Li-protocol tsa phallo e le sesebelisoa sa ho beha leihlo ts'ireletso ea marang-rang ea kahare

Ha ho tluoa tabeng ea ho beha leihlo ts'ireletso ea marang-rang a khoebo a ka hare kapa a lefapha, ba bangata ba e amahanya le ho laola ho lutla ha tlhahisoleseling le ho kenya tšebetsong tharollo ea DLP. 'Me haeba u leka ho hlakisa potso le ho botsa hore na u lemoha joang litlhaselo ho marang-rang a ka hare, joale karabo e tla ba, e le molao, ho buuoa ka mekhoa ea ho lemoha ho kenella (IDS). 'Me khetho e le' ngoe feela lilemong tse 10-20 tse fetileng e fetoha anachronism kajeno. Ho na le e atlehang haholoanyane, 'me libakeng tse ling, feela ho khoneha kgetho bakeng sa ho beha leihlo marangrang a ka hare - ho sebelisa liprothokholo phallo, eo qalong e ne e etselitsoe ho batla mathata a marangrang (tharollo ea mathata), empa ha nako e ntse e fetoha sesebelisoa se thahasellisang haholo sa tšireletso. Re tla bua ka hore na ho na le li-protocols life le hore na ke life tse molemo ho lemoha litlhaselo tsa marang-rang, moo ho leng molemo ho kenya ts'ebetsong ea ho hlahloba phallo, seo u lokelang ho se sheba ha u sebelisa morero o joalo, esita le mokhoa oa ho "phahamisa" tsena tsohle ho thepa ea malapeng. ka hare ho sebaka sa sengoloa sena.

Nke ke ka lula ka potso e reng "Hobaneng tlhahlobo ea ts'ireletso ea meaho ea kahare e hlokahala?" Karabo e bonahala e hlakile. Empa haeba, leha ho le joalo, u ka rata ho etsa bonnete ba hore kajeno u ke ke ua phela ntle le eona, sheba video e khuts'oane e mabapi le hore na u ka kenella joang marang-rang a khoebo a sirelelitsoeng ke firewall ka litsela tse 17. Ka hona, re tla nka hore rea utloisisa hore tlhahlobo ea ka hare ke ntho e hlokahalang ’me ho setseng ke ho utloisisa hore na e ka hlophisoa joang.

Ke ne ke tla totobatsa mehloli e meraro ea lintlha tsa bohlokoa bakeng sa ho lekola lits'ebetso maemong a marang-rang:

• Sephethephethe se "tlase" seo re se hapang le ho fana ka tlhahlobo ho litsamaiso tse itseng tsa tlhahlobo,
• liketsahalo tse tsoang lisebelisoa tsa marang-rang tseo sephethephethe se fetang ho tsona,
• tlhahisoleseding ea sephethephethe e fumanoang ka e 'ngoe ea li-protocol tsa phallo.

Ho ts'oara sephethephethe se tala ke khetho e tsebahalang haholo har'a litsebi tsa ts'ireletso, hobane e ile ea hlaha ka nalane ebile e le eona ea pele. Mekhoa e tloaelehileng ea ho lemoha marang-rang a marang-rang (mokhoa oa pele oa ho lemoha ho kena khoebong e ne e le NetRanger ho tloha Wheel Group, e rekiloeng ka 1998 ke Cisco) e ne e tšoarehile ka ho ts'oara lipakete (le mananeo a morao-rao) moo ho neng ho batloa li-signature tse itseng ("melao e tiileng" ho FSTEC terminology), litlhaselo tsa matšoao. Ehlile, o ka sekaseka sephethephethe se tala eseng feela ka ho sebelisa IDS, empa hape o sebelisa lisebelisoa tse ling (mohlala, Wireshark, tcpdum kapa ts'ebetso ea NBAR2 ho Cisco IOS), empa hangata ha ba na motheo oa tsebo o khethollang sesebelisoa sa ts'ireletso ea tlhahisoleseling ho tsoa ho se tloaelehileng. Sesebelisoa sa IT.

Kahoo, hlasela litsamaiso tsa ho lemoha. Mokhoa oa khale ka ho fetisisa le o tummeng oa ho lemoha litlhaselo tsa marang-rang, tse etsang mosebetsi o motle ho pota-pota (ho sa tsotellehe hore na - khoebo, setsi sa data, karolo, joalo-joalo), empa e hlōleha ho marang-rang a kajeno a fetotsoeng le a hlalositsoeng ke software. Tabeng ea marang-rang a hahiloeng motheong oa li-switches tse tloaelehileng, lisebelisoa tsa lisebelisoa tsa ho lemoha litlhaselo li fetoha tse kholo haholo - o tla tlameha ho kenya sensor ho e 'ngoe le e' ngoe e amanang le node eo u batlang ho shebella litlhaselo ho eona. Moetsi leha e le ofe, ehlile, o tla thabela ho u rekisetsa li-sensor tse makholo le likete, empa ke nahana hore tekanyetso ea hau e ke ke ea tšehetsa litšenyehelo tse joalo. Nka bolela hore esita le Cisco ('me re bahlahisi ba NGIPS) re ne re ke ke ra etsa sena, le hoja ho ne ho ka bonahala eka taba ea theko e ka pel'a rona. Ha kea lokela ho ema - ke qeto ea rona. Ho phaella moo, ho hlaha potso, mokhoa oa ho hokahanya sensor ka phetolelo ee? Ho kena sekheong? Ho thoe'ng haeba sensor ka boeona e hlōleha? U hloka module ea bypass ho sensor? Sebelisa li-splitters (tlanya)? Sena sohle se etsa hore tharollo e be theko e boima haholo mme e etsa hore e se khonehe bakeng sa k'hamphani ea boholo bofe kapa bofe.

U ka leka ho "fanyeha" sensor boema-kepeng ba SPAN/RSPAN/ERSPAN le ho tsamaisa sephethephethe ho tloha likoung tse hlokahalang ho ea ho eona. Khetho ena e tlosa bothata bo hlalositsoeng serapeng se fetileng, empa e hlahisa e 'ngoe - sekepe sa SPAN se ke ke sa amohela sephethephethe sohle se tla romelloa ho sona - se ke ke sa ba le bandwidth e lekaneng. U tla tlameha ho tela ho hong. Ebang u tlohele li-node tse ling ntle le ho beha leihlo (joale u lokela ho li beha pele), kapa u se ke ua romela sephethephethe kaofela ho tloha node, empa ke mofuta o itseng feela. Leha ho le joalo, re ka 'na ra hloloheloa litlhaselo tse ling. Ho feta moo, boema-kepe ba SPAN bo ka sebelisoa bakeng sa litlhoko tse ling. Ka lebaka leo, re tla tlameha ho hlahloba topology e teng ea marang-rang 'me mohlomong re e etse liphetoho e le hore re koahele marang-rang a hau ka bongata ba li-sensor tseo u nang le tsona (le ho hokahanya sena le IT).

Ho thoe'ng haeba marang-rang a hau a sebelisa litsela tsa asymmetric? Ho thoe'ng haeba u sebelisitse kapa u rera ho kenya ts'ebetsong SDN? Ho thoe'ng haeba u hloka ho beha leihlo mechini kapa lijana tsa 'nete tseo sephethephethe sa tsona se sa fihleng ho switjha ho hang? Tsena ke lipotso tseo barekisi ba IDS ba setso ba sa li rateng hobane ha ba tsebe ho li araba. Mohlomong ba tla u kholisa hore litheknoloji tsena tsohle tsa feshene ke hype 'me ha u li hloke. Mohlomong ba tla bua ka tlhokahalo ea ho qala hanyane. Kapa mohlomong ba tla re u lokela ho beha thresher e matla bohareng ba marang-rang le ho lebisa sephethephethe sohle ho eona u sebelisa li-balancers. Ho sa tsotellehe hore na khetho e fanoa ho uena, u lokela ho utloisisa ka ho hlaka hore na e u tšoanela joang. 'Me feela ka mor'a moo etsa qeto ea ho khetha mokhoa oa ho shebella ts'ireletso ea tlhahisoleseding ea lisebelisoa tsa marang-rang. Ha ke khutlela ho pakete ea pakete, ke batla ho bolela hore mokhoa ona o ntse o tsoela pele ho ratoa haholo le oa bohlokoa, empa morero oa oona o ka sehloohong ke taolo ea moeli; meeli pakeng tsa mokhatlo oa hau le Inthanete, meeli pakeng tsa setsi sa data le marang-rang a mang kaofela, meeli pakeng tsa tsamaiso ea tsamaiso ea ts'ebetso le karolo ea lik'hamphani. Libakeng tsena, IDS/IPS ea khale e ntse e na le tokelo ea ho ba teng le ho sebetsana hantle le mesebetsi ea bona.

Ha re feteleng pele ho khetho ea bobeli. Tlhahlobo ea liketsahalo tse tsoang lisebelisoa tsa marang-rang e ka boela ea sebelisoa bakeng sa merero ea ho lemoha tlhaselo, empa eseng e le mokhoa o ka sehloohong, kaha e lumella ho lemoha feela sehlopha se senyenyane sa ho kenella. Ho phaella moo, ke tlhaho ho reactivity e itseng - tlhaselo e tlameha ho etsahala pele, joale e tlameha ho ngoloa ke sesebelisoa sa marang-rang, seo ka tsela e 'ngoe kapa se seng se tla bontša bothata ba ts'ireletso ea tlhahisoleseding. Ho na le litsela tse 'maloa tse joalo. Sena e ka ba syslog, RMON kapa SNMP. Mekhoa e 'meli ea ho qetela ea ho hlahloba marang-rang molemong oa ts'ireletso ea tlhahisoleseding e sebelisoa feela haeba re hloka ho lemoha tlhaselo ea DoS ho thepa ea marang-rang ka boeona, kaha ho sebelisa RMON le SNMP hoa khoneha, ka mohlala, ho shebella mojaro bohareng ba sesebelisoa. processor kapa li-interface tsa eona. Ena ke e 'ngoe ea "tse theko e tlaase" (e mong le e mong o na le syslog kapa SNMP), empa hape le mekhoa e sa sebetseng ka ho fetisisa ea ho shebella ts'ireletso ea tlhahisoleseding ea lisebelisoa tsa ka hare - litlhaselo tse ngata li patiloe ho eona. Ha e le hantle, ha lia lokela ho hlokomolohuoa, 'me tlhahlobo e tšoanang ea syslog e u thusa ho tseba ka nako e nepahetseng liphetoho tsa ho hlophisoa ha sesebelisoa ka boeona, ho sekisetsa ha eona, empa ha e tšoanelehe haholo bakeng sa ho lemoha litlhaselo ho marang-rang kaofela.

Khetho ea boraro ke ho sekaseka tlhahisoleseling mabapi le sephethephethe se fetang sesebelisoa se ts'ehetsang e 'ngoe ea li-protocol tse' maloa tsa phallo. Tabeng ena, ho sa tsotelehe protocol, lisebelisoa tsa likhoele li na le likarolo tse tharo:

• Phaliso kapa thomello ea phallo. Hangata karolo ena e abeloa router, switjha kapa sesebelisoa se seng sa marang-rang, seo, ka ho fetisa sephethephethe sa marang-rang ka boeona, se u lumellang hore u ntše lintlha tsa bohlokoa ho eona, ebe li fetisetsoa ho module ea pokello. Mohlala, Cisco e ts'ehetsa protocol ea Netflow eseng feela ho li-routers le li-switches, ho kenyeletsoa le tsa indasteri le tsa indasteri, empa le ho balaoli ba waelese, li-firewall esita le li-server.
• Phallo ea pokello. Ha ho nahanoa hore marang-rang a morao-rao hangata a na le lisebelisoa tse fetang tse le 'ngoe tsa marang-rang, bothata ba ho bokella le ho kopanya phallo e hlaha, e rarolloang ho sebelisoa bao ho thoeng ke babokelli, ba sebetsanang le phallo e amoheloang ebe ba e fetisetsa bakeng sa tlhahlobo.
• Tlhahlobo ea phallo Mohlahlobi o nka mosebetsi oa mantlha oa bohlale, 'me, a sebelisa li-algorithms tse fapaneng ho melapo, o fihlela liqeto tse itseng. Ka mohlala, e le karolo ea ts'ebetso ea IT, mohlahlobi ea joalo a ka tseba li-bottlenecks tsa marang-rang kapa a hlahloba boemo ba sephethephethe bakeng sa ho ntlafatsa marang-rang. Le bakeng sa ts'ireletso ea tlhahisoleseling, mohlahlobi ea joalo a ka bona ho lutla ha data, ho ata ha khoutu e mpe kapa tlhaselo ea DoS.

U se ke ua nahana hore mohaho ona oa lihlopha tse tharo o rarahane haholo - likhetho tse ling kaofela (ntle le, mohlomong, mekhoa ea ho shebella marang-rang e sebetsang le SNMP le RMON) le eona e sebetsa ho ea ka eona. Re na le jenereithara ea data bakeng sa tlhahlobo, e ka bang sesebelisoa sa marang-rang kapa sensor e ikemetseng. Re na le mokhoa oa ho bokella alamo le tsamaiso ea tsamaiso bakeng sa lisebelisoa tsohle tsa ho beha leihlo. Likarolo tse peli tsa ho qetela li ka kopanngoa ka har'a node e le 'ngoe, empa ka marang-rang a maholo kapa a seng makae hangata li hasana bonyane lisebelisoa tse peli e le ho etsa bonnete ba hore ho na le scalability le ho tšepahala.

Ho fapana le tlhahlobo ea pakete, e thehiloeng ho ithuteng hlooho le lintlha tsa 'mele tsa pakete e' ngoe le e 'ngoe le linako tseo e nang le tsona, tlhahlobo ea phallo e itšetlehile ka ho bokella metadata mabapi le sephethephethe sa marang-rang. Neng, bokae, ho tloha kae le kae, joang ... tsena ke lipotso tse arajoang ke tlhahlobo ea telemetry ea marang-rang ho sebelisa li-protocol tse fapaneng tsa phallo. Qalong, li ne li sebelisetsoa ho hlahloba lipalo-palo le ho fumana mathata a IT ho marang-rang, empa joale, ha mekhoa ea ho hlahloba e ntse e ntlafatsoa, ​​ho ile ha khoneha ho e sebelisa ho telemetry e tšoanang bakeng sa merero ea ts'ireletso. Ho bohlokoa ho ela hloko hape hore tlhahlobo ea phallo ha e nke sebaka kapa sebaka sa ho nkuoa ha pakete. E 'ngoe le e' ngoe ea mekhoa ena e na le sebaka sa eona sa ts'ebeliso. Empa moelelong oa sengoloa sena, ke tlhahlobo ea phallo e loketseng ho lekola lits'ebetso tsa kahare. U na le lisebelisoa tsa marang-rang (ebang li sebetsa ka har'a paradigm e hlalositsoeng ke software kapa ho latela melao e tsitsitseng) eo tlhaselo e ke keng ea e feta. E ka feta sensor ea khale ea IDS, empa sesebelisoa sa marang-rang se tšehetsang protocol ea phallo ha se khone. Ena ke molemo oa mokhoa ona.

Ka lehlakoreng le leng, haeba u hloka bopaki bakeng sa ts'ebetsong ea molao kapa sehlopha sa hau sa lipatlisiso tsa liketsahalo, u ke ke ua khona ho etsa ntle le ho tšoara pakete - telemetry ea marang-rang ha se kopi ea sephethephethe se ka sebelisoang ho bokella bopaki; e hlokahala bakeng sa ho lemoha ka potlako le ho etsa liqeto tšimong ea tšireletso ea tlhahisoleseding. Ka lehlakoreng le leng, ho sebelisa tlhahlobo ea telemetry, u ka "ngola" eseng sephethephethe sa marang-rang (haeba ho na le letho, Cisco e sebetsana le litsi tsa data :-), empa ke feela tse amehang tlhaselong eo. Lisebelisoa tsa tlhahlobo ea telemetry tabeng ena li tla tlatselletsa mekhoa ea setso ea ho hapa lipakete hantle, ho fana ka litaelo tsa ho hapa le ho boloka. Ho seng joalo, u tla tlameha ho ba le lisebelisoa tse kholo tsa polokelo.

Ha re nahane ka marang-rang a sebetsang ka lebelo la 250 Mbit / sec. Haeba u batla ho boloka molumo ona kaofela, joale u tla hloka 31 MB ea polokelo bakeng sa motsotsoana o le mong oa phetisetso ea sephethephethe, 1,8 GB motsotso o le mong, 108 GB bakeng sa hora e le 'ngoe, le 2,6 TB bakeng sa letsatsi le le leng. Ho boloka data ea letsatsi le letsatsi ho tsoa marang-rang a nang le bandwidth ea 10 Gbit / s, o tla hloka 108 TB ea polokelo. Empa balaoli ba bang ba hloka ho boloka lintlha tsa ts'ireletso ka lilemo ... Ho rekota ha ho hlokahala, e leng tlhahlobo ea phallo e u thusang ho e sebelisa, e thusa ho fokotsa litekanyetso tsena ka litaelo tsa boholo. Ka tsela, haeba re bua ka karo-karolelano ea boholo ba data ea telemetry e rekotiloeng le data e feletseng ea data, joale e ka ba 1 ho ea ho 500. Bakeng sa litekanyetso tse tšoanang tse fanoeng ka holimo, ho boloka tlaleho e feletseng ea sephethephethe sa letsatsi le letsatsi. e tla ba 5 le 216 GB, ka ho latellana (o ka e rekota le ka koloi e tloaelehileng ea flash).

Haeba bakeng sa lisebelisoa tsa ho hlahloba lintlha tse tala tsa marang-rang, mokhoa oa ho o hapa o batla o tšoana ho tloha ho morekisi ho ea ho morekisi, joale tabeng ea ho hlahloba phallo boemo bo fapane. Ho na le likhetho tse 'maloa bakeng sa li-protocol tsa phallo, liphapang tseo u hlokang ho tseba ka tsona maemong a ts'ireletso. E tsebahalang haholo ke protocol ea Netflow e ntlafalitsoeng ke Cisco. Ho na le liphetolelo tse 'maloa tsa protocol ena, tse fapaneng ka bokhoni ba tsona le palo ea tlhahisoleseling e tlalehiloeng. Phetolelo ea morao-rao ke ea borobong (Netflow v9), motheong oo mokhoa oa indasteri oa Netflow v10, o tsejoang hape e le IPFIX, o ile oa ntlafatsoa. Kajeno, barekisi ba bangata ba marang-rang ba tšehetsa Netflow kapa IPFIX lisebelisoa tsa bona. Empa ho na le likhetho tse ling tse fapaneng bakeng sa liprothokholo tsa phallo - sFlow, jFlow, cFlow, rFlow, NetStream, joalo-joalo, eo sFlow e tsebahalang haholo ho eona. Ke mofuta ona o atisang ho tšehetsoa ke baetsi ba malapeng ba thepa ea marang-rang ka lebaka la boiketlo ba eona ba ho kenya ts'ebetsong. Ke liphapang life tsa bohlokoa lipakeng tsa Netflow, eo e seng e le standard de facto, le sFlow? Ke ne ke tla totobatsa tse 'maloa tsa bohlokoa. Taba ea pele, Netflow e na le masimo a ka sebelisoang ke basebelisi ho fapana le masimo a tsitsitseng a sFlow. 'Me ea bobeli,' me sena ke ntho ea bohlokoa ka ho fetisisa tabeng ea rona, sFlow e bokella seo ho thoeng ke sampole telemetry; ho fapana le e sa kang ea etsoa ea Netflow le IPFIX. Phapano ke efe pakeng tsa tsona?

Nka hore u nka qeto ea ho bala buka "Setsi sa Ts'ebetso ea Ts'ireletso: Ho aha, ho sebetsa le ho hlokomela SOC ea hau” ea basebetsi mmoho le nna - Gary McIntyre, Joseph Munitz le Nadem Alfardan (o ka khoasolla karolo ea buka ho sehokelo). U na le likhetho tse tharo tsa ho fihlela sepheo sa hau - bala buka kaofela, bala buka eohle, u bala ho eona, u eme leqepheng le leng le le leng la 10 kapa la 20, kapa u leke ho fumana tlhaloso ea lintlha tsa bohlokoa blog kapa tšebeletso e kang SmartReading. Kahoo, telemetry e sa tloahelehang e bala "leqephe" le leng le le leng la sephethephethe sa marang-rang, ke hore, ho hlahloba metadata bakeng sa pakete ka 'ngoe. Sampled telemetry ke boithuto bo ikhethileng ba sephethephethe ka tšepo ea hore lisampole tse khethiloeng li tla ba le seo u se hlokang. Ho ipapisitse le lebelo la seteishene, sampole ea telemetry e tla romelloa bakeng sa tlhahlobo ea li-64, 200, 500th, 1000th, 2000th kapa esita le 10000th pakete.

Boemong ba tlhahlobo ea ts'ireletso ea tlhahisoleseling, sena se bolela hore sampole ea telemetry e loketse hantle bakeng sa ho bona litlhaselo tsa DDoS, ho skena, le ho hasanya khoutu e mpe, empa e kanna ea fetoa ke litlhaselo tsa atomic kapa lipakete tse ngata tse sa kenyelletsoeng sampoleng e rometsoeng ho hlahlojoa. Telemetry e sa sebetsoang ha e na mathata a joalo. Ka sena, mefuta e mengata ea litlhaselo tse fumanoeng e pharalletse haholo. Mona ke lethathamo le lekhutšoane la liketsahalo tse ka bonoang ho sebelisoa lisebelisoa tsa tlhahlobo ea telemetry ea marang-rang.

Ha e le hantle, mohloli o mong o bulehileng oa Netflow analyzer o ke ke oa u lumella ho etsa sena, kaha mosebetsi oa eona o ka sehloohong ke ho bokella telemetry le ho etsa tlhahlobo ea motheo ho eona ho tloha ponong ea IT. Ho tseba litšokelo tsa ts'ireletso ea tlhahisoleseling ho ipapisitse le phallo, hoa hlokahala ho hlomella mohlahlobi ka lienjineri le li-algorithms tse fapaneng, tse tla khetholla mathata a cybersecurity a ipapisitseng le maemo a tloaelehileng kapa a tloaelo a Netflow, ho ntlafatsa data e tloaelehileng ka data ea kantle ho tsoa mehloling e fapaneng ea Threat Intelligence, jj.

Ka hona, haeba u na le khetho, khetha Netflow kapa IPFIX. Empa le haeba lisebelisoa tsa hau li sebetsa feela ka sFlow, joalo ka bahlahisi ba malapeng, joale esita le tabeng ena u ka rua molemo ho eona sebakeng sa tšireletso.

Lehlabuleng la 2019, ke ile ka hlahlobisisa bokhoni boo baetsi ba lisebelisoa tsa marang-rang ba Russia ba nang le bona 'me kaofela ha bona, ntle le NSG, Polygon le Craftway, ba phatlalalitse tšehetso bakeng sa sFlow (bonyane Zelax, Natex, Eltex, QTech, Rusteleteh).

Potso e latelang eo u tla tobana le eona ke moo u ka kenyang ts'ehetso ea phallo bakeng sa merero ea ts'ireletso? Ha e le hantle, potso ha ea botsoa ka nepo ka ho feletseng. Lisebelisoa tsa morao-rao li batla li tšehetsa li-protocol tsa phallo kamehla. Ka hona, ke ne ke tla fetola potso ka tsela e fapaneng - ke hokae moo ho leng molemo ka ho fetisisa ho bokella telemetry ho tloha sebakeng sa tšireletso? Karabo e tla ba e hlakileng haholo - boemong ba ho fihlella, moo u tla bona 100% ea sephethephethe sohle, moo u tla ba le lintlha tse qaqileng mabapi le mabotho (MAC, VLAN, ID ea interface), moo u ka bonang le ho shebella sephethephethe sa P2P pakeng tsa mabotho, e bohlokoa bakeng sa ho hlahloba le ho ajoa ha khoutu e kotsi. Boemong ba mantlha, u ka 'na ua se ke ua bona sephethephethe, empa boemong ba perimeter, u tla bona kotara ea sephethephethe sa hau sa marang-rang. Empa haeba ka lebaka le itseng u na le lisebelisoa tsa kantle ho marang-rang a hau a lumellang bahlaseli ho "kena le ho tsoa" ntle le ho feta perimeter, joale ho hlahloba telemetry ho tloha ho eona ho ke ke ha u fa letho. Ka hona, bakeng sa tšireletso e phahameng, ho khothaletsoa ho nolofalletsa pokello ea telemetry maemong a phihlello. Ka nako e ts'oanang, ke habohlokoa ho hlokomela hore le haeba re bua ka virtualization kapa lijana, tšehetso ea phallo e boetse e fumanoa hangata ho li-switches tsa morao-rao, tse u lumellang ho laola sephethephethe moo hape.

Empa kaha ke phahamisitse sehlooho, ke hloka ho araba potso: ho thoe'ng haeba thepa, 'meleng kapa ea sebele, e sa tšehetse li-protocol tsa phallo? Kapa na ho kenyelletsoa ha eona ho thibetsoe (mohlala, likarolong tsa indasteri ho netefatsa ho tšepahala)? Kapa na ho e bulela ho lebisa mojaro o phahameng oa CPU (sena se etsahala ho lisebelisoa tsa khale)? Ho rarolla bothata bona, ho na le li-sensor tse khethehileng (li-flow sensors), tseo ha e le hantle e leng li-splitters tse tloaelehileng tse fetang sephethephethe ho tsona ebe li li phatlalatsa ka mokhoa oa phallo ho mojulung oa pokello. Ke 'nete, tabeng ena re fumana mathata ohle ao re buileng ka 'ona ka holimo mabapi le lisebelisoa tsa ho tšoara lipakete. Ke hore, ha ua lokela ho utloisisa feela melemo ea theknoloji ea ho hlahloba phallo, empa le mefokolo ea eona.

Ntlha e 'ngoe eo e leng ea bohlokoa ho e hopola ha u bua ka lisebelisoa tsa tlhahlobo ea phallo. Haeba mabapi le mekhoa e tloaelehileng ea ho hlahisa liketsahalo tsa ts'ireletso re sebelisa metric ea EPS (ketsahalo ka motsotsoana), joale letšoao lena ha le sebetse ho hlahloba telemetry; e nkeloa sebaka ke FPS (phallo ka motsotsoana). Joalo ka EPS, e ke ke ea baloa esale pele, empa u ka hakanya palo e lekantsoeng ea likhoele tseo sesebelisoa se itseng se li hlahisang ho latela mosebetsi oa sona. U ka fumana litafole Marang-rang tse nang le litekanyetso tse hakanyetsoang tsa mefuta e fapaneng ea lisebelisoa le maemo a khoebo, tse tla u lumella ho hakanya hore na u hloka mangolo a tumello bakeng sa lisebelisoa tsa tlhahlobo le hore na meralo ea bona e tla ba efe? 'Nete ke hore sensor ea IDS e lekanyelitsoe ke bandwidth e itseng eo e ka e "hulang",' me mokelli oa phallo o na le mefokolo ea hae e lokelang ho utloisisoa. Ka hona, marang-rang a maholo, a ajoang ka libaka hangata ho na le babokelli ba 'maloa. Ha ke hlalosa kamoo marang-rang a hlahlojoang kateng ka hare ho Cisco, Ke se ke fane ka palo ea babokelli ba rona - ho na le 21. 'Me sena ke sa marang-rang a hasaneng lik'honthinenteng tse hlano le ho ba le lisebelisoa tse sebetsang tse ka bang halofo ea milione).

Re sebelisa tharollo ea rona joalo ka sistimi ea ho beha leihlo Netflow Cisco Stealthwatch, e shebaneng ka ho khetheha le ho rarolla mathata a tšireletso. E na le lienjineri tse ngata tse hahelletsoeng ka har'a ho bona ts'ebetso e makatsang, e belaetsang le e kotsi ka ho hlaka, e e lumellang ho bona litšokelo tse fapaneng - ho tloha ho cryptomining ho ea ho ho lutla ha tlhahisoleseling, ho tloha ho phatlalatsoa ha khoutu e mpe ho isa ho bomenemene. Joalo ka li-analyzer tse ngata tsa phallo, Stealthwatch e hahiloe ho latela morero oa maemo a mararo (jenereithara - mokelli - analyzer), empa e tlatselletsoa ka lintlha tse ngata tse khahlisang tse bohlokoa molemong oa litaba tse ntseng li nahanoa. Taba ea pele, e kopanya le tharollo ea ho ts'oara lipakete (joalo ka Cisco Security Packet Analyzer), e u lumellang hore u tlalehe linako tse khethiloeng tsa marang-rang bakeng sa lipatlisiso tse tebileng le tlhahlobo ea morao-rao. Taba ea bobeli, ka ho khetheha ho holisa mesebetsi ea ts'ireletso, re thehile protocol e khethehileng ea nvzFlow, e u lumellang ho "phatlalatsa" ts'ebetso ea lits'ebetso ho li-node tsa ho qetela (li-server, li-workstations, joalo-joalo) ho telemetry le ho e fetisetsa ho moqokeleli bakeng sa tlhahlobo e eketsehileng. Haeba phetolelong ea eona ea pele Stealthwatch e sebetsa le protocol efe kapa efe ea phallo (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) boemong ba marang-rang, joale tšehetso ea nvzFlow e lumella khokahano ea data le boemong ba node, ka hona. ho eketsa katleho ea tsamaiso eohle le ho bona litlhaselo tse ngata ho feta li-analyzer tse tloaelehileng tsa phallo ea marang-rang.

Ho hlakile hore ha ho buuoa ka litsamaiso tsa tlhahlobo ea Netflow ho tloha sebakeng sa ts'ireletso, 'maraka ha o felle feela ka tharollo e le' ngoe e tsoang ho Cisco. U ka sebelisa litharollo tsa khoebo le tsa mahala kapa tsa shareware. Hoa makatsa haholo haeba ke qotsa litharollo tsa bahlolisani e le mehlala ho blog ea Cisco, kahoo ke tla bua mantsoe a seng makae mabapi le hore na telemetry ea marang-rang e ka hlahlojoa joang ho sebelisoa tse peli tse tummeng, tse tšoanang ka mabitso, empa ho ntse ho le joalo lisebelisoa tse fapaneng - SiLK le ELK.

SiLK ke sete sa lisebelisoa (Sistimi ea Tsebo ea Boemo ba Inthanete) bakeng sa tlhahlobo ea sephethephethe, e entsoeng ke American CERT/CC le e tšehetsang, ho latela moelelo oa sehlooho sa kajeno, Netflow (5th le 9th, liphetolelo tse ratoang ka ho fetisisa), IPFIX. le sFlow le ho sebelisa lisebelisoa tse sa tšoaneng (rwfilter, rwcount, rwflowpack, joalo-joalo) ho etsa mesebetsi e sa tšoaneng ho telemetry ea marang-rang e le ho lemoha matšoao a liketso tse sa lumelloeng ho eona. Empa ho na le lintlha tse 'maloa tsa bohlokoa tseo u lokelang ho li ela hloko. SiLK ke sesebelisoa sa mola oa taelo se etsang tlhahlobo ea marang-rang ka ho kenya litaelo tse kang tsena (ho lemoha lipakete tsa ICMP tse kholo ho feta li-byte tse 200):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

ha e phutholohe haholo. U ka sebelisa iSiLK GUI, empa e ke ke ea nolofaletsa bophelo ba hau haholo, feela ho rarolla mosebetsi oa pono le ho se nkele mohlahlobi sebaka. Mme ena ke ntlha ya bobedi. Ho fapana le litharollo tsa khoebo, tse seng li ntse li e-na le motheo o tiileng oa ho hlahloba, li-algorithms tsa ho lemoha ka mokhoa o sa tloaelehang, ho tsamaisana ha mosebetsi, joalo-joalo, tabeng ea SiLK u tla tlameha ho iketsetsa sena sohle, se tla hloka bokhoni bo fapaneng ho tloha ho uena ho feta ho sebelisa se se se ntse se loketse- lisebelisoa tsa ho sebetsa. Sena ha se setle kapa se sebe - sena ke tšobotsi ea hoo e batlang e le sesebelisoa leha e le sefe sa mahala se nahanang hore u tseba seo u lokelang ho se etsa, 'me se tla u thusa feela ka sena (lisebelisoa tsa khoebo ha li itšetlehe haholo ka bokhoni ba basebelisi ba eona, leha ba nahana hore ba ka etsa joalo. hore bahlahlobisisi ba utloisise bonyane lintlha tsa motheo tsa lipatlisiso le tlhokomelo ea marang-rang). Empa a re khutleleng ho SILK. Potoloho ea mosebetsi oa mohlahlobi le eona e shebahala tjena:

• Ho theha khopolo-taba. Re tlameha ho utloisisa seo re tla se batla ka har'a telemetry ea marang-rang, re tsebe litšoaneleho tse ikhethang tseo ka tsona re tla tsebahatsa liphapang kapa litšokelo tse itseng.
• Ho aha mohlala. Ha re se re thehile khopolo-taba, re e hlophisa re sebelisa Python e tšoanang, khetla kapa lisebelisoa tse ling tse sa kenyelletsoeng ho SiLK.
• Teko. Joale ho tla nako ea ho lekola ho nepahala ha khopolo-taba ea rona, e tiisitsoeng kapa e hanoang ho sebelisoa lisebelisoa tsa SiLK ho qala ka 'rw', 'set', 'bag'.
• Tlhahlobo ea data ea sebele. Ts'ebetsong ea indasteri, SiLK e re thusa ho tseba ntho e itseng 'me mohlahlobi o tlameha ho araba lipotso "Na re fumane seo re neng re se lebeletse?", "Na see se lumellana le maikutlo a rona?", "Joang ho fokotsa palo ea likhopolo tsa bohata?", "Joang ho ntlafatsa boemo ba kananelo? » joalo joalo.
• Ntlafatso. Qetellong, re ntlafatsa se entsoeng pejana - re theha litempele, re ntlafatsa le ho ntlafatsa khoutu, re fetola le ho hlakisa mohopolo, joalo-joalo.

Potoloho ena e tla sebetsa ho Cisco Stealthwatch, ke ea ho qetela feela e iketsetsang mehato ena e mehlano ho ea holimo, ho fokotsa palo ea liphoso tsa mohlahlobi le ho eketsa bokhoni ba ho lemoha liketsahalo. Ka mohlala, ho SiLK u ka ntlafatsa lipalo-palo tsa marang-rang ka boitsebiso ba ka ntle ho li-IP tse kotsi ka ho sebelisa mangolo a ngotsoeng ka letsoho, 'me ho Cisco Stealthwatch ke mosebetsi o kentsoeng o bontšang hang-hang alamo haeba sephethephethe sa marang-rang se na le litšebelisano le liaterese tsa IP tse tsoang lethathamong le letšo.

Haeba u ea holimo "piramide" bakeng sa software ea ho hlahloba phallo, joale ka mor'a SiLK e sa lefelloeng ka ho feletseng ho tla ba le ELK ea shareware, e nang le likarolo tse tharo tsa bohlokoa - Elasticsearch (indexing, searching and data analysis), Logstash (ho kenya letsoho / tlhahiso ea data). ) le Kibana (pono). Ho fapana le SiLK, moo u tlamehang ho ngola ntho e 'ngoe le e' ngoe u le mong, ELK e se e ntse e e-na le lilaebrari / li-module tse ngata tse lokiselitsoeng (tse ling li lefshoa, tse ling li sa lefelloe) tse iketsetsang tlhahlobo ea telemetry ea marang-rang. Mohlala, filthara ea GeoIP ho Logstash e u lumella ho amahanya liaterese tsa IP tse shebiloeng le sebaka sa tsona (Stealthwatch e na le tšobotsi ena e hahelletsoeng).

ELK e boetse e na le sechaba se seholo se ntseng se tlatsa likarolo tse sieo bakeng sa tharollo ena ea ho beha leihlo. Mohlala, ho sebetsa le Netflow, IPFIX le sFlow u ka sebelisa mojule elastiflow, haeba u sa khotsofatsoe ke Logstash Netflow Module, e tšehetsang Netflow feela.

Ha e ntse e fana ka bokhoni bo eketsehileng ba ho bokella phallo le ho batlisisa ho eona, ELK hajoale e haelloa ke li-analytics tse hahelletsoeng ka har'a ho bona liphapang le lits'oso ho telemetry ea marang-rang. Ke hore, ho latela potoloho ea bophelo e hlalositsoeng ka holimo, u tla tlameha ho hlalosa ka mokhoa o ikemetseng mekhoa ea tlōlo ea molao ebe u e sebelisa tsamaisong ea ntoa (ha ho na mehlala e hahiloeng moo).

Ha e le hantle, ho na le li-extensions tse tsoetseng pele bakeng sa ELK, tse seng li na le mefuta e meng ea ho lemoha li-anomalies ho telemetry ea marang-rang, empa li-extensions tse joalo li bitsa chelete e ngata 'me mona potso ke hore na papali eo e bohlokoa kerese - ngola mohlala o tšoanang le uena, reka eona. ho kenya tšebetsong sesebelisoa sa hau sa ho beha leihlo, kapa reka tharollo e seng e entsoe ea sehlopha sa Network Traffic Analysis.

Ka kakaretso, ha ke batle ho kena phehisanong ea hore ho molemo ho sebelisa chelete le ho reka tharollo e lokiselitsoeng bakeng sa ho shebella li-anomalies le litšokelo ho telemetry ea marang-rang (mohlala, Cisco Stealthwatch) kapa u itlhalose 'me u iketsetse se tšoanang. SiLK, ELK kapa nfdump kapa OSU Flow Tools bakeng sa tšokelo e 'ngoe le e 'ngoe e ncha ( ke bua ka tse peli tsa ho qetela tsa tsona bolelloa nakong e fetileng)? Motho e mong le e mong o ikhethela 'me e mong le e mong o na le sepheo sa hae sa ho khetha khetho efe kapa efe ho tse peli. Ke ne ke batla feela ho bontša hore telemetry ea marang-rang ke sesebelisoa sa bohlokoa haholo ho netefatsa ts'ireletso ea marang-rang ea lisebelisoa tsa hau tsa ka hare 'me ha ua lokela ho e hlokomoloha, e le hore u se ke ua kena lethathamong la lik'hamphani tseo lebitso la tsona le boleloang mecheng ea litaba hammoho le li-epithets " hacked", "e sa lumellaneng le litlhoko tsa ts'ireletso ea tlhahisoleseding" ", "ho sa nahane ka ts'ireletso ea data ea bona le data ea bareki."

Ho akaretsa, ke kopa ho thathamisa malebela a bohlokoa ao u lokelang ho a latela ha u theha tlhahlobo ea ts'ireletso ea tlhaiso-leseling ea lisebelisoa tsa hau tsa kahare:

1. Se ke oa ipehela moeli feela! Sebelisa (le ho khetha) lisebelisoa tsa marang-rang eseng feela ho tsamaisa sephethephethe ho tloha sebakeng sa A ho ea ho B, empa hape le ho rarolla mathata a cybersecurity.
2. Ithute mekhoa e teng ea ho lekola ts'ireletso ea tlhahisoleseling lisebelisoa tsa hau tsa marang-rang 'me u li sebelise.
3. Bakeng sa tlhokomelo ea ka hare, fana ka khetho ea tlhahlobo ea telemetry - e u lumella ho lemoha ho fihlela ho 80-90% ea liketsahalo tsohle tsa ts'ireletso ea tlhahisoleseding ea marang-rang, ha u ntse u etsa se ke keng sa khoneha ha u tšoara lipakete tsa marang-rang le ho boloka sebaka sa ho boloka liketsahalo tsohle tsa ts'ireletso ea tlhahisoleseding.
4. Ho beha leihlo phallo, sebelisa Netflow v9 kapa IPFIX - ba fana ka tlhaiso-leseling e batsi maemong a ts'ireletso mme ba u lumella ho beha leihlo IPv4 feela, empa le IPv6, MPLS, jj.
5. Sebelisa protocol ea phallo e sa sebetsoang - e fana ka tlhaiso-leseling e batsi bakeng sa ho bona litšokelo. Ka mohlala, Netflow kapa IPFIX.
6. Sheba mojaro oa lisebelisoa tsa hau tsa marang-rang - e kanna ea se khone ho sebetsana le protocol ea phallo hape. Ebe u nahana ka ho sebelisa li-sensor kapa Netflow Generation Appliance.
7. Kenya tšebetsong taolo pele ho tsohle maemong a phihlello - sena se tla u fa monyetla oa ho bona 100% ea sephethephethe sohle.
8. Haeba u se na boikhethelo 'me u sebelisa lisebelisoa tsa marang-rang tsa Serussia, joale khetha e tšehetsang liprothokholo tsa phallo kapa e nang le likou tsa SPAN/RSPAN.
9. Kopanya lits'ebetso tsa ho lemoha / ho hlasela / ho thibela mathōkong le mekhoa ea ho hlahloba phallo ho marang-rang a ka hare (ho kenyeletsoa le marung).

Mabapi le keletso ea ho qetela, ke rata ho fana ka papiso eo ke seng ke fane ka eona pele. Ua bona hore haeba pele ts'ebeletso ea ts'ireletso ea tlhahisoleseling ea Cisco e batla e hahile sistimi ea ts'ireletso ea ts'ireletso ea tlhahisoleseling motheong oa lits'ebetso tsa ho lemoha ho kenella le mekhoa ea ho saena, joale ba ikarabella bakeng sa 20% feela ea liketsahalo. E 'ngoe ea 20% e oela ho litsamaiso tsa tlhahlobo ea phallo, tse fanang ka maikutlo a hore litharollo tsena ha se boikemelo, empa ke sesebelisoa sa nnete mesebetsing ea lits'ebeletso tsa ts'ireletso ea tlhahisoleseling ea khoebo ea sejoale-joale. Ho feta moo, o na le ntho ea bohlokoa ka ho fetisisa bakeng sa ts'ebetsong ea bona - lisebelisoa tsa marang-rang, lichelete tseo ho tsona li ka sirelelitsoeng ka ho eketsehileng ka ho fana ka mesebetsi ea ts'ireletso ea ts'ireletso ho marang-rang.

Ka ho khetheha ha kea ka ka ama sehlooho sa ho arabela ho li-anomalies kapa litšokelo tse khetholloang ho phallo ea marang-rang, empa ke nahana hore ho se ho ntse ho hlakile hore ho shebella ha hoa lokela ho fela feela ka ho lemoha tšoso. E lokela ho lateloa ke karabelo 'me ka ho khetheha e be ka mokhoa o itekanetseng kapa o ikemetseng. Empa sena ke sehlooho sa sengoloa se arohaneng.

Boitsebiso bo eketsehileng:

• Tlhaloso ea Cisco IOS Netflow
• Matrix ea tšehetso ea Netflow ka tharollo e fapaneng ea Cisco
• Tataiso ea ho Hlophisa Netflow ho Li-platform tse fapaneng tsa Cisco
• Sechaba sa sFlow
• Lab e sebelisang Stealtjwatch, SiLK le ELK ho sekaseka Netflow ho tsoa ponong ea ts'ireletso
• Websaeteng ea SiLK
• Tataiso ea maqephe a makholo a mararo ea ho sebelisa SiLK e nang le mehlala e mengata
• Logstash Netflow module
• Cisco Mohato-ka-Mohato Tataiso ea Netflow Analysis ho ELK
• Analysis of NetFlow v.9 Cisco ASA sebelisa Logstash (ELK)
• Cisco Stealthwatch Tharollo

PS. Haeba ho le bonolo ho uena ho utloa ntho e 'ngoe le e' ngoe e ngotsoeng ka holimo, joale u ka shebella nehelano ea hora e entseng motheo oa lengolo lena.

Source: www.habr.com