Pròtacalan sruthadh mar inneal airson sùil a chumail air tèarainteachd lìonra a-staigh

Nuair a thig e gu bhith a’ cumail sùil air tèarainteachd lìonra corporra no roinneil a-staigh, bidh mòran ga cheangal ri bhith a’ cumail smachd air aoidion fiosrachaidh agus a’ cur an gnìomh fuasglaidhean DLP. Agus ma dh'fheuchas tu ris a 'cheist a shoilleireachadh agus faighneachd ciamar a lorgas tu ionnsaighean air an lìonra a-staigh, bidh am freagairt, mar riaghailt, a' toirt iomradh air siostaman lorg sàrachadh (IDS). Agus is e an aon roghainn a bh’ ann o chionn 10-20 bliadhna a bhith na anachronism an-diugh. Tha dòigh nas èifeachdaiche, agus ann an cuid de dh'àiteachan, an aon roghainn a dh'fhaodadh a bhith ann airson sùil a chumail air lìonra a-staigh - a 'cleachdadh protocols sruthadh, a chaidh a dhealbhadh an toiseach gus duilgheadasan lìonra a lorg (fuasgladh dhuilgheadasan), ach thar ùine air atharrachadh gu inneal tèarainteachd fìor inntinneach. Bruidhnidh sinn mu dè na protocolaidhean sruthadh a th’ ann agus dè an fheadhainn as fheàrr air ionnsaighean lìonra a lorg, far a bheil e nas fheàrr sgrùdadh sruthadh a chuir an gnìomh, dè a choimheadas tu nuair a bhios tu a’ cleachdadh sgeama mar seo, agus eadhon mar a nì thu “togail” seo uile air uidheamachd dachaigheil taobh a-staigh raon an artaigil seo.

Cha bhith mi a’ fuireach air a’ cheist “Carson a tha feum air sgrùdadh tèarainteachd bun-structair a-staigh?” Tha e coltach gu bheil am freagairt soilleir. Ach ma tha, ge-tà, airson dèanamh cinnteach a-rithist nach urrainn dhut an-diugh a bhith beò às aonais, thoir sùil bhidio ghoirid mu mar as urrainn dhut a dhol a-steach do lìonra corporra air a dhìon le balla-teine ​​​​ann an 17 dòighean. Mar sin, gabhaidh sinn ris gu bheil sinn a’ tuigsinn gu bheil sgrùdadh taobh a-staigh na rud riatanach agus chan eil air fhàgail ach tuigsinn mar as urrainnear a chuir air dòigh.

Bheirinn cuideam air trì prìomh stòran dàta airson sgrùdadh bun-structair aig ìre lìonra:

• trafaic “amh” a ghlacas sinn agus a chuireas sinn a-steach airson mion-sgrùdadh gu siostaman sgrùdaidh sònraichte,
• tachartasan bho innealan lìonra tro bheil trafaic a’ dol seachad,
• fiosrachadh trafaic a gheibhear tro aon de na protocolaidhean sruthadh.

Is e glacadh trafaic amh an roghainn as mòr-chòrdte am measg eòlaichean tèarainteachd, oir nochd e gu h-eachdraidheil agus b ’e seo a’ chiad fhear. Bha siostaman lorg sàrachadh lìonra àbhaisteach (b’ e NetRanger bhon Wheel Group, a chaidh a cheannach ann an 1998 le Cisco) a’ chiad shiostam lorg sàrachadh malairteach) gu cinnteach an sàs ann a bhith a’ glacadh phasganan (agus seiseanan nas fhaide air adhart) anns an robhar a’ coimhead airson ainmean-sgrìobhte sònraichte (“riaghailtean cinnteach” ann an Briathrachas FSTEC), a’ comharrachadh ionnsaighean. Gu dearbh, faodaidh tu trafaic amh a sgrùdadh chan ann a-mhàin le bhith a ’cleachdadh IDS, ach cuideachd a’ cleachdadh innealan eile (mar eisimpleir, Wireshark, tcpdum no gnìomh NBAR2 ann an Cisco IOS), ach mar as trice chan eil am bunait eòlais aca a tha ag eadar-dhealachadh inneal tèarainteachd fiosrachaidh bho inneal àbhaisteach. Inneal IT.

Mar sin, siostaman lorg ionnsaigh. Is e an dòigh as sine agus as mòr-chòrdte airson ionnsaighean lìonra a lorg, a bhios a ’dèanamh obair mhath aig an iomall (ge bith dè - corporra, ionad dàta, roinn, msaa), ach a dh’ fhàilnich ann an lìonraidhean suidse agus bathar-bog ùr-nodha. Ann an cùis lìonra a chaidh a thogail air bunait suidsichean àbhaisteach, bidh bun-structar mothachairean lorg ionnsaigh a ’fàs ro mhòr - feumaidh tu sensor a chuir a-steach air gach ceangal ris an nód air a bheil thu airson sùil a chumail air ionnsaighean. Bidh neach-dèanamh sam bith, gu dearbh, toilichte na ceudan is mìltean de luchd-mothachaidh a reic dhut, ach tha mi a’ smaoineachadh nach urrainn don bhuidseit agad taic a thoirt do chosgaisean mar sin. Is urrainn dhomh a ràdh, eadhon aig Cisco (agus is sinne luchd-leasachaidh NGIPS) nach b’ urrainn dhuinn seo a dhèanamh, ged a bhiodh e coltach gu bheil a ’cheist mu phrìs air thoiseach oirnn. Cha bu chòir dhomh seasamh - is e ar co-dhùnadh fhèin a th’ ann. A bharrachd air an sin, tha a 'cheist ag èirigh, ciamar a cheanglas tu an sensor san dreach seo? A-steach don bheàrn? Dè ma dh'fhàilligeas an sensor fhèin? A bheil feum agad air modal seach-rathad anns an sensor? Cleachd splitters (tap)? Tha seo uile a 'dèanamh am fuasgladh nas daoire agus ga dhèanamh neo-ruigsinneach do chompanaidh de mheud sam bith.

Faodaidh tu feuchainn ris an sensor “croch” air port SPAN/RSPAN/ERSPAN agus trafaic a stiùireadh bho na puirt tionndaidh riatanach thuige. Bheir an roghainn seo air falbh gu ìre an duilgheadas a chaidh a mhìneachadh sa pharagraf roimhe seo, ach tha e a’ togail fear eile - chan urrainn don phort SPAN gabhail ris a h-uile trafaic a thèid a chuir thuige - cha bhith leud-bann gu leòr aige. Feumaidh tu rudeigin a thoirt seachad. An dàrna cuid fàg cuid de na nodan gun sgrùdadh (feumaidh tu prìomhachas a thoirt dhaibh an toiseach), no cuir a-steach a h-uile trafaic bhon nód, ach dìreach seòrsa sònraichte. Ann an suidheachadh sam bith, is dòcha gun caill sinn cuid de dh ’ionnsaighean. A bharrachd air an sin, faodar am port SPAN a chleachdadh airson feumalachdan eile. Mar thoradh air an sin, bidh againn ri ath-sgrùdadh a dhèanamh air topology an lìonraidh a th’ ann agus is dòcha atharraichean a dhèanamh air gus an lìonra agad a chòmhdach chun na h-ìre as àirde leis an àireamh de luchd-mothachaidh a th’ agad (agus seo a cho-òrdanachadh le IT).

Dè ma chleachdas an lìonra agad slighean neo-chunbhalach? Dè ma tha thu air SDN a chuir an gnìomh no ma tha thu an dùil a chuir an gnìomh? Dè ma dh’ fheumas tu sùil a chumail air innealan no soithichean brìgheil nach ruig an trafaic aca an tionndadh fiosaigeach idir? Is iad seo ceistean nach toil le luchd-reic traidiseanta IDS leis nach eil fios aca ciamar a fhreagras iad iad. Is dòcha gun toir iad ìmpidh ort gu bheil na teicneòlasan fasanta sin uile hype agus nach eil feum agad air. Is dòcha gum bruidhinn iad mun fheum air tòiseachadh beag. No is dòcha gun can iad gum feum thu inneal-bualaidh cumhachdach a chuir ann am meadhan an lìonraidh agus an trafaic gu lèir a stiùireadh thuige le bhith a’ cleachdadh luchd-cothromachaidh. Ge bith dè an roghainn a thèid a thabhann dhut, feumaidh tu gu soilleir tuigsinn mar a tha e freagarrach dhut. Agus dìreach às deidh sin dèan co-dhùnadh air dòigh-obrach a thaghadh airson sùil a chumail air tèarainteachd fiosrachaidh bun-structair an lìonraidh. A 'tilleadh gu glacadh pacaid, tha mi airson a ràdh gu bheil an dòigh seo fhathast mòr-chòrdte agus cudromach, ach is e smachd crìochan a phrìomh adhbhar; crìochan eadar do bhuidheann agus an eadar-lìn, crìochan eadar an ionad dàta agus an còrr den lìonra, crìochan eadar an siostam smachd pròiseas agus an roinn chorporra. Anns na h-àiteachan sin, tha còir fhathast aig IDS/IPS clasaigeach a bhith ann agus dèiligeadh gu math ris na gnìomhan aca.

Gluaisidh sinn air adhart chun dàrna roghainn. Faodar mion-sgrùdadh air tachartasan a thig bho innealan lìonra a chleachdadh cuideachd airson adhbharan lorg ionnsaigh, ach chan ann mar a’ phrìomh dhòigh, leis gu bheil e a’ ceadachadh dìreach clas beag de shàrachadh a lorg. A bharrachd air an sin, tha e dualach do chuid de reactivity - feumaidh an ionnsaigh tachairt an toiseach, an uairsin feumaidh e a bhith air a chlàradh le inneal lìonra, a bhios ann an aon dòigh no ann an dòigh eile a ’comharrachadh duilgheadas le tèarainteachd fiosrachaidh. Tha grunn dhòighean mar sin ann. Dh’ fhaodadh seo a bhith mar syslog, RMON no SNMP. Chan eilear a’ cleachdadh an dà phròtacal mu dheireadh airson sgrùdadh lìonra ann an co-theacsa tèarainteachd fiosrachaidh ach ma dh’ fheumas sinn ionnsaigh DoS a lorg air uidheamachd an lìonraidh fhèin, leis gu bheil e comasach, mar eisimpleir, sùil a chumail air an luchd air meadhan an inneil le bhith a’ cleachdadh RMON agus SNMP. pròiseasar no an eadar-aghaidh aige. Is e seo aon den “as saoire” (tha syslog no SNMP aig a h-uile duine), ach cuideachd an dòigh as neo-èifeachdaich airson sùil a chumail air tèarainteachd fiosrachaidh bun-structair a-staigh - tha mòran ionnsaighean dìreach falaichte bhuaithe. Gu dearbh, cha bu chòir dhaibh a bhith air an dearmad, agus cuidichidh an aon sgrùdadh syslog thu ann an deagh àm a 'comharrachadh atharrachaidhean ann an rèiteachadh an uidheim fhèin, an rèiteachadh a th' ann, ach chan eil e gu math freagarrach airson a bhith a 'lorg ionnsaighean air an lìonra gu lèir.

Is e an treas roghainn mion-sgrùdadh a dhèanamh air fiosrachadh mu thrafaig a’ dol tro inneal a bheir taic do aon de ghrunn phròtacalan sruthadh. Anns a 'chùis seo, ge bith dè an protocol a th' ann, tha trì pàirtean anns a 'bhun-structair snàithlean:

• Gineadh no às-mhalairt sruth. Mar as trice bidh an dreuchd seo air a shònrachadh do router, suidse no inneal lìonra eile, a leigeas leat, le bhith a ’dol seachad air trafaic lìonra troimhe fhèin, prìomh pharaimearan a thoirt a-mach às, a thèid an uairsin a chuir chun mhodal cruinneachaidh. Mar eisimpleir, tha Cisco a ’toirt taic don phròtacal Netflow chan ann a-mhàin air routers agus suidsichean, a’ toirt a-steach feadhainn brìgheil agus gnìomhachais, ach cuideachd air riaghladairean gun uèir, ballachan teine ​​​​agus eadhon frithealaichean.
• Sruth cruinneachadh. Leis gu bheil barrachd air aon inneal lìonra aig lìonra ùr-nodha mar as trice, tha an duilgheadas ann a bhith a’ cruinneachadh agus a’ daingneachadh sruthan ag èirigh, a thèid fhuasgladh le bhith a’ cleachdadh luchd-cruinneachaidh ris an canar, a bhios a’ pròiseasadh nan sruthan a gheibhear agus an uairsin gan sgaoileadh airson mion-sgrùdadh.
• Mion-sgrùdadh sruth Bidh an anailisiche a’ gabhail os làimh a’ phrìomh obair inntleachdail agus, a’ cleachdadh diofar algoirmean gu sruthan, a’ tighinn gu co-dhùnaidhean sònraichte. Mar eisimpleir, mar phàirt de ghnìomh IT, faodaidh an leithid de mhion-sgrùdair botail lìonra aithneachadh no mion-sgrùdadh a dhèanamh air ìomhaigh luchdan trafaic airson tuilleadh optimization lìonra. Agus airson tèarainteachd fiosrachaidh, faodaidh an leithid de mhion-sgrùdair lorg aoidion dàta, sgaoileadh còd droch-rùnach no ionnsaighean DoS.

Na bi a’ smaoineachadh gu bheil an ailtireachd trì-ìrean seo ro iom-fhillte - bidh a h-uile roghainn eile (ach a-mhàin, is dòcha, siostaman sgrùdaidh lìonra ag obair le SNMP agus RMON) cuideachd ag obair a rèir e. Tha gineadair dàta againn airson mion-sgrùdadh, a dh’ fhaodadh a bhith na inneal lìonraidh no na sensor leis fhèin. Tha siostam rabhaidh againn agus siostam riaghlaidh airson a’ bhun-structair sgrùdaidh gu lèir. Faodar an dà phàirt mu dheireadh a chur còmhla ann an aon nód, ach ann an lìonraidhean mòra no nas lugha bidh iad mar as trice air an sgaoileadh thairis air co-dhiù dà inneal gus dèanamh cinnteach à scalability agus earbsachd.

Eu-coltach ri mion-sgrùdadh pacaid, a tha stèidhichte air sgrùdadh dàta cinn is bodhaig gach pacaid agus na seiseanan anns a bheil e, tha mion-sgrùdadh sruthadh an urra ri bhith a’ tional meata-dàta mu thrafaig lìonra. Cuin, dè an ìre, bho càite agus càite, ciamar... is iad sin na ceistean a fhreagair mion-sgrùdadh telemetry lìonra a’ cleachdadh diofar phròtacalan sruthadh. An toiseach, chaidh an cleachdadh gus staitistig a sgrùdadh agus duilgheadasan IT a lorg air an lìonra, ach an uairsin, mar a chaidh uidheamachdan anailis a leasachadh, bha e comasach an cur an sàs san aon telemetry airson adhbharan tèarainteachd. Is fhiach a bhith mothachail a-rithist nach eil mion-sgrùdadh sruthadh a ’dol an àite no a’ dol an àite glacadh pacaid. Tha a raon tagraidh fhèin aig gach aon de na dòighean sin. Ach ann an co-theacsa an artaigil seo, is e mion-sgrùdadh sruth a tha nas freagarraiche airson sùil a chumail air bun-structar a-staigh. Tha innealan lìonra agad (co-dhiù a tha iad ag obair ann am paradigm a tha air a mhìneachadh le bathar-bog no a rèir riaghailtean statach) nach urrainn ionnsaigh a sheachnadh. Faodaidh e a dhol seachad air sensor IDS clasaigeach, ach chan urrainn dha inneal lìonra a bheir taic don phròtacal sruthadh. Is e seo buannachd an dòigh-obrach seo.

Air an làimh eile, ma tha feum agad air fianais airson cur an gnìomh lagha no an sgioba sgrùdaidh tachartais agad fhèin, chan urrainn dhut a dhèanamh às aonais grèim pacaid - chan e telemetry lìonra leth-bhreac de thrafaig a ghabhas cleachdadh gus fianais a chruinneachadh; tha feum air airson lorg luath agus dèanamh cho-dhùnaidhean ann an raon tèarainteachd fiosrachaidh. Air an làimh eile, a 'cleachdadh mion-sgrùdadh telemetry, faodaidh tu "sgrìobhadh" nach eil a h-uile trafaig lìonra (ma tha dad ann, bidh Cisco a' dèiligeadh ri ionadan dàta :-), ach dìreach an fheadhainn a tha an sàs san ionnsaigh. Bidh innealan anailis telemetry a thaobh seo a’ cur gu math ri dòighean glacaidh pacaidean traidiseanta, a’ toirt seachad òrdughan airson glacadh agus stòradh roghnach. Rud eile, feumaidh bun-structar stòraidh mòr a bhith agad.

Smaoinichidh sinn air lìonra ag obair aig astar 250 Mbit / diog. Ma tha thu airson an leabhar seo gu lèir a stòradh, feumaidh tu 31 MB de stòradh airson aon diog de chraoladh trafaic, 1,8 GB airson aon mhionaid, 108 GB airson uair a thìde, agus 2,6 TB airson aon latha. Gus dàta làitheil a stòradh bho lìonra le leud-bann de 10 Gbit / s, feumaidh tu 108 TB de stòradh. Ach feumaidh cuid de riaghladairean dàta tèarainteachd a stòradh airson bhliadhnaichean ... Bidh clàradh air-iarrtas, a chuidicheas mion-sgrùdadh sruthadh gad chuir an gnìomh, a’ cuideachadh le bhith a’ lughdachadh nan luachan sin le òrdughan meudachd. Air an t-slighe, ma bhios sinn a 'bruidhinn mu dheidhinn co-mheas na h-àireamh de dhàta telemetry lìonra clàraichte agus glacadh dàta iomlan, tha e mu 1 gu 500. Airson na h-aon luachan a chaidh a thoirt seachad gu h-àrd, a 'stòradh làn tar-sgrìobhadh de thrafaig làitheil. Bidh e 5 agus 216 GB, fa leth (faodaidh tu eadhon a chlàradh air draibhear flash àbhaisteach).

Mas ann airson innealan airson mion-sgrùdadh dàta lìonra amh, tha an dòigh air a ghlacadh cha mhòr an aon rud bho reiceadair gu reiceadair, an uairsin a thaobh mion-sgrùdadh sruth tha an suidheachadh eadar-dhealaichte. Tha grunn roghainnean ann airson protocolaidhean sruthadh, na h-eadar-dhealachaidhean air am feum fios a bhith agad ann an co-theacsa tèarainteachd. Is e am fear as mòr-chòrdte am protocol Netflow a chaidh a leasachadh le Cisco. Tha grunn dhreachan den phròtacal seo, eadar-dhealaichte anns na comasan aca agus an ìre de fhiosrachadh trafaic a chaidh a chlàradh. Is e an dreach gnàthach an naoidheamh (Netflow v9), air an deach an inbhe gnìomhachais Netflow v10, ris an canar cuideachd IPFIX, a leasachadh. An-diugh, tha a’ mhòr-chuid de luchd-reic lìonra a’ toirt taic do Netflow no IPFIX san uidheamachd aca. Ach tha grunn roghainnean eile ann airson protocolaidhean sruthadh - sFlow, jFlow, cFlow, rFlow, NetStream, msaa, agus is e sFlow am fear as mòr-chòrdte. Is e an seòrsa seo a tha gu tric a ’faighinn taic bho luchd-saothrachaidh dachaigheil uidheamachd lìonra air sgàth cho furasta‘ s a tha e a chuir an gnìomh. Dè na prìomh eadar-dhealachaidhean eadar Netflow, a thàinig gu bhith na inbhe de facto, agus sFlow? Bheir mi cuideam air grunn phrìomh fheadhainn. An toiseach, tha raointean gnàthaichte aig Netflow an taca ris na raointean stèidhichte ann an sFlow. Agus san dàrna h-àite, agus is e seo an rud as cudromaiche nar cùis, sFlow a 'cruinneachadh ris an canar samplachadh telemetry; an taca ris an fhear gun samplachadh airson Netflow agus IPFIX. Dè an diofar a tha eatorra?

Smaoinich gu bheil thu a’ co-dhùnadh an leabhar a leughadh “Ionad Gnìomhachd Tèarainteachd: Togail, Obrachadh, agus Cumail suas do SOC" de mo cho-obraichean - Gary Mac an t-Saoir, Iòsaph Munitz agus Nadem Alfardan (faodaidh tu pàirt den leabhar a luchdachadh sìos bhon cheangal). Tha trì roghainnean agad gus an amas agad a choileanadh - leugh an leabhar gu lèir, leum troimhe, stad aig a h-uile 10mh no 20mh duilleag, no feuch ri lorg ath-aithris air prìomh bhun-bheachdan air blog no seirbheis mar SmartReading. Mar sin, tha telemetry gun samhail a’ leughadh a h-uile “duilleag” de thrafaig lìonra, is e sin, a’ dèanamh anailis air meata-dàta airson gach pacaid. Is e samplachadh telemetry an sgrùdadh roghnach air trafaic an dòchas gum bi na tha a dhìth ort anns na sampallan taghte. A rèir astar an t-seanail, thèid telemetry sampall a chuir airson mion-sgrùdadh gach 64mh, 200mh, 500mh, 1000mh, 2000mh no eadhon pacaid 10000th.

Ann an co-theacsa sgrùdadh tèarainteachd fiosrachaidh, tha seo a’ ciallachadh gu bheil samplachadh telemetry gu math freagarrach airson a bhith a’ lorg ionnsaighean DDoS, a’ sganadh, agus a’ sgaoileadh còd droch-rùnach, ach dh’ fhaodadh gun caill iad ionnsaighean atamach no ioma-phasgan nach robh air an gabhail a-steach san t-sampall a chaidh a chur airson mion-sgrùdadh. Chan eil an leithid de eas-bhuannachdan aig telemetry unsampled. Le seo, tha an raon de dh’ ionnsaighean a lorgar mòran nas fharsainge. Seo liosta ghoirid de thachartasan a lorgar a’ cleachdadh innealan anailis telemetry lìonra.

Gu dearbh, cha leig cuid de mhion-sgrùdair Netflow stòr fosgailte leat seo a dhèanamh, leis gur e a phrìomh obair telemetry a chruinneachadh agus mion-sgrùdadh bunaiteach a dhèanamh air bho shealladh IT. Gus bagairtean tèarainteachd fiosrachaidh a chomharrachadh stèidhichte air sruthadh, feumar an anailisiche uidheamachadh le diofar einnseanan agus algorithms, a chomharraicheas duilgheadasan cybersecurity stèidhichte air raointean àbhaisteach no àbhaisteach Netflow, a chuireas ri dàta àbhaisteach le dàta bhon taobh a-muigh bho ghrunn stòran Fiosrachaidh Cunnart, msaa.

Mar sin, ma tha roghainn agad, tagh Netflow no IPFIX. Ach eadhon ged nach obraich an uidheamachd agad ach le sFlow, mar luchd-saothrachaidh dachaigheil, eadhon sa chùis seo faodaidh tu buannachd fhaighinn às ann an co-theacsa tèarainteachd.

As t-samhradh 2019, rinn mi mion-sgrùdadh air na comasan a tha aig luchd-saothrachaidh bathar-cruaidh lìonra Ruiseanach agus dh’ ainmich iad uile, ach a-mhàin NSG, Polygon agus Craftway, taic airson sFlow (co-dhiù Zelax, Natex, Eltex, QTech, Rusteleteh).

Is e an ath cheist a bhios agad càite an cuir thu taic sruthadh an gnìomh airson adhbharan tèarainteachd? Gu dearbh, chan eil a’ cheist air a cur gu tur ceart. Bidh uidheamachd ùr-nodha cha mhòr an-còmhnaidh a’ toirt taic do phròtacalan sruthadh. Mar sin, bhithinn ag ath-leasachadh a’ cheist ann an dòigh eadar-dhealaichte - càite a bheil e nas èifeachdaiche telemetry a chruinneachadh bho shealladh tèarainteachd? Bidh am freagairt gu math follaiseach - aig an ìre ruigsinneachd, far am faic thu 100% den trafaic gu lèir, far am bi fiosrachadh mionaideach agad mu luchd-aoigheachd (MAC, VLAN, ID eadar-aghaidh), far an urrainn dhut eadhon sùil a chumail air trafaic P2P eadar luchd-aoigheachd, a tha deatamach airson a bhith a’ sganadh lorg agus cuairteachadh còd droch-rùnach. Aig a 'phrìomh ìre, is dòcha nach fhaic thu cuid den trafaig, ach aig an ìre iomaill, chì thu cairteal de thrafaig an lìonraidh agad. Ach ma tha innealan cèin agad air an lìonra agad airson adhbhar air choireigin a leigeas le luchd-ionnsaigh “a dhol a-steach agus a-mach” gun a bhith a ’dol seachad air an iomall, an uairsin cha toir mion-sgrùdadh telemetry bhuaithe dad dhut. Mar sin, airson an còmhdach as motha, thathas a’ moladh cruinneachadh telemetry a chomasachadh aig an ìre ruigsinneachd. Aig an aon àm, is fhiach a bhith mothachail, eadhon ged a tha sinn a ’bruidhinn mu dheidhinn virtualization no soithichean, gu tric lorgar taic sruthadh ann an suidsichean brìgheil ùr-nodha, a leigeas leat smachd a chumail air trafaic an sin cuideachd.

Ach bhon a thog mi an cuspair, feumaidh mi a’ cheist a fhreagairt: dè mura h-eil an uidheamachd, corporra no brìgheil, a’ toirt taic do phròtacalan sruthadh? No a bheil e toirmisgte a thoirt a-steach (mar eisimpleir, ann an roinnean gnìomhachais gus dèanamh cinnteach à earbsachd)? No a bheil tionndadh air a’ leantainn gu luchd àrd CPU (bidh seo a’ tachairt air seann bhathar-cruaidh)? Gus an duilgheadas seo fhuasgladh, tha mothachairean brìgheil sònraichte (mothachaidhean sruthadh), a tha gu ìre mhòr nan luchd-sgoltadh àbhaisteach a bhios a ’dol troimhe fhèin agus ga chraoladh ann an cruth sruthadh chun mhodal cruinneachaidh. Fìor, anns a 'chùis seo gheibh sinn a h-uile duilgheadas air an do bhruidhinn sinn gu h-àrd a thaobh innealan glacaidh pacaid. Is e sin, feumaidh tu a bhith a 'tuigsinn chan e a-mhàin na buannachdan a tha aig teicneòlas anailis sruth, ach cuideachd na crìochan aice.

Puing eile a tha cudromach a chuimhneachadh nuair a bhios tu a’ bruidhinn mu dheidhinn innealan sgrùdaidh sruthadh. Ma tha sinn a’ cleachdadh meatrach EPS (tachartas gach diog) ann an co-cheangal ri dòighean àbhaisteach air tachartasan tèarainteachd a ghineadh, chan eil an comharra seo buntainneach ri mion-sgrùdadh telemetry; tha FPS (sruth gach diog) na àite. Mar a tha ann an cùis EPS, chan urrainnear a thomhas ro-làimh, ach faodaidh tu tuairmse a dhèanamh air an àireamh de snàithleanan a bhios inneal sònraichte a ’gineadh a rèir a ghnìomh. Gheibh thu clàran air an eadar-lìn le luachan tuairmseach airson diofar sheòrsaichean innealan agus cumhaichean iomairt, a leigeas leat tuairmse a dhèanamh air na ceadan a dh ’fheumas tu airson innealan anailis agus dè an ailtireachd a bhios aca? Is e an fhìrinn gu bheil an sensor IDS air a chuingealachadh le leud-bann sònraichte as urrainn dha “tarraing”, agus tha na crìochan aige fhèin aig an neach-cruinneachaidh sruthadh a dh’ fheumar a thuigsinn. Mar sin, ann an lìonraidhean mòra, air an cuairteachadh gu cruinn-eòlasach mar as trice bidh grunn luchd-cruinneachaidh ann. Nuair a mhìnich mi mar a tha an lìonra air a sgrùdadh taobh a-staigh Cisco, Tha mi air an àireamh de ar luchd-cruinneachaidh a thoirt seachad mu thràth - tha 21 dhiubh ann. Agus tha seo airson lìonra sgapte air feadh còig mòr-thìrean agus a 'toirt a-steach mu leth mhillean inneal gnìomhach).

Bidh sinn a’ cleachdadh ar fuasgladh fhèin mar shiostam sgrùdaidh Netflow Cisco Stealthwatch, a tha gu sònraichte ag amas air fuasgladh fhaighinn air duilgheadasan tèarainteachd. Tha mòran einnseanan togte ann airson gnìomhachd neo-riaghailteach, amharasach agus gu soilleir droch-rùnach a lorg, a leigeas leat raon farsaing de chunnartan a lorg - bho cryptomining gu aoidion fiosrachaidh, bho sgaoileadh còd droch-rùnach gu foill. Coltach ris a’ mhòr-chuid de sgrùdairean sruthadh, tha Stealthwatch air a thogail a rèir sgeama trì-ìre (gineadair - cruinneachaidh - anailisiche), ach tha grunn fheartan inntinneach ga chur ris a tha cudromach ann an co-theacsa an stuth air a bheilear a’ beachdachadh. An toiseach, bidh e a’ fighe a-steach le fuasglaidhean glacaidh pacaid (leithid Cisco Security Packet Analyzer), a leigeas leat seiseanan lìonra taghte a chlàradh airson sgrùdadh agus mion-sgrùdadh domhainn nas fhaide air adhart. San dàrna h-àite, gu sònraichte gus gnìomhan tèarainteachd a leudachadh, tha sinn air protocol nvzFlow sònraichte a leasachadh, a leigeas leat gnìomhachd thagraidhean air nodan crìochnachaidh (frithealaichean, ionadan-obrach, msaa) a “chraoladh” gu telemetry agus a chuir chun neach-cruinneachaidh airson tuilleadh sgrùdaidh. Ma tha Stealthwatch anns an dreach tùsail aige ag obair le protocol sruthadh sam bith (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) aig ìre lìonra, an uairsin tha taic nvzFlow a’ ceadachadh co-dhàimh dàta cuideachd aig ìre an nód, mar sin. a’ meudachadh èifeachdas an t-siostam gu lèir agus a’ faicinn barrachd ionnsaighean na sgrùdairean sruth lìonra àbhaisteach.

Tha e soilleir nuair a bhios tu a ’bruidhinn mu shiostaman anailis Netflow bho shealladh tèarainteachd, nach eil a’ mhargaidh cuingealaichte ri aon fhuasgladh bho Cisco. Faodaidh tu an dà chuid fuasglaidhean malairteach agus an-asgaidh no shareware a chleachdadh. Tha e gu math neònach ma bheir mi luaidh air fuasglaidhean farpaisich mar eisimpleirean air blog Cisco, mar sin canaidh mi beagan fhaclan mu mar a ghabhas telemetry lìonra a mhion-sgrùdadh a’ cleachdadh dà inneal mòr-chòrdte, coltach ann an ainm, ach a tha fhathast eadar-dhealaichte - SiLK agus ELK.

Is e seata innealan a th’ ann an SiLK (an Siostam airson Eòlas Ìre Eadar-lìn) airson mion-sgrùdadh trafaic, air a leasachadh leis an American CERT / CC agus a bheir taic, ann an co-theacsa artaigil an latha an-diugh, Netflow (5mh agus 9mh, na dreachan as mòr-chòrdte), IPFIX. agus sFlow agus a’ cleachdadh diofar ghoireasan (rwfilter, rwcount, rwflowpack, msaa) gus diofar obrachaidhean a dhèanamh air telemetry lìonra gus comharran de ghnìomhan gun chead a lorg ann. Ach tha puing no dhà cudromach ri thoirt fa-near. Is e inneal loidhne-àithne a th’ ann an SiLK a bhios a’ dèanamh mion-sgrùdadh air-loidhne le bhith a’ dol a-steach òrdughan mar seo (lorg pacaidean ICMP nas motha na 200 bytes):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

chan eil e glè chofhurtail. Faodaidh tu an iSiLK GUI a chleachdadh, ach cha dèan e do bheatha mòran nas fhasa, dìreach fuasgladh fhaighinn air a’ ghnìomh fradharc agus gun a bhith a’ dol an àite an anailisiche. Agus is e seo an dàrna puing. Eu-coltach ri fuasglaidhean malairteach, aig a bheil bunait anailis làidir mar-thà, algoirmean lorg neo-riaghailteachd, sruth-obrach co-fhreagarrach, msaa, a thaobh SiLK feumaidh tu seo a dhèanamh leat fhèin, a dh’ fheumas comasan beagan eadar-dhealaichte bhuat seach a bhith a’ cleachdadh mar-thà deiseil- innealan a chleachdadh. Chan eil seo math no dona - tha seo na fheart de cha mhòr inneal an-asgaidh sam bith a tha a ’gabhail ris gu bheil fios agad dè a nì thu, agus cha chuidich e ach thu le seo (chan eil innealan malairteach cho mòr an urra ri comasan an luchd-cleachdaidh, ged a tha iad cuideachd a’ gabhail ris gu bheil luchd-anailis a’ tuigsinn co-dhiù bunaitean de sgrùdadh lìonra agus sgrùdadh). Ach tilleamaid gu SiLK. Tha cearcall obrach an neach-anailis leis a’ coimhead mar seo:

• A 'cruthachadh beachd-bharail. Feumaidh sinn tuigsinn dè a bhios sinn a’ sireadh taobh a-staigh telemetry lìonra, fios a bhith againn air na feartan sònraichte leis an aithnich sinn neo-riaghailteachdan no bagairtean sònraichte.
• A 'togail modail. Às deidh dhuinn beachd-bharail a dhealbhadh, bidh sinn ga phrògramadh a’ cleachdadh an aon Python, slige no innealan eile nach eil ann an SiLK.
• Deuchainn. A-nis thig an tionndadh gus sgrùdadh a dhèanamh air ceartachd ar beachd-bharail, a tha air a dhearbhadh no air a dhiùltadh le bhith a’ cleachdadh goireasan SiLK a’ tòiseachadh le ‘rw’, ‘set’, ‘bag’.
• Mion-sgrùdadh air dàta fìor. Ann an gnìomhachd tionnsgalach, bidh SiLK gar cuideachadh le bhith a’ comharrachadh rudeigin agus feumaidh an anailisiche na ceistean a fhreagairt “An do lorg sinn na bha sinn a’ dùileachadh?”, “A bheil seo a rèir ar beachd-bharail?”, “Ciamar a lughdaicheas sinn an àireamh de nithean ceàrr?”, “Ciamar gus an ìre aithneachaidh a leasachadh? » Agus mar sin air adhart.
• Leasachadh. Aig an ìre mu dheireadh, bidh sinn a 'leasachadh na chaidh a dhèanamh na bu tràithe - bidh sinn a' cruthachadh theamplaidean, a 'leasachadh agus a' leasachadh a 'chòd, ag ath-leasachadh agus a' soilleireachadh a 'bheachd-smuain, msaa.

Bidh an cearcall seo cuideachd a’ buntainn ri Cisco Stealthwatch, is e dìreach an tè mu dheireadh a nì fèin-ghluasad air na còig ceumannan sin chun na h-ìre as àirde, a’ lughdachadh na h-àireamh de mhearachdan luchd-anailis agus a’ meudachadh èifeachdas lorg thachartasan. Mar eisimpleir, ann an SiLK faodaidh tu staitistig lìonra a shaidhbhreachadh le dàta bhon taobh a-muigh air IPan droch-rùnach a’ cleachdadh sgriobtaichean làmh-sgrìobhaidh, agus ann an Cisco Stealthwatch tha e na ghnìomh togte a sheallas inneal-rabhaidh sa bhad ma tha eadar-obrachadh ann an trafaic lìonra le seòlaidhean IP bhon liosta dhubh.

Ma thèid thu nas àirde anns a’ phioramaid “pàighte” airson bathar-bog mion-sgrùdadh sruthadh, an uairsin às deidh an SiLK gu tur an-asgaidh bidh ELK shareware, anns a bheil trì prìomh phàirtean - Elasticsearch (clàr-amais, sgrùdadh agus mion-sgrùdadh dàta), Logstash (cuir a-steach / toradh dàta). ) agus Kibana (fradharc). Eu-coltach ri SiLK, far am feum thu a h-uile càil a sgrìobhadh thu fhèin, tha mòran leabharlannan / mhodalan deiseil aig ELK mu thràth (cuid pàighte, cuid nach eil) a nì fèin-ghluasad air mion-sgrùdadh telemetry lìonra. Mar eisimpleir, leigidh sìoltachan GeoIP ann an Logstash leat seòlaidhean IP sgrùdaichte a cheangal ris an àite cruinn-eòlasach aca (tha am feart togte seo aig Stealthwatch).

Tha coimhearsnachd meadhanach mòr aig ELK cuideachd a tha a’ crìochnachadh na pàirtean a tha a dhìth airson an fhuasglaidh sgrùdaidh seo. Mar eisimpleir, airson obrachadh le Netflow, IPFIX agus sFlow faodaidh tu am modal a chleachdadh elastiflow, mura h-eil thu riaraichte leis a 'Model Logstash Netflow, a tha a' toirt taic do Netflow a-mhàin.

Fhad ‘s a tha e a’ toirt barrachd èifeachdais ann a bhith a’ cruinneachadh sruth agus a’ lorg ann, tha dìth anailis beairteach aig ELK an-dràsta airson a bhith a’ lorg neo-riaghailteachdan agus bagairtean ann an telemetry lìonra. Is e sin, às deidh a’ chuairt-beatha a tha air a mhìneachadh gu h-àrd, feumaidh tu cunntas a thoirt gu neo-eisimeileach air modalan brisidh agus an uairsin a chleachdadh anns an t-siostam sabaid (chan eil modalan togte ann).

Tha, gu dearbh, leudachaidhean nas ionnsaichte airson ELK, anns a bheil cuid de mhodalan mar-thà airson a bhith a’ lorg neo-riaghailteachdan ann an telemetry lìonra, ach tha leudachadh mar sin a’ cosg airgead agus an seo is e a’ cheist an fhiach an geama a’ choinneal - sgrìobh modail coltach riut fhèin, ceannaich e. buileachadh airson an inneal sgrùdaidh agad, no ceannaich fuasgladh deiseil den chlas Mion-sgrùdadh Trafaic Lìonra.

San fharsaingeachd, chan eil mi airson faighinn a-steach don deasbad gu bheil e nas fheàrr airgead a chosg agus fuasgladh deiseil a cheannach airson sùil a chumail air neo-riaghailteachdan agus bagairtean ann an telemetry lìonra (mar eisimpleir, Cisco Stealthwatch) no cuir a-mach e fhèin agus gnàthaich an aon rud. Innealan SiLK, ELK no nfdump no OSU Flow airson gach bagairt ùr (tha mi a’ bruidhinn mun dithis mu dheireadh dhiubh dh'innis an turas mu dheireadh)? Bidh a h-uile duine a’ taghadh dhaibh fhèin agus tha na h-adhbharan aca fhèin aig a h-uile duine airson gin den dà roghainn a thaghadh. Bha mi dìreach airson sealltainn gu bheil telemetry lìonra na inneal fìor chudromach ann a bhith a’ dèanamh cinnteach à tèarainteachd lìonra do bhun-structair a-staigh agus cha bu chòir dhut dearmad a dhèanamh air, gus nach tèid thu a-steach don liosta de chompanaidhean air a bheil ainm air ainmeachadh anns na meadhanan còmhla ris na epithets “ air a slaodadh”, “gun a bhith a’ gèilleadh ri riatanasan tèarainteachd fiosrachaidh", "," gun a bhith a’ smaoineachadh mu thèarainteachd an dàta aca agus dàta teachdaiche."

Gus geàrr-chunntas a dhèanamh, bu mhath leam liosta a dhèanamh de na prìomh mholaidhean a bu chòir dhut a leantainn nuair a bhios tu a’ togail sgrùdadh tèarainteachd fiosrachaidh air a’ bhun-structar a-staigh agad:

1. Na bi dìreach gad chuingealachadh fhèin chun iomall! Cleachd (agus tagh) bun-structar lìonra chan ann a-mhàin gus trafaic a ghluasad bho phuing A gu puing B, ach cuideachd gus dèiligeadh ri cùisean cybersecurity.
2. Dèan sgrùdadh air na dòighean sgrùdaidh tèarainteachd fiosrachaidh a th’ anns an uidheamachd lìonra agad agus cleachd iad.
3. Airson sgrùdadh taobh a-staigh, thoir roghainn do mhion-sgrùdadh telemetry - leigidh e leat suas ri 80-90% de na tachartasan tèarainteachd fiosrachaidh lìonra a lorg, fhad ‘s a nì thu na tha do-dhèanta nuair a bhios tu a’ glacadh pacaidean lìonra agus a ’sàbhaladh àite airson a h-uile tachartas tèarainteachd fiosrachaidh a stòradh.
4. Gus sùil a chumail air sruthan, cleachd Netflow v9 no IPFIX - bidh iad a’ toirt seachad barrachd fiosrachaidh ann an co-theacsa tèarainteachd agus a’ toirt cothrom dhut sùil a chumail chan ann a-mhàin air IPv4, ach cuideachd IPv6, MPLS, msaa.
5. Cleachd pròtacal sruth gun samhail - bheir e seachad barrachd fiosrachaidh airson bagairtean a lorg. Mar eisimpleir, Netflow no IPFIX.
6. Thoir sùil air an luchd air an uidheamachd lìonra agad - is dòcha nach bi e comasach dha am protocol sruthadh a làimhseachadh cuideachd. An uairsin smaoinich air a bhith a’ cleachdadh mothachairean brìgheil no Inneal Gineadh Netflow.
7. Cuir an gnìomh smachd an toiseach aig an ìre ruigsinneachd - bheir seo cothrom dhut 100% den trafaic gu lèir fhaicinn.
8. Mura h-eil roghainn agad agus gu bheil thu a’ cleachdadh uidheamachd lìonraidh Ruiseanach, tagh fear a bheir taic do phròtacalan sruthadh no aig a bheil puirt SPAN/RSPAN.
9. Cuir còmhla siostaman lorg / casg ionnsaigh / ionnsaigh aig na h-oirean agus siostaman anailis sruthadh anns an lìonra a-staigh (a’ toirt a-steach na sgòthan).

A thaobh an tip mu dheireadh, bu mhath leam dealbh a thoirt seachad a thug mi seachad mu thràth. Chì thu nam biodh seirbheis tèarainteachd fiosrachaidh Cisco cha mhòr gu tur air a shiostam sgrùdaidh tèarainteachd fiosrachaidh a thogail air bunait siostaman lorg sàrachaidh agus dòighean ainm-sgrìobhte, a-nis chan eil iad a’ dèanamh suas ach 20% de thachartasan. Tha 20% eile a’ tuiteam air siostaman anailis sruthadh, a tha a’ nochdadh nach e whim a th’ anns na fuasglaidhean sin, ach fìor inneal ann an gnìomhachd seirbheisean tèarainteachd fiosrachaidh iomairt ùr-nodha. A bharrachd air an sin, tha an rud as cudromaiche agad airson an cur an gnìomh - bun-structar lìonra, tasgaidhean anns am faodar tuilleadh dìon a dhèanamh le bhith a’ sònrachadh gnìomhan sgrùdaidh tèarainteachd fiosrachaidh don lìonra.

Cha do bhruidhinn mi gu sònraichte air a’ chuspair a bhith a’ freagairt neo-riaghailteachdan no bagairtean a chaidh an comharrachadh ann an sruthan lìonra, ach tha mi a’ smaoineachadh gu bheil e soilleir mar-thà nach bu chòir do sgrùdadh crìochnachadh le bhith a’ lorg bagairt a-mhàin. Bu chòir freagairt a leantainn agus mas fheàrr ann am modh fèin-ghluasadach no fèin-ghluasadach. Ach is e cuspair a tha seo airson artaigil air leth.

Fiosrachadh a bharrachd:

• Tuairisgeul air Cisco IOS Netflow
• Matrix taic Netflow ann an grunn fhuasglaidhean Cisco
• Iùl mu bhith a’ rèiteachadh Netflow air diofar àrd-ùrlaran Cisco
• Coimhearsnachd sFlow
• Lab a’ cleachdadh Stealtjwatch, SiLK agus ELK gus Netflow a sgrùdadh bho shealladh tèarainteachd
• Làrach-lìn SiLK
• Iùl trì-ceud duilleag mu bhith a’ cleachdadh SiLK le tonna de eisimpleirean
• Modal Logstash Netflow
• Stiùireadh ceum air cheum Cisco air Mion-sgrùdadh Netflow ann an ELK
• Mion-sgrùdadh air NetFlow v.9 Cisco ASA a’ cleachdadh Logstash (ELK)
• Fuasgladh Cisco Stealthwatch

PS. Ma tha e nas fhasa dhut a h-uile dad a chaidh a sgrìobhadh gu h-àrd a chluinntinn, faodaidh tu coimhead air an taisbeanadh uair a thìde a bha mar bhunait don nota seo.

Source: www.habr.com