අභ්‍යන්තර ජාල ආරක්ෂාව නිරීක්ෂණය කිරීමේ මෙවලමක් ලෙස ප්‍රවාහ ප්‍රොටෝකෝල

අභ්‍යන්තර ආයතනික හෝ දෙපාර්තමේන්තු ජාලයක ආරක්‍ෂාව නිරීක්ෂණය කිරීමේදී බොහෝ දෙනෙක් එය තොරතුරු කාන්දුවීම් පාලනය කිරීම සහ DLP විසඳුම් ක්‍රියාත්මක කිරීම සමඟ සම්බන්ධ කරති. ඔබ ප්‍රශ්නය පැහැදිලි කිරීමට සහ අභ්‍යන්තර ජාලයේ ප්‍රහාර හඳුනා ගන්නේ කෙසේදැයි ඇසීමට උත්සාහ කරන්නේ නම්, පිළිතුර, නීතියක් ලෙස, ආක්‍රමණය හඳුනාගැනීමේ පද්ධති (IDS) පිළිබඳ සඳහනක් වනු ඇත. එමෙන්ම මීට වසර 10-20කට පෙර තිබූ එකම විකල්පය අද අනාත්ම වාදයක් බවට පත්වෙමින් තිබේ. වඩාත් ඵලදායී වන අතර සමහර ස්ථානවල අභ්‍යන්තර ජාලයක් නිරීක්ෂණය කිරීම සඳහා ඇති එකම විකල්පය ඇත - ප්‍රවාහ ප්‍රොටෝකෝල භාවිතා කිරීම, ජාල ගැටළු සෙවීමට (දෝශ නිරාකරණය) මුලින් නිර්මාණය කරන ලද නමුත් කාලයත් සමඟ එය ඉතා රසවත් ආරක්ෂක මෙවලමක් බවට පරිවර්තනය විය. ප්‍රවාහ ප්‍රොටෝකෝල මොනවාද සහ ජාල ප්‍රහාර හඳුනා ගැනීමට වඩා හොඳ ඒවා මොනවාද, ප්‍රවාහ අධීක්‍ෂණය ක්‍රියාත්මක කිරීම වඩාත් සුදුසු ස්ථානය, එවැනි යෝජනා ක්‍රමයක් යෙදවීමේදී සෙවිය යුතු දේ සහ ගෘහස්ථ උපකරණ මත මේ සියල්ල “ඔසවන්නේ” කෙසේද යන්න ගැන අපි කතා කරමු. මෙම ලිපියේ විෂය පථය තුළ.

“අභ්‍යන්තර යටිතල පහසුකම් ආරක්‍ෂාව අධීක්‍ෂණය අවශ්‍ය වන්නේ ඇයි?” යන ප්‍රශ්නය ගැන මම කතා නොකරමි. පිළිතුර පැහැදිලි බව පෙනේ. එහෙත්, කෙසේ වෙතත්, අද ඔබට එය නොමැතිව ජීවත් විය නොහැකි බව නැවත වරක් සහතික කිරීමට ඔබ කැමති නම්, බලන්න ෆයර්වෝලයකින් ආරක්ෂා කර ඇති ආයතනික ජාලයක් ආකාර 17 කින් ඔබට විනිවිද යා හැකි ආකාරය පිළිබඳ කෙටි වීඩියෝවක්. එබැවින් අභ්‍යන්තර අධීක්‍ෂණය අත්‍යවශ්‍ය දෙයක් බවත් එය සංවිධානය කළ හැකි ආකාරය අවබෝධ කර ගැනීම පමණක් ඉතිරිව ඇති බවත් අප වටහා ගනිමු යැයි උපකල්පනය කරමු.

ජාල මට්ටමින් යටිතල පහසුකම් නිරීක්ෂණය කිරීම සඳහා ප්‍රධාන දත්ත මූලාශ්‍ර තුනක් මම ඉස්මතු කරමි:

• අපි ග්‍රහණය කර ඇතැම් විශ්ලේෂණ පද්ධති වෙත විශ්ලේෂණය සඳහා ඉදිරිපත් කරන “අමු” ගමනාගමනය,
• මාර්ග තදබදය ගමන් කරන ජාල උපාංග වලින් සිදුවීම්,
• එක් ප්‍රවාහ ප්‍රොටෝකෝලයක් හරහා ලැබෙන ගමනාගමන තොරතුරු.

අමු මාර්ග තදබදය ග්‍රහණය කර ගැනීම ආරක්ෂක විශේෂඥයින් අතර වඩාත් ජනප්‍රිය විකල්පයයි, මන්ද එය ඓතිහාසිකව දර්ශනය වූ අතර එය පළමුවැන්නයි. සාම්ප්‍රදායික ජාල ආක්‍රමණය හඳුනාගැනීමේ පද්ධති (පළමු වාණිජමය ආක්‍රමණය හඳුනාගැනීමේ පද්ධතිය වීල් සමූහයේ NetRanger, Cisco විසින් 1998 දී මිලදී ගන්නා ලදී) නිශ්චිතවම පැකට් (සහ පසුව සැසි) ග්‍රහණය කර ගැනීමෙහි නියැලී ඇත. FSTEC පාරිභාෂිතය), සංඥා ප්රහාර. ඇත්ත වශයෙන්ම, ඔබට IDS භාවිතයෙන් පමණක් නොව, වෙනත් මෙවලම් භාවිතයෙන්ද raw Traffic විශ්ලේෂණය කළ හැකිය (උදාහරණයක් ලෙස, Wireshark, tcpdum හෝ Cisco IOS හි NBAR2 ක්‍රියාකාරිත්වය), නමුත් සාමාන්‍යයෙන් තොරතුරු ආරක්ෂණ මෙවලමක් සාමාන්‍යයෙන් වෙන්කර හඳුනා ගන්නා දැනුම පදනමක් ඔවුන්ට නොමැත. තොරතුරු තාක්ෂණ මෙවලම.

ඉතින්, ප්රහාර හඳුනාගැනීමේ පද්ධති. ජාල ප්‍රහාර හඳුනාගැනීමේ පැරණිතම සහ ජනප්‍රියම ක්‍රමය, පරිමිතියෙහි හොඳ කාර්යයක් ඉටු කරයි (මොකක්ද - ආයතනික, දත්ත මධ්‍යස්ථානය, ඛණ්ඩය, ආදිය), නමුත් නවීන මාරු කළ සහ මෘදුකාංග නිර්වචනය කරන ලද ජාල තුළ අසාර්ථක වේ. සාම්ප්‍රදායික ස්විචයන් මත ගොඩනගා ඇති ජාලයක, ප්‍රහාර හඳුනාගැනීමේ සංවේදකවල යටිතල පහසුකම් ඉතා විශාල වේ - ඔබට ප්‍රහාර නිරීක්ෂණය කිරීමට අවශ්‍ය නෝඩයට එක් එක් සම්බන්ධතාවය මත සංවේදකයක් ස්ථාපනය කිරීමට සිදුවේ. ඕනෑම නිෂ්පාදකයෙක්, ඇත්ත වශයෙන්ම, ඔබට සංවේදක සිය ගණනක් සහ දහස් ගණනක් විකිණීමට සතුටු වනු ඇත, නමුත් මම හිතන්නේ ඔබේ අයවැයට එවැනි වියදම් සඳහා සහාය විය නොහැක. මිල පිළිබඳ ගැටළුව අප ඉදිරියේ ඇති බව පෙනුනද, සිස්කෝ හි (සහ අපි NIPS හි සංවර්ධකයින්) පවා අපට මෙය කළ නොහැකි බව මට පැවසිය හැකිය. මම නැගී සිටිය යුතු නැත - එය අපගේම තීරණයකි. මීට අමතරව, ප්රශ්නය පැනනගින්නේ, මෙම අනුවාදයේ සංවේදකය සම්බන්ධ කරන්නේ කෙසේද? පරතරය තුළට? සංවේදකයම අසමත් වුවහොත් කුමක් කළ යුතුද? සංවේදකයේ බයිපාස් මොඩියුලයක් අවශ්‍යද? splitters (tap) භාවිත කරන්නද? මේ සියල්ල විසඳුම මිල අධික වන අතර ඕනෑම ප්රමාණයක සමාගමකට එය දැරිය නොහැකි වේ.

ඔබට සංවේදකය SPAN/RSPAN/ERSPAN පෝට් එකක “එල්ලීමට” උත්සාහ කළ හැකි අතර අවශ්‍ය ස්විච් පෝට් වලින් ගමනාගමනය එයට යොමු කළ හැකිය. මෙම විකල්පය පෙර ඡේදයේ විස්තර කර ඇති ගැටළුව අර්ධ වශයෙන් ඉවත් කරයි, නමුත් තවත් එකක් මතු කරයි - SPAN වරායට යවනු ලබන සියලුම ගමනාගමනය පිළිගත නොහැක - එයට ප්‍රමාණවත් කලාප පළලක් නොමැත. ඔබට යමක් කැප කිරීමට සිදුවනු ඇත. එක්කෝ සමහර නෝඩ් නිරීක්ෂණයකින් තොරව තබන්න (එවිට ඔබ ඒවාට ප්‍රමුඛත්වය දිය යුතුය), නැතහොත් නෝඩයෙන් සියලුම ගමනාගමනය නොයවා, නමුත් නිශ්චිත වර්ගයක් පමණක් යවන්න. ඕනෑම අවස්ථාවක, අපට සමහර ප්‍රහාර මඟ හැරිය හැක. මීට අමතරව, SPAN වරාය වෙනත් අවශ්යතා සඳහා භාවිතා කළ හැකිය. එහි ප්‍රතිඵලයක් වශයෙන්, ඔබ සතුව ඇති සංවේදක සංඛ්‍යාවෙන් (සහ මෙය තොරතුරු තාක්ෂණය සමඟ සම්බන්ධීකරණය කරන්න) උපරිමයෙන් ඔබේ ජාලය ආවරණය කිරීම සඳහා පවතින ජාල ස්ථල විද්‍යාව සමාලෝචනය කිරීමට සහ සමහර විට එයට ගැලපීම් කිරීමට අපට සිදු වනු ඇත.

ඔබේ ජාලය අසමමිතික මාර්ග භාවිතා කරන්නේ නම් කුමක් කළ යුතුද? ඔබ SDN ක්‍රියාත්මක කර ඇත්නම් හෝ ක්‍රියාත්මක කිරීමට සැලසුම් කරන්නේ නම් කුමක් කළ යුතුද? ඔබට අථත්‍යකරණය කළ යන්ත්‍ර හෝ ගමනාගමනය භෞතික ස්විචය වෙත ළඟා නොවන බහාලුම් නිරීක්ෂණය කිරීමට අවශ්‍ය නම් කුමක් කළ යුතුද? මේවා සාම්ප්‍රදායික IDS වෙළෙන්දන් කැමති නැති ප්‍රශ්න වන්නේ ඔවුන් ඒවාට පිළිතුරු දිය යුතු ආකාරය නොදන්නා බැවිනි. සමහර විට ඔවුන් ඔබට ඒත්තු ගන්වනු ඇත්තේ මෙම සියලු විලාසිතාමය තාක්ෂණයන් උද්දීපනය වන අතර ඔබට එය අවශ්‍ය නොවන බවයි. සමහර විට ඔවුන් කුඩා ආරම්භයේ අවශ්යතාව ගැන කතා කරනු ඇත. නැතහොත් ඔබට ජාලයේ මධ්‍යයේ බලවත් කමතක් තැබිය යුතු බවත්, සමතුලිතතාවය භාවිතා කර සියලු ගමනාගමනය එයට යොමු කළ යුතු බවත් ඔවුන් පවසනු ඇත. ඔබට ලබා දෙන විකල්පය කුමක් වුවත්, එය ඔබට ගැලපෙන ආකාරය පැහැදිලිව තේරුම් ගත යුතුය. ජාල යටිතල ව්‍යුහයේ තොරතුරු ආරක්ෂාව අධීක්ෂණය කිරීම සඳහා ප්‍රවේශයක් තෝරා ගැනීම පිළිබඳව තීරණයක් ගත යුත්තේ ඉන් පසුව පමණි. පැකට් ග්‍රහණයට නැවත පැමිණීම, මෙම ක්‍රමය ඉතා ජනප්‍රිය හා වැදගත් ලෙස දිගටම පවතින බව මට පැවසීමට අවශ්‍යය, නමුත් එහි ප්‍රධාන අරමුණ දේශසීමා පාලනයයි; ඔබේ සංවිධානය සහ අන්තර්ජාලය අතර මායිම්, දත්ත මධ්‍යස්ථානය සහ අනෙකුත් ජාලය අතර මායිම්, ක්‍රියාවලි පාලන පද්ධතිය සහ ආයතනික අංශය අතර මායිම්. මෙම ස්ථානවල, සම්භාව්‍ය IDS/IPS හට තවමත් පැවැත්මට සහ ඔවුන්ගේ කාර්යයන් සමඟ හොඳින් කටයුතු කිරීමට අයිතියක් ඇත.

අපි දෙවන විකල්පය වෙත යමු. ජාල උපාංග වලින් එන සිදුවීම් විශ්ලේෂණය ප්‍රහාර හඳුනාගැනීමේ අරමුණු සඳහා ද භාවිතා කළ හැකි නමුත් ප්‍රධාන යාන්ත්‍රණය ලෙස නොවේ, මන්ද එය කුඩා ආක්‍රමණ පන්තියක් පමණක් හඳුනා ගැනීමට ඉඩ සලසයි. මීට අමතරව, එය යම් ප්රතික්රියකයක් තුළ ආවේනික වේ - ප්රහාරය මුලින්ම සිදු විය යුතුය, පසුව එය ජාල උපාංගයක් මගින් වාර්තා කළ යුතුය, එක් ආකාරයකින් හෝ වෙනත් ආකාරයකින් තොරතුරු ආරක්ෂාව පිළිබඳ ගැටළුවක් සංඥා කරනු ඇත. එවැනි ක්රම කිහිපයක් තිබේ. මෙය syslog, RMON හෝ SNMP විය හැක. තොරතුරු ආරක්ෂණ සන්දර්භය තුළ ජාල අධීක්‍ෂණය සඳහා අවසාන ප්‍රොටෝකෝල දෙක භාවිතා කරනු ලබන්නේ අපට ජාල උපකරණ මතම DoS ප්‍රහාරයක් හඳුනා ගැනීමට අවශ්‍ය නම් පමණි, මන්ද RMON සහ SNMP භාවිතා කිරීමෙන් උදාහරණයක් ලෙස, උපාංගයේ මධ්‍යයේ බර නිරීක්ෂණය කළ හැකිය. ප්රොසෙසරය හෝ එහි අතුරු මුහුණත්. මෙය “ලාභම” එකකි (සෑම කෙනෙකුටම syslog හෝ SNMP ඇත), නමුත් අභ්‍යන්තර යටිතල ව්‍යුහයේ තොරතුරු ආරක්ෂාව අධීක්ෂණය කිරීමේ සියලුම ක්‍රමවලින් වඩාත්ම අකාර්යක්ෂම වේ - බොහෝ ප්‍රහාර සරලව එයින් සැඟවී ඇත. ඇත්ත වශයෙන්ම, ඒවා නොසලකා හැරිය යුතු අතර, එම syslog විශ්ලේෂණය මඟින් උපාංගයේම වින්‍යාසයේ වෙනස්කම්, එහි සම්මුතිය කාලෝචිත ලෙස හඳුනා ගැනීමට ඔබට උපකාරී වේ, නමුත් එය සමස්ත ජාලයටම ප්‍රහාර හඳුනා ගැනීම සඳහා එතරම් සුදුසු නොවේ.

තෙවන විකල්පය වන්නේ ප්‍රවාහ ප්‍රොටෝකෝල කිහිපයකින් එකකට සහය දක්වන උපාංගයක් හරහා ගමනාගමනය පිළිබඳ තොරතුරු විශ්ලේෂණය කිරීමයි. මෙම අවස්ථාවේදී, ප්‍රොටෝකෝලය කුමක් වුවත්, නූල් යටිතල ව්‍යුහය අනිවාර්යයෙන්ම සංරචක තුනකින් සමන්විත වේ:

• ප්රවාහය උත්පාදනය හෝ අපනයනය. මෙම භූමිකාව සාමාන්‍යයෙන් රවුටරයකට, ස්විචයකට හෝ වෙනත් ජාල උපාංගයකට පවරා ඇත, එය ජාල ගමනාගමනය හරහා ගමන් කිරීමෙන් ඔබට එයින් ප්‍රධාන පරාමිතීන් උකහා ගැනීමට ඉඩ සලසයි, පසුව ඒවා එකතු කිරීමේ මොඩියුලයට සම්ප්‍රේෂණය වේ. උදාහරණයක් ලෙස, Cisco අථත්‍ය සහ කාර්මික ඒවා ඇතුළුව රවුටර සහ ස්විචවල පමණක් නොව රැහැන් රහිත පාලක, ෆයර්වෝල් සහ සේවාදායකයන් මත Netflow ප්‍රොටෝකෝලය සඳහා සහය දක්වයි.
• එකතු කිරීමේ ප්රවාහය. නවීන ජාලයකට සාමාන්‍යයෙන් ජාල උපාංග එකකට වඩා ඇති බව සලකන විට, ප්‍රවාහ එකතු කිරීම සහ ඒකාබද්ධ කිරීම පිළිබඳ ගැටළුව පැනනගින අතර, එය ඊනියා එකතුකරන්නන් භාවිතයෙන් විසඳනු ලැබේ, ලැබුණු ප්‍රවාහයන් සකසන අතර ඒවා විශ්ලේෂණය සඳහා සම්ප්‍රේෂණය කරයි.
• ප්රවාහ විශ්ලේෂණය විශ්ලේෂකය ප්‍රධාන බුද්ධිමය කාර්යය භාර ගන්නා අතර, ප්‍රවාහවලට විවිධ ඇල්ගොරිතම යෙදීමෙන් යම් නිගමනවලට එළඹේ. උදාහරණයක් ලෙස, තොරතුරු තාක්ෂණ ශ්‍රිතයක කොටසක් ලෙස, එවැනි විශ්ලේෂකයකට ජාල අවහිරතා හඳුනා ගැනීමට හෝ තවදුරටත් ජාල ප්‍රශස්තිකරණය සඳහා රථවාහන භාර පැතිකඩ විශ්ලේෂණය කිරීමට හැකිය. තවද තොරතුරු ආරක්ෂාව සඳහා, එවැනි විශ්ලේෂකයෙකුට දත්ත කාන්දුවීම්, අනිෂ්ට කේතය පැතිරීම හෝ DoS ප්‍රහාර හඳුනාගත හැකිය.

මෙම තට්ටු තුනේ ගෘහ නිර්මාණ ශිල්පය ඉතා සංකීර්ණ යැයි නොසිතන්න - අනෙකුත් සියලුම විකල්ප (සමහර විට, SNMP සහ RMON සමඟ වැඩ කරන ජාල අධීක්ෂණ පද්ධති හැර) එය අනුව ක්‍රියා කරයි. අප සතුව විශ්ලේෂණය සඳහා දත්ත උත්පාදක යන්ත්රයක් ඇත, එය ජාල උපාංගයක් හෝ ස්වාධීන සංවේදකයක් විය හැකිය. අපට අනතුරු ඇඟවීමේ එකතු කිරීමේ පද්ධතියක් සහ සමස්ත අධීක්ෂණ යටිතල පහසුකම් සඳහා කළමනාකරණ පද්ධතියක් ඇත. අවසාන සංරචක දෙක තනි නෝඩයක් තුළ ඒකාබද්ධ කළ හැකිය, නමුත් වැඩි හෝ අඩු විශාල ජාල වල ඒවා සාමාන්‍යයෙන් පරිමාණය සහ විශ්වසනීයත්වය සහතික කිරීම සඳහා අවම වශයෙන් උපාංග දෙකක් පුරා පැතිර ඇත.

පැකට් විශ්ලේෂණය මෙන් නොව, එක් එක් පැකට්ටුවේ ශීර්ෂය සහ ශරීර දත්ත සහ එය සමන්විත සැසි අධ්‍යයනය කිරීම මත පදනම්ව, ප්‍රවාහ විශ්ලේෂණය ජාල ගමනාගමනය පිළිබඳ පාර-දත්ත එකතු කිරීම මත රඳා පවතී. කවදාද, කොපමණ ප්‍රමාණයක්, කොහෙන්ද සහ කොහෙන්ද, කෙසේද... විවිධ ප්‍රවාහ ප්‍රොටෝකෝල භාවිතා කරමින් ජාල ටෙලිමෙට්‍රි විශ්ලේෂණයෙන් පිළිතුරු සපයන ප්‍රශ්න මේවාය. මුලදී, ඒවා සංඛ්‍යාලේඛන විශ්ලේෂණය කිරීමට සහ ජාලයේ තොරතුරු තාක්ෂණ ගැටළු සොයා ගැනීමට භාවිතා කරන ලද නමුත් පසුව, විශ්ලේෂණාත්මක යාන්ත්‍රණයන් වර්ධනය වූ විට, ආරක්ෂක අරමුණු සඳහා ඒවා එකම ටෙලිමෙට්‍රියකට යෙදිය හැකි විය. ප්‍රවාහ විශ්ලේෂණය පැකට් ග්‍රහණය කිරීම ප්‍රතිස්ථාපනය හෝ ප්‍රතිස්ථාපනය නොකරන බව නැවත සඳහන් කිරීම වටී. මෙම සෑම ක්‍රමයකටම තමන්ගේම යෙදුම් ක්ෂේත්‍රයක් ඇත. නමුත් මෙම ලිපියේ සන්දර්භය තුළ, අභ්‍යන්තර යටිතල පහසුකම් නිරීක්ෂණය කිරීම සඳහා වඩාත් සුදුසු වන්නේ ප්‍රවාහ විශ්ලේෂණයයි. ඔබට ප්‍රහාරයක් මග හැරිය නොහැකි ජාල උපාංග (ඒවා මෘදුකාංග-නිර්වචනය කරන ලද සුසමාදර්ශයක හෝ ස්ථිතික රීති අනුව ක්‍රියා කළත්) ඇත. එයට සම්භාව්‍ය IDS සංවේදකයක් මඟ හැරිය හැක, නමුත් ප්‍රවාහ ප්‍රොටෝකෝලය සඳහා සහය දක්වන ජාල උපාංගයකට කළ නොහැක. මෙම ක්රමයේ වාසිය මෙයයි.

අනෙක් අතට, ඔබට නීතිය ක්‍රියාත්මක කිරීමට හෝ ඔබේම සිදුවීම් විමර්ශන කණ්ඩායමට සාක්ෂි අවශ්‍ය නම්, ඔබට පැකට් ග්‍රහණයකින් තොරව කළ නොහැක - ජාල ටෙලිමෙට්‍රි යනු සාක්ෂි එකතු කිරීමට භාවිතා කළ හැකි ගමනාගමනයේ පිටපතක් නොවේ; එය තොරතුරු ආරක්ෂණ ක්ෂේත්‍රයේ වේගවත් හඳුනාගැනීම් සහ තීරණ ගැනීම සඳහා අවශ්‍ය වේ. අනෙක් අතට, ටෙලිමෙට්‍රි විශ්ලේෂණය භාවිතයෙන්, ඔබට සියලුම ජාල ගමනාගමනය (යම් දෙයක් නම්, සිස්කෝ දත්ත මධ්‍යස්ථාන සමඟ ගනුදෙනු කරයි :-) නොව ප්‍රහාරයට සම්බන්ධ දේ පමණක් “ලියන්න” පුළුවන්. මේ සම්බන්ධයෙන් ටෙලිමෙට්‍රි විශ්ලේෂණ මෙවලම් සාම්ප්‍රදායික පැකට් ග්‍රහණය කිරීමේ යාන්ත්‍රණයන් හොඳින් සම්පූර්ණ කරයි, තෝරාගත් ග්‍රහණය සහ ගබඩා කිරීම සඳහා විධාන ලබා දෙයි. එසේ නොමැතිනම්, ඔබට දැවැන්ත ගබඩා යටිතල පහසුකම් තිබිය යුතුය.

250 Mbit/sec වේගයකින් ක්‍රියාත්මක වන ජාලයක් යැයි සිතමු. ඔබට මෙම සියලු පරිමාව ගබඩා කිරීමට අවශ්‍ය නම්, ඔබට තත්පරයකට රථවාහන සම්ප්‍රේෂණය සඳහා 31 MB ආචයනය, විනාඩියකට 1,8 GB, පැයකට 108 GB සහ එක් දිනක් සඳහා 2,6 TB අවශ්‍ය වේ. 10 Gbit/s කලාප පළලක් සහිත ජාලයකින් දෛනික දත්ත ගබඩා කිරීම සඳහා, ඔබට 108 TB ආචයනය අවශ්‍ය වේ. නමුත් සමහර නියාමකයින්ට වසර ගණනාවක් ආරක්ෂිත දත්ත ගබඩා කිරීම අවශ්‍ය වේ... ප්‍රවාහ විශ්ලේෂණය ඔබට ක්‍රියාත්මක කිරීමට උපකාරී වන ඉල්ලුම මත පටිගත කිරීම, විශාලත්වයේ ඇණවුම් මගින් මෙම අගයන් අඩු කිරීමට උපකාරී වේ. මාර්ගය වන විට, අපි වාර්තාගත ජාල ටෙලිමෙට්‍රි දත්ත පරිමාවේ අනුපාතය සහ සම්පූර්ණ දත්ත ග්‍රහණය ගැන කතා කරන්නේ නම්, එය ආසන්න වශයෙන් 1 සිට 500 දක්වා වේ. ඉහත දක්වා ඇති එකම අගයන් සඳහා, සියලුම දෛනික ගමනාගමනයේ සම්පූර්ණ පිටපතක් ගබඩා කිරීම පිළිවෙලින් 5 සහ 216 GB වනු ඇත (ඔබට එය සාමාන්‍ය ෆ්ලෑෂ් ඩ්‍රයිව් එකක පවා පටිගත කළ හැක).

අමු ජාල දත්ත විශ්ලේෂණය කිරීමේ මෙවලම් සඳහා, එය ග්‍රහණය කර ගැනීමේ ක්‍රමය වෙළෙන්දාගෙන් වෙළෙන්දාට බොහෝ දුරට සමාන වේ නම්, ප්‍රවාහ විශ්ලේෂණයේ දී තත්වය වෙනස් වේ. ප්‍රවාහ ප්‍රොටෝකෝල සඳහා විකල්ප කිහිපයක් තිබේ, ආරක්ෂාව පිළිබඳ සන්දර්භය තුළ ඔබ දැනගත යුතු වෙනස්කම්. වඩාත්ම ජනප්‍රිය වන්නේ සිස්කෝ විසින් සංවර්ධනය කරන ලද Netflow ප්‍රොටෝකෝලයයි. මෙම ප්රොටෝකෝලයෙහි අනුවාද කිහිපයක් ඇත, ඒවායේ හැකියාවන් සහ වාර්තාගත රථවාහන තොරතුරු ප්රමාණය වෙනස් වේ. වත්මන් අනුවාදය නවවන (Netflow v9) වන අතර, එහි පදනම මත IPFIX ලෙසද හැඳින්වෙන කර්මාන්ත සම්මත Netflow v10 සංවර්ධනය කරන ලදී. අද, බොහෝ ජාල වෙළෙන්දන් ඔවුන්ගේ උපකරණවල Netflow හෝ IPFIX සඳහා සහය දක්වයි. නමුත් ප්‍රවාහ ප්‍රොටෝකෝල සඳහා වෙනත් විවිධ විකල්ප තිබේ - sFlow, jFlow, cFlow, rFlow, NetStream යනාදිය, ඒවායින් sFlow වඩාත් ජනප්‍රියයි. ක්‍රියාත්මක කිරීමේ පහසුව හේතුවෙන් ජාල උපකරණ ගෘහස්ථ නිෂ්පාදකයින් විසින් බොහෝ විට සහාය දක්වනු ලබන්නේ මෙම වර්ගයයි. තථ්‍ය ප්‍රමිතියක් බවට පත්ව ඇති Netflow සහ sFlow අතර ඇති ප්‍රධාන වෙනස්කම් මොනවාද? මම ප්රධාන කරුණු කිහිපයක් ඉස්මතු කරමි. පළමුව, Netflow හට sFlow හි ස්ථාවර ක්ෂේත්‍රවලට ප්‍රතිවිරුද්ධව පරිශීලක-අභිරුචිකරණය කළ හැකි ක්ෂේත්‍ර ඇත. දෙවනුව, මෙය අපගේ නඩුවේ වැදගත්ම දෙයයි, sFlow ඊනියා නියැදි දුරේක්ෂ එකතු කරයි; Netflow සහ IPFIX සඳහා නියැදි නොකළ එකට වෙනස්ව. ඔවුන් අතර වෙනස කුමක්ද?

ඔබ පොත කියවීමට තීරණය කරන බව සිතන්න.ආරක්ෂක මෙහෙයුම් මධ්‍යස්ථානය: ඔබේ SOC ගොඩනැගීම, ක්‍රියාත්මක කිරීම සහ නඩත්තු කිරීම” මගේ සගයන්ගේ - Gary McIntyre, Joseph Munitz සහ Nadem Alfardan (ඔබට සබැඳියෙන් පොතේ කොටසක් බාගත කළ හැකිය). ඔබේ ඉලක්කය සපුරා ගැනීමට ඔබට විකල්ප තුනක් ඇත - සම්පූර්ණ පොත කියවීම, එය හරහා ගමන් කිරීම, සෑම 10 වැනි හෝ 20 වැනි පිටුවකම නතර කිරීම හෝ SmartReading වැනි බ්ලොගයක හෝ සේවාවක ප්‍රධාන සංකල්ප නැවත කියවීමට උත්සාහ කරන්න. එබැවින්, සාම්පල නොකළ ටෙලිමෙට්‍රි යනු ජාල ගමනාගමනයේ සෑම “පිටුවක්” කියවීමයි, එනම් එක් එක් පැකට්ටුව සඳහා පාර-දත්ත විශ්ලේෂණය කිරීමයි. නියැදි දුරස්ථමිතිය යනු තෝරාගත් සාම්පලවල ඔබට අවශ්‍ය දේ අඩංගු වේ යැයි බලාපොරොත්තු වන ගමනාගමනය පිළිබඳ තෝරාගත් අධ්‍යයනයයි. නාලිකා වේගය මත පදනම්ව, සෑම 64 වැනි, 200 වැනි, 500 වැනි, 1000 වැනි, 2000 වැනි හෝ 10000 වැනි පැකට්ටුවකටම නියැදි ටෙලිමිතිය විශ්ලේෂණය සඳහා යවනු ලැබේ.

තොරතුරු ආරක්ෂණ අධීක්‍ෂණයේ සන්දර්භය තුළ, මෙයින් අදහස් කරන්නේ DDoS ප්‍රහාර හඳුනාගැනීම, ස්කෑන් කිරීම සහ අනිෂ්ට කේතය පැතිරීම සඳහා නියැදි දුරස්ථමිතිය හොඳින් ගැලපේ, නමුත් විශ්ලේෂණය සඳහා යවන ලද නියැදියට ඇතුළත් නොකළ පරමාණුක හෝ බහු-පැකට් ප්‍රහාර මග හැරිය හැකි බවයි. සාම්පල නොකළ ටෙලිමෙට්‍රිවල එවැනි අවාසි නොමැත. මේ සමඟ, හඳුනාගත් ප්රහාර පරාසය වඩා පුළුල් වේ. ජාල ටෙලිමෙට්‍රි විශ්ලේෂණ මෙවලම් භාවිතයෙන් අනාවරණය කර ගත හැකි සිදුවීම්වල කෙටි ලැයිස්තුවක් මෙන්න.

ඇත්ත වශයෙන්ම, සමහර විවෘත මූලාශ්‍ර Netflow විශ්ලේෂකය ඔබට මෙය කිරීමට ඉඩ නොදේ, මන්ද එහි ප්‍රධාන කාර්යය වන්නේ ටෙලිමෙට්‍රි එකතු කිරීම සහ තොරතුරු තාක්ෂණ දෘෂ්ටි කෝණයකින් ඒ පිළිබඳ මූලික විශ්ලේෂණයක් සිදු කිරීමයි. ප්‍රවාහය මත පදනම්ව තොරතුරු ආරක්ෂණ තර්ජන හඳුනා ගැනීම සඳහා, විශ්ලේෂකය විවිධ එන්ජින් සහ ඇල්ගොරිතම සමඟ සන්නද්ධ කිරීම අවශ්‍ය වේ, එමඟින් සම්මත හෝ අභිරුචි Netflow ක්ෂේත්‍ර මත පදනම්ව සයිබර් ආරක්ෂණ ගැටළු හඳුනා ගැනීම, විවිධ තර්ජන බුද්ධි ප්‍රභවයන්ගෙන් බාහිර දත්ත සමඟ සම්මත දත්ත පොහොසත් කිරීම යනාදිය.

එබැවින්, ඔබට තේරීමක් තිබේ නම්, Netflow හෝ IPFIX තෝරන්න. නමුත් ඔබේ උපකරණ දේශීය නිෂ්පාදකයින් මෙන් sFlow සමඟ පමණක් ක්‍රියා කළත්, මේ අවස්ථාවේ දී පවා ඔබට ආරක්ෂිත සන්දර්භය තුළ එයින් ප්‍රයෝජන ගත හැකිය.

2019 ගිම්හානයේදී, මම රුසියානු ජාල දෘඩාංග නිෂ්පාදකයින්ට ඇති හැකියාවන් විශ්ලේෂණය කළ අතර, NSG, Polygon සහ Craftway හැර, ඔවුන් සියල්ලන්ම sFlow සඳහා සහය ප්‍රකාශ කළෙමි (අවම වශයෙන් Zelax, Natex, Eltex, QTech, Rusteleteh).

ඔබ මුහුණ දෙන මීළඟ ප්‍රශ්නය වන්නේ ආරක්ෂක අරමුණු සඳහා ප්‍රවාහ සහාය ක්‍රියාත්මක කරන්නේ කොතැනින්ද? ඇත්ත වශයෙන්ම, ප්රශ්නය සම්පූර්ණයෙන්ම නිවැරදිව ඉදිරිපත් කර නැත. නවීන උපකරණ සෑම විටම පාහේ ප්රවාහ ප්රොටෝකෝල සඳහා සහය දක්වයි. එබැවින්, මම ප්‍රශ්නය වෙනස් ආකාරයකින් ප්‍රතිසංවිධානය කරමි - ආරක්‍ෂක දෘෂ්ටි කෝණයකින් ටෙලිමෙට්‍රි එකතු කිරීම වඩාත් ඵලදායී වන්නේ කොතැනද? පිළිතුර ඉතා පැහැදිලි වනු ඇත - ප්‍රවේශ මට්ටමේදී, ඔබට සියලු ගමනාගමනයෙන් 100% ක් පෙනෙනු ඇත, එහිදී ඔබට සත්කාරක (MAC, VLAN, අතුරුමුහුණත් හැඳුනුම්පත) පිළිබඳ සවිස්තරාත්මක තොරතුරු ඇත, එහිදී ඔබට සත්කාරක අතර P2P ගමනාගමනය පවා නිරීක්ෂණය කළ හැකිය. අනිෂ්ට කේතය පරිලෝකනය කිරීම සහ බෙදා හැරීම සඳහා ඉතා වැදගත් වේ. මූලික මට්ටමේදී, ඔබට සමහර මාර්ග තදබදයක් නොපෙනේ, නමුත් පරිමිතිය මට්ටමේදී, ඔබේ ජාල තදබදයෙන් හතරෙන් එකක් ඔබට පෙනෙනු ඇත. නමුත් කිසියම් හේතුවක් නිසා පරිමිතිය මඟ හැරීමකින් තොරව ප්‍රහාරකයන්ට “ඇතුළත් වීමට සහ පිටවීමට” ඉඩ සලසන විදේශීය උපාංග ඔබේ ජාලයේ තිබේ නම්, එයින් ටෙලිමිතිය විශ්ලේෂණය කිරීමෙන් ඔබට කිසිවක් ලබා නොදේ. එබැවින්, උපරිම ආවරණය සඳහා, ප්රවේශ මට්ටමේ දී ටෙලිමෙට්රි එකතු කිරීම සක්රිය කිරීම රෙකමදාරු කරනු ලැබේ. ඒ අතරම, අපි අථත්‍යකරණය හෝ බහාලුම් ගැන කතා කළත්, ප්‍රවාහ සහාය බොහෝ විට නවීන අථත්‍ය ස්විචවල දක්නට ලැබෙන බව සඳහන් කිරීම වටී, එමඟින් ඔබට එහි ගමනාගමනය පාලනය කිරීමට ඉඩ සලසයි.

නමුත් මම මාතෘකාව මතු කළ බැවින්, මම ප්රශ්නයට පිළිතුරු දිය යුතුය: උපකරණ, භෞතික හෝ අථත්ය, ප්රවාහ ප්රොටෝකෝල සඳහා සහය නොදක්වන්නේ නම් කුමක් කළ යුතුද? නැතහොත් එය ඇතුළත් කිරීම තහනම් කර තිබේද (නිදසුනක් ලෙස, විශ්වසනීයත්වය සහතික කිරීම සඳහා කාර්මික අංශවල)? එසේත් නැතිනම් එය ක්‍රියාත්මක කිරීමෙන් ඉහළ CPU භාරයක් (මෙය පැරණි දෘඪාංග මත සිදු වේ) වෙත යොමු කරයිද? මෙම ගැටළුව විසඳීම සඳහා, විශේෂිත අථත්‍ය සංවේදක (ප්‍රවාහ සංවේදක) ඇත, ඒවා අවශ්‍යයෙන්ම සාමාන්‍ය බෙදීම් වන අතර ඒවා ගමනාගමනය තමන් හරහා ගමන් කර එකතු කිරීමේ මොඩියුලයට ප්‍රවාහ ආකාරයෙන් විකාශනය කරයි. ඇත්ත, මෙම අවස්ථාවේ දී පැකට් ග්‍රහණ මෙවලම් සම්බන්ධයෙන් අප ඉහත කතා කළ සියලුම ගැටළු අපට ලැබේ. එනම්, ඔබ ප්රවාහ විශ්ලේෂණ තාක්ෂණයේ වාසි පමණක් නොව, එහි සීමාවන් ද තේරුම් ගත යුතුය.

ප්‍රවාහ විශ්ලේෂණ මෙවලම් ගැන කතා කරන විට මතක තබා ගත යුතු තවත් කරුණක්. ආරක්ෂක සිදුවීම් උත්පාදනය කිරීමේ සාම්ප්‍රදායික මාධ්‍යයන් සම්බන්ධයෙන් අපි EPS මෙට්‍රික් (තත්පරයකට සිදුවීම) භාවිතා කරන්නේ නම්, මෙම දර්ශකය ටෙලිමෙට්‍රි විශ්ලේෂණයට අදාළ නොවේ; එය FPS (තත්පරයට ප්රවාහය) මගින් ප්රතිස්ථාපනය වේ. EPS වලදී මෙන්, එය කල්තියා ගණනය කළ නොහැක, නමුත් ඔබට යම් උපාංගයක් එහි කාර්යය අනුව ජනනය කරන නූල් ආසන්න සංඛ්‍යාව තක්සේරු කළ හැකිය. විවිධ වර්ගයේ ව්‍යවසාය උපාංග සහ කොන්දේසි සඳහා ආසන්න අගයන් සහිත වගු ඔබට අන්තර්ජාලයේ සොයාගත හැකිය, එමඟින් ඔබට විශ්ලේෂණ මෙවලම් සඳහා අවශ්‍ය බලපත්‍ර මොනවාද සහ ඒවායේ ගෘහ නිර්මාණ ශිල්පය කුමක්දැයි තක්සේරු කිරීමට ඔබට ඉඩ සලසයි. කාරණය නම්, IDS සංවේදකය එය "අදින්න" හැකි නිශ්චිත කලාප පළලකින් සීමා වී ඇති අතර, ප්රවාහ එකතු කරන්නාට තේරුම් ගත යුතු තමන්ගේම සීමාවන් ඇත. එබැවින්, විශාල, භූගෝලීය වශයෙන් බෙදා හරින ලද ජාල වල සාමාන්යයෙන් එකතුකරන්නන් කිහිප දෙනෙක් සිටිති. මම විස්තර කළ විට Cisco තුළ ජාලය නිරීක්ෂණය කරන ආකාරය, මම දැනටමත් අපගේ එකතුකරන්නන් සංඛ්යාව ලබා දී ඇත - ඔවුන්ගෙන් 21 ක් ඇත. තවද මෙය මහාද්වීප පහක් පුරා විසිරී ඇති ජාලයක් සඳහා වන අතර ක්රියාකාරී උපාංග මිලියන භාගයක් පමණ වේ).

අපි Netflow අධීක්ෂණ පද්ධතියක් ලෙස අපගේම විසඳුම භාවිතා කරමු Cisco Stealthwatch, ආරක්ෂක ගැටළු විසඳීම කෙරෙහි විශේෂයෙන් අවධානය යොමු කර ඇත. එහි විෂම, සැක සහිත සහ පැහැදිලිවම අනිෂ්ට ක්‍රියාකාරකම් හඳුනා ගැනීම සඳහා බොහෝ බිල්ට් එන්ජින් ඇත, එමඟින් ඔබට විවිධ තර්ජන රාශියක් හඳුනා ගැනීමට ඉඩ සලසයි - ගුප්තකේතනයේ සිට තොරතුරු කාන්දු වීම දක්වා, අනිෂ්ට කේතය පැතිරීමේ සිට වංචාව දක්වා. බොහෝ ප්‍රවාහ විශ්ලේෂක මෙන්, Stealthwatch තුන්-මට්ටමේ යෝජනා ක්‍රමයක් (උත්පාදක - එකතු කරන්නා - විශ්ලේෂකය) මත ගොඩනගා ඇත, නමුත් එය සලකා බලනු ලබන ද්රව්යයේ සන්දර්භය තුළ වැදගත් වන රසවත් විශේෂාංග ගණනාවක් සමඟ අතිරේක වේ. පළමුව, එය පැකට් ග්‍රහණ විසඳුම් (සිස්කෝ සිකියුරිටි පැකට් විශ්ලේෂකය වැනි) සමඟ ඒකාබද්ධ වේ, එමඟින් ඔබට පසුව ගැඹුරු විමර්ශනය සහ විශ්ලේෂණය සඳහා තෝරාගත් ජාල සැසි වාර්තා කිරීමට ඉඩ සලසයි. දෙවනුව, විශේෂයෙන් ආරක්ෂක කාර්යයන් පුළුල් කිරීම සඳහා, අපි විශේෂ nvzFlow ප්‍රොටෝකෝලයක් සකස් කර ඇති අතර, එය ඔබට අවසන් නෝඩ් වල (සේවාදායක, වැඩපොළවල්, ආදිය) යෙදුම්වල ක්‍රියාකාරකම් "විකාශනය" කිරීමට සහ වැඩිදුර විශ්ලේෂණය සඳහා එකතු කරන්නා වෙත සම්ප්‍රේෂණය කිරීමට ඉඩ සලසයි. එහි මුල් පිටපතෙහි Stealthwatch ජාල මට්ටමින් කිසියම් ප්‍රවාහ ප්‍රොටෝකෝලය (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) සමඟ ක්‍රියා කරයි නම්, nvzFlow සහාය මඟින් නෝඩ් මට්ටමේදී ද දත්ත සහසම්බන්ධතාවයට ඉඩ සලසයි. සමස්ත පද්ධතියේ කාර්යක්ෂමතාව වැඩි කිරීම සහ සාම්ප්‍රදායික ජාල ප්‍රවාහ විශ්ලේෂකවලට වඩා වැඩි ප්‍රහාර දැකීම.

ආරක්ෂිත දෘෂ්ටි කෝණයකින් Netflow විශ්ලේෂණ පද්ධති ගැන කතා කරන විට, වෙළඳපල Cisco වෙතින් එකම විසඳුමකට සීමා නොවන බව පැහැදිලිය. ඔබට වාණිජ සහ නොමිලේ හෝ shareware විසඳුම් දෙකම භාවිතා කළ හැකිය. මම සිස්කෝ බ්ලොග් අඩවියේ තරඟකරුවන්ගේ විසඳුම් උදාහරණ ලෙස උපුටා දක්වන්නේ නම් එය තරමක් අමුතු දෙයක්, එබැවින් ජනප්‍රිය, නමට සමාන, නමුත් තවමත් වෙනස් මෙවලම් දෙකක් භාවිතා කරමින් ජාල ටෙලිමෙට්‍රි විශ්ලේෂණය කළ හැකි ආකාරය ගැන වචන කිහිපයක් කියමි - සිල්ක් සහ එල්කේ.

සිල්ක් යනු ගමනාගමන විශ්ලේෂණය සඳහා වූ මෙවලම් සමූහයකි (අන්තර්ජාල මට්ටමේ දැනුම සඳහා පද්ධතිය), එය ඇමරිකානු CERT/CC විසින් වැඩි දියුණු කරන ලද අතර එය අද ලිපියේ සන්දර්භය තුළ, Netflow (5 වන සහ 9 වන, වඩාත්ම ජනප්‍රිය අනුවාදයන්) IPFIX සඳහා සහය දක්වයි. සහ sFlow සහ විවිධ උපයෝගිතා (rwfilter, rwcount, rwflowpack, ආදිය) භාවිතා කරමින් එහි ඇති අනවසර ක්‍රියා වල සලකුණු හඳුනා ගැනීම සඳහා ජාල ටෙලිමෙට්‍රි මත විවිධ මෙහෙයුම් සිදු කරයි. නමුත් අවධානය යොමු කළ යුතු වැදගත් කරුණු කිහිපයක් තිබේ. Silk යනු මෙවැනි විධාන ඇතුළත් කිරීමෙන් මාර්ගගත විශ්ලේෂණය සිදු කරන විධාන රේඛා මෙවලමකි (බයිට් 200 ට වඩා විශාල ICMP පැකට් හඳුනා ගැනීම):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

ඉතා සුවපහසු නොවේ. ඔබට iSiLK GUI භාවිතා කළ හැක, නමුත් එය ඔබගේ ජීවිතය වඩාත් පහසු නොකරනු ඇත, දෘශ්‍යකරණ කාර්යය පමණක් විසඳා විශ්ලේෂකය ප්‍රතිස්ථාපනය නොකරයි. තවද මෙය දෙවන කරුණයි. දැනටමත් ශක්තිමත් විශ්ලේෂණ පදනමක් ඇති වාණිජ විසඳුම් මෙන් නොව, විෂමතා හඳුනාගැනීමේ ඇල්ගොරිතම, අනුරූප කාර්ය ප්‍රවාහය යනාදිය, සිල්ක් සම්බන්ධයෙන් ඔබට මේ සියල්ල ඔබම කිරීමට සිදුවනු ඇත, ඒ සඳහා ඔබෙන් තරමක් වෙනස් නිපුණතා අවශ්‍ය වනු ඇත. භාවිතා කිරීමට මෙවලම්. මෙය හොඳ හෝ නරක නැත - මෙය ඔබ කළ යුතු දේ දන්නා බව උපකල්පනය කරන ඕනෑම නිදහස් මෙවලමක ලක්ෂණයක් වන අතර, මෙය ඔබට පමණක් උපකාරී වනු ඇත (වාණිජ්‍ය මෙවලම් එහි පරිශීලකයින්ගේ නිපුණතා මත රඳා නොපවතින නමුත් ඔවුන් ද උපකල්පනය කරයි. විශ්ලේෂකයින් අවම වශයෙන් ජාල විමර්ශන සහ අධීක්ෂණය පිළිබඳ මූලික කරුණු තේරුම් ගෙන ඇති බව). නමුත් අපි නැවත සිල්ක් වෙත යමු. එය සමඟ විශ්ලේෂකයාගේ වැඩ චක්රය මේ වගේ ය:

• උපකල්පනයක් සකස් කිරීම. ජාල ටෙලිමෙට්‍රි තුළ අප සොයන්නේ කුමක් දැයි අප තේරුම් ගත යුතුය, අප විසින් යම් යම් විෂමතා හෝ තර්ජන හඳුනා ගන්නා අද්විතීය ගුණාංග දැන සිටිය යුතුය.
• ආකෘතියක් ගොඩනැගීම. උපකල්පනයක් සකස් කිරීමෙන් පසුව, අපි එය SILK හි ඇතුළත් කර නොමැති එම Python, shell හෝ වෙනත් මෙවලම් භාවිතයෙන් වැඩසටහන්ගත කරමු.
• පරීක්ෂා කිරීම. 'rw', 'set', 'bag' වලින් ආරම්භ වන SiLK උපයෝගිතා භාවිතයෙන් තහවුරු කර හෝ ප්‍රතික්ෂේප කරන ලද අපගේ උපකල්පනයේ නිවැරදි භාවය පරීක්ෂා කිරීමේ වාරය දැන් පැමිණේ.
• සැබෑ දත්ත විශ්ලේෂණය. කාර්මික මෙහෙයුමේදී, Silk අපට යමක් හඳුනා ගැනීමට උපකාර වන අතර විශ්ලේෂකයා විසින් “අපි බලාපොරොත්තු වූ දේ සොයා ගත්තාද?”, “මෙය අපගේ උපකල්පනයට අනුරූපද?”, “ව්‍යාජ ධනාත්මක සංඛ්‍යාව අඩු කරන්නේ කෙසේද?”, “කෙසේද?” යන ප්‍රශ්නවලට පිළිතුරු සැපයිය යුතුය. පිළිගැනීමේ මට්ටම වැඩි දියුණු කිරීමට? » සහ යනාදි.
• වැඩිදියුණු කිරීම. අවසාන අදියරේදී, අපි කලින් කළ දේ වැඩි දියුණු කරන්නෙමු - අපි සැකිලි සාදන්න, කේතය වැඩි දියුණු කර ප්‍රශස්ත කරන්න, උපකල්පනය ප්‍රතිසංස්කරණය කර පැහැදිලි කරන්න, යනාදිය.

මෙම චක්‍රය Cisco Stealthwatch සඳහාද අදාළ වනු ඇත, අවසාන එක පමණක් මෙම පියවර පහ උපරිමයට ස්වයංක්‍රීය කරයි, විශ්ලේෂක දෝෂ සංඛ්‍යාව අඩු කරයි සහ සිදුවීම් හඳුනාගැනීමේ කාර්යක්ෂමතාව වැඩි කරයි. උදාහරණයක් ලෙස, SiLK හිදී ඔබට අතින් ලියන ලද ස්ක්‍රිප්ට් භාවිතයෙන් අනිෂ්ට IPs පිළිබඳ බාහිර දත්ත සමඟ ජාල සංඛ්‍යාලේඛන පොහොසත් කළ හැකි අතර, Cisco Stealthwatch තුළ එය අසාදු ලේඛනයෙන් IP ලිපින සමඟ අන්තර්ක්‍රියා ජාල තදබදයක් තිබේ නම් වහාම අනතුරු ඇඟවීමක් පෙන්වන බිල්ට් කාර්යයකි.

ඔබ ප්‍රවාහ විශ්ලේෂණ මෘදුකාංගය සඳහා “ගෙවූ” පිරමීඩයේ ඉහළට ගියහොත්, නියත වශයෙන්ම නොමිලේ ලැබෙන සිල්ක් එකෙන් පසු ප්‍රධාන කොටස් තුනකින් සමන්විත කොටස් මෘදුකාංගයක් ELK වනු ඇත - Elasticsearch (සුචිගත කිරීම, සෙවීම සහ දත්ත විශ්ලේෂණය), Logstash (දත්ත ආදානය/ප්‍රතිදානය). ) සහ කිබානා (දර්ශනය). සිල්ක් මෙන් නොව, ඔබ විසින්ම සියල්ල ලිවිය යුතු තැන, ELK සතුව දැනටමත් ජාල ටෙලිමෙට්‍රි විශ්ලේෂණය ස්වයංක්‍රීය කරන බොහෝ සූදානම් කළ පුස්තකාල/මොඩියුල (සමහර ගෙවන ලද, සමහරක් නොවේ) ඇත. උදාහරණයක් ලෙස, Logstash හි ඇති GeoIP ෆිල්ටරය මඟින් නිරීක්ෂණය කරන ලද IP ලිපින ඒවායේ භූගෝලීය පිහිටීම සමඟ සම්බන්ධ කිරීමට ඔබට ඉඩ සලසයි (Stealthwatch හි මෙම අංගය ඇත).

මෙම අධීක්ෂණ විසඳුම සඳහා අතුරුදහන් වූ සංරචක සම්පූර්ණ කරන තරමක් විශාල ප්‍රජාවක් ද ELK සතුව ඇත. උදාහරණයක් ලෙස, Netflow, IPFIX සහ sFlow සමඟ වැඩ කිරීමට ඔබට මොඩියුලය භාවිතා කළ හැකිය ඉලාස්ටිෆ්ලෝ, Netflow සඳහා පමණක් සහය දක්වන Logstash Netflow මොඩියුලය ගැන ඔබ සෑහීමකට පත් නොවන්නේ නම්.

ප්‍රවාහ එකතු කිරීම සහ එය සෙවීමේදී වැඩි කාර්යක්ෂමතාවයක් ලබා දෙන අතරම, ජාල දුරස්ථමිතිකයේ විෂමතා සහ තර්ජන හඳුනාගැනීම සඳහා ELK සතුව පොහොසත් බිල්ට්-ඉන් විශ්ලේෂණ නොමැත. එනම්, ඉහත විස්තර කර ඇති ජීවන චක්‍රය අනුගමනය කිරීමෙන්, ඔබට ස්වාධීනව උල්ලංඝනය කිරීමේ ආකෘති විස්තර කිරීමට සිදුවනු ඇති අතර පසුව එය සටන් පද්ධතිය තුළ භාවිතා කළ යුතුය (එහි ඉදිකළ ආකෘති නොමැත).

ජාල ටෙලිමෙට්‍රිවල විෂමතා හඳුනා ගැනීම සඳහා දැනටමත් සමහර මාදිලි අඩංගු ELK සඳහා වඩාත් සංකීර්ණ දිගු ඇත, නමුත් එවැනි දිගු සඳහා මුදල් වැය වන අතර මෙහි ප්‍රශ්නය වන්නේ ක්‍රීඩාව ඉටිපන්දම වටී ද යන්නයි - සමාන ආකෘතියක් ඔබම ලියන්න, එය මිලදී ගන්න ඔබගේ අධීක්ෂණ මෙවලම සඳහා ක්‍රියාත්මක කිරීම හෝ ජාල ගමනාගමන විශ්ලේෂණ පන්තියේ සූදානම් කළ විසඳුම මිලදී ගන්න.

පොදුවේ ගත් කල, මුදල් වියදම් කර ජාල ටෙලිමෙට්‍රිවල විෂමතා සහ තර්ජන (උදාහරණයක් ලෙස, Cisco Stealthwatch) නිරීක්ෂණය කිරීම සඳහා සූදානම් කළ විසඳුමක් මිලදී ගැනීම හෝ එය ඔබම හඳුනාගෙන එය අභිරුචිකරණය කිරීම වඩා හොඳ බවට විවාදයට පැටලීමට මට අවශ්‍ය නැත. සෑම නව තර්ජනයක් සඳහාම සිල්ක්, ELK හෝ nfdump හෝ OSU ප්‍රවාහ මෙවලම් ( මම කතා කරන්නේ ඒවායින් අවසාන දෙක ගැන ය කිව්වා අවසන් වරට)? සෑම කෙනෙකුම තමන්ටම තෝරා ගන්නා අතර සෑම කෙනෙකුටම විකල්ප දෙකෙන් එකක් තෝරා ගැනීම සඳහා තමන්ගේම චේතනා ඇත. ඔබගේ අභ්‍යන්තර යටිතල ව්‍යුහයේ ජාල ආරක්ෂාව සහතික කිරීම සඳහා ජාල ටෙලිමෙට්‍රි ඉතා වැදගත් මෙවලමක් බව පෙන්වීමට මට අවශ්‍ය වූ අතර ඔබ එය නොසලකා හැරිය යුතු නැත, එවිට මාධ්‍යවල නම සඳහන් කර ඇති සමාගම් ලැයිස්තුවට නාම පද සමඟ සම්බන්ධ නොවිය යුතුය. හැක් කරන ලද”, “තොරතුරු ආරක්ෂණ අවශ්‍යතාවලට අනුකූල නොවීම”, “ඔවුන්ගේ දත්තවල සහ පාරිභෝගික දත්තවල ආරක්ෂාව ගැන නොසිතයි.”

සාරාංශ කිරීම සඳහා, ඔබගේ අභ්‍යන්තර යටිතල ව්‍යුහයේ තොරතුරු ආරක්ෂණ අධීක්‍ෂණය ගොඩනැගීමේදී ඔබ අනුගමනය කළ යුතු ප්‍රධාන ඉඟි ලැයිස්තුගත කිරීමට මම කැමැත්තෙමි:

1. පරිමිතියට පමණක් සීමා නොවන්න! ජාල යටිතල ව්‍යුහය A ලක්ෂ්‍යයේ සිට B දක්වා ගමනාගමනය ගෙන යාමට පමණක් නොව, සයිබර් ආරක්ෂණ ගැටළු විසඳීමටද භාවිතා කරන්න.
2. ඔබගේ ජාල උපකරණවල පවතින තොරතුරු ආරක්ෂණ අධීක්ෂණ යාන්ත්‍රණයන් අධ්‍යයනය කර ඒවා භාවිතා කරන්න.
3. අභ්‍යන්තර අධීක්‍ෂණය සඳහා, ටෙලිමෙට්‍රි විශ්ලේෂණයට මනාප දෙන්න - ජාල පැකට් ග්‍රහණය කර ගැනීමේදී සහ සියලු තොරතුරු ආරක්ෂණ සිදුවීම් ගබඩා කිරීම සඳහා ඉඩ ඉතිරි කිරීමේදී කළ නොහැකි දේ කරන අතරම, සියලුම ජාල තොරතුරු ආරක්ෂණ සිදුවීම් වලින් 80-90% දක්වා හඳුනා ගැනීමට එය ඔබට ඉඩ සලසයි.
4. ප්‍රවාහ නිරීක්ෂණය කිරීමට, Netflow v9 හෝ IPFIX භාවිතා කරන්න - ඒවා ආරක්ෂක සන්දර්භයක් තුළ වැඩි විස්තර සපයන අතර ඔබට IPv4 පමණක් නොව IPv6, MPLS ආදියද නිරීක්ෂණය කිරීමට ඉඩ සලසයි.
5. නියැදි නොකළ ප්‍රවාහ ප්‍රොටෝකෝලයක් භාවිතා කරන්න - එය තර්ජන හඳුනා ගැනීම සඳහා වැඩි තොරතුරු සපයයි. උදාහරණයක් ලෙස, Netflow හෝ IPFIX.
6. ඔබගේ ජාල උපකරණවල බර පරීක්ෂා කරන්න - ප්‍රවාහ ප්‍රොටෝකෝලය හැසිරවීමට එයට නොහැකි විය හැක. ඉන්පසු අතථ්‍ය සංවේදක හෝ Netflow Generation Appliance භාවිතා කිරීම සලකා බලන්න.
7. ප්‍රවේශ මට්ටමින් ප්‍රථමයෙන් පාලනය ක්‍රියාත්මක කරන්න - මෙය ඔබට සියලුම ගමනාගමනයෙන් 100% දැකීමට අවස්ථාව ලබා දෙනු ඇත.
8. ඔබට විකල්පයක් නොමැති නම් සහ ඔබ රුසියානු ජාල උපකරණ භාවිතා කරන්නේ නම්, ප්‍රවාහ ප්‍රොටෝකෝල සඳහා සහය දක්වන හෝ SPAN/RSPAN වරායන් ඇති එකක් තෝරන්න.
9. දාරවල අනවසරයෙන් ඇතුල්වීම්/ප්‍රහාර හඳුනාගැනීම්/වැලැක්වීමේ පද්ධති සහ අභ්‍යන්තර ජාලයේ (වලාකුළු ඇතුළුව) ප්‍රවාහ විශ්ලේෂණ පද්ධති ඒකාබද්ධ කරන්න.

අවසාන ඉඟිය සම්බන්ධයෙන්, මම දැනටමත් ලබා දී ඇති උපමාවක් ලබා දීමට කැමැත්තෙමි. මීට පෙර සිස්කෝ තොරතුරු ආරක්ෂණ සේවාව මුළුමනින්ම පාහේ එහි තොරතුරු ආරක්ෂණ අධීක්ෂණ පද්ධතිය අනවසරයෙන් ඇතුළුවීම හඳුනාගැනීමේ පද්ධති සහ අත්සන ක්‍රම පදනම් කරගෙන ගොඩනඟා ඇත්නම්, දැන් ඒවා සිදුවන්නේ සිදුවීම්වලින් 20% ක් පමණක් බව ඔබට පෙනේ. තවත් 20% ක් ප්‍රවාහ විශ්ලේෂණ පද්ධති මත වැටේ, එයින් ඇඟවෙන්නේ මෙම විසඳුම් අභිලාෂයක් නොවන නමුත් නවීන ව්‍යවසායක තොරතුරු ආරක්ෂණ සේවාවන්හි ක්‍රියාකාරකම්වල සැබෑ මෙවලමක් බවයි. එපමණක් නොව, ඒවා ක්‍රියාත්මක කිරීම සඳහා ඔබට වඩාත්ම වැදගත් දෙය තිබේ - ජාල යටිතල පහසුකම්, ජාලයට තොරතුරු ආරක්ෂණ අධීක්ෂණ කාර්යයන් පැවරීමෙන් තවදුරටත් ආරක්ෂා කළ හැකි ආයෝජන.

ජාල ප්‍රවාහවල හඳුනාගෙන ඇති විෂමතා හෝ තර්ජනවලට ප්‍රතිචාර දැක්වීමේ මාතෘකාව මම විශේෂයෙන් ස්පර්ශ නොකළ නමුත්, අධීක්‍ෂණය තර්ජනයක් හඳුනා ගැනීමෙන් පමණක් අවසන් නොවිය යුතු බව දැනටමත් පැහැදිලි යැයි මම සිතමි. එය ප්‍රතිචාරයකින් අනුගමනය කළ යුතු අතර වඩාත් සුදුසු වන්නේ ස්වයංක්‍රීය හෝ ස්වයංක්‍රීය මාදිලියකිනි. නමුත් මෙය වෙනම ලිපියක් සඳහා මාතෘකාවකි.

අතිරේක තොරතුරු:

• Cisco IOS Netflow විස්තරය
• විවිධ Cisco විසඳුම් තුළ Netflow සහාය අනුකෘතිය
• විවිධ සිස්කෝ වේදිකා මත Netflow වින්‍යාස කිරීම සඳහා මාර්ගෝපදේශය
• sFlow ප්‍රජාව
• ආරක්ෂක ඉදිරිදර්ශනයකින් Netflow විශ්ලේෂණය කිරීමට Stealtjwatch, SILK සහ ELK භාවිතා කරන රසායනාගාරය
• සිල්ක් වෙබ් අඩවිය
• උදාහරණ ටොන් ගණනක් සමඟ SILK භාවිතා කිරීම සඳහා පිටු තුන්සියයක මාර්ගෝපදේශය
• Logstash Netflow මොඩියුලය
• ELK හි Netflow විශ්ලේෂණය සඳහා Cisco පියවරෙන් පියවර මාර්ගෝපදේශය
• Logstash (ELK) භාවිතයෙන් NetFlow v.9 Cisco ASA විශ්ලේෂණය
• Cisco Stealthwatch විසඳුම

PS ඉහත ලියා ඇති සියල්ල ඇසීම ඔබට පහසු නම්, මෙම සටහනේ පදනම වූ පැයක ඉදිරිපත් කිරීම ඔබට නැරඹිය හැකිය.

මූලාශ්රය: www.habr.com