Ka'idojin gudana azaman kayan aiki don sa ido kan tsaro na hanyar sadarwa ta ciki

Idan ya zo ga sa ido kan tsaro na kamfani na ciki ko cibiyar sadarwa na sashe, da yawa suna danganta shi da sarrafa leken asiri da aiwatar da hanyoyin DLP. Kuma idan kun yi ƙoƙarin bayyana tambayar kuma ku tambayi yadda kuke gano hare-hare a kan hanyar sadarwa ta ciki, to, amsar za ta kasance, a matsayin mai mulkin, ta zama ambaton tsarin gano kutse (IDS). Kuma abin da kawai zaɓi 10-20 da suka wuce shine zama anachronism a yau. Akwai mafi inganci, kuma a wasu wurare, zaɓin da zai yiwu kawai don saka idanu na cibiyar sadarwa na ciki - ta amfani da ka'idojin kwarara, waɗanda aka tsara tun asali don bincika matsalolin cibiyar sadarwa (matsalolin matsala), amma bayan lokaci ya canza zuwa kayan aikin tsaro mai ban sha'awa. Za mu yi magana game da abin da ka'idoji masu gudana suke da kuma waɗanne ne mafi kyau wajen gano hare-haren cibiyar sadarwa, inda ya fi dacewa don aiwatar da saka idanu na kwarara, abin da za a nema lokacin ƙaddamar da irin wannan makirci, har ma da yadda za a "ɗaga" duk wannan akan kayan aikin gida. a cikin iyakar wannan labarin.

Ba zan tsaya kan tambayar "Me yasa ake buƙatar sa ido kan tsaro na cikin gida ba?" Amsar da alama a bayyane take. Amma idan, duk da haka, kuna so ku sake tabbatar da cewa a yau ba za ku iya rayuwa ba tare da shi ba, duba wani ɗan gajeren bidiyo game da yadda za ku iya kutsawa cibiyar sadarwar kamfani da ke kariya ta hanyar Tacewar zaɓi ta hanyoyi 17. Don haka, za mu ɗauka cewa mun fahimci cewa saka idanu na cikin gida abu ne mai mahimmanci kuma abin da ya rage shi ne fahimtar yadda za a iya tsara shi.

Zan haskaka mahimman hanyoyin bayanai guda uku don sa ido kan ababen more rayuwa a matakin cibiyar sadarwa:

• zirga-zirgar “danyen” da muke kamawa da ƙaddamarwa don bincike zuwa wasu tsarin bincike,
• abubuwan da suka faru daga na'urorin sadarwar da zirga-zirga ke wucewa,
• bayanan zirga-zirgar da aka samu ta hanyar ɗaya daga cikin ka'idojin kwarara.

Ɗauki ɗanyen zirga-zirga shine mafi mashahuri zaɓi tsakanin ƙwararrun tsaro, saboda a tarihi ya bayyana kuma shine farkon. Tsarin gano kutsawa na hanyar sadarwa na al'ada (tsarin gano kutse na kasuwanci na farko shine NetRanger daga rukunin Wheel, wanda Cisco ya saya a cikin 1998) sun tsunduma cikin ɗaukar fakiti (da kuma zama na baya) waɗanda aka nemi wasu sa hannun ("ƙaddara ƙa'idodi" a ciki). Fassarar FSTEC), harin sigina. Tabbas, zaku iya bincikar zirga-zirgar zirga-zirga ba kawai ta amfani da IDS ba, har ma ta amfani da wasu kayan aikin (misali, Wireshark, tcpdum ko aikin NBAR2 a cikin Cisco IOS), amma galibi suna rasa tushen ilimin da ke bambanta kayan aikin tsaro na yau da kullun daga na yau da kullun. IT kayan aiki.

Don haka, tsarin gano harin. Hanyar mafi tsufa kuma mafi shaharar hanyar gano hare-haren cibiyar sadarwa, wanda ke yin aiki mai kyau a kewaye (komai - kamfani, cibiyar bayanai, yanki, da dai sauransu), amma ta gaza a cikin hanyoyin sadarwa na zamani da aka canza da ƙayyadaddun software. A cikin yanayin hanyar sadarwa da aka gina bisa tushen sauyawa na al'ada, kayan aikin na'urori masu gano harin sun zama babba - dole ne ka shigar da firikwensin akan kowane haɗin kai zuwa kumburin da kake son saka idanu akan harin. Duk wani masana'anta, ba shakka, zai yi farin cikin sayar da ku ɗaruruwan da dubunnan na'urori masu auna firikwensin, amma ina tsammanin kasafin kuɗin ku ba zai iya tallafawa irin wannan kashe kuɗi ba. Zan iya cewa ko da a Cisco (kuma mu ne masu haɓaka NGIPS) ba za mu iya yin wannan ba, kodayake yana da alama cewa batun farashin yana gabanmu. Bai kamata in tsaya ba - shawararmu ce. Bugu da ƙari, tambayar ta taso, yadda za a haɗa firikwensin a cikin wannan sigar? A cikin tazarar? Idan na'urar firikwensin kanta ta kasa fa? Ana buƙatar tsarin kewayawa a cikin firikwensin? A amfani da splitters (matsa)? Duk wannan yana sa maganin ya fi tsada kuma ya sa ya zama mai sauƙi ga kamfani na kowane girman.

Kuna iya ƙoƙarin "rataye" firikwensin akan tashar tashar SPAN/RSPAN/ERSPAN da kuma kai tsaye zuwa gare ta daga mashigai masu sauyawa da ake buƙata. Wannan zaɓin wani ɓangare yana kawar da matsalar da aka bayyana a cikin sakin layi na baya, amma yana haifar da wani - tashar tashar SPAN ba za ta iya karɓar cikakken duk zirga-zirgar da za a aika zuwa gare ta ba - ba za ta sami isasshen bandwidth ba. Dole ne ku sadaukar da wani abu. Ko dai barin wasu nodes ba tare da saka idanu ba (sannan kuna buƙatar fifita su da farko), ko aika ba duk zirga-zirga daga kumburi ba, amma kawai wani nau'in. A kowane hali, muna iya rasa wasu hare-hare. Bugu da ƙari, ana iya amfani da tashar jiragen ruwa na SPAN don wasu bukatun. A sakamakon haka, dole ne mu sake nazarin topology na cibiyar sadarwa da ke akwai kuma yiyuwa yin gyare-gyare akai-akai don rufe hanyar sadarwar ku zuwa matsakaicin adadin na'urori masu auna firikwensin da kuke da shi (kuma daidaita wannan tare da IT).

Idan cibiyar sadarwar ku na amfani da hanyoyin asymmetric fa? Idan kun aiwatar ko kuna shirin aiwatar da SDN fa? Me zai faru idan kuna buƙatar saka idanu akan injuna ko kwantena waɗanda zirga-zirgar ba ta kai ga canjin jiki kwata-kwata? Waɗannan tambayoyi ne waɗanda masu sayar da ID na gargajiya ba sa so saboda ba su san yadda za su amsa su ba. Wataƙila za su rinjayi ku cewa duk waɗannan fasahohin zamani na zamani ne kuma ba kwa buƙatar hakan. Wataƙila za su yi magana game da buƙatar fara ƙarami. Ko wataƙila za su ce kuna buƙatar sanya ƙwanƙwasa mai ƙarfi a tsakiyar cibiyar sadarwar kuma ku jagoranci duk zirga-zirga zuwa gare ta ta amfani da ma'auni. Duk wani zaɓi da aka ba ku, kuna buƙatar fahimtar sarai yadda ya dace da ku. Kuma bayan haka sai ku yanke shawara kan zabar hanyar da za a bi don sa ido kan amincin bayanan hanyoyin sadarwa. Komawa kan fakitin kama, ina so in ce wannan hanya tana ci gaba da shahara kuma tana da mahimmanci, amma babban manufarta ita ce kula da kan iyaka; iyakoki tsakanin ƙungiyar ku da Intanet, iyakoki tsakanin cibiyar bayanai da sauran hanyoyin sadarwa, iyakoki tsakanin tsarin sarrafa tsari da ɓangaren kamfani. A cikin waɗannan wuraren, IDS/IPS na al'ada har yanzu suna da haƙƙin wanzuwa da jure ayyukansu da kyau.

Bari mu matsa zuwa zaɓi na biyu. Ana iya amfani da nazarin abubuwan da ke fitowa daga na'urorin cibiyar sadarwa don dalilai na gano harin, amma ba a matsayin babban tsarin ba, tun da yake yana ba da damar gano ƙananan kutse. Bugu da ƙari, yana da mahimmanci a cikin wasu sake kunnawa - harin dole ne ya fara faruwa, sa'an nan kuma dole ne a rubuta shi ta hanyar na'ura ta hanyar sadarwa, wanda ta wata hanya ko wata zai nuna matsala tare da tsaro na bayanai. Akwai irin waɗannan hanyoyin da yawa. Wannan na iya zama syslog, RMON ko SNMP. Ka'idoji guda biyu na ƙarshe don saka idanu na cibiyar sadarwa a cikin mahallin tsaro na bayanai ana amfani da su ne kawai idan muna buƙatar gano harin DoS akan kayan sadarwar kanta, tunda ta amfani da RMON da SNMP yana yiwuwa, alal misali, saka idanu akan nauyin na'urar ta tsakiya. processor ko na'urorin sa. Wannan shi ne daya daga cikin "mafi arha" (kowa yana da syslog ko SNMP), amma kuma mafi m na duk hanyoyin da za a saka idanu da bayanai tsaro kayayyakin more rayuwa - da yawa hare-hare kawai boye daga gare ta. Tabbas, bai kamata a yi watsi da su ba, kuma binciken syslog iri ɗaya yana taimaka muku gano canje-canje a cikin tsarin na'urar da kanta, daidaitawarta, amma bai dace sosai ba don gano hare-hare akan duk hanyar sadarwa.

Zabi na uku shine bincika bayanai game da zirga-zirgar ababen hawa da ke wucewa ta na'urar da ke goyan bayan ɗaya daga cikin ka'idojin kwarara da yawa. A wannan yanayin, ba tare da la'akari da ka'idar ba, kayan aikin threading dole ne ya ƙunshi abubuwa uku:

• Ƙirƙiri ko fitarwa na kwarara. Yawancin lokaci ana sanya wannan rawar zuwa na'ura mai ba da hanya tsakanin hanyoyin sadarwa, sauyawa ko wasu na'urori na cibiyar sadarwa, wanda, ta hanyar wucewar zirga-zirgar hanyar sadarwa ta kanta, yana ba ku damar cire maɓalli masu mahimmanci daga gare ta, wanda aka aika zuwa tsarin tarin. Misali, Cisco yana goyan bayan ka'idar Netflow ba kawai akan masu ba da hanya tsakanin hanyoyin sadarwa da masu sauyawa ba, gami da kama-da-wane da na masana'antu, har ma akan masu kula da mara waya, wutan wuta har ma da sabobin.
• Gudun tattarawa. Idan aka yi la’akari da cewa cibiyar sadarwa ta zamani tana da na’urar sadarwa fiye da daya, matsalar tattarawa da kuma daidaita magudanar ruwa ta taso, wanda ake magance ta ta hanyar amfani da abin da ake kira masu tattarawa, wanda ke sarrafa magudanar da aka samu sannan a tura su don tantancewa.
• Binciken kwarara Mai nazari yana ɗaukar babban aikin hankali kuma, yin amfani da algorithms iri-iri zuwa rafi, yana zana wasu yanke shawara. Misali, a matsayin wani ɓangare na aikin IT, irin wannan mai nazari na iya gano ƙwanƙolin cibiyar sadarwa ko bincika bayanin martabar lodin zirga-zirga don ƙarin haɓaka cibiyar sadarwa. Kuma don tsaro na bayanai, irin wannan mai nazari na iya gano leaks na bayanai, yaduwar lambar ɓarna ko harin DoS.

Kada ku yi tunanin cewa wannan gine-gine mai hawa uku yana da rikitarwa sosai - duk sauran zaɓuɓɓuka (sai dai, watakila, tsarin sa ido na cibiyar sadarwa da ke aiki tare da SNMP da RMON) suma suna aiki bisa ga shi. Muna da janareta na bayanai don bincike, wanda zai iya zama na'urar cibiyar sadarwa ko firikwensin tsaye. Muna da tsarin tarin ƙararrawa da tsarin gudanarwa don duk kayan aikin sa ido. Za a iya haɗa abubuwa biyu na ƙarshe a cikin kulli ɗaya, amma a cikin manyan cibiyoyin sadarwa da yawa ko žasa ana yada su a cikin aƙalla na'urori biyu don tabbatar da ƙima da aminci.

Ba kamar binciken fakiti ba, wanda ya dogara ne akan nazarin taken da bayanan jikin kowane fakiti da kuma zaman da ya kunsa, nazarin kwarara ya dogara ne akan tattara metadata game da zirga-zirgar hanyar sadarwa. Yaushe, nawa, daga ina da kuma ina, ta yaya... waɗannan su ne tambayoyin da aka amsa ta hanyar nazarin hanyoyin sadarwa ta hanyar amfani da ka'idojin kwarara daban-daban. Da farko, an yi amfani da su don nazarin ƙididdiga da kuma gano matsalolin IT akan hanyar sadarwar, amma sai, kamar yadda hanyoyin bincike suka bunkasa, ya zama mai yiwuwa a yi amfani da su a cikin telemetry iri ɗaya don dalilai na tsaro. Yana da kyau a lura cewa binciken kwararar ruwa baya maye gurbin ko maye gurbin fakitin kama. Kowane ɗayan waɗannan hanyoyin yana da nasa yanki na aikace-aikacen. Amma a cikin mahallin wannan labarin, bincike ne na kwarara wanda ya fi dacewa don sa ido kan abubuwan more rayuwa na ciki. Kuna da na'urorin cibiyar sadarwa (ko suna aiki a cikin ƙayyadaddun tsarin software ko bisa ga ƙa'idodi masu tsauri) waɗanda hari ba zai iya wucewa ba. Yana iya ƙetare na'urar firikwensin IDS na yau da kullun, amma na'urar hanyar sadarwa wacce ke goyan bayan ƙa'idar kwarara ba zata iya ba. Wannan ita ce fa'idar wannan hanya.

A gefe guda, idan kuna buƙatar shaida don tabbatar da doka ko ƙungiyar binciken abubuwan da suka faru, ba za ku iya yin ba tare da kama fakiti ba - telemetry na cibiyar sadarwa ba kwafin zirga-zirga ba ne wanda za a iya amfani da shi don tattara shaida; ana buƙata don ganowa cikin sauri da yanke shawara a fagen tsaro na bayanai. A gefe guda, ta yin amfani da bincike na telemetry, zaka iya "rubuta" ba duk zirga-zirgar hanyar sadarwa ba (idan wani abu, Cisco yana hulɗar da cibiyoyin bayanai :-), amma kawai abin da ke cikin harin. Kayan aikin bincike na telemetry a wannan batun zasu dace da hanyoyin kama fakiti na gargajiya da kyau, suna ba da umarni don zaɓin kamawa da adanawa. In ba haka ba, za ku sami babban kayan aikin ajiya.

Bari mu yi tunanin hanyar sadarwa tana aiki a gudun 250 Mbit/sec. Idan kana son adana duk wannan juzu'in, to zaka buƙaci MB 31 na ajiya don sakan daya na watsa zirga-zirga, 1,8 GB na minti ɗaya, 108 GB na awa ɗaya, da 2,6 TB na kwana ɗaya. Don adana bayanan yau da kullun daga hanyar sadarwa tare da bandwidth na 10 Gbit/s, kuna buƙatar TB 108 na ajiya. Amma wasu masu mulki suna buƙatar adana bayanan tsaro na tsawon shekaru... Rikodin da ake buƙata, wanda bincike na kwarara yana taimaka muku aiwatarwa, yana taimakawa rage waɗannan ƙimar ta umarni mai girma. Af, idan muka yi magana game da rabo daga cikin girma na rikodin telemetry na cibiyar sadarwa bayanai da kuma cikakken data kama, shi ne kamar 1 zuwa 500. Domin iri daya dabi'u da aka bayar a sama, adana cikakken kwafin duk yau da kullum zirga-zirga. zai zama 5 da 216 GB, bi da bi (zaku iya yin rikodin shi akan filasha na yau da kullun).

Idan don kayan aiki don nazarin bayanan cibiyar sadarwa mai ɗanɗano, hanyar ɗaukar shi kusan iri ɗaya ce daga mai siyarwa zuwa mai siyarwa, to a cikin yanayin bincike na kwarara yanayin yanayin ya bambanta. Akwai zaɓuɓɓuka da yawa don ƙa'idodin kwarara, bambance-bambancen da kuke buƙatar sani game da su a cikin mahallin tsaro. Mafi shaharar ita ce ka'idar Netflow ta Cisco. Akwai nau'ikan wannan ƙa'idar da yawa, waɗanda suka bambanta da ƙarfinsu da adadin bayanan zirga-zirgar da aka rubuta. Nau'in na yanzu shine na tara (Netflow v9), akan wanda aka haɓaka ma'aunin masana'antar Netflow v10, wanda kuma aka sani da IPFIX. A yau, yawancin masu siyar da hanyar sadarwa suna tallafawa Netflow ko IPFIX a cikin kayan aikin su. Amma akwai wasu zaɓuɓɓuka daban-daban don ƙa'idodin kwarara - sFlow, jFlow, cFlow, rFlow, NetStream, da sauransu, waɗanda sFlow ya fi shahara. Irin wannan nau'in ne mafi sau da yawa ana goyan bayan masana'antun gida na kayan aikin cibiyar sadarwa saboda sauƙin aiwatarwa. Menene bambance-bambancen maɓalli tsakanin Netflow, wanda ya zama ma'auni na gaskiya, da sFlow? Zan haskaka maɓalli da yawa. Na farko, Netflow yana da filayen da za a iya keɓance mai amfani sabanin madaidaitan filayen a cikin sFlow. Na biyu kuma, kuma wannan shi ne abu mafi muhimmanci a lamarinmu, sFlow yana tattara abin da ake kira samfurin telemetry; ya bambanta da wanda ba a samo shi ba don Netflow da IPFIX. Menene banbancin su?

Ka yi tunanin ka yanke shawarar karanta littafin "Cibiyar Ayyukan Tsaro: Gina, Aiki, da Kula da SOC ɗin ku" na abokan aiki - Gary McIntyre, Joseph Munitz da Nadem Alfardan (zaku iya sauke wani ɓangare na littafin daga mahaɗin). Kuna da zaɓuɓɓuka guda uku don cimma burin ku - karanta dukan littafin, ku dube shi, tsayawa a kowane shafi na 10 ko na 20, ko ƙoƙarin nemo mahimmin ra'ayi akan bulogi ko sabis kamar SmartReading. Don haka, na'urar sadarwa mara misaltuwa tana karanta kowane "shafi" na zirga-zirgar hanyar sadarwa, wato, nazarin metadata na kowane fakiti. Samfurin telemetry shine zaɓin binciken zirga-zirga a cikin bege cewa samfuran da aka zaɓa zasu ƙunshi abin da kuke buƙata. Dangane da saurin tashar, za a aika samfurin telemetry don bincike kowane 64th, 200th, 500th, 1000th, 2000th ko ma fakiti na 10000th.

A cikin mahallin sa ido kan tsaro na bayanai, wannan yana nufin cewa samfurin telemetry ya dace sosai don gano hare-haren DDoS, dubawa, da kuma yada lambar qeta, amma yana iya rasa harin atomic ko fakiti da yawa waɗanda ba a haɗa su cikin samfurin da aka aika don bincike ba. Na'urar daukar hoto mara misaltuwa ba ta da irin wannan lahani. Tare da wannan, kewayon hare-haren da aka gano ya fi fadi. Anan akwai ɗan gajeren jerin abubuwan da za a iya gano su ta amfani da kayan aikin bincike na telemetry na cibiyar sadarwa.

Tabbas, wasu buɗaɗɗen tushen Netflow analyzer ba za su ba ku damar yin wannan ba, tunda babban aikinsa shine tattara telemetry da gudanar da bincike na asali akan sa daga mahangar IT. Don gano barazanar tsaro na bayanai dangane da kwarara, ya zama dole a ba mai binciken tare da injuna daban-daban da algorithms, waɗanda za su gano matsalolin cybersecurity dangane da daidaitattun filayen Netflow ko na al'ada, wadatar daidaitattun bayanai tare da bayanan waje daga maɓuɓɓugar bayanan Barazana daban-daban, da sauransu.

Don haka, idan kuna da zaɓi, to zaɓi Netflow ko IPFIX. Amma ko da kayan aikin ku kawai suna aiki tare da sFlow, kamar masana'antun gida, to ko da a cikin wannan yanayin za ku iya amfana da shi a cikin yanayin tsaro.

A lokacin bazara na 2019, na bincika iyawar da masana'antun kayan aikin cibiyar sadarwa na Rasha ke da su kuma duka, ban da NSG, Polygon da Craftway, sun ba da sanarwar tallafi ga sFlow (aƙalla Zelax, Natex, Eltex, QTech, Rusteleteh).

Tambaya ta gaba da za ku fuskanta ita ce ta ina za ku aiwatar da tallafin kwarara don dalilai na tsaro? A zahiri, ba a gabatar da tambayar gaba ɗaya daidai ba. Kayan aiki na zamani kusan koyaushe suna goyan bayan ka'idojin kwarara. Don haka, zan sake fasalin tambaya daban - a ina ya fi tasiri don tattara na'urorin sadarwa ta hanyar tsaro? Amsar za ta kasance a bayyane - a matakin shiga, inda za ku ga 100% na duk zirga-zirga, inda za ku sami cikakkun bayanai game da runduna (MAC, VLAN, ID na dubawa), inda za ku iya saka idanu kan zirga-zirgar P2P tsakanin runduna, wanda yana da mahimmanci don gano ganowa da rarraba lambar ɓarna. A ainihin matakin, ƙila kawai ba za ku ga wasu zirga-zirgar ababen hawa ba, amma a matakin kewaye, za ku ga kashi ɗaya bisa huɗu na zirga-zirgar hanyar sadarwar ku. Amma idan saboda wasu dalilai kuna da na'urori na ƙasashen waje akan hanyar sadarwar ku waɗanda ke ba da damar maharan su "shiga da fita" ba tare da ƙetare kewaye ba, to nazarin telemetry daga gare ta ba zai ba ku komai ba. Don haka, don iyakar ɗaukar hoto, ana ba da shawarar ba da damar tarin telemetry a matakin samun dama. A lokaci guda, yana da mahimmanci a lura cewa ko da muna magana ne game da haɓakawa ko kwantena, ana samun tallafin kwarara sau da yawa a cikin maɓallan kama-da-wane na zamani, wanda ke ba ku damar sarrafa zirga-zirga a can ma.

Amma tun da na tayar da batun, Ina buƙatar amsa tambayar: menene idan kayan aiki, na zahiri ko na zahiri, ba su goyi bayan ka'idojin kwarara ba? Ko kuma an haramta haɗa shi (misali, a cikin sassan masana'antu don tabbatar da dogaro)? Ko kunna shi akan jagora zuwa babban nauyin CPU (wannan yana faruwa akan tsofaffin kayan aiki)? Don magance wannan matsala, akwai na'urori masu auna firikwensin (flow sensors), waɗanda ainihin masu rarrabawa ne na yau da kullun waɗanda ke wucewa ta kansu kuma suna watsa shi ta hanyar kwarara zuwa tsarin tarin. Gaskiya ne, a wannan yanayin muna samun duk matsalolin da muka yi magana a sama dangane da kayan aikin kama fakiti. Wato, kuna buƙatar fahimtar ba kawai fa'idodin fasahar nazarin kwarara ba, har ma da iyakokinta.

Wani batu da ke da mahimmanci a tuna lokacin da ake magana game da kayan aikin bincike na kwarara. Idan dangane da hanyoyin al'ada na samar da al'amuran tsaro muna amfani da ma'aunin EPS (wasu al'amari a cikin dakika), to wannan alamar ba ta da amfani ga binciken telemetry; An maye gurbin shi da FPS (gudanar da ruwa a cikin dakika). Kamar yadda yake a cikin EPS, ba za a iya ƙididdige shi a gaba ba, amma kuna iya ƙididdige adadin adadin zaren da wata na'ura ke samarwa dangane da aikinta. Kuna iya samun tebur akan Intanet tare da ƙimar ƙima don nau'ikan nau'ikan na'urori da yanayi daban-daban, wanda zai ba ku damar kimanta irin lasisin da kuke buƙata don kayan aikin bincike da abin da gine-ginen su zai kasance? Gaskiyar ita ce, firikwensin IDS yana iyakance ta wani nau'in bandwidth wanda zai iya "jawo", kuma mai tattara kwarara yana da nasa iyakokin da dole ne a fahimta. Sabili da haka, a cikin manyan cibiyoyin sadarwa na yanki, yawanci ana samun masu tarawa da yawa. Lokacin da na kwatanta yadda ake kula da hanyar sadarwa a cikin Cisco, Na riga na ba da adadin masu tara mu - akwai 21 daga cikinsu. Kuma wannan don cibiyar sadarwa da aka warwatse a cikin nahiyoyi biyar da adadin kusan rabin miliyan na'urori masu aiki).

Muna amfani da namu mafita azaman tsarin sa ido na Netflow Cisco Stealthwatch, wanda aka mayar da hankali musamman wajen magance matsalolin tsaro. Yana da injuna da yawa da aka gina don gano abubuwan da ba su da kyau, masu tuhuma da kuma ɓarna a fili, wanda ke ba ku damar gano nau'ikan barazanar daban-daban - daga cryptomining zuwa leaks na bayanai, daga yaduwar lambar ƙeta zuwa zamba. Kamar yawancin masu nazarin kwararar kwarara, an gina Stealthwatch bisa ga tsari na matakai uku (janeneta - mai tattarawa - mai nazari), amma an ƙara shi da abubuwa masu ban sha'awa da yawa waɗanda ke da mahimmanci a cikin mahallin abubuwan da ake la'akari. Na farko, yana haɗawa tare da mafita na kama fakiti (kamar Cisco Security Packet Analyzer), wanda ke ba ku damar yin rikodin zaɓaɓɓun zaman cibiyar sadarwa don bincike mai zurfi da bincike daga baya. Abu na biyu, musamman don faɗaɗa ayyukan tsaro, mun haɓaka ƙa'idar nvzFlow ta musamman, wacce ke ba ku damar "watsa" ayyukan aikace-aikacen akan nodes na ƙarshen (sabar, wuraren aiki, da sauransu) a cikin telemetry kuma aika shi ga mai tarawa don ƙarin bincike. Idan a cikin asali na Stealthwatch yana aiki tare da kowace yarjejeniya ta gudana (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) a matakin cibiyar sadarwa, to, tallafin nvzFlow yana ba da damar daidaita bayanai kuma a matakin kumburi, ta haka. haɓaka ingantaccen tsarin gabaɗaya da ganin ƙarin hare-hare fiye da masu nazarin kwararar hanyar sadarwa na al'ada.

A bayyane yake cewa lokacin da ake magana game da tsarin bincike na Netflow daga ra'ayi na tsaro, kasuwa ba ta iyakance ga mafita ɗaya daga Cisco ba. Kuna iya amfani da duka na kasuwanci da na kyauta ko hanyoyin shareware. Yana da matukar m idan na buga fafatawa a gasa' mafita a matsayin misalai a kan Cisco blog, don haka zan ce 'yan kalmomi game da yadda za a iya yin nazari na cibiyar sadarwa telemetry ta amfani da mashahurai biyu, kama da suna, amma har yanzu daban-daban kayayyakin aiki - SiLK da ELK.

SiLK wani tsari ne na kayan aiki (Tsarin Ilimin Matsayin Intanet) don nazarin zirga-zirgar zirga-zirga, wanda CERT/CC ta Amurka ta haɓaka kuma wacce ke goyan bayan, a cikin mahallin labarin yau, Netflow (5th da 9th, mafi mashahuri iri), IPFIX da sFlow da amfani da kayan aiki daban-daban (rwfilter, rwcount, rwflowpack, da dai sauransu) don aiwatar da ayyuka daban-daban akan na'urar sadarwa ta hanyar sadarwa don gano alamun ayyukan da ba su da izini a ciki. Amma akwai wasu mahimman abubuwan da za a lura. SiLK kayan aikin layin umarni ne wanda ke yin nazarin kan layi ta hanyar shigar da umarni kamar haka (gano fakitin ICMP wanda ya fi girma 200 bytes):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

ba dadi sosai. Kuna iya amfani da iSiLK GUI, amma ba zai sauƙaƙe rayuwar ku ba, kawai warware aikin gani kuma ba maye gurbin mai sharhi ba. Kuma wannan shi ne batu na biyu. Ba kamar hanyoyin kasuwanci ba, waɗanda suka riga sun sami ingantaccen tushe na nazari, algorithms gano anomaly, daidaitaccen aikin aiki, da sauransu, a cikin yanayin SiLK dole ne ku yi duk wannan da kanku, wanda zai buƙaci ƙwarewa daban-daban daga gare ku fiye da yin amfani da riga-kafi. kayan aiki don amfani. Wannan ba mai kyau ba ne ko mara kyau - wannan sifa ce ta kusan kowane kayan aikin kyauta wanda ke ɗauka cewa kun san abin da za ku yi, kuma hakan zai taimaka muku kawai (kayan aikin kasuwanci ba su dogara da ƙwarewar masu amfani da su ba, kodayake su ma suna ɗauka. cewa manazarta sun fahimci aƙalla tushen binciken cibiyar sadarwa da sa ido). Amma bari mu koma SiLK. Zagayowar aikin manazarci da ita yayi kama da haka:

• Ƙirƙirar hasashe. Dole ne mu fahimci abin da za mu nema a cikin telemetry na cibiyar sadarwa, mu san halaye na musamman waɗanda za mu gano wasu abubuwan da ba su dace ba ko barazana.
• Gina samfuri. Bayan da aka tsara hasashe, mun tsara shi ta amfani da Python iri ɗaya, harsashi ko wasu kayan aikin da ba a haɗa su cikin SiLK ba.
• Gwaji. Yanzu juyi ya zo don bincika daidaiton hasashe namu, wanda aka tabbatar ko aka musanta ta amfani da kayan aikin SiLK waɗanda suka fara da 'rw', 'set', 'jakar'.
• Analysis na ainihin bayanai. A cikin aikin masana'antu, SiLK yana taimaka mana gano wani abu kuma mai bincike dole ne ya amsa tambayoyin "Shin mun sami abin da muke tsammani?", "Shin wannan ya dace da tunaninmu?", "Yadda za a rage yawan adadin ƙarya?", "Yaya don inganta matakin ganewa? » da sauransu.
• Ingantawa. A mataki na ƙarshe, muna haɓaka abin da aka yi a baya - muna ƙirƙira samfuri, haɓakawa da haɓaka lambar, sake fasalin da fayyace hasashe, da sauransu.

Wannan sake zagayowar kuma za ta yi amfani da Cisco Stealthwatch, kawai na ƙarshe yana sarrafa waɗannan matakai guda biyar zuwa matsakaicin, yana rage yawan kurakuran manazarta da haɓaka haɓakar gano abin da ya faru. Misali, a cikin SiLK zaku iya wadatar kididdigar cibiyar sadarwa tare da bayanan waje akan IPs masu cutarwa ta amfani da rubutun da aka rubuta da hannu, kuma a cikin Cisco Stealthwatch aikin ginannen aiki ne wanda nan da nan yana nuna ƙararrawa idan zirga-zirgar hanyar sadarwa ta ƙunshi hulɗa tare da adiresoshin IP daga jerin baƙi.

Idan kun yi girma a cikin dala "biya" don software na nazarin kwarara, to, bayan cikakken SiLK kyauta za a sami ELK shareware, wanda ya ƙunshi abubuwa uku masu mahimmanci - Elasticsearch (indexing, bincike da bincike na bayanai), Logstash (shigarwar bayanai / fitarwa). ) da Kibana ( gani). Ba kamar SiLK ba, inda dole ne ku rubuta komai da kanku, ELK ya riga ya sami ɗakunan karatu/modules da yawa da aka shirya (wasu an biya, wasu ba) waɗanda ke sarrafa sarrafa na'urorin sadarwa na cibiyar sadarwa. Misali, matatar GeoIP a Logstash tana ba ku damar haɗa adiresoshin IP da aka sa ido tare da wurin yanki (Stealthwatch yana da wannan fasalin da aka gina).

ELK kuma yana da ƙaƙƙarfan ƙaƙƙarfan al'umma waɗanda ke kammala abubuwan da suka ɓace don wannan mafita ta sa ido. Misali, don aiki tare da Netflow, IPFIX da sFlow zaka iya amfani da tsarin elastiflow, idan ba ku gamsu da Logstash Netflow Module ba, wanda ke goyan bayan Netflow kawai.

Yayin da yake ba da ƙarin inganci a cikin tattara kwarara da bincike a ciki, ELK a halin yanzu ba shi da ingantattun ingantattun ƙididdiga don gano abubuwan da ba su dace ba da barazanar a cikin telemetry na cibiyar sadarwa. Wato, bin tsarin rayuwar da aka bayyana a sama, dole ne ku siffanta samfuran cin zarafi da kansu sannan ku yi amfani da su a cikin tsarin yaƙi (babu samfuran ginannun a can).

Akwai, ba shakka, ƙarin haɓakawa na ELK, wanda ya riga ya ƙunshi wasu samfura don gano anomalies a cikin telemetry na cibiyar sadarwa, amma irin wannan kari yana kashe kuɗi kuma a nan tambaya ita ce ko wasan ya cancanci kyandir - rubuta irin wannan samfurin da kanku, siyan sa. aiwatarwa don kayan aikin sa ido, ko siyan shirye-shiryen da aka yi na ajin Nazarin Traffic Network.

Gabaɗaya, ba na so in shiga cikin muhawarar cewa yana da kyau a kashe kuɗi da siyan shirye-shiryen da aka yi don sa ido kan abubuwan da ba a sani ba da barazanar a cikin telemetry na cibiyar sadarwa (misali, Cisco Stealthwatch) ko gano shi da kanku kuma ku tsara iri ɗaya. SiLK, ELK ko nfdump ko OSU Flow Tools ga kowane sabon barazana ( Ina magana ne game da biyu na ƙarshe daga cikinsu gaya karshe)? Kowa ya zaba don kansa kuma kowa yana da manufarsa don zaɓar kowane ɗayan zaɓuɓɓuka biyu. Ina so ne kawai in nuna cewa hanyar sadarwa ta hanyar sadarwa abu ne mai mahimmanci don tabbatar da tsaro na cibiyar sadarwar ku na cikin gida kuma kada ku yi watsi da shi, don kada ku shiga cikin jerin sunayen kamfanonin da aka ambaci sunansu a cikin kafofin watsa labaru tare da alamomin " hacked", "marasa bin ka'idojin tsaro na bayanai" "," "ba tare da tunanin tsaron bayanansu da bayanan abokin ciniki ba."

Don taƙaitawa, Ina so in lissafta mahimman shawarwarin da yakamata ku bi yayin gina bayanan tsaro na abubuwan more rayuwa na cikin gida:

1. Kada ka iyakance kanka ga kewaye! Yi amfani da (kuma zaɓi) kayan aikin cibiyar sadarwa ba kawai don matsar da zirga-zirga daga aya A zuwa aya B ba, har ma don magance matsalolin tsaro na intanet.
2. Yi nazarin hanyoyin sa ido kan tsaro na bayanan da ke akwai a cikin kayan sadarwar ku kuma yi amfani da su.
3. Don saka idanu na ciki, ba da fifiko ga nazarin telemetry - yana ba ku damar gano har zuwa 80-90% na duk abubuwan tsaro na bayanan cibiyar sadarwa, yayin yin abin da ba zai yuwu ba yayin ɗaukar fakitin cibiyar sadarwa da adana sarari don adana duk abubuwan tsaro na bayanai.
4. Don saka idanu masu gudana, yi amfani da Netflow v9 ko IPFIX - suna ba da ƙarin bayani a cikin yanayin tsaro kuma suna ba ku damar saka idanu ba kawai IPv4 ba, har ma IPv6, MPLS, da sauransu.
5. Yi amfani da ƙa'idar kwarara mara misaltuwa - tana ba da ƙarin bayani don gano barazanar. Misali, Netflow ko IPFIX.
6. Bincika nauyin kayan aikin cibiyar sadarwar ku - ƙila ba za ta iya ɗaukar ƙa'idar gudana ba. Sannan yi la'akari da amfani da na'urori masu auna firikwensin gani ko Netflow Generation Appliance.
7. Aiwatar da iko da farko a matakin samun dama - wannan zai ba ku damar ganin 100% na duk zirga-zirga.
8. Idan ba ku da zaɓi kuma kuna amfani da kayan aikin cibiyar sadarwa na Rasha, to zaɓi ɗaya wanda ke goyan bayan ƙa'idodin kwarara ko yana da tashoshin SPAN/RSPAN.
9. Haɗa kutsawa / gano hari / tsarin rigakafi a gefuna da tsarin bincike na kwarara a cikin hanyar sadarwa na ciki (ciki har da gajimare).

Game da tukwici na ƙarshe, Ina so in ba da misalin da na riga na bayar a baya. Kuna ganin cewa idan a baya ma'aikatar tsaron bayanan Cisco kusan gaba ɗaya ta gina tsarin sa ido kan tsaro na bayanai bisa tsarin gano kutse da hanyoyin sa hannu, yanzu suna da kashi 20% na abubuwan da suka faru. Wani 20% ya fadi a kan tsarin bincike na kwarara, wanda ke nuna cewa waɗannan mafita ba su da sha'awa ba, amma kayan aiki na gaske a cikin ayyukan ayyukan tsaro na bayanai na kamfani na zamani. Bugu da ƙari, kuna da abu mafi mahimmanci don aiwatar da su - kayan aikin cibiyar sadarwa, saka hannun jari wanda za'a iya ƙara kariya ta hanyar sanya ayyukan tsaro na tsaro ga hanyar sadarwa.

Musamman ban tabo batun mayar da martani ga abubuwan da ba su dace ba ko barazanar da aka gano a cikin hanyoyin sadarwa, amma ina tsammanin ya rigaya ya bayyana cewa saka idanu bai kamata ya ƙare kawai tare da gano barazanar ba. Ya kamata a bi ta da amsa kuma zai fi dacewa a cikin yanayin atomatik ko na atomatik. Amma wannan batu ne don wani labarin dabam.

Ƙarin bayani:

• Bayanin Cisco IOS Netflow
• Netflow goyon bayan matrix a daban-daban Cisco mafita
• Jagora don Haɓaka Netflow akan Dabarun Cisco Daban-daban
• sFlow Community
• Lab ta amfani da Stealtjwatch, SiLK da ELK don nazarin Netflow daga yanayin tsaro
• SiLK gidan yanar gizon
• Jagoran shafi ɗari uku don amfani da SiLK tare da tarin misalai
• Logstash Netflow Module
• Cisco Jagoran Mataki-mataki don Binciken Ƙwararru a cikin ELK
• Binciken NetFlow v.9 Cisco ASA ta amfani da Logstash (ELK)
• Cisco Stealthwatch Solution

PS. Idan ya fi sauƙi a gare ku don jin duk abin da aka rubuta a sama, to, za ku iya kallon gabatarwar na tsawon sa'o'i wanda ya kafa tushen wannan bayanin.

source: www.habr.com