waa xal gorfayn oo dhanka amniga macluumaadka ah kaas oo siinaya kormeer dhamaystiran oo ku saabsan hanjabaadaha shabakada la qaybiyey. StealthWatch waxay ku salaysan tahay ururinta NetFlow iyo IPFIX router-yada, furayaasha iyo aaladaha shabakadaha kale. Natiijo ahaan, shabakadu waxay noqotaa dareen xasaasi ah waxayna u ogolaataa maamulaha inuu eego meelaha hababka amniga shabakada dhaqanka, sida Next Generation Firewall, uusan gaari karin.
Maqaalladii hore waxaan hore uga qoray StealthWatch: Markaasay . Hadda waxaan soo jeedinayaa in la sii amba qaado oo aan ka wada hadlo sidii looga shaqayn lahaa qaylo-dhaanta iyo in la baaro shilalka amniga ee xalku dhaliyo. Waxaa jiri doona 6 tusaale oo aan rajaynayo inay fikrad fiican ka siin doonaan faa'iidada alaabta.
Marka hore, waa in la sheegaa in StealthWatch ay leedahay qayb qaybinta kiciyeyaasha u dhexeeya algorithms iyo quudinta. Kuwa ugu horreeya waa noocyo kala duwan oo qaylo-dhaan ah (ogaysiisyo), marka la kiciyo, waxaad ogaan kartaa waxyaabaha shakiga leh ee shabakada. Midda labaad waa shilal amni. Maqaalkani waxa uu eegi doonaa 4 tusaale oo algorithms-ku kiciyay iyo 2 tusaale oo quudin ah.
1. Falanqaynta isdhexgalka ugu weyn ee shabakada dhexdeeda
Tallaabada ugu horreysa ee dejinta StealthWatch waa in la qeexo martigeliyayaasha iyo shabakadaha kooxo. In tab interface web Habee > Maamulka Kooxda martida loo yahay Shabakadaha, martigeliyaha, iyo adeegayaasha waa in loo kala saaraa kooxo ku habboon. Waxaad sidoo kale abuuri kartaa kooxo kuu gaar ah. Jid ahaan, falanqaynta isdhexgalka ka dhexeeya martida loo yahay ee Cisco StealthWatch waa mid ku habboon, maadaama aadan kaliya ku badbaadin karin shaandhada raadinta qulqulka, laakiin sidoo kale natiijooyinka laftooda.
Si aad u bilowdo, in interface web waa in aad tag tab Falanqee > Raadinta socodka. Markaa waa in aad dejisaa xuduudaha soo socda:
- Nooca Raadinta - Wadahadallada ugu sarreeya (isdhexgalka ugu caansan)
- Waqtiga kala duwan - 24 saacadood (wakhti, waxaad isticmaali kartaa mid kale)
- Magaca Raadinta - Wadahadallada ugu sarreeya gudaha-gudaha (magac kasta oo saaxiibtinimo)
- Mawduuca - Kooxaha martida loo yahay β Gudaha Hosts ( isha - kooxda martida loo yahay gudaha)
- Isku xirka (waxaad cayimi kartaa dekedaha, codsiyada)
- Peer -Kooxaha martida loo yahay β Gudaha Hosts (Ujeedka - kooxda qanjidhada gudaha)
- Ikhtiyaarada Sare, waxa kale oo aad ku qeexi kartaa ururiyaha xogta laga eego, kala soocida wax soo saarka (bytes, durdurrada, iwm.). Waxaan uga tagayaa sidii default.
Kadib markaad riixdo badhanka Baar liiska isdhexgalka ayaa la soo bandhigay kuwaas oo mar hore lagu soocay cadadka xogta la wareejiyay.
Tusaale ahaan martida loo yahay 10.150.1.201 (server) lagu kala qaado hal dun oo keliya 1.5 GB taraafikada martigelinta 10.150.1.200 (macmiil) sida hab maamuuska MySQL. badhanka Maamul tiirarka wuxuu kuu ogolaanayaa inaad ku darto tiirar badan xogta wax soo saarka.
Marka xigta, go'aanka maamulaha, waxaad abuuri kartaa xeer caadi ah oo had iyo jeer kicin doona isdhexgalka noocaan ah oo kugu ogeysiin doona SNMP, iimaylka ama Syslog.
2. Falanqaynta isdhexgalka macmiilka-server ee ugu gaabis ah ee shabakada dhexdeeda ee dib u dhaca
Calaamadaha SRT (Waqtiga Jawaabta Adeegga), RTT (Waqtiga Safarka Wareega) kuu ogolaato inaad ogaato dib u dhaca serverka iyo dib u dhaca shabakada guud. Qalabkani wuxuu si gaar ah faa'iido u leeyahay markaad u baahan tahay inaad si degdeg ah u hesho sababta cabashada isticmaalaha ee ku saabsan codsiga qunyar socodka ah.
tacliiq: ku dhawaad ββdhammaan dhoofiyeyaasha Netflow ma garanayo sida dir SRT, tags RTT, marar badan, si aad u aragto xogtan oo kale ee FlowSensor, waxaad u baahan tahay inaad habayso diritaanka nuqulka taraafikada ee qalabka shabakada. FlowSensor isna wuxuu u soo diraa IPFIX la fidiyay FlowCollector.
Way ku habboon tahay in lagu sameeyo falanqayntan codsiga java StealtWatch, kaas oo lagu rakibay kombayutarka maamulka.
Badhanka jiirka midig ayaa shid Gudaha martida oo aad tabka Shaxda socodka.
Guji Filter oo deji xuduudaha lagama maarmaanka ah. Tusaale ahaan:
- Taariikhda/Waqtiga - Saddexdii maalmood ee u dambeeyay
- Waxqabadka - Celceliska Waqtiga Safarka Wareega>=50ms
Kadib muujinta xogta, waa inaan ku darnaa meelaha RTT iyo SRT ee na danaynaya. Si aad tan u samayso, guji tiirka ku yaal shaashadda oo dooro badhanka midigta ee jiirka Maamul tiirarka. Marka xigta, dhagsii cabbirada RTT, SRT.
Kadib socodsiinta codsiga, waxaan ku kala soocay celceliska RTT oo waxaan arkay isdhexgalka ugu hooseeya.
Si aad u gasho macluumaad faahfaahsan, midig-guji qulqulka oo dooro Muuqaalka Degdegga ah ee Socodka.
Macluumaadkan ayaa tilmaamaya in martigeliyaha 10.201.3.59 kooxda Sales iyo Suuq hab maamuuska NFS ka codsanaya Adeegga DNS hal daqiiqo iyo 23 ilbiriqsi oo uu leeyahay dib u dhac aad u xun. In tab Interfaces waxaad ogaan kartaa dhoofiyaha xogta Netflow macluumaadka laga helay. In tab Shaxda Macluumaad faahfaahsan oo ku saabsan isdhexgalka ayaa la muujiyay.
Marka xigta, waa inaad ogaataa aaladaha u soo dira taraafikada FlowSensor iyo dhibaatadu waxay u badan tahay inay halkaas taal.
Intaa waxaa dheer, StealthWatch waa mid gaar ah in ay qabato ka-saarid xogta (isku dara durdurro isku mid ah). Sidaa darteed, waxaad ka ururin kartaa ku dhawaad ββdhammaan aaladaha Netflow oo ha ka baqin inay jiri doonto xog badan oo nuqul ah. Taas lidkeeda, nidaamkan waxa ay kaa caawin doontaa in la fahmo rajada leh dib u dhacyada ugu weyn.
3. Hantidhawrka borotokoolka cryptographic HTTPS
ETA (Sanaaduuqda Gaadiidka waa tignoolajiyad ay samaysay Cisco oo kuu ogolaanaysa inaad ogaato xidhiidhada xaasidnimada leh ee taraafikada sir ah adigoon kala saarin Intaa waxaa dheer, tignoolajiyadani waxay kuu oggolaaneysaa inaad "ku-dar-geliso" HTTPS noocyada TLS iyo borotokoolka cryptographic ee la isticmaalo inta lagu jiro isku xirka. Shaqadani waxay si gaar ah faa'iido u leedahay markaad u baahan tahay inaad ogaato noodhka shabakada ee isticmaala heerarka crypto daciifka ah.
tacliiq: Waa inaad marka hore ku rakibtaa app-ka shabakada StealthWatch - Hantidhawrka Cryptographic ETA.
Tag tab Dashboards β ETA Cryptographic Audit oo dooro kooxda martida loo yahay ee aanu qorshaynayno inaanu falanqayno. Sawirka guud, aan doorano Gudaha martida.
Waxaad arki kartaa in nooca TLS iyo heerka crypto ee u dhigma ay soo baxeen. Marka loo eego nidaamka caadiga ah ee tiirka Tallaabooyinka u tag Daawo Socodka raadintuna waxay ka bilaabantaa tab cusub.
Laga soo bilaabo wax soo saarka waxaa la arki karaa in martida loo yahay 198.19.20.136 dhan Saacadaha 12 loo adeegsaday HTTPS oo leh TLS 1.2, halkaas oo algorithm sir ah AES-256 iyo shaqada xashiishka SHA-384. Sidaa darteed, ETA waxay kuu ogolaaneysaa inaad hesho algorithms daciif ah shabakada.
4. Falanqaynta anomaly network
Cisco StealthWatch waxay aqoonsan kartaa cilladaha taraafikada ee shabakadda iyadoo la adeegsanayo saddex qalab: Dhacdooyinka Muhiimka ah (dhacdooyinka amniga), Dhacdooyinka Xiriirka (dhacdooyinka isdhexgalka ka dhexeeya qaybaha, qanjidhada shabakada) iyo falanqaynta habdhaqanka.
Falanqaynta dabeecadda, markeeda, waxay ogolaataa waqti ka dib si loo dhiso qaabka habdhaqanka martigeliyaha gaarka ah ama kooxda martida loo yahay. Inta badan taraafikada ee dhex mara StealthWatch, inta saxda ah ee digniinaha ayaa mahad iska leh falanqayntan. Marka ugu horeysa, nidaamku wuxuu kiciyaa wax badan oo khaldan, markaa xeerarku waa in "la qalloociyaa" gacanta. Waxaan kugula talinayaa inaad iska indhatirto dhacdooyinkan oo kale dhowrka toddobaad ee ugu horreeya, maadaama nidaamku isku hagaajin doono, ama ku dari doono waxyaabo ka reeban.
Hoos waxaa ku yaal tusaale xeer hore loo qeexay Cilladaha, taas oo sheegaysa in dhacdadaasi ay dab ku kici doonto qaylo-dhaan la'aan haddii martigeliyaha kooxda Inside Hosts waxay la falgalaan kooxda Inside Hosts oo 24 saacadood gudahood taraafku wuxuu dhaafi doonaa 10 megabyte.
Tusaale ahaan, aan soo qaadno alaarmiga Kaydinta Xogta, taas oo macnaheedu yahay in qaar ka mid ah ilaha/martigeliyaha goobta ay soo galiyeen/la soo degeen xog aan caadi ahayn oo aad u badan oo ka timid koox martigeliyayaal ah ama martigeliyaha. Guji dhacdada oo tag miiska meesha lagu tilmaamay martigeliyaha kicinaya. Marka xigta, dooro martigeliyaha aan xiisayno tiirka Kaydinta Xogta.
Dhacdo ayaa la soo bandhigay oo muujinaysa in 162k "dhibcood" la helay, iyo sida ku cad siyaasadda, 100k "dhibcood" waa la ogol yahay - kuwani waa gudaha StealthWatch metrics. Sariir Tallaabooyinka Riix Daawo Socodka.
Waan u fiirsan karnaa taas la siiyay martigaliyaha la falgalay habeenki martida loo ahaa 10.201.3.47 ka waaxda Iibka & Suuqgeynta hab maamuuska HTTPS oo la soo dejiyo 1.4 GB. Waxaa laga yaabaa in tusaalahani aanu si buuxda u guulaysan, laakiin ogaanshaha isdhexgalka xitaa dhowr boqol oo gigabytes ayaa loo fuliyaa si isku mid ah. Sidaa darteed, baaritaan dheeraad ah oo ku saabsan cilladaha ayaa laga yaabaa inay keento natiijooyin xiiso leh.
tacliiq: gudaha SMC web interface, xogta ayaa ku jirta tabs Dashboards waxaa lagu soo bandhigay kaliya usbuucii ugu dambeeyay iyo tab Monitor 2dii toddobaad ee u dambeeyay. Si aad u falanqeyso dhacdooyinkii hore oo aad u soo saarto warbixino, waxaad u baahan tahay inaad la shaqeyso konsolaha java kombayutarka maamulka
5. Helitaanka sawirada shabakadaha gudaha
Hadda aan eegno dhowr tusaale oo quudin ah - shilalka amniga macluumaadka. Shaqadani waxay aad u danaynaysaa xirfadlayaasha amniga.
Waxaa jira dhowr nooc oo iskaan ah oo horay loo sii dejiyay oo ku jira StealthWatch:
- Port Scan- isha ayaa ku baadha dekedo badan oo ku yaal goobta martida loo yahay.
- Addr tcp scan - isha ayaa baari shabakada oo dhan isla dekedda TCP, beddeleysa cinwaanka IP-ga loo socdo. Xaaladdan oo kale, isha ayaa helaysa xirmooyinka Dib-u-dejinta TCP ama ma helaan jawaabaha gabi ahaanba.
- Sawirka Addr udp - isha ayaa baadha shabakada oo dhan isla dekedda UDP, iyada oo la beddelayo ciwaanka IP-ga loo socdo. Xaaladdan oo kale, isha ayaa helaysa xidhmooyinka ICMP Port Unreachable ama ma helaan jawaabaha gabi ahaanba.
- Ping Scan - isha ayaa u soo dirtaa codsiyada ICMP shabakada oo dhan si ay u raadiyaan jawaabaha.
- Stealth Scan tΡp/udp - isha waxay isticmaashay deked isku mid ah si ay ugu xidho dekedo badan oo ku yaal marinka meesha loo socdo isku mar.
Si aad uga dhigto mid ku habboon in la helo dhammaan iskaannada gudaha hal mar, waxaa jira abka shabakadda StealthWatch - Qiimaynta Muuqaalka. Tagitaanka tab Dashboards β Qiimaynta Muuqaalka β Sawir-qaadayaasha Shabakadda Gudaha waxaad arki doontaa shilalka amniga ee la xidhiidha iskaanka 2dii todobaad ee u dambeeyay.
Gujinaya badhanka Details, waxaad arki doontaa bilawga iskaanka shabakad kasta, isbeddelka taraafikada iyo alaarmiga u dhigma.
Marka xigta, waxaad "ku guuldareysan kartaa" martigeliyaha tabka shaashadda hore oo aad aragto dhacdooyinka amniga, iyo sidoo kale waxqabadyada usbuucii la soo dhaafay ee martida loo yahay.
Tusaale ahaan, aan falanqeyno dhacdada Sawirka Dekedda ka yimid martida loo yahay 10.201.3.149 on 10.201.0.72, Cadaadiska Ficilada> Socodyada Xiriirsan. Baadhitaanka dunta ayaa bilaabmay waxaana la soo bandhigay macluumaadka khuseeya
Sida aan u aragno martida loo yahay mid ka mid ah dekedeeda 51508/TCP la sawiray 3 saacadood ka hor goobta martida loo yahay ee deked 22, 28, 42, 41, 36, 40 (TCP). Goobaha qaarkood midkoodna ma soo bandhigaan macluumaadka sababtoo ah dhammaan goobaha Netflow lagama taageero dhoofiyaha Netflow.
6. Falanqaynta malware la soo dejiyay iyadoo la isticmaalayo CTA
Falanqaynta Khatarta Garashada (CTA) - Falanqaynta daruuraha Cisco, oo si fiican ula midaysa Cisco StealthWatch oo kuu ogolaanaysa inaad dhammaystirto falanqaynta saxeexa xorta ah ee falanqaynta saxeexa. Tani waxay suurtogal ka dhigeysaa in la ogaado Trojans, Gooryaanka shabakada, eber malware iyo malware kale oo loo qaybiyo gudaha shabakada. Sidoo kale, tignoolajiyada ETA ee hore loo sheegay ayaa kuu ogolaanaysa inaad ku falanqayso isgaadhsiinta xaasidnimada leh ee taraafikada qarsoon.
Macno ahaan tabka ugu horreeya ee interface-ka shabakadda waxaa ku yaal widget gaar ah Falanqaynta Khatarta Garashada. Soo koobid kooban ayaa tilmaamaysa hanjabaadaha laga helay martigeliyaha isticmaalaha: Trojan, software been abuur ah, adware dhibsado. Erayga "Incrypted" dhab ahaantii waxa uu tilmaamayaa shaqada ETA. Markaad gujiso martigeliyaha, dhammaan macluumaadka ku saabsan, dhacdooyinka amniga, oo ay ku jiraan diiwaannada CTA, ayaa soo baxaya.
Adiga oo dul wareegaya marxalad kasta oo CTA ah, dhacdadu waxay soo bandhigaysaa macluumaad faahfaahsan oo ku saabsan isdhexgalka. Si aad u hesho falanqayn dhamaystiran, guji halkan Daawo Faahfaahinta Dhacdada, waxaana lagu geyn doonaa console gaar ah Falanqaynta Khatarta Garashada.
Koonaha midig ee sare, filtarku wuxuu kuu ogolaanayaa inaad ku muujiso dhacdooyinka heerka darnaanta. Marka aad farta ku fiiqato cillad gaar ah, logu wuxuu ka soo muuqanayaa dhanka hoose ee shaashadda oo uu midigta ku yaal waqti u dhigma. Sidaa darteed, khabiirka amniga macluumaadka ayaa si cad u fahmaya martida cudurka qaba, ka dib falalka, bilaabay inay fuliyaan ficilada.
Hoos waxaa ku yaal tusaale kale - Trojan bangi oo caabuqay martigeliyaha 198.19.30.36. Martigeliyahani wuxuu bilaabay inuu la falgalo aagagga xaasidnimada ah, iyo diiwaanadu waxay muujinayaan macluumaadka socodka isdhexgalkaan.
Marka xigta, mid ka mid ah xalalka ugu fiican ee noqon kara waa in la karantiilo martigeliyaha iyada oo loo mahadcelinayo waddaniga la Cisco ISE daawaynta iyo falanqayn dheeraad ah.
gunaanad
Xalka Cisco StealthWatch waa mid ka mid ah hogaamiyayaasha ka mid ah alaabada la socodka shabakadaha marka la eego falanqaynta shabakada iyo amniga macluumaadka. Waad ku mahadsan tahay, waxaad ogaan kartaa isdhexgalka sharci darrada ah ee shabakada dhexdeeda, dib u dhaca codsiga, isticmaalayaasha ugu firfircoon, cilladaha, malware iyo APTs. Intaa waxaa dheer, waxaad ka heli kartaa iskaanka, petesters, oo aad samayn kartaa baaritaanka crypto-baadhista taraafikada HTTPS. Waxaad ka heli kartaa xitaa xaalado badan oo la isticmaalo .
Haddii aad jeclaan lahayd inaad hubiso sida habsami iyo hufnaanta leh ee wax walba uga shaqeeyaan shabakadaada, soo dir .
Mustaqbalka dhow, waxaan qorsheyneynaa dhowr daabacaadyo farsamo oo badan oo ku saabsan alaabada amniga macluumaadka ee kala duwan. Haddii aad xiisaynayso mawduucan, ka dib la soco wixii ku soo kordha kanaaladayada (, , , )!
Source: www.habr.com