Protokolên herikînê wekî amûrek ji bo şopandina ewlehiya torê ya hundurîn

Dema ku dor tê ser çavdêriya ewlehiya torê pargîdaniyek hundurîn an dezgehî, pir kes wê bi kontrolkirina lepikên agahdarî û bicîhanîna çareseriyên DLP re têkildar dikin. Û heke hûn hewl bidin ku pirsê zelal bikin û bipirsin ka hûn çawa êrişên li ser tora navxweyî nas dikin, wê hingê bersiv dê, wekî qaîdeyek, behskirina pergalên tespîtkirina destavêtinê (IDS) be. Û ya ku 10-20 sal berê tekane vebijark bû, îro dibe anakronîzm. Ji bo şopandina torgilokek hundurîn vebijarkek bi bandortir, û li hin deran, yekane vebijarkek mimkun heye - karanîna protokolên herikînê, yên ku bi eslê xwe ji bo lêgerîna pirsgirêkên torê (çareserkirin) hatine çêkirin, lê bi demê re veguherî amûrek ewlehiyê ya pir balkêş. Em ê bipeyivin ka kîjan protokolên herikînê hene û kîjan di tespîtkirina êrîşên torê de çêtir in, li ku derê çêtirîn e ku meriv çavdêriya herikînê bicîh bîne, dema danîna nexşeyek wusa li çi bigerin, û tewra meriv çawa van hemîyan li ser alavên navxweyî "hilkişîne". di çarçoveya vê gotarê de.

Ez ê li ser pirsa "Çima çavdêriya ewlehiya binesaziya navxweyî hewce ne?" Bersiv xuya dike ku zelal e. Lê heke, dîsa jî, hûn dixwazin careke din piştrast bikin ku îro hûn nikarin bêyî wê bijîn, binêrin Vîdyoyek kurt li ser ka hûn çawa dikarin bi 17 awayan têkevin torgilokek pargîdanî ya ku ji hêla dîwarê agir ve tê parastin. Ji ber vê yekê, em ê texmîn bikin ku em fêm dikin ku çavdêriya navxweyî tiştek pêdivî ye û ya ku dimîne ev e ku meriv fêm bike ka ew çawa dikare were organîze kirin.

Ez ê sê çavkaniyên daneyê yên sereke ji bo şopandina binesaziya di asta torê de ronî bikim:

• seyrûsefera "xav" a ku em digirin û ji bo analîzê dişînin hin pergalên analîzê,
• bûyerên ji cîhazên torê yên ku seyrûsefer tê de derbas dibe,
• agahdariya trafîkê bi yek ji protokolên herikînê ve hatî wergirtin.

Girtina seyrûsefera xav di nav pisporên ewlehiyê de vebijarka herî populer e, ji ber ku ew di dîrokê de xuya bû û yekem bû. Pergalên tespîtkirina ketina tora kevneşopî (yekemîn pergala tespîtkirina destwerdanê ya bazirganî NetRanger bû ji Koma Wheel, ku di sala 1998-an de ji hêla Cisco ve hatî kirîn) bi tam di girtina pakêtan de (û danişînên paşerojê) yên ku tê de hin îmza dihatin dîtin ("qanûnên biryardar" li termînolojiya FSTEC), êrîşên nîşankirinê. Bê guman, hûn dikarin seyrûsefera xav ne tenê bi karanîna IDS-ê, lê di heman demê de amûrên din jî bikar bînin (mînakî, Wireshark, tcpdum an fonksiyona NBAR2 di Cisco IOS-ê de), lê ew bi gelemperî bingeha zanînê tune ku amûrek ewlehiya agahdariyê ji amûrek birêkûpêk cuda dike. Amûra IT.

Ji ber vê yekê, pergalên tespîtkirina êrîşê. Rêbaza herî kevn û herî populer a tespîtkirina êrişên torê, ku di perimeterê de karekî baş dike (çi dibe bila bibe - pargîdanî, navenda daneyê, beş, hwd.), Lê di torên nûjen ên guhezbar û nermalava-dîyarkirî de têk diçe. Di rewşa torgilokek ku li ser bingeha guheztinên kevneşopî hatî çêkirin de, binesaziya senzorên tespîtkirina êrîşê pir mezin dibe - hûn neçar in ku li ser her girêdanek bi girêka ku hûn dixwazin êrîşan bişopînin senzorek saz bikin. Her çêker, bê guman, dê kêfxweş bibe ku bi sed û hezaran sensoran bifroşe we, lê ez difikirim ku budceya we nikare lêçûnên weha piştgirî bike. Ez dikarim bibêjim ku tewra li Cisco-yê (û em pêşdebirên NGIPS in) me nekarî vê yekê bikin, her çend wusa dixuye ku pirsgirêka bihayê li pêşiya me ye. Divê ez nesekinim - ew biryara me bi xwe ye. Wekî din, pirs derdikeve holê, meriv çawa di vê guhertoyê de senzorê ve girêdide? Di nav valahiyê de? Ger senzor bixwe têk biçe? Di senzorê de modulek derbazkirinê hewce dike? Parçekeran bikar bînin (tap)? Hemî ev çareseriyê bihatir dike û ji bo pargîdaniyek her mezinahiyê wê neçar dike.

Hûn dikarin biceribînin ku senzorê li ser portek SPAN/RSPAN/ERSPAN "daliqînin" û seyrûseferê ji benderên guheztinê yên hewce ber bi wê ve rasterast bikin. Ev vebijark pirsgirêka ku di paragrafa berê de hatî diyar kirin bi qismî ji holê radike, lê yekî din derdixe holê - porta SPAN nikare bi tevahî seyrûsefera ku dê jê re were şandin qebûl bike - ew ê têra bandê tune be. Divê hûn tiştekî bikin qurban. An hin girêkan bêyî çavdêrîkirinê bihêlin (wê hingê hûn hewce ne ku pêşî li wan bigirin), an ne hemî seyrûseferê ji nodê, lê tenê celebek diyar bişînin. Di her rewşê de, dibe ku em hin êrîşan winda bikin. Wekî din, porta SPAN dikare ji bo hewcedariyên din were bikar anîn. Wekî encamek, em ê neçar bimînin ku topolojiya torê ya heyî binirxînin û dibe ku li ser wê verastkirinê bikin da ku tora we bi hejmara senzorên we re herî zêde veşêrin (û vê yekê bi IT-ê re hevrêz bikin).

Ger tora we rêyên asimetrîk bikar bîne? Ger we SDN bicîh anîbe an jî hûn plan dikin ku bicîh bikin? Ger hewce be ku hûn makîneyên virtual an konteynerên ku seyrûsefera wan qet nagihîje guheztina laşî bişopînin? Vana pirsên ku firoşkarên IDS yên kevneşopî jê hez nakin ji ber ku ew nizanin ka meriv çawa bersiva wan bide. Dibe ku ew ê we razî bikin ku hemî van teknolojiyên modêl hîpe ne û hûn jê re ne hewce ne. Dibe ku ew ê li ser hewcedariya destpêkirina piçûk biaxivin. An jî dibe ku ew ê bibêjin ku hûn hewce ne ku tîrêjek hêzdar li navenda torê deynin û hemî seyrûsefera wê bi karanîna balanskeran rêve bibin. Kîjan vebijark ji we re tê pêşkêş kirin, hûn hewce ne ku bi zelalî fêm bikin ka ew çawa ji we re tê. Û tenê piştî wê biryarê li ser hilbijartina nêzîkatiyek ji bo şopandina ewlehiya agahdariya binesaziya torê bidin. Di vegerê de girtina paketan, ez dixwazim bibêjim ku ev rêbaz berdewam e pir populer û girîng e, lê armanca wê ya sereke kontrolkirina sînor e; sînorên di navbera rêxistina we û Înternetê de, sînorên di navbera navenda daneyê û tevna mayî de, sînorên di navbera pergala kontrolkirina pêvajoyê û beşa pargîdanî de. Li van deran, IDS/IPS-a klasîk hîn jî xwedî maf e ku hebe û bi karên xwe re baş bimeşe.

Werin em biçin ser vebijarka duyemîn. Analîzkirina bûyerên ku ji cîhazên torê têne di heman demê de dikare ji bo mebestên tespîtkirina êrîşê were bikar anîn, lê ne wekî mekanîzmaya bingehîn, ji ber ku ew dihêle ku tenê çînek piçûk a destdirêjiyan were tespît kirin. Digel vê yekê, ew di hin reaktîvîteyê de xwerû ye - divê pêşî êrîş çêbibe, dûv re divê ew ji hêla amûrek torê ve were tomar kirin, ku bi rengekî an din dê pirsgirêkek ewlehiya agahdariyê nîşan bide. Çend rêyên wiha hene. Dibe ku ev syslog, RMON an SNMP be. Du protokolên paşîn ên ji bo şopandina torê di çarçoweya ewlehiya agahdariyê de tenê têne bikar anîn heke hewce be ku em êrişek DoS-ê li ser alavên torê bixwe tespît bikin, ji ber ku bi karanîna RMON û SNMP gengaz e, mînakî, çavdêriya barkirina li ser navendî ya cîhazê. processor an navrûyên wê. Ev yek ji "erzantirîn" e (her kes xwedan syslog an SNMP ye), di heman demê de ji hemî awayên çavdêriya ewlehiya agahdariya binesaziya navxweyî ya herî bêbandor e - gelek êrîş bi tenê ji wê têne veşartin. Bê guman, divê ew neyên paşguh kirin, û heman analîza syslogê ji we re dibe alîkar ku hûn di wextê xwe de guheztinên di veavakirina cîhazê de, lihevhatina wê nas bikin, lê ew ji bo tespîtkirina êrişên li ser tevahiya torê ne pir maqûl e.

Vebijarka sêyemîn analîzkirina agahdariya li ser seyrûsefera ku di nav amûrek ku yek ji çend protokolên herikînê piştgirî dike re derbas dibe analîz bike. Di vê rewşê de, bêyî ku protokolê be, binesaziya tîrêjê pêdivî ye ku ji sê beşan pêk tê:

• Çêkirin an hinardekirina herikînê. Ev rol bi gelemperî ji router, veguhezkerek an amûrek torê ya din re tête peywirdar kirin, ku, bi derbasbûna seyrûsefera torê di nav xwe de, dihêle hûn pîvanên sereke jê derxînin, ku dûv re ji modula berhevokê re têne şandin. Mînakî, Cisco protokola Netflow-ê ne tenê li ser rêgez û guhêrkan, tevî yên virtual û pîşesaziyê, lê di heman demê de li ser kontrolkerên bêtêl, dîwarên agir û tewra serveran jî piştgirî dike.
• Herikîna berhevkirinê. Bihesibînin ku torgilokek nûjen bi gelemperî ji yek amûrek torê zêdetir heye, pirsgirêka berhevkirin û berhevkirina herikînan derdikeve holê, ku bi karanîna bi navê kolektîf ve tê çareser kirin, ku herikên wergirtî pêvajoyê dikin û dûv re wan ji bo analîzê dişînin.
• Analîza herikînê Analîzker peywira rewşenbîrî ya sereke digire ser xwe û, bi sepandina algorîtmayên cihêreng li ser çeman, hin encaman derdixe. Mînakî, wekî beşek ji fonksiyonek IT-ê, analîzerek wusa dikare tengahiyên torê nas bike an profîla barkirina trafîkê ji bo xweşbîniya torê ya din analîz bike. Û ji bo ewlehiya agahdariyê, analîzatorek wusa dikare danûstendina daneyan, belavbûna koda xirab an êrişên DoS-ê tespît bike.

Nefikirin ku ev mîmariya sê-ast pir tevlihev e - hemî vebijarkên din (ji bilî, dibe ku pergalên çavdêriya torê yên bi SNMP û RMON re dixebitin) jî li gorî wê dixebitin. Ji bo analîzê jeneratorek daneya me heye, ku dikare amûrek torê an senzorek serbixwe be. Ji bo tevahiya binesaziya çavdêriyê pergalek berhevkirina alarmê û pergalek rêveberiyê ya me heye. Her du hêmanên paşîn dikarin di nav yek girêkek de werin berhev kirin, lê di torên kêm-zêde mezin de ew bi gelemperî li ser kêmî du cîhazan têne belav kirin da ku pîvan û pêbaweriyê misoger bikin.

Berevajî analîza pakêtê, ku li ser bingeha lêkolîna sernav û daneya laşê her pakêtê û danişînên ku ew jê pêk tê ve girêdayî ye, analîza herikînê xwe dispêre berhevkirina metadaneyên di derbarê seyrûsefera torê de. Kengî, çiqas, ji ku û li ku, çawa ... ev pirs in ku ji hêla analîzkirina telemetrîya torê ve bi karanîna protokolên cûrbecûr herikînê ve têne bersivandin. Di destpêkê de, ew ji bo analîzkirina statîstîkan û dîtina pirsgirêkên IT-ê li ser torê hatin bikar anîn, lê dûv re, her ku mekanîzmayên analîtîk pêş ketin, mimkun bû ku wan ji bo armancên ewlehiyê li heman telemetrîyê bicîh bikin. Dîsa hêjayî gotinê ye ku analîza herikînê şûna girtina pakêtê nagire an diguhezîne. Her yek ji van rêbazan qada xwe ya serîlêdanê heye. Lê di çarçoveya vê gotarê de, ew analîza herikînê ye ku ji bo şopandina binesaziya hundurîn çêtirîn e. Amûrên we yên torê hene (çi ew di paradîgmayek nermalava diyarkirî de an jî li gorî rêgezên statîk dixebitin) ku êrîşek nikare wan derbas bike. Ew dikare senzorek IDS ya klasîk derbas bike, lê amûrek torê ya ku protokola herikînê piştgirî dike nikare. Avantaja vê rêbazê ev e.

Ji hêla din ve, heke hûn ji bo dadrêsiya dadrêsî an tîmê xweya lêkolînê ya bûyerê delîl hewce bikin, hûn nekarin bêyî girtina pakêtê bikin - telemetriya torê ne kopiyek seyrûseferê ye ku dikare ji bo berhevkirina delîlan were bikar anîn; ew ji bo tespîtkirina bilez û biryargirtinê di warê ewlehiya agahdariyê de hewce ye. Ji hêla din ve, bi karanîna analîzên telemetrî, hûn dikarin ne hemî seyrûsefera torê "binivîsin" (heke hebe, Cisco bi navendên daneyê re mijûl dibe :-), lê tenê ya ku di êrîşê de têkildar e. Amûrên analîzkirina telemetrî di vî warî de dê mekanîzmayên girtina pakêtên kevneşopî baş temam bikin, fermanan ji bo girtin û hilanînê hilbijartî bidin. Wekî din, hûn neçar in ku binesaziyek hilanînê ya kolosal hebe.

Ka em toreke ku bi leza 250 Mbit/sek dixebite xeyal bikin. Ger hûn bixwazin vê hejmûnê hilînin, wê hingê hûn ê ji bo yek saniyeyek veguheztina trafîkê 31 MB hilanînê, ji bo yek hûrdemê 1,8 GB, ji bo saetekê 108 GB, û ji bo rojek 2,6 TB hewce ne. Ji bo hilanîna daneyên rojane yên ji torgilokek bi bandfirehiya 10 Gbit/s, hûn ê hewceyê 108 TB hilanînê bikin. Lê hin sazûman hewce ne ku daneyên ewlehiyê bi salan hilînin... Tomarkirina li ser daxwazê, ku analîza herikînê ji we re dibe alîkar ku hûn bicîh bikin, bi fermanên mezinbûnê re dibe alîkar ku van nirxan kêm bikin. Bi awayê, heke em li ser rêjeya rêjeya daneyên telemetrîya torê ya tomarkirî û girtina daneya tevahî biaxivin, wê hingê ew bi qasî 1 heya 500 e. Ji bo heman nirxên ku li jor hatine dayîn, tomarek tevahî ya hemî seyrûsefera rojane tomar dike. dê bibe 5 û 216 GB, bi rêzê (hûn dikarin wê li ser ajokerek birêkûpêk jî tomar bikin).

Ger ji bo amûrên ji bo analîzkirina daneyên torê yên xav, rêbaza girtina wê ji firoşkar heya firoşger hema hema yek e, wê hingê di mijara analîza herikînê de rewş cûda ye. Ji bo protokolên herikînê gelek vebijark hene, cûdahiyên ku hûn hewce ne ku di çarçoveya ewlehiyê de pê zanibin. Ya herî populer protokola Netflow e ku ji hêla Cisco ve hatî pêşve xistin. Gelek guhertoyên vê protokolê hene, ku di kapasîteyên wan de û hêjeya agahdariya trafîkê ya tomarkirî de cûda dibin. Guhertoya heyî nehemîn e (Netflow v9), li ser bingeha wê standarda pîşesaziyê Netflow v10, ku wekî IPFIX jî tê zanîn, hate pêşve xistin. Îro, piraniya firoşkarên torê di alavên xwe de Netflow an IPFIX piştgirî dikin. Lê ji bo protokolên herikînê vebijarkên cihêreng ên din hene - sFlow, jFlow, cFlow, rFlow, NetStream, hwd., ku ji wan sFlow ya herî populer e. Ev celeb e ku pir caran ji hêla hilberînerên navxweyî yên alavên torê ve ji ber hêsankirina pêkanîna wê tê piştgirî kirin. Cûdahiyên sereke di navbera Netflow, ku bûye standardek de facto, û sFlow de çi ne? Ez ê çend xalên sereke destnîşan bikim. Pêşîn, Netflow li dijî qadên sabît ên di sFlow-ê de zeviyên ku ji hêla bikarhêner ve têne vesaz kirin hene. Ya duyemîn jî, û ev di doza me de ya herî girîng e, sFlow bi navê telemetrîya nimûneyî berhev dike; berevajî ya bê nimûne ji bo Netflow û IPFIX. Ferqa di navbera wan de çi ye?

Bifikirin ku hûn biryar didin ku pirtûkê bixwînin "Navenda Operasyonên Ewlekariyê: Avakirin, xebitandin û domandina SOC-ya xwe” ya hevkarên min - Gary McIntyre, Joseph Munitz û Nadem Alfardan (hûn dikarin beşek pirtûkê ji lînkê dakêşin). Sê vebijarkên we hene ku hûn bigihîjin armanca xwe - tevahî pirtûkê bixwînin, wê bişopînin, li ser her rûpelê 10-an an 20-an rawestin, an jî hewl bidin ku li ser blogek an karûbarek mîna SmartReading vegotina têgehên sereke bibînin. Ji ber vê yekê, telemetrîya bê nimûne her "rûpel" seyrûsefera torê dixwîne, ango ji bo her pakêtê metadata analîz dike. Telemetrya nimûne lêkolînek bijartî ya seyrûseferê ye bi hêviya ku nimûneyên hilbijartî yên ku hûn hewce ne hebin. Bi leza kanalê ve girêdayî, telemetrîya nimûneyî dê her pakêta 64, 200, 500, 1000, 2000 an jî 10000emîn ji bo analîzê were şandin.

Di çarçoveya çavdêriya ewlehiya agahdariyê de, ev tê vê wateyê ku telemetriya nimûneyî ji bo tespîtkirina êrişên DDoS, şopandin, û belavkirina kodên xirab baş e, lê dibe ku êrişên atomî an pir-pakêtê yên ku di nimûneya ku ji bo analîzê hatî şandin de nehatine winda kirin. Telemetrya bê nimûne kêmasiyên weha nîne. Bi vê yekê re, rêza êrîşên hatine tespîtkirin pir berfirehtir dibe. Li vir navnîşek kurt a bûyerên ku dikarin bi karanîna amûrên analîzkirina telemetrîya torê werin tespît kirin heye.

Bê guman, hin analyzerê Netflow-a çavkaniya vekirî dê destûrê nede we ku hûn wiya bikin, ji ber ku peywira wê ya sereke berhevkirina telemetrî ye û analîzên bingehîn li ser wê ji nêrînek IT-ê de pêk tîne. Ji bo tesbîtkirina tehdîdên ewlehiya agahdariyê li ser bingeha herikînê, pêdivî ye ku analîzker bi motor û algorîtmayên cihêreng ve girêbide, ku dê, li ser bingeha zeviyên Netflow standard an xwerû, pirsgirêkên ewlehiya sîber nas bike, daneyên standard bi daneyên derveyî yên ji çavkaniyên cihêreng ên Istixbarata Gefê, û hwd. .

Ji ber vê yekê, heke we vebijarkek heye, wê hingê Netflow an IPFIX hilbijêrin. Lê her çend alavên we tenê bi sFlow-ê re, mîna hilberînerên navxweyî, bixebitin, wê hingê jî di vê rewşê de hûn dikarin di çarçoveyek ewlehiyê de jê sûd werbigirin.

Di havîna 2019-an de, min kapasîteyên ku hilberînerên hardware yên torê yên rûsî hene analîz kir û hemî wan, ji bilî NSG, Polygon û Craftway, piştgirî ji sFlow re ragihand (kêmtir Zelax, Natex, Eltex, QTech, Rusteleteh).

Pirsa din a ku hûn ê rû bi rû bimînin ev e ku meriv ji bo mebestên ewlehiyê piştgirîya herikînê li ku derê bicîh tîne? Bi rastî, pirs bi tevahî rast nehatiye danîn. Amûrên nûjen hema hema her gav protokolên herikînê piştgirî dikin. Ji ber vê yekê, ez ê pirsê bi rengek cûda nûve bikim - berhevkirina telemetrî ji hêla ewlehiyê ve li ku herî bi bandor e? Bersiv dê pir eşkere be - di asta gihîştinê de, ku hûn ê 100% ji hemî seyrûseferê bibînin, li ku derê hûn ê agahdariya berfireh li ser mêvandaran (MAC, VLAN, ID-ya navbeynkar) hebin, li wir hûn dikarin seyrûsefera P2P-ê di navbera mêvandaran de jî bişopînin. ji bo şopandina vedîtin û belavkirina koda xerab krîtîk e. Di asta bingehîn de, dibe ku hûn tenê hin seyrûseferê nebînin, lê di asta perimeter de, hûn ê çaryeka hemî seyrûsefera torê ya xwe bibînin. Lê heke ji ber hin sedeman li ser tora we cîhazên biyanî hebin ku destûrê didin êrîşkeran ku "bikevin û derkevin" bêyî dorpêçkirina dorpêçê, wê hingê analîzkirina telemetrîya ji wê dê tiştek nede we. Ji ber vê yekê, ji bo vegirtina herî zêde, tê pêşniyar kirin ku berhevkirina telemetrî di asta gihîştinê de çalak bike. Di heman demê de, hêjayî gotinê ye ku her çend em li ser virtualkirin an konteyneran diaxivin jî, piştgiriya herikînê bi gelemperî di guheztinên virtual yên nûjen de jî tê dîtin, ku dihêle hûn li wir jî seyrûseferê kontrol bikin.

Lê ji ber ku min mijar rakir, pêdivî ye ku ez bersîva pirsê bidim: heke amûr, fîzîkî an virtual, protokolên herikînê piştgirî neke? An jî tevlêbûna wê qedexe ye (mînakî, di beşên pîşesaziyê de da ku pêbaweriyê misoger bike)? An jî vekirina wê dibe sedema barkirina CPU-ya bilind (ev li ser hardware kevntir diqewime)? Ji bo çareserkirina vê pirsgirêkê, senzorên virtual yên pispor (sensorên herikandinê) hene, ku di bingeh de dabeşkerên asayî ne ku seyrûseferê di nav xwe de derbas dikin û wê di forma herikînê de ji modula berhevkirinê re belav dikin. Rast e, di vê rewşê de em hemî pirsgirêkên ku me li jor behsa wan kir di derheqê amûrên girtina pakêtê de digirin. Ango, hûn hewce ne ku ne tenê avantajên teknolojiya analîza herikînê, lê di heman demê de sînorên wê jî fêm bikin.

Xalek din a ku girîng e ji bîr mekin dema ku meriv li ser amûrên analîza herikînê diaxive. Ger di derbarê rêgezên kevneşopî yên hilberîna bûyerên ewlehiyê de em metrîka EPS-ê (bûyer di çirkeyê de) bikar bînin, wê hingê ev nîşanker ji bo analîza telemetrîyê nayê sepandin; ew bi FPS (herikîna per saniyeyê) tê guhertin. Mîna ku di doza EPS-ê de, ew nikare pêşiyê were hesibandin, lê hûn dikarin li gorî peywira xwe jimareya teqrîbî ya ku amûrek taybetî çêdike texmîn bikin. Hûn dikarin li ser Înternetê tabloyên bi nirxên texmînî ji bo cûrbecûr cîhaz û mercên pargîdaniyê bibînin, ku dê bihêle hûn texmîn bikin ka hûn ji bo amûrên analîzê çi lîsans hewce ne û mîmariya wan dê çi be? Rastî ev e ku senzora IDS-ê ji hêla pêvekek taybetî ya ku ew dikare "bikişîne" ve tête sînor kirin, û berhevkarê herikînê sînorên xwe hene ku divê were fam kirin. Ji ber vê yekê, di torên mezin ên erdnîgarî de belavkirî de, bi gelemperî çend berhevkar hene. Dema ku min diyar kir çawa tora di hundurê Cisco de tê şopandin, min berê hejmara berhevkarên me daye - 21 ji wan hene. Û ev ji bo tora ku li pênc parzemînan belav bûye û bi qasî nîv mîlyon cîhazên çalak pêk tê).

Em çareseriya xwe wekî pergala çavdêriya Netflow bikar tînin Cisco Stealthwatch, ku bi taybetî li ser çareserkirina pirsgirêkên ewlehiyê ye. Ew gelek motorên çêkirî hene ji bo tespîtkirina çalakiya anormal, gumanbar û eşkere xerab, ku dihêle hûn cûrbecûr xetereyên cihêreng teşhîs bikin - ji krîptominkirinê bigire heya levkirina agahdarî, ji belavbûna koda xirab heya xapandinê. Mîna piraniya analîzkerên herikê, Stealthwatch li gorî nexşeyek sê-astî (jenerator - berhevkar - analîzer) hatî çêkirin, lê ew bi çend taybetmendiyên balkêş ên ku di çarçoweya materyalê li ber çavan de girîng in tê dagirtin. Pêşîn, ew bi çareseriyên girtina pakêtê re yek dibe (wekî Cisco Ewlekariya Packet Analyzer), ku dihêle hûn danişînên torê yên hilbijartî ji bo lêkolîn û analîza kûr a paşîn tomar bikin. Ya duyemîn, bi taybetî ji bo berfirehkirina peywirên ewlehiyê, me protokolek taybetî ya nvzFlow pêşve xistiye, ku destûrê dide te ku hûn çalakiya sepanên li ser girêkên dawîn (server, stasyonên xebatê, hwd.) li telemetrîyê "weşandin" bikin û wê ji berhevkerê re ji bo analîzên din bişînin. Ger di guhertoya xweya orjînal de Stealthwatch bi her protokola herikînê (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) di asta torê de bixebite, wê hingê piştgirîya nvzFlow destûrê dide pêwendiya daneyê jî di asta nodê de, bi vî rengî. zêdekirina karîgeriya tevahiya pergalê û dîtina bêtir êrîşan ji analîzkerên herikîna torê yên kevneşopî.

Eşkere ye ku dema ku ji hêla ewlehiyê ve li ser pergalên analîzkirina Netflow diaxivin, sûk bi çareseriyek yekane ya Cisco re sînordar nabe. Hûn dikarin çareseriyên bazirganî û belaş an parvekirî bikar bînin. Pir ecêb e ku ez çareseriyên hevrikan wekî mînakan li ser bloga Cisco-yê bibêjim, ji ber vê yekê ez ê çend peyvan bibêjim ka meriv çawa telemetra torê bi karanîna du amûrên populer, bi navên mîna hev, lê dîsa jî amûrên cihêreng - SiLK û ELK tê analîz kirin.

SiLK komek amûran e (Pergala Zanyariya Asta Înternetê) ji bo analîzkirina trafîkê, ku ji hêla CERT/CC Amerîkî ve hatî pêşve xistin û piştgirî dike, di çarçoveya gotara îro de, Netflow (5-emîn û 9-an, guhertoyên herî populer), IPFIX. û sFlow û karanîna karûbarên cihêreng (rwfilter, rwcount, rwflowpack, hwd.) ji bo pêkanîna karên cûrbecûr li ser telemetrîya torê da ku nîşanên kiryarên nedestûr di wê de werin tespît kirin. Lê çend xalên girîng hene ku divê werin destnîşan kirin. SiLK amûrek rêzika fermanê ye ku bi ketina fermanên bi vî rengî analîzên serhêl pêk tîne (teşhîskirina pakêtên ICMP ji 200 byte mezintir):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

ne pir rehet. Hûn dikarin iSiLK GUI bikar bînin, lê ew ê jiyana we pir hêsantir neke, tenê fonksiyona dîtbariyê çareser dike û li şûna analîstê nake. Û ev xala duyemîn e. Berevajî çareseriyên bazirganî, yên ku jixwe xwedan bingehek analîtîk a zexm, algorîtmayên tespîtkirina anomalî, tevgera xebatê ya têkildar, hwd. Amûrên bikar bînin. Ev ne baş e û ne jî xirab e - ev taybetmendiyek hema hema her amûrek belaş e ku texmîn dike ku hûn dizanin ka çi bikin, û ew ê tenê di vê yekê de ji we re bibe alîkar (amûrên bazirganî kêmtir bi jêhatîbûna bikarhênerên wê ve girêdayî ne, her çend ew jî texmîn dikin ku vekoler bi kêmî ve bingehên vekolîn û şopandina torê fam dikin). Lê em vegerin ser SiLK. Dewreya xebata analîstê bi wê re wiha xuya dike:

• Formulkirina hîpotezekê. Pêdivî ye ku em fêm bikin ka em ê li hundurê telemetra torê li çi bigerin, taybetmendiyên bêhempa yên ku em ê hin anomalî an tehdîtan nas dikin zanibin.
• Avakirina modelekê. Piştî ku hîpotezek formule kir, em wê bi karanîna heman Python, şêl an amûrên din ên ku di SiLK de nînin bername dikin.
• Testing. Naha dor tê ku rastbûna hîpoteza me, ya ku bi karanîna karûbarên SiLK-ê bi 'rw', 'set', 'bag' dest pê dike tê pejirandin an red kirin, were kontrol kirin.
• Analîzkirina daneyên rastîn. Di xebata pîşesaziyê de, SiLK ji me re dibe alîkar ku tiştek nas bikin û vekoler divê bersivê bide pirsên "Gelo me tiştê ku me li bendê bû dît?", "Gelo ev bi hîpoteza me re têkildar e?", "Çawa hejmara erênîyên derewîn kêm bikin?", "Çawa? ji bo baştirkirina asta naskirinê? » wate ya vê çîye.
• Serrastkirinî. Di qonaxa paşîn de, em tiştê ku berê hatî kirin baştir dikin - em şablonan diafirînin, kodê çêtir û xweşbîn dikin, hîpotezê ji nû ve çêdikin û zelal dikin, hwd.

Dê ev çerx ji bo Cisco Stealthwatch-ê jî were sepandin, tenê ya paşîn van pênc gavan herî zêde otomatîk dike, hejmara xeletiyên analîstê kêm dike û karbidestiya tespîtkirina bûyerê zêde dike. Mînakî, di SiLK de hûn dikarin statîstîkên torê bi daneyên derveyî yên li ser IP-yên xirab bi karanîna nivîsarên destnivîskirî dewlemend bikin, û di Cisco Stealthwatch de ew fonksiyonek çêkirî ye ku tavilê alarmek nîşan dide heke seyrûsefera torê têkiliyek bi navnîşanên IP-yê ji navnîşa reş re hebe.

Ger hûn ji bo nermalava analîzkirina herikînê di pîramîda "drav" de bilindtir bibin, wê hingê piştî SiLK-ya bêkêmasî ya belaş dê ELK-ya parvekirinê hebe, ku ji sê hêmanên sereke pêk tê - Elasticsearch (indekskirin, lêgerîn û analîza daneyê), Logstash (vedan/derketina daneyê). ) û Kibana ( dîtbarî ). Berevajî SiLK, ku divê hûn her tiştî bi xwe binivîsin, ELK jixwe gelek pirtûkxane/modulên amade hene (hinek pere, hin na) ku analîza telemetrîya torê otomatîk dikin. Mînakî, Parzûna GeoIP-ê di Logstash de dihêle hûn navnîşanên IP-ya çavdêrîkirî bi cîhê wan ê erdnîgarî re têkildar bikin (Stealthwatch xwedan vê taybetmendiya çêkirî ye).

ELK di heman demê de xwedî civakek pir mezin e ku ji bo vê çareseriya şopandinê pêkhateyên winda temam dike. Mînakî, ji bo ku hûn bi Netflow, IPFIX û sFlow re bixebitin hûn dikarin modulê bikar bînin elastiflow, heke hûn ji Modula Logstash Netflow, ku tenê Netflow piştgirî dike ne razî ne.

Digel ku di berhevkirina herikînê û lêgerîna tê de bêtir karîgerî dide, ELK naha ji bo tespîtkirina anomalî û xetereyên di telemetrîya torê de nebûna analîtîkên çêkirî yên dewlemend tune. Ango, li dû çerxa jiyanê ya ku li jor hatî destnîşan kirin, hûn neçar in ku modelên binpêkirinê serbixwe binav bikin û dûv re wê di pergala şer de bikar bînin (li wir modelên çêkirî tune).

Bê guman, ji bo ELK dirêjkirinên sofîstîke hene, ku jixwe hin model hene ji bo tespîtkirina anomaliyan di telemetra torê de, lê dirêjkirinên weha drav didin û li vir pirs ev e gelo lîstik hêjayî mûmê ye - bi xwe modelek wusa binivîsin, wê bikirin. pêkanîna ji bo amûra çavdêriya we, an çareseriya amade ya çîna Analîza Trafîka Torê bikirin.

Bi gelemperî, ez naxwazim têkevim nav nîqaşê ku çêtir e ku meriv drav xerc bike û çareseriyek amade ji bo çavdêrîkirina anomalî û xetereyên di telemetrîya torê de bikire (mînak, Cisco Stealthwatch) an jî wê bixwe fêhm bike û heman yekê xweş bike. SiLK, ELK an nfdump an OSU Flow Amûrên ji bo her tehlûkeya nû (Ez li ser her duyên dawîn dipeyivim got cara dawî)? Her kes ji bo xwe hildibijêre û her kes ji bo hilbijartina yek ji du vebijarkan motîvên xwe hene. Min tenê xwest ku nîşan bidim ku telemetrîya torê di dabînkirina ewlehiya torê ya binesaziya weya hundurîn de amûrek pir girîng e û divê hûn jê îhmal nekin, da ku nekevin navnîşa pargîdaniyên ku navên wan di medyayê de li gel navdêran tê gotin " hacked", "ne li gorî hewcedariyên ewlehiya agahdariyê" ", "li ser ewlehiya daneyên xwe û daneyên xerîdar nafikirin."

Bi kurtasî, ez dixwazim serişteyên sereke yên ku divê hûn gava ku çavdêriya ewlehiya agahdariya binesaziya xweya navxweyî ava dikin bişopînin navnîş bikim:

1. Tenê xwe bi perimeterê sînordar nekin! Binesaziya torê bikar bînin (û hilbijêrin) ne tenê ji bo veguhestina seyrûseferê ji xala A berbi xala B, lê di heman demê de ji bo çareserkirina pirsgirêkên ewlehiya sîber jî.
2. Mekanîzmayên çavdêriya ewlehiya agahdariya heyî ya di amûrên torê de lêkolîn bikin û wan bikar bînin.
3. Ji bo çavdêriya navxweyî, tercîhê bidin analîzên telemetrî - ew dihêle hûn ji% 80-90% ji hemî bûyerên ewlehiya agahdariya torê bibînin, di heman demê de tiştê ku ne mumkin e dema ku pakêtên torê digirin û cîhê hilanînê ji bo hilanîna hemî bûyerên ewlehiya agahdariyê bikin.
4. Ji bo şopandina herikandinê, Netflow v9 an IPFIX bikar bînin - ew di çarçoveyek ewlehiyê de bêtir agahdarî peyda dikin û dihêlin hûn ne tenê IPv4, lê di heman demê de IPv6, MPLS, hwd jî çavdêrî bikin.
5. Protokolek herikîna bê nimûne bikar bînin - ew ji bo tespîtkirina xetereyan bêtir agahdarî peyda dike. Mînakî, Netflow an IPFIX.
6. Barkirina li ser alavên torê xwe kontrol bikin - dibe ku ew nekare protokola herikînê jî bi rê ve bibe. Dûv re bifikirin ku senzorên virtual an Appliance Nifşê Netflow bikar bînin.
7. Berî her tiştî di asta gihîştinê de kontrolê bicîh bikin - ev ê derfetê bide we ku hûn 100% ji hemî seyrûseferê bibînin.
8. Heke we bijarek tune û hûn amûrên torê yên rûsî bikar tînin, wê hingê yek hilbijêrin ku protokolên herikînê piştgirî dike an xwedan benderên SPAN/RSPAN e.
9. Pergalên destdirêjî / vedîtina êrîşê / pêşîlêgirtinê li perdeyan û pergalên analîza herikînê di tora hundurîn de (di nav ewran de) bi hev re bikin.

Di derbarê serişteya paşîn de, ez dixwazim mînakek ku min berê jî daye, bidim. Hûn dibînin ku ger berê karûbarê ewlehiya agahdariya Cisco hema hema bi tevahî pergala xweya çavdêriya ewlehiya agahdariyê li ser bingeha pergalên vedîtina destdirêjiyê û rêbazên îmzeyê ava kir, naha ew tenê% 20 bûyeran hesab dikin. 20% din dikeve ser pergalên analîzkirina herikînê, ku destnîşan dike ku ev çareserî ne dilşikestî ne, lê di çalakiyên karûbarên ewlehiya agahdariya pargîdaniyek nûjen de amûrek rastîn in. Digel vê yekê, ji bo pêkanîna wan tiştê herî girîng we heye - binesaziya torê, veberhênanên ku tê de dikarin bi peywirkirina fonksiyonên çavdêriya ewlehiya agahdariya torê bêtir werin parastin.

Min bi taybetî dest neda mijara bersivdana anomalî an gefên ku di herikîna torê de hatine destnîşan kirin, lê ez difikirim ku jixwe diyar e ku divê çavdêrî ne tenê bi tespîtkirina xetereyek biqede. Pêdivî ye ku ew ji hêla bersivê ve were şopandin û çêtir e ku di moda otomatîk an otomatîk de were peyda kirin. Lê ev mijarek ji bo gotarek cuda ye.

Agahiyên bêtir

• Danasîna Cisco IOS Netflow
• Matrixa piştgiriya Netflow di çareseriyên cihêreng ên Cisco de
• Rêbernameya Veavakirina Netflow li ser Platformên Cihêreng ên Cisco
• sFlow Community
• Laboratorê Stealtjwatch, SiLK û ELK bikar tîne da ku Netflow ji perspektîfek ewlehiyê vekolîne
• Malpera SiLK
• Rêbernameya sê sed rûpelî ji bo karanîna SiLK bi ton mînakan
• Modula Netflow Logstash
• Cisco Gav-bi-Gar Rêbernameya ji bo Analysis Netflow li ELK
• Analîza NetFlow v.9 Cisco ASA bi karanîna Logstash (ELK)
• Çareseriya Cisco Stealthwatch

PS. Ger ji we re hêsantir e ku hûn her tiştê ku li jor hatî nivîsandin bibihîzin, wê hingê hûn dikarin li pêşandana demjimêrek dirêj a ku bingeha vê têbînîyê çêkiriye temaşe bikin.

Source: www.habr.com