اندروني نيٽ ورڪ سيڪيورٽي جي نگراني لاء هڪ اوزار جي طور تي فلو پروٽوڪول

جڏهن اهو هڪ اندروني ڪارپوريٽ يا ڊپارٽمينٽل نيٽ ورڪ جي سيڪيورٽي جي نگراني ڪرڻ لاء اچي ٿو، ڪيترائي ان سان لاڳاپيل معلومات ليڪ کي ڪنٽرول ڪرڻ ۽ DLP حل لاڳو ڪرڻ سان. ۽ جيڪڏھن توھان سوال کي واضع ڪرڻ جي ڪوشش ڪريو ۽ پڇو ته توھان اندروني نيٽ ورڪ تي حملن کي ڪيئن ڳوليندا آھيو، پوء جواب، ضابطي جي طور تي، مداخلت جي سڃاڻپ سسٽم (IDS) جو ذڪر ڪيو ويندو. ۽ 10-20 سال اڳ جو واحد آپشن هو اڄ هڪ انتشار بڻجي رهيو آهي. اتي ھڪڙو وڌيڪ اثرائتو آھي، ۽ ڪجھ جڳھن تي، ھڪڙي اندروني نيٽ ورڪ جي نگراني ڪرڻ لاء واحد ممڪن اختيار آھي - فلو پروٽوڪولز استعمال ڪندي، جيڪي اصل ۾ نيٽ ورڪ جي مسئلن (پريشاني) کي ڳولڻ لاء تيار ڪيا ويا آھن، پر وقت سان گڏ ھڪڙو دلچسپ سيڪيورٽي اوزار ۾ تبديل ٿي ويو. اسان ان بابت ڳالهائينداسين ته ڪهڙا فلو پروٽوڪول آهن ۽ ڪهڙا نيٽ ورڪ حملن کي ڳولڻ ۾ بهتر آهن، جتي فلو مانيٽرنگ کي لاڳو ڪرڻ بهتر آهي، اهڙي اسڪيم کي ترتيب ڏيڻ وقت ڪهڙي شيءِ کي ڏسڻ گهرجي، ۽ گهريلو سامان تي هي سڀ ”لفٽ“ ڪيئن ڪجي. هن مضمون جي دائري ۾.

مان ان سوال تي نه رھندس ته ”اندروني انفراسٽرڪچر سيڪيورٽي مانيٽرنگ جي ضرورت ڇو آھي؟ جواب صاف نظر اچي ٿو. پر جيڪڏهن، ان جي باوجود، توهان هڪ ڀيرو ٻيهر پڪ ڪرڻ چاهيندا ته اڄ توهان ان کان سواء رهي نه ٿا سگهو، هڪ نظر وٺو هڪ مختصر وڊيو جنهن ۾ توهان 17 طريقن سان فائر وال ذريعي محفوظ ڪيل ڪارپوريٽ نيٽ ورڪ کي ڪيئن داخل ڪري سگهو ٿا. تنهن ڪري، اسان اهو فرض ڪنداسين ته اسان سمجهون ٿا ته اندروني نگراني هڪ ضروري شيء آهي ۽ باقي اهو سمجهڻ آهي ته اهو ڪيئن منظم ٿي سگهي ٿو.

مان نيٽ ورڪ سطح تي انفراسٽرڪچر جي نگراني لاءِ ٽن اهم ڊيٽا ذريعن کي اجاگر ڪندس:

• "خام" ٽرئفڪ جنهن کي اسين پڪڙيندا آهيون ۽ تجزيو لاءِ جمع ڪريون ٿا ڪجهه تجزياتي نظام ڏانهن،
• نيٽ ورڪ ڊوائيسز کان واقعا جن جي ذريعي ٽرئفڪ گذري ٿو،
• ٽريفڪ جي معلومات حاصل ڪئي وئي هڪ فلو پروٽوڪول ذريعي.

خام ٽريفڪ کي پڪڙڻ سيڪيورٽي ماهرن جي وچ ۾ سڀ کان وڌيڪ مشهور اختيار آهي، ڇاڪاڻ ته اهو تاريخي طور تي ظاهر ٿيو ۽ پهريون ڀيرو هو. روايتي نيٽ ورڪ جي مداخلت جو پتو لڳائڻ وارو نظام (اهو پهريون تجارتي مداخلت جو پتو لڳائڻ وارو نظام نيٽ رينجر هو جيڪو ويل گروپ کان 1998 ۾ خريد ڪيو ويو سسڪو طرفان) خاص طور تي پيڪن کي پڪڙڻ ۾ مصروف هئا (۽ بعد ۾ سيشن) جن ۾ ڪجهه دستخط ڳوليا ويندا هئا ("فيصلي وارا ضابطا" FSTEC اصطلاحات)، سگنلنگ حملا. يقينا، توهان خام ٽريفڪ جو تجزيو ڪري سگهو ٿا نه رڳو IDS استعمال ڪندي، پر ٻيا اوزار پڻ استعمال ڪندي (مثال طور، Wireshark، tcpdum يا NBAR2 ڪارڪردگي Cisco IOS ۾)، پر انهن وٽ عام طور تي علم جي کوٽ ناهي جيڪا معلومات جي حفاظت واري اوزار کي باقاعده کان ڌار ڪري ٿي. آئي ٽي اوزار.

تنهن ڪري، حملي جو پتو لڳائڻ وارو نظام. نيٽ ورڪ حملن کي ڳولڻ جو سڀ کان پراڻو ۽ سڀ کان مشهور طريقو، جيڪو سٺو ڪم ڪري ٿو پردي تي (ڪجهه به نه - ڪارپوريٽ، ڊيٽا سينٽر، سيڪشن، وغيره)، پر جديد سوئچ ٿيل ۽ سافٽ ويئر جي وضاحت ڪيل نيٽ ورڪن ۾ ناڪام ٿئي ٿو. روايتي سوئچز جي بنياد تي ٺاهيل نيٽ ورڪ جي صورت ۾، حملي جي سڃاڻپ سينسر جو انفراسٽرڪچر تمام وڏو ٿي ويندو آهي - توهان کي هر ڪنيڪشن تي هڪ سينسر نصب ڪرڻو پوندو نوڊ تي جنهن تي توهان حملن جي نگراني ڪرڻ چاهيو ٿا. ڪو به ڪارخانو، يقينا، توهان کي سئو ۽ هزارين سينسر وڪڻڻ ۾ خوش ٿيندو، پر منهنجو خيال آهي ته توهان جي بجيٽ اهڙن خرچن جي حمايت نه ڪري سگهي. مان اهو چئي سگهان ٿو ته سسڪو (۽ اسان NGIPS جا ڊولپر آهيون) اسان اهو نه ڪري سگهون ٿا، جيتوڻيڪ اهو لڳي ٿو ته قيمت جو مسئلو اسان جي سامهون آهي. مون کي بيهڻ نه گهرجي - اهو اسان جو پنهنجو فيصلو آهي. ان کان سواء، سوال پيدا ٿئي ٿو، ڪيئن هن نسخي ۾ sensor ڳنڍڻ؟ خلا ۾؟ ڇا جيڪڏهن سينسر پاڻ کي ناڪام ٿئي؟ سينسر ۾ بائي پاس ماڊل جي ضرورت آهي؟ تقسيم ڪندڙ استعمال ڪريو (ٽيپ)؟ هي سڀ حل وڌيڪ مهانگو بڻائي ٿو ۽ ڪنهن به سائيز جي ڪمپني لاءِ ان کي ناقابل برداشت بڻائي ٿو.

توھان ڪوشش ڪري سگھو ٿا "هنگ" سينسر کي SPAN/RSPAN/ERSPAN بندرگاھ تي ۽ سڌو ٽرئفڪ کي گھربل سوئچ بندرگاھن کان ان ڏانھن. هي اختيار جزوي طور تي پوئين پيراگراف ۾ بيان ڪيل مسئلي کي ختم ڪري ٿو، پر هڪ ٻيو پيش ڪري ٿو - SPAN بندرگاهن بلڪل قبول نه ٿو ڪري سگهي تمام ٽرئفڪ جيڪا ان ڏانهن موڪلي ويندي - ان ۾ ڪافي بينڊوڊٿ نه هوندي. توهان کي ڪجهه قربان ڪرڻو پوندو. يا ته ڪجهه نوڊس کي ڇڏي ڏيو بغير نگراني جي (پوءِ توهان کي انهن کي اوليت ڏيڻ جي ضرورت آهي)، يا نه موڪليو سڀني ٽرئفڪ کي نوڊ مان، پر صرف هڪ خاص قسم. ڪنهن به صورت ۾، اسان ڪجهه حملن کي وڃائي سگهون ٿا. ان کان سواء، SPAN بندرگاهه ٻين ضرورتن لاء استعمال ڪري سگهجي ٿو. نتيجي طور، اسان کي موجوده نيٽ ورڪ ٽوپولوجي جو جائزو وٺڻو پوندو ۽ ممڪن طور تي ان کي ترتيب ڏيڻو پوندو ته جيئن توهان جي نيٽ ورڪ کي وڌ ۾ وڌ سينسرز جي تعداد سان ڍڪي سگهجي (۽ ان کي IT سان همٿايو).

ڇا جيڪڏھن توھان جو نيٽ ورڪ غير معمولي رستا استعمال ڪري ٿو؟ ڇا جيڪڏھن توھان SDN تي عمل ڪيو آھي يا منصوبابندي ڪري رھيا آھيو؟ ڇا جيڪڏهن توهان کي مجازي مشينن يا ڪنٽينرز جي نگراني ڪرڻ جي ضرورت آهي جن جي ٽرئفڪ بلڪل جسماني سوئچ تائين نه پهچي؟ اهي سوال آهن جيڪي روايتي IDS وينڊرز پسند نٿا ڪن ڇاڪاڻ ته اهي نٿا ڄاڻن ته انهن جو جواب ڪيئن ڏيو. ٿي سگهي ٿو اهي توهان کي قائل ڪندا ته اهي سڀ فيشن وارا ٽيڪنالاجيون هائپ آهن ۽ توهان کي ان جي ضرورت ناهي. ٿي سگهي ٿو ته اهي ننڍي شروع ڪرڻ جي ضرورت جي باري ۾ ڳالهائي ويندي. يا ٿي سگهي ٿو اهي چون ٿا ته توهان کي نيٽ ورڪ جي مرڪز تي هڪ طاقتور ٿلهو رکڻ جي ضرورت آهي ۽ بيلنس استعمال ڪندي سڀني ٽرئفڪ کي سڌو رستو ڏيکاريندو. جيڪو به اختيار توهان کي پيش ڪيو وڃي، توهان کي واضح طور تي سمجهڻ جي ضرورت آهي ته اهو توهان کي ڪيئن مناسب آهي. ۽ صرف ان کان پوء، نيٽ ورڪ جي بنيادي ڍانچي جي معلومات جي حفاظت جي نگراني ڪرڻ جو هڪ طريقو چونڊڻ جو فيصلو ڪيو. پئڪيٽ جي قبضي ڏانهن واپسي، مان اهو چوڻ چاهيان ٿو ته اهو طريقو تمام گهڻو مشهور ۽ اهم آهي، پر ان جو بنيادي مقصد سرحد ڪنٽرول آهي؛ توهان جي تنظيم ۽ انٽرنيٽ جي وچ ۾ حدون، ڊيٽا سينٽر ۽ باقي نيٽ ورڪ جي وچ ۾ حدون، پروسيس ڪنٽرول سسٽم ۽ ڪارپوريٽ سيڪشن جي وچ ۾ حدون. انهن جڳهن ۾، کلاسک IDS/IPS اڃا تائين موجود هجڻ جو حق آهي ۽ انهن جي ڪمن کي چڱي طرح سان منهن ڏيڻ.

اچو ته ٻئي اختيار ڏانھن وڃو. نيٽ ورڪ ڊوائيسز کان اچڻ واري واقعن جو تجزيو پڻ حملي جي ڳولا جي مقصدن لاء استعمال ڪري سگهجي ٿو، پر بنيادي ميکانيزم جي طور تي نه، ڇاڪاڻ ته اهو صرف هڪ ننڍڙي طبقي جي مداخلت کي ڳولڻ جي اجازت ڏئي ٿو. ان کان علاوه، اهو ڪجهه رد عمل ۾ موروثي آهي - حملو پهريون ڀيرو ٿيڻ گهرجي، پوء اهو هڪ نيٽ ورڪ ڊوائيس طرفان رڪارڊ ڪيو وڃي، جيڪو هڪ طريقي سان يا ٻئي ۾ معلومات جي حفاظت سان مسئلو سگنل ڪندو. اهڙا ڪيترائي طريقا آهن. اهو ٿي سگهي ٿو syslog، RMON يا SNMP. انفارميشن سيڪيورٽي جي حوالي سان نيٽ ورڪ مانيٽرنگ لاءِ آخري ٻه پروٽوڪول صرف ان صورت ۾ استعمال ٿيندا آهن جڏهن اسان کي نيٽ ورڪ جي سامان تي DoS حملي جو پتو لڳائڻ جي ضرورت آهي، ڇاڪاڻ ته RMON ۽ SNMP استعمال ڪرڻ ممڪن آهي، مثال طور، ڊوائيس جي سينٽرل تي لوڊ مانيٽر ڪرڻ لاءِ. پروسيسر يا ان جي انٽرفيس. اهو هڪ آهي "سست ترين" (هر ڪنهن وٽ syslog يا SNMP آهي)، پر اندروني انفراسٽرڪچر جي معلومات جي حفاظت جي نگراني جي سڀني طريقن جو پڻ سڀ کان وڌيڪ غير موثر آهي - ڪيترائي حملا صرف ان کان لڪيل آهن. يقينن، انهن کي نظرانداز نه ڪيو وڃي، ۽ ساڳيو syslog تجزيو توهان کي بروقت ڊوائيس جي ترتيب ۾ تبديلين کي سڃاڻڻ ۾ مدد ڪري ٿي، ان جي ٺاهه، پر اهو مڪمل نيٽ ورڪ تي حملن کي ڳولڻ لاء بلڪل مناسب ناهي.

ٽيون اختيار اهو آهي ته هڪ ڊوائيس ذريعي گذرڻ واري ٽرئفڪ بابت معلومات جو تجزيو ڪرڻ جيڪو ڪيترن ئي فلو پروٽوڪولن مان هڪ کي سپورٽ ڪري ٿو. انهي صورت ۾، پروٽوڪول کان سواء، بنيادي طور تي بنيادي طور تي ٽن حصن تي مشتمل آهي:

• وهڪري جي پيداوار يا برآمد. اهو ڪردار عام طور تي هڪ روٽر، سوئچ يا ٻي نيٽ ورڪ ڊيوائس تي لڳايو ويندو آهي، جيڪو، نيٽ ورڪ ٽرئفڪ کي پاڻ ذريعي گذرڻ سان، توهان کي ان مان اهم پيٽرولر ڪڍڻ جي اجازت ڏئي ٿو، جيڪي پوءِ جمع ٿيل ماڊل ڏانهن منتقل ڪيا ويندا آهن. مثال طور، سسڪو نيٽ فلو پروٽوڪول کي سپورٽ ڪري ٿو نه رڳو روٽرز ۽ سوئچز تي، بشمول ورچوئل ۽ صنعتي پروٽوڪول، پر وائرليس ڪنٽرولرز، فائر والز ۽ حتي سرورز تي پڻ.
• جمع وهڪري. انهي ڳالهه تي غور ڪندي ته هڪ جديد نيٽ ورڪ ۾ عام طور تي هڪ کان وڌيڪ نيٽ ورڪ ڊوائيس آهن، وهڪري کي گڏ ڪرڻ ۽ مضبوط ڪرڻ جو مسئلو پيدا ٿئي ٿو، جنهن کي نام نهاد ڪليڪٽر استعمال ڪندي حل ڪيو ويندو آهي، جيڪو وصول ٿيل وهڪري کي پروسيس ڪري ٿو ۽ پوء انهن کي تجزيو لاء منتقل ڪري ٿو.
• وهڪري جو تجزيو تجزيه نگار بنيادي دانشورانه ڪم تي وٺندو آهي ۽، مختلف الگورتھم کي اسٽريم تي لاڳو ڪري، ڪجهه نتيجا ڪڍندو آهي. مثال طور، هڪ IT فنڪشن جي حصي جي طور تي، اهڙي تجزيي ڪندڙ نيٽ ورڪ جي رڪاوٽ جي نشاندهي ڪري سگهي ٿو يا وڌيڪ نيٽ ورڪ کي بهتر ڪرڻ لاء ٽرئفڪ لوڊ پروفائل جو تجزيو ڪري سگهي ٿو. ۽ معلومات جي حفاظت لاءِ، اهڙو تجزيه ڪندڙ ڊيٽا ليڪ، بدسلوڪي ڪوڊ جي پکيڙ يا DoS حملن کي ڳولي سگهي ٿو.

اهو نه سوچيو ته هي ٽي-ٽيئر آرڪيٽيڪچر تمام پيچيده آهي - ٻيا سڀ آپشن (سواءِ، شايد، نيٽ ورڪ مانيٽرنگ سسٽم جيڪي SNMP ۽ RMON سان ڪم ڪن ٿا) پڻ ان مطابق ڪم ڪن ٿا. اسان وٽ تجزيو لاءِ ڊيٽا جنريٽر آهي، جيڪو ٿي سگهي ٿو نيٽ ورڪ ڊيوائس يا هڪ اسٽينڊ اڪيلو سينسر. اسان وٽ هڪ الارم گڏ ڪرڻ وارو نظام آهي ۽ سڄي نگراني جي بنيادي ڍانچي لاءِ هڪ مئنيجمينٽ سسٽم آهي. آخري ٻن حصن کي ھڪڙي نوڊ اندر گڏ ڪري سگھجي ٿو، پر گھٽ يا گھٽ وڏي نيٽ ورڪن ۾ اھي عام طور تي گھٽ ۾ گھٽ ٻن ڊوائيسز تي پکڙيل آھن، ان کي يقيني بڻائڻ لاء اسڪيليبلٽي ۽ قابل اعتماد.

پيٽ جي تجزيي جي برعڪس، جيڪو هر پيڪٽ جي هيڊر ۽ باڊي ڊيٽا جي مطالعي تي ٻڌل آهي ۽ سيشن جنهن تي مشتمل آهي، فلو تجزيو نيٽ ورڪ ٽرئفڪ بابت ميٽا ڊيٽا گڏ ڪرڻ تي ڀاڙي ٿو. ڪڏھن، ڪيترو، ڪٿان ۽ ڪٿان، ڪيئن... اھي سوال آھن جن جا جواب آھن نيٽ ورڪ ٽيليميٽري جي تجزيي ذريعي مختلف فلو پروٽوڪول استعمال ڪندي. شروعات ۾، اهي انگن اکرن جو تجزيو ڪرڻ ۽ نيٽ ورڪ تي IT مسئلن کي ڳولڻ لاء استعمال ڪيا ويا، پر پوء، تجزياتي ميڪانيزم ترقي ڪئي، اهو ممڪن ٿيو ته انهن کي سيڪيورٽي مقصدن لاء ساڳئي ٽيليميٽري تي لاڳو ڪرڻ. اهو ٻيهر نوٽ ڪرڻ جي قابل آهي ته فلو تجزيو پيڪيٽ جي قبضي کي تبديل يا تبديل نٿو ڪري. انهن طريقن مان هر هڪ پنهنجي درخواست جو علائقو آهي. پر هن مضمون جي حوالي سان، اهو وهڪري جو تجزيو آهي جيڪو اندروني زيربنا جي نگراني لاءِ بهترين موزون آهي. توهان وٽ نيٽ ورڪ ڊيوائسز آهن (ڇا اهي سافٽ ويئر جي بيان ڪيل پيراڊم ۾ هلن ٿيون يا جامد ضابطن جي مطابق) جن تي حملو نه ٿو ٿي سگهي. اهو هڪ کلاسک IDS سينسر کي بائي پاس ڪري سگهي ٿو، پر هڪ نيٽ ورڪ ڊوائيس جيڪو فلو پروٽوڪول کي سپورٽ نٿو ڪري سگهي. هن طريقي جو فائدو آهي.

ٻئي طرف، جيڪڏهن توهان کي قانون لاڳو ڪندڙ ادارن يا توهان جي پنهنجي واقعي جي تحقيقاتي ٽيم لاءِ ثبوت جي ضرورت آهي، ته توهان پيڪيٽ پڪچر کان سواءِ نٿا ڪري سگهو - نيٽ ورڪ ٽيليميٽري ٽرئفڪ جي ڪاپي ناهي جيڪا ثبوت گڏ ڪرڻ لاءِ استعمال ٿي سگهي. انفارميشن سيڪيورٽي جي فيلڊ ۾ تيز رفتار ڳولڻ ۽ فيصلو ڪرڻ جي ضرورت آهي. ٻئي طرف، ٽيليميٽري تجزيي کي استعمال ڪندي، توهان "لکڻ" ڪري سگهو ٿا نه سڀئي نيٽ ورڪ ٽرئفڪ (جيڪڏهن ڪجهه به، سسڪو ڊيل ڊيٽا سينٽرن سان :-)، پر صرف اهو جيڪو حملي ۾ ملوث آهي. ان سلسلي ۾ ٽيلي ميٽري تجزيي جا اوزار روايتي پيڪيٽ ڪيپچر ميڪانيزم کي چڱي طرح مڪمل ڪندا، چونڊ ڪيپچر ۽ اسٽوريج لاءِ حڪم ڏيندا. ٻي صورت ۾، توهان وٽ هڪ وڏو اسٽوريج انفراسٽرڪچر هوندو.

اچو ته تصور ڪريو هڪ نيٽ ورڪ 250 Mbit/sec جي رفتار سان ڪم ڪري رهيو آهي. جيڪڏهن توهان اهو سڄو حجم ذخيرو ڪرڻ چاهيو ٿا، ته پوءِ توهان کي ٽريفڪ ٽرانسميشن جي هڪ سيڪنڊ لاءِ 31 MB اسٽوريج، هڪ منٽ لاءِ 1,8 GB، هڪ ڪلاڪ لاءِ 108 GB، ۽ هڪ ڏينهن لاءِ 2,6 TB جي ضرورت پوندي. 10 Gbit/s جي بينڊوڊٿ سان نيٽ ورڪ مان روزاني ڊيٽا کي ذخيرو ڪرڻ لاءِ، توھان کي 108 TB اسٽوريج جي ضرورت پوندي. پر ڪجهه ريگيوليٽرن کي سال لاءِ حفاظتي ڊيٽا محفوظ ڪرڻ جي ضرورت آهي... آن ڊيمانڊ رڪارڊنگ، جيڪو فلو تجزيو توهان کي لاڳو ڪرڻ ۾ مدد ڪري ٿو، انهن قدرن کي گھٽائڻ ۾ مدد ڪري ٿو. رستي ۾، جيڪڏهن اسان رڪارڊ ٿيل نيٽ ورڪ ٽيليميٽري ڊيٽا جي مقدار جي تناسب ۽ مڪمل ڊيٽا جي قبضي جي باري ۾ ڳالهايون ٿا، ته اهو لڳ ڀڳ 1 کان 500 آهي. مٿي ڏنل ساڳين قدرن لاء، سڀني روزاني ٽرئفڪ جي مڪمل ٽرانسڪرپٽ کي محفوظ ڪرڻ. 5 ۽ 216 GB ٿيندو، ترتيب سان (توهان ان کي باقاعده فليش ڊرائيو تي به رڪارڊ ڪري سگهو ٿا).

جيڪڏهن خام نيٽ ورڪ ڊيٽا جي تجزيي لاء اوزار لاء، ان کي پڪڙڻ جو طريقو تقريبا وينڊر کان وينڊر تائين ساڳيو آهي، پوء فلو تجزيو جي صورت ۾ صورتحال مختلف آهي. فلو پروٽوڪول لاءِ ڪيترائي آپشن آھن، اھي فرق جن ۾ توھان کي سڪيورٽي جي حوالي سان ڄاڻڻ جي ضرورت آھي. سڀ کان وڌيڪ مشهور آهي نيٽ فلو پروٽوڪول سسکو پاران ٺاهيل. هن پروٽوڪول جا ڪيترائي نسخا آهن، انهن جي صلاحيتن ۽ ٽرئفڪ جي معلومات جي مقدار ۾ مختلف آهن. موجوده نسخو نائين (Netflow v9) آهي، جنهن جي بنياد تي انڊسٽري معياري Netflow v10، جنهن کي IPFIX پڻ سڏيو ويندو آهي، ترقي ڪئي وئي هئي. اڄ، اڪثر نيٽ ورڪ وينڊرز Netflow يا IPFIX کي سپورٽ ڪن ٿا انهن جي سامان ۾. پر فلو پروٽوڪول لاءِ ٻيا به مختلف آپشن آهن - sFlow، jFlow، cFlow، rFlow، NetStream، وغيره، جن مان sFlow سڀ کان وڌيڪ مشهور آهي. اهو اهو قسم آهي جيڪو اڪثر ڪري نيٽ ورڪ سامان جي گهريلو ٺاهيندڙن جي حمايت ڪري ٿو، ان جي عمل درآمد جي آسانيء جي ڪري. Netflow جي وچ ۾ اهم فرق ڇا آهن، جيڪو هڪ حقيقي معيار بڻجي چڪو آهي، ۽ sFlow؟ مان ڪيترن ئي اهم ڳالهين کي اجاگر ڪندس. پهريون، Netflow وٽ صارف لاءِ حسب ضرورت فيلڊز آهن جيئن ته sFlow ۾ مقرر ٿيل فيلڊز جي برخلاف. ۽ ٻيو، ۽ اها اسان جي معاملي ۾ سڀ کان اهم شيءِ آهي، sFlow گڏ ڪري ٿو نام نهاد نموني ٽيلي ميٽري؛ Netflow ۽ IPFIX لاءِ غير نموني ٿيل ھڪڙي جي ابتڙ. انهن جي وچ ۾ ڪهڙو فرق آهي؟

تصور ڪريو ته توهان ڪتاب پڙهڻ جو فيصلو ڪيو“سيڪيورٽي آپريشن سينٽر: توهان جي SOC جي تعمير، آپريٽنگ، ۽ برقرار رکڻ”منهنجي ساٿين مان - Gary McIntyre، Joseph Munitz ۽ Nadem Alfardan (توهان لنڪ تان ڪتاب جو حصو ڊائون لوڊ ڪري سگهو ٿا). توھان وٽ پنھنجي مقصد کي حاصل ڪرڻ لاءِ ٽي آپشن آھن - سڄو ڪتاب پڙھو، ان جي ذريعي اسڪيم ڪريو، ھر 10 يا 20 صفحي تي رکو، يا ڪنھن بلاگ يا خدمت وانگر SmartReading تي اھم تصورن کي ٻيهر بيان ڪرڻ جي ڪوشش ڪريو. تنهن ڪري، غير نموني ٿيل ٽيليميٽري نيٽ ورڪ ٽرئفڪ جي هر "صفحو" کي پڙهي رهيو آهي، اهو آهي، هر پيٽ لاء ميٽا ڊيٽا جو تجزيو. نموني ٽيليميٽري ٽرئفڪ جو چونڊيل مطالعو آهي اميد ته چونڊيل نمونن ۾ شامل هوندو جيڪو توهان کي گهربل هجي. چينل جي رفتار تي مدار رکندي، نموني ٽيليميٽري هر 64th، 200th، 500th، 1000th، 2000th يا ان کان به 10000th packet تي تجزيو لاءِ موڪلي ويندي.

انفارميشن سيڪيورٽي مانيٽرنگ جي حوالي سان، هن جو مطلب آهي ته نموني ٿيل ٽيليميٽري DDoS حملن کي ڳولڻ، اسڪيننگ، ۽ خراب ڪوڊ پکيڙڻ لاءِ موزون آهي، پر ٿي سگهي ٿو ايٽمي يا ملٽي پيڪٽ حملن کي ياد ڪري جيڪي تجزيو لاءِ موڪليل نموني ۾ شامل نه هئا. بي مثال ٽيليميٽري ۾ اهڙا نقصان نه آهن. ان سان گڏ، دريافت ڪيل حملن جي حد تمام وسيع آهي. هتي واقعن جي هڪ مختصر فهرست آهي جيڪا نيٽ ورڪ ٽيليميٽري تجزياتي اوزار استعمال ڪندي ڳولي سگهجي ٿي.

يقينا، ڪجهه اوپن سورس نيٽ فلو تجزيه ڪندڙ توهان کي اهو ڪرڻ جي اجازت نه ڏيندو، ڇو ته ان جو بنيادي ڪم ٽيلي ميٽري کي گڏ ڪرڻ ۽ ان تي بنيادي تجزيو ڪرڻ آهي IT نقطي نظر کان. وهڪري جي بنياد تي معلومات جي حفاظت جي خطرن کي سڃاڻڻ لاءِ، تجزيه نگار کي مختلف انجڻين ۽ الگورٿمز سان ليس ڪرڻ ضروري آهي، جيڪي معياري يا ڪسٽم نيٽ فلو فيلڊز جي بنياد تي سائبر سيڪيورٽي مسئلن جي نشاندهي ڪندا، مختلف خطرن جي انٽيليجنس ذريعن کان ٻاهرين ڊيٽا سان معياري ڊيٽا کي بهتر بڻائيندا، وغيره.

تنهن ڪري، جيڪڏهن توهان وٽ اختيار آهي، پوء چونڊيو Netflow يا IPFIX. پر جيڪڏھن توھان جو سامان صرف sFlow سان ڪم ڪري ٿو، گھربل ٺاهيندڙن وانگر، پوءِ به ھن صورت ۾ توھان ان مان فائدو حاصل ڪري سگھو ٿا حفاظتي حوالي سان.

2019 جي اونهاري ۾، مون انهن صلاحيتن جو تجزيو ڪيو جيڪي روسي نيٽ ورڪ هارڊويئر ٺاهيندڙن وٽ آهن ۽ اهي سڀئي، NSG، Polygon ۽ Craftway کان سواءِ، sFlow جي حمايت جو اعلان ڪيو (گهٽ ۾ گهٽ Zelax، Natex، Eltex، QTech، Rusteleteh).

ايندڙ سوال توهان کي منهن ڏيڻو پوندو ته حفاظتي مقصدن لاءِ وهڪري جي مدد کي ڪٿي لاڳو ڪيو وڃي؟ حقيقت ۾، سوال مڪمل طور تي صحيح نه آهي. جديد سامان تقريبن هميشه وهڪري پروٽوڪول کي سپورٽ ڪري ٿو. تنهن ڪري، مان سوال کي مختلف طرح سان ترتيب ڏيندس - سيڪيورٽي نقطي نظر کان ٽيلي ميٽري کي گڏ ڪرڻ ڪٿي تمام مؤثر آهي؟ جواب بلڪل واضح هوندو - رسائي جي سطح تي، جتي توهان ڏسندا 100٪ سموري ٽرئفڪ جو، جتي توهان وٽ ميزبانن (MAC، VLAN، انٽرفيس ID) تي تفصيلي ڄاڻ هوندي، جتي توهان ميزبان جي وچ ۾ P2P ٽرئفڪ جي نگراني پڻ ڪري سگهو ٿا، جيڪو خراب ڪوڊ جي اسڪيننگ ڳولڻ ۽ ورڇ ڪرڻ لاء اهم آهي. بنيادي سطح تي، توهان شايد صرف ڪجهه ٽرئفڪ نه ڏسي سگهو ٿا، پر پردي جي سطح تي، توهان ڏسندا ته توهان جي سڀني نيٽ ورڪ ٽرئفڪ جو هڪ چوٿون. پر جيڪڏهن ڪجهه سببن لاءِ توهان وٽ توهان جي نيٽ ورڪ تي غير ملڪي ڊوائيس آهن جيڪي حملي ڪندڙن کي اجازت ڏين ٿا ”داخل ٿيڻ ۽ نڪرڻ“ جي بغير پريميٽر جي ، پوءِ ان تان ٽيليميٽري جو تجزيو ڪرڻ توهان کي ڪجهه به نه ڏيندو. تنهن ڪري، وڌ ۾ وڌ ڪوريج لاء، اها صلاح ڏني وئي آهي ته ٽيليميٽري گڏ ڪرڻ جي رسائي جي سطح تي. ساڳئي وقت، اهو قابل ذڪر آهي ته جيتوڻيڪ اسين ورچوئلائيزيشن يا ڪنٽينرز بابت ڳالهائي رهيا آهيون، فلو سپورٽ پڻ اڪثر ڪري جديد ورچوئل سوئچز ۾ ملي ٿي، جيڪا توهان کي اتي ٽرئفڪ کي ڪنٽرول ڪرڻ جي اجازت ڏئي ٿي.

پر جيئن ته مون موضوع کي وڌايو، مون کي سوال جو جواب ڏيڻ جي ضرورت آهي: ڇا جيڪڏهن سامان، جسماني يا مجازي، وهڪري پروٽوڪول کي سپورٽ نٿو ڪري؟ يا ان جي شموليت ممنوع آهي (مثال طور، صنعتي حصن ۾ اعتماد کي يقيني بڻائڻ لاء)؟ يا ڇا ان کي تبديل ڪرڻ سان اعلي سي پي يو لوڊ ٿئي ٿو (اهو پراڻن هارڊويئر تي ٿئي ٿو)؟ هن مسئلي کي حل ڪرڻ لاء، خاص مجازي سينسرز (فلو سينسرز) آهن، جيڪي بنيادي طور تي عام ورهائيندڙ آهن جيڪي ٽرئفڪ کي پاڻ ذريعي منتقل ڪن ٿا ۽ ان کي گڏ ڪرڻ واري ماڊل جي وهڪري جي صورت ۾ نشر ڪن ٿا. سچ پچ، هن معاملي ۾ اسان سڀ مسئلا حاصل ڪريون ٿا جن بابت اسان مٿي ذڪر ڪيو پيڪٽ جي قبضي واري اوزار جي حوالي سان. اهو آهي، توهان کي سمجهڻ جي ضرورت آهي نه رڳو وهڪري جي تجزيو ٽيڪنالاجي جي فائدن، پر ان جي حدن کي پڻ.

هڪ ٻيو نقطو جيڪو ياد رکڻ ضروري آهي جڏهن ڳالهائڻ جي وهڪري جي تجزيي جا اوزار. جيڪڏهن سيڪيورٽي واقعن کي پيدا ڪرڻ جي روايتي ذريعن جي سلسلي ۾ اسان استعمال ڪريون ٿا EPS ميٽرڪ (ايونٽ في سيڪنڊ)، ته پوءِ هي اشارو ٽيلي ميٽري جي تجزيي تي لاڳو ناهي؛ ان کي تبديل ڪيو ويو آهي FPS (في سيڪنڊ جي وهڪري). جيئن ته EPS جي صورت ۾، اهو اڳ ۾ ئي ڳڻپ نه ٿو ڪري سگهجي، پر توهان اندازو لڳائي سگهو ٿا سلسلون جي تقريبن تعداد جو هڪ خاص ڊوائيس ان جي ڪم تي منحصر ڪري ٿو. توهان انٽرنيٽ تي مختلف قسم جي انٽرپرائز ڊوائيسز ۽ حالتن لاءِ لڳ ڀڳ قدرن سان ٽيبل ڳولي سگهو ٿا، جيڪي توهان کي اندازو لڳائي سگهندا ته توهان کي تجزياتي اوزارن لاءِ ڪهڙا لائسنس گهرجن ۽ انهن جو فن تعمير ڇا هوندو؟ حقيقت اها آهي ته IDS سينسر هڪ خاص بينڊوڊٿ طرفان محدود آهي ته اهو "ڪڍڻ" ڪري سگهي ٿو، ۽ فلو ڪليڪٽر جون پنهنجون حدون آهن جن کي سمجهڻ گهرجي. تنهن ڪري، وڏي، جغرافيائي طور تي ورهايل نيٽ ورڪن ۾ عام طور تي ڪيترائي جمع ڪندڙ آهن. جڏهن مون بيان ڪيو ڪيئن نيٽ ورڪ Cisco اندر مانيٽر ڪيو ويندو آهي، مون اڳ ۾ ئي اسان جي ڪليڪٽرن جو تعداد ڏنو آھي - انھن مان 21 آھن. ۽ اھو ھڪڙو نيٽ ورڪ لاءِ آھي جيڪو پنجن براعظمن ۾ پکڙيل آھي ۽ اٽڪل اڌ ملين فعال ڊوائيسز جو تعداد آھي).

اسان پنهنجو حل استعمال ڪريون ٿا Netflow مانيٽرنگ سسٽم طور سسڪو اسٽيلٿ واچ، جيڪو خاص طور تي سيڪيورٽي مسئلن کي حل ڪرڻ تي مرکوز آهي. ان ۾ غير معمولي، مشڪوڪ ۽ واضح طور تي بدسلوڪي سرگرمي کي ڳولڻ لاء ڪيتريون ئي ٺهيل انجڻيون آهن، جيڪي توهان کي مختلف خطرن جي وسيع رينج کي ڳولڻ جي اجازت ڏين ٿيون - cryptomining کان معلومات ليڪ تائين، بدسلوڪي ڪوڊ جي ڦهلائڻ کان فريب تائين. اڪثر وهڪري جي تجزيه نگارن وانگر، اسٽيلٿ واچ ٽن سطحي اسڪيم (جنريٽر - ڪليڪٽر - اينالائيزر) جي مطابق ٺهيل آهي، پر ان ۾ ڪجهه دلچسپ خصوصيتون شامل آهن جيڪي غور هيٺ آيل مواد جي حوالي سان اهم آهن. پهريون، اهو پيڪيٽ ڪيپچر حلن سان ضم ٿي ويو آهي (جهڙوڪ سسڪو سيڪيورٽي پيڪٽ اينالائيزر)، جيڪو توهان کي اجازت ڏئي ٿو چونڊيل نيٽ ورڪ سيشنن کي رڪارڊ ڪرڻ لاءِ بعد ۾ گہرا تحقيق ۽ تجزيو. ٻيو، خاص طور تي حفاظتي ڪمن کي وڌائڻ لاءِ، اسان هڪ خاص nvzFlow پروٽوڪول تيار ڪيو آهي، جيڪو توهان کي اجازت ڏئي ٿو ”براڊ ڪاسٽ“ ايپليڪيشنن جي سرگرمي کي آخري نوڊس (سرور، ورڪ اسٽيشن، وغيره) تي ٽيليميٽري ۾ ۽ ان کي ڪليڪٽر ڏانهن منتقل ڪري وڌيڪ تجزيي لاءِ. جيڪڏهن ان جي اصل ورزن ۾ Stealthwatch ڪم ڪري ٿو ڪنهن به فلو پروٽوڪول سان (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) نيٽ ورڪ جي سطح تي، پوءِ nvzFlow سپورٽ اجازت ڏئي ٿي ڊيٽا جي رابطي کي پڻ نوڊ جي سطح تي. سڄي سسٽم جي ڪارڪردگي کي وڌائڻ ۽ روايتي نيٽ ورڪ فلو تجزيه ڪندڙن کان وڌيڪ حملن کي ڏسڻ.

اهو واضح آهي ته جڏهن نيٽ فلو تجزياتي نظام بابت سيڪيورٽي نقطي نظر کان ڳالهائڻ، مارڪيٽ سسڪو کان هڪ واحد حل تائين محدود ناهي. توھان استعمال ڪري سگھوٿا تجارتي ۽ مفت يا شيئر ويئر حل. اها ڪافي عجيب آهي جيڪڏهن آئون سسڪو بلاگ تي مقابلي ڪندڙن جي حلن کي مثال طور بيان ڪريان ٿو، تنهنڪري مان ڪجهه لفظ چوندس ته ڪيئن نيٽ ورڪ ٽيلي ميٽري جو تجزيو ڪري سگهجي ٿو ٻه مشهور، نالي ۾ هڪجهڙا، پر اڃا به مختلف اوزار - SiLK ۽ ELK.

SiLK ٽولز جو هڪ سيٽ آهي (انٽرنيٽ سطح جي ڄاڻ لاءِ سسٽم) ٽرئفڪ جي تجزيي لاءِ، جيڪو آمريڪي CERT/CC پاران تيار ڪيو ويو آهي ۽ جيڪو سپورٽ ڪري ٿو، اڄ جي مضمون جي حوالي سان، Netflow (5th ۽ 9th، سڀ کان وڌيڪ مشهور نسخو)، IPFIX ۽ sFlow ۽ مختلف يوٽيلٽيز (rwfilter، rwcount، rwflowpack، وغيره) استعمال ڪندي نيٽ ورڪ ٽيليميٽري تي مختلف عملن کي انجام ڏيڻ لاءِ ان ۾ غير مجاز عملن جي نشانين کي ڳولڻ لاءِ. پر نوٽ ڪرڻ لاء ڪجهه اهم نقطا آهن. SiLK ھڪڙو ڪمانڊ لائن ٽول آھي جيڪو آن لائن تجزيو انجام ڏئي ٿو ھن جھڙا ڪمانڊ داخل ڪرڻ سان (200 بائيٽ کان وڏي ICMP پيڪٽس جو پتو لڳائڻ):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

بلڪل آرام سان نه. توهان iSiLK GUI استعمال ڪري سگهو ٿا، پر اهو توهان جي زندگي کي وڌيڪ آسان نه بڻائيندو، صرف بصري فنڪشن کي حل ڪرڻ ۽ تجزيه نگار کي تبديل نه ڪندي. ۽ هي ٻيو نقطو آهي. تجارتي حلن جي برعڪس، جن وٽ اڳ ۾ ئي هڪ مضبوط تجزياتي بنياد آهي، بي ترتيبي جو پتو لڳائڻ الورورٿمس، لاڳاپيل ڪم فلو وغيره، SiLK جي صورت ۾ توهان کي اهو سڀ ڪجهه پاڻ ڪرڻو پوندو، جنهن لاءِ توهان کان ٿورو مختلف صلاحيتون گهربل هونديون اڳ ۾ ئي تيار ڪيل استعمال کان. اوزار استعمال ڪرڻ. هي نه سٺو آهي ۽ نه خراب - هي تقريبن ڪنهن به مفت اوزار جي هڪ خاصيت آهي جيڪو فرض ڪري ٿو ته توهان کي خبر آهي ته ڇا ڪجي، ۽ اهو صرف توهان جي مدد ڪندو (تجارتي اوزار ان جي استعمال ڪندڙن جي صلاحيتن تي گهٽ منحصر آهن، جيتوڻيڪ اهي پڻ فرض ڪن ٿا. ته تجزيه نگار گهٽ ۾ گهٽ نيٽ ورڪ جي تحقيقات ۽ نگراني جي بنيادي ڳالهين کي سمجهن ٿا). پر اچو ته سلڪ ڏانهن موٽون. ان سان گڏ تجزيه نگار جي ڪم جي چڪر هن طرح ڏسڻ ۾ اچي ٿي:

• هڪ مفروضو ٺهرائڻ. اسان کي اهو سمجهڻ گهرجي ته اسان نيٽ ورڪ ٽيليميٽري جي اندر ڇا ڳوليندا سين، ڄاڻو ته اهي منفرد خاصيتون جن جي ذريعي اسان ڪجهه بي ضابطگين يا خطرن جي نشاندهي ڪنداسين.
• هڪ ماڊل تعمير ڪرڻ. ھڪڙي مفروضي کي ٺاھڻ کان پوء، اسان ان کي ساڳيو Python، شيل يا ٻيا اوزار استعمال ڪندي پروگرام ڪندا آھيون جيڪي SiLK ۾ شامل نه آھن.
• جاچڻ. هاڻي موڙ اچي ٿو اسان جي مفروضي جي درستي کي جانچڻ جو، جنهن جي تصديق يا ترديد ڪئي وئي آهي SiLK يوٽيلٽيز استعمال ڪندي شروع ٿيندڙ 'rw'، 'set'، 'bag'.
• حقيقي ڊيٽا جو تجزيو. صنعتي آپريشن ۾، SiLK اسان کي ڪنهن شيءِ کي سڃاڻڻ ۾ مدد ڪري ٿو ۽ تجزيه نگار کي انهن سوالن جا جواب ڏيڻ گهرجن ”ڇا اسان اهو ڳوليو جنهن جي اسان توقع ڪئي؟“، ”ڇا اهو اسان جي مفروضي سان مطابقت رکي ٿو؟“، ”غلط مثبتن جو تعداد ڪيئن گهٽجي؟“، ”ڪيئن؟ سڃاڻپ جي سطح کي بهتر ڪرڻ لاء؟ » ۽ ايئن.
• سڌارو. آخري مرحلي ۾، اسان بهتر ڪريون ٿا جيڪو اڳ ڪيو ويو هو - اسان ٽيمپليٽس ٺاهيندا آهيون، ڪوڊ کي بهتر ۽ بهتر بڻائيندا آهيون، مفروضي کي سڌارو ۽ واضح ڪندا آهيون، وغيره.

اهو چڪر Cisco Stealthwatch تي پڻ لاڳو ٿيندو، صرف آخري آخري انهن پنجن مرحلن کي وڌ ۾ وڌ خودڪار ڪري ٿو، تجزيه نگارن جي غلطين جو تعداد گھٽائي ٿو ۽ واقعن جي سڃاڻپ جي ڪارڪردگي کي وڌائي ٿو. مثال طور، SiLK ۾ توهان هٿ سان لکيل اسڪرپٽ استعمال ڪندي خراب IPs تي ٻاهرين ڊيٽا سان نيٽ ورڪ جي انگن اکرن کي بهتر بڻائي سگهو ٿا، ۽ Cisco Stealthwatch ۾ اهو هڪ بلٽ ان فنڪشن آهي جيڪو فوري طور تي الارم ڏيکاري ٿو جيڪڏهن نيٽ ورڪ ٽرئفڪ بليڪ لسٽ مان IP پتي سان رابطي تي مشتمل آهي.

جيڪڏهن توهان فلو analysis سافٽ ويئر لاءِ ”ادا ڪيل“ پرامڊ ۾ وڌيڪ وڃون ٿا، ته پوءِ بلڪل مفت SiLK کان پوءِ هڪ شيئر ويئر ELK هوندو، جنهن ۾ ٽن اهم حصن تي مشتمل هوندو- Elasticsearch (انڊيڪسنگ، ڳولا ۽ ڊيٽا جو تجزيو)، Logstash (ڊيٽا ان پٽ/آئوٽ پٽ) ) ۽ Kibana (بصري). SiLK جي برعڪس، جتي توهان کي سڀ ڪجهه پاڻ کي لکڻو آهي، ELK وٽ اڳ ۾ ئي ڪيتريون ئي تيار ٿيل لائبريريون/ماڊيول آهن (ڪجهه ادا ڪيل، ڪجهه نه) جيڪي نيٽ ورڪ ٽيليميٽري جي تجزيي کي خودڪار ڪن ٿا. مثال طور، Logstash ۾ GeoIP فلٽر توهان کي مانيٽر ٿيل IP پتي کي انهن جي جاگرافيائي مقام سان ڳنڍڻ جي اجازت ڏئي ٿو (Stealthwatch ۾ هي بلٽ ان فيچر آهي).

ELK پڻ ھڪڙي وڏي برادري آھي جيڪا ھن مانيٽرنگ حل لاءِ غائب حصن کي مڪمل ڪري رھي آھي. مثال طور، Netflow، IPFIX ۽ sFlow سان ڪم ڪرڻ لاءِ توھان ماڊل استعمال ڪري سگھو ٿا elastiflow، جيڪڏھن توھان مطمئن نه آھيو Logstash Netflow Module، جيڪو صرف Netflow کي سپورٽ ڪري ٿو.

جڏهن ته وهڪري کي گڏ ڪرڻ ۽ ان ۾ ڳولا ڪرڻ ۾ وڌيڪ ڪارڪردگي ڏيڻ، ELK هن وقت نيٽ ورڪ ٽيليميٽري ۾ غير معموليات ۽ خطرن کي ڳولڻ لاءِ ڀرپور تعمير ٿيل تجزياتي نه آهي. اهو آهي، مٿي بيان ڪيل زندگي جي چڪر تي عمل ڪندي، توهان کي آزاديء سان بيان ڪرڻ جي خلاف ورزي جي ماڊل کي بيان ڪرڻو پوندو ۽ پوء ان کي جنگي نظام ۾ استعمال ڪيو ويندو (هتي ڪو به ٺهيل ماڊل نه آهن).

يقينن، ELK لاءِ وڌيڪ نفيس واڌايون آهن، جيڪي اڳ ۾ ئي نيٽ ورڪ ٽيليميٽري ۾ بي ضابطگين کي ڳولڻ لاءِ ڪجهه ماڊلز تي مشتمل آهن، پر اهڙيون واڌايون پيسا خرچ ڪن ٿيون ۽ هتي سوال اهو آهي ته ڇا راند موم بتي جي لائق آهي - هڪ اهڙو ماڊل پاڻ لکو، ان کي خريد ڪريو. توهان جي مانيٽرنگ ٽول لاءِ عمل درآمد ڪريو، يا نيٽورڪ ٽريفڪ اينالائسز ڪلاس جو تيار ٿيل حل خريد ڪريو.

عام طور تي، مان ان بحث ۾ وڃڻ نٿو چاهيان ته اهو بهتر آهي ته پئسو خرچ ڪرڻ ۽ نيٽ ورڪ ٽيليميٽري ۾ بي ضابطگين ۽ خطرن جي نگراني لاءِ تيار ٿيل حل خريد ڪرڻ (مثال طور، سِسڪو اسٽيلٿ واچ) يا ان کي پاڻ پتوڙيو ۽ ساڳيو ترتيب ڏيو هر نئين خطري لاءِ SiLK، ELK يا nfdump يا OSU فلو ٽولز (آئون انهن مان آخري ٻن بابت ڳالهائي رهيو آهيان ٻڌايو آخري دفعو)؟ هرڪو پنهنجي لاءِ چونڊيندو آهي ۽ هر ڪنهن وٽ ٻن اختيارن مان ڪنهن کي چونڊڻ لاءِ پنهنجا پنهنجا مقصد آهن. مان صرف اهو ڏيکارڻ چاهيان ٿو ته نيٽ ورڪ ٽيليميٽري توهان جي اندروني انفراسٽرڪچر جي نيٽ ورڪ سيڪيورٽي کي يقيني بڻائڻ لاءِ هڪ تمام اهم اوزار آهي ۽ توهان کي ان کي نظرانداز نه ڪرڻ گهرجي، ته جيئن انهن ڪمپنين جي لسٽ ۾ شامل نه ٿئي جن جو نالو ميڊيا ۾ بيان ڪيل آهي. هيڪ ٿيل”، “معلومات جي حفاظت جي ضرورتن سان غير تعميل” “، “پنهنجي ڊيٽا ۽ ڪسٽمر ڊيٽا جي حفاظت بابت نه سوچڻ.

اختصار ڪرڻ لاءِ، مان اُن اهم تجويزن کي لسٽ ڪرڻ چاهيان ٿو جن تي توهان کي عمل ڪرڻ گهرجي جڏهن توهان جي اندروني انفراسٽرڪچر جي معلومات جي حفاظت جي نگراني جي تعمير ڪريو:

1. صرف پاڻ کي حد تائين محدود نه ڪريو! استعمال ڪريو (۽ چونڊيو) نيٽ ورڪ انفراسٽرڪچر نه رڳو ٽرئفڪ کي پوائنٽ A کان پوائنٽ B ڏانهن منتقل ڪرڻ لاءِ، پر سائبر سيڪيورٽي مسئلن کي حل ڪرڻ لاءِ پڻ.
2. توهان جي نيٽ ورڪ جي سامان ۾ موجود معلومات سيڪيورٽي مانيٽرنگ ميڪانيزم جو مطالعو ڪريو ۽ انهن کي استعمال ڪريو.
3. اندروني نگراني لاءِ، ترجيح ڏيو ٽيليميٽري تجزيي کي - اهو توهان کي اجازت ڏئي ٿو 80-90٪ تائين سڀني نيٽ ورڪ انفارميشن سيڪيورٽي واقعن جو پتو لڳائڻ، جڏهن ته اهو ڪري رهيو آهي جيڪو ناممڪن آهي جڏهن نيٽ ورڪ پيڪيٽس کي پڪڙڻ ۽ سڀني معلوماتي سيڪيورٽي واقعن کي محفوظ ڪرڻ لاءِ جاءِ بچائڻ.
4. وهڪري جي نگراني ڪرڻ لاءِ، استعمال ڪريو Netflow v9 يا IPFIX - اھي وڌيڪ معلومات مهيا ڪن ٿا حفاظتي حوالي سان ۽ توھان کي مانيٽر ڪرڻ جي اجازت ڏين ٿا نه رڳو IPv4، پر IPv6، MPLS وغيره.
5. استعمال ڪريو ھڪڙو غير نمونو فلو پروٽوڪول - اھو خطرن کي ڳولڻ لاءِ وڌيڪ معلومات مهيا ڪري ٿو. مثال طور، نيٽ فلو يا IPFIX.
6. توهان جي نيٽ ورڪ جي سامان تي لوڊ چيڪ ڪريو - اهو شايد وهڪري پروٽوڪول کي سنڀالڻ جي قابل نه هجي. پوءِ ورچوئل سينسر يا نيٽ فلو جنريشن اپلائنس استعمال ڪرڻ تي غور ڪريو.
7. سڀ کان پهرين رسائي جي سطح تي ڪنٽرول لاڳو ڪريو - اهو توهان کي سڀني ٽرئفڪ جو 100٪ ڏسڻ جو موقعو ڏيندو.
8. جيڪڏهن توهان وٽ ڪو اختيار نه آهي ۽ توهان روسي نيٽ ورڪ سامان استعمال ڪري رهيا آهيو، ته پوءِ هڪ چونڊيو جيڪو فلو پروٽوڪولن کي سپورٽ ڪري ٿو يا جنهن ۾ SPAN/RSPAN بندرگاهن آهن.
9. ڪنارن تي مداخلت/حملي جو پتو لڳائڻ/روڪائڻ واري نظام کي گڏ ڪريو ۽ اندروني نيٽ ورڪ ۾ فلو تجزيو سسٽم (بشمول بادلن ۾).

آخري ٽپ جي حوالي سان، مان هڪ مثال ڏيڻ چاهيان ٿو جيڪو مون اڳ ۾ ئي ڏنو آهي. توهان ڏسو ٿا ته جيڪڏهن اڳ ۾ سسڪو انفارميشن سيڪيورٽي سروس تقريبن مڪمل طور تي انفارميشن سيڪيورٽي مانيٽرنگ سسٽم ٺاهيو هو ان جي بنياد تي مداخلت جي ڳولا واري نظام ۽ دستخط جي طريقن جي بنياد تي، هاڻي اهي صرف 20٪ واقعن جي حساب سان. ٻيو 20٪ فلو تجزياتي سسٽم تي پوي ٿو، جنهن مان اهو ظاهر ٿئي ٿو ته اهي حل هڪ سنسڪرت نه آهن، پر هڪ جديد ڪاروبار جي معلومات سيڪيورٽي خدمتن جي سرگرمين ۾ هڪ حقيقي اوزار. ان کان علاوه، توهان وٽ انهن جي عمل درآمد لاء سڀ کان اهم شيء آهي - نيٽ ورڪ انفراسٽرڪچر، سيڙپڪاري جنهن ۾ وڌيڪ محفوظ ٿي سگهي ٿو نيٽ ورڪ کي معلومات سيڪيورٽي مانيٽرنگ افعال کي تفويض ڪندي.

مون خاص طور تي نيٽ ورڪ جي وهڪري ۾ نشاندهي ڪيل عدم اطمينان يا خطرن جو جواب ڏيڻ جي موضوع تي رابطو نه ڪيو، پر مان سمجهان ٿو ته اهو اڳ ۾ ئي واضح آهي ته مانيٽرنگ صرف خطري جي نشاندهي سان ختم نه ٿيڻ گهرجي. اهو هڪ جواب جي پيروي ڪرڻ گهرجي ۽ ترجيح طور تي هڪ خودڪار يا خودڪار موڊ ۾. پر هي هڪ الڳ مضمون لاء هڪ موضوع آهي.

اضافي ڄاڻ

• Cisco IOS Netflow جي وضاحت
• مختلف سسڪو حلن ۾ نيٽ فلو سپورٽ ميٽرڪس
• مختلف Cisco پليٽ فارمن تي نيٽ فلو کي ترتيب ڏيڻ لاءِ ھدايت
• sFlow ڪميونٽي
• ليب استعمال ڪندي Stealtjwatch، SiLK ۽ ELK حفاظتي نقطه نظر کان نيٽ فلو جو تجزيو ڪرڻ لاءِ
• SiLK ويب سائيٽ
• ٽي سؤ-صفحي گائيڊ استعمال ڪرڻ لاءِ SiLK ڪيترن ئي مثالن سان
• Logstash Netflow Module
• ELK ۾ نيٽ فلو تجزيي لاءِ سسڪو قدم قدم گائيڊ
• Logstash (ELK) استعمال ڪندي NetFlow v.9 Cisco ASA جو تجزيو
• Cisco Stealthwatch حل

پي ايس. جيڪڏهن توهان لاءِ اهو سڀ ڪجهه ٻڌڻ آسان آهي جيڪو مٿي لکيو ويو آهي، ته پوءِ توهان ڏسي سگهو ٿا ڪلاڪ ڊگھي پيشڪش جيڪا هن نوٽ جي بنياد تي ٺاهي وئي.

جو ذريعو: www.habr.com