ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > అంతర్గత నెట్వర్క్ భద్రతను పర్యవేక్షించడానికి ఒక సాధనంగా ఫ్లో ప్రోటోకాల్లు
అంతర్గత నెట్వర్క్ భద్రతను పర్యవేక్షించడానికి ఒక సాధనంగా ఫ్లో ప్రోటోకాల్లు
అంతర్గత కార్పొరేట్ లేదా డిపార్ట్మెంటల్ నెట్వర్క్ యొక్క భద్రతను పర్యవేక్షించడం విషయానికి వస్తే, చాలా మంది సమాచార లీక్లను నియంత్రించడం మరియు DLP పరిష్కారాలను అమలు చేయడంతో అనుబంధిస్తారు. మరియు మీరు ప్రశ్నను స్పష్టం చేయడానికి మరియు అంతర్గత నెట్వర్క్పై దాడులను ఎలా గుర్తించాలో అడిగితే, సమాధానం సాధారణంగా చొరబాటు గుర్తింపు వ్యవస్థల (IDS) ప్రస్తావనగా ఉంటుంది. మరి 10-20 ఏళ్ల క్రితం ఉన్న ఏకైక ఆప్షన్ నేడు అనాక్రోనిజంగా మారుతోంది. మరింత ప్రభావవంతమైన మరియు కొన్ని ప్రదేశాలలో, అంతర్గత నెట్వర్క్ను పర్యవేక్షించడానికి ఏకైక సాధ్యమైన ఎంపిక ఉంది - ఫ్లో ప్రోటోకాల్లను ఉపయోగించడం, ఇది వాస్తవానికి నెట్వర్క్ సమస్యల కోసం (ట్రబుల్షూటింగ్) శోధించడానికి రూపొందించబడింది, కానీ కాలక్రమేణా చాలా ఆసక్తికరమైన భద్రతా సాధనంగా రూపాంతరం చెందింది. ఏ ఫ్లో ప్రోటోకాల్లు ఉన్నాయి మరియు నెట్వర్క్ దాడులను గుర్తించడంలో ఏవి మంచివి, ఫ్లో మానిటరింగ్ను ఎక్కడ అమలు చేయడం ఉత్తమం, అటువంటి పథకాన్ని అమలు చేసేటప్పుడు ఏమి చూడాలి మరియు దేశీయ పరికరాలపై ఇవన్నీ ఎలా "లిఫ్ట్" చేయాలి అనే దాని గురించి మేము మాట్లాడుతాము. ఈ వ్యాసం పరిధిలో.
"అంతర్గత మౌలిక సదుపాయాల భద్రతా పర్యవేక్షణ ఎందుకు అవసరం?" అనే ప్రశ్నపై నేను నివసించను. సమాధానం స్పష్టంగా ఉన్నట్లు అనిపిస్తుంది. అయినప్పటికీ, ఈ రోజు మీరు అది లేకుండా జీవించలేరని మీరు మరోసారి నిర్ధారించుకోవాలనుకుంటే, ఒకసారి చూడండి మీరు 17 మార్గాల్లో ఫైర్వాల్ ద్వారా రక్షించబడిన కార్పొరేట్ నెట్వర్క్లోకి ఎలా ప్రవేశించవచ్చనే దాని గురించిన చిన్న వీడియో. అందువల్ల, అంతర్గత పర్యవేక్షణ అవసరమని మేము అర్థం చేసుకున్నామని మరియు దానిని ఎలా నిర్వహించవచ్చో అర్థం చేసుకోవడం మాత్రమే మిగిలి ఉందని మేము ఊహిస్తాము.
నెట్వర్క్ స్థాయిలో మౌలిక సదుపాయాలను పర్యవేక్షించడానికి నేను మూడు కీలక డేటా మూలాలను హైలైట్ చేస్తాను:
మేము క్యాప్చర్ చేసి, నిర్దిష్ట విశ్లేషణ సిస్టమ్లకు విశ్లేషణ కోసం సమర్పించే “రా” ట్రాఫిక్,
నెట్వర్క్ పరికరాల నుండి ట్రాఫిక్ పాస్ అయ్యే ఈవెంట్లు,
ఫ్లో ప్రోటోకాల్లలో ఒకదాని ద్వారా ట్రాఫిక్ సమాచారం స్వీకరించబడింది.
భద్రతా నిపుణులలో ముడి ట్రాఫిక్ను సంగ్రహించడం అత్యంత ప్రజాదరణ పొందిన ఎంపిక, ఎందుకంటే ఇది చారిత్రాత్మకంగా కనిపించింది మరియు ఇది మొదటిది. సాంప్రదాయిక నెట్వర్క్ చొరబాట్లను గుర్తించే వ్యవస్థలు (మొట్టమొదటి వాణిజ్య చొరబాట్లను గుర్తించే వ్యవస్థ వీల్ గ్రూప్ నుండి నెట్రేంజర్, 1998లో సిస్కో కొనుగోలు చేసింది) ఖచ్చితంగా ప్యాకెట్లను (మరియు తరువాత సెషన్లు) సంగ్రహించడంలో నిమగ్నమై ఉన్నాయి, ఇందులో నిర్దిష్ట సంతకాలు (“నిర్ణయాత్మక నియమాలు” FSTEC పరిభాష), సిగ్నలింగ్ దాడులు. అయితే, మీరు IDSని ఉపయోగించడమే కాకుండా, ఇతర సాధనాలను (ఉదాహరణకు, Cisco IOSలో Wireshark, tcpdum లేదా NBAR2 కార్యాచరణ) ఉపయోగించి కూడా రా ట్రాఫిక్ను విశ్లేషించవచ్చు, కానీ అవి సాధారణంగా సమాచార భద్రతా సాధనాన్ని సాధారణ నుండి వేరుచేసే నాలెడ్జ్ బేస్ కలిగి ఉండవు. IT సాధనం.
కాబట్టి, దాడి గుర్తింపు వ్యవస్థలు. నెట్వర్క్ దాడులను గుర్తించే పురాతన మరియు అత్యంత జనాదరణ పొందిన పద్ధతి, ఇది చుట్టుకొలత వద్ద మంచి పని చేస్తుంది (ఏమైనప్పటికీ - కార్పొరేట్, డేటా సెంటర్, సెగ్మెంట్, మొదలైనవి), కానీ ఆధునిక స్విచ్డ్ మరియు సాఫ్ట్వేర్-నిర్వచించిన నెట్వర్క్లలో విఫలమవుతుంది. సాంప్రదాయిక స్విచ్ల ఆధారంగా నిర్మించిన నెట్వర్క్ విషయంలో, దాడిని గుర్తించే సెన్సార్ల యొక్క అవస్థాపన చాలా పెద్దదిగా మారుతుంది - మీరు దాడులను పర్యవేక్షించాలనుకునే నోడ్కు ప్రతి కనెక్షన్లో సెన్సార్ను ఇన్స్టాల్ చేయాలి. ఏదైనా తయారీదారు, వాస్తవానికి, మీకు వందల మరియు వేల సెన్సార్లను విక్రయించడానికి సంతోషిస్తారు, అయితే మీ బడ్జెట్ అటువంటి ఖర్చులకు మద్దతు ఇవ్వదని నేను భావిస్తున్నాను. సిస్కోలో కూడా (మరియు మేము NGIPS డెవలపర్లు) మేము దీన్ని చేయలేమని నేను చెప్పగలను, అయినప్పటికీ ధర సమస్య మన ముందు ఉన్నట్లు అనిపిస్తుంది. నేను నిలబడకూడదు - ఇది మా స్వంత నిర్ణయం. అదనంగా, ప్రశ్న తలెత్తుతుంది, ఈ సంస్కరణలో సెన్సార్ను ఎలా కనెక్ట్ చేయాలి? గ్యాప్లోకి? సెన్సార్ కూడా విఫలమైతే? సెన్సార్లో బైపాస్ మాడ్యూల్ కావాలా? స్ప్లిటర్లను (ట్యాప్) ఉపయోగించాలా? ఇవన్నీ పరిష్కారాన్ని మరింత ఖరీదైనవిగా చేస్తాయి మరియు ఏ పరిమాణంలోనైనా కంపెనీకి అది భరించలేనిదిగా చేస్తుంది.
మీరు SPAN/RSPAN/ERSPAN పోర్ట్లో సెన్సార్ను "హ్యాంగ్" చేయడానికి ప్రయత్నించవచ్చు మరియు దానికి అవసరమైన స్విచ్ పోర్ట్ల నుండి ట్రాఫిక్ను డైరెక్ట్ చేయవచ్చు. ఈ ఐచ్ఛికం మునుపటి పేరాలో వివరించిన సమస్యను పాక్షికంగా తొలగిస్తుంది, కానీ మరొకటి విసిరింది - SPAN పోర్ట్ దానికి పంపబడే అన్ని ట్రాఫిక్ను ఖచ్చితంగా అంగీకరించదు - దీనికి తగినంత బ్యాండ్విడ్త్ ఉండదు. మీరు ఏదో త్యాగం చేయవలసి ఉంటుంది. కొన్ని నోడ్లను పర్యవేక్షించకుండా వదిలివేయండి (అప్పుడు మీరు మొదట వాటికి ప్రాధాన్యత ఇవ్వాలి), లేదా నోడ్ నుండి మొత్తం ట్రాఫిక్ను పంపకుండా, ఒక నిర్దిష్ట రకాన్ని మాత్రమే పంపండి. ఏదైనా సందర్భంలో, మేము కొన్ని దాడులను కోల్పోవచ్చు. అదనంగా, SPAN పోర్ట్ ఇతర అవసరాలకు ఉపయోగించవచ్చు. ఫలితంగా, మేము ఇప్పటికే ఉన్న నెట్వర్క్ టోపోలాజీని సమీక్షించవలసి ఉంటుంది మరియు మీరు కలిగి ఉన్న సెన్సార్ల సంఖ్యతో మీ నెట్వర్క్ను గరిష్టంగా కవర్ చేయడానికి (మరియు దీన్ని ITతో సమన్వయం చేయండి) కోసం మేము దానికి సర్దుబాట్లు చేయాల్సి ఉంటుంది.
మీ నెట్వర్క్ అసమాన మార్గాలను ఉపయోగిస్తే ఏమి చేయాలి? మీరు SDNని అమలు చేసి ఉంటే లేదా అమలు చేయడానికి ప్లాన్ చేస్తున్నట్లయితే? మీరు వర్చువలైజ్డ్ మెషీన్లు లేదా కంటైనర్లను పర్యవేక్షించాల్సిన అవసరం ఉంటే, దీని ట్రాఫిక్ భౌతిక స్విచ్కు చేరుకోదు? ఇవి సంప్రదాయ IDS విక్రేతలు ఇష్టపడని ప్రశ్నలు ఎందుకంటే వాటికి ఎలా సమాధానం చెప్పాలో వారికి తెలియదు. ఈ ఫ్యాషన్ టెక్నాలజీలన్నీ హైప్ అని మరియు మీకు ఇది అవసరం లేదని వారు మిమ్మల్ని ఒప్పిస్తారు. బహుశా వారు చిన్నగా ప్రారంభించాల్సిన అవసరం గురించి మాట్లాడతారు. లేదా మీరు నెట్వర్క్ మధ్యలో శక్తివంతమైన థ్రెషర్ను ఉంచాలని మరియు బ్యాలెన్సర్లను ఉపయోగించి అన్ని ట్రాఫిక్ను దానికి మళ్లించాలని వారు చెబుతారు. మీకు ఏ ఎంపిక అందించబడినా, అది మీకు ఎలా సరిపోతుందో మీరు స్పష్టంగా అర్థం చేసుకోవాలి. మరియు ఆ తర్వాత మాత్రమే నెట్వర్క్ ఇన్ఫ్రాస్ట్రక్చర్ యొక్క సమాచార భద్రతను పర్యవేక్షించే విధానాన్ని ఎంచుకోవడంపై నిర్ణయం తీసుకోండి. ప్యాకెట్ క్యాప్చర్కు తిరిగి రావడం, ఈ పద్ధతి చాలా ప్రజాదరణ మరియు ముఖ్యమైనదిగా కొనసాగుతుందని నేను చెప్పాలనుకుంటున్నాను, అయితే దీని ప్రధాన ప్రయోజనం సరిహద్దు నియంత్రణ; మీ సంస్థ మరియు ఇంటర్నెట్ మధ్య సరిహద్దులు, డేటా సెంటర్ మరియు మిగిలిన నెట్వర్క్ మధ్య సరిహద్దులు, ప్రాసెస్ కంట్రోల్ సిస్టమ్ మరియు కార్పొరేట్ సెగ్మెంట్ మధ్య సరిహద్దులు. ఈ ప్రదేశాలలో, క్లాసిక్ IDS/IPS ఇప్పటికీ ఉనికిలో ఉండటానికి మరియు వారి పనులను చక్కగా ఎదుర్కొనే హక్కును కలిగి ఉంది.
రెండవ ఎంపికకు వెళ్దాం. నెట్వర్క్ పరికరాల నుండి వచ్చే ఈవెంట్ల విశ్లేషణ దాడిని గుర్తించే ప్రయోజనాల కోసం కూడా ఉపయోగించబడుతుంది, కానీ ప్రధాన మెకానిజం వలె కాదు, ఎందుకంటే ఇది చిన్న తరగతి చొరబాట్లను మాత్రమే గుర్తించడానికి అనుమతిస్తుంది. అదనంగా, ఇది కొంత రియాక్టివిటీలో అంతర్లీనంగా ఉంటుంది - దాడి మొదట జరగాలి, తర్వాత అది తప్పనిసరిగా నెట్వర్క్ పరికరం ద్వారా రికార్డ్ చేయబడాలి, ఇది ఒక విధంగా లేదా మరొక విధంగా సమాచార భద్రతతో సమస్యను సూచిస్తుంది. అలాంటి అనేక మార్గాలు ఉన్నాయి. ఇది syslog, RMON లేదా SNMP కావచ్చు. సమాచార భద్రత విషయంలో నెట్వర్క్ పర్యవేక్షణ కోసం చివరి రెండు ప్రోటోకాల్లు మనం నెట్వర్క్ పరికరాలపైనే DoS దాడిని గుర్తించాల్సిన అవసరం ఉన్నట్లయితే మాత్రమే ఉపయోగించబడతాయి, ఎందుకంటే RMON మరియు SNMPని ఉపయోగించడం సాధ్యమవుతుంది, ఉదాహరణకు, పరికరం యొక్క సెంట్రల్పై లోడ్ను పర్యవేక్షించడం. ప్రాసెసర్ లేదా దాని ఇంటర్ఫేస్లు. ఇది "చౌకైనది" (ప్రతి ఒక్కరికి సిస్లాగ్ లేదా SNMP ఉంది) ఒకటి, కానీ అంతర్గత మౌలిక సదుపాయాల యొక్క సమాచార భద్రతను పర్యవేక్షించే అన్ని పద్ధతుల్లో అత్యంత అసమర్థమైనది - అనేక దాడులు దాని నుండి దాచబడ్డాయి. వాస్తవానికి, వాటిని విస్మరించకూడదు మరియు అదే సిస్లాగ్ విశ్లేషణ పరికరం యొక్క కాన్ఫిగరేషన్లో మార్పులను, దాని యొక్క రాజీని సకాలంలో గుర్తించడంలో మీకు సహాయపడుతుంది, అయితే మొత్తం నెట్వర్క్పై దాడులను గుర్తించడానికి ఇది చాలా సరిఅయినది కాదు.
మూడవ ఎంపిక అనేక ఫ్లో ప్రోటోకాల్లలో ఒకదానికి మద్దతు ఇచ్చే పరికరం గుండా ట్రాఫిక్ గురించి సమాచారాన్ని విశ్లేషించడం. ఈ సందర్భంలో, ప్రోటోకాల్తో సంబంధం లేకుండా, థ్రెడింగ్ ఇన్ఫ్రాస్ట్రక్చర్ తప్పనిసరిగా మూడు భాగాలను కలిగి ఉంటుంది:
ప్రవాహం యొక్క ఉత్పత్తి లేదా ఎగుమతి. ఈ పాత్ర సాధారణంగా రౌటర్, స్విచ్ లేదా ఇతర నెట్వర్క్ పరికరానికి కేటాయించబడుతుంది, ఇది నెట్వర్క్ ట్రాఫిక్ను దాని ద్వారా పంపడం ద్వారా, దాని నుండి కీ పారామితులను సంగ్రహించడానికి మిమ్మల్ని అనుమతిస్తుంది, అవి సేకరణ మాడ్యూల్కు ప్రసారం చేయబడతాయి. ఉదాహరణకు, సిస్కో నెట్ఫ్లో ప్రోటోకాల్కు వర్చువల్ మరియు పారిశ్రామిక వాటితో సహా రూటర్లు మరియు స్విచ్లపై మాత్రమే కాకుండా వైర్లెస్ కంట్రోలర్లు, ఫైర్వాల్లు మరియు సర్వర్లపై కూడా మద్దతు ఇస్తుంది.
సేకరణ ప్రవాహం. ఆధునిక నెట్వర్క్ సాధారణంగా ఒకటి కంటే ఎక్కువ నెట్వర్క్ పరికరాలను కలిగి ఉందని పరిగణనలోకి తీసుకుంటే, ప్రవాహాలను సేకరించడం మరియు ఏకీకృతం చేయడంలో సమస్య తలెత్తుతుంది, ఇది కలెక్టర్లు అని పిలవబడే వాటిని ఉపయోగించి పరిష్కరించబడుతుంది, ఇది స్వీకరించిన ప్రవాహాలను ప్రాసెస్ చేస్తుంది మరియు వాటిని విశ్లేషణ కోసం ప్రసారం చేస్తుంది.
ప్రవాహ విశ్లేషణ ఎనలైజర్ ప్రధాన మేధోపరమైన పనిని తీసుకుంటుంది మరియు స్ట్రీమ్లకు వివిధ అల్గారిథమ్లను వర్తింపజేసి, కొన్ని తీర్మానాలను తీసుకుంటుంది. ఉదాహరణకు, IT ఫంక్షన్లో భాగంగా, అటువంటి ఎనలైజర్ నెట్వర్క్ అడ్డంకులను గుర్తించగలదు లేదా తదుపరి నెట్వర్క్ ఆప్టిమైజేషన్ కోసం ట్రాఫిక్ లోడ్ ప్రొఫైల్ను విశ్లేషించగలదు. మరియు సమాచార భద్రత కోసం, అటువంటి ఎనలైజర్ డేటా లీక్లు, హానికరమైన కోడ్ వ్యాప్తి లేదా DoS దాడులను గుర్తించగలదు.
ఈ త్రీ-టైర్ ఆర్కిటెక్చర్ చాలా క్లిష్టంగా ఉందని అనుకోకండి - అన్ని ఇతర ఎంపికలు (బహుశా, SNMP మరియు RMONతో పనిచేసే నెట్వర్క్ మానిటరింగ్ సిస్టమ్లు తప్ప) కూడా దాని ప్రకారం పని చేస్తాయి. మేము విశ్లేషణ కోసం డేటా జనరేటర్ని కలిగి ఉన్నాము, అది నెట్వర్క్ పరికరం లేదా స్టాండ్-అలోన్ సెన్సార్ కావచ్చు. మేము మొత్తం పర్యవేక్షణ అవస్థాపన కోసం అలారం సేకరణ వ్యవస్థ మరియు నిర్వహణ వ్యవస్థను కలిగి ఉన్నాము. చివరి రెండు భాగాలను ఒకే నోడ్లో కలపవచ్చు, కానీ ఎక్కువ లేదా తక్కువ పెద్ద నెట్వర్క్లలో అవి సాధారణంగా స్కేలబిలిటీ మరియు విశ్వసనీయతను నిర్ధారించడానికి కనీసం రెండు పరికరాలలో విస్తరించి ఉంటాయి.
ప్యాకెట్ విశ్లేషణ వలె కాకుండా, ఇది ప్రతి ప్యాకెట్ యొక్క హెడర్ మరియు బాడీ డేటా మరియు దానిలోని సెషన్లను అధ్యయనం చేయడంపై ఆధారపడి ఉంటుంది, ఫ్లో విశ్లేషణ నెట్వర్క్ ట్రాఫిక్ గురించి మెటాడేటాను సేకరించడంపై ఆధారపడి ఉంటుంది. ఎప్పుడు, ఎంత, ఎక్కడ నుండి మరియు ఎక్కడ, ఎలా... వివిధ ఫ్లో ప్రోటోకాల్లను ఉపయోగించి నెట్వర్క్ టెలిమెట్రీ విశ్లేషణ ద్వారా సమాధానాలు ఇవ్వబడిన ప్రశ్నలు. ప్రారంభంలో, అవి గణాంకాలను విశ్లేషించడానికి మరియు నెట్వర్క్లో IT సమస్యలను కనుగొనడానికి ఉపయోగించబడ్డాయి, అయితే, విశ్లేషణాత్మక యంత్రాంగాలు అభివృద్ధి చెందడంతో, భద్రతా ప్రయోజనాల కోసం వాటిని ఒకే టెలిమెట్రీకి వర్తింపజేయడం సాధ్యమైంది. ఫ్లో విశ్లేషణ ప్యాకెట్ క్యాప్చర్ను భర్తీ చేయదు లేదా భర్తీ చేయదు అని మళ్లీ గమనించాలి. ఈ పద్ధతుల్లో ప్రతి దాని స్వంత అప్లికేషన్ ప్రాంతం ఉంది. కానీ ఈ కథనం యొక్క సందర్భంలో, అంతర్గత అవస్థాపనను పర్యవేక్షించడానికి ఇది ఉత్తమంగా సరిపోయే ప్రవాహ విశ్లేషణ. మీరు నెట్వర్క్ పరికరాలను కలిగి ఉన్నారు (అవి సాఫ్ట్వేర్-నిర్వచించిన నమూనాలో పనిచేసినా లేదా స్టాటిక్ నియమాల ప్రకారం) దాడిని దాటవేయలేవు. ఇది క్లాసిక్ IDS సెన్సార్ను దాటవేయగలదు, కానీ ఫ్లో ప్రోటోకాల్కు మద్దతిచ్చే నెట్వర్క్ పరికరం సాధ్యం కాదు. ఇది ఈ పద్ధతి యొక్క ప్రయోజనం.
మరోవైపు, మీకు చట్ట అమలుకు లేదా మీ స్వంత సంఘటన దర్యాప్తు బృందానికి సాక్ష్యం అవసరమైతే, మీరు ప్యాకెట్ క్యాప్చర్ లేకుండా చేయలేరు - నెట్వర్క్ టెలిమెట్రీ అనేది సాక్ష్యం సేకరించడానికి ఉపయోగించే ట్రాఫిక్ కాపీ కాదు; సమాచార భద్రత రంగంలో వేగవంతమైన గుర్తింపు మరియు నిర్ణయం తీసుకోవడానికి ఇది అవసరం. మరోవైపు, టెలిమెట్రీ విశ్లేషణను ఉపయోగించి, మీరు అన్ని నెట్వర్క్ ట్రాఫిక్ను "వ్రాయవచ్చు" (ఏదైనా ఉంటే, సిస్కో డేటా సెంటర్లతో వ్యవహరిస్తుంది :-), కానీ దాడిలో పాల్గొన్న వాటిని మాత్రమే. ఈ విషయంలో టెలిమెట్రీ విశ్లేషణ సాధనాలు సాంప్రదాయ ప్యాకెట్ క్యాప్చర్ మెకానిజమ్లను బాగా పూర్తి చేస్తాయి, సెలెక్టివ్ క్యాప్చర్ మరియు స్టోరేజ్ కోసం ఆదేశాలను అందిస్తాయి. లేకపోతే, మీరు భారీ నిల్వ మౌలిక సదుపాయాలను కలిగి ఉండాలి.
250 Mbit/sec వేగంతో పనిచేసే నెట్వర్క్ని ఊహించుకుందాం. మీరు ఈ వాల్యూమ్ మొత్తాన్ని నిల్వ చేయాలనుకుంటే, మీకు ఒక సెకను ట్రాఫిక్ ట్రాన్స్మిషన్కు 31 MB స్టోరేజ్, ఒక నిమిషం కోసం 1,8 GB, ఒక గంటకు 108 GB మరియు ఒక రోజుకి 2,6 TB అవసరం. 10 Gbit/s బ్యాండ్విడ్త్ ఉన్న నెట్వర్క్ నుండి రోజువారీ డేటాను నిల్వ చేయడానికి, మీకు 108 TB నిల్వ అవసరం. కానీ కొన్ని రెగ్యులేటర్లు భద్రతా డేటాను సంవత్సరాల తరబడి నిల్వ చేయవలసి ఉంటుంది... ఆన్-డిమాండ్ రికార్డింగ్, ఇది అమలు చేయడంలో మీకు సహాయపడే ఫ్లో విశ్లేషణ, పరిమాణం యొక్క ఆర్డర్ల ద్వారా ఈ విలువలను తగ్గించడంలో సహాయపడుతుంది. మార్గం ద్వారా, మేము రికార్డ్ చేయబడిన నెట్వర్క్ టెలిమెట్రీ డేటా మరియు పూర్తి డేటా క్యాప్చర్ యొక్క వాల్యూమ్ యొక్క నిష్పత్తి గురించి మాట్లాడినట్లయితే, అది సుమారుగా 1 నుండి 500 వరకు ఉంటుంది. పైన పేర్కొన్న అదే విలువల కోసం, మొత్తం రోజువారీ ట్రాఫిక్ యొక్క పూర్తి లిప్యంతరీకరణను నిల్వ చేస్తుంది వరుసగా 5 మరియు 216 GB ఉంటుంది (మీరు దీన్ని సాధారణ ఫ్లాష్ డ్రైవ్లో కూడా రికార్డ్ చేయవచ్చు ).
ముడి నెట్వర్క్ డేటాను విశ్లేషించే సాధనాల కోసం, దానిని సంగ్రహించే పద్ధతి విక్రేత నుండి విక్రేతకు దాదాపు ఒకే విధంగా ఉంటే, ఫ్లో విశ్లేషణ విషయంలో పరిస్థితి భిన్నంగా ఉంటుంది. ఫ్లో ప్రోటోకాల్ల కోసం అనేక ఎంపికలు ఉన్నాయి, భద్రత విషయంలో మీరు తెలుసుకోవలసిన తేడాలు. సిస్కో అభివృద్ధి చేసిన నెట్ఫ్లో ప్రోటోకాల్ అత్యంత ప్రజాదరణ పొందింది. ఈ ప్రోటోకాల్ యొక్క అనేక వెర్షన్లు ఉన్నాయి, వాటి సామర్థ్యాలు మరియు రికార్డ్ చేయబడిన ట్రాఫిక్ సమాచారం మొత్తం భిన్నంగా ఉంటాయి. ప్రస్తుత సంస్కరణ తొమ్మిదవది (నెట్ఫ్లో v9), దీని ఆధారంగా పరిశ్రమ ప్రమాణం నెట్ఫ్లో v10, దీనిని IPFIX అని కూడా పిలుస్తారు, అభివృద్ధి చేయబడింది. నేడు, చాలా మంది నెట్వర్క్ విక్రేతలు తమ పరికరాలలో Netflow లేదా IPFIXకి మద్దతు ఇస్తున్నారు. కానీ ఫ్లో ప్రోటోకాల్ల కోసం అనేక ఇతర ఎంపికలు ఉన్నాయి - sFlow, jFlow, cFlow, rFlow, NetStream మొదలైనవి. వీటిలో sFlow అత్యంత ప్రజాదరణ పొందింది. ఇది అమలులో సౌలభ్యం కారణంగా నెట్వర్క్ పరికరాల దేశీయ తయారీదారులచే చాలా తరచుగా మద్దతు ఇచ్చే ఈ రకం. వాస్తవ ప్రమాణంగా మారిన నెట్ఫ్లో మరియు sFlow మధ్య కీలక తేడాలు ఏమిటి? నేను అనేక కీలకమైన వాటిని హైలైట్ చేస్తాను. ముందుగా, Netflow sFlowలోని స్థిర ఫీల్డ్లకు విరుద్ధంగా వినియోగదారు-అనుకూలీకరించదగిన ఫీల్డ్లను కలిగి ఉంది. మరియు రెండవది, మరియు ఇది మా విషయంలో చాలా ముఖ్యమైన విషయం, sFlow నమూనా టెలిమెట్రీ అని పిలవబడే సేకరిస్తుంది; Netflow మరియు IPFIX కోసం నమూనా చేయని వాటికి విరుద్ధంగా. వాటి మధ్య తేడా ఏమిటి?
మీరు పుస్తకాన్ని చదవాలని నిర్ణయించుకున్నారని ఊహించండి "భద్రతా కార్యకలాపాల కేంద్రం: మీ SOCని నిర్మించడం, నిర్వహించడం మరియు నిర్వహించడం” నా సహోద్యోగులు - గ్యారీ మెక్ఇంటైర్, జోసెఫ్ మునిట్జ్ మరియు నాడెమ్ అల్ఫర్డాన్ (మీరు పుస్తకంలోని కొంత భాగాన్ని లింక్ నుండి డౌన్లోడ్ చేసుకోవచ్చు). మీ లక్ష్యాన్ని సాధించడానికి మీకు మూడు ఎంపికలు ఉన్నాయి - మొత్తం పుస్తకాన్ని చదవండి, దాన్ని స్కిమ్ చేయండి, ప్రతి 10వ లేదా 20వ పేజీలో ఆపివేయండి లేదా SmartReading వంటి బ్లాగ్ లేదా సేవలో కీలక భావనల రీటెల్లింగ్ను కనుగొనడానికి ప్రయత్నించండి. కాబట్టి, నమూనా లేని టెలిమెట్రీ అనేది నెట్వర్క్ ట్రాఫిక్లోని ప్రతి “పేజీ”ని చదవడం, అంటే ప్రతి ప్యాకెట్కు మెటాడేటాను విశ్లేషించడం. నమూనా టెలిమెట్రీ అనేది ఎంచుకున్న నమూనాలు మీకు అవసరమైన వాటిని కలిగి ఉంటాయని ఆశించే ట్రాఫిక్ని ఎంపిక చేసిన అధ్యయనం. ఛానెల్ వేగం ఆధారంగా, నమూనా టెలిమెట్రీ విశ్లేషణ కోసం ప్రతి 64వ, 200వ, 500వ, 1000వ, 2000వ లేదా 10000వ ప్యాకెట్కి పంపబడుతుంది.
సమాచార భద్రతా పర్యవేక్షణ సందర్భంలో, DDoS దాడులను గుర్తించడం, స్కానింగ్ చేయడం మరియు హానికరమైన కోడ్ని వ్యాప్తి చేయడం కోసం నమూనా టెలిమెట్రీ బాగా సరిపోతుందని దీని అర్థం, అయితే విశ్లేషణ కోసం పంపిన నమూనాలో చేర్చని అణు లేదా బహుళ-ప్యాకెట్ దాడులను కోల్పోవచ్చు. నమూనా లేని టెలిమెట్రీకి అటువంటి ప్రతికూలతలు లేవు. దీనితో, గుర్తించబడిన దాడుల పరిధి చాలా విస్తృతమైనది. నెట్వర్క్ టెలిమెట్రీ విశ్లేషణ సాధనాలను ఉపయోగించి గుర్తించగల ఈవెంట్ల యొక్క చిన్న జాబితా ఇక్కడ ఉంది.
వాస్తవానికి, కొన్ని ఓపెన్ సోర్స్ నెట్ఫ్లో ఎనలైజర్ దీన్ని చేయడానికి మిమ్మల్ని అనుమతించదు, ఎందుకంటే దీని ప్రధాన పని టెలిమెట్రీని సేకరించి దానిపై ప్రాథమిక విశ్లేషణను IT కోణం నుండి నిర్వహించడం. ప్రవాహం ఆధారంగా సమాచార భద్రతా బెదిరింపులను గుర్తించడానికి, వివిధ ఇంజన్లు మరియు అల్గారిథమ్లతో ఎనలైజర్ను సన్నద్ధం చేయడం అవసరం, ఇది ప్రామాణిక లేదా కస్టమ్ నెట్ఫ్లో ఫీల్డ్ల ఆధారంగా సైబర్ సెక్యూరిటీ సమస్యలను గుర్తిస్తుంది, వివిధ థ్రెట్ ఇంటెలిజెన్స్ మూలాల నుండి బాహ్య డేటాతో ప్రామాణిక డేటాను సుసంపన్నం చేస్తుంది.
కాబట్టి, మీకు ఎంపిక ఉంటే, Netflow లేదా IPFIX ఎంచుకోండి. మీ పరికరాలు దేశీయ తయారీదారుల వలె sFlowతో మాత్రమే పనిచేసినప్పటికీ, ఈ సందర్భంలో కూడా మీరు భద్రతా సందర్భంలో దాని నుండి ప్రయోజనం పొందవచ్చు.
2019 వేసవిలో, రష్యన్ నెట్వర్క్ హార్డ్వేర్ తయారీదారులు కలిగి ఉన్న సామర్థ్యాలను నేను విశ్లేషించాను మరియు NSG, పాలిగాన్ మరియు క్రాఫ్ట్వే మినహా అవన్నీ sFlow (కనీసం Zelax, Natex, Eltex, QTech, Rusteleteh)కి మద్దతును ప్రకటించాయి.
భద్రతా ప్రయోజనాల కోసం ఫ్లో మద్దతును ఎక్కడ అమలు చేయాలి అనేది మీరు ఎదుర్కొనే తదుపరి ప్రశ్న? నిజానికి, ప్రశ్న పూర్తిగా సరిగ్గా వేయబడలేదు. ఆధునిక పరికరాలు దాదాపు ఎల్లప్పుడూ ఫ్లో ప్రోటోకాల్లకు మద్దతు ఇస్తాయి. అందువల్ల, నేను ప్రశ్నను విభిన్నంగా సంస్కరిస్తాను - భద్రతా కోణం నుండి టెలిమెట్రీని సేకరించడం ఎక్కడ అత్యంత ప్రభావవంతంగా ఉంటుంది? సమాధానం చాలా స్పష్టంగా ఉంటుంది - యాక్సెస్ స్థాయిలో, మీరు మొత్తం ట్రాఫిక్లో 100% చూస్తారు, ఇక్కడ మీరు హోస్ట్లపై వివరణాత్మక సమాచారాన్ని కలిగి ఉంటారు (MAC, VLAN, ఇంటర్ఫేస్ ID), ఇక్కడ మీరు హోస్ట్ల మధ్య P2P ట్రాఫిక్ను కూడా పర్యవేక్షించవచ్చు, హానికరమైన కోడ్ని గుర్తించడం మరియు పంపిణీ చేయడం కోసం స్కానింగ్ చేయడం కీలకం. ప్రధాన స్థాయిలో, మీరు ట్రాఫిక్లో కొంత భాగాన్ని చూడకపోవచ్చు, కానీ చుట్టుకొలత స్థాయిలో, మీరు మీ నెట్వర్క్ ట్రాఫిక్లో నాలుగింట ఒక వంతు చూస్తారు. కానీ కొన్ని కారణాల వలన మీరు మీ నెట్వర్క్లో విదేశీ పరికరాలను కలిగి ఉంటే, అది దాడి చేసేవారిని చుట్టుకొలతను దాటవేయకుండా "ప్రవేశించడానికి మరియు నిష్క్రమించడానికి" అనుమతించినట్లయితే, దాని నుండి టెలిమెట్రీని విశ్లేషించడం మీకు ఏమీ ఇవ్వదు. అందువల్ల, గరిష్ట కవరేజ్ కోసం, యాక్సెస్ స్థాయిలో టెలిమెట్రీ సేకరణను ప్రారంభించాలని సిఫార్సు చేయబడింది. అదే సమయంలో, మేము వర్చువలైజేషన్ లేదా కంటైనర్ల గురించి మాట్లాడుతున్నప్పటికీ, ఆధునిక వర్చువల్ స్విచ్లలో ఫ్లో సపోర్ట్ కూడా తరచుగా కనుగొనబడుతుంది, ఇది అక్కడ కూడా ట్రాఫిక్ను నియంత్రించడానికి మిమ్మల్ని అనుమతిస్తుంది.
కానీ నేను అంశాన్ని లేవనెత్తినప్పటి నుండి, నేను ప్రశ్నకు సమాధానం ఇవ్వాలి: పరికరాలు, భౌతిక లేదా వర్చువల్, ఫ్లో ప్రోటోకాల్లకు మద్దతు ఇవ్వకపోతే? లేదా దాని చేర్చడం నిషేధించబడిందా (ఉదాహరణకు, విశ్వసనీయతను నిర్ధారించడానికి పారిశ్రామిక విభాగాలలో)? లేదా దాన్ని ఆన్ చేయడం వల్ల అధిక CPU లోడ్కు దారితీస్తుందా (ఇది పాత హార్డ్వేర్లో జరుగుతుంది)? ఈ సమస్యను పరిష్కరించడానికి, ప్రత్యేకమైన వర్చువల్ సెన్సార్లు (ఫ్లో సెన్సార్లు) ఉన్నాయి, ఇవి తప్పనిసరిగా సాధారణ స్ప్లిటర్లు, ఇవి ట్రాఫిక్ను తమ గుండా పంపుతాయి మరియు సేకరణ మాడ్యూల్కు ప్రవాహం రూపంలో ప్రసారం చేస్తాయి. నిజమే, ఈ సందర్భంలో ప్యాకెట్ క్యాప్చర్ సాధనాలకు సంబంధించి మనం పైన మాట్లాడిన అన్ని సమస్యలను పొందుతాము. అంటే, మీరు ప్రవాహ విశ్లేషణ సాంకేతికత యొక్క ప్రయోజనాలను మాత్రమే కాకుండా, దాని పరిమితులను కూడా అర్థం చేసుకోవాలి.
ఫ్లో అనాలిసిస్ టూల్స్ గురించి మాట్లాడేటప్పుడు గుర్తుంచుకోవలసిన ముఖ్యమైన మరో విషయం. భద్రతా ఈవెంట్లను రూపొందించే సంప్రదాయ మార్గాలకు సంబంధించి మేము EPS మెట్రిక్ని ఉపయోగిస్తే (ఈవెంట్కు సెకనుకు), అప్పుడు ఈ సూచిక టెలిమెట్రీ విశ్లేషణకు వర్తించదు; ఇది FPS (సెకనుకు ప్రవాహం) ద్వారా భర్తీ చేయబడుతుంది. EPS విషయంలో వలె, ఇది ముందుగానే లెక్కించబడదు, కానీ మీరు ఒక నిర్దిష్ట పరికరం దాని పనిని బట్టి ఉత్పత్తి చేసే సుమారు థ్రెడ్ల సంఖ్యను అంచనా వేయవచ్చు. మీరు వివిధ రకాల ఎంటర్ప్రైజ్ పరికరాలు మరియు షరతుల కోసం సుమారు విలువలతో ఇంటర్నెట్లో పట్టికలను కనుగొనవచ్చు, ఇది విశ్లేషణ సాధనాల కోసం మీకు ఏ లైసెన్స్లు అవసరమో మరియు వాటి నిర్మాణం ఎలా ఉంటుందో అంచనా వేయడానికి మిమ్మల్ని అనుమతిస్తుంది? వాస్తవం ఏమిటంటే IDS సెన్సార్ ఒక నిర్దిష్ట బ్యాండ్విడ్త్ ద్వారా పరిమితం చేయబడింది, అది "లాగుతుంది" మరియు ఫ్లో కలెక్టర్కు దాని స్వంత పరిమితులు ఉన్నాయి, దానిని అర్థం చేసుకోవాలి. అందువల్ల, పెద్ద, భౌగోళికంగా పంపిణీ చేయబడిన నెట్వర్క్లలో సాధారణంగా అనేక కలెక్టర్లు ఉంటారు. నేను వివరించినప్పుడు సిస్కో లోపల నెట్వర్క్ ఎలా పర్యవేక్షించబడుతుంది, నేను ఇప్పటికే మా కలెక్టర్ల సంఖ్యను ఇచ్చాను - వాటిలో 21 ఉన్నాయి. మరియు ఇది ఐదు ఖండాలలో చెల్లాచెదురుగా ఉన్న నెట్వర్క్ కోసం మరియు దాదాపు అర మిలియన్ యాక్టివ్ డివైజ్లు).
మేము నెట్ఫ్లో మానిటరింగ్ సిస్టమ్గా మా స్వంత పరిష్కారాన్ని ఉపయోగిస్తాము సిస్కో స్టెల్త్వాచ్, ఇది భద్రతా సమస్యలను పరిష్కరించడంపై ప్రత్యేకంగా దృష్టి సారించింది. ఇది క్రమరహిత, అనుమానాస్పద మరియు స్పష్టంగా హానికరమైన కార్యాచరణను గుర్తించడానికి అనేక అంతర్నిర్మిత ఇంజిన్లను కలిగి ఉంది, ఇది వివిధ రకాల బెదిరింపులను గుర్తించడానికి అనుమతిస్తుంది - క్రిప్టోమైనింగ్ నుండి సమాచార లీక్ల వరకు, హానికరమైన కోడ్ వ్యాప్తి నుండి మోసం వరకు. చాలా ఫ్లో ఎనలైజర్ల మాదిరిగానే, స్టీల్త్వాచ్ మూడు-స్థాయి పథకం (జనరేటర్ - కలెక్టర్ - ఎనలైజర్) ప్రకారం నిర్మించబడింది, అయితే ఇది పరిశీలనలో ఉన్న పదార్థం యొక్క సందర్భంలో ముఖ్యమైన అనేక ఆసక్తికరమైన లక్షణాలతో అనుబంధించబడింది. ముందుగా, ఇది ప్యాకెట్ క్యాప్చర్ సొల్యూషన్లతో (సిస్కో సెక్యూరిటీ ప్యాకెట్ ఎనలైజర్ వంటివి) అనుసంధానిస్తుంది, ఇది మీరు ఎంచుకున్న నెట్వర్క్ సెషన్లను తర్వాత లోతైన పరిశోధన మరియు విశ్లేషణ కోసం రికార్డ్ చేయడానికి అనుమతిస్తుంది. రెండవది, ప్రత్యేకంగా భద్రతా పనులను విస్తరించడానికి, మేము ఒక ప్రత్యేక nvzFlow ప్రోటోకాల్ను అభివృద్ధి చేసాము, ఇది ఎండ్ నోడ్లలో (సర్వర్లు, వర్క్స్టేషన్లు మొదలైనవి) అప్లికేషన్ల కార్యాచరణను టెలిమెట్రీలోకి "ప్రసారం" చేయడానికి మరియు తదుపరి విశ్లేషణ కోసం కలెక్టర్కు ప్రసారం చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. దాని అసలు సంస్కరణలో Stealthwatch నెట్వర్క్ స్థాయిలో ఏదైనా ఫ్లో ప్రోటోకాల్తో (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) పనిచేస్తుంటే, nvzFlow మద్దతు నోడ్ స్థాయిలో కూడా డేటా సహసంబంధాన్ని అనుమతిస్తుంది. మొత్తం వ్యవస్థ యొక్క సామర్థ్యాన్ని పెంచడం మరియు సాంప్రదాయ నెట్వర్క్ ఫ్లో ఎనలైజర్ల కంటే ఎక్కువ దాడులను చూడడం.
భద్రతా దృక్కోణం నుండి నెట్ఫ్లో విశ్లేషణ వ్యవస్థల గురించి మాట్లాడేటప్పుడు, మార్కెట్ సిస్కో నుండి ఒకే పరిష్కారానికి పరిమితం కాదని స్పష్టమవుతుంది. మీరు వాణిజ్య మరియు ఉచిత లేదా షేర్వేర్ పరిష్కారాలను ఉపయోగించవచ్చు. నేను సిస్కో బ్లాగ్లో పోటీదారుల పరిష్కారాలను ఉదాహరణగా ఉదహరించినట్లయితే ఇది చాలా వింతగా ఉంది, కాబట్టి సిల్క్ మరియు ELK అనే రెండు ప్రసిద్ధమైన, సారూప్యమైన, కానీ ఇప్పటికీ విభిన్న సాధనాలను ఉపయోగించి నెట్వర్క్ టెలిమెట్రీని ఎలా విశ్లేషించవచ్చనే దాని గురించి నేను కొన్ని మాటలు చెబుతాను.
SILK అనేది ట్రాఫిక్ విశ్లేషణ కోసం సాధనాల సమితి (ఇంటర్నెట్-స్థాయి జ్ఞానం కోసం వ్యవస్థ), అమెరికన్ CERT/CC చే అభివృద్ధి చేయబడింది మరియు ఇది నేటి కథనం సందర్భంలో, Netflow (5వ మరియు 9వ, అత్యంత ప్రజాదరణ పొందిన సంస్కరణలు), IPFIXకి మద్దతు ఇస్తుంది. మరియు sFlow మరియు నెట్వర్క్ టెలిమెట్రీలో అనధికారిక చర్యల సంకేతాలను గుర్తించడానికి వివిధ కార్యకలాపాలను నిర్వహించడానికి వివిధ యుటిలిటీలను (rwfilter, rwcount, rwflowpack, మొదలైనవి) ఉపయోగిస్తుంది. కానీ గమనించవలసిన కొన్ని ముఖ్యమైన అంశాలు ఉన్నాయి. SILK అనేది కమాండ్ లైన్ సాధనం, ఇది ఇలాంటి ఆదేశాలను నమోదు చేయడం ద్వారా ఆన్లైన్ విశ్లేషణను నిర్వహిస్తుంది (200 బైట్ల కంటే పెద్ద ICMP ప్యాకెట్లను గుర్తించడం):
చాలా సౌకర్యంగా లేదు. మీరు iSiLK GUIని ఉపయోగించవచ్చు, కానీ ఇది మీ జీవితాన్ని చాలా సులభతరం చేయదు, విజువలైజేషన్ ఫంక్షన్ను మాత్రమే పరిష్కరిస్తుంది మరియు విశ్లేషకుడిని భర్తీ చేయదు. మరియు ఇది రెండవ పాయింట్. ఇప్పటికే పటిష్టమైన విశ్లేషణాత్మక ఆధారం, అనామలీ డిటెక్షన్ అల్గారిథమ్లు, సంబంధిత వర్క్ఫ్లో మొదలైనవాటిని కలిగి ఉన్న వాణిజ్య పరిష్కారాల మాదిరిగా కాకుండా, సిల్క్ విషయంలో మీరు ఇవన్నీ మీరే చేయాల్సి ఉంటుంది, దీనికి ఇప్పటికే సిద్ధంగా ఉన్నదాని కంటే మీ నుండి కొద్దిగా భిన్నమైన సామర్థ్యాలు అవసరం- ఉపయోగించే సాధనాలు. ఇది మంచిది లేదా చెడ్డది కాదు - ఇది దాదాపు ఏదైనా ఉచిత సాధనం యొక్క లక్షణం, మీరు ఏమి చేయాలో మీకు తెలుసని భావించవచ్చు మరియు ఇది మీకు సహాయం చేస్తుంది (వాణిజ్య సాధనాలు దాని వినియోగదారుల సామర్థ్యాలపై తక్కువ ఆధారపడి ఉంటాయి, అయినప్పటికీ వారు కూడా భావిస్తారు విశ్లేషకులు కనీసం నెట్వర్క్ పరిశోధనలు మరియు పర్యవేక్షణ యొక్క ప్రాథమికాలను అర్థం చేసుకుంటారు). అయితే సిల్క్కి తిరిగి వద్దాం. దానితో విశ్లేషకుల పని చక్రం ఇలా కనిపిస్తుంది:
పరికల్పనను రూపొందించడం. నెట్వర్క్ టెలిమెట్రీ లోపల మనం దేని కోసం వెతుకుతున్నామో అర్థం చేసుకోవాలి, నిర్దిష్ట క్రమరాహిత్యాలు లేదా బెదిరింపులను గుర్తించే ప్రత్యేక లక్షణాలను తెలుసుకోవాలి.
ఒక నమూనాను నిర్మించడం. పరికల్పనను రూపొందించిన తర్వాత, మేము అదే పైథాన్, షెల్ లేదా సిల్క్లో చేర్చని ఇతర సాధనాలను ఉపయోగించి ప్రోగ్రామ్ చేస్తాము.
పరీక్షిస్తోంది. 'rw', 'set', 'bag'తో ప్రారంభమయ్యే SiLK యుటిలిటీలను ఉపయోగించి ధృవీకరించబడిన లేదా తిరస్కరించబడిన మా పరికల్పన యొక్క ఖచ్చితత్వాన్ని తనిఖీ చేయడానికి ఇది సమయం.
నిజమైన డేటా యొక్క విశ్లేషణ. పారిశ్రామిక ఆపరేషన్లో, సిల్క్ ఏదైనా గుర్తించడంలో మాకు సహాయపడుతుంది మరియు విశ్లేషకుడు “మేము ఊహించిన దాన్ని కనుగొన్నామా?”, “ఇది మా పరికల్పనకు అనుగుణంగా ఉందా?”, “తప్పుడు పాజిటివ్ల సంఖ్యను ఎలా తగ్గించాలి?”, “ఎలా అనే ప్రశ్నలకు సమాధానం ఇవ్వాలి. గుర్తింపు స్థాయిని మెరుగుపరచడానికి? » మరియు అందువలన న.
అభివృద్ధి. చివరి దశలో, మేము ఇంతకు ముందు చేసిన వాటిని మెరుగుపరుస్తాము - మేము టెంప్లేట్లను సృష్టిస్తాము, కోడ్ను మెరుగుపరచడం మరియు ఆప్టిమైజ్ చేయడం, పరికల్పనను పునర్నిర్మించడం మరియు స్పష్టం చేయడం మొదలైనవి.
ఈ సైకిల్ Cisco Stealthwatchకి కూడా వర్తిస్తుంది, చివరిది మాత్రమే ఈ ఐదు దశలను గరిష్టంగా ఆటోమేట్ చేస్తుంది, విశ్లేషకుల లోపాల సంఖ్యను తగ్గిస్తుంది మరియు సంఘటన గుర్తింపు సామర్థ్యాన్ని పెంచుతుంది. ఉదాహరణకు, SiLKలో మీరు చేతితో వ్రాసిన స్క్రిప్ట్లను ఉపయోగించి హానికరమైన IPలపై బాహ్య డేటాతో నెట్వర్క్ గణాంకాలను మెరుగుపరచవచ్చు మరియు Cisco Stealthwatchలో ఇది ఒక అంతర్నిర్మిత ఫంక్షన్, నెట్వర్క్ ట్రాఫిక్ బ్లాక్లిస్ట్ నుండి IP చిరునామాలతో పరస్పర చర్యలను కలిగి ఉంటే వెంటనే అలారంను ప్రదర్శిస్తుంది.
మీరు ఫ్లో అనాలిసిస్ సాఫ్ట్వేర్ కోసం “చెల్లింపు” పిరమిడ్లో ఎక్కువగా వెళితే, పూర్తిగా ఉచిత సిల్క్ తర్వాత షేర్వేర్ ELK ఉంటుంది, ఇందులో మూడు కీలక భాగాలు ఉంటాయి - ఎలాస్టిక్సెర్చ్ (ఇండెక్సింగ్, సెర్చింగ్ మరియు డేటా అనాలిసిస్), లాగ్స్టాష్ (డేటా ఇన్పుట్/అవుట్పుట్). ) మరియు కిబానా (విజువలైజేషన్). సిల్క్ వలె కాకుండా, మీరు ప్రతిదీ మీరే వ్రాయవలసి ఉంటుంది, నెట్వర్క్ టెలిమెట్రీ యొక్క విశ్లేషణను ఆటోమేట్ చేసే అనేక రెడీమేడ్ లైబ్రరీలు/మాడ్యూల్స్ (కొన్ని చెల్లించినవి, కొన్ని కాదు) ELKలో ఇప్పటికే ఉన్నాయి. ఉదాహరణకు, లాగ్స్టాష్లోని జియోఐపి ఫిల్టర్ పర్యవేక్షించబడిన IP చిరునామాలను వాటి భౌగోళిక స్థానంతో అనుబంధించడానికి మిమ్మల్ని అనుమతిస్తుంది (స్టీల్త్వాచ్లో ఈ అంతర్నిర్మిత ఫీచర్ ఉంది).
ELK ఈ మానిటరింగ్ సొల్యూషన్ కోసం తప్పిపోయిన భాగాలను పూర్తి చేస్తున్న చాలా పెద్ద కమ్యూనిటీని కూడా కలిగి ఉంది. ఉదాహరణకు, Netflow, IPFIX మరియు sFlowతో పని చేయడానికి మీరు మాడ్యూల్ని ఉపయోగించవచ్చు ఎలాస్టిఫ్లో, Netflowకి మాత్రమే మద్దతిచ్చే Logstash Netflow మాడ్యూల్తో మీరు సంతృప్తి చెందకపోతే.
ప్రవాహాన్ని సేకరించడం మరియు దానిలో శోధించడంలో మరింత సామర్థ్యాన్ని ఇస్తూ, నెట్వర్క్ టెలిమెట్రీలో క్రమరాహిత్యాలు మరియు బెదిరింపులను గుర్తించడానికి ELK ప్రస్తుతం గొప్ప అంతర్నిర్మిత విశ్లేషణలను కలిగి లేదు. అంటే, పైన వివరించిన జీవిత చక్రాన్ని అనుసరించి, మీరు స్వతంత్రంగా ఉల్లంఘన నమూనాలను వివరించాలి మరియు దానిని పోరాట వ్యవస్థలో ఉపయోగించాలి (అక్కడ అంతర్నిర్మిత నమూనాలు లేవు).
నెట్వర్క్ టెలిమెట్రీలో క్రమరాహిత్యాలను గుర్తించడానికి ఇప్పటికే కొన్ని మోడళ్లను కలిగి ఉన్న ELK కోసం మరింత అధునాతన పొడిగింపులు ఉన్నాయి, అయితే అలాంటి పొడిగింపులకు డబ్బు ఖర్చవుతుంది మరియు ఆట కొవ్వొత్తికి విలువైనదేనా అనేది ప్రశ్న - ఇదే మోడల్ను మీరే వ్రాయండి, దాని అమలును కొనుగోలు చేయండి మీ పర్యవేక్షణ సాధనం కోసం లేదా నెట్వర్క్ ట్రాఫిక్ అనాలిసిస్ క్లాస్ యొక్క రెడీమేడ్ సొల్యూషన్ను కొనుగోలు చేయండి.
సాధారణంగా, నెట్వర్క్ టెలిమెట్రీలో (ఉదాహరణకు, సిస్కో స్టెల్త్వాచ్) క్రమరాహిత్యాలు మరియు బెదిరింపులను పర్యవేక్షించడానికి డబ్బు ఖర్చు చేసి రెడీమేడ్ సొల్యూషన్ని కొనుగోలు చేయడం మంచిదని నేను చర్చలోకి రాకూడదనుకుంటున్నాను (ఉదాహరణకు, సిస్కో స్టీల్త్వాచ్) ప్రతి కొత్త ముప్పు కోసం సిల్క్, ELK లేదా nfdump లేదా OSU ఫ్లో టూల్స్ ( నేను వాటిలో చివరి రెండు గురించి మాట్లాడుతున్నాను చెప్పారు చివరిసారి)? ప్రతి ఒక్కరూ తమ కోసం ఎంచుకుంటారు మరియు ప్రతి ఒక్కరికి రెండు ఎంపికలలో దేనినైనా ఎంచుకోవడానికి వారి స్వంత ఉద్దేశాలు ఉంటాయి. మీ అంతర్గత ఇన్ఫ్రాస్ట్రక్చర్ యొక్క నెట్వర్క్ భద్రతను నిర్ధారించడంలో నెట్వర్క్ టెలిమెట్రీ చాలా ముఖ్యమైన సాధనం అని నేను చూపించాలనుకుంటున్నాను మరియు మీరు దానిని విస్మరించకూడదు, తద్వారా ఎపిథెట్లతో పాటు మీడియాలో పేర్కొన్న కంపెనీల జాబితాలో చేరకూడదు. హ్యాక్ చేయబడింది", "సమాచార భద్రతా అవసరాలకు అనుగుణంగా లేదు" ", "వారి డేటా మరియు కస్టమర్ డేటా భద్రత గురించి ఆలోచించడం లేదు."
సంగ్రహంగా చెప్పాలంటే, మీ అంతర్గత అవస్థాపనకు సంబంధించిన సమాచార భద్రతా పర్యవేక్షణను నిర్మించేటప్పుడు మీరు అనుసరించాల్సిన ముఖ్య చిట్కాలను నేను జాబితా చేయాలనుకుంటున్నాను:
కేవలం చుట్టుకొలతకే పరిమితం కావద్దు! ట్రాఫిక్ను పాయింట్ A నుండి పాయింట్ Bకి తరలించడానికి మాత్రమే కాకుండా, సైబర్ సెక్యూరిటీ సమస్యలను పరిష్కరించడానికి కూడా నెట్వర్క్ మౌలిక సదుపాయాలను ఉపయోగించండి (మరియు ఎంచుకోండి).
మీ నెట్వర్క్ పరికరాలలో ఇప్పటికే ఉన్న సమాచార భద్రతా పర్యవేక్షణ మెకానిజమ్లను అధ్యయనం చేయండి మరియు వాటిని ఉపయోగించండి.
అంతర్గత పర్యవేక్షణ కోసం, టెలిమెట్రీ విశ్లేషణకు ప్రాధాన్యత ఇవ్వండి - ఇది నెట్వర్క్ ప్యాకెట్లను క్యాప్చర్ చేసేటప్పుడు మరియు అన్ని సమాచార భద్రతా ఈవెంట్లను నిల్వ చేయడానికి స్థలాన్ని ఆదా చేసేటప్పుడు అసాధ్యమైన వాటిని చేస్తున్నప్పుడు, అన్ని నెట్వర్క్ సమాచార భద్రతా సంఘటనలలో 80-90% వరకు గుర్తించడానికి మిమ్మల్ని అనుమతిస్తుంది.
ప్రవాహాలను పర్యవేక్షించడానికి, Netflow v9 లేదా IPFIXని ఉపయోగించండి - అవి భద్రతా సందర్భంలో మరింత సమాచారాన్ని అందిస్తాయి మరియు IPv4 మాత్రమే కాకుండా IPv6, MPLS మొదలైన వాటిని కూడా పర్యవేక్షించడానికి మిమ్మల్ని అనుమతిస్తాయి.
నమూనా లేని ఫ్లో ప్రోటోకాల్ని ఉపయోగించండి - ఇది బెదిరింపులను గుర్తించడానికి మరింత సమాచారాన్ని అందిస్తుంది. ఉదాహరణకు, Netflow లేదా IPFIX.
మీ నెట్వర్క్ పరికరాలపై లోడ్ని తనిఖీ చేయండి - ఇది ఫ్లో ప్రోటోకాల్ను కూడా నిర్వహించలేకపోవచ్చు. ఆపై వర్చువల్ సెన్సార్లు లేదా నెట్ఫ్లో జనరేషన్ ఉపకరణాన్ని ఉపయోగించడాన్ని పరిగణించండి.
యాక్సెస్ స్థాయిలో మొదట నియంత్రణను అమలు చేయండి - ఇది మొత్తం ట్రాఫిక్లో 100% చూసే అవకాశాన్ని ఇస్తుంది.
మీకు ఎంపిక లేకపోతే మరియు మీరు రష్యన్ నెట్వర్క్ పరికరాలను ఉపయోగిస్తుంటే, ఫ్లో ప్రోటోకాల్లకు మద్దతిచ్చే లేదా SPAN/RSPAN పోర్ట్లను కలిగి ఉండేదాన్ని ఎంచుకోండి.
అంచుల వద్ద చొరబాటు/దాడి గుర్తింపు/నివారణ వ్యవస్థలను మరియు అంతర్గత నెట్వర్క్లో (మేఘాలతో సహా) ప్రవాహ విశ్లేషణ వ్యవస్థలను కలపండి.
చివరి చిట్కాకు సంబంధించి, నేను ఇంతకు ముందు ఇచ్చిన దృష్టాంతాన్ని ఇవ్వాలనుకుంటున్నాను. ఇంతకుముందు సిస్కో ఇన్ఫర్మేషన్ సెక్యూరిటీ సర్వీస్ దాదాపుగా దాని ఇన్ఫర్మేషన్ సెక్యూరిటీ మానిటరింగ్ సిస్టమ్ను చొరబాట్లను గుర్తించే వ్యవస్థలు మరియు సంతకం పద్ధతుల ఆధారంగా నిర్మించినట్లయితే, ఇప్పుడు అవి కేవలం 20% సంఘటనలకు మాత్రమే కారణమవుతున్నాయి. మరో 20% ఫ్లో అనాలిసిస్ సిస్టమ్స్పై వస్తుంది, ఇది ఈ పరిష్కారాలు ఒక యుక్తి కాదు, కానీ ఆధునిక సంస్థ యొక్క సమాచార భద్రతా సేవల కార్యకలాపాలలో నిజమైన సాధనం అని సూచిస్తుంది. అంతేకాకుండా, వాటి అమలు కోసం మీకు చాలా ముఖ్యమైన విషయం ఉంది - నెట్వర్క్ ఇన్ఫ్రాస్ట్రక్చర్, నెట్వర్క్కు సమాచార భద్రత పర్యవేక్షణ విధులను కేటాయించడం ద్వారా మరింత రక్షించబడే పెట్టుబడులు.
నెట్వర్క్ ప్రవాహాలలో గుర్తించబడిన క్రమరాహిత్యాలు లేదా బెదిరింపులకు ప్రతిస్పందించే అంశంపై నేను ప్రత్యేకంగా తాకలేదు, అయితే పర్యవేక్షణ ముప్పును గుర్తించడంతో మాత్రమే ముగియకూడదని ఇప్పటికే స్పష్టంగా ఉందని నేను భావిస్తున్నాను. ఇది ప్రతిస్పందనను అనుసరించాలి మరియు ప్రాధాన్యంగా ఆటోమేటిక్ లేదా ఆటోమేటెడ్ మోడ్లో ఉండాలి. కానీ ఇది ప్రత్యేక కథనానికి సంబంధించిన అంశం.