тархсан сүлжээн дэх аюул заналхийллийг иж бүрэн хянах боломжийг олгодог мэдээллийн аюулгүй байдлын салбарт аналитик шийдэл юм. StealthWatch нь чиглүүлэгч, унтраалга болон бусад сүлжээний төхөөрөмжөөс NetFlow болон IPFIX цуглуулахад суурилдаг. Үүний үр дүнд сүлжээ нь мэдрэмтгий мэдрэгч болж, администраторт Next Generation Firewall зэрэг сүлжээний аюулгүй байдлын уламжлалт аргууд хүрч чадахгүй газруудыг хайх боломжийг олгодог.
Өмнөх нийтлэлүүдэд би StealthWatch-ийн талаар аль хэдийн бичсэн: Тэгээд . Одоо би дохиололтой хэрхэн ажиллах талаар ярилцаж, шийдлийг бий болгож буй аюулгүй байдлын зөрчлийг судлахыг санал болгож байна. Бүтээгдэхүүний ашиг тусын талаар сайн ойлголт өгөх 6 жишээ байх болно.
Нэгдүгээрт, StealthWatch нь алгоритм болон тэжээлийн хооронд дохиоллын зарим хуваарилалттай гэдгийг хэлэх хэрэгтэй. Эхнийх нь янз бүрийн төрлийн дохиолол (мэдэгдэл) бөгөөд асаалттай үед та сүлжээн дэх сэжигтэй зүйлийг илрүүлж чадна. Хоёр дахь нь аюулгүй байдлын зөрчил юм. Энэ нийтлэлд өдөөсөн алгоритмын 4 жишээ, тэжээлийн 2 жишээг авч үзэх болно.
1. Сүлжээний хамгийн том харилцан үйлчлэлийн дүн шинжилгээ
StealthWatch-ийг тохируулах эхний алхам бол хостууд болон сүлжээг бүлэг болгон тодорхойлох явдал юм. Вэб интерфэйсийн таб дээр Тохируулах > Хост бүлгийн менежментийг сонгоно уу Сүлжээ, хост, серверүүдийг зохих бүлэгт ангилах ёстой. Та мөн өөрийн бүлгүүдийг үүсгэж болно. Дашрамд хэлэхэд, Cisco StealthWatch дээрх хостуудын харилцан үйлчлэлд дүн шинжилгээ хийх нь маш тохиромжтой, учир нь та хайлтын шүүлтүүрийг урсгалаар төдийгүй үр дүнг өөрөө хадгалах боломжтой.
Эхлэхийн тулд вэб интерфэйс дээр та таб руу очих хэрэгтэй Шинжилгээ хийх > Урсгал хайх. Дараа нь та дараах параметрүүдийг тохируулах хэрэгтэй.
- Хайлтын төрөл - Шилдэг харилцан яриа (хамгийн алдартай харилцан яриа)
- Хугацаа - 24 цаг (цаг хугацаа, та өөр ашиглаж болно)
- Хайлтын нэр - Дотор талын шилдэг харилцан яриа (ямар ч найрсаг нэр)
- Сэдэв - Хост бүлгүүд → Дотор хостууд (эх сурвалж - дотоод хостуудын бүлэг)
- Холболт (та портууд, програмуудыг зааж өгч болно)
- Үе тэнгийнхэн - Хостын бүлгүүд → Дотор хостууд (очих газар - дотоод зангилааны бүлэг)
- Нарийвчилсан сонголтууд дээр та өгөгдлийг үзэх цуглуулагчийг нэмж зааж өгч, гаралтыг (байт, урсгал гэх мэт) ангилах боломжтой. Би үүнийг анхдагч байдлаар үлдээх болно.
Товчлуур дарсны дараа хайх Дамжуулсан өгөгдлийн хэмжээгээр аль хэдийн эрэмблэгдсэн харилцан үйлчлэлийн жагсаалт гарч ирнэ.
Миний жишээнд хөтлөгч 10.150.1.201 (сервер) зөвхөн нэг урсгал дотор дамждаг 1.5 ГБ байна хост руу чиглэсэн урсгал 10.150.1.200 (үйлчлүүлэгч) протоколоор MySQL. Товчлуур Багануудыг удирдах гаралтын өгөгдөлд илүү олон багана нэмэх боломжийг танд олгоно.
Дараа нь администраторын үзэмжээр та энэ төрлийн харилцан үйлчлэлийг үргэлж өдөөж, SNMP, цахим шуудан эсвэл Syslog-ээр дамжуулан танд мэдэгдэх тусгай дүрмийг үүсгэж болно.
2. Сүлжээн дэх хамгийн удаан үйлчлүүлэгч-серверийн харилцан үйлчлэлийн сааталд дүн шинжилгээ хийх
Шошго SRT (Серверийн хариу өгөх хугацаа), RTT (Хойшоо аяллын цаг) серверийн саатал болон сүлжээний ерөнхий саатлыг олж мэдэх боломжийг танд олгоно. Энэ хэрэгсэл нь удаан ажиллаж байгаа програмын талаар хэрэглэгчийн гомдлын шалтгааныг хурдан олох шаардлагатай үед ялангуяа ашигтай байдаг.
тайлбар: бараг бүх Netflow экспортлогчид яаж мэдэхгүй байна SRT, RTT хаягуудыг илгээдэг тул FlowSensor дээр ийм өгөгдлийг харахын тулд та сүлжээний төхөөрөмжөөс траффикийн хуулбарыг илгээхийг тохируулах хэрэгтэй. FlowSensor нь эргээд өргөтгөсөн IPFIX-ийг FlowCollector руу илгээдэг.
Энэхүү шинжилгээг администраторын компьютер дээр суулгасан StealtWatch java программ дээр хийх нь илүү тохиромжтой.
Хулганы баруун товчлуур асаалттай Хостуудын дотор болон таб руу оч Урсгалын хүснэгт.
Дээр товшино уу Шүүлтүүр мөн шаардлагатай параметрүүдийг тохируулна уу. Жишээ болгон:
- Огноо/Цаг - Сүүлийн 3 өдөр
- Гүйцэтгэл - Хоёр талын аяллын дундаж хугацаа >=50мс
Өгөгдлийг харуулсны дараа бид сонирхож буй RTT болон SRT талбаруудыг нэмэх хэрэгтэй. Үүнийг хийхийн тулд дэлгэцийн зураг дээрх багана дээр товшоод хулганы баруун товчийг дарна уу Багануудыг удирдах. Дараа нь RTT, SRT параметрүүдийг дарна уу.
Хүсэлтийг боловсруулсны дараа би RTT дундажаар эрэмбэлж, хамгийн удаан харилцан үйлчлэлийг харсан.
Дэлгэрэнгүй мэдээлэл рүү орохын тулд урсгал дээр хулганы баруун товчийг дараад сонгоно уу Урсгалын хурдан харах.
Энэ мэдээлэл нь хост гэдгийг харуулж байна 10.201.3.59 бүлгээс Борлуулалт ба маркетинг протоколын дагуу NFS руу ханддаг DNS сервер минут 23 секундын турш, зүгээр л аймшигтай хоцрогдолтой байна. Таб дотор интерфэйсүүд Та мэдээллийг аль Netflow өгөгдөл экспортлогчоос авсан болохыг олж мэдэх боломжтой. Таб дотор Хүснэгт Харилцааны талаарх дэлгэрэнгүй мэдээллийг харуулав.
Дараа нь та ямар төхөөрөмж FlowSensor руу траффик илгээж байгааг олж мэдэх хэрэгтэй бөгөөд асуудал тэнд байж магадгүй юм.
Түүгээр ч барахгүй StealthWatch нь удирдаж байгаагаараа онцлог юм давхардал өгөгдөл (ижил урсгалуудыг нэгтгэдэг). Тиймээс та бараг бүх Netflow төхөөрөмжөөс цуглуулах боломжтой бөгөөд давхардсан өгөгдөл их байх болно гэж бүү ай. Үүний эсрэгээр, энэ схемд аль хоп хамгийн их сааталтай байгааг ойлгоход тусална.
3. HTTPS криптографийн протоколуудын аудит
ETA (Шифрлэгдсэн Траффик Аналитик) нь Cisco-ийн боловсруулсан технологи бөгөөд шифрлэгдсэн траффик доторх хортой холболтыг тайлахгүйгээр илрүүлэх боломжийг олгодог. Нэмж дурдахад, энэ технологи нь HTTPS-ийг TLS хувилбарууд болон холболтын үед ашигладаг криптографийн протоколууд болгон задлан шинжлэх боломжийг олгодог. Энэ функц нь сул крипто стандартыг ашигладаг сүлжээний зангилааг илрүүлэх шаардлагатай үед ялангуяа ашигтай байдаг.
тайлбар: Та эхлээд StealthWatch дээр сүлжээний програм суулгах хэрэгтэй - ETA Cryptographic Audit.
Таб руу оч Хяналтын самбар → ETA Cryptographic Audit мөн бидний дүн шинжилгээ хийхээр төлөвлөж буй хостуудын бүлгийг сонго. Ерөнхий зургийн хувьд сонгоцгооё Хостуудын дотор.
TLS хувилбар болон холбогдох крипто стандарт гарсныг харж болно. Багана дахь ердийн схемийн дагуу үйл ажиллагаа руу явах Урсгал харах хайлт нь шинэ таб дээрээс эхэлнэ.
Гаралтаас харахад хост 198.19.20.136 даяар 12 цаг Шифрлэлтийн алгоритмыг TLS 1.2-тэй HTTPS-г ашигласан AES-256 ба хэш функц SHA-384. Тиймээс ETA нь сүлжээнд сул алгоритмуудыг олох боломжийг олгодог.
4. Сүлжээний хэвийн бус байдлын шинжилгээ
Cisco StealthWatch нь гурван хэрэгслийг ашиглан сүлжээн дэх замын хөдөлгөөний гажигийг таних боломжтой. Үндсэн үйл явдлууд (аюулгүй байдлын үйл явдлууд), Харилцааны үйл явдлууд (сегментүүд, сүлжээний зангилаа хоорондын харилцан үйлчлэлийн үйл явдлууд) ба зан үйлийн шинжилгээ.
Зан төлөвийн шинжилгээ нь эргээд тодорхой хост эсвэл бүлэг хостуудын зан үйлийн загварыг бий болгох боломжийг олгодог. StealthWatch-ээр дамжин өнгөрөх урсгал их байх тусам энэхүү шинжилгээний ачаар сэрэмжлүүлэг илүү нарийвчлалтай байх болно. Эхлээд систем нь маш их буруу өдөөдөг тул дүрмийг гараар "мушгих" хэрэгтэй. Эхний хэдэн долоо хоногт ийм үйл явдлуудыг үл тоомсорлохыг зөвлөж байна, учир нь систем өөрөө өөрийгөө тохируулах эсвэл үл хамаарах зүйлд нэмэх болно.
Урьдчилан тодорхойлсон дүрмийн жишээг доор харуулав Аномали, хэрэв үйл явдал дохиололгүйгээр гал болно гэж заасан Inside Hosts бүлгийн хост нь Inside Hosts бүлэгтэй харилцаж, 24 цагийн дотор урсгал 10 мегабайтаас хэтрэх болно..
Жишээлбэл, сэрүүлгийг авч үзье Өгөгдөл хуримтлуулах, энэ нь зарим эх сурвалж/очих хост хостууд эсвэл хостоос хэт их хэмжээний өгөгдөл байршуулсан/татаж авсан гэсэн үг юм. Үйл явдал дээр дарж, идэвхжүүлэгч хостуудыг заасан хүснэгтэд очно уу. Дараа нь баганад бидний сонирхож буй хостыг сонгоно уу Өгөгдөл хуримтлуулах.
162 мянган "оноо" илэрсэн гэдгийг харуулсан үйл явдал гарч ирэх бөгөөд бодлогын дагуу 100 мянган "оноо"-г зөвшөөрдөг - эдгээр нь StealthWatch-ын дотоод хэмжүүрүүд юм. Баганад үйл ажиллагаа түлхэх Урсгал харах.
Бид үүнийг ажиглаж чадна хост өгсөн шөнийн цагаар эзэнтэй харилцсан 10.201.3.47 хэлтэсээс Борлуулалт ба маркетинг протоколын дагуу HTTPS болон татаж авсан 1.4 ГБ байна. Магадгүй энэ жишээ нь тийм ч амжилттай биш байж магадгүй, гэхдээ хэдэн зуун гигабайтын харилцан үйлчлэлийг илрүүлэх нь яг ижил аргаар явагддаг. Тиймээс гажуудлыг цаашид судлах нь сонирхолтой үр дүнд хүргэж болзошгүй юм.
тайлбар: SMC вэб интерфэйс дэх өгөгдөл нь таб дотор байна Хяналтын самбар зөвхөн сүүлийн долоо хоногт болон таб дээр харагдана Хяналт сүүлийн 2 долоо хоногт. Хуучин үйл явдлуудад дүн шинжилгээ хийх, тайлан гаргахын тулд та администраторын компьютер дээрх java консолтой ажиллах хэрэгтэй.
5. Дотоод сүлжээний сканнеруудыг хайж олох
Одоо мэдээллийн аюулгүй байдлын тохиолдлууд болох мэдээллийн цөөн хэдэн жишээг харцгаая. Энэ функц нь аюулгүй байдлын мэргэжилтнүүдэд илүү сонирхолтой байдаг.
StealthWatch дээр урьдчилан тохируулсан сканнердах үйл явдлын хэд хэдэн төрөл байдаг:
- Port Scan—эх сурвалж нь очих хост дээрх олон портуудыг сканнердаг.
- Addr tcp scan - эх сурвалж нь ижил TCP порт дээрх бүх сүлжээг сканнердаж, очих газрын IP хаягийг өөрчилдөг. Энэ тохиолдолд эх сурвалж нь TCP Reset багцуудыг хүлээн авдаг эсвэл огт хариу хүлээж авдаггүй.
- Addr udp scan - эх сурвалж нь очих газрын IP хаягийг өөрчлөхийн зэрэгцээ ижил UDP порт дээр сүлжээг бүхэлд нь сканнердаж байна. Энэ тохиолдолд эх сурвалж нь ICMP Порт Unreachable пакетуудыг хүлээн авах эсвэл огт хариу хүлээн авахгүй.
- Ping Scan - эх сурвалж нь хариулт хайхын тулд бүх сүлжээнд ICMP хүсэлт илгээдэг.
- Stealth Scan tсp/udp - эх сурвалж нь очих цэгийн олон порттой нэгэн зэрэг холбогдохын тулд ижил портыг ашигласан.
Бүх дотоод сканнеруудыг нэг дор олоход илүү тохиромжтой болгохын тулд сүлжээний програм байдаг StealthWatch - Харагдах байдлын үнэлгээ. Таб руу явж байна Хяналтын самбар → Харагдах байдлын үнэлгээ → Дотоод сүлжээний сканнер та сүүлийн 2 долоо хоногт сканнердахтай холбоотой аюулгүй байдлын зөрчлийг харах болно.
Товчлуур дээр дарснаар Дэлгэрэнгүй, та сүлжээ бүрийг сканнердаж эхлэх, замын хөдөлгөөний чиг хандлага, харгалзах дохиоллыг харах болно.
Дараа нь та өмнөх дэлгэцийн агшин дээрх таб дээрээс хост руу "бүтэлгүйтэж" болох бөгөөд аюулгүй байдлын үйл явдал, мөн энэ хостын сүүлийн долоо хоногт хийсэн үйл ажиллагааг харах боломжтой.
Жишээ болгон үйл явдалд дүн шинжилгээ хийцгээе Порт хайлт хостоос 10.201.3.149 тухай 10.201.0.72, дарж байна Үйлдлүүд > Холбоотой урсгалууд. Сэдвийн хайлтыг эхлүүлж, холбогдох мэдээллийг харуулна.
Энэ хостыг нэг портоос нь бид хэрхэн харж байна 51508/TCP 3 цагийн өмнө очих хостыг портоор сканнердсан 22, 28, 42, 41, 36, 40 (TCP). Netflow экспортлогч дээр бүх Netflow талбарууд дэмжигддэггүй тул зарим талбарууд мэдээлэл харуулахгүй.
6. CTA ашиглан татаж авсан хортой програмын шинжилгээ
CTA (Танин мэдэхүйн аюулын аналитик) — Cisco үүлний аналитик нь Cisco StealthWatch-тэй төгс нийцдэг бөгөөд гарын үсэггүй шинжилгээг гарын үсгийн шинжилгээгээр нөхөх боломжийг олгодог. Энэ нь троян, сүлжээний хорхой, zero-day malware болон бусад хортой программыг илрүүлж, сүлжээнд түгээх боломжтой болгодог. Түүнчлэн, өмнө нь дурдсан ETA технологи нь шифрлэгдсэн траффик дахь ийм хортой харилцааг шинжлэх боломжийг олгодог.
Вэб интерфэйсийн хамгийн эхний таб дээр тусгай виджет байдаг Танин мэдэхүйн аюулын аналитик. Товч хураангуй нь хэрэглэгчийн хостууд дээр илэрсэн аюул заналыг харуулж байна: Троян, хуурамч программ хангамж, ядаргаатай зар сурталчилгаа. "Шифрлэгдсэн" гэдэг үг нь үнэндээ ETA-ийн ажлыг илтгэнэ. Хост дээр дарснаар түүний талаарх бүх мэдээлэл, CTA бүртгэл зэрэг аюулгүй байдлын үйл явдлууд гарч ирнэ.
CTA-ийн үе шат бүр дээр гүйлгэх замаар үйл явдал нь харилцан үйлчлэлийн талаарх дэлгэрэнгүй мэдээллийг харуулдаг. Бүрэн аналитикийг энд дарж үзнэ үү Ослын дэлгэрэнгүй мэдээллийг харах, мөн таныг тусдаа консол руу аваачна Танин мэдэхүйн аюулын аналитик.
Баруун дээд буланд байгаа шүүлтүүр нь үйл явдлыг ноцтой байдлын түвшингээр харуулах боломжийг олгодог. Та тодорхой гажиг руу заахад дэлгэцийн доод талд баруун талд харгалзах он цагийн хэлхээс бүхий бүртгэлүүд гарч ирнэ. Тиймээс мэдээллийн аюулгүй байдлын мэргэжилтэн нь ямар хост халдвар авсан, ямар үйлдэл хийсний дараа ямар үйлдэл хийж эхэлснийг тодорхой ойлгодог.
Өөр нэг жишээг доор харуулав - хостыг халдварласан банкны троян 198.19.30.36. Энэ хост нь хортой домэйнуудтай харилцаж эхэлсэн бөгөөд бүртгэлүүд нь эдгээр харилцан үйлчлэлийн урсгалын талаарх мэдээллийг харуулдаг.
Дараа нь байж болох хамгийн сайн шийдлүүдийн нэг бол уугуул хүний ачаар хостыг хорио цээрийн дэглэмд оруулах явдал юм Цаашдын эмчилгээ, шинжилгээнд зориулж Cisco ISE-тэй.
дүгнэлт
Cisco StealthWatch шийдэл нь сүлжээний шинжилгээ, мэдээллийн аюулгүй байдлын хувьд сүлжээний хяналтын бүтээгдэхүүнүүдийн дунд тэргүүлэгчдийн нэг юм. Үүний ачаар та сүлжээн дэх хууль бус харилцан үйлчлэл, програмын саатал, хамгийн идэвхтэй хэрэглэгчид, гажиг, хортой програм, APT-ийг илрүүлэх боломжтой. Үүнээс гадна та сканнер, пентестер олж, HTTPS траффикийн крипто аудит хийх боломжтой. Та илүү олон хэрэглээний тохиолдлыг эндээс олж болно .
Хэрэв та өөрийн сүлжээнд бүх зүйл хэр зэрэг жигд, үр дүнтэй ажиллаж байгааг шалгахыг хүсвэл илгээнэ үү .
Ойрын ирээдүйд бид мэдээллийн аюулгүй байдлын янз бүрийн бүтээгдэхүүний талаар хэд хэдэн техникийн нийтлэл гаргахаар төлөвлөж байна. Хэрэв та энэ сэдвийг сонирхож байгаа бол манай сувгуудын шинэчлэлтүүдийг дагаарай (, , , )!
Эх сурвалж: www.habr.com