na fhuasgladh anailis ann an raon tèarainteachd fiosrachaidh a bheir seachad sgrùdadh farsaing air bagairtean ann an lìonra sgaoilte. Tha StealthWatch stèidhichte air a bhith a’ cruinneachadh NetFlow agus IPFIX bho routers, suidsichean agus innealan lìonra eile. Mar thoradh air an sin, bidh an lìonra gu bhith na neach-mothachaidh mothachail agus a 'leigeil leis an rianaire coimhead a-steach do dh'àiteachan far nach urrainn do dhòighean tèarainteachd lìonra traidiseanta, leithid Firewall an ath ghinealach, ruighinn.
Ann an artaigilean roimhe sgrìobh mi mu dheidhinn StealthWatch mu thràth: , a bharrachd air . A-nis tha mi a’ moladh gluasad air adhart agus bruidhinn air mar a dh’obraicheas tu le innealan-rabhaidh agus sgrùdadh a dhèanamh air tachartasan tèarainteachd a thig am fuasgladh. Bidh 6 eisimpleirean ann a tha mi an dòchas a bheir deagh bheachd air cho feumail sa tha an toradh.
An toiseach, bu chòir a ràdh gu bheil StealthWatch a’ cuairteachadh beagan rabhaidh eadar algoirmean agus biadhan. Is e a’ chiad fhear diofar sheòrsaichean de rabhaidhean (fios), nuair a thèid a bhrosnachadh, faodaidh tu rudan amharasach a lorg air an lìonra. Is e an dàrna fear tachartasan tèarainteachd. Seallaidh an artaigil seo air 4 eisimpleirean de dh'algorithms a chaidh a bhrosnachadh agus 2 eisimpleir de bhiadhan.
1. Mion-sgrùdadh air na h-eadar-obrachaidhean as motha taobh a-staigh an lìonra
Is e a’ chiad cheum ann an stèidheachadh StealthWatch luchd-aoigheachd agus lìonraidhean a mhìneachadh ann am buidhnean. Anns an taba eadar-aghaidh lìn Dèan rèiteachadh> Stiùireadh Buidheann aoigheachd Bu chòir lìonraidhean, luchd-aoigheachd agus frithealaichean a bhith air an seòrsachadh ann am buidhnean iomchaidh. Faodaidh tu cuideachd na buidhnean agad fhèin a chruthachadh. Air an t-slighe, tha mion-sgrùdadh air eadar-obrachadh eadar luchd-aoigheachd ann an Cisco StealthWatch gu math goireasach, leis nach urrainn dhut a-mhàin sìoltachain sgrùdaidh a shàbhaladh le sruth, ach cuideachd na toraidhean fhèin.
Gus tòiseachadh, anns an eadar-aghaidh lìn bu chòir dhut a dhol chun taba Dèan mion-sgrùdadh > Rannsachadh Sruth. An uairsin bu chòir dhut na paramadairean a leanas a shuidheachadh:
- Seòrsa Rannsachaidh - Prìomh chòmhraidhean (na h-eadar-obrachaidhean as mòr-chòrdte)
- Raon ùine - 24 uairean (ùine ùine, faodaidh tu fear eile a chleachdadh)
- Ainm Rannsachaidh - Prìomh chòmhraidhean Taobh a-staigh - Taobh a-staigh (ainm càirdeil sam bith)
- Cuspair - Buidhnean aoigheachd → Luchd-aoigheachd a-staigh (stòr - buidheann de luchd-aoigheachd a-staigh)
- Ceangal (faodaidh tu puirt, tagraidhean a shònrachadh)
- Co-aoisean - Buidhnean aoigheachd → Luchd-aoigheachd a-staigh (ceann-uidhe - buidheann de nodan a-staigh)
- Ann an Roghainnean Adhartach, faodaidh tu cuideachd an neach-cruinneachaidh bhon tèid an dàta fhaicinn, a sheòrsachadh an toraidh (le bytes, sruthan, msaa). fàgaidh mi e mar an àbhaist.
An dèidh putadh air a 'phutan Rannsachadh tha liosta de eadar-obrachaidhean air a thaisbeanadh a tha air an òrdachadh mar-thà a rèir na tha de dhàta air a ghluasad.
Anns an eisimpleir agam an aoigh 10.150.1.201 (frithealaiche) air a ghluasad taobh a-staigh aon snàithlean a-mhàin 1.5 GB trafaig gu aoigheachd 10.150.1.200 (cliant) le protocol MySQL. Putan Stiùirich Colbhan a’ leigeil leat barrachd cholbhan a chur ris an dàta toraidh.
An uairsin, a rèir toil an rianaire, faodaidh tu riaghailt àbhaisteach a chruthachadh a bhrosnaicheas an seòrsa eadar-obrachaidh seo an-còmhnaidh agus a bheir fios dhut tro SNMP, post-d no Syslog.
2. Mion-sgrùdadh air na h-eadar-obrachaidhean cleachdaiche-frithealaidh as slaodaiche taobh a-staigh an lìonra airson dàil
Leabhraichean SRT (Ùine Freagairt an Fhrithealaiche), RTT (ùine turais cruinn) leigeil leat faighinn a-mach dàil frithealaiche agus dàil lìonra coitcheann. Tha an inneal seo gu sònraichte feumail nuair a dh’ fheumas tu adhbhar gearanan luchd-cleachdaidh a lorg gu sgiobalta mu thagradh slaodach.
thuirt: cha mhòr a h-uile às-mhalairt Netflow chan eil fhios ciamar cuir tagaichean SRT, RTT, cho tric, gus an leithid de dhàta fhaicinn air FlowSensor, feumaidh tu rèiteachadh a chuir air falbh leth-bhreac de thrafaig bho innealan lìonra. Bidh FlowSensor an uair sin a’ cur an IPFIX leudaichte gu FlowCollector.
Tha e nas freagarraiche am mion-sgrùdadh seo a dhèanamh anns an tagradh java StealtWatch, a tha air a chuir a-steach air coimpiutair an rianadair.
Putan deas na luchaige air Luchd-aoigheachd a-staigh agus a dhol dhan taba Clàr sruth.
Cliog air Filter agus suidhich na crìochan riatanach. Mar eisimpleir:
- Ceann-latha / Àm - Airson na 3 latha mu dheireadh
- Coileanadh - Àm cuibheasach cuairteachaidh>=50ms
Às deidh dhuinn an dàta a thaisbeanadh, bu chòir dhuinn na raointean RTT agus SRT anns a bheil ùidh againn a chuir ris. Gus seo a dhèanamh, cliog air a’ cholbh san ath-sgrìn agus tagh le putan deas na luchaige Stiùirich Colbhan. An ath rud, cliog air RTT, paramadairean SRT.
Às deidh dhomh an t-iarrtas a ghiullachd, chuir mi air dòigh a rèir cuibheasachd RTT agus chunnaic mi na h-eadar-obrachaidhean as slaodaiche.
Gus a dhol a-steach gu fiosrachadh mionaideach, cliog deas air an t-sruth agus tagh Sealladh luath airson sruthadh.
Tha am fiosrachadh seo a 'sealltainn gu bheil an neach-aoigheachd 10.201.3.59 bhon bhuidheann Reic is Margaidheachd a rèir a’ phròtacal NFS ath-thagraidhean gu DNS am frithealaiche airson mionaid agus 23 diogan agus tha dìreach dàil uamhasach ann. Anns an taba coluadar gheibh thu a-mach cò às-mhalairt dàta Netflow a fhuair am fiosrachadh. Anns an taba Clàr Tha fiosrachadh nas mionaidiche mun eadar-obrachadh air a shealltainn.
An ath rud, bu chòir dhut faighinn a-mach dè na h-innealan a chuireas trafaic gu FlowSensor agus tha an duilgheadas as coltaiche an sin.
A bharrachd air an sin, tha StealthWatch gun samhail leis gu bheil e a’ giùlan eas-umhlachd dàta (a’ cothlamadh na h-aon sruthan). Mar sin, faodaidh tu cruinneachadh bho cha mhòr a h-uile inneal Netflow agus na biodh eagal ort gum bi tòrr dàta dùblaichte ann. Air an làimh eile, anns an sgeama seo cuidichidh e le bhith a’ tuigsinn dè an hop aig a bheil an dàil as motha.
3. Sgrùdadh air protocolaidhean criptografach HTTPS
ETA (Anailiseachadh Trafaic Crioptaichte) na theicneòlas a chaidh a leasachadh le Cisco a leigeas leat ceanglaichean droch-rùnach a lorg ann an trafaic crioptaichte gun a bhith ga dhì-chrioptachadh. A bharrachd air an sin, leigidh an teicneòlas seo leat HTTPS a “parsadh” ann an dreachan TLS agus protocolaidhean criptografach a thathas a ’cleachdadh aig ceanglaichean. Tha an gnìomh seo gu sònraichte feumail nuair a dh’ fheumas tu nodan lìonra a lorg a bhios a ’cleachdadh inbhean crypto lag.
thuirt: Feumaidh tu an aplacaid lìonra a stàladh an toiseach air StealthWatch - Sgrùdadh criptografach ETA.
Rach gu tab Dashboards → Sgrùdadh cryptographic ETA agus tagh am buidheann de luchd-aoigheachd a tha sinn an dùil a sgrùdadh. Airson an dealbh iomlan, leig dhuinn taghadh Luchd-aoigheachd a-staigh.
Chì thu gu bheil an dreach TLS agus an inbhe crypto co-fhreagarrach nan toradh. A rèir an sgeama àbhaisteach sa cholbh stoc Rach gu Seall Sruthan agus tòisichidh an rannsachadh ann an taba ùr.
Bhon toradh chìthear gu bheil an òstair 198.19.20.136 air feadh 12 uairean chleachd HTTPS le TLS 1.2, far a bheil an algairim crioptachaidh AES-256 agus gnìomh hash SHA-384. Mar sin, leigidh ETA leat algorithms lag a lorg air an lìonra.
4. Mion-sgrùdadh neo-riaghailteachd lìonra
Aithnichidh Cisco StealthWatch neo-riaghailteachdan trafaic air an lìonra a’ cleachdadh trì innealan: Prìomh thachartasan (tachartasan tèarainteachd), Tachartasan Càirdeas (tachartasan eadar-obrachaidh eadar earrannan, nodan lìonra) agus mion-sgrùdadh giùlain.
Tha mion-sgrùdadh giùlain, an uair sin, a’ ceadachadh thar ùine modal giùlain a thogail airson aoigh sònraichte no buidheann de luchd-aoigheachd. Mar as motha de thrafaig a thèid tro StealthWatch, is ann as cinntiche a bhios na rabhaidhean mar thoradh air a’ mhion-sgrùdadh seo. An toiseach, bidh an siostam ag adhbhrachadh mòran ceàrr, agus mar sin bu chòir na riaghailtean a bhith “toinnte” le làimh. Tha mi a’ moladh gun leig thu seachad tachartasan mar seo airson a’ chiad sheachdainnean, oir atharraichidh an siostam e fhèin, no gun cuir thu eisgeachdan riutha.
Gu h-ìosal tha eisimpleir de riaghailt ro-mhìnichte Neo-riaghailteachd, a tha ag ràdh gun tèid an tachartas a losgadh às aonais inneal-rabhaidh ma tha bidh aoigheachd sa bhuidheann Inside Hosts ag eadar-obrachadh leis a’ bhuidheann Inside Hosts agus taobh a-staigh 24 uairean bidh an trafaic nas àirde na 10 megabytes.
Mar eisimpleir, gabhamaid inneal-rabhaidh Clàradh dàta, a tha a’ ciallachadh gu bheil cuid de aoigh stòr/ceann-uidhe air tòrr dàta anabarrach mòr a luchdachadh suas/a luchdachadh sìos bho bhuidheann de luchd-aoigheachd no òstair. Cliog air an tachartas agus rach chun bhòrd far a bheil na h-aoighean brosnachaidh air an comharrachadh. An ath rud, tagh an aoigh anns a bheil ùidh againn sa cholbh Clàradh dàta.
Tha tachartas air a thaisbeanadh a’ nochdadh gun deach 162k “puingean” a lorg, agus a rèir a’ phoileasaidh, tha 100k “puingean” ceadaichte - is iad sin metrics StealthWatch a-staigh. Ann an colbh stoc brùth Seall Sruthan.
Faodaidh sinn sin a choimhead air a thoirt seachad eadar-obrachadh leis an neach-aoigheachd air an oidhche 10.201.3.47 bhon roinn Reic & Margaideachd a rèir a’ phròtacal https agus air a luchdachadh sìos 1.4 GB. Is dòcha nach eil an eisimpleir seo gu tur soirbheachail, ach lorgar eadar-obrachadh eadhon airson grunn cheudan gigabytes san aon dòigh. Mar sin, dh’ fhaodadh tuilleadh sgrùdaidh air neo-riaghailteachdan leantainn gu toraidhean inntinneach.
thuirt: ann an eadar-aghaidh lìn SMC, tha dàta ann an tabaichean Bùird-dash air an taisbeanadh dìreach airson an t-seachdain sa chaidh agus anns an taba Monitor thairis air na 2 sheachdain a chaidh seachad. Gus mion-sgrùdadh a dhèanamh air tachartasan nas sine agus aithisgean a ghineadh, feumaidh tu obrachadh leis a’ chonsal java air coimpiutair an rianadair.
5. Lorg sganaidhean lìonra a-staigh
A-nis leig dhuinn sùil a thoirt air beagan eisimpleirean de bhiadhan - tachartasan tèarainteachd fiosrachaidh. Tha an gnìomh seo nas inntinniche do phroifeasantaich tèarainteachd.
Tha grunn sheòrsaichean de thachartasan scan ro-shuidhichte ann an StealthWatch:
- Port Scan - bidh an stòr a’ sganadh grunn phuirt air an aoigh ceann-uidhe.
- Scan Addr tcp - bidh an stòr a’ sganadh an lìonra gu lèir air an aon phort TCP, ag atharrachadh an seòladh IP ceann-uidhe. Anns a 'chùis seo, bidh an stòr a' faighinn pacaidean TCP Reset no chan eil e a 'faighinn freagairtean idir.
- Scan Addr udp - bidh an stòr a’ sganadh an lìonra gu lèir air an aon phort UDP, agus aig an aon àm ag atharrachadh seòladh IP ceann-uidhe. Anns a 'chùis seo, bidh an stòr a' faighinn pacaidean ICMP Port Unreachable no chan eil e a 'faighinn freagairtean idir.
- Scan Ping - bidh an stòr a’ cur iarrtasan ICMP chun lìonra gu lèir gus freagairtean a lorg.
- Stealth Scan tсp/udp - chleachd an stòr an aon phort gus ceangal ri grunn phuirt air an nód ceann-uidhe aig an aon àm.
Gus a dhèanamh nas goireasaiche a h-uile sganair a-staigh a lorg aig an aon àm, tha app lìonra ann airson StealthWatch - Measadh Fàire. A 'dol dhan taba Dashboards → Measadh faicsinneachd → Sganairean lìonra a-staigh chì thu tachartasan tèarainteachd co-cheangailte ri sganadh airson na 2 sheachdain a dh’ fhalbh.
Le putadh air a ’phutan Fiosrachadh, chì thu toiseach sganadh gach lìonra, an gluasad trafaic agus na h-innealan-rabhaidh co-fhreagarrach.
An uairsin, faodaidh tu “fàiligeadh” a-steach don òstair bhon taba san dealbh roimhe agus tachartasan tèarainteachd fhaicinn, a bharrachd air gnìomhachd thairis air an t-seachdain a chaidh airson an aoigh seo.
Mar eisimpleir, leig dhuinn sgrùdadh a dhèanamh air an tachartas Sgan port bho aoigheachd 10.201.3.149 air 10.201.0.72, A 'bruthadh Gnìomhan > Sruthan Co-cheangailte. Thèid sgrùdadh snàithlean a chuir air bhog agus tha fiosrachadh buntainneach air a thaisbeanadh.
Mar a chì sinn an aoigh seo bho aon de na puirt aige 51508 / TCP air a sganadh 3 uairean air ais an neach-aoigheachd ceann-uidhe le port 22, 28, 42, 41, 36, 40 (TCP). Chan eil cuid de raointean a’ taisbeanadh fiosrachadh nas motha leis nach eil a h-uile raon Netflow a’ faighinn taic air às-mhalairt Netflow.
6. Mion-sgrùdadh air malware a chaidh a luchdachadh sìos a 'cleachdadh CTA
CTA (Anailiseachadh Cunnart Cognitive) - Cisco analytics sgòthan, a tha ag amalachadh gu foirfe le Cisco StealthWatch agus a leigeas leat mion-sgrùdadh gun ainm-sgrìobhte a chuir ri mion-sgrùdadh ainm-sgrìobhte. Tha seo ga dhèanamh comasach Trojans, cnuimhean lìonra, malware latha neoni agus malware eile a lorg agus an sgaoileadh taobh a-staigh an lìonra. Cuideachd, tha an teicneòlas ETA a chaidh ainmeachadh roimhe a 'toirt cothrom dhut a leithid de chonaltradh droch-rùnach a sgrùdadh ann an trafaig crioptaichte.
Gu litearra air a’ chiad taba san eadar-aghaidh lìn tha widget sònraichte Mion-sgrùdadh Cunnart Cognitive. Tha geàrr-chunntas goirid a’ nochdadh bagairtean a chaidh an lorg air luchd-cleachdaidh: Trojan, bathar-bog meallta, bathar-bog sanasachd neònach. Tha am facal “Encrypted” gu dearbh a’ nochdadh obair ETA. Le bhith a 'briogadh air aoigheachd, nochdaidh a h-uile fiosrachadh mu dheidhinn, tachartasan tèarainteachd, a' gabhail a-steach logaichean CTA.
Le bhith a’ dol thairis air gach ìre den CTA, bidh an tachartas a’ taisbeanadh fiosrachadh mionaideach mun eadar-obrachadh. Airson mion-sgrùdadh iomlan, cliog an seo Thoir sùil air mion-fhiosrachadh tachartais, agus thèid do thoirt gu consol air leth Mion-sgrùdadh Cunnart Cognitive.
Anns an oisean gu h-àrd air an làimh dheis, leigidh sìoltachan leat tachartasan a thaisbeanadh a rèir ìre doimhneachd. Nuair a chomharraicheas tu neo-riaghailteachd sònraichte, nochdaidh logaichean aig bonn na sgrìn le loidhne-tìm co-fhreagarrach air an taobh cheart. Mar sin, tha an eòlaiche tèarainteachd fiosrachaidh gu soilleir a’ tuigsinn dè an aoigh gabhaltach, às deidh sin na gnìomhan, a thòisich air na gnìomhan a choileanadh.
Gu h-ìosal tha eisimpleir eile - Trojan bancaidh a thug buaidh air an aoigh 198.19.30.36. Thòisich an aoigh seo ag eadar-obrachadh le raointean droch-rùnach, agus tha na logaichean a’ sealltainn fiosrachadh mu shruth nan eadar-obrachaidhean sin.
An ath rud, is e aon de na fuasglaidhean as fheàrr a bhith ann a bhith a’ cuarantain an aoigh le taing don dùthchasach le Cisco ISE airson tuilleadh làimhseachaidh agus anailis.
co-dhùnadh
Tha fuasgladh Cisco StealthWatch mar aon de na stiùirichean am measg thoraidhean sgrùdaidh lìonra an dà chuid a thaobh mion-sgrùdadh lìonra agus tèarainteachd fiosrachaidh. Taing dha, is urrainn dhut eadar-obrachaidhean mì-laghail a lorg taobh a-staigh an lìonra, dàil tagraidh, an luchd-cleachdaidh as gnìomhaiche, neo-riaghailteachdan, malware agus APTn. A bharrachd air an sin, gheibh thu sganairean, pentesters, agus dèan sgrùdadh crypto air trafaic HTTPS. Gheibh thu eadhon barrachd chùisean cleachdaidh aig .
Ma tha thu airson faighinn a-mach dè cho rèidh agus cho èifeachdach sa tha a h-uile càil air an lìonra agad, cuir .
A dh’ aithghearr, tha sinn a’ dealbhadh grunn fhoillseachaidhean teignigeach eile air grunn thoraidhean tèarainteachd fiosrachaidh. Ma tha ùidh agad sa chuspair seo, lean na h-ùrachaidhean anns na seanailean againn (, , , )!
Source: www.habr.com