Ko nga kawa rere hei taputapu mo te aro turuki i te haumarutanga whatunga o roto

Ina tae mai ki te aro turuki i te haumarutanga o te whatunga umanga a-roto, tari tari ranei, he maha nga tangata e hono ana ki te whakahaere i nga rerenga korero me te whakatinana i nga otinga DLP. A, ki te ngana koe ki te whakamarama i te patai me te patai me pehea e kitea ai e koe nga whakaeke i runga i te whatunga o roto, ko te whakautu, hei tikanga, ko te whakahua i nga punaha rapunga whakauru (IDS). A ko te mea anake te whiringa 10-20 tau ki muri ka noho hei anachronism i tenei ra. He pai ake, i etahi waahi, ko te waahanga anake mo te aroturuki i te whatunga o roto - ma te whakamahi i nga kawa rerenga, i hangaia i te tuatahi ki te rapu i nga raruraru whatunga (whakararuraru) engari i te wa ka huri hei taputapu haumaru tino pai. Ka korerohia he aha nga kawa rere, he aha nga mea pai ake mo te kite i nga whakaeke whatunga, kei hea te pai ki te whakatinana i te aro turuki rerenga, he aha te rapu mo te wa e tuku ana i taua kaupapa, me pehea hoki te "whakaara" i enei mea katoa ki nga taputapu whare. i roto i te whānuitanga o tenei tuhinga.

E kore ahau e noho ki runga i te patai "He aha te take e hiahiatia ai te aro turuki i nga hanganga o roto?" Te ahua nei he marama te whakautu. Engari ki te mea, ahakoa, ka hiahia koe ki te whakarite ano i tenei ra e kore e taea e koe te ora me te kore e ora, tirohia he ataata poto mo te huarahi e uru ai koe ki roto i te whatunga umanga e tiakina ana e te papangaahi i roto i nga huarahi 17. No reira, ka whakaaro matou kei te mohio matou he mea tika te aroturuki o roto, ko te mea e toe ana ko te maarama me pehea te whakarite.

E toru nga puna raraunga matua mo te aro turuki i nga hanganga i te taumata whatunga:

• Ko nga waka "mata" ka hopuhia e matou ka tukuna mo te tātari ki etahi punaha tātari,
• nga huihuinga mai i nga taputapu whatunga e haere ai nga waka,
• Ko nga korero waka i riro mai i tetahi o nga tikanga rerenga.

Ko te hopu i nga waka matakite ko te huarahi tino rongonui i waenga i nga tohunga mo te haumarutanga, na te mea i puta mai i nga wa o mua ko te tuatahi. Ko nga punaha whakamohiotanga o te whatunga tikanga (ko NetRanger te punaha rapunga pokanoa arumoni tuatahi mai i te Roopu Wheel, i hokona i te tau 1998 e Cisco) i tino mahi ki te hopu i nga paatete (me nga huihuinga o muri mai) i rapua etahi hainatanga ("ture whakatau" i roto Nga kupu FSTEC), tohu whakaeke. Ae ra, ka taea e koe te tarai i nga hokohoko mata kore noa ma te whakamahi IDS, engari ma te whakamahi ano i etahi atu taputapu (hei tauira, Wireshark, tcpdum, te mahi NBAR2 ranei i roto i te Cisco IOS), engari ko te nuinga o te waa ka ngaro te turanga matauranga e wehewehe ana i te taputapu haumarutanga korero mai i te waa. taputapu IT.

Na, whakaekea nga punaha kitenga. Ko te tikanga tawhito me te tino rongonui mo te kite i nga whakaeke whatunga, he pai te mahi i te paenga (ahakoa he aha - rangatōpū, pokapū raraunga, waahanga, me etahi atu), engari ka rahua i roto i nga hononga hou kua tautuhia me te rorohiko. I te take o te whatunga i hangaia i runga i nga huringa tikanga, ka nui rawa te hanganga o nga pūoko rapunga whakaeke - me whakauru e koe he pūoko ki ia hononga ki te node e hiahia ana koe ki te aro turuki i nga whakaeke. Ko nga kaihanga, he pono, ka koa ki te hoko atu ki a koe nga rau me nga mano o nga puoro, engari ki taku whakaaro kaore e taea e to tahua te tautoko i nga whakapaunga penei. Ka taea e au te kii ahakoa i Cisco (a ko matou nga kaiwhakawhanake o NGIPS) kaore e taea e matou tenei, ahakoa te ahua kei mua i a maatau te take o te utu. Kaua ahau e tu - na matou ake te whakatau. I tua atu, ka puta ake te patai, me pehea te hono i te puoro i tenei putanga? Ki roto i te āputa? Ka aha mena ka rahua te pukoro? Me hiahia he kōwae hipa i roto i te pūoko? Whakamahia nga wehenga (tap)? Ko enei mea katoa ka nui ake te utu o te otinga, ka kore e taea te utu mo te kamupene o tetahi rahi.

Ka taea e koe te "whakairi" i te pukoro ki runga i te tauranga SPAN/RSPAN/ERSPAN me te kawe tika mai i nga tauranga whakawhiti e hiahiatia ana ki reira. Ko tenei whiringa ka whakakore i te raru i whakaahuahia i te waahanga o mua, engari ka puta tetahi atu - kaore e taea e te tauranga SPAN te whakaae ki nga waka katoa ka tukuna atu ki a ia - kaore e nui te whanui. Me patu e koe tetahi mea. Me waiho etahi o nga node me te kore e aro turuki (katahi ka hiahia koe ki te whakarite tuatahi), kaua ranei e tukuna nga waka katoa mai i te node, engari he momo momo anake. Ahakoa he aha, ka ngaro pea tatou i etahi whakaeke. I tua atu, ka taea te whakamahi i te tauranga SPAN mo etahi atu hiahia. Ko te mutunga, me arotakehia e matou te topology whatunga o naianei me te whakarereke pea kia kapi ai to whatunga ki te teitei me te maha o nga puoro kei a koe (me te whakarite i tenei me te IT).

Ka pehea mena ka whakamahia e to whatunga nga huarahi hangarite? He aha mehemea kua whakatinanahia e koe, kei te whakamahere koe ki te whakatinana i te SDN? Ka aha mena ka hiahia koe ki te aro turuki i nga miihini mariko, nga ipu ranei kaore e tae atu nga waka ki te huringa tinana? He patai enei kaore e pai ana nga kaihoko IDS tuku iho na te mea kaore ratou e mohio ki te whakautu. Tena pea ka whakapatihia e koe ko enei hangarau huatau katoa he mea whakahirahira, kaore koe e hiahia. Tera pea ka korero ratou mo te hiahia ki te timata iti. Ka kii pea koe me tuu he kaitapa kaha ki te pokapū o te whatunga me te arahi i nga waka katoa ki a ia ma te whakamahi i nga taurite. Ahakoa he aha te whiringa ka tukuna ki a koe, me tino marama koe ki te pai ki a koe. A muri noa iho ka whakatau i te kowhiri i tetahi huarahi ki te aro turuki i te haumarutanga korero o te hanganga whatunga. Ka hoki mai ano ki te hopu packet, e hiahia ana ahau ki te kii kei te haere tonu tenei tikanga ki te tino rongonui me te nui, engari ko tana kaupapa matua ko te whakahaere rohe; rohe i waenganui i to koutou whakahaere me te Ipurangi, rohe i waenganui i te pokapū raraunga me te toenga o te whatunga, rohe i waenganui i te pūnaha whakahaere tukanga me te wāhanga rangatōpū. I enei waahi, he tika tonu nga IDS/IPS matarohia ki te noho me te whakatutuki pai i a raatau mahi.

Me neke atu ki te whiringa tuarua. Ko te tātaritanga o nga huihuinga ka puta mai i nga taputapu whatunga ka taea hoki te whakamahi mo nga kaupapa rapu whakaeke, engari ehara i te mea ko te tikanga matua, na te mea ka taea te kite i te waahanga iti noa o nga whakaurunga. I tua atu, he mea i roto i etahi tauhohenga - me puta tuatahi te whakaeke, katahi ka tuhia e tetahi taputapu whatunga, i tetahi huarahi, i tetahi atu ranei ka tohu he raruraru ki te haumarutanga korero. He maha nga huarahi penei. He syslog pea tenei, RMON, SNMP ranei. Ko nga kawa whakamutunga e rua mo te aroturuki whatunga i roto i te horopaki o te haumarutanga korero ka whakamahia anake mena ka hiahia tatou ki te kite i te whakaeke DoS i runga i nga taputapu whatunga ake, mai i te whakamahi i te RMON me te SNMP ka taea, hei tauira, ki te aro turuki i te kawenga ki te pokapū o te taputapu. pūtukatuka, ona atanga ranei. Koinei tetahi o nga "iti rawa" (he syslog, he SNMP ranei nga tangata katoa), engari ko te mea tino kore rawa o nga tikanga katoa mo te aro turuki i te haumarutanga korero o nga hanganga o roto - he maha nga whakaeke ka huna noa mai i a ia. Ae ra, kaua e warewarehia, a ko te tātaritanga syslog ano ka awhina i a koe ki te tautuhi i nga huringa i roto i te whirihoranga o te taputapu ake, te whakararu o taua mea, engari kaore e tino pai mo te kite i nga whakaeke i runga i te whatunga katoa.

Ko te whiringa tuatoru ko te wetewete i nga korero mo nga waka e haere ana i roto i tetahi taputapu e tautoko ana i tetahi o nga tikanga rerenga maha. I tenei keehi, ahakoa he aha te kawa, e toru nga waahanga o te hanganga miro:

• Whakatupuranga, kaweake ranei o te rere. Ko tenei mahi ka tukuna ki te pouara, whakawhiti, ki tetahi atu taputapu whatunga ranei, ma te whakawhiti i nga whakawhitinga whatunga ki a ia ano, ka taea e koe te tango i nga tawhā matua mai i a ia, ka tukuna ki te waahanga kohinga. Hei tauira, ka tautoko a Cisco i te kawa Netflow ehara i te mea mo nga pouara me nga whakawhiti, tae atu ki nga mariko me nga mea ahumahi, engari ano hoki i runga i nga kaiwhakahaere ahokore, nga papaahi me nga kaitoro.
• Te rere o te kohinga. Ki te whakaaro he nui ake i te kotahi te taputapu whatunga o te whatunga hou, ka puta ake te raru o te kohi me te whakakotahi i nga rerenga, ka whakatauhia ma te whakamahi i nga kaikohi e kiia nei, ka tukatuka i nga rerenga kua riro ka tukuna atu hei tātari.
• Te tātari rere Ko te kaitataritari te mahi hinengaro matua, a, ma te whakamahi i nga momo algorithms ki nga awa, ka whakatau i etahi whakatau. Hei tauira, hei waahanga o te mahi IT, ka taea e taua kaitataritari te tautuhi i nga kohungahunga whatunga, te tātari ranei i te whaarangi uta waka mo te arotautanga whatunga. A, mo te haumarutanga korero, ka taea e taua kaitataritari te kite i nga rerenga raraunga, te horapa o nga waehere kino, nga whakaeke DoS ranei.

Kaua e whakaaro he tino uaua tenei hoahoanga toru-tianga - ko era atu whiringa katoa (haunga, ko nga punaha aroturuki whatunga e mahi tahi ana me SNMP me RMON) kei te mahi ano. Kei a matou he kaihanga raraunga hei tātari, he taputapu whatunga, he pukoro tu-koke ranei. Kei a matou he punaha kohinga whakaoho me tetahi punaha whakahaere mo te katoa o nga hanganga aroturuki. Ko nga waahanga whakamutunga e rua ka taea te whakakotahi i roto i te node kotahi, engari i roto i nga whatunga nui atu iti iho ranei ka horahia ki nga taputapu e rua neke atu ranei kia pai ai te tauine me te pono.

Kaore i rite ki te tātari paatete, e ahu mai ana i runga i te ako i te pane me nga raraunga tinana o ia paatete me nga waahi kei roto, ko te tātari rerenga e whakawhirinaki ana ki te kohi metadata mo te hokohoko whatunga. Ahea, e hia, mai i hea, i hea, me pehea... koinei nga patai i whakautuhia e te tātaritanga o te waea waea ma te whakamahi i nga momo kawa rere. I te timatanga, i whakamahia ki te tarai i nga tatauranga me te rapu i nga raru IT i runga i te whatunga, engari, i te wa i whakawhanakehia ai nga tikanga tātari, ka taea te whakamahi ki te waea waea kotahi mo nga kaupapa haumaru. Me mahara ano kaore te tātari rerenga e whakakapi, e whakakapi ranei i te hopunga paatete. Kei ia o enei tikanga tana ake waahanga tono. Engari i roto i te horopaki o tenei tuhinga, ko te tātari rerenga e tino pai ana mo te aro turuki i nga hanganga o roto. Kei a koe nga taputapu whatunga (ahakoa kei te mahi i roto i tetahi tauira kua tautuhia-rorohiko, i runga ranei i nga ture pateko) kaore e taea e te whakaeke te karo. Ka taea e ia te karo i te pukoro IDS matarohia, engari kaore e taea e te taputapu whatunga e tautoko ana i te kawa rere. Koinei te painga o tenei tikanga.

I tetahi atu taha, ki te hiahia koe ki nga taunakitanga mo te mana ture, mo to ake roopu tirotiro aitua ranei, kaore e taea e koe te mahi me te kore e hopu i te paatete - ehara te waea waea i te kape o nga waka ka taea te whakamahi hei kohi taunakitanga; e hiahiatia ana mo te rapu tere me te whakatau i te waahi o te haumaru korero. I tetahi atu taha, ma te whakamahi i te tātaritanga telemetry, ka taea e koe te "tuhi" ehara i te hokohoko whatunga katoa (mehemea he aha, ka mahi a Cisco ki nga pokapū raraunga :-), engari ko nga mea e uru ana ki te whakaeke. Ko nga taputapu wetewete waea mo tenei waahanga ka pai te whakakii i nga tikanga hopu paatete tuku iho, ka tuku whakahau mo te hopu me te rokiroki. Ki te kore, ka whai koe i tetahi hanganga rokiroki nui.

Whakaarohia he whatunga e mahi ana i te tere o te 250 Mbit/hekona. Mena kei te pirangi koe ki te penapena i enei pukapuka katoa, ka hiahia koe ki te 31 MB o te rokiroki mo te tuarua o te tuku waka, 1,8 GB mo te meneti kotahi, 108 GB mo te haora kotahi, me te 2,6 TB mo te ra kotahi. Hei rokiroki raraunga ia ra mai i te whatunga me te bandwidth 10 Gbit/s, me 108 TB o te rokiroki. Engari ko etahi o nga kaiwhakahaere e hiahia ana ki te pupuri i nga raraunga haumarutanga mo nga tau ... Ko te rekoata i runga i te tono, ka awhina te tātari rere ki a koe ki te whakatinana, ka awhina i te whakaiti i enei uara ma te nui o nga ota. Ma te ara, ki te korero tatou mo te tauwehenga o te rahinga o nga raraunga waea waea kua tuhia me te hopu i nga raraunga ka oti, ka tata ki te 1 ki te 500. Mo nga uara rite kua homai i runga ake nei, kei te pupuri i nga tuhinga katoa o nga hokohoko o ia ra. ka 5 me te 216 GB, ia (ka taea e koe te tuhi i runga i te puku kohiko noa).

Mena mo nga taputapu mo te wetewete i nga raraunga whatunga mata, ko te tikanga mo te hopu he rite tonu mai i te kaihoko ki te kaihoko, na i roto i te keehi o te tātari rerenga he rereke te ahuatanga. He maha nga whiringa mo nga kawa rere, nga rereketanga e hiahia ana koe ki te mohio mo te horopaki o te haumarutanga. Ko te mea rongonui ko te kawa Netflow i whakawhanakehia e Cisco. He maha nga putanga o tenei kawa, he rereke o raatau kaha me te nui o nga korero hokohoko kua tuhia. Ko te putanga o naianei ko te iwa (Netflow v9), i runga i te kaupapa i whakawhanakehia ai te paerewa ahumahi Netflow v10, e mohiotia ana ko IPFIX. I tenei ra, ko te nuinga o nga kaihoko whatunga e tautoko ana i a Netflow, IPFIX ranei i roto i a raatau taputapu. Engari tera ano etahi atu whiringa mo nga tikanga rere - sFlow, jFlow, cFlow, rFlow, NetStream, aha atu, ko te sFlow te mea rongonui. Koinei te momo e tautokohia ana e nga kaihanga o nga taputapu whatunga na te ngawari o te whakatinanatanga. He aha nga rereketanga nui i waenga i a Netflow, kua noho hei paerewa pono, me te sFlow? Ka tohua e ahau etahi mea nui. Tuatahi, kei a Netflow nga mara ka taea e te kaiwhakamahi te whakarite he rereke ki nga mara kua whakaritea i roto i te sFlow. A tuarua, a koinei te mea nui i roto i ta maatau keehi, ko te kohi a sFlow e kiia nei ko te waea waea; he rereke ki te kore tauira mo Netflow me IPFIX. He aha te rereketanga i waenga i a raatau?

Whakaarohia ka whakatau koe ki te panui i te pukapuka "Pokapū Whakahaere Haumarutanga: Hanga, Whakahaere, me te Tiaki i to SOC” o aku hoa mahi - Gary McIntyre, Joseph Munitz me Nadem Alfardan (ka taea e koe te tango i tetahi waahanga o te pukapuka mai i te hono). E toru nga whiringa ki te whakatutuki i to whainga - panuihia te pukapuka katoa, tirohia te pukapuka, ka mutu i ia wharangi 10, 20 ranei, ka ngana ranei ki te kimi korero ano i nga ariā matua i runga i te rangitaki, ratonga ranei penei i te SmartReading. Na, ko te waea waea kore tauira kei te panui i nga "wharangi" katoa o te hokohoko whatunga, ara, te tātari metadata mo ia kete. Ko te tauira waea waea he rangahau whiriwhiri mo nga waka i runga i te tumanako kei roto i nga tauira kua tohua nga mea e hiahiatia ana e koe. I runga ano i te tere o te hongere, ka tukuna nga tauira waea waea mo te tātaritanga ia 64th, 200th, 500th, 1000th, 2000th, ara 10000th pākete.

I roto i te horopaki o te aro turuki i te haumarutanga korero, ko te tikanga he pai rawa te tauira waea waea mo te kite i nga whakaeke DDoS, te matawai, me te hora i te waehere kino, engari ka ngaro pea nga whakaeke ngota, maha-pakete ranei kaore i whakauruhia ki te tauira i tukuna mo te tātari. Karekau he ahua kino o te waea waea kore tauira. Na tenei, ka nui ake te whanui o nga whakaeke kua kitea. Anei he rarangi poto o nga huihuinga ka kitea ma te whakamahi i nga taputapu tātari waea waea.

Ae ra, kaore etahi o nga kaitirotiro Netflow puna tuwhera e whakaae ki a koe ki te mahi i tenei, na te mea ko tana mahi nui ko te kohi waea waea me te whakahaere i nga tātaritanga taketake mai i te tirohanga IT. Hei tautuhi i nga tuma haumarutanga korero i runga i te rere, he mea tika ki te whakakii i te kaitirotiro me nga momo miihini me nga algorithms, ka tautuhi i nga raru o te haumaru ipurangi i runga i nga mara Netflow paerewa, ritenga ranei, te whakarangatira i nga raraunga paerewa me nga raraunga o waho mai i nga momo punaha Whakamatau, aha atu.

Na reira, ki te whai koe i te whiriwhiri, ka whiriwhiri Netflow IPFIX ranei. Engari ahakoa ka mahi noa o taputapu me te sFlow, penei i nga kaihanga o te kaainga, ahakoa i tenei keehi ka whai hua koe i roto i te horopaki haumarutanga.

I te raumati o te tau 2019, i tātarihia e ahau nga kaha o nga kaihanga taputapu whatunga a Ruhia me era katoa, haunga te NSG, Polygon me Craftway, i whakapuaki i te tautoko mo te sFlow (te iti rawa o Zelax, Natex, Eltex, QTech, Rusteleteh).

Ko te patai e whai ake nei ka pa ki a koe ko hea hei whakatinana i te tautoko rerenga mo nga kaupapa haumaru? Ko te tikanga, kaore i te tika te whakatakoto o te patai. Ko nga taputapu hou e tautoko ana i nga tikanga rere. Na reira, he rereke taku whakarereke i te patai - kei hea te mea tino whai hua ki te kohi waea mai i te tirohanga haumarutanga? Ka tino kitea te whakautu - i te taumata uru, ka kite koe i te 100% o nga waka katoa, kei reira koe ka whai korero taipitopito mo nga kaihautu (MAC, VLAN, ID atanga), ka taea e koe te aro turuki i nga hokohoko P2P i waenga i nga kaihautu, he mea tino nui mo te tirotiro me te tohatoha o nga waehere kino. I te taumata matua, kaore pea koe e kite i etahi o nga waka, engari i te taumata paenga, ka kite koe i te hauwhā o to hokohoko whatunga katoa. Engari mena he take kei a koe nga taputapu kee kei runga i to whatunga ka taea e nga kaiwhaiwhai te "tomo me te puta" me te kore e hipa i te waahi, katahi ka tātarihia te waea waea mai i a koe kaore e hoatu ki a koe. Na reira, mo te nui o te kapinga, e taunaki ana kia taea te kohinga waea i te taumata uru. I te wa ano, he mea tika kia mohiohia ahakoa kei te korero tatou mo te mariko me nga ipu, ka kitea ano te tautoko rere i roto i nga huringa mariko hou, e taea ai e koe te whakahaere i nga waka ki reira.

Engari i te mea i whakaarahia e au te kaupapa, me whakautu e au te patai: ka pehea mena kaore nga taputapu, tinana, mariko ranei, e tautoko i nga kawa rere? Kei te whakakorehia ranei tana whakauru (hei tauira, i nga waahanga ahumahi hei whakarite i te pono)? Ma te huri ranei ka arai ki te utaina PTM teitei (ka puta tenei ki nga taputapu tawhito)? Hei whakaoti i tenei raru, he pukoro mariko motuhake (nga pukoro rere), he tino wehewehenga noa e whakawhiti ana i a ratou ano, ka whakapaoho i te ahua o te rere ki te waahanga kohinga. Pono, i tenei keehi ka whiwhi tatou i nga raru katoa i korerohia i runga ake nei mo nga taputapu hopu paatete. Arā, me maarama koe ehara i te mea ko nga painga o te hangarau tātari rere, engari ano hoki ona here.

Ko tetahi atu mea nui hei maumahara ina korero ana mo nga taputapu tātari rerenga. Mena e pa ana ki nga tikanga tikanga mo te whakaputa kaupapa haumaru ka whakamahia e matou te ine EPS (takahanga mo ia hekona), karekau tenei tohu e pa ana ki te tātari waea; ka whakakapihia e te FPS (rere ia te rua). Pērā i te take o te EPS, kaore e taea te tatau i mua, engari ka taea e koe te whakatau tata ki te maha o nga miro ka hangaia e tetahi taputapu i runga i tana mahi. Ka kitea e koe nga ripanga i runga i te Ipurangi me nga uara tata mo nga momo momo umanga me nga tikanga, ka taea e koe te whakatau he aha nga raihana e hiahia ana koe mo nga taputapu tātari me te aha o raatau hoahoanga? Ko te meka ko te pukoro IDS e whakawhäitihia ana e tetahi bandwidth ka taea e ia te "toia", a ko te kaikohi rerenga he ona ake herenga me maarama. Na reira, i roto i nga whatunga nui, tohatoha matawhenua he maha nga kaikohi. I taku whakaahuatanga me pehea te aroturuki i te whatunga ki roto Cisco, Kua tukuna e au te maha o a matou kaikohi - e 21. A ko tenei mo te whatunga kua marara puta noa i nga whenua e rima me te tata ki te hawhe miriona nga taputapu kaha).

Ka whakamahia e matou ta matou ake otinga hei punaha aroturuki Netflow Cisco Stealthwatch, e arotahi ana ki te whakaoti rapanga haumarutanga. He maha nga miihini hanga-i roto mo te kite i nga mahi kino, whakapae me te tino kino, e taea ai e koe te kite i te tini o nga momo tuma - mai i te cryptomining ki nga korero pakaru, mai i te horapa o te waehere kino ki te tinihanga. Pērā i te nuinga o ngā kaitātari rerenga, ka hangaia a Stealthwatch i runga i te kaupapa taumata-toru (generator - collector - analyzer), engari he mea taapiri atu ki te maha o nga ahuatanga whakamere he mea nui i roto i te horopaki o nga mea e whakaarohia ana. Tuatahi, ka hono ki nga otinga hopu paatete (penei i te Cisco Security Packet Analyzer), e taea ai e koe te tuhi i nga waahanga whatunga kua tohua mo te tirotiro hohonu me te tātaritanga. Tuarua, mo te whakawhānui ake i nga mahi haumaru, kua whakawhanakehia e matou he kawa nvzFlow motuhake, e taea ai e koe te "whakapaho" i nga mahi o nga tono i runga i nga pona mutunga (tūmau, teihana mahi, me etahi atu) ki roto i te waea waea me te tuku ki te kaikohi mo etahi atu tātaritanga. Mena kei roto i tana putanga taketake ka mahi tahi a Stealthwatch me tetahi kawa rere (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) i te taumata whatunga, ka taea e te tautoko nvzFlow te honohono raraunga i te taumata node, na reira. te whakanui ake i te kaha o te punaha katoa me te kite i nga whakaekenga atu i nga kaitirotiro rerenga whatunga tikanga.

E marama ana i te wa e korero ana mo nga punaha tātari Netflow mai i te tirohanga haumarutanga, kaore te maakete e herea ki te otinga kotahi mai i a Cisco. Ka taea e koe te whakamahi i nga otinga arumoni me te kore utu, tiritahi ranei. He mea rerekee mena ka whakahuahia e au nga otinga a nga kaiwhakataetae hei tauira i runga i te blog Cisco, no reira ka korero ahau i etahi kupu mo te wetewete waea whatunga ma te whakamahi i nga taputapu rongonui e rua, he rite ki te ingoa, engari he rereke tonu nga taputapu - SiLK me ELK.

Ko te SiLK he huinga taputapu (te Pūnaha mo te Matauranga Taumata-Ipurangi) mo te tātari waka, i whakawhanakehia e te American CERT/CC me te tautoko, i roto i te horopaki o te tuhinga o tenei ra, Netflow (5th me te 9th, nga putanga tino rongonui), IPFIX me te sFlow me te whakamahi i nga momo taputapu (rwfilter, rwcount, rwflowpack, me etahi atu) ki te mahi i nga momo mahi i runga i te waea waea kia kitea nga tohu o nga mahi kore mana i roto. Engari e rua nga waahanga nui hei tohu. Ko te SiLK he taputapu raina whakahau e mahi ana i te tātari-a-ipurangi ma te whakauru i nga whakahau penei (te kitenga o nga paatete ICMP nui ake i te 200 paita):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

e kore e tino pai. Ka taea e koe te whakamahi i te iSiLK GUI, engari kaore e tino maamaa ake to oranga, ko te whakaoti i te mahi whakakitenga me te kore e whakakapi i te kaitātari. A koinei te take tuarua. Kaore i rite ki nga rongoatanga arumoni, he turanga tātari totoka, he tohu tohu tohu anomaly, he rerenga mahi e rite ana, me etahi atu, mo te SiLK me mahi koe i enei mea katoa, he rereke nga pukenga mai i a koe mai i te whakamahi kua rite- taputapu hei whakamahi. Ehara tenei i te pai, i te kino ranei - he ahua tenei o te nuinga o nga taputapu kore utu e kii ana kei te mohio koe ki te mahi, ka awhina noa koe ki tenei (he iti ake te whakawhirinaki o nga taputapu hokohoko ki nga pukenga o ona kaiwhakamahi, ahakoa kei te whakaaro ano ratou. kia mohio nga kaitätari i te iti rawa o nga kaupapa o te tirotiro whatunga me te aroturuki). Engari kia hoki ano ki te SiLK. Ko te huringa mahi a te kaitātari me te ahua penei:

• Te whakatakoto whakaaro. Me mohio tatou ki nga mea e rapuhia ana e tatou i roto i te waea waea, me mohio ki nga huanga ahurei e kitea ai e tatou etahi momo kino, whakatuma ranei.
• Te hanga tauira. Ka oti te whakatakoto i tetahi whakapae, ka whakamaaramatia e matou ma te whakamahi i te Python kotahi, te anga, etahi atu taputapu ranei kaore i whakauruhia ki te SiLK.
• Whakamatau. Kua tae ki te wa ki te tirotiro i te tika o to maatau whakapae, ka whakamanahia, ka whakakorehia ranei ma te whakamahi i nga taputapu SiLK timata mai i te 'rw', 'set', 'pueke'.
• Te tātari o nga raraunga tuuturu. I roto i nga mahi ahumahi, ka awhina a SiLK ki a maatau ki te tautuhi i tetahi mea, me whakautu e te kaitirotiro nga patai "I kitea e matou nga mea i tumanakohia e matou?", "Kei te rite tenei ki to maatau whakaaro?", "Me pehea te whakaiti i te maha o nga hua pai?", "Me pehea ki te whakapai ake i te taumata o te mohiotanga? » me etahi atu.
• Te whakapai ake. I te waahanga whakamutunga, ka whakapai ake i nga mea i mahia i mua - ka hangaia e matou nga tauira, te whakapai me te arotau i te waehere, te whakahou me te whakamarama i te whakapae, aha atu.

Ka pa ano tenei huringa ki a Cisco Stealthwatch, ko te mea whakamutunga anake ka whakaaunoa i enei hikoinga e rima ki te morahi, ka whakaiti i te maha o nga hapa kaitātari me te whakanui ake i te pai o te kitenga maiki. Hei tauira, i roto i te SiLK ka taea e koe te whakarangatira i nga tatauranga whatunga me nga raraunga o waho i runga i nga IP kino ma te whakamahi i nga tuhinga tuhi-a-ringa, a, i roto i te Cisco Stealthwatch he mahi hanga-i roto e whakaatu tonu ana i te whakaoho mena kei te hokohoko whatunga nga taunekeneke me nga wahitau IP mai i te rarangi pango.

Mena ka piki ake koe i roto i te "utu" pyramid mo te raupaparorohiko tātari rere, katahi ka whai muri i te SiLK tino kore utu ka puta he ELK shareware, e toru nga waahanga matua - Elasticsearch (te tohu, te rapu me te tātari raraunga), Logstash (whakauru / whakaputanga raraunga. ) me Kibana (whakakitenga). Kaore i rite ki a SiLK, me tuhi koe i nga mea katoa, he maha nga whare pukapuka kua oti te hanga e te ELK (he utu etahi, ko etahi kaore) e whakaaunoa ana i te tātaritanga o te waea waea. Hei tauira, ko te tātari GeoIP i Logstash ka taea e koe te hono atu i nga wahitau IP kua tirohia me o raatau waahi matawhenua (kei a Stealthwatch tenei waahanga whakauru).

He hapori tino nui ano a ELK kei te whakaoti i nga waahanga kua ngaro mo tenei otinga aroturuki. Hei tauira, ki te mahi tahi me Netflow, IPFIX me sFlow ka taea e koe te whakamahi i te kōwae rewharewha, ki te kore koe e makona ki te Logstash Netflow Module, e tautoko ana i te Netflow anake.

Ahakoa te kaha ake o te kohi rerenga me te rapu i roto, karekau a ELK i tenei wa i nga tātaritanga hanga-i roto mo te kite i nga kohikohi me nga whakatuma i roto i te waea waea. Arā, i muri i te huringa ora i whakaahuahia i runga ake nei, me whakaahua takitahi koe i nga tauira takahi katahi ka whakamahi i roto i te punaha whawhai (kaore he tauira kua hangaia ki reira).

Ko te tikanga, he maha atu nga taapiri mo te ELK, kei roto nei etahi tauira mo te kite i nga momo rereke i roto i te waea waea whatunga, engari ko enei taapiri he utu moni, kei konei te patai mena he utu te keemu ki te rama - tuhia he tauira rite koe, hoko mai whakatinanatanga mo to taputapu aroturuki, hoko mai ranei he otinga kua oti te hanga o te akomanga Whatunga Traffic Analysis.

I te nuinga o te waa, kaore au e pai ki te uru ki roto i te tautohetohe he pai ake te whakapau moni me te hoko i tetahi otinga kua rite mo te aro turuki i nga kino me nga whakatuma i roto i te waea waea (hei tauira, Cisco Stealthwatch) ka whakaaro ranei koe me te whakarite i te ahua ano. SiLK, ELK or nfdump or OSU Flow Utauta mo ia riri hou ( Kei te korero ahau mo nga mea whakamutunga e rua korerotia wā whakamutunga)? Ka whiriwhiri nga tangata katoa ma ratou ano, kei ia tangata ano o ratou ake kaupapa mo te whiriwhiri i tetahi o nga whiringa e rua. I hiahia noa ahau ki te whakaatu ko te telemetry whatunga he taputapu tino nui ki te whakarite i te haumarutanga o te whatunga o to hanganga o roto me te kore e warewarehia e koe, kia kore ai e uru ki te rarangi o nga kamupene kua whakahuahia te ingoa i roto i te hunga panui me nga epithets " taumanutia", "kaore e tutuki ki nga whakaritenga haumarutanga korero" ", "kaore e whakaaro mo te haumarutanga o o raatau raraunga me nga raraunga kaihoko."

Hei whakarāpopototanga, e hiahia ana ahau ki te whakarārangi i ngā tohutohu matua me whai koe i te wa e hanga ana i te aro turuki haumarutanga korero o to hanganga o roto:

1. Kaua e whakawhāiti noa koe ki te paenga! Whakamahia (me te whiriwhiri) hanganga whatunga kia kaua e neke noa nga waka mai i te waahi A ki te tohu B, engari ki te whakatika i nga take haumaru ipurangi.
2. Akohia nga tikanga aro turuki haumarutanga korero i roto i o taputapu whatunga me te whakamahi.
3. Mo te aro turuki a-roto, hoatu te manakohanga ki te tātari waea - ka taea e koe te kite ake ki te 80-90% o nga maiki haumarutanga korero whatunga katoa, me te mahi i nga mea e kore e taea i te wa e hopu ana i nga paatete whatunga me te penapena waahi mo te penapena i nga huihuinga haumarutanga korero katoa.
4. Hei aroturuki i nga rerenga, whakamahia te Netflow v9, IPFIX ranei - ka whakaratohia e ratou etahi atu korero i roto i te horopaki haumarutanga ka taea e koe te aroturuki ehara i te IPv4 anake, engari ano hoki IPv6, MPLS, etc.
5. Whakamahia he kawa rere kore tauira - he nui ake nga korero mo te kimi i nga tuma. Hei tauira, Netflow, IPFIX ranei.
6. Tirohia te uta o to taputapu whatunga - kare pea e taea te whakahaere i te kawa rere. Kātahi ka whakaaro ki te whakamahi pūoko mariko, Netflow Generation Appliance ranei.
7. Whakaritea te mana whakahaere i te tuatahi ki te taumata uru - ma tenei ka whai waahi koe ki te kite 100% o nga waka katoa.
8. Mena karekau he whiringa, kei te whakamahi koe i nga taputapu whatunga Ruhia, katahi ka kowhiria tetahi e tautoko ana i nga tikanga rere, he tauranga SPAN/RSPAN ranei.
9. Whakakotahitia nga punaha whakamohiotanga/whakaekea/ arai i nga taha me nga punaha tātari rere i roto i te whatunga o roto (tae atu ki nga kapua).

Mo te pito whakamutunga, e hiahia ana ahau ki te tuku whakaahua kua oti i ahau te korero i mua. Ka kite koe mehemea i mua tata katoa i hangaia e te ratonga haumarutanga korero a Cisco tana punaha aroturuki haumaru korero i runga i nga punaha rapunga whakaurunga me nga tikanga hainatanga, inaianei kei te 20% noa o nga aitua. Ko tetahi atu 20% ka taka ki runga i nga punaha tātari rerenga, e kii ana ko enei otinga ehara i te mea he hiahia, engari he taputapu pono i roto i nga mahi o nga ratonga haumaru korero o te hinonga hou. I tua atu, kei a koe te mea tino nui mo to raatau whakatinanatanga - nga hanganga whatunga, nga haumi ka taea te whakamarumaru ake ma te tuku i nga mahi tirotiro haumaru korero ki te whatunga.

Kaore au i tino pa ki te kaupapa o te whakautu ki nga mahi kino, ki nga whakatumatanga ranei i kitea i roto i nga rerenga whatunga, engari ki taku whakaaro kua tino marama te aro turuki kia kaua e mutu anake me te kitenga o te riri. Me whai i te whakautu me te pai ake i roto i te aratau aunoa, aunoa ranei. Engari he kaupapa tenei mo te tuhinga motuhake.

Ētahi atu mōhiohio:

• Whakaahuatanga o Cisco IOS Netflow
• Matrix tautoko Netflow i roto i nga momo otinga Cisco
• He Aratohu mo te Whakaritea Netflow i runga i nga Raarangi Cisco
• Hapori sFlow
• Te taiwhanga e whakamahi ana i te Stealtjwatch, SiLK me te ELK hei tātari i te Netflow mai i te tirohanga haumarutanga
• pae tukutuku SiLK
• E toru rau-wharangi aratohu ki te whakamahi i te SiLK me te maha o nga tauira
• Logstash Netflow Kōwae
• Cisco Hipanga-i-Taahiraa Aratohu ki te Netflow Analysis i ELK
• Te tātaritanga o NetFlow v.9 Cisco ASA ma te whakamahi i te Logstash (ELK)
• Cisco Stealthwatch Solution

PS. Mena he ngawari ake ki a koe te rongo i nga mea katoa i tuhia i runga ake nei, katahi ka taea e koe te maataki i te whakaaturanga haora-roa i hanga te turanga o tenei tuhipoka.

Source: will.com