Hab-maamuuska socodka oo ah qalab lagula socdo amniga shabakadaha gudaha

Marka ay timaaddo la socodka amniga shirkad gudaha ama shabakad waaxeed, qaar badan ayaa la xiriiriya xakameynta daadinta macluumaadka iyo hirgelinta xalalka DLP. Oo haddii aad isku daydo inaad caddayso su'aasha oo aad waydiiso sida aad u ogaatid weerarrada shabakada gudaha, markaa jawaabtu waxay noqon doontaa, sida caadiga ah, waxay noqon doontaa xusus hababka ogaanshaha soo-galitaanka (IDS). Oo maxay ahayd doorashada kaliya ee 10-20 sano ka hor waxay noqonaysaa anachronism maanta. Waxaa jira wax ku ool badan, iyo meelaha qaarkood, ikhtiyaarka kaliya ee suurtogalka ah ee la socodka shabakada gudaha - iyadoo la adeegsanayo borotokoolka qulqulka, kuwaas oo markii hore loogu talagalay in lagu raadiyo dhibaatooyinka shabakada (dhisidda), laakiin waqti ka dib ayaa loo beddelay qalab ammaan oo aad u xiiso badan. Waxaan ka hadli doonaa waxa borotokoollada socodka jira iyo kuwa ku wanaagsan in la ogaado weerarrada shabakadaha, halka ay ku habboon tahay in la hirgeliyo kormeerka socodka, waxa la raadinayo marka la dirayo nidaamkan, iyo xitaa sida loo "kor u qaado" waxaas oo dhan qalabka guriga. gudaha baaxadda qodobkan.

Ma dul istaagi doono su'aasha ah "Waa maxay sababta loogu baahan yahay ilaalinta amniga kaabayaasha dhaqaalaha?" Jawaabtu waxay u muuqataa mid cad. Laakiin haddii, si kastaba ha ahaatee, aad jeclaan lahayd inaad mar kale hubiso in maanta aadan noolaan karin la'aanteed, fiirso muuqaal gaaban oo ku saabsan sida aad u gali karto shabakad shirkadeed oo uu ilaalinayo firewall 17 siyaabood. Sidaa darteed, waxaan u qaadan doonaa in aan fahamsanahay in kormeerka gudaha uu yahay shay lagama maarmaan ah, waxa dhimanna ay tahay in la fahmo sida loo habayn karo.

Waxaan muujin doonaa saddex ilo xogeed oo muhiim ah oo loogu talagalay la socodka kaabayaasha heerka shabakadda:

• Taraafikada "ceeriin" ee aanu qabano una soo gudbino falanqaynta hababka falanqaynta qaarkood,
• Dhacdooyinka ka imanaya aaladaha shabakadaha ay maraan taraafikada,
• macluumaadka gaadiidka ee lagu helo mid ka mid ah borotokoolka socodka.

Qabashada taraafikada cayriin waa ikhtiyaarka ugu caansan ee khubarada amniga dhexdooda, sababtoo ah taariikh ahaan waxay u muuqatay oo waxay ahayd tii ugu horreysay. Nidaamyada ogaanshaha soo gelitaanka shabakada caadiga ah (nidaamka ogaanshaha soo gelitaanka ganacsiga ee ugu horreeyay wuxuu ahaa NetRanger oo ka socda Kooxda Wheel, oo ay iibsatay 1998 Cisco) waxay si sax ah ugu hawlanaayeen qabashada baakadaha (iyo fadhiyo dambe) kuwaas oo saxeexyo gaar ah la raadiyay ("xeerarka go'aaminta" ee gudaha). Eray bixinta FSTEC), weerarrada tilmaamaya. Dabcan, waxaad falanqeyn kartaa taraafikada cayriin ma aha oo kaliya isticmaalka IDS, laakiin sidoo kale adoo isticmaalaya qalab kale (tusaale ahaan, Wireshark, tcpdum ama NBAR2 shaqeynta ee Cisco IOS), laakiin badanaa waxay ka maqan yihiin saldhigga aqoonta ee ka soocaya qalabka amniga macluumaadka ee caadiga ah. Qalabka IT.

Markaa, hababka ogaanshaha weerarka. Habka ugu da'da weyn uguna caansan ee lagu ogaanayo weerarrada shabakadaha, taas oo shaqo fiican ka qabta wareegga (wax kasta oo ay tahay - shirkad, xarun xog, qayb, iwm.), laakiin ku guuldareysta in casriga casriga ah iyo shabakadaha qeexan software. Marka laga hadlayo shabakad lagu dhisay furayaasha caadiga ah, kaabayaasha dareemayaasha ogaanshaha weerarku waxay noqonayaan mid aad u weyn - waa inaad ku rakibtaa dareeme xiriir kasta oo ku yaal marinka aad rabto inaad la socoto weerarada. Soo-saare kasta, dabcan, wuxuu ku farxi doonaa inuu ku iibiyo boqollaal iyo kumanaan dareemayaal, laakiin waxaan u maleynayaa in miisaaniyadaada aysan taageeri karin kharashyadaas. Waxaan dhihi karaa xitaa Cisco (oo waxaan nahay kuwa horumarinta NGIPS) ma sameyn karno tan, inkastoo ay u muuqato in arrinta qiimaha ay naga horeyso. Ma aha inaan istaago - waa go'aankeenna. Intaa waxaa dheer, su'aasha ayaa soo baxaysa, sida loo xiro dareemayaasha qaybtan? Gelida farqiga? Maxaa dhacaya haddii dareemayaasha laftiisa uu guuldareysto? Ma u baahan tahay module-ka dhaafka dareemaha? Ma isticmaashaa kala qaybiyayaal (kubado)? Waxaas oo dhan waxay xalku ka dhigayaa mid qaali ah waxayna ka dhigaysaa mid aan la awoodi karin shirkad cabbir kasta.

Waxa aad isku dayi kartaa in aad “daldalida” shidmaaha dekada SPAN/RSPAN/ERSPAN oo aad toos uga soo dejiso dekedaha loo baahan yahay. Doorashadani waxay qayb ahaan meesha ka saaraysaa dhibaatada lagu qeexay cutubkii hore, laakiin waxay keenaysaa mid kale - dekedda SPAN ma aqbali karto gabi ahaanba dhammaan taraafikada loo soo diri doono - ma yeelan doonto bandwidth ku filan. Waa inaad wax u hurtaa. Ama ka tag qaar ka mid ah noodyada adigoon la socon (ka dibna waxaad u baahan tahay inaad mudnaanta siiso marka hore), ama ha u dirin dhammaan taraafikada qanjidhada, laakiin kaliya nooc gaar ah. Si kastaba ha ahaatee, waxaa laga yaabaa inaan seego weerarrada qaarkood. Intaa waxaa dheer, dekedda SPAN waxaa loo isticmaali karaa baahiyo kale. Natiijo ahaan, waa inaan dib u eegis ku samaynaa shabakadaha internetka ee jira oo ay suurtogal tahay in aan wax ka beddelno si aan ugu daboolno shabakaddaada ugu badnaan tirada dareemayaasha aad haysato (oo tan la xiriirto IT).

Maxaa dhacaya haddii shabakadaadu isticmaasho dariiqyo asymmetrical ah? Ka warran haddii aad hirgelisay ama aad qorshaynayso inaad hirgeliso SDN? Maxaa dhacaya haddii aad u baahan tahay inaad la socoto mishiinnada ama weelasha aan taraafkoodu gaadhin beddelka jireedba? Kuwani waa su'aalo aysan jeclayn iibiyeyaasha IDS-ka dhaqanka sababtoo ah ma garanayaan sida looga jawaabo. Waxaa laga yaabaa inay ku qanciyaan in dhammaan tiknoolajiyada moodada ah ay yihiin kuwo buunbuuniyey oo aadan u baahnayn. Waxaa laga yaabaa inay ka hadlaan baahida loo qabo in la bilaabo yar yar. Ama waxaa laga yaabaa inay yiraahdaan waxaad u baahan tahay inaad ku riddo tunka xooggan bartamaha shabakadda oo aad u toosiso dhammaan taraafikada iyada oo la isticmaalayo dheelliyaal. Doorasho kasta oo lagu siiyo, waxaad u baahan tahay inaad si cad u fahamto sida ay kuugu habboon tahay. Oo kaliya markaa ka dib go'aan ka gaar xulashada habka lagu kormeerayo amniga macluumaadka kaabayaasha shabakada. Ku soo noqoshada xirmada xirmada, waxaan rabaa in aan sheego in habkani uu sii ahaanayo mid aad loo jecel yahay oo muhiim ah, laakiin ujeedadiisa ugu weyn waa xakamaynta xuduudaha; xuduudaha u dhexeeya ururkaaga iyo internetka, xuduudaha u dhexeeya xarunta xogta iyo inta kale ee shabakada, xuduudaha u dhexeeya nidaamka xakamaynta habka iyo qaybta shirkadda. Meelahan, IDS/IPS qadiimiga ah ayaa weli xaq u leh inay jiraan oo si wanaagsan ula qabsadaan hawlahooda.

Aan u gudubno doorashada labaad. Falanqaynta dhacdooyinka ka imanaya aaladaha shabakada sidoo kale waxaa loo isticmaali karaa ujeedooyinka ogaanshaha weerarka, laakiin maaha habka ugu muhiimsan, maadaama ay u ogolaato in la ogaado kaliya fasalka yar ee faragelinta. Intaa waxaa dheer, waxay ku lug leedahay falcelinta qaar ka mid ah - weerarku waa inuu marka hore dhacaa, ka dibna waa in lagu duubaa qalab shabakad, taas oo si uun ama si kale u muujin doonta dhibaatada amniga macluumaadka. Waxaa jira dhowr siyaabood oo noocaas ah. Tani waxay noqon kartaa syslog, RMON ama SNMP. Labada hab-raac ee ugu dambeeya ee kormeerka shabakada ee macnaha guud ee amniga macluumaadka waxaa loo isticmaalaa kaliya haddii aan u baahanahay inaan ogaano weerarka DoS ee qalabka shabakada laftiisa, tan iyo isticmaalka RMON iyo SNMP waxaa suurtagal ah, tusaale ahaan, si loola socdo culeyska qalabka dhexe ee qalabka. processor-ka ama interfaces-kiisa. Tani waa mid ka mid ah "ugu raqiisan" (qof kastaa wuxuu leeyahay syslog ama SNMP), laakiin sidoo kale ugu waxtarka badan dhammaan hababka kormeerka amniga macluumaadka ee kaabayaasha gudaha - weeraro badan ayaa si fudud looga qariyaa. Dabcan, waa in aan la dayacin, isla falanqaynta syslog waxay kaa caawineysaa inaad waqti ku aqoonsato isbeddelada qaabeynta qalabka laftiisa, tanaasulkeeda, laakiin ma aha mid aad ugu habboon in la ogaado weerarrada shabakadda oo dhan.

Doorashada saddexaad waa in la falanqeeyo macluumaadka ku saabsan taraafikada dhex mara aalad taageerta mid ka mid ah dhowr borotokool. Xaaladdan oo kale, iyadoon loo eegin borotokoolka, kaabayaasha duntu waxay ka kooban yihiin saddex qaybood:

• Jiilka ama dhoofinta socodka. Doorkan waxaa sida caadiga ah loo qoondeeyaa router, bedel ama qalab kale oo shabakad ah, kaas oo, adoo marinaya taraafikada shabakada laftiisa, waxay kuu ogolaaneysaa inaad ka soo saarto xuduudaha muhiimka ah ee ka soo baxa, ka dibna loo gudbiyo cutubka ururinta. Tusaale ahaan, Cisco waxay taageertaa borotokoolka Netflow kaliya maahan router-yada iyo furayaasha, oo ay ku jiraan kuwa farsamada iyo warshadaha, laakiin sidoo kale kontaroolayaasha wireless-ka, dab-damiska iyo xitaa server-yada.
• Socodka aruurinta. Iyadoo la tixgelinayo in shabakadda casriga ahi ay inta badan leedahay wax ka badan hal qalab oo shabakad ah, dhibaatada ururinta iyo xoojinta qulqulka ayaa soo baxda, taas oo lagu xalliyo iyada oo la adeegsanayo waxa loogu yeero ururiyeyaasha, kuwaas oo socodsiiya socodka la helay ka dibna u gudbiya falanqaynta.
• Falanqaynta socodka Falanqeeyuhu wuxuu qaataa hawsha ugu weyn ee caqli-galnimada wuxuuna, ku dabaqayaa algorithms-yada kala duwan ee qulqulka, wuxuu soo saaraa gabagabo gaar ah. Tusaale ahaan, iyada oo qayb ka ah shaqada IT-ga, falanqeeyaha noocan oo kale ah wuxuu aqoonsan karaa cilad-xumada shabakadda ama wuxuu falanqeyn karaa astaanta xamuulka taraafikada si loo hagaajiyo shabakad kale. Iyo amniga macluumaadka, falanqeeyaha noocan oo kale ah wuxuu ogaan karaa daadinta xogta, fiditaanka koodka xaasidnimada ah ama weerarada DoS.

Ha u malayn in dhismahan saddex-heer ah uu aad u adag yahay - dhammaan xulashooyinka kale (marka laga reebo, laga yaabee, nidaamyada la socodka shabakadaha ee la shaqeeya SNMP iyo RMON) sidoo kale waxay ku shaqeeyaan si waafaqsan. Waxaan leenahay xog-dhaliye si loo gorfeeyo, kaas oo noqon kara aalad shabakad ama dareeme taagan. Waxaan leenahay nidaamka ururinta qaylo-dhaanta iyo hab maamulka dhammaan kaabayaasha la socodka. Labada qaybood ee ugu dambeeya waxaa lagu dari karaa hal nood, laakiin in ka badan ama ka yar shabakadaha waaweyn waxay badanaa ku faafaan ugu yaraan laba qalab si loo hubiyo miisaanka iyo kalsoonida.

Si ka duwan falanqaynta baakidhka, kaas oo ku salaysan daraasaynta madaxa iyo xogta jidhka ee xidhmo kasta iyo fadhiyada uu ka kooban yahay, falanqaynta socodka waxay ku tiirsan tahay ururinta xogta badan ee ku saabsan taraafikada shabakada. Goorma, intee, meesha iyo meesha, sidee... kuwani waa su'aalaha ay kaga jawaabeen falanqaynta telemetry shabkada iyadoo la adeegsanayo borotokool kala duwan. Markii hore, waxaa loo isticmaalay in lagu falanqeeyo tirakoobyada oo ay ka helaan dhibaatooyinka IT-ga ee shabakadda, laakiin ka dib, hababka falanqaynta ee la sameeyay, waxaa suurtagal ah in lagu dabaqo isla telemetry ujeedooyin amni. Waxaa mudan in la ogaado mar kale in falanqaynta socodka aysan bedelin ama bedelin xirmada xirmada. Mid kasta oo ka mid ah hababkan ayaa leh aag u gaar ah oo codsiga ah. Laakiin marka la eego macnaha guud ee maqaalkan, waa falanqaynta qulqulka ta ugu fiican ee la socodka kaabayaasha gudaha. Waxaad haysataa aalado shabakadeed (haddii ay ku shaqeeyaan qaab-software-qeexay ama sida ay dhigayaan xeerarka taagan) oo aanu weerarku dhaafi karin. Way dhaafi kartaa dareemaha IDS-ka caadiga ah, laakiin aaladda shabakadda ee taageerta borotokoolka socodka ma kari karo. Tani waa faa'iidada habkan.

Dhanka kale, haddii aad u baahan tahay caddaynta sharci fulinta ama kooxdaada baadhista shilka, ma samayn kartid la'aanteed baakidh la'aan - telemetry network ma aha koobiga taraafikada oo loo isticmaali karo ururinta caddaynta; waxaa loo baahan yahay in si degdeg ah loo ogaado iyo go'aan ka gaarista amniga macluumaadka. Dhanka kale, adoo isticmaalaya falanqaynta telemetry, ma qori kartid dhammaan taraafikada shabakada (haddii ay jiraan, Cisco waxay la macaamilaan xarumaha xogta :-), laakiin kaliya waxa ku lug leh weerarka. Qalabka falanqaynta telemetry ee arrintan la xidhiidha ayaa si fiican u dhamaystiri doona hababka qabashada xidhmada dhaqameed, iyagoo siinaya amarro qabashada iyo kaydinta xulashada ah. Haddii kale, waa inaad lahaataa kaabayaal kaydineed oo weyn.

Aynu qiyaasno shabakad ku shaqaynaysa xawaare dhan 250 Mbit/sek. Haddii aad rabto inaad kaydiso dhammaan muggan, markaa waxaad u baahan doontaa 31 MB oo kayd ah hal ilbidhiqsi oo taraafig ah, 1,8 GB hal daqiiqo, 108 GB hal saac, iyo 2,6 TB hal maalin. Si aad u kaydiso xogta maalinlaha ah ee shabakad leh bandwidth 10 Gbit/s, waxaad u baahan doontaa 108 TB oo kayd ah. Laakiin qaar ka mid ah maamulayaasha waxay u baahan yihiin inay kaydiyaan xogta amniga muddo sanado ah ... Duubista baahida, taas oo falanqaynta socodka kaa caawinaysa inaad fuliso, waxay kaa caawinaysaa yaraynta qiyamkan by amarrada baaxadda. By habka, haddii aan ka hadalno saamiga mugga xogta telemetry ee shabakada la duubay iyo dhamaystirka xogta, ka dibna waxay ku dhowdahay 1 ilaa 500. Qiimaha la midka ah ee kor ku xusan, kaydinta qoraal buuxa ee dhammaan taraafikada maalinlaha ah waxay noqon doontaa 5 iyo 216 GB, siday u kala horreeyaan (xitaa waxaad ku duubi kartaa darawalka caadiga ah).

Haddii qalabyada lagu falanqeeyo xogta shabakada cayriin, habka loo qabsado waxay ku dhowdahay isku mid laga bilaabo iibiyaha ilaa iibiyaha, ka dibna marka la eego falanqaynta socodka xaaladdu way ka duwan tahay. Waxaa jira dhowr ikhtiyaar oo loogu talagalay borotokoolka socodka, kala duwanaanshaha aad u baahan tahay inaad ka ogaato xaaladda amniga. Kan ugu caansan waa borotokoolka Netflow ee uu sameeyay Cisco. Waxaa jira dhowr nooc oo hab-maamuus ah, oo ku kala duwan awoodooda iyo inta ay le'eg tahay macluumaadka taraafikada ee la duubay. Nooca hadda jira waa kii sagaalaad (Netflow v9), kaas oo ku saleysan heerka warshadaha Netflow v10, oo sidoo kale loo yaqaan IPFIX, la sameeyay. Maanta, inta badan iibiyaasha shabakadaha waxay taageeraan Netflow ama IPFIX qalabkooda. Laakiin waxaa jira doorashooyin kale oo kala duwan oo loogu talagalay borotokoolka socodka - sFlow, jFlow, cFlow, rFlow, NetStream, iwm, kuwaas oo sFlow uu yahay kan ugu caansan. Waa nooca noocan oo kale ah oo inta badan ay taageeraan soo saarayaasha gudaha ee qalabka shabakada sababtoo ah sahlanaanta fulinta. Waa maxay faraqa u dhexeeya Netflow, kaas oo noqday halbeeg dhab ah, iyo sFlow? Waxaan iftiimin lahaa dhowr muhiim ah. Marka hore, Netflow waxay leedahay beero isticmaale-la beddeli karo oo ka soo horjeeda meelaha go'an ee sFlow. Marka labaad, oo tani waa waxa ugu muhiimsan kiiskeena, sFlow waxay ururisaa waxa loogu yeero telemetry muunad; si ka duwan kan aan la tijaabin ee Netflow iyo IPFIX. Waa maxay farqiga u dhexeeya?

Bal qiyaas inaad go'aansatid inaad akhrido buugga "Xarunta Hawlaha Amniga: Dhismaha, Hawlgelinta, iyo Ilaalinta GOS"Saaxiibadayda - Gary McIntyre, Joseph Munitz iyo Nadem Alfardan (waxaad ka soo dejisan kartaa qayb ka mid ah buugga isku xirka). Waxaad haysataa saddex ikhtiyaar oo aad ku gaadhi karto yoolkaaga - akhri buugga oo dhan, ku dul soco, joogso bog kasta 10 ama 20aad, ama isku day in aad dib u soo celiso fikradaha muhiimka ah ee blog ama adeeg sida SmartReading. Marka, telemetry aan la tijaabin ayaa akhrinaya "bog kasta" ee taraafikada shabakada, taas oo ah, falanqaynta xogta badan ee xirmo kasta. Telemetry muunadeysan waa daraasadda xulashada taraafikada iyadoo la rajeynayo in muunadaha la doortay ay ku jiraan waxaad u baahan tahay. Iyada oo ku xidhan xawaaraha kanaalka, telemetry muunad ah ayaa loo diri doonaa falanqaynta 64th, 200th, 500th, 1000th, 2000th ama xitaa 10000th baakidh kasta.

Marka la eego macnaha guud ee la socodka amniga macluumaadka, tani waxay la macno tahay in telemetry muunada ah ay si wanaagsan ugu habboon tahay ogaanshaha weerarrada DDoS, iskaanka, iyo faafinta kood xaasidnimada ah, laakiin waxa laga yaabaa inay seegto weerarrada atomikada ama baakadaha badan ee aan lagu darin muunadda loo diray falanqaynta. Telemetry aan la tijaabin ma laha faa'iidooyin noocaas ah. Tani, tirada weerarada la ogaaday ayaa aad u ballaaran. Halkan waxaa ah liis gaaban oo dhacdooyin ah oo lagu ogaan karo iyadoo la adeegsanayo qalabka falanqaynta telemetry ee shabakada.

Dabcan, qaar ka mid ah ilaha furan ee falanqeeyaha Netflow kuma oggolaan doonaan inaad tan samayso, maadaama hawsheeda ugu weyn ay tahay inay ururiso telemetry oo ay ku samayso falanqayn aasaasi ah iyada oo laga eegayo dhinaca IT-ga. Si loo aqoonsado khataraha amniga macluumaadka ee ku salaysan qulqulka, waxaa lagama maarmaan ah in lagu qalabeeyo falanqeeyaha matooro kala duwan iyo algorithms, kaas oo aqoonsan doona dhibaatooyinka amniga internetka ee ku saleysan heerka ama goobaha Netflow caadiga ah, kobcinta xogta caadiga ah xogta dibadda ee ilaha Sirdoonka Khatarta ah ee kala duwan, iwm.

Sidaa darteed, haddii aad leedahay doorasho, ka dibna dooro Netflow ama IPFIX. Laakiin xitaa haddii qalabkaagu kaliya uu la shaqeeyo sFlow, sida soosaarayaasha gudaha, ka dibna xitaa kiiskan waxaad ka faa'iideysan kartaa xaaladda amniga.

Xagaagii 2019, waxaan falanqeeyay awoodaha ay leeyihiin soosaarayaasha qalabka shabakadaha Ruushka iyo dhamaantood, marka laga reebo NSG, Polygon iyo Craftway, ayaa ku dhawaaqay taageerada sFlow (ugu yaraan Zelax, Natex, Eltex, QTech, Rusteleteh).

Su'aasha xigta ee aad wajihi doonto waa halkee laga hirgelin karaa taageerada socodka ee ujeedooyinka amniga? Dhab ahaantii, su'aasha si sax ah looma soo jeedin. Qalabka casriga ahi wuxuu had iyo jeer taageeraa borotokoolka socodka. Sidaa darteed, su'aasha si ka duwan ayaan u habayn lahaa - halkee ugu waxtar badan tahay in telemetry laga soo ururiyo dhinaca amniga? Jawaabtu waxay noqon doontaa mid cad - heerka gelitaanka, halkaas oo aad arki doonto 100% dhammaan taraafikada, halkaas oo aad ka heli doonto macluumaad faahfaahsan oo ku saabsan martigeliyaha (MAC, VLAN, ID interface), halkaas oo aad xitaa la socon karto taraafikada P2P ee u dhexeeya martida loo yahay, kaas oo waxay muhiim u tahay baadhista ogaanshaha iyo qaybinta koodka xaasidnimada ah. Heerka asaasiga ah, waxaa laga yaabaa inaadan si fudud u arkin qaar ka mid ah taraafikada, laakiin heerka wareegga, waxaad arki doontaa rubuc dhammaan taraafikada shabakadaada. Laakiin haddii sabab qaar ka mid ah aad haysato aaladaha ajnabiga ah ee shabakadaada kuwaas oo u oggolaanaya kuwa weeraraya inay "soo galaan oo ka baxaan" iyaga oo aan dhaafin wareegga, ka dibna falanqaynta telemetry wax ku siin mayso. Sidaa darteed, caymiska ugu badan, waxaa lagu talinayaa in la suurtageliyo ururinta telemetry heerka gelitaanka. Isla mar ahaantaana, waxaa habboon in la ogaado in xitaa haddii aan ka hadlayno wax-ku-oolnimada ama weelasha, taageerada socodka ayaa sidoo kale inta badan laga helaa furayaasha casriga ah ee casriga ah, taas oo kuu ogolaaneysa inaad sidoo kale xakameyso taraafikada halkaas.

Laakiin tan iyo markii aan kor u qaaday mawduuca, waxaan u baahanahay inaan ka jawaabo su'aasha: ka waran haddii qalabku, jir ahaan ama muuqaal ahaan, uusan taageerin borotokoolka socodka? Mise ka mid ahaanshihiisa waa mamnuuc (tusaale ahaan, qaybaha warshadaha si loo hubiyo isku halaynta)? Mise u soo jeedinta hogaanka culayska CPU sare (tani waxay ku dhacdaa qalabkii hore)? Si loo xalliyo dhibaatadan, waxaa jira dareemayaal khaas ah oo muuqaal ah (flow sensors), kuwaas oo asal ahaan ah kala qaybiyayaal caadi ah oo isu gudbiya taraafikada iyaga oo u siiya qaab socodka qaybta ururinta. Run, kiiskan waxaan helnaa dhammaan dhibaatooyinka aan kor uga soo hadalnay ee la xiriira aaladaha qabashada xirmooyinka. Taasi waa, waxaad u baahan tahay inaad fahamto ma aha oo kaliya faa'iidooyinka farsamada falanqaynta qulqulka, laakiin sidoo kale xaddidaadkeeda.

Qodob kale oo muhiim ah in la xasuusto marka laga hadlayo qalabka falanqaynta socodka. Haddii marka la eego hababka caadiga ah ee abuurista dhacdooyinka amniga aan isticmaalno mitirka EPS (dhacdo ilbiriqsikii), markaa tilmaamuhu ma khuseeyo falanqaynta telemetry; waxa lagu badalaa FPS (socodka ilbiriqsikii). Sida kiiska EPS, hore looma xisaabin karo, laakiin waxaad qiyaasi kartaa tirada ku dhow ee dunta uu qalab gaar ahi soo saaro iyadoo ku xidhan hawshiisa. Waxaad ka heli kartaa miisaska internetka oo leh qiyaaso qiyaas ah oo loogu talagalay noocyada kala duwan ee aaladaha iyo shuruudaha ganacsiga, kuwaas oo kuu ogolaanaya inaad qiyaasto waxa shatiyada aad u baahan tahay qalabka falanqaynta iyo waxa qaabdhismeedkoodu noqon doono? Xaqiiqdu waxay tahay in dareemaha IDS-ku uu xaddido xaddidaad xaddidan oo uu "jii karo", ururiyaha socodka wuxuu leeyahay xaddidaad u gaar ah oo ay tahay in la fahmo. Sidaa darteed, shabakadaha waaweyn, juqraafi ahaan loo qaybiyay waxaa jira inta badan dhowr ururiye. Markaan ku tilmaamay sida shabakadda loogala socdo gudaha Cisco, Waxaan horay u siiyay tirada ururiyeyaasheena - waxaa jira 21 ka mid ah. Tanina waxaa loogu talagalay shabakad ku baahsan shan qaaradood oo tiradoodu tahay nus milyan qalab firfircoon).

Waxaan u isticmaalnaa xal noo gaar ah sida nidaamka la socodka Netflow Cisco Stealthwatch, kaas oo si gaar ah diiradda u saaray xalinta dhibaatooyinka amniga. Waxay leedahay matoorro badan oo gudaha ku dhex jira oo lagu ogaanayo dhaqdhaqaaq aan qarsoodi ahayn, shaki leh oo cad oo xaasidnimo leh, taas oo kuu oggolaanaysa inaad ogaato noocyo badan oo hanjabaado kala duwan ah - laga bilaabo cryptomining si ay u daadiyaan macluumaadka, laga bilaabo faafinta koodhka xaasidnimada ah ee khiyaanada. Sida inta badan falanqeeyayaasha socodka, Stealthwatch waxaa loo dhisay si waafaqsan nidaam saddex-heer ah (dhaliye - ururiyaha - falanqeeye), laakiin waxaa lagu kabaa dhowr astaamood oo xiiso leh kuwaas oo muhiim u ah nuxurka walxaha la tixgalinayo. Marka hore, waxay la midaysaa xalalka qabashada xirmada (sida Cisco Security Packet Analyzer), kaas oo kuu ogolaanaya inaad duubto fadhiyada shabakadeed ee la doortay ee baadhis qotodheer iyo falanqayn dambe. Marka labaad, gaar ahaan si loo ballaariyo hawlaha amniga, waxaan soo saarnay nidaam gaar ah oo nvzFlow ah, kaas oo kuu ogolaanaya inaad "baahiso" dhaqdhaqaaqa codsiyada qanjidhada dhamaadka (servers, goobaha shaqada, iwm.) ee telemetry oo u gudbiso ururiyaha si loo falanqeeyo. Haddii nooca asalka ah ee Stealthwatch uu la shaqeeyo borotokool kasta oo socodka (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) ee heerka shabakadda, markaa taageerada nvzFlow waxay u oggolaaneysaa isku xirnaanta xogta sidoo kale heerka noode, sidaas darteed. kordhinta wax ku oolnimada nidaamka oo dhan iyo in la arko weerarro ka badan falanqeeyayaasha socodka shabakada caadiga ah.

Way caddahay in marka laga hadlayo nidaamyada falanqaynta Netflow ee dhinaca amniga, suuqa kuma koobna hal xal oo Cisco ah. Waxaad isticmaali kartaa labadaba ganacsi iyo mid bilaash ah ama xalalka la wadaago. Waa arrin la yaab leh haddii aan tusaale ahaan u soo qaato xalalka tartamayaasha ee blog-ka Cisco, markaa waxaan odhan doonaa dhawr eray oo ku saabsan sida telemetry network loo falanqeeyo iyadoo la isticmaalayo laba caan ah, oo isku mid ah magaca, laakiin weli qalab kala duwan - SiLK iyo ELK.

SiLK waa qalabyo (Nidaamka Aqoonta Heerka-Internetka) ee falanqaynta taraafikada, oo ay samaysay American CERT/CC oo taageerta, marka la eego macnaha maqaalka maanta, Netflow (5th iyo 9th, noocyada ugu caansan), IPFIX iyo sFlow oo isticmaal agabyo kala duwan (rwfilter, rwcount, rwflowpack, iwm.) si loo sameeyo hawlgallo kala duwan oo ku saabsan telemetry network si loo ogaado calaamadaha falalka aan la ogalayn ee ku jira. Laakiin waxaa jira dhowr qodob oo muhiim ah in la xuso. SiLK waa aalad talis ah oo qabata falanqaynta khadka tooska ah iyada oo gelaysa amarrada sidan oo kale ah (ogaanshaha xidhmooyinka ICMP ee ka weyn 200 bytes):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

aan aad u raaxo lahayn. Waxaad isticmaali kartaa iSiLK GUI, laakiin ka dhigi mayso noloshaada mid aad u fudud, kaliya xallinta shaqada aragga oo aanad bedelin falanqeeyayaasha. Waana qodobka labaad. Si ka duwan sida xalalka ganacsiga, kuwaas oo horeyba u lahaa saldhig falanqayn adag, algorithms ogaanshaha anomaly, socodka shaqada ee u dhiganta, iwm., Xaaladda SiLK waa inaad waxaas oo dhan sameysid naftaada, taas oo u baahan doonta karti yar oo ka duwan adiga marka loo eego isticmaalka horeba diyaarka ah - qalabyada lagu isticmaalo. Tani maaha mid wanaagsan ama xun - tani waa muuqaal ka mid ah qalab kasta oo bilaash ah oo u maleynaya inaad ogtahay waxaad samaynayso, waxayna kaliya kaa caawin doontaa tan (qalabka ganacsiga ayaa ku tiirsan kartida isticmaaleyaasheeda, inkastoo ay sidoo kale u maleynayaan in falanqeeyayaasha ay fahmaan ugu yaraan aasaaska baaritaanka shabakadaha iyo la socodka). Laakin aan u soo laabano SiLK. Wareegtada shaqada ee falanqeeyaha waxay u egtahay sidan:

• Samaynta mala-awaal Waa inaan fahamnaa waxa aan ka raadin doono gudaha telemetry network, ogaano sifooyinka gaarka ah ee aan ku aqoonsan doono cilladaha ama hanjabaadaha qaarkood.
• Dhisida nooc. Markaan diyaarinay mala-awaal, waxaan ku barnaajiyeynaa anagoo adeegsanayna isla Python, qolof ama qalab kale oo aan ku jirin SiLK.
• Tijaabinaya. Hadda waxa soo wareegaya si loo hubiyo saxnaanta mala-awaalkayaga, kaas oo la xaqiijiyay ama la diiday iyadoo la isticmaalayo adeegyada SiLK ee ka bilaabmaya 'rw', 'set', 'bag'.
• Falanqaynta xogta dhabta ah. Hawlgalka warshadaha, SiLK waxay naga caawisaa inaan aqoonsanno shay, falanqeeyuhuna waa inuu ka jawaabaa su'aalaha "Miyaanu helnay wixii aan filaynay?", "Tani miyay u dhigantaa mala-awaalkeena?", "Sidee loo dhimi karaa tirada been-abuurka?" si loo hagaajiyo heerka aqoonsiga? iyo wixi la mida.
• Hagaajinta. Marxaladda ugu dambeysa, waxaan hagaajineynaa wixii horey loo qabtay - waxaan abuurnaa qaab-dhismeedka, hagaajinta iyo hagaajinta koodka, dib-u-habeynta iyo caddaynta mala-awaalka, iwm.

Wareeggani wuxuu sidoo kale lagu dabaqi doonaa Cisco Stealthwatch, kaliya kan ugu dambeeya wuxuu si otomaatig ah u sameeyaa shantan tallaabo ilaa ugu badnaan, hoos u dhigista tirada khaladaadka falanqeeyayaasha iyo kordhinta waxtarka ogaanshaha dhacdada. Tusaale ahaan, gudaha SiLK waxaad ku kobcin kartaa tirakoobka shabakada xogta dibadda ee IP-yada xaasidnimada leh iyadoo la adeegsanayo qoraallada gacanta lagu qoray, iyo Cisco Stealthwatch waa shaqo ku dhex jirta oo isla markiiba soo bandhigta alaarmiga haddii taraafikada shabakadu ay ka kooban tahay isdhexgalka cinwaannada IP ee liiska madow.

Haddii aad sare ugu kacdo Ahraamta "lacag-bixinta" ee software falanqaynta socodka, ka dib SiLK gabi ahaanba bilaasha ah waxaa jiri doona shareware ELK, oo ka kooban saddex qaybood oo muhiim ah - Elasticsearch (indexing, searching and data analysis), Logstash (data gelinta / soo saarista). ) iyo Kibana (muuqaal). Si ka duwan SiLK, halkaas oo ay tahay inaad wax walba ku qorto naftaada, ELK waxay hore u haysaa maktabado/moduleyaal badan oo diyaarsan (qaar la bixiyay, qaar aan ahayn) kuwaas oo otomaatig u ah falanqaynta telemetry network. Tusaale ahaan, filter-ka GeoIP ee Logstash wuxuu kuu ogolaanayaa inaad ku xidho ciwaanada IP-ga ee la kormeerayo iyo goobta ay ku yaalaan (Stealthwatch waxay leedahay qaabkan la dhisay).

ELK waxa kale oo ay leedahay bulsho aad u balaadhan oo buuxinaysa qaybaha maqan ee xalinta kormeerka. Tusaale ahaan, si aad ula shaqeyso Netflow, IPFIX iyo sFlow waxaad isticmaali kartaa moduleka elastiflow, haddii aadan ku qanacsanayn Logstash Netflow Module, kaas oo kaliya taageera Netflow.

Iyadoo la siinayo hufnaan dheeraad ah ururinta qulqulka iyo raadinta dhexdeeda, ELK hadda waxa ka maqan falanqaynta hodanka ku dhisan ee lagu ogaanayo cilladaha iyo hanjabaadaha telemetry ee shabakadda. Taasi waa, ka dib wareegga nolosha ee kor lagu sharraxay, waa inaad si madaxbannaan u qeexdaa moodooyinka xadgudubka ka dibna u adeegso nidaamka dagaalka (ma jiraan noocyo la dhisay).

Waxaa jira, dabcan, kordhin dheeraad ah oo casri ah oo loogu talagalay ELK, kuwaas oo horeyba ugu jira qaar ka mid ah moodooyinka lagu ogaanayo cilladaha ku jira telemetry network, laakiin kordhinta noocan oo kale ah waxay ku kacaysaa lacag iyo su'aashu waxay tahay haddii ciyaartu ay u qalanto shumaca - adigu qor model la mid ah, iibso hirgelintiisa. qalabkaaga la socodka, ama iibso xal diyaarsan oo ah fasalka Falanqaynta Gaadiidka Shabakadda.

Guud ahaan, ma rabo in aan galo doodda in ay fiican tahay in lacag lagu bixiyo oo la iibsado xal diyaar ah oo lagu kormeerayo cilladaha iyo hanjabaadaha shabakada telemetry (tusaale ahaan, Cisco Stealthwatch) ama naftaada u qiyaas oo aad habayso isla mid la mid ah. SiLK, ELK ama nfdump ama OSU Flow Tools khatar kasta oo cusub ( waxaan ka hadlayaa labadii ugu dambeeyay sheegay markii ugu dambeysay)? Qof kastaa isagaa iskiis u dooranaya, qof kastaana wuxuu leeyahay ujeeddooyin u gaar ah oo uu ku dooranayo mid ka mid ah labada doorasho. Kaliya waxaan rabay inaan tuso in telemetry shabakadu ay tahay aalad aad muhiim u ah oo lagu hubinayo amniga shabakada ee kaabayaashaaga gudaha waana inaadan dayacin, si aadan ugu biirin liiska shirkadaha magacooda lagu sheegay warbaahinta oo ay weheliyaan xarafyada " la jabsaday", "aan waafaqsanayn shuruudaha amniga macluumaadka" "," "iyaga oo aan ka fikirin amniga xogtooda iyo xogta macaamiisha."

Si aan u soo koobo, waxaan jeclaan lahaa in aan liis gareeyo talooyinka muhiimka ah ee ay tahay in aad raacdo marka la dhisayo ilaalinta amniga macluumaadka ee kaabayaashaaga gudaha:

1. Ha ku koobin naftaada oo kaliya hareeraha! Isticmaal (oo dooro) kaabayaasha shabakada kaliya maaha inaad ka guurto taraafikada barta A ilaa barta B, laakiin sidoo kale inaad wax ka qabato arrimaha amniga internetka.
2. Baro hababka ilaalinta amniga macluumaadka ee jira ee ku jira qalabka shabakadaada oo isticmaal.
3. Korjoogteynta gudaha, sii doorbid falanqaynta telemetry - waxay kuu oggolaaneysaa inaad ogaato ilaa 80-90% dhammaan dhacdooyinka amniga macluumaadka shabakada, adoo sameynaya waxa aan macquul aheyn marka la qabanayo xirmooyinka shabakada iyo keydinta booska kaydinta dhammaan dhacdooyinka amniga macluumaadka.
4. Si loola socdo socodka, isticmaal Netflow v9 ama IPFIX - waxay ku siinayaan macluumaad dheeraad ah marka la eego xaaladda amniga waxayna kuu oggolaanayaan inaad la socoto kaliya IPv4, laakiin sidoo kale IPv6, MPLS, iwm.
5. Isticmaal borotokoolka socodka aan la tijaabin - waxa uu bixiyaa macluumaad dheeraad ah oo lagu ogaanayo hanjabaadaha. Tusaale ahaan, Netflow ama IPFIX.
6. Hubi culayska saaran qalabka shabakadaada - waxa laga yaabaa inayna awoodin inay xakamayso nidaamka socodka sidoo kale. Kadibna tixgeli isticmaalka dareemayaasha farsamada ama Netflow Generation Appliance.
7. Hirgelinta xakamaynta marka hore heerka gelitaanka - tani waxay ku siin doontaa fursad aad ku aragto 100% dhammaan taraafikada.
8. Haddii aadan haysan wax ikhtiyaar ah oo aad isticmaalayso qalabka shabakadda Ruushka, ka dib dooro mid taageeraya borotokoolka socodka ama leh dekedaha SPAN/RSPAN.
9. Isku-dubarid habka ogaanshaha/weerarka ogaanshaha/kahortagga cidhifyada iyo hababka falanqaynta socodka ee shabakada gudaha (oo ay ku jiraan daruuraha).

Ku saabsan tilmaanta ugu dambeysa, waxaan jeclaan lahaa inaan bixiyo tusaale aan horay u bixiyay. Waxaad arkaysaa in haddii markii hore adeegga amniga macluumaadka ee Cisco uu ku dhawaad ​​​​dhammaan u dhistay nidaamkiisa ilaalinta amniga macluumaadka iyadoo lagu salaynayo nidaamyada ogaanshaha faragelinta iyo hababka saxeexa, hadda waxay ku xisaabtamaan 20% oo keliya dhacdooyinka. 20% kale waxay ku dhacdaa hababka falanqaynta socodka, taas oo soo jeedinaysa in xalalkani aysan ahayn wax la yaab leh, laakiin qalab dhab ah oo ku saabsan hawlaha adeegyada amniga macluumaadka ee shirkad casri ah. Waxaa intaa dheer, waxaad haysataa waxa ugu muhiimsan ee hirgelintooda - kaabayaasha shabakada, maalgelinta taas oo lagu sii ilaalin karo iyada oo loo xilsaarayo hawlaha ilaalinta amniga macluumaadka shabakada.

Si gaar ah uma taaban mawduuca ka jawaabista cilladaha ama hanjabaadaha lagu aqoonsaday qulqulka shabakada, laakiin waxaan u maleynayaa inay horeba u caddaatay in kormeerku aanu ku dhammaanayn oo keliya ogaanshaha khatarta. Waa in ay raacdo jawaabta oo ay doorbidi lahayd qaab toos ah ama hab toos ah. Laakiin tani waa mowduuc loogu talagalay maqaal gaar ah.

Macluumaad dheeraad ah:

• Sharaxaada Cisco IOS Netflow
• Matrix taageerada Netflow ee xalalka Cisco ee kala duwan
• Hagaha Isku-dubbarididda qulqulka Shabakadda ee Platformyada kala duwan ee Cisco
• Bulshada sFlow
• Shaybaadhka isticmaalaya Stealtjwatch, SiLK iyo ELK si loo falanqeeyo Netflow dhinaca amniga
• Website-ka SiLK
• Hagaha saddex-boqol-bog ee isticmaalka SiLK oo wata tusaalooyin badan
• Logstash Netflow Module
• Cisco Tallaabo-Tallaabo Hagaha Falanqaynta Shabakadda Shabakadda ee ELK
• Falanqaynta NetFlow v.9 Cisco ASA iyadoo la isticmaalayo Logstash (ELK)
• Cisco Stealthwatch Solution

PS. Haddii ay kuu sahlanaato inaad maqasho wax kasta oo kor ku qoran, markaa waxaad daawan kartaa bandhigga saacadda ah ee aasaaska u ah qoraalkan.

Source: www.habr.com