Usoro ịgba ọsọ dị ka ngwa ọrụ maka nlekota nchekwa netwọkụ dị n'ime

Mgbe a bịara n'ịleba anya nchekwa nke ụlọ ọrụ dị n'ime ma ọ bụ netwọk ngalaba, ọtụtụ na-ejikọta ya na njikwa ntapu ozi yana itinye azịza DLP. Ma ọ bụrụ na ị na-agbalị ịkọwa ajụjụ a na-ajụ otú ị na-achọpụta ọgụ na esịtidem netwọk, azịza ya ga-, dị ka a na-achị, na-ekwu banyere intrusion detection Systems (IDS). Na ihe bụ naanị nhọrọ 10-20 afọ gara aga na-aghọ ihe anachronism taa. Enwere ihe dị irè karị, na n'ebe ụfọdụ, naanị nhọrọ enwere ike iji nyochaa netwọk dị n'ime - iji usoro ịgba ọsọ, nke e mere na mbụ iji chọọ nsogbu netwọk (nsogbu nsogbu), ma ka oge na-aga ghọọ ngwá ọrụ nchebe na-adọrọ mmasị. Anyị ga-ekwu maka ụdị usoro ịgba ọsọ dị na nke kachasị mma na ịchọpụta ọgụ netwọkụ, ebe ọ kachasị mma iji mejuputa nlekota mmiri, ihe ị ga-achọ mgbe ị na-ebuga atụmatụ dị otú ahụ, na ọbụna otu esi 'ebuli' ihe a niile na akụrụngwa ụlọ. n'ime oke nke edemede a.

Agaghị m atụgharị n'ajụjụ a "Gịnị kpatara eji achọ nlekota nchekwa akụrụngwa ime?" Azịza ya yiri ka ọ doro anya. Mana ọ bụrụ, ka o sina dị, ị ga-achọ ijide n'aka ọzọ na taa ị nweghị ike ibi ndụ na-enweghị ya, lelee anya obere vidiyo gbasara otu ị ga-esi banye n'ime netwọkụ ụlọ ọrụ nke firewall chebere n'ụzọ iri na asaa. Ya mere, anyị ga-eche na anyị ghọtara na nleba anya n'ime ime bụ ihe dị mkpa na ihe niile fọdụrụ bụ ịghọta otú e nwere ike isi hazie ya.

M ga-akọwapụta isi mmalite data atọ maka nlekota akụrụngwa na ọkwa netwọk:

• okporo ụzọ "raw" anyị na-ejide ma nyefee maka nyocha na usoro nyocha ụfọdụ,
• ihe omume sitere na ngwaọrụ netwọkụ nke okporo ụzọ na-agafe,
• ozi okporo ụzọ enwetara site na otu n'ime usoro mgbaba.

Inweta okporo ụzọ raw bụ nhọrọ kachasị ewu ewu n'etiti ndị ọkachamara nchekwa, n'ihi na ọ pụtara n'akụkọ ihe mere eme ma bụrụ nke mbụ. Sistemụ nchọta intrusion netwọọdụ ọdịnala (usoro nchọpụta mbubata azụmahịa nke mbụ bụ NetRanger sitere na Wheel Group, nke Cisco zụtara na 1998) na-etinye aka n'otu n'otu na iwere ngwugwu (na nnọkọ ndị ọzọ) nke a na-achọ ụfọdụ mbinye aka (“iwu ndị siri ike” na. Okwu FSTEC), mwakpo na-egosi. N'ezie, ị nwere ike nyochaa okporo ụzọ okporo ụzọ ọ bụghị naanị iji IDS, kamakwa iji ngwaọrụ ndị ọzọ (dịka ọmụmaatụ, Wireshark, tcpdum ma ọ bụ ọrụ NBAR2 na Cisco IOS), mana ha na-enwekarị isi ihe ọmụma nke na-amata ọdịiche dị n'etiti ngwaọrụ nchekwa ozi site na mgbe niile. Ngwá ọrụ IT.

Yabụ, sistemụ nchọpụta ọgụ. Usoro kachasị ochie na nke kachasị ewu ewu nke ịchọpụta ọgụ netwọkụ, nke na-arụ ọrụ dị mma na gburugburu (n'agbanyeghị ihe ọ bụla - ụlọ ọrụ, data center, nkebi, wdg), ma na-ada na netwọtị agbanwe agbanwe na ngwanrọ nke oge a. N'ihe banyere netwọk e wuru na ndabere nke mgba ọkụ ndị a na-emekarị, akụrụngwa nke ihe mmetụta nchọpụta ọgụ na-ebuwanye ibu - ị ga-etinye ihe mmetụta na njikọ ọ bụla na ọnụ nke ịchọrọ nyochaa ọgụ. Onye nrụpụta ọ bụla, n'ezie, ga-enwe obi ụtọ ịre gị narị otu narị na puku sensọ, mana echere m na mmefu ego gị enweghị ike ịkwado mmefu dị otú ahụ. Enwere m ike ịsị na ọbụna na Cisco (na anyị bụ ndị mmepe nke NGIPS) anyị enweghị ike ime nke a, ọ bụ ezie na ọ ga-adị ka okwu nke ọnụahịa dị n'ihu anyị. E kwesịghị m iguzo - ọ bụ mkpebi nke anyị. Na mgbakwunye, ajụjụ na-ebilite, otu esi ejikọta ihe mmetụta na ụdị a? N'ime oghere ahụ? Gịnị ma ọ bụrụ na ihe mmetụta n'onwe ya ada ada? Achọrọ modul ngafe na ihe mmetụta? Jiri nkewa (pịa)? Ihe a niile na-eme ka ngwọta ahụ dị oke ọnụ ma mee ka ọ bụrụ ihe na-adịghị mma maka ụlọ ọrụ nke nha ọ bụla.

Ị nwere ike ịnwa ịkwanye ihe mmetụta ahụ na ọdụ ụgbọ mmiri SPAN/RSPAN/ERSPAN wee mee ka okporo ụzọ si n'ọdụ ụgbọ mmiri gbanwee chọrọ gaa na ya. Nhọrọ a na-ewepụ nsogbu ahụ akọwapụtara na paragraf gara aga, mana ọ na-ebute nke ọzọ - ọdụ ụgbọ mmiri SPAN enweghị ike ịnakwere okporo ụzọ niile a ga-ezigara ya - ọ gaghị enwe bandwidth zuru oke. Ị ga-achụ ihe. Ma ọ bụ hapụ ụfọdụ n'ime ọnụ na-enweghị nlekota (mgbe ahụ, ị ​​ga-ebu ụzọ mee ka ha buru ụzọ), ma ọ bụ zipu ọ bụghị okporo ụzọ niile site na ọnụ, kama ọ bụ naanị otu ụdị. N'ọnọdụ ọ bụla, anyị nwere ike tufuo ọgụ ụfọdụ. Na mgbakwunye, enwere ike iji ọdụ ụgbọ mmiri SPAN maka mkpa ndị ọzọ. N'ihi ya, anyị ga-enyocha topology netwọk dị ugbu a ma nwee ike ime mgbanwe na ya iji kpuchie netwọk gị na ọnụ ọgụgụ sensọ ị nwere (ma jikọta nke a na IT).

Gịnị ma ọ bụrụ na netwọk gị na-eji ụzọ asymmetrical? Gịnị ma ọ bụrụ na i mejuputara ma ọ bụ na-eme atụmatụ ime SDN? Gịnị ma ọ bụrụ na ị chọrọ inyocha virtualized igwe ma ọ bụ containers ndị okporo ụzọ adịghị eru anụ ahụ mgba ọkụ ma ọlị? Ndị a bụ ajụjụ ndị na-ere IDS ọdịnala anaghị amasị ha n'ihi na ha amaghị ka ha ga-esi zaa ha. Ikekwe ha ga-eme ka ị kwenye na teknụzụ ndị a niile na-ewu ewu bụ ihe na-akpali akpali na ị chọghị ya. Ikekwe ha ga-ekwu maka mkpa ọ dị ịmalite obere. Ma ọ bụ ma eleghị anya, ha ga-ekwu na ịkwesịrị itinye ihe nzọcha ọkụ dị ike n'etiti netwọk ahụ wee duzie okporo ụzọ niile na ya site na iji nhazi. Nhọrọ ọ bụla enyere gị, ịkwesịrị ịghọta nke ọma ka ọ dabara gị. Ma naanị mgbe nke ahụ gasịrị, mee mkpebi na ịhọrọ ụzọ iji nyochaa nchekwa ozi nke akụrụngwa netwọkụ. N'ịlaghachi na njide ngwugwu, achọrọ m ịsị na usoro a na-aga n'ihu na-ewu ewu ma dị mkpa, ma isi nzube ya bụ njikwa ókè; oke n'etiti nzukọ gị na ịntanetị, oke n'etiti etiti data na netwọkụ ndị ọzọ, oke n'etiti usoro njikwa usoro na ngalaba ụlọ ọrụ. N'ebe ndị a, IDS/IPS kpochapụwo ka nwere ikike ịdị adị yana ịnagide ọrụ ha nke ọma.

Ka anyị gaa n'ihu na nhọrọ nke abụọ. A pụkwara iji nyocha nke ihe ndị na-abịa site na ngwaọrụ netwọk maka ebumnuche nchọpụta ọgụ, ma ọ bụghị dị ka usoro bụ isi, ebe ọ bụ na ọ na-enye ohere ịchọta nanị obere klas nke intrusions. Tụkwasị na nke ahụ, ọ bụ ihe dị na ụfọdụ mmeghachi omume - agha ahụ ga-ebu ụzọ mee, mgbe ahụ, ọ ga-ederịrị ya site na ngwaọrụ netwọk, nke n'otu ụzọ ma ọ bụ ọzọ ga-egosi nsogbu na nchekwa ozi. E nwere ọtụtụ ụzọ dị otú ahụ. Nke a nwere ike ịbụ syslog, RMON ma ọ bụ SNMP. A na-eji usoro abụọ ikpeazụ maka nlekota netwọkụ na nchekwa data naanị ma ọ bụrụ na anyị kwesịrị ịchọpụta mwakpo DoS na akụrụngwa netwọkụ n'onwe ya, ebe ọ bụ na iji RMON na SNMP, ọ ga-ekwe omume, dịka ọmụmaatụ, nyochaa ibu dị na etiti ngwaọrụ ahụ. processor ma ọ bụ interface ya. Nke a bụ otu n'ime "dị ọnụ ala" (onye ọ bụla nwere syslog ma ọ bụ SNMP), mana ọ bụkwa nke kachasị arụ ọrụ nke ụzọ niile iji nyochaa nchekwa ozi nke akụrụngwa dị n'ime - ọtụtụ ọgụ na-ezochi ya. N'ezie, e kwesịghị ileghara ha anya, na otu nyocha syslog na-enyere gị aka ịmata mgbanwe n'oge nhazi nke ngwaọrụ ahụ n'onwe ya, nkwekọrịta ya, ma ọ dịghị mma maka ịchọta ọgụ na netwọk dum.

Nhọrọ nke atọ bụ inyocha ozi gbasara okporo ụzọ na-agafe na ngwaọrụ na-akwado otu n'ime ọtụtụ usoro ịgba ọsọ. N'okwu a, n'agbanyeghị usoro ahụ, akụrụngwa nke threading bụ nke nwere akụkụ atọ:

• Ọgbọ ma ọ bụ mbupụ nke eruba. A na-ekenyekarị ọrụ a na rawụta, mgba ọkụ ma ọ bụ ngwaọrụ netwọk ọzọ, nke, site n'ịgafe okporo ụzọ netwọk n'onwe ya, na-enye gị ohere wepụ isi ihe dị na ya, nke a na-ebunye ya na modul nchịkọta. Dịka ọmụmaatụ, Cisco na-akwado usoro Netflow ọ bụghị naanị na ndị na-anya ụgbọ elu na ndị na-atụgharị, gụnyere ndị mebere na ụlọ ọrụ mmepụta ihe, kamakwa na njikwa ikuku, firewalls na ọbụna sava.
• Mkpokọta eruba. N'iburu n'uche na netwọk nke oge a na-enwekarị ihe karịrị otu ngwaọrụ netwọk, nsogbu nke ịnakọta na ịkwado mmiri na-ebilite, nke a na-edozi site na iji ihe ndị a na-akpọ ndị nchịkọta, na-edozi ihe ndị natara wee nyefee ya maka nyocha.
• Nyocha usoro Onye nyocha na-arụ ọrụ ọgụgụ isi bụ isi na, na-etinye algọridim dị iche iche na iyi, na-ebute nkwubi okwu ụfọdụ. Dịka ọmụmaatụ, dịka akụkụ nke ọrụ IT, onye nyocha dị otú ahụ nwere ike ịchọpụta ihe mgbochi netwọk ma ọ bụ nyochaa profaịlụ ibu okporo ụzọ maka nkwalite netwọk ọzọ. Na maka nchekwa ozi, onye nyocha dị otú ahụ nwere ike ịchọpụta nhịahụ data, mgbasa nke koodu ọjọọ ma ọ bụ ọgụ DoS.

Echela na ihe owuwu ụlọ atọ a dị mgbagwoju anya - nhọrọ ndị ọzọ niile (ma e wezụga, ikekwe, sistemụ nlekota netwọkụ na-arụ ọrụ na SNMP na RMON) na-arụkwa ọrụ dịka ya si dị. Anyị nwere onye na-emepụta data maka nyocha, nke nwere ike ịbụ ngwaọrụ netwọk ma ọ bụ ihe mmetụta kwụ ọtọ. Anyị nwere usoro nchịkọta mkpu na usoro nlekọta maka akụrụngwa nlekota niile. Enwere ike ijikọ akụkụ abụọ ikpeazụ n'ime otu ọnụ, ma na ọtụtụ ma ọ bụ na-erughị nnukwu netwọk ha na-agbasakarị ma ọ dịkarịa ala ngwaọrụ abụọ iji hụ na scalability na ntụkwasị obi.

N'adịghị ka nyocha ngwugwu, nke dabere n'ịmụ nkụnye eji isi mee na data anụ ahụ nke ngwugwu ọ bụla na nnọkọ ọ mejupụtara, nyocha usoro na-adabere na ịnakọta metadata gbasara okporo ụzọ netwọkụ. Mgbe, ole, site na ebe na ebe, kedu... ndị a bụ ajụjụ ndị a zara site na nyocha nke telemetry netwọk site na iji usoro ịgba ọsọ dị iche iche. Na mbụ, a na-eji ha nyochaa ọnụ ọgụgụ ma chọpụta nsogbu IT na netwọk, ma mgbe ahụ, ka usoro nyocha mepụtara, ọ bịara kwe omume itinye ha na otu telemetry maka ebumnuche nchekwa. Ọ dị mma ịrịba ama ọzọ na nyocha mmiri adịghị edochi ma ọ bụ dochie ngwugwu ngwugwu. Nke ọ bụla n'ime ụzọ ndị a nwere mpaghara ngwa nke ya. Mana n'ihe gbasara isiokwu a, ọ bụ nyocha mmiri nke kacha mma maka nlekota akụrụngwa nke ime. Ị nwere ngwaọrụ netwọkụ (ma ha na-arụ ọrụ na ngwa ngwa akọwapụtara ma ọ bụ dịka iwu kwụ ọtọ) na mwakpo enweghị ike ịgafe. Ọ nwere ike gafere ihe mmetụta IDS kpochapụrụ, mana ngwaọrụ netwọk na-akwado usoro ịgbasa enweghị ike. Nke a bụ uru nke usoro a.

N'aka nke ọzọ, ọ bụrụ na ịchọrọ ihe akaebe maka ndị mmanye iwu ma ọ bụ ndị otu nyocha ihe merenụ, ị nweghị ike ime na-enweghị njide ngwugwu - telemetry netwọk abụghị otu okporo ụzọ nke enwere ike iji nakọta ihe akaebe; ọ dị mkpa maka nchọpụta ngwa ngwa na ime mkpebi n'ihe gbasara nchekwa ozi. N'aka nke ọzọ, site na iji nyocha telemetry, ị nwere ike "dee" ọ bụghị okporo ụzọ netwọkụ niile (ọ bụrụ na ihe ọ bụla, Cisco na-emekọ ihe na ebe data :-), ma ọ bụ naanị nke a gụnyere na mbuso agha. Ngwa nyocha nke telemetry na nke a ga-emeju usoro njide ọdịnala nke ọma, na-enye iwu maka ijide na nchekwa nhọrọ. Ma ọ bụghị ya, ị ga-enwe nnukwu akụrụngwa nchekwa.

Ka anyị were ya na netwọkụ na-arụ ọrụ na ọsọ nke 250 Mbit / sk. Ọ bụrụ na ịchọrọ ịchekwa olu a niile, mgbe ahụ, ị ​​​​ga-achọ 31 MB nke nchekwa maka otu sekọnd nke nnyefe okporo ụzọ, 1,8 GB maka otu nkeji, 108 GB maka otu awa, na 2,6 TB maka otu ụbọchị. Iji chekwaa data kwa ụbọchị site na netwọk nwere bandwit nke 10 Gbit/s, ị ga-achọ 108 TB nke nchekwa. Mana ụfọdụ ndị na-achịkwa na-achọ ịchekwa data nchekwa ruo ọtụtụ afọ ... Ndekọ na-achọrọ, nke nyocha mmiri na-enyere gị aka mejuputa, na-enyere aka belata ụkpụrụ ndị a site na iwu nke ịdị ukwuu. Site n'ụzọ, ọ bụrụ na anyị na-ekwu banyere ruru nke olu nke e dekọrọ netwọk telemetry data na zuru ezu data ijide, mgbe ahụ, ọ bụ ihe dị ka 1 ka 500. N'ihi na otu ụkpụrụ nyere n'elu, na-echekwa a zuru transcript nke niile kwa ụbọchị okporo ụzọ. ga-abụ 5 na 216 GB, n'otu n'otu (ịnwere ike ịdekọ ya na draịva mgbe niile).

Ọ bụrụ na maka ngwaọrụ maka nyochaa data netwọk raw, usoro nke ijide ya bụ ihe fọrọ nke nta ka ọ bụrụ otu ihe ahụ site na onye na-ere ahịa na onye na-ere ahịa, mgbe ahụ n'ihe gbasara nyocha nke mmiri, ọnọdụ ahụ dị iche. Enwere ọtụtụ nhọrọ maka usoro ịgba ọsọ, ihe dị iche iche nke ịchọrọ ịma gbasara ihe gbasara nchekwa. Nke kacha ewu ewu bụ usoro Netflow nke Cisco mepụtara. Enwere ọtụtụ ụdị nke protocol a, dị iche na ike ha yana ọnụọgụ ozi okporo ụzọ edere. Ụdị dị ugbu a bụ nke itoolu (Netflow v9), na ndabere nke e mepụtara ọkọlọtọ Netflow v10, nke a makwaara dị ka IPFIX. Taa, ọtụtụ ndị na-ere netwọk na-akwado Netflow ma ọ bụ IPFIX na akụrụngwa ha. Mana enwere nhọrọ ndị ọzọ dị iche iche maka usoro ịgba ọsọ - sFlow, jFlow, cFlow, rFlow, NetStream, wdg, nke sFlow kacha ewu ewu. Ọ bụ ụdị a na-akwadokarị ndị na-emepụta ụlọ nke akụrụngwa netwọk n'ihi ịdị mfe nke mmejuputa ya. Kedu ihe bụ isi ọdịiche dị n'etiti Netflow, nke ghọrọ ọkọlọtọ de facto, na sFlow? M ga-akọwapụta ọtụtụ isi. Nke mbu, Netflow nwere ubi nwere ike ime ka onye ọrụ na-agbanwe agbanwe na sFlow. Na nke abụọ, na nke a bụ ihe kasị mkpa na anyị ikpe, sFlow na-anakọta ihe a na-akpọ sampled telemetry; n'ụzọ dị iche na nke na-enweghị atụ maka Netflow na IPFIX. Kedu ihe dị iche n'etiti ha?

Were ya na i kpebiri ịgụ akwụkwọ ahụ "Ụlọ Ọrụ Nchekwa: Ụlọ, Ịrụ ọrụ, na Ịkwado SOC gị" nke ndị ọrụ ibe m - Gary McIntyre, Joseph Munitz na Nadem Alfardan (ị nwere ike ibudata akụkụ nke akwụkwọ ahụ site na njikọ ahụ). Ị nwere nhọrọ atọ iji nweta ebumnobi gị - gụọ akwụkwọ ahụ dum, gbanye ya, kwụsị na ibe 10 ma ọ bụ 20 ọ bụla, ma ọ bụ gbalịa ịchọta nkọwa nke isi echiche na blọgụ ma ọ bụ ọrụ dịka SmartReading. Yabụ, telemetry na-enweghị atụ na-agụ “ibe” ọ bụla nke okporo ụzọ netwọkụ, ya bụ, na-enyocha metadata maka ngwugwu ọ bụla. Samplet telemetry bụ ahọpụtara ọmụmụ okporo ụzọ na-atụ anya na nlele ahọpụtara ga-enwe ihe ịchọrọ. Dabere na ọsọ ọwa, a ga-eziga telemetry sampled maka nyocha kwa 64th, 200th, 500th, 1000th, 2000th ma ọ bụ ọbụna ngwugwu 10000th.

N'ihe gbasara nleba anya nchekwa ozi, nke a pụtara na telemetry sample dabara adaba maka ịchọpụta ọgụ DDoS, nyocha na ịgbasa koodu ọjọọ, mana ọ nwere ike tufuo mwakpo atomic ma ọ bụ ọtụtụ ngwugwu nke etinyeghị na nlele ezigara maka nyocha. Telemetry na-enweghị atụ enweghị ọghọm dị otú ahụ. Site na nke a, nsonazụ nke mwakpo achọpụtara dị ukwuu karịa. Nke a bụ ndepụta dị mkpirikpi nke ihe omume enwere ike ịchọpụta site na iji ngwaọrụ nyocha netwọkụ telemetry.

N'ezie, ụfọdụ ihe nyocha Netflow na-emeghe agaghị ekwe ka ịme nke a, ebe ọ bụ na isi ọrụ ya bụ ịnakọta telemetry wee mee nyocha bụ isi na ya site na echiche IT. Iji chọpụta ihe egwu nchekwa ozi dabere na ntinye, ọ dị mkpa ịkwado onye nyocha ya na injin dị iche iche na algọridim, nke ga-achọpụta nsogbu cybersecurity dabere na ọkọlọtọ ma ọ bụ mpaghara Netflow omenala, na-eme ka data ọkọlọtọ nwee data mpụga sitere na isi mmalite ọgụgụ isi iyi egwu, wdg.

Ya mere, ọ bụrụ na ị nwere nhọrọ, họrọ Netflow ma ọ bụ IPFIX. Ma ọbụlagodi na akụrụngwa gị na-arụ ọrụ naanị na sFlow, dị ka ndị na-emepụta ụlọ, mgbe ahụ ọbụlagodi na nke a ị nwere ike irite uru na ya na ọnọdụ nchekwa.

N'oge okpomọkụ nke 2019, enyochara m ike nke ndị na-emepụta ngwaike netwọkụ Russia nwere na ha niile, ewezuga NSG, Polygon na Craftway, kwupụtara nkwado maka sFlow (opekata mpe Zelax, Natex, Eltex, QTech, Rusteleteh).

Ajụjụ na-esote ị ga-eche ihu bụ ebe ị ga-emejuputa nkwado mmiri maka ebumnuche nchekwa? N'ezie, a jụrụ ajụjụ a nke ọma. Ngwa ọgbara ọhụrụ ọ fọrọ nke nta ka ọ bụrụ mgbe niile na-akwado usoro ịgbasa. Ya mere, m ga-emegharị ajụjụ ahụ n'ụzọ dị iche - kedu ka ọ kacha dị irè ịnakọta telemetry site na echiche nchekwa? Azịza ya ga-abụ nke doro anya - na ọkwa ịnweta, ebe ị ga-ahụ 100% nke okporo ụzọ niile, ebe ị ga-enwe ozi zuru ezu na ndị ọbịa (MAC, VLAN, interface ID), ebe ị nwere ike ọbụna nyochaa okporo ụzọ P2P n'etiti ndị ọbịa, nke dị oke mkpa maka nyocha nyocha na nkesa koodu ọjọọ. N'ogo isi, ị nwere ike ị gaghị ahụ ụfọdụ okporo ụzọ, mana n'ogo okirikiri, ị ga-ahụ otu ụzọ n'ụzọ anọ nke okporo ụzọ netwọkụ gị niile. Ma ọ bụrụ n'ihi ihe ụfọdụ ị nwere ngwaọrụ ndị mba ọzọ na netwọk gị nke na-enye ndị na-awakpo ohere "ịbanye ma pụọ ​​​​na" na-agaghị agafe gburugburu, mgbe ahụ nyochaa telemetry na ya agaghị enye gị ihe ọ bụla. Ya mere, maka mkpuchi kachasị, a na-atụ aro ka ị mee ka nchịkọta telemetry na ọkwa ohere. N'otu oge ahụ, ọ bụ ihe kwesịrị ịrịba ama na ọbụna ma ọ bụrụ na anyị na-ekwu banyere virtualization ma ọ bụ containers, eruba nkwado a na-ahụkarị na nke oge a mebere switches, nke na-enye gị ohere ijikwa okporo ụzọ ebe ahụ.

Ma ebe ọ bụ na m welitere isiokwu a, m kwesịrị ịza ajụjụ a: gịnị ma ọ bụrụ na akụrụngwa, anụ ahụ ma ọ bụ mebere, anaghị akwado eruba ogbugba ndu? Ma ọ bụ amachibidoro nsonye ya (dịka ọmụmaatụ, na ngalaba mmepụta ihe iji hụ na a pụrụ ịdabere na ya)? Ma ọ bụ ịgbanye ya na-eduga na ibu CPU dị elu (nke a na-eme na ngwaike ochie)? Iji dozie nsogbu a, e nwere pụrụ iche mebere sensọ (flow sensọ), nke bụ n'ezie nkịtị splitters na-agafe okporo ụzọ site onwe ha na-agbasa ya n'ụdị eruba na mkpokọta modul. N'ezie, na nke a, anyị na-enweta nsogbu niile anyị kwuru banyere ya n'elu gbasara ngwugwu ngwugwu. Ya bụ, ịkwesịrị ịghọta ọ bụghị naanị uru nke teknụzụ nyocha mmiri, kamakwa oke ya.

Isi ihe ọzọ dị mkpa icheta mgbe ị na-ekwu maka ngwaọrụ nyocha mmiri. Ọ bụrụ na n'ihe gbasara ụzọ a na-emekarị nke ịmepụta ihe nchekwa, anyị na-eji EPS metric (omume kwa nkeji), mgbe ahụ ihe ngosi a adịghị adaba na nyocha telemetry; FPS (na-asọ kwa nkeji) dochie ya. Dị ka ọ dị n'ihe gbasara EPS, enweghị ike ịgbakọ ya tupu oge eruo, mana ị nwere ike ịkọwa ọnụọgụ ọnụọgụ nke otu ngwaọrụ na-ewepụta dabere na ọrụ ya. Ị nwere ike ịchọta tebụl na Ịntanetị nwere ụkpụrụ dị ka maka ụdị ngwaọrụ na ọnọdụ dị iche iche nke ụlọ ọrụ, nke ga-enye gị ohere ikpebi ụdị ikikere ịchọrọ maka ngwaọrụ nyocha na ihe nhazi ha ga-abụ? Nke bụ eziokwu bụ na ihe mmetụta IDS na-ejedebe site na ụfọdụ bandwit na ọ nwere ike "ịdọrọ", na onye na-anakọta eruba nwere njedebe nke ya nke a ghaghị ịghọta. Ya mere, na nnukwu, netwọk nke kesara na mpaghara na-enwekarị ọtụtụ ndị nchịkọta. Mgbe m kọwara otu esi enyocha netwọk n'ime Cisco, Enyerela m ọnụ ọgụgụ nke ndị na-anakọta anyị - e nwere 21 n'ime ha. Na nke a bụ maka netwọk gbasasịrị na mpaghara ise na ọnụ ọgụgụ ihe dị ka ọkara nde ngwaọrụ na-arụ ọrụ).

Anyị na-eji ngwọta nke anyị dị ka usoro nlekota Netflow Cisco Stealthwatch, nke a na-elekwasị anya kpọmkwem n'ịgwọ nsogbu nchekwa. Ọ nwere ọtụtụ engines arụnyere maka ịchọpụta ihe na-adịghị mma, nke na-enyo enyo na nke doro anya na arụrụ ọrụ ọjọọ, nke na-enye gị ohere ịchọpụta ụdị egwu dị iche iche dị iche iche - site na cryptomining na ntanye ozi, site na mgbasa ozi koodu ọjọọ na aghụghọ. Dị ka ọtụtụ ndị na-enyocha mmiri na-asọ asọ, a na-ewu Stealthwatch dịka atụmatụ ọkwa atọ (generator - Collector - analyzer), ma a na-agbakwunye ya na ọtụtụ ihe ndị na-adọrọ mmasị bụ ndị dị mkpa n'ihe gbasara ihe a na-atụle. Nke mbụ, ọ na-ejikọta ya na ngwọta njide ngwugwu (dị ka Cisco Security Packet Analyzer), nke na-enye gị ohere ịdekọ oge netwọk ahọpụtara maka nyocha na nyocha miri emi emechaa. Nke abuo, kpọmkwem iji gbasaa ọrụ nchekwa, anyị emepụtala usoro nvzFlow pụrụ iche, nke na-enye gị ohere "ịgbasa" ọrụ nke ngwa na njedebe njedebe (sava, ebe ọrụ, wdg) n'ime telemetry ma nyefee ya na onye nchịkọta maka nyocha ọzọ. Ọ bụrụ na ụdị nke mbụ Stealthwatch na-arụ ọrụ na usoro ọ bụla na-asọpụta (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) na ọkwa netwọkụ, mgbe ahụ nkwado nvzFlow na-enye ohere njikọ data na ọkwa ọnụ, si otú ahụ. na-abawanye arụmọrụ nke usoro dum na ịhụ ọgụ karịa ndị na-enyocha ihe ntanetị nke netwọkụ.

O doro anya na mgbe ị na-ekwu maka usoro nyocha Netflow site na nche nche, ahịa ejedebeghị na otu ngwọta sitere na Cisco. Ị nwere ike iji ma azụmahịa na free ma ọ bụ shareware ngwọta. Ọ bụ ihe ijuanya ma ọ bụrụ na m na-ehota ihe ngwọta ndị asọmpi dị ka ihe atụ na blọọgụ Cisco, n'ihi ya, m ga-ekwu okwu ole na ole banyere otu esi enyocha telemetry netwọk site na iji abụọ ewu ewu, nke yiri aha, ma ka dị iche iche ngwaọrụ - SiLK na ELK.

SiLK bụ ngwa ọrụ (Sistemụ maka Ọmụma Ọkwa Ịntanetị) maka nyocha okporo ụzọ, nke American CERT/CC mepụtara na nke na-akwado, na isiokwu nke taa, Netflow (5th na 9th, nsụgharị kachasị ewu ewu), IPFIX. na sFlow na iji ngwa dị iche iche (rwfilter, rwcount, rwflowpack, wdg) rụọ ọrụ dị iche iche na telemetry netwọk iji chọpụta ihe ịrịba ama nke omume na-akwadoghị na ya. Ma e nwere isi ihe abụọ dị mkpa ị ga-amata. SiLK bụ ngwa ahịrị iwu nke na-eme nyocha ntanetị site na itinye iwu dị ka nke a (nchọpụta ngwugwu ICMP buru ibu karịa 200 bytes):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

adịghị mma nke ukwuu. Ị nwere ike iji iSiLK GUI, mana ọ gaghị eme ka ndụ gị dịkwuo mfe, naanị na-edozi ọrụ nhụta na ọ bụghị dochie onye nyocha. Ma nke a bụ isi ihe nke abụọ. N'adịghị ka ngwọta azụmahịa, nke nweelarị ntọala nyocha siri ike, algọridim nchọpụta anomaly, usoro ọrụ kwekọrọ, wdg, n'ihe banyere SiLK, ị ga-eme ihe a niile n'onwe gị, nke ga-achọ ikike dịtụ iche n'aka gị karịa site na iji ugbua njikere. ihe eji eme ihe. Nke a abụghị ihe dị mma ma ọ bụ ihe ọjọọ - nke a bụ akụkụ nke ihe fọrọ nke nta ka ọ bụrụ ngwá ọrụ ọ bụla n'efu nke na-eche na ị maara ihe ị ga-eme, ọ ga-enyere gị aka na nke a (ngwaọrụ azụmahịa na-adabere na ikike nke ndị ọrụ ya, n'agbanyeghị na ha na-echekwa. na ndị nyocha na-aghọta ma ọ dịkarịa ala isi ihe nyocha netwọkụ na nlekota oru). Mana ka anyị laghachi na SiLK. Usoro ọrụ onye nyocha na ya dị ka nke a:

• Ịmepụta hypothesis. Anyị ga-aghọta ihe anyị ga-achọ n'ime netwọk telemetry, mara àgwà pụrụ iche nke anyị ga-eji mata ụfọdụ anomalies ma ọ bụ egwu.
• Ịrụ ihe nlereanya. N'ịmepụta echiche, anyị na-eji otu Python, shei ma ọ bụ ngwaọrụ ndị ọzọ etinyeghị na SiLK.
• Nnwale. Ọ bụ oge ịlele izi ezi nke echiche anyị, nke akwadoro ma ọ bụ gbaghaa site na iji ọrụ SiLK malite na 'rw', 'set', 'akpa'.
• Nyocha nke ezigbo data. N'ime ọrụ mmepụta ihe, SiLK na-enyere anyị aka ịmata ihe na onye nyocha ahụ aghaghị ịza ajụjụ ndị a "Ànyị chọtara ihe anyị tụrụ anya ya?", "Nke a ọ kwekọrọ n'echiche anyị?"," Otu esi ebelata ọnụ ọgụgụ nke ụgha ụgha?" iji kwalite ọkwa njirimara? were gabazie.
• Mmelite. N'oge ikpeazụ, anyị na-emeziwanye ihe emere na mbụ - anyị na-emepụta ndebiri, melite ma kwalite koodu ahụ, gbanwee ma dokwuo anya echiche, wdg.

Usoro a ga-adabakwa na Cisco Stealthwatch, naanị nke ikpeazụ na-emezi usoro ise ndị a ruo nke kachasị, na-ebelata ọnụ ọgụgụ nke njehie nyocha na ịbawanye arụmọrụ nke nchọpụta ihe merenụ. Dịka ọmụmaatụ, na SiLK ị nwere ike ime ka ọnụ ọgụgụ netwọk dịkwuo elu na data mpụga na IP ọjọọ site na iji script ejiri aka dee, na na Cisco Stealthwatch ọ bụ ọrụ arụnyere na-egosipụta ozugbo ma ọ bụrụ na okporo ụzọ netwọk nwere mmekọrịta na adreesị IP site na blacklist.

Ọ bụrụ n’ịga n’elu pyramid “akwụ ụgwọ” maka sọftụwia nyocha mmiri, mgbe ahụ mgbe SiLK zuru oke, a ga-enwe shareware ELK, nke nwere isi ihe atọ - Elasticsearch (indexing, searching and data analysis), Logstash (ntinye / mmepụta data). ) na Kibana ( visualization). N'adịghị ka SiLK, ebe ị ga-ede ihe niile n'onwe gị, ELK enweelarị ọtụtụ ụlọ akwụkwọ / modul emebere (ụfọdụ akwụ ụgwọ, ụfọdụ anaghị) na-emezi nyocha nke telemetry netwọkụ. Dịka ọmụmaatụ, nzacha GeoIP dị na Logstash na-enye gị ohere ijikọ adreesị IP elele anya na ọnọdụ mpaghara ha (Stealthwatch nwere njirimara arụnyere a).

ELK nwekwara nnukwu obodo na-emecha ihe ndị na-efu maka ngwọta nleba anya a. Dịka ọmụmaatụ, iji rụọ ọrụ na Netflow, IPFIX na sFlow ị nwere ike iji modul elastiflow, ma ọ bụrụ na afọ ojujughị gị na Logstash Netflow Module, nke na-akwado naanị Netflow.

Ka ọ na-enyekwu arụmọrụ n'ịchịkọta ọsọ na ịchọ na ya, ELK enweghị ugbu a nyocha arụnyere bara ụba maka ịchọpụta anomalies na ihe iyi egwu na telemetry netwọkụ. Ya bụ, na-eso usoro ndụ nke akọwara n'elu, ị ga-enwe ike ịkọwa onwe gị ụdị mmebi iwu wee jiri ya na usoro ọgụ (ọ nweghị ụdị arụnyere n'ebe ahụ).

E nwere, n'ezie, ọzọ ọkaibe extensions maka ELK, nke nwere ugbua nwere ụfọdụ ụdị maka ịchọpụta anomalies na netwọk telemetry, ma ndị dị otú ahụ extensions na-eri ego na ajụjụ bụ ma egwuregwu bara uru kandụl - dee ihe nlereanya yiri onwe gị, zụta ya mmejuputa iwu. maka ngwaọrụ nleba anya gị, ma ọ bụ zụta ngwọta emebere nke klas Analysis Traffic Network.

N'ozuzu, Achọghị m ịbanye na arụmụka na ọ ka mma iji ego na ịzụta ihe ngwọta dị njikere maka nlekota anomalies na egwu na netwọk telemetry (dịka ọmụmaatụ, Cisco Stealthwatch) ma ọ bụ chọpụta ya onwe gị ma hazie otu ihe ahụ. SiLK, ELK ma ọ bụ nfdump ma ọ bụ OSU Flow Tools maka iyi egwu ọhụrụ ọ bụla ( Ana m ekwu maka abụọ ikpeazụ n'ime ha. gwara oge ikpeazụ)? Onye ọ bụla na-ahọrọ onwe ya na onye ọ bụla nwere ebumnobi ya maka ịhọrọ nke ọ bụla n'ime nhọrọ abụọ ahụ. Achọrọ m igosi na telemetry netwọkụ bụ ngwá ọrụ dị oke mkpa iji hụ na nchekwa netwọkụ nke akụrụngwa dị n'ime gị na ị gaghị eleghara ya anya, ka ị ghara ịbanye na ndepụta nke ụlọ ọrụ ndị a kpọtụrụ aha na mgbasa ozi yana epithets " hacked", "anaghị akwado ihe nchekwa ozi", "na-echeghị maka nchekwa nke data ha na data ndị ahịa."

Iji chịkọta, ọ ga-amasị m ịdepụta ndụmọdụ ndị dị mkpa ị kwesịrị ịgbaso mgbe ị na-ewu nlekota nchekwa ozi nke akụrụngwa ime gị:

1. Ejila onwe gị naanị n'okirikiri! Jiri (ma họrọ) akụrụngwa netwọkụ ọ bụghị naanị ịkwaga okporo ụzọ site na isi A ruo n'ókè B, kamakwa iji lebara nsogbu cybersecurity anya.
2. Mụta usoro nlekota nchekwa ozi dị na akụrụngwa netwọk gị wee jiri ha.
3. Maka nleba anya n'ime, nye mmasị na nyocha telemetry - ọ na-enye gị ohere ịchọpụta ihe ruru 80-90% nke ihe nchekwa ozi netwọkụ niile, ebe ị na-eme ihe na-agaghị ekwe omume mgbe ị na-ewere ngwugwu netwọkụ na-echekwa ohere maka ịchekwa ihe omume nchekwa ozi niile.
4. Iji nyochaa ọsọ, jiri Netflow v9 ma ọ bụ IPFIX - ha na-enye ozi ndị ọzọ na ọnọdụ nchekwa ma nye gị ohere inyocha ọ bụghị naanị IPv4, kamakwa IPv6, MPLS, wdg.
5. Jiri protocol eruba na-enweghị atụ - ọ na-enye ozi ndị ọzọ maka ịchọpụta ihe egwu. Dịka ọmụmaatụ, Netflow ma ọ bụ IPFIX.
6. Lelee ibu dị na akụrụngwa netwọkụ gị - ọ nwere ike ọ gaghị enwekwa ike ijikwa usoro mgbaba. Mgbe ahụ tụlee iji mebere sensọ ma ọ bụ Netflow Generation Appliance.
7. Mejuputa njikwa nke mbụ na ọkwa ohere - nke a ga-enye gị ohere ịhụ 100% nke okporo ụzọ niile.
8. Ọ bụrụ na ịnweghị nhọrọ ma ị na-eji akụrụngwa netwọkụ Russia, họrọ nke na-akwado usoro ịgbasa ma ọ bụ nwee ọdụ ụgbọ mmiri SPAN/RSPAN.
9. Jikọta intrusion / mbuso agha nchọpụta / mgbochi usoro na nsọtụ na usoro nyocha usoro na netwọk dị n'ime (gụnyere na ígwé ojii).

Banyere ndụmọdụ ikpeazụ, ọ ga-amasị m ịnye ihe atụ nke m nyeburu na mbụ. Ị na-ahụ na ọ bụrụ na mbụ ọrụ nchekwa ozi Cisco fọrọ nke nta ka ọ bụrụ kpamkpam wuru usoro nlekota nchekwa ozi ya na ndabere nke usoro nchọpụta intrusion na ụzọ mbinye aka, ugbu a, ha na-aza naanị 20% nke ihe omume. 20% ọzọ na-adaba na usoro nyocha nke usoro mmiri, nke na-egosi na ngwọta ndị a abụghị ihe efu, kama ọ bụ ezigbo ngwá ọrụ na ọrụ nke ọrụ nchekwa ozi nke ụlọ ọrụ ọgbara ọhụrụ. Ọzọkwa, ị nwere ihe kachasị mkpa maka mmejuputa ha - akụrụngwa netwọkụ, ntinye ego nke enwere ike ichebekwu ya site na ịnye ọrụ nlekota nchekwa ozi na netwọkụ.

Adịghị m emetụ n'ahụ isiokwu nke ịzaghachi anomalies ma ọ bụ egwu ndị a chọpụtara na netwọk netwọk, ma echere m na o doro anya na nleba anya ekwesịghị ịkwụsị naanị na nchọpụta nke iyi egwu. Ekwesịrị ịgbaso ya na nzaghachi yana ọkacha mma na ọnọdụ akpaka ma ọ bụ akpaaka. Mana nke a bụ isiokwu maka edemede dị iche.

Ozi ndi ozo:

• Nkọwa nke Cisco IOS Netflow
• Netflow nkwado matrix dị iche iche Cisco ngwọta
• Ntuziaka maka ịhazi Netflow na Platform Cisco dị iche iche
• Ogbe sFlow
• Lab na-eji Stealtjwatch, SiLK na ELK iji nyochaa Netflow site n'echiche nchekwa
• Ebe nrụọrụ weebụ SiLK
• Ntuziaka peeji narị atọ maka iji SiLK nwere ọtụtụ atụ
• Logstash Netflow Module
• Ntuziaka nzọụkwụ site na Cisco maka nyocha Netflow na ELK
• Nyocha nke NetFlow v.9 Cisco ASA site na iji Logstash (ELK)
• Cisco Stealthwatch Solution

PS. Ọ bụrụ na ọ dịrị gị mfe ịnụ ihe niile e dere n'elu, ị nwere ike ilele ihe ngosi na-ewe awa nke hiwere ntọala nke ndetu a.

isi: www.habr.com