag líonra nua-aimseartha de ghnáth, eascraíonn an fhadhb a bhaineann le sreafaí a bhailiú agus a chomhdhlúthú, a réitítear trí úsáid a bhaint as bailitheoirí mar a thugtar orthu, a phróiseálann na sreafaí faighte agus ansin iad a tharchur le haghaidh anailíse.
- Anailís ar shreabhadh Glacann an anailísí an príomhthasc intleachtúil agus, ag cur halgartaim éagsúla i bhfeidhm ar shruthanna, tarraingíonn sé conclúidí áirithe. Mar shampla, mar chuid d’fheidhm TF, is féidir le hanailíseoir den sórt sin scrogaill líonra a aithint nó anailís a dhéanamh ar phróifíl an ualaigh tráchta le haghaidh tuilleadh leas iomlán a bhaint as líonra. Agus maidir le slándáil faisnéise, is féidir le hanailíseoir den sórt sin sceitheanna sonraí, scaipeadh cód mailíseach nó ionsaithe DoS a bhrath.
Ná bí ag smaoineamh go bhfuil an ailtireacht trí shraith seo ró-chasta - oibríonn gach rogha eile (ach amháin, b'fhéidir, córais monatóireachta líonra ag obair le SNMP agus RMON) dá réir freisin. Tá gineadóir sonraí againn le haghaidh anailíse, ar féidir leis a bheith ina ghléas líonra nó ina braiteoir neamhspleách. Tá córas bailithe aláraim againn agus córas bainistíochta don bhonneagar monatóireachta ar fad. Is féidir an dá chomhpháirt dheireanacha a chomhcheangal laistigh d’aon nód amháin, ach i líonraí móra níos mó nó níos lú scaiptear iad thar dhá fheiste ar a laghad chun inscálaitheacht agus iontaofacht a áirithiú.
Murab ionann agus anailís paicéad, atá bunaithe ar staidéar a dhéanamh ar shonraí ceanntásca agus coirp gach paicéad agus na seisiúin atá ann, braitheann anailís sreafa ar mheiteashonraí a bhailiú faoi thrácht líonra. Cathain, cé mhéad, ó áit agus cén áit, conas... seo iad na ceisteanna a d'fhreagair an anailís ar an teiliméadracht líonra ag baint úsáide as prótacail sreafa éagsúla. Ar dtús, úsáideadh iad chun staitisticí a anailísiú agus chun fadhbanna TF a aimsiú ar an líonra, ach ansin, de réir mar a d'fhorbair meicníochtaí anailíse, bhíothas in ann iad a chur i bhfeidhm ar an teiliméadracht chéanna chun críocha slándála. Is fiú a thabhairt faoi deara arís nach gcuireann anailís sreafa in ionad nó in ionad gabháil paicéad. Tá a réimse feidhme féin ag gach ceann de na modhanna seo. Ach i gcomhthéacs an ailt seo, is í anailís sreafa is fearr a oireann chun monatóireacht a dhéanamh ar bhonneagar inmheánach. Tá gléasanna líonra agat (cibé acu a oibríonn siad i bparaidím atá sainithe ag bogearraí nó de réir rialacha statacha) nach féidir le hionsaí a sheachbhóthar. Is féidir leis braiteoir clasaiceach IDS a sheachbhóthar, ach ní féidir le gléas líonra a thacaíonn leis an bprótacal sreafa. Is é seo an leas a bhaint as an modh seo.
Ar an láimh eile, má theastaíonn fianaise uait le haghaidh forghníomhú an dlí nó le d’fhoireann imscrúdaithe teagmhais féin, ní féidir leat a dhéanamh gan gabháil paicéad - ní cóip den trácht é teiliméadracht líonra is féidir a úsáid chun fianaise a bhailiú; tá sé ag teastáil le haghaidh braite tapa agus cinnteoireachta i réimse na slándála faisnéise. Ar an láimh eile, ag baint úsáide as anailís teiliméadrachta, is féidir leat "scríobh" nach bhfuil gach trácht líonra (más rud ar bith, déileálann Cisco le hionaid sonraí :-), ach amháin an ceann a bhfuil baint acu leis an ionsaí. Comhlánóidh uirlisí anailíse teiliméadrachta ina leith seo meicníochtaí traidisiúnta gabhála paicéad go maith, ag tabhairt orduithe maidir le gabháil agus stóráil roghnach. Seachas sin, beidh ort bonneagar stórála ollmhór a bheith agat.
Samhlóimis líonra a oibríonn ar luas 250 Mbit/soic. Más mian leat an méid seo go léir a stóráil, ansin beidh ort 31 MB de stóráil ar feadh soicind amháin de tharchur tráchta, 1,8 GB ar feadh nóiméad amháin, 108 GB ar feadh uair an chloig, agus 2,6 TB ar feadh lá amháin. Chun sonraí laethúla a stóráil ó líonra a bhfuil bandaleithead 10 Gbit/s aige, beidh 108 TB stórála de dhíth ort. Ach éilíonn roinnt rialtóirí sonraí slándála a stóráil ar feadh na mblianta ... Cuidíonn taifeadadh ar éileamh, a chabhraíonn le hanailís sreafa leat a chur i bhfeidhm, na luachanna seo a laghdú de réir orduithe méide. Dála an scéil, má labhairt linn faoi an cóimheas idir an toirt na sonraí teiliméadrachta líonra taifeadta agus gabháil sonraí iomlán, ansin tá sé thart ar 1 go 500. I gcás na luachanna céanna a thugtar thuas, a stóráil athscríbhinn iomlán de gach trácht laethúil. beidh sé 5 agus 216 GB, faoi seach (is féidir leat é a thaifeadadh fiú ar thiomáint flash rialta ).
Más rud é le haghaidh uirlisí chun anailís a dhéanamh ar shonraí líonra amh, tá an modh chun é a ghabháil beagnach mar an gcéanna ó dhíoltóir go díoltóir, ansin i gcás anailíse sreafa tá an scéal difriúil. Tá roinnt roghanna ann maidir le prótacail sreafa, na difríochtaí a gcaithfidh tú a bheith ar an eolas fúthu i gcomhthéacs na slándála. Is é an prótacal Netflow atá forbartha ag Cisco an ceann is mó tóir. Tá go leor leaganacha den phrótacal seo, a bhfuil éagsúlachtaí ann ó thaobh a gcumais agus an méid faisnéise tráchta a thaifeadtar. Is é an leagan reatha an naoú (Netflow v9), ar a mbonn a forbraíodh an caighdeán tionscail Netflow v10, ar a dtugtar IPFIX freisin. Sa lá atá inniu ann, tacaíonn an chuid is mó de na díoltóirí líonra le Netflow nó IPFIX ina gcuid trealaimh. Ach tá roghanna éagsúla eile ann maidir le prótacail sreafa - sFlow, jFlow, cFlow, rFlow, NetStream, etc., agus is é sFlow an ceann is mó tóir orthu. Is é an cineál seo is minice a fhaigheann tacaíocht ó mhonaróirí trealaimh líonra intíre toisc go bhfuil sé éasca é a chur i bhfeidhm. Cad iad na príomhdhifríochtaí idir Netflow, a tháinig chun bheith ina chaighdeán de facto, agus sFlow? Thabharfainn suntas do roinnt eochair-chinn. Ar an gcéad dul síos, tá réimsí insaincheaptha don úsáideoir ag Netflow i gcomparáid leis na réimsí seasta in sFlow. Agus ar an dara dul síos, agus is é seo an rud is tábhachtaí inár gcás, bailíonn sFlow teiliméadracht shamplach mar a thugtar air; i gcodarsnacht leis an gceann neamhshampláilte do Netflow agus IPFIX. Cad é an difríocht eatarthu?
Samhlaigh go socraíonn tú an leabhar a léamh “” de mo chomhghleacaithe - Gary McIntyre, Joseph Munitz agus Nadem Alfardan (is féidir leat cuid den leabhar a íoslódáil ón nasc). Tá trí rogha agat chun do sprioc a bhaint amach - léigh an leabhar ar fad, scimeáil tríd, stad ag gach 10ú nó 20ú leathanach, nó déan iarracht teacht ar athrá ar phríomhchoincheapa ar bhlag nó ar sheirbhís ar nós SmartReading. Mar sin, tá teiliméadracht neamhshampláilte ag léamh gach “leathanach” de thrácht líonra, is é sin, meiteashonraí a anailísiú do gach paicéad. Is éard is teiliméadracht shamplach ann ná staidéar roghnach ar thrácht le súil go mbeidh a bhfuil uait sna samplaí roghnaithe. Ag brath ar luas an chainéil, seolfar teiliméadracht shamplaithe le haghaidh anailíse gach 64ú, 200ú, 500ú, 1000ú, 2000ú nó fiú 10000ú paicéad.
I gcomhthéacs na monatóireachta ar shlándáil faisnéise, ciallaíonn sé seo go bhfuil teiliméadracht shamplach oiriúnach go maith chun ionsaithe DDoS, scanadh agus scaipeadh cód mailíseach a bhrath, ach d’fhéadfadh go gcaillfí ionsaithe adamhach nó ilphaicéad nach raibh san áireamh sa sampla a cuireadh le haghaidh anailíse. Níl a leithéid de mhíbhuntáistí ag baint le teiliméadracht neamhshampláilte. Leis seo, tá raon na n-ionsaithe braite i bhfad níos leithne. Seo liosta gearr d’imeachtaí is féidir a bhrath trí úsáid a bhaint as uirlisí anailíse teiliméadrachta líonra.
Ar ndóigh, ní cheadóidh roinnt anailísí foinse oscailte Netflow duit é seo a dhéanamh, toisc gurb é a phríomhthasc teiliméadracht a bhailiú agus anailís bhunúsach a dhéanamh air ó thaobh TF de. Chun bagairtí slándála faisnéise a aithint bunaithe ar shreabhadh, is gá innill agus halgartaim éagsúla a threalmhú don anailísí, a shainaithneoidh fadhbanna cybersecurity bunaithe ar réimsí caighdeánacha nó saincheaptha Netflow, a shaibhreoidh sonraí caighdeánacha le sonraí seachtracha ó fhoinsí éagsúla Faisnéise Bagairt, etc.
Dá bhrí sin, má tá rogha agat, roghnaigh Netflow nó IPFIX. Ach fiú mura n-oibríonn do threalamh ach le sFlow, cosúil le monaróirí baile, ansin fiú sa chás seo is féidir leat leas a bhaint as i gcomhthéacs slándála.
I samhradh na bliana 2019, rinne mé anailís ar na cumais atá ag monaróirí crua-earraí líonra na Rúise agus d'fhógair gach ceann acu, gan NSG, Polygon agus Craftway san áireamh, tacaíocht do sFlow (ar a laghad Zelax, Natex, Eltex, QTech, Rusteleteh).
Is í an chéad cheist eile a bheidh le sárú agat ná cá háit a gcuirfear tacaíocht sreafa i bhfeidhm chun críocha slándála? Go deimhin, ní chuirtear an cheist go hiomlán i gceart. Tacaíonn trealamh nua-aimseartha beagnach i gcónaí le prótacail sreafa. Mar sin, dhéanfainn an cheist a athfhoirmliú ar bhealach difriúil - cá bhfuil sé is éifeachtaí teiliméadracht a bhailiú ó thaobh na slándála de? Beidh an freagra soiléir go leor - ar an leibhéal rochtana, áit a bhfeicfidh tú 100% den trácht go léir, áit a mbeidh faisnéis mhionsonraithe agat ar óstach (MAC, VLAN, ID comhéadan), áit ar féidir leat monatóireacht a dhéanamh fiú ar thrácht P2P idir hóstach, a ríthábhachtach chun cód mailíseach a bhrath agus a dháileadh. Ar an gcroíleibhéal, b’fhéidir nach bhfeicfidh tú cuid den trácht, ach ar leibhéal an imlíne, feicfidh tú an ceathrú cuid de do thrácht líonra ar fad. Ach má tá gléasanna eachtracha agat ar do líonra ar chúis éigin a ligeann d’ionsaitheoirí “dul isteach agus imeacht” gan an imlíne a sheachaint, ní thabharfar aon rud duit dá ndéanfaí anailís ar an teiliméadracht uaidh. Dá bhrí sin, le haghaidh clúdach uasta, moltar bailiú teiliméadrachta a chumasú ag an leibhéal rochtana. Ag an am céanna, is fiú a thabhairt faoi deara, fiú má tá muid ag caint faoi fhíorúiliú nó coimeádáin, is minic a fhaightear tacaíocht sreabhadh freisin i lasca fíorúla nua-aimseartha, rud a ligeann duit trácht a rialú ann freisin.
Ach ós rud é gur ardaigh mé an t-ábhar, ní mór dom an cheist a fhreagairt: cad é mura dtacaíonn an trealamh, fisiceach nó fíorúil, le prótacail sreafa? Nó an bhfuil a chuimsiú toirmiscthe (mar shampla, i ndeighleoga tionsclaíochta chun iontaofacht a chinntiú)? Nó an é go n-eascróidh ualach ard LAP as é a chur air (tarlaíonn sé seo ar chrua-earraí níos sine)? Chun an fhadhb seo a réiteach, tá braiteoirí fíorúla speisialaithe (braiteoirí sreafa), arb iad go bunúsach scoilteoirí gnáth a théann an trácht trí iad féin agus a chraoladh i bhfoirm sreabhadh chuig an modúl bailiúcháin. Fíor, sa chás seo faigheann muid na fadhbanna go léir a labhair muid thuas maidir le huirlisí gabhála paicéid. Is é sin, ní mór duit a thuiscint ní hamháin na buntáistí a bhaineann le teicneolaíocht anailíse sreafa, ach freisin a teorainneacha.
Pointe eile atá tábhachtach a mheabhrú agus tú ag caint faoi uirlisí anailíse sreafa. Más rud é, maidir le modhanna traidisiúnta chun teagmhais slándála a ghiniúint, go n-úsáidimid méadrach EPS (imeacht in aghaidh an tsoicind), níl an táscaire seo infheidhme maidir le hanailís teiliméadrachta; cuirtear FPS (sreabhadh in aghaidh an tsoicind) ina ionad. Mar is amhlaidh i gcás EPS, ní féidir é a ríomh roimh ré, ach is féidir meastachán a dhéanamh ar an líon snáitheanna a ghineann feiste ar leith, ag brath ar an tasc atá aige. Is féidir leat táblaí a fháil ar an Idirlíon le neasluachanna le haghaidh cineálacha éagsúla feistí agus coinníollacha fiontair, a ligfidh duit meastachán a dhéanamh ar na ceadúnais a theastaíonn uait le haghaidh uirlisí anailíse agus cad a bheidh ina n-ailtireacht? Is é fírinne an scéil go bhfuil an braiteoir IDS teoranta ag bandaleithead áirithe gur féidir leis a “tharraingt”, agus tá a theorainneacha féin ag an mbailitheoir sreafa nach mór a thuiscint. Mar sin, i líonraí móra atá scaipthe go geografach is gnách go mbíonn roinnt bailitheoirí ann. Nuair a chuir mé síos , Tá líon ár mbailitheoirí tugtha agam cheana féin - tá 21 acu. Agus tá sé seo le haghaidh líonra scaipthe ar fud cúig mhór-roinn agus ag uimhriú thart ar leathmhilliún feiste gníomhach).
Bainimid úsáid as ár réiteach féin mar chóras monatóireachta Netflow , atá dírithe go sonrach ar fhadhbanna slándála a réiteach. Tá go leor inneall ionsuite aige chun gníomhaíocht aimhrialta, amhrasach agus go soiléir mailíseach a bhrath, rud a ligeann duit raon leathan bagairtí éagsúla a bhrath - ó criptiúnáil go sceitheadh faisnéise, ó scaipeadh cód mailíseach go calaois. Cosúil le formhór na n-anailíseoirí sreafa, tógtar Stealthwatch de réir scéime trí leibhéal (gineadóir - bailitheoir - anailísí), ach forlíontar é le roinnt gnéithe suimiúla atá tábhachtach i gcomhthéacs an ábhair atá á bhreithniú. Ar an gcéad dul síos, comhtháthaíonn sé le réitigh gabhála paicéid (cosúil le Cisco Security Packet Analyzer), a ligeann duit seisiúin roghnaithe líonra a thaifeadadh le haghaidh imscrúdaithe agus anailíse níos doimhne. Ar an dara dul síos, go sonrach chun tascanna slándála a leathnú, tá prótacal speisialta nvzFlow forbartha againn, a ligeann duit gníomhaíocht feidhmchlár ar nóid deiridh (freastalaithe, stáisiúin oibre, etc.) a “chraoladh” go teiliméadracht agus é a tharchur chuig an mbailitheoir le haghaidh tuilleadh anailíse. Más rud é ina leagan bunaidh go n-oibríonn Stealthwatch le haon phrótacal sreafa (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) ag leibhéal an líonra, ansin ceadaíonn tacaíocht nvzFlow comhghaol sonraí freisin ag leibhéal an nód, ar an mbealach sin. éifeachtúlacht an chórais iomláin a mhéadú agus níos mó ionsaithe a fheiceáil ná anailíseoirí sreafa líonra traidisiúnta.
Tá sé soiléir, agus tú ag caint faoi chórais anailíse Netflow ó thaobh na slándála de, nach bhfuil an margadh teoranta do réiteach aonair ó Cisco. Is féidir leat úsáid a bhaint as réitigh tráchtála agus saor in aisce nó shareware. Tá sé aisteach go leor má luann mé réitigh iomaitheoirí mar shamplaí ar bhlag Cisco, mar sin déarfaidh mé cúpla focal faoi conas is féidir teiliméadracht líonra a anailísiú ag baint úsáide as dhá uirlis a bhfuil tóir orthu, atá cosúil in ainm, ach fós difriúil - SiLK agus ELK.
Is sraith uirlisí é SiLK (an Córas um Eolas ar Leibhéal Idirlín) le haghaidh anailíse tráchta, arna fhorbairt ag an American CERT/CC agus a thacaíonn, i gcomhthéacs alt an lae inniu, Netflow (5ú agus 9ú, na leaganacha is coitianta), IPFIX. agus sFlow agus úsáid á baint as fóntais éagsúla (rwfilter, rwcount, rwflowpack, etc.) chun oibríochtaí éagsúla a dhéanamh ar teiliméadracht líonra chun comharthaí gníomhartha neamhúdaraithe ann a bhrath. Ach tá cúpla pointe tábhachtach le tabhairt faoi deara. Is uirlis líne ordaithe é SiLK a dhéanann anailís ar líne trí orduithe mar seo a iontráil (brath paicéid ICMP níos mó ná 200 beart):
rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15
nach bhfuil an-chompordach. Is féidir leat an iSiLK GUI a úsáid, ach ní dhéanfaidh sé do shaol i bhfad níos éasca, gan ach an fheidhm léirshamhlaithe a réiteach agus gan an anailísí a athsholáthar. Agus is é seo an dara pointe. Murab ionann agus réitigh tráchtála, a bhfuil bonn anailíse soladach acu cheana féin, halgartaim a bhrath aimhrialtacht, sreabhadh oibre comhfhreagrach, etc., i gcás SiLK beidh ort é seo go léir a dhéanamh leat féin, a éileoidh inniúlachtaí beagán difriúil uait ná ó úsáid a bhaint as réidh cheana féin- uirlisí a úsáid. Níl sé seo go maith ná olc - is gné de bheagnach aon uirlis saor in aisce é seo a ghlacann leis go bhfuil a fhios agat cad atá le déanamh, agus ní dhéanfaidh sé ach cabhrú leat le seo (tá uirlisí tráchtála níos lú ag brath ar inniúlachtaí a n-úsáideoirí, cé go nglacann siad leis freisin. go dtuigeann anailísithe ar a laghad bunúsacha imscrúduithe líonra agus monatóireachta). Ach fillimis ar SiLK. Breathnaíonn timthriall oibre an anailísí leis mar seo:
- hipitéis a fhoirmiú. Ní mór dúinn a thuiscint cad a bheidh á lorg againn laistigh de theiliméadracht líonra, fios a bheith againn ar na tréithe uathúla trína n-aithneoimid aimhrialtachtaí nó bagairtí áirithe.
- Ag tógáil múnla. Tar éis hipitéis a fhoirmliú, déanaimid é a ríomhchlárú ag baint úsáide as na huirlisí Python, sliogán nó eile céanna nach bhfuil san áireamh i SiLK.
- Tástáil. Tá sé in am againn cruinneas ár hipitéis a sheiceáil, a dheimhnítear nó a bhréagnaítear trí úsáid a bhaint as fóntais SiLK ag tosú le ‘rw’, ‘set’, ‘bag’.
- Anailís ar shonraí fíor. In oibríocht thionsclaíoch, cabhraíonn SiLK linn rud éigin a aithint agus ní mór don anailísí na ceisteanna a fhreagairt “An bhfuaireamar an rud a rabhthas ag súil leis?”, “An bhfreagraíonn sé seo dár hipitéis?”, “Conas líon na ndearbhaí bréagacha a laghdú?”, “Conas chun an leibhéal aitheantais a fheabhsú? » agus mar sin de.
- Feabhsú. Ag an gcéim dheireanach, feabhsaítear an méid a rinneadh níos luaithe - cruthaímid teimpléid, feabhsaítear agus leas iomlán a bhaint as an gcód, athfhoirmímid agus soiléirímid an hipitéis, etc.
Beidh an timthriall seo infheidhme freisin maidir le Cisco Stealthwatch, ní dhéanann ach an ceann deireanach na cúig chéim seo a uathoibriú go dtí an t-uasmhéid, ag laghdú líon na n-earráidí anailísithe agus ag méadú éifeachtacht braite teagmhais. Mar shampla, i SiLK is féidir leat staitisticí líonra a shaibhriú le sonraí seachtracha ar IPanna mailíseach ag baint úsáide as scripteanna lámhscríofa, agus i Cisco Stealthwatch is feidhm ionsuite é a thaispeánann aláram láithreach má tá idirghníomhaíochtaí ag trácht líonra le seoltaí IP ón liosta dubh.
Má théann tú níos airde sa phirimid “íoctha” le haghaidh bogearraí anailíse sreafa, ansin tar éis an SiLK atá saor in aisce beidh ELK shareware, comhdhéanta de thrí phríomh-chomhpháirt - Elasticsearch (innéacsú, cuardach agus anailís sonraí), Logstash (ionchur sonraí / aschur ) agus Kibana ( léirshamhlú ). Murab ionann agus SiLK, áit a gcaithfidh tú gach rud a scríobh tú féin, tá go leor leabharlann/modúil réamhdhéanta ag ELK cheana féin (cuid íoctha, cuid eile nach bhfuil) a dhéanann uathoibriú anailís teiliméadrachta líonra. Mar shampla, ligeann an scagaire GeoIP i Logstash duit seoltaí IP monatóireachta a nascadh lena suíomh geografach (tá an ghné ionsuite seo ag Stealthwatch).
Tá pobal measartha mór ag ELK freisin atá ag críochnú na gcomhpháirteanna atá ar iarraidh don réiteach monatóireachta seo. Mar shampla, le bheith ag obair le Netflow, IPFIX agus sFlow is féidir leat an modúl a úsáid , mura bhfuil tú sásta leis an Modúl Logstash Netflow, a thacaíonn le Netflow amháin.
Cé go dtugann sé níos mó éifeachtúlachta maidir le sreabhadh a bhailiú agus cuardach a dhéanamh ann, tá easpa anailíse ionsuite saibhir ag ELK chun aimhrialtachtaí agus bagairtí i teiliméadracht líonra a bhrath. Is é sin, tar éis an saolré a thuairiscítear thuas, beidh ort cur síos neamhspleách a dhéanamh ar mhúnlaí sáraithe agus ansin é a úsáid sa chóras comhraic (níl aon mhúnlaí tógtha ann).
Tá, ar ndóigh, síntí níos sofaisticiúla do ELK, ina bhfuil roinnt samhlacha cheana féin chun aimhrialtachtaí a bhrath i teiliméadracht líonra, ach cosnaíonn síntí den sórt sin airgead agus is í an cheist an bhfuil an cluiche fiú an choinneal - scríobh samhail den chineál céanna duit féin, ceannaigh a chur i bhfeidhm. le haghaidh d’uirlis mhonatóireachta, nó ceannaigh réiteach réamhdhéanta den rang Anailís Tráchta Líonra.
Go ginearálta, níl mé ag iarraidh dul isteach sa díospóireacht go bhfuil sé níos fearr airgead a chaitheamh agus réiteach réidh a cheannach chun monatóireacht a dhéanamh ar aimhrialtachtaí agus bagairtí i teiliméadracht líonra (mar shampla, Cisco Stealthwatch) nó é a dhéanamh amach duit féin agus a shaincheapadh mar an gcéanna. Uirlisí Sreabhadh SiLK, ELK nó nfdump nó OSU do gach bagairt nua (tá mé ag caint faoin dá cheann dheireanacha acu am deireannach)? Roghnaíonn gach duine dóibh féin agus tá a gcúiseanna féin ag gach duine chun aon cheann den dá rogha a roghnú. Theastaigh uaim a thaispeáint gur uirlis an-tábhachtach í teiliméadracht líonra chun slándáil líonra do bhonneagair inmheánaigh a chinntiú agus níor cheart duit faillí a dhéanamh air, ionas nach gcuirfí isteach ar liosta na gcuideachtaí a bhfuil a n-ainm luaite sna meáin chomh maith leis na heipiteití “ hacked", "neamhchomhlíontach le ceanglais slándála faisnéise", "," gan smaoineamh ar shlándáil a sonraí agus sonraí custaiméirí."
Mar achoimre, ba mhaith liom na príomh-leideanna a liostú ar cheart duit a leanúint agus tú ag tógáil monatóireachta slándála faisnéise ar do bhonneagar inmheánach:
- Ná déan tú féin a theorannú go dtí an imlíne! Bain úsáid as (agus roghnaigh) bonneagar líonra ní hamháin chun trácht a aistriú ó phointe A go pointe B, ach freisin chun aghaidh a thabhairt ar shaincheisteanna cibearshlándála.
- Déan staidéar ar na meicníochtaí monatóireachta slándála faisnéise atá i do threalamh líonra agus úsáid iad.
- Le haghaidh monatóireachta inmheánach, tabhair tosaíocht d'anailís teiliméadrachta - ceadaíonn sé duit suas le 80-90% de na teagmhais slándála faisnéise líonra go léir a bhrath, agus an méid atá dodhéanta á dhéanamh nuair a bhíonn paicéid líonra á ghabháil agus spás a shábháil le haghaidh imeachtaí slándála faisnéise a stóráil.
- Chun monatóireacht a dhéanamh ar shreafaí, bain úsáid as Netflow v9 nó IPFIX - soláthraíonn siad tuilleadh faisnéise i gcomhthéacs slándála agus ligeann siad duit monatóireacht a dhéanamh ní hamháin IPv4, ach freisin IPv6, MPLS, etc.
- Bain úsáid as prótacal sreafa neamhshampláilte - soláthraíonn sé tuilleadh faisnéise chun bagairtí a bhrath. Mar shampla, Netflow nó IPFIX.
- Seiceáil an t-ualach ar do threalamh líonra - b'fhéidir nach mbeidh sé in ann an prótacal sreafa a láimhseáil freisin. Ansin smaoinigh ar úsáid a bhaint as braiteoirí fíorúla nó Fearas Giniúint Netflow.
- Rialú a chur i bhfeidhm ar an gcéad dul síos ag an leibhéal rochtana - tabharfaidh sé seo deis duit 100% den trácht go léir a fheiceáil.
- Mura bhfuil aon rogha agat agus tú ag baint úsáide as trealamh líonra na Rúise, roghnaigh ansin ceann a thacaíonn le prótacail sreafa nó a bhfuil calafoirt SPAN/RSPAN aige.
- Comhcheangail córais ionsáite/braite ionsaithe/cosc ag na himill agus córais anailíse sreafa sa líonra inmheánach (scamaill san áireamh).
Maidir leis an leid dheireanach, ba mhaith liom léiriú a thabhairt a thug mé cheana féin. Feiceann tú, dá mba rud é gur thóg seirbhís slándála faisnéise Cisco a córas monatóireachta slándála faisnéise beagnach go hiomlán roimhe seo ar bhonn córais braite ionsáite agus modhanna sínithe, níl iontu anois ach 20% de na teagmhais. Titeann 20% eile ar chórais anailíse sreafa, rud a thugann le tuiscint nach whim iad na réitigh seo, ach fíor-uirlis i ngníomhaíochtaí seirbhísí slándála faisnéise fiontair nua-aimseartha. Ina theannta sin, tá an rud is tábhachtaí agat maidir lena gcur chun feidhme - bonneagar líonra, is féidir infheistíochtaí a chosaint a thuilleadh trí fheidhmeanna monatóireachta slándála faisnéise a shannadh don líonra.
Níor bhain mé go sonrach leis an ábhar mar fhreagra ar aimhrialtachtaí nó bagairtí a aithníodh i sreafaí líonra, ach is dóigh liom go bhfuil sé soiléir cheana féin nár cheart go dtiocfadh deireadh le faireachán ach amháin le bagairt a bhrath. Ba cheart freagra a bheith ina dhiaidh sin agus b’fhearr i mód uathoibríoch nó uathoibrithe. Ach is ábhar é seo le haghaidh alt ar leith.
Eolas Breise:
PS. Más fusa duit gach rud a scríobhadh thuas a chloisteáil, ansin is féidir leat féachaint ar an gcur i láthair uair an chloig a bhí mar bhunús leis an nóta seo.
Foinse: will.com