உள் நெட்வொர்க் பாதுகாப்பைக் கண்காணிப்பதற்கான ஒரு கருவியாக ஓட்ட நெறிமுறைகள்

உள் கார்ப்பரேட் அல்லது டிபார்ட்மென்ட் நெட்வொர்க்கின் பாதுகாப்பைக் கண்காணிக்கும் போது, ​​தகவல் கசிவைக் கட்டுப்படுத்துதல் மற்றும் DLP தீர்வுகளைச் செயல்படுத்துதல் ஆகியவற்றுடன் பலர் அதை தொடர்புபடுத்துகின்றனர். நீங்கள் கேள்வியை தெளிவுபடுத்தி, உள் நெட்வொர்க்கில் தாக்குதல்களை எவ்வாறு கண்டறிவீர்கள் என்று கேட்டால், பதில், ஒரு விதியாக, ஊடுருவல் கண்டறிதல் அமைப்புகளின் (ஐடிஎஸ்) குறிப்பதாக இருக்கும். மேலும் 10-20 ஆண்டுகளுக்கு முன்பு இருந்த ஒரே வழி இன்று அநாகரீகமாக மாறி வருகிறது. மிகவும் பயனுள்ள மற்றும் சில இடங்களில், உள் நெட்வொர்க்கைக் கண்காணிப்பதற்கான ஒரே சாத்தியமான விருப்பம் உள்ளது - ஓட்ட நெறிமுறைகளைப் பயன்படுத்துதல், இது முதலில் பிணைய சிக்கல்களைத் தேட வடிவமைக்கப்பட்டுள்ளது (பிழையறிதல்), ஆனால் காலப்போக்கில் மிகவும் சுவாரஸ்யமான பாதுகாப்பு கருவியாக மாற்றப்பட்டது. என்ன ஓட்ட நெறிமுறைகள் உள்ளன, நெட்வொர்க் தாக்குதல்களைக் கண்டறிவதில் எது சிறந்தது, ஓட்டம் கண்காணிப்பைச் செயல்படுத்துவது சிறந்தது, அத்தகைய திட்டத்தைப் பயன்படுத்தும்போது எதைப் பார்க்க வேண்டும், மற்றும் உள்நாட்டு உபகரணங்களில் இதையெல்லாம் எப்படி "தூக்குவது" என்பதைப் பற்றி பேசுவோம். இந்த கட்டுரையின் எல்லைக்குள்.

"உள் உள்கட்டமைப்பு பாதுகாப்பு கண்காணிப்பு ஏன் தேவை?" என்ற கேள்வியில் நான் தங்கமாட்டேன். பதில் தெளிவாகத் தெரிகிறது. ஆயினும்கூட, இன்று நீங்கள் அது இல்லாமல் வாழ முடியாது என்பதை மீண்டும் உறுதிப்படுத்த விரும்பினால், பாருங்கள் ஃபயர்வால் மூலம் பாதுகாக்கப்பட்ட கார்ப்பரேட் நெட்வொர்க்கை 17 வழிகளில் எப்படி ஊடுருவுவது என்பது பற்றிய ஒரு சிறிய வீடியோ. எனவே, உள் கண்காணிப்பு ஒரு அவசியமான விஷயம் என்பதை நாங்கள் புரிந்துகொள்கிறோம், மேலும் அதை எவ்வாறு ஒழுங்கமைக்க முடியும் என்பதைப் புரிந்துகொள்வது மட்டுமே எஞ்சியுள்ளது.

நெட்வொர்க் மட்டத்தில் உள்கட்டமைப்பைக் கண்காணிப்பதற்கான மூன்று முக்கிய தரவு ஆதாரங்களை நான் முன்னிலைப்படுத்துவேன்:

• சில பகுப்பாய்வு அமைப்புகளுக்குப் பகுப்பாய்விற்காக நாங்கள் பதிவுசெய்து சமர்ப்பிக்கும் "மூல" போக்குவரத்து,
• ட்ராஃபிக் கடந்து செல்லும் நெட்வொர்க் சாதனங்களிலிருந்து நிகழ்வுகள்,
• ஓட்ட நெறிமுறைகளில் ஒன்றின் மூலம் பெறப்பட்ட போக்குவரத்து தகவல்.

மூல போக்குவரத்தைப் பிடிப்பது பாதுகாப்பு நிபுணர்களிடையே மிகவும் பிரபலமான விருப்பமாகும், ஏனெனில் இது வரலாற்று ரீதியாக தோன்றியது மற்றும் முதன்மையானது. வழக்கமான நெட்வொர்க் ஊடுருவல் கண்டறிதல் அமைப்புகள் (சிஸ்கோவால் 1998 இல் வாங்கப்பட்ட வீல் குழுவிலிருந்து நெட்ரேஞ்சர் முதல் வணிகரீதியான ஊடுருவல் கண்டறிதல் அமைப்பு) துல்லியமாக பாக்கெட்டுகளை (பின்னர் அமர்வுகள்) கைப்பற்றுவதில் ஈடுபட்டது, அதில் சில கையொப்பங்கள் தேடப்பட்டன ("தீர்மானமான விதிகள்" FSTEC சொற்களஞ்சியம்), சமிக்ஞை தாக்குதல்கள். நிச்சயமாக, நீங்கள் IDS ஐப் பயன்படுத்தி மட்டுமின்றி, பிற கருவிகளையும் (உதாரணமாக, Cisco IOS இல் உள்ள Wireshark, tcpdum அல்லது NBAR2 செயல்பாடு) பயன்படுத்தி மூல போக்குவரத்தை பகுப்பாய்வு செய்யலாம், ஆனால் அவை வழக்கமாக ஒரு தகவல் பாதுகாப்புக் கருவியை வழக்கமானவற்றிலிருந்து வேறுபடுத்தும் அறிவுத் தளத்தைக் கொண்டிருக்கவில்லை. தகவல் தொழில்நுட்ப கருவி.

எனவே, தாக்குதல் கண்டறிதல் அமைப்புகள். நெட்வொர்க் தாக்குதல்களைக் கண்டறிவதற்கான பழமையான மற்றும் மிகவும் பிரபலமான முறை, இது சுற்றளவு (எதுவாக இருந்தாலும் - கார்ப்பரேட், தரவு மையம், பிரிவு போன்றவை) ஒரு நல்ல வேலையைச் செய்கிறது, ஆனால் நவீன மாறிய மற்றும் மென்பொருள் வரையறுக்கப்பட்ட நெட்வொர்க்குகளில் தோல்வியடைகிறது. வழக்கமான சுவிட்சுகளின் அடிப்படையில் கட்டப்பட்ட பிணையத்தின் விஷயத்தில், தாக்குதல் கண்டறிதல் சென்சார்களின் உள்கட்டமைப்பு மிகவும் பெரியதாகிறது - நீங்கள் தாக்குதல்களைக் கண்காணிக்க விரும்பும் முனைக்கு ஒவ்வொரு இணைப்பிலும் ஒரு சென்சார் நிறுவ வேண்டும். எந்தவொரு உற்பத்தியாளரும், நிச்சயமாக, உங்களுக்கு நூற்றுக்கணக்கான மற்றும் ஆயிரக்கணக்கான சென்சார்களை விற்க மகிழ்ச்சியாக இருப்பார்கள், ஆனால் உங்கள் பட்ஜெட் அத்தகைய செலவுகளை ஆதரிக்க முடியாது என்று நான் நினைக்கிறேன். சிஸ்கோவில் கூட (நாங்கள் என்ஜிபிஎஸ் டெவலப்பர்கள்) இதைச் செய்ய முடியாது என்று என்னால் சொல்ல முடியும், இருப்பினும் விலையின் பிரச்சினை நமக்கு முன்னால் உள்ளது என்று தோன்றுகிறது. நான் நிற்கக்கூடாது - இது எங்கள் சொந்த முடிவு. கூடுதலாக, கேள்வி எழுகிறது, இந்த பதிப்பில் சென்சார் எவ்வாறு இணைப்பது? இடைவெளிக்குள்? சென்சார் தோல்வியடைந்தால் என்ன செய்வது? சென்சாரில் பைபாஸ் மாட்யூல் வேண்டுமா? பிரிப்பான்களை (தட்டவும்) பயன்படுத்தவா? இவை அனைத்தும் தீர்வை மிகவும் விலையுயர்ந்ததாக ஆக்குகிறது மற்றும் எந்த அளவிலான நிறுவனத்திற்கும் அதை வாங்க முடியாததாக ஆக்குகிறது.

நீங்கள் ஒரு SPAN/RSPAN/ERSPAN போர்ட்டில் சென்சார் "தொங்க" முயற்சி செய்யலாம் மற்றும் தேவையான ஸ்விட்ச் போர்ட்களில் இருந்து டிராஃபிக்கை இயக்கலாம். இந்த விருப்பம் முந்தைய பத்தியில் விவரிக்கப்பட்டுள்ள சிக்கலை ஓரளவு நீக்குகிறது, ஆனால் இன்னொன்றை முன்வைக்கிறது - SPAN போர்ட் அதற்கு அனுப்பப்படும் அனைத்து போக்குவரத்தையும் முற்றிலும் ஏற்க முடியாது - இது போதுமான அலைவரிசையைக் கொண்டிருக்காது. நீங்கள் ஏதாவது தியாகம் செய்ய வேண்டும். அல்லது சில முனைகளை கண்காணிக்காமல் விட்டுவிடுங்கள் (பின்னர் நீங்கள் முதலில் அவற்றை முதன்மைப்படுத்த வேண்டும்), அல்லது முனையிலிருந்து அனைத்து போக்குவரத்தையும் அனுப்பாமல், ஒரு குறிப்பிட்ட வகையை மட்டும் அனுப்பவும். எப்படியிருந்தாலும், சில தாக்குதல்களை நாம் தவறவிடலாம். கூடுதலாக, SPAN போர்ட் மற்ற தேவைகளுக்கு பயன்படுத்தப்படலாம். இதன் விளைவாக, உங்களிடம் உள்ள சென்சார்களின் எண்ணிக்கையுடன் (மற்றும் இதை ஐடியுடன் ஒருங்கிணைக்கவும்) உங்கள் நெட்வொர்க்கை அதிகபட்சமாக மறைப்பதற்கு, ஏற்கனவே உள்ள நெட்வொர்க் டோபோலாஜியை நாங்கள் மதிப்பாய்வு செய்ய வேண்டியிருக்கும்.

உங்கள் நெட்வொர்க் சமச்சீரற்ற வழிகளைப் பயன்படுத்தினால் என்ன செய்வது? நீங்கள் SDN ஐ செயல்படுத்தியிருந்தால் அல்லது செயல்படுத்த திட்டமிட்டிருந்தால் என்ன செய்வது? நீங்கள் மெய்நிகராக்கப்பட்ட இயந்திரங்கள் அல்லது கன்டெய்னர்களை கண்காணிக்க வேண்டும் என்றால், ட்ராஃபிக் இயற்பியல் மாற்றத்தை அடையவில்லையா? இவை பாரம்பரிய ஐடிஎஸ் விற்பனையாளர்கள் விரும்பாத கேள்விகள், ஏனெனில் அவர்களுக்கு எப்படி பதிலளிக்க வேண்டும் என்று தெரியவில்லை. இந்த நாகரீக தொழில்நுட்பங்கள் அனைத்தும் மிகைப்படுத்தப்பட்டவை என்றும் உங்களுக்கு அது தேவையில்லை என்றும் அவர்கள் உங்களை நம்ப வைப்பார்கள். ஒருவேளை அவர்கள் சிறியதாக தொடங்க வேண்டியதன் அவசியத்தைப் பற்றி பேசுவார்கள். அல்லது நெட்வொர்க்கின் மையத்தில் நீங்கள் ஒரு சக்திவாய்ந்த த்ரெஷரை வைக்க வேண்டும் மற்றும் பேலன்சர்களைப் பயன்படுத்தி எல்லா போக்குவரத்தையும் செலுத்த வேண்டும் என்று அவர்கள் கூறலாம். உங்களுக்கு எந்த விருப்பம் வழங்கப்பட்டாலும், அது உங்களுக்கு எவ்வாறு பொருந்துகிறது என்பதை நீங்கள் தெளிவாக புரிந்து கொள்ள வேண்டும். நெட்வொர்க் உள்கட்டமைப்பின் தகவல் பாதுகாப்பைக் கண்காணிப்பதற்கான அணுகுமுறையைத் தேர்ந்தெடுப்பதற்குப் பிறகுதான் முடிவு செய்யுங்கள். பாக்கெட் பிடிப்புக்குத் திரும்புகையில், இந்த முறை மிகவும் பிரபலமாகவும் முக்கியமானதாகவும் தொடர்கிறது என்று நான் கூற விரும்புகிறேன், ஆனால் அதன் முக்கிய நோக்கம் எல்லைக் கட்டுப்பாடு; உங்கள் நிறுவனத்திற்கும் இணையத்திற்கும் இடையிலான எல்லைகள், தரவு மையத்திற்கும் மற்ற பிணையத்திற்கும் இடையிலான எல்லைகள், செயல்முறைக் கட்டுப்பாட்டு அமைப்பு மற்றும் கார்ப்பரேட் பிரிவுக்கு இடையிலான எல்லைகள். இந்த இடங்களில், கிளாசிக் ஐடிஎஸ்/ஐபிஎஸ் இன்னும் தங்கள் பணிகளைச் சமாளிக்கும் உரிமையைக் கொண்டுள்ளது.

இரண்டாவது விருப்பத்திற்கு செல்லலாம். நெட்வொர்க் சாதனங்களிலிருந்து வரும் நிகழ்வுகளின் பகுப்பாய்வு தாக்குதல் கண்டறிதல் நோக்கங்களுக்காகவும் பயன்படுத்தப்படலாம், ஆனால் முக்கிய பொறிமுறையாக அல்ல, ஏனெனில் இது ஒரு சிறிய வகை ஊடுருவல்களை மட்டுமே கண்டறிய அனுமதிக்கிறது. கூடுதலாக, இது சில வினைத்திறனில் உள்ளார்ந்ததாகும் - தாக்குதல் முதலில் நிகழ வேண்டும், பின்னர் அது ஒரு பிணைய சாதனத்தால் பதிவு செய்யப்பட வேண்டும், இது ஒரு வழியில் அல்லது மற்றொரு தகவல் பாதுகாப்பில் சிக்கலைக் குறிக்கும். இதுபோன்ற பல வழிகள் உள்ளன. இது syslog, RMON அல்லது SNMP ஆக இருக்கலாம். தகவல் பாதுகாப்பின் பின்னணியில் பிணைய கண்காணிப்புக்கான கடைசி இரண்டு நெறிமுறைகள் பிணைய சாதனங்களில் DoS தாக்குதலைக் கண்டறிய வேண்டும் என்றால் மட்டுமே பயன்படுத்தப்படும், ஏனெனில் RMON மற்றும் SNMP ஐப் பயன்படுத்தி சாதனத்தின் மையத்தில் உள்ள சுமையைக் கண்காணிக்க முடியும். செயலி அல்லது அதன் இடைமுகங்கள். இது "மலிவானது" (அனைவருக்கும் syslog அல்லது SNMP உள்ளது), ஆனால் உள் உள்கட்டமைப்பின் தகவல் பாதுகாப்பைக் கண்காணிக்கும் அனைத்து முறைகளிலும் மிகவும் பயனற்றது - பல தாக்குதல்கள் அதிலிருந்து மறைக்கப்படுகின்றன. நிச்சயமாக, அவை புறக்கணிக்கப்படக்கூடாது, அதே சிஸ்லாக் பகுப்பாய்வு சாதனத்தின் உள்ளமைவில் ஏற்படும் மாற்றங்களை சரியான நேரத்தில் அடையாளம் காண உதவுகிறது, அதன் சமரசம், ஆனால் முழு நெட்வொர்க்கிலும் தாக்குதல்களைக் கண்டறிவதற்கு இது மிகவும் பொருத்தமானது அல்ல.

மூன்றாவது விருப்பம், பல ஃப்ளோ புரோட்டோகால்களில் ஒன்றை ஆதரிக்கும் ஒரு சாதனத்தின் வழியாக டிராஃபிக்கைப் பற்றிய தகவலை பகுப்பாய்வு செய்வதாகும். இந்த வழக்கில், நெறிமுறையைப் பொருட்படுத்தாமல், த்ரெடிங் உள்கட்டமைப்பு அவசியம் மூன்று கூறுகளைக் கொண்டுள்ளது:

• ஓட்டத்தின் உருவாக்கம் அல்லது ஏற்றுமதி. இந்த பாத்திரம் வழக்கமாக ஒரு திசைவி, சுவிட்ச் அல்லது பிற பிணைய சாதனத்திற்கு ஒதுக்கப்படுகிறது, இது பிணைய போக்குவரத்தை கடந்து, அதிலிருந்து முக்கிய அளவுருக்களை பிரித்தெடுக்க உங்களை அனுமதிக்கிறது, பின்னர் அவை சேகரிப்பு தொகுதிக்கு அனுப்பப்படும். எடுத்துக்காட்டாக, சிஸ்கோ நெட்ஃப்ளோ நெறிமுறையை மெய்நிகர் மற்றும் தொழில்துறை உட்பட திசைவிகள் மற்றும் சுவிட்சுகளில் மட்டுமல்ல, வயர்லெஸ் கன்ட்ரோலர்கள், ஃபயர்வால்கள் மற்றும் சேவையகங்களிலும் ஆதரிக்கிறது.
• சேகரிப்பு ஓட்டம். ஒரு நவீன நெட்வொர்க் பொதுவாக ஒன்றுக்கு மேற்பட்ட நெட்வொர்க் சாதனங்களைக் கொண்டிருப்பதைக் கருத்தில் கொண்டு, ஓட்டங்களைச் சேகரித்தல் மற்றும் ஒருங்கிணைப்பதில் சிக்கல் எழுகிறது, இது சேகரிப்பாளர்கள் என்று அழைக்கப்படுவதைப் பயன்படுத்தி தீர்க்கப்படுகிறது, இது பெறப்பட்ட ஓட்டங்களைச் செயலாக்குகிறது மற்றும் அவற்றை பகுப்பாய்வுக்கு அனுப்புகிறது.
• ஓட்டம் பகுப்பாய்வு பகுப்பாய்வி முக்கிய அறிவார்ந்த பணியை எடுத்துக்கொள்கிறது மற்றும் ஸ்ட்ரீம்களுக்கு பல்வேறு வழிமுறைகளைப் பயன்படுத்துகிறது, சில முடிவுகளை எடுக்கிறது. எடுத்துக்காட்டாக, IT செயல்பாட்டின் ஒரு பகுதியாக, அத்தகைய பகுப்பாய்வி பிணைய இடையூறுகளை அடையாளம் காண முடியும் அல்லது மேலும் நெட்வொர்க் மேம்படுத்தலுக்கான ட்ராஃபிக் சுமை சுயவிவரத்தை பகுப்பாய்வு செய்யலாம். மேலும் தகவல் பாதுகாப்பிற்காக, அத்தகைய பகுப்பாய்வி தரவு கசிவுகள், தீங்கிழைக்கும் குறியீட்டின் பரவல் அல்லது DoS தாக்குதல்களைக் கண்டறிய முடியும்.

இந்த மூன்று அடுக்கு கட்டமைப்பு மிகவும் சிக்கலானது என்று நினைக்க வேண்டாம் - மற்ற அனைத்து விருப்பங்களும் (ஒருவேளை, SNMP மற்றும் RMON உடன் பணிபுரியும் நெட்வொர்க் கண்காணிப்பு அமைப்புகளைத் தவிர) அதன் படி செயல்படுகின்றன. பகுப்பாய்விற்காக எங்களிடம் ஒரு தரவு ஜெனரேட்டர் உள்ளது, இது ஒரு பிணைய சாதனமாகவோ அல்லது தனித்த உணரியாகவோ இருக்கலாம். எங்களிடம் எச்சரிக்கை சேகரிப்பு அமைப்பு மற்றும் முழு கண்காணிப்பு உள்கட்டமைப்புக்கான மேலாண்மை அமைப்பு உள்ளது. கடைசி இரண்டு கூறுகளை ஒரு முனைக்குள் இணைக்க முடியும், ஆனால் அதிகமாகவோ அல்லது குறைவாகவோ பெரிய நெட்வொர்க்குகளில் அளவிடுதல் மற்றும் நம்பகத்தன்மையை உறுதி செய்வதற்காக அவை வழக்கமாக குறைந்தது இரண்டு சாதனங்களில் பரவுகின்றன.

பாக்கெட் பகுப்பாய்வு போலல்லாமல், ஒவ்வொரு பாக்கெட்டின் தலைப்பு மற்றும் உடல் தரவு மற்றும் அது கொண்டிருக்கும் அமர்வுகள் ஆகியவற்றைப் படிப்பதை அடிப்படையாகக் கொண்டது, பாய்வு பகுப்பாய்வு நெட்வொர்க் ட்ராஃபிக்கைப் பற்றிய மெட்டாடேட்டாவைச் சேகரிப்பதில் தங்கியுள்ளது. எப்போது, ​​எவ்வளவு, எங்கிருந்து, எங்கிருந்து, எப்படி... பல்வேறு ஃப்ளோ புரோட்டோகால்களைப் பயன்படுத்தி நெட்வொர்க் டெலிமெட்ரியின் பகுப்பாய்வு மூலம் பதிலளிக்கப்படும் கேள்விகள் இவை. ஆரம்பத்தில், அவை புள்ளிவிவரங்களை பகுப்பாய்வு செய்வதற்கும் நெட்வொர்க்கில் ஐடி சிக்கல்களைக் கண்டறிவதற்கும் பயன்படுத்தப்பட்டன, ஆனால் பின்னர், பகுப்பாய்வு வழிமுறைகள் உருவாக்கப்பட்டதால், பாதுகாப்பு நோக்கங்களுக்காக அதே டெலிமெட்ரிக்கு அவற்றைப் பயன்படுத்துவது சாத்தியமானது. ஓட்ட பகுப்பாய்வு பாக்கெட் கேப்சரை மாற்றாது அல்லது மாற்றாது என்பதை மீண்டும் குறிப்பிடுவது மதிப்பு. இந்த முறைகள் ஒவ்வொன்றும் அதன் சொந்த பயன்பாட்டின் பகுதியைக் கொண்டுள்ளன. ஆனால் இந்த கட்டுரையின் சூழலில், உள் உள்கட்டமைப்பைக் கண்காணிப்பதற்கு மிகவும் பொருத்தமானது ஓட்டம் பகுப்பாய்வு ஆகும். உங்களிடம் நெட்வொர்க் சாதனங்கள் உள்ளன (அவை மென்பொருள்-வரையறுக்கப்பட்ட முன்னுதாரணத்தில் இயங்கினாலும் அல்லது நிலையான விதிகளின்படி) தாக்குதலைத் தவிர்க்க முடியாது. இது கிளாசிக் ஐடிஎஸ் சென்சாரைத் தவிர்க்கலாம், ஆனால் ஃப்ளோ புரோட்டோகால் ஆதரிக்கும் பிணைய சாதனத்தால் முடியாது. இந்த முறையின் நன்மை இதுதான்.

மறுபுறம், சட்ட அமலாக்க அல்லது உங்கள் சொந்த சம்பவ விசாரணைக் குழுவிற்கு ஆதாரம் தேவைப்பட்டால், நீங்கள் பாக்கெட் கேப்சர் இல்லாமல் செய்ய முடியாது - நெட்வொர்க் டெலிமெட்ரி என்பது ஆதாரங்களை சேகரிக்கப் பயன்படும் போக்குவரத்தின் நகல் அல்ல; தகவல் பாதுகாப்பு துறையில் விரைவான கண்டறிதல் மற்றும் முடிவெடுப்பதற்கு இது தேவைப்படுகிறது. மறுபுறம், டெலிமெட்ரி பகுப்பாய்வைப் பயன்படுத்தி, நீங்கள் அனைத்து நெட்வொர்க் போக்குவரத்தையும் "எழுத" முடியாது (ஏதேனும் இருந்தால், சிஸ்கோ தரவு மையங்களைக் கையாள்கிறது :-), ஆனால் தாக்குதலில் ஈடுபட்டதை மட்டுமே. இது சம்பந்தமாக டெலிமெட்ரி பகுப்பாய்வு கருவிகள் பாரம்பரிய பாக்கெட் கேப்சர் பொறிமுறைகளை நன்கு பூர்த்தி செய்யும், தேர்ந்தெடுக்கப்பட்ட பிடிப்பு மற்றும் சேமிப்பிற்கான கட்டளைகளை வழங்கும். இல்லையெனில், நீங்கள் ஒரு பெரிய சேமிப்பக உள்கட்டமைப்பைக் கொண்டிருக்க வேண்டும்.

250 Mbit/sec வேகத்தில் இயங்கும் ஒரு பிணையத்தை கற்பனை செய்வோம். இந்த அளவு அனைத்தையும் நீங்கள் சேமிக்க விரும்பினால், ஒரு நொடி டிராஃபிக் டிரான்ஸ்மிஷனுக்கு 31 MB சேமிப்பகம், ஒரு நிமிடத்திற்கு 1,8 GB, ஒரு மணி நேரத்திற்கு 108 GB மற்றும் ஒரு நாளைக்கு 2,6 TB சேமிப்பகம் தேவைப்படும். 10 ஜிபிட்/வி அலைவரிசை கொண்ட நெட்வொர்க்கிலிருந்து தினசரி தரவைச் சேமிக்க, உங்களுக்கு 108 டிபி சேமிப்பகம் தேவைப்படும். ஆனால் சில கட்டுப்பாட்டாளர்கள் பல ஆண்டுகளாக பாதுகாப்புத் தரவைச் சேமித்து வைத்திருக்க வேண்டும்... தேவைக்கேற்ப பதிவுசெய்தல், ஓட்ட பகுப்பாய்வு செயல்படுத்த உதவுகிறது, இந்த மதிப்புகளைக் குறைக்க உதவுகிறது. மூலம், பதிவுசெய்யப்பட்ட நெட்வொர்க் டெலிமெட்ரி தரவு மற்றும் முழுமையான தரவுப் பிடிப்பு ஆகியவற்றின் அளவின் விகிதத்தைப் பற்றி நாம் பேசினால், அது தோராயமாக 1 முதல் 500 வரை இருக்கும். மேலே கொடுக்கப்பட்ட அதே மதிப்புகளுக்கு, தினசரி டிராஃபிக்கின் முழு டிரான்ஸ்கிரிப்டைச் சேமிக்கும் முறையே 5 மற்றும் 216 ஜிபி இருக்கும் (நீங்கள் அதை வழக்கமான ஃபிளாஷ் டிரைவில் கூட பதிவு செய்யலாம் ).

மூல நெட்வொர்க் தரவை பகுப்பாய்வு செய்வதற்கான கருவிகளுக்கு, அதை கைப்பற்றும் முறை விற்பனையாளரிடமிருந்து விற்பனையாளருக்கு கிட்டத்தட்ட ஒரே மாதிரியாக இருந்தால், ஓட்ட பகுப்பாய்வு விஷயத்தில் நிலைமை வேறுபட்டது. ஓட்ட நெறிமுறைகளுக்கு பல விருப்பங்கள் உள்ளன, பாதுகாப்பு சூழலில் நீங்கள் தெரிந்து கொள்ள வேண்டிய வேறுபாடுகள். சிஸ்கோ உருவாக்கிய நெட்ஃப்ளோ புரோட்டோகால் மிகவும் பிரபலமானது. இந்த நெறிமுறையின் பல பதிப்புகள் உள்ளன, அவற்றின் திறன்கள் மற்றும் பதிவுசெய்யப்பட்ட போக்குவரத்து தகவலின் அளவு வேறுபடுகின்றன. தற்போதைய பதிப்பு ஒன்பதாவது (நெட்ஃப்ளோ v9), அதன் அடிப்படையில் தொழில்துறை தரமான நெட்ஃப்ளோ v10 உருவாக்கப்பட்டது, இது IPFIX என்றும் அழைக்கப்படுகிறது. இன்று, பெரும்பாலான நெட்வொர்க் விற்பனையாளர்கள் தங்கள் சாதனங்களில் Netflow அல்லது IPFIX ஐ ஆதரிக்கின்றனர். ஆனால் ஃப்ளோ புரோட்டோகால்களுக்கு வேறு பல விருப்பங்கள் உள்ளன - sFlow, jFlow, cFlow, rFlow, NetStream போன்றவை. இதில் sFlow மிகவும் பிரபலமானது. இந்த வகைதான் நெட்வொர்க் உபகரணங்களின் உள்நாட்டு உற்பத்தியாளர்களால் பெரும்பாலும் ஆதரிக்கப்படுகிறது, ஏனெனில் இது செயல்படுத்த எளிதானது. நடைமுறை தரநிலையாக மாறியுள்ள Netflow மற்றும் sFlow ஆகியவற்றுக்கு இடையே உள்ள முக்கிய வேறுபாடுகள் என்ன? நான் பல முக்கிய விஷயங்களை முன்னிலைப்படுத்துவேன். முதலில், Netflow ஆனது sFlow இல் உள்ள நிலையான புலங்களுக்கு மாறாக பயனர் தனிப்பயனாக்கக்கூடிய புலங்களைக் கொண்டுள்ளது. இரண்டாவதாக, இது எங்கள் விஷயத்தில் மிக முக்கியமான விஷயம், sFlow மாதிரி டெலிமெட்ரி என்று அழைக்கப்படுவதை சேகரிக்கிறது; Netflow மற்றும் IPFIX க்கான மாதிரியற்ற ஒன்றைப் போலல்லாமல். அவற்றுக்கிடையே என்ன வித்தியாசம்?

நீங்கள் புத்தகத்தைப் படிக்க முடிவு செய்தீர்கள் என்று கற்பனை செய்து பாருங்கள் "பாதுகாப்பு செயல்பாட்டு மையம்: உங்கள் SOCயை உருவாக்குதல், இயக்குதல் மற்றும் பராமரித்தல்”என் சகாக்கள் - கேரி மெக்கின்டைர், ஜோசப் முனிட்ஸ் மற்றும் நாடெம் அல்பார்டன் (நீங்கள் புத்தகத்தின் ஒரு பகுதியை இணைப்பிலிருந்து பதிவிறக்கம் செய்யலாம்). உங்கள் இலக்கை அடைய உங்களுக்கு மூன்று விருப்பங்கள் உள்ளன - முழுப் புத்தகத்தையும் படிக்கவும், அதைச் சுருக்கவும், ஒவ்வொரு 10 அல்லது 20 வது பக்கத்திலும் நிறுத்தவும் அல்லது ஸ்மார்ட் ரீடிங் போன்ற வலைப்பதிவு அல்லது சேவையில் முக்கிய கருத்துகளை மறுபரிசீலனை செய்ய முயற்சிக்கவும். எனவே, மாதிரியற்ற டெலிமெட்ரி என்பது பிணைய போக்குவரத்தின் ஒவ்வொரு “பக்கத்தையும்” படிக்கிறது, அதாவது ஒவ்வொரு பாக்கெட்டிற்கும் மெட்டாடேட்டாவை பகுப்பாய்வு செய்கிறது. மாதிரி டெலிமெட்ரி என்பது தேர்ந்தெடுக்கப்பட்ட மாதிரிகள் உங்களுக்குத் தேவையானதைக் கொண்டிருக்கும் என்ற நம்பிக்கையில் போக்குவரத்தின் தேர்ந்தெடுக்கப்பட்ட ஆய்வு ஆகும். சேனல் வேகத்தைப் பொறுத்து, மாதிரி டெலிமெட்ரி ஒவ்வொரு 64வது, 200வது, 500வது, 1000வது, 2000வது அல்லது 10000வது பாக்கெட்டின் பகுப்பாய்வுக்கு அனுப்பப்படும்.

தகவல் பாதுகாப்பு கண்காணிப்பின் பின்னணியில், DDoS தாக்குதல்களைக் கண்டறிவதற்கும், ஸ்கேன் செய்வதற்கும், தீங்கிழைக்கும் குறியீட்டைப் பரப்புவதற்கும் மாதிரி டெலிமெட்ரி மிகவும் பொருத்தமானது. மாதிரியற்ற டெலிமெட்ரியில் அத்தகைய குறைபாடுகள் இல்லை. இதன் மூலம், கண்டறியப்பட்ட தாக்குதல்களின் வரம்பு மிகவும் விரிவானது. நெட்வொர்க் டெலிமெட்ரி பகுப்பாய்வு கருவிகளைப் பயன்படுத்தி கண்டறியக்கூடிய நிகழ்வுகளின் குறுகிய பட்டியல் இங்கே.

நிச்சயமாக, சில ஓப்பன் சோர்ஸ் நெட்ஃப்ளோ பகுப்பாய்விகள் இதைச் செய்ய உங்களை அனுமதிக்காது, ஏனெனில் அதன் முக்கிய பணி டெலிமெட்ரியை சேகரித்து, ஐடி பார்வையில் அதன் அடிப்படை பகுப்பாய்வை நடத்துவதாகும். ஓட்டத்தின் அடிப்படையில் தகவல் பாதுகாப்பு அச்சுறுத்தல்களை அடையாளம் காண, பல்வேறு இயந்திரங்கள் மற்றும் வழிமுறைகளுடன் பகுப்பாய்வியை சித்தப்படுத்துவது அவசியம், இது நிலையான அல்லது தனிப்பயன் நெட்ஃப்ளோ புலங்களின் அடிப்படையில் இணைய பாதுகாப்பு சிக்கல்களை அடையாளம் காணும், பல்வேறு அச்சுறுத்தல் நுண்ணறிவு மூலங்களிலிருந்து வெளிப்புற தரவுகளுடன் நிலையான தரவை வளப்படுத்துகிறது.

எனவே, உங்களுக்கு விருப்பம் இருந்தால், Netflow அல்லது IPFIX ஐ தேர்வு செய்யவும். உங்கள் உபகரணங்கள் உள்நாட்டு உற்பத்தியாளர்களைப் போலவே sFlow உடன் மட்டுமே வேலை செய்தாலும், இந்த விஷயத்தில் கூட நீங்கள் பாதுகாப்பு சூழலில் இருந்து பயனடையலாம்.

2019 கோடையில், ரஷ்ய நெட்வொர்க் வன்பொருள் உற்பத்தியாளர்களின் திறன்களை நான் பகுப்பாய்வு செய்தேன், மேலும் அவை அனைத்தும், NSG, Polygon மற்றும் Craftway தவிர, sFlow க்கான ஆதரவை அறிவித்தன (குறைந்தது Zelax, Natex, Eltex, QTech, Rusteleteh).

நீங்கள் எதிர்கொள்ளும் அடுத்த கேள்வி, பாதுகாப்பு நோக்கங்களுக்காக ஓட்ட ஆதரவை எங்கு செயல்படுத்துவது? உண்மையில், கேள்வி முற்றிலும் சரியாக முன்வைக்கப்படவில்லை. நவீன உபகரணங்கள் எப்போதும் ஓட்ட நெறிமுறைகளை ஆதரிக்கின்றன. எனவே, நான் கேள்வியை வேறுவிதமாக மறுசீரமைப்பேன் - பாதுகாப்புக் கண்ணோட்டத்தில் டெலிமெட்ரியை சேகரிப்பது எங்கே மிகவும் பயனுள்ளதாக இருக்கும்? பதில் மிகவும் தெளிவாக இருக்கும் - அணுகல் மட்டத்தில், நீங்கள் 100% போக்குவரத்தைப் பார்ப்பீர்கள், அங்கு நீங்கள் ஹோஸ்ட்கள் (MAC, VLAN, இடைமுகம் ஐடி) பற்றிய விரிவான தகவல்களைப் பெறுவீர்கள், அங்கு நீங்கள் ஹோஸ்ட்களுக்கு இடையில் P2P போக்குவரத்தை கண்காணிக்கலாம். தீங்கிழைக்கும் குறியீட்டை ஸ்கேனிங் கண்டறிதல் மற்றும் விநியோகம் செய்வதற்கு முக்கியமானதாகும். முக்கிய மட்டத்தில், நீங்கள் சில ட்ராஃபிக்கைப் பார்க்காமல் இருக்கலாம், ஆனால் சுற்றளவு மட்டத்தில், உங்கள் நெட்வொர்க் ட்ராஃபிக்கில் கால் பகுதியைக் காண்பீர்கள். ஆனால் சில காரணங்களால் உங்கள் நெட்வொர்க்கில் வெளிநாட்டு சாதனங்கள் இருந்தால், அது தாக்குபவர்களை சுற்றளவைக் கடந்து செல்லாமல் "உள்ளே நுழைய மற்றும் வெளியேற" அனுமதிக்கிறது, அதிலிருந்து டெலிமெட்ரியை பகுப்பாய்வு செய்வது உங்களுக்கு எதையும் தராது. எனவே, அதிகபட்ச பாதுகாப்புக்காக, அணுகல் மட்டத்தில் டெலிமெட்ரி சேகரிப்பை இயக்க பரிந்துரைக்கப்படுகிறது. அதே நேரத்தில், நாங்கள் மெய்நிகராக்கம் அல்லது கொள்கலன்களைப் பற்றி பேசினாலும், ஓட்டம் ஆதரவு பெரும்பாலும் நவீன மெய்நிகர் சுவிட்சுகளில் காணப்படுகிறது, இது அங்கு போக்குவரத்தை கட்டுப்படுத்த உங்களை அனுமதிக்கிறது.

ஆனால் நான் தலைப்பை எழுப்பியதிலிருந்து, நான் கேள்விக்கு பதிலளிக்க வேண்டும்: சாதனம், உடல் அல்லது மெய்நிகர், ஓட்ட நெறிமுறைகளை ஆதரிக்கவில்லை என்றால் என்ன செய்வது? அல்லது அதைச் சேர்ப்பது தடைசெய்யப்பட்டதா (உதாரணமாக, நம்பகத்தன்மையை உறுதிப்படுத்த தொழில்துறை பிரிவுகளில்)? அல்லது அதை இயக்குவது அதிக CPU சுமைக்கு வழிவகுக்கும் (இது பழைய வன்பொருளில் நடக்கும்)? இந்தச் சிக்கலைத் தீர்க்க, சிறப்பு மெய்நிகர் சென்சார்கள் (ஓட்டம் உணரிகள்) உள்ளன, அவை அடிப்படையில் சாதாரண ஸ்ப்ளிட்டர்கள் ஆகும், அவை போக்குவரத்தை தாங்களாகவே கடந்து சேகரிப்பு தொகுதிக்கு ஓட்ட வடிவத்தில் ஒளிபரப்புகின்றன. உண்மை, இந்த விஷயத்தில் நாம் பாக்கெட் கேப்சர் கருவிகள் தொடர்பாக மேலே பேசிய அனைத்து சிக்கல்களையும் பெறுகிறோம். அதாவது, ஓட்டம் பகுப்பாய்வு தொழில்நுட்பத்தின் நன்மைகள் மட்டுமல்ல, அதன் வரம்புகளையும் நீங்கள் புரிந்து கொள்ள வேண்டும்.

ஓட்ட பகுப்பாய்வு கருவிகளைப் பற்றி பேசும்போது நினைவில் கொள்ள வேண்டிய மற்றொரு புள்ளி. பாதுகாப்பு நிகழ்வுகளை உருவாக்கும் வழக்கமான வழிமுறைகள் தொடர்பாக நாம் EPS மெட்ரிக்கை (வினாடிக்கு நிகழ்வு) பயன்படுத்தினால், இந்த காட்டி டெலிமெட்ரி பகுப்பாய்விற்கு பொருந்தாது; இது FPS ஆல் மாற்றப்படுகிறது (வினாடிக்கு ஓட்டம்). EPS ஐப் போலவே, அதை முன்கூட்டியே கணக்கிட முடியாது, ஆனால் ஒரு குறிப்பிட்ட சாதனம் அதன் பணியைப் பொறுத்து உருவாக்கும் தோராயமான எண்ணிக்கையை நீங்கள் மதிப்பிடலாம். பல்வேறு வகையான நிறுவன சாதனங்கள் மற்றும் நிபந்தனைகளுக்கான தோராயமான மதிப்புகளுடன் இணையத்தில் அட்டவணைகளை நீங்கள் காணலாம், இது பகுப்பாய்வுக் கருவிகளுக்கு உங்களுக்கு என்ன உரிமங்கள் தேவை மற்றும் அவற்றின் கட்டமைப்பு என்ன என்பதை மதிப்பிட அனுமதிக்கும்? உண்மை என்னவென்றால், IDS சென்சார் ஒரு குறிப்பிட்ட அலைவரிசையால் வரையறுக்கப்பட்டுள்ளது, அது "இழுக்க" முடியும், மேலும் ஓட்டம் சேகரிப்பாளருக்கு அதன் சொந்த வரம்புகள் உள்ளன, அவை புரிந்து கொள்ளப்பட வேண்டும். எனவே, பெரிய, புவியியல் ரீதியாக விநியோகிக்கப்பட்ட நெட்வொர்க்குகளில் பொதுவாக பல சேகரிப்பாளர்கள் உள்ளனர். நான் விவரித்தபோது சிஸ்கோவிற்குள் நெட்வொர்க் எவ்வாறு கண்காணிக்கப்படுகிறது, எங்கள் சேகரிப்பாளர்களின் எண்ணிக்கையை நான் ஏற்கனவே கொடுத்துள்ளேன் - அவர்களில் 21 பேர் உள்ளனர். மேலும் இது ஐந்து கண்டங்களில் சிதறிக்கிடக்கும் மற்றும் அரை மில்லியன் செயலில் உள்ள சாதனங்களைக் கொண்ட நெட்வொர்க்கிற்கானது).

Netflow கண்காணிப்பு அமைப்பாக எங்கள் சொந்த தீர்வைப் பயன்படுத்துகிறோம் சிஸ்கோ ஸ்டெல்த்வாட்ச், இது பாதுகாப்புச் சிக்கல்களைத் தீர்ப்பதில் குறிப்பாக கவனம் செலுத்துகிறது. இது முரண்பாடான, சந்தேகத்திற்கிடமான மற்றும் தெளிவாக தீங்கிழைக்கும் செயல்பாட்டைக் கண்டறிவதற்கான பல உள்ளமைக்கப்பட்ட இயந்திரங்களைக் கொண்டுள்ளது, இது பல்வேறு அச்சுறுத்தல்களைக் கண்டறிய உங்களை அனுமதிக்கிறது - கிரிப்டோமைனிங் முதல் தகவல் கசிவுகள், தீங்கிழைக்கும் குறியீட்டின் பரவல் முதல் மோசடி வரை. பெரும்பாலான ஃப்ளோ பகுப்பாய்விகளைப் போலவே, ஸ்டீல்த்வாட்ச் மூன்று-நிலை திட்டத்தின் (ஜெனரேட்டர் - சேகரிப்பான் - பகுப்பாய்வி) படி கட்டப்பட்டுள்ளது, ஆனால் இது பரிசீலனையில் உள்ள பொருளின் சூழலில் முக்கியமான பல சுவாரஸ்யமான அம்சங்களுடன் கூடுதலாக உள்ளது. முதலில், இது பாக்கெட் கேப்சர் தீர்வுகளுடன் (சிஸ்கோ செக்யூரிட்டி பாக்கெட் அனலைசர் போன்றவை) ஒருங்கிணைக்கிறது, இது தேர்ந்தெடுக்கப்பட்ட நெட்வொர்க் அமர்வுகளை பின்னர் ஆழமான விசாரணை மற்றும் பகுப்பாய்வுக்காக பதிவு செய்ய அனுமதிக்கிறது. இரண்டாவதாக, குறிப்பாக பாதுகாப்புப் பணிகளை விரிவுபடுத்த, நாங்கள் ஒரு சிறப்பு nvzFlow நெறிமுறையை உருவாக்கியுள்ளோம், இது இறுதி முனைகளில் (சர்வர்கள், பணிநிலையங்கள், முதலியன) பயன்பாடுகளின் செயல்பாட்டை டெலிமெட்ரியில் "ஒளிபரப்ப" மற்றும் மேலும் பகுப்பாய்வுக்காக சேகரிப்பாளருக்கு அனுப்ப அனுமதிக்கிறது. அதன் அசல் பதிப்பில் Stealthwatch பிணைய மட்டத்தில் ஏதேனும் ஃப்ளோ புரோட்டோகால் (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) வேலை செய்தால், nvzFlow ஆதரவு முனை மட்டத்திலும் தரவுத் தொடர்பை அனுமதிக்கிறது. முழு அமைப்பின் செயல்திறனை அதிகரிக்கிறது மற்றும் வழக்கமான நெட்வொர்க் ஃப்ளோ பகுப்பாய்விகளை விட அதிகமான தாக்குதல்களைக் காண்கிறது.

பாதுகாப்புக் கண்ணோட்டத்தில் நெட்ஃப்ளோ பகுப்பாய்வு அமைப்புகளைப் பற்றி பேசும்போது, ​​சந்தை சிஸ்கோவின் ஒரு தீர்வுக்கு மட்டுப்படுத்தப்படவில்லை என்பது தெளிவாகிறது. நீங்கள் வணிக மற்றும் இலவச அல்லது ஷேர்வேர் தீர்வுகள் இரண்டையும் பயன்படுத்தலாம். சிஸ்கோ வலைப்பதிவில் போட்டியாளர்களின் தீர்வுகளை உதாரணங்களாக நான் மேற்கோள் காட்டுவது மிகவும் விசித்திரமானது, எனவே நெட்வொர்க் டெலிமெட்ரியை இரண்டு பிரபலமான, ஒரே மாதிரியான, ஆனால் இன்னும் வெவ்வேறு கருவிகளைப் பயன்படுத்தி பகுப்பாய்வு செய்வது எப்படி என்பது பற்றி சில வார்த்தைகளைச் சொல்கிறேன் - Silk மற்றும் ELK.

சில்க் என்பது டிராஃபிக் பகுப்பாய்விற்கான கருவிகளின் தொகுப்பாகும் (இணைய நிலை அறிவுக்கான அமைப்பு), இது அமெரிக்கன் CERT/CC ஆல் உருவாக்கப்பட்டது மற்றும் இது இன்றைய கட்டுரையின் சூழலில், Netflow (5வது மற்றும் 9வது, மிகவும் பிரபலமான பதிப்புகள்), IPFIX ஐ ஆதரிக்கிறது. மற்றும் sFlow மற்றும் பல்வேறு பயன்பாடுகளை (rwfilter, rwcount, rwflowpack, முதலியன) பயன்படுத்தி நெட்வொர்க் டெலிமெட்ரியில் பல்வேறு செயல்பாடுகளைச் செய்து அதில் உள்ள அங்கீகரிக்கப்படாத செயல்களின் அறிகுறிகளைக் கண்டறியலாம். ஆனால் கவனிக்க வேண்டிய சில முக்கியமான புள்ளிகள் உள்ளன. SiLK என்பது ஒரு கட்டளை வரி கருவியாகும், இது போன்ற கட்டளைகளை உள்ளிடுவதன் மூலம் ஆன்-லைன் பகுப்பாய்வு செய்கிறது (200 பைட்டுகளை விட பெரிய ICMP பாக்கெட்டுகளை கண்டறிதல்):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

மிகவும் வசதியாக இல்லை. நீங்கள் iSiLK GUI ஐப் பயன்படுத்தலாம், ஆனால் இது உங்கள் வாழ்க்கையை மிகவும் எளிதாக்காது, காட்சிப்படுத்தல் செயல்பாட்டை மட்டுமே தீர்க்கும் மற்றும் ஆய்வாளரை மாற்றாது. மேலும் இது இரண்டாவது புள்ளி. ஏற்கனவே உறுதியான பகுப்பாய்வு அடிப்படை, ஒழுங்கின்மை கண்டறிதல் வழிமுறைகள், தொடர்புடைய பணிப்பாய்வு போன்றவற்றைக் கொண்ட வணிக தீர்வுகளைப் போலல்லாமல், சில்க் விஷயத்தில் இதையெல்லாம் நீங்களே செய்ய வேண்டும், ஏற்கனவே தயாராக பயன்படுத்துவதை விட உங்களிடமிருந்து சற்று வித்தியாசமான திறன்கள் தேவைப்படும்- பயன்படுத்த கருவிகள். இது நல்லதும் இல்லை கெட்டதும் இல்லை - இது எந்த ஒரு இலவச கருவியின் அம்சமாகும், இது உங்களுக்கு என்ன செய்ய வேண்டும் என்று தெரியும் என்று கருதுகிறது, மேலும் இது உங்களுக்கு உதவும் (வணிக கருவிகள் அதன் பயனர்களின் திறன்களை குறைவாக சார்ந்துள்ளது, இருப்பினும் அவர்கள் கருதுகின்றனர் நெட்வொர்க் விசாரணைகள் மற்றும் கண்காணிப்பின் அடிப்படைகளையாவது ஆய்வாளர்கள் புரிந்துகொள்கின்றனர்). ஆனால் சில்க்கிற்கு திரும்புவோம். ஆய்வாளரின் பணி சுழற்சி இதுபோல் தெரிகிறது:

• ஒரு கருதுகோளை உருவாக்குதல். நெட்வொர்க் டெலிமெட்ரிக்குள் நாம் எதைத் தேடுகிறோம் என்பதைப் புரிந்து கொள்ள வேண்டும், சில முரண்பாடுகள் அல்லது அச்சுறுத்தல்களை அடையாளம் காணும் தனித்துவமான பண்புகளை அறிந்து கொள்ள வேண்டும்.
• ஒரு மாதிரியை உருவாக்குதல். ஒரு கருதுகோளை உருவாக்கிய பிறகு, அதே பைதான், ஷெல் அல்லது SiLK இல் சேர்க்கப்படாத பிற கருவிகளைப் பயன்படுத்தி அதை நிரல் செய்கிறோம்.
• சோதனை. 'rw', 'set', 'bag' இல் தொடங்கும் SiLK பயன்பாடுகளைப் பயன்படுத்தி உறுதிப்படுத்தப்பட்ட அல்லது மறுக்கப்படும் எங்கள் கருதுகோளின் சரியான தன்மையை சரிபார்க்க வேண்டிய நேரம் இது.
• உண்மையான தரவுகளின் பகுப்பாய்வு. தொழில்துறை செயல்பாட்டில், சில்க் எதையாவது அடையாளம் காண உதவுகிறது மற்றும் ஆய்வாளர் "நாம் எதிர்பார்த்ததைக் கண்டுபிடித்தோமா?", "இது எங்கள் கருதுகோளுடன் ஒத்துப்போகிறதா?", "தவறான நேர்மறைகளின் எண்ணிக்கையை எவ்வாறு குறைப்பது?", "எப்படி" என்ற கேள்விகளுக்கு பதிலளிக்க வேண்டும். அங்கீகாரத்தின் அளவை மேம்படுத்த வேண்டுமா? » மற்றும் பல.
• முன்னேற்றம். இறுதி கட்டத்தில், நாங்கள் முன்பு செய்ததை மேம்படுத்துகிறோம் - நாங்கள் வார்ப்புருக்களை உருவாக்குகிறோம், குறியீட்டை மேம்படுத்துகிறோம் மற்றும் மேம்படுத்துகிறோம், கருதுகோளை மறுவடிவமைத்து தெளிவுபடுத்துகிறோம்.

இந்த சுழற்சி Cisco Stealthwatch க்கும் பொருந்தும், கடைசி ஒன்று மட்டுமே இந்த ஐந்து படிகளை அதிகபட்சமாக தானியங்குபடுத்துகிறது, ஆய்வாளர் பிழைகளின் எண்ணிக்கையை குறைக்கிறது மற்றும் நிகழ்வு கண்டறிதலின் செயல்திறனை அதிகரிக்கிறது. எடுத்துக்காட்டாக, SiLK இல் நீங்கள் கையால் எழுதப்பட்ட ஸ்கிரிப்ட்களைப் பயன்படுத்தி தீங்கிழைக்கும் IP களில் வெளிப்புறத் தரவுகளுடன் பிணைய புள்ளிவிவரங்களை மேம்படுத்தலாம், மேலும் Cisco Stealthwatch இல் இது ஒரு உள்ளமைக்கப்பட்ட செயல்பாடாகும், இது பிணைய போக்குவரத்தில் தடுப்புப்பட்டியலில் இருந்து IP முகவரிகளுடன் தொடர்பு இருந்தால் உடனடியாக அலாரத்தைக் காண்பிக்கும்.

ஓட்ட பகுப்பாய்வு மென்பொருளுக்கான “பணம் செலுத்தப்பட்ட” பிரமிட்டில் நீங்கள் அதிகமாகச் சென்றால், முற்றிலும் இலவச சில்க்கிற்குப் பிறகு, மூன்று முக்கிய கூறுகளைக் கொண்ட ஒரு ஷேர்வேர் ELK இருக்கும் - Elasticsearch (indexing, searching and data analysis), Logstash (data input/output) ) மற்றும் கிபானா (காட்சிப்படுத்தல்). சில்க் போலல்லாமல், எல்லாவற்றையும் நீங்களே எழுத வேண்டும், நெட்வொர்க் டெலிமெட்ரியின் பகுப்பாய்வை தானியங்குபடுத்தும் பல ஆயத்த நூலகங்கள்/தொகுதிகள் (சில பணம், சில இல்லை) ஏற்கனவே ELK இல் உள்ளன. எடுத்துக்காட்டாக, Logstash இல் உள்ள GeoIP வடிகட்டி, கண்காணிக்கப்பட்ட IP முகவரிகளை அவற்றின் புவியியல் இருப்பிடத்துடன் இணைக்க உங்களை அனுமதிக்கிறது (Stealthwatch இந்த உள்ளமைக்கப்பட்ட அம்சத்தைக் கொண்டுள்ளது).

இந்த கண்காணிப்பு தீர்விற்கான விடுபட்ட கூறுகளை நிறைவு செய்யும் மிகப் பெரிய சமூகத்தையும் ELK கொண்டுள்ளது. எடுத்துக்காட்டாக, Netflow, IPFIX மற்றும் sFlow உடன் பணிபுரிய நீங்கள் தொகுதியைப் பயன்படுத்தலாம் எலாஸ்டிஃப்ளோ, Netflow ஐ மட்டுமே ஆதரிக்கும் Logstash Netflow மாட்யூலில் நீங்கள் திருப்தி அடையவில்லை என்றால்.

ஓட்டத்தை சேகரித்து அதில் தேடுவதில் அதிக செயல்திறனைக் கொடுக்கும் அதே வேளையில், நெட்வொர்க் டெலிமெட்ரியில் உள்ள முரண்பாடுகள் மற்றும் அச்சுறுத்தல்களைக் கண்டறிவதற்கான சிறந்த உள்ளமைக்கப்பட்ட பகுப்பாய்வுகள் ELK இல் இல்லை. அதாவது, மேலே விவரிக்கப்பட்ட வாழ்க்கைச் சுழற்சியைப் பின்பற்றி, நீங்கள் மீறல் மாதிரிகளை சுயாதீனமாக விவரிக்க வேண்டும், பின்னர் அதை போர் அமைப்பில் பயன்படுத்த வேண்டும் (அங்கு உள்ளமைக்கப்பட்ட மாதிரிகள் எதுவும் இல்லை).

நெட்வொர்க் டெலிமெட்ரியில் முரண்பாடுகளைக் கண்டறிவதற்கான சில மாதிரிகள் ஏற்கனவே உள்ள ELK க்கு மிகவும் அதிநவீன நீட்டிப்புகள் உள்ளன, ஆனால் அத்தகைய நீட்டிப்புகளுக்கு பணம் செலவாகும் மற்றும் விளையாட்டு மெழுகுவர்த்திக்கு மதிப்புள்ளதா என்பது கேள்வி - இதே மாதிரியை நீங்களே எழுதுங்கள், அதைச் செயல்படுத்தவும். உங்கள் கண்காணிப்புக் கருவிக்கு, அல்லது நெட்வொர்க் ட்ராஃபிக் அனாலிசிஸ் வகுப்பின் ஆயத்த தீர்வை வாங்கவும்.

பொதுவாக, நெட்வொர்க் டெலிமெட்ரியில் (உதாரணமாக, Cisco Stealthwatch) முரண்பாடுகள் மற்றும் அச்சுறுத்தல்களைக் கண்காணிப்பதற்கு பணம் செலவழித்து ஒரு ஆயத்த தீர்வை வாங்குவது நல்லது அல்லது அதை நீங்களே கண்டுபிடித்து தனிப்பயனாக்குவது நல்லது என்ற விவாதத்தில் நான் ஈடுபட விரும்பவில்லை. ஒவ்வொரு புதிய அச்சுறுத்தலுக்கும் சில்க், ELK அல்லது nfdump அல்லது OSU ஃப்ளோ டூல்ஸ் (அவற்றில் கடைசி இரண்டைப் பற்றி நான் பேசுகிறேன் நான் சொன்னேன் கடந்த முறை)? ஒவ்வொருவரும் தனக்குத்தானே தேர்வு செய்கிறார்கள் மற்றும் இரண்டு விருப்பங்களில் ஏதேனும் ஒன்றைத் தேர்ந்தெடுப்பதற்கு ஒவ்வொருவருக்கும் அவரவர் நோக்கங்கள் உள்ளன. உங்கள் உள் உள்கட்டமைப்பின் பிணைய பாதுகாப்பை உறுதி செய்வதில் நெட்வொர்க் டெலிமெட்ரி ஒரு மிக முக்கியமான கருவி என்பதை நான் காட்ட விரும்பினேன், அதை நீங்கள் புறக்கணிக்கக்கூடாது, எனவே ஊடகங்களில் பெயர் குறிப்பிடப்பட்ட நிறுவனங்களின் பட்டியலில் சேரக்கூடாது. ஹேக் செய்யப்பட்டது”, “தகவல் பாதுகாப்புத் தேவைகளுக்கு இணங்காதது”, “தங்கள் தரவு மற்றும் வாடிக்கையாளர் தரவின் பாதுகாப்பைப் பற்றி சிந்திக்கவில்லை.

சுருக்கமாக, உங்கள் உள் உள்கட்டமைப்பின் தகவல் பாதுகாப்பு கண்காணிப்பை உருவாக்கும்போது நீங்கள் பின்பற்ற வேண்டிய முக்கிய குறிப்புகளை பட்டியலிட விரும்புகிறேன்:

1. சுற்றளவுக்கு மட்டும் உங்களை மட்டுப்படுத்தாதீர்கள்! நெட்வொர்க் உள்கட்டமைப்பைப் பயன்படுத்தவும் (தேர்வு செய்யவும்) போக்குவரத்தை புள்ளி A இலிருந்து புள்ளி B க்கு நகர்த்துவது மட்டுமல்லாமல், இணையப் பாதுகாப்புச் சிக்கல்களைத் தீர்க்கவும்.
2. உங்கள் நெட்வொர்க் சாதனங்களில் இருக்கும் தகவல் பாதுகாப்பு கண்காணிப்பு வழிமுறைகளைப் படித்து அவற்றைப் பயன்படுத்தவும்.
3. உள் கண்காணிப்புக்கு, டெலிமெட்ரி பகுப்பாய்விற்கு முன்னுரிமை கொடுங்கள் - இது அனைத்து நெட்வொர்க் தகவல் பாதுகாப்பு சம்பவங்களில் 80-90% வரை கண்டறிய உங்களை அனுமதிக்கிறது, அதே நேரத்தில் நெட்வொர்க் பாக்கெட்டுகளைப் பிடிக்கும்போது மற்றும் அனைத்து தகவல் பாதுகாப்பு நிகழ்வுகளைச் சேமிப்பதற்கான இடத்தைச் சேமிக்கும்போது சாத்தியமற்றதைச் செய்கிறது.
4. ஓட்டங்களைக் கண்காணிக்க, Netflow v9 அல்லது IPFIX ஐப் பயன்படுத்தவும் - அவை பாதுகாப்புச் சூழலில் கூடுதல் தகவல்களை வழங்குவதோடு, IPv4 மட்டுமல்ல, IPv6, MPLS போன்றவற்றையும் கண்காணிக்க உங்களை அனுமதிக்கின்றன.
5. மாதிரியற்ற ஓட்ட நெறிமுறையைப் பயன்படுத்தவும் - இது அச்சுறுத்தல்களைக் கண்டறிவதற்கான கூடுதல் தகவலை வழங்குகிறது. எடுத்துக்காட்டாக, Netflow அல்லது IPFIX.
6. உங்கள் நெட்வொர்க் உபகரணங்களில் உள்ள சுமையைச் சரிபார்க்கவும் - அது ஓட்ட நெறிமுறையையும் கையாள முடியாமல் போகலாம். பின்னர் மெய்நிகர் சென்சார்கள் அல்லது நெட்ஃப்ளோ ஜெனரேஷன் அப்ளையன்ஸைப் பயன்படுத்தவும்.
7. அணுகல் மட்டத்தில் முதலில் கட்டுப்பாட்டை செயல்படுத்தவும் - இது அனைத்து போக்குவரத்திலும் 100% பார்க்கும் வாய்ப்பை வழங்கும்.
8. உங்களுக்கு வேறு வழியில்லை மற்றும் நீங்கள் ரஷ்ய நெட்வொர்க் உபகரணங்களைப் பயன்படுத்துகிறீர்கள் என்றால், ஓட்ட நெறிமுறைகளை ஆதரிக்கும் அல்லது SPAN/RSPAN போர்ட்களைக் கொண்ட ஒன்றைத் தேர்ந்தெடுக்கவும்.
9. விளிம்புகளில் ஊடுருவல்/தாக்குதல் கண்டறிதல்/தடுப்பு அமைப்புகள் மற்றும் உள் நெட்வொர்க்கில் (மேகங்கள் உட்பட) ஓட்ட பகுப்பாய்வு அமைப்புகளை இணைக்கவும்.

கடைசி உதவிக்குறிப்பு பற்றி, நான் ஏற்கனவே கொடுத்த ஒரு விளக்கத்தை கொடுக்க விரும்புகிறேன். முன்னர் சிஸ்கோ தகவல் பாதுகாப்பு சேவையானது ஊடுருவல் கண்டறிதல் அமைப்புகள் மற்றும் கையொப்ப முறைகளின் அடிப்படையில் அதன் தகவல் பாதுகாப்பு கண்காணிப்பு அமைப்பை முழுவதுமாக உருவாக்கியிருந்தால், இப்போது அவை 20% சம்பவங்களுக்கு மட்டுமே காரணமாகின்றன. மற்றொரு 20% ஓட்டம் பகுப்பாய்வு அமைப்புகளில் விழுகிறது, இது இந்த தீர்வுகள் ஒரு விருப்பம் அல்ல, ஆனால் ஒரு நவீன நிறுவனத்தின் தகவல் பாதுகாப்பு சேவைகளின் செயல்பாடுகளில் ஒரு உண்மையான கருவி என்று கூறுகிறது. மேலும், அவற்றை செயல்படுத்துவதற்கான மிக முக்கியமான விஷயம் உங்களிடம் உள்ளது - நெட்வொர்க் உள்கட்டமைப்பு, நெட்வொர்க்கிற்கு தகவல் பாதுகாப்பு கண்காணிப்பு செயல்பாடுகளை வழங்குவதன் மூலம் மேலும் பாதுகாக்கக்கூடிய முதலீடுகள்.

நெட்வொர்க் ஓட்டங்களில் அடையாளம் காணப்பட்ட முரண்பாடுகள் அல்லது அச்சுறுத்தல்களுக்கு பதிலளிக்கும் தலைப்பை நான் குறிப்பாகத் தொடவில்லை, ஆனால் கண்காணிப்பு அச்சுறுத்தலைக் கண்டறிவதோடு மட்டும் முடிவடையக்கூடாது என்பது ஏற்கனவே தெளிவாக உள்ளது என்று நினைக்கிறேன். அதைத் தொடர்ந்து ஒரு பதில் மற்றும் முன்னுரிமை ஒரு தானியங்கி அல்லது தானியங்கு முறையில் இருக்க வேண்டும். ஆனால் இது ஒரு தனி கட்டுரைக்கான தலைப்பு.

கூடுதல் தகவல்:

• சிஸ்கோ ஐஓஎஸ் நெட்ஃப்ளோவின் விளக்கம்
• பல்வேறு சிஸ்கோ தீர்வுகளில் Netflow ஆதரவு அணி
• பல்வேறு சிஸ்கோ இயங்குதளங்களில் நெட்ஃப்ளோவை கட்டமைப்பதற்கான வழிகாட்டி
• sFlow சமூகம்
• Netflow ஐ பாதுகாப்புக் கண்ணோட்டத்தில் பகுப்பாய்வு செய்ய Stealtjwatch, SiLK மற்றும் ELK ஆகியவற்றைப் பயன்படுத்தும் ஆய்வகம்
• சில்க் இணையதளம்
• பல எடுத்துக்காட்டுகளுடன் சில்க்கைப் பயன்படுத்த முந்நூறு பக்க வழிகாட்டி
• லாக்ஸ்டாஷ் நெட்ஃப்ளோ தொகுதி
• ELK இல் நெட்ஃப்ளோ பகுப்பாய்விற்கான சிஸ்கோ படி-படி-படி வழிகாட்டி
• Logstash (ELK) பயன்படுத்தி NetFlow v.9 Cisco ASA இன் பகுப்பாய்வு
• சிஸ்கோ ஸ்டீல்த்வாட்ச் தீர்வு

பி.எஸ். மேலே எழுதப்பட்ட அனைத்தையும் கேட்பது உங்களுக்கு எளிதாக இருந்தால், இந்த குறிப்பின் அடிப்படையை உருவாக்கிய ஒரு மணிநேர விளக்கக்காட்சியை நீங்கள் பார்க்கலாம்.

ஆதாரம்: www.habr.com