فلو پروٹوکول ایک اندرونی نیٹ ورک کی سیکورٹی کی نگرانی کے لیے ایک ٹول کے طور پر

جب اندرونی کارپوریٹ یا محکمانہ نیٹ ورک کی سیکورٹی کی نگرانی کی بات آتی ہے، تو بہت سے لوگ اسے معلومات کے لیک کو کنٹرول کرنے اور DLP حل کو نافذ کرنے کے ساتھ منسلک کرتے ہیں۔ اور اگر آپ سوال کو واضح کرنے کی کوشش کرتے ہیں اور پوچھتے ہیں کہ آپ اندرونی نیٹ ورک پر حملوں کا پتہ کیسے لگاتے ہیں، تو جواب عام طور پر مداخلت کا پتہ لگانے کے نظام (IDS) کا ذکر ہوگا۔ اور 10-20 سال پہلے جو واحد آپشن تھا وہ آج ایک اینکرونزم بنتا جا رہا ہے۔ ایک زیادہ موثر، اور کچھ جگہوں پر، اندرونی نیٹ ورک کی نگرانی کا واحد ممکنہ آپشن ہے - فلو پروٹوکول کا استعمال کرتے ہوئے، جو اصل میں نیٹ ورک کے مسائل (ٹربل شوٹنگ) کو تلاش کرنے کے لیے بنائے گئے تھے، لیکن وقت کے ساتھ ساتھ ایک بہت ہی دلچسپ سیکیورٹی ٹول میں تبدیل ہو گئے۔ ہم اس کے بارے میں بات کریں گے کہ وہاں کون سے فلو پروٹوکول ہیں اور کون سے نیٹ ورک حملوں کا پتہ لگانے میں بہتر ہیں، جہاں بہاؤ کی نگرانی کو نافذ کرنا بہتر ہے، ایسی اسکیم کو متعین کرتے وقت کن چیزوں کا خیال رکھنا چاہیے، اور یہاں تک کہ یہ سب کچھ گھریلو سامان پر کیسے "اٹھانا" ہے۔ اس مضمون کے دائرہ کار میں۔

میں اس سوال پر غور نہیں کروں گا کہ "اندرونی انفراسٹرکچر سیکیورٹی مانیٹرنگ کی ضرورت کیوں ہے؟" جواب صاف معلوم ہوتا ہے۔ لیکن اگر، اس کے باوجود، آپ ایک بار پھر یہ یقینی بنانا چاہیں گے کہ آج آپ اس کے بغیر نہیں رہ سکتے، دیکھو ایک مختصر ویڈیو جس میں آپ 17 طریقوں سے فائر وال کے ذریعے محفوظ کارپوریٹ نیٹ ورک کو کیسے گھس سکتے ہیں۔ لہذا، ہم یہ فرض کریں گے کہ ہم سمجھتے ہیں کہ اندرونی نگرانی ایک ضروری چیز ہے اور بس یہ سمجھنا باقی ہے کہ اسے کس طرح منظم کیا جا سکتا ہے۔

میں نیٹ ورک کی سطح پر انفراسٹرکچر کی نگرانی کے لیے ڈیٹا کے تین اہم ذرائع کو اجاگر کروں گا:

• "کچی" ٹریفک جسے ہم حاصل کرتے ہیں اور تجزیہ کے لیے مخصوص تجزیہ نظاموں میں جمع کراتے ہیں،
• نیٹ ورک ڈیوائسز کے واقعات جن سے ٹریفک گزرتی ہے،
• بہاؤ پروٹوکول میں سے ایک کے ذریعے موصول ہونے والی ٹریفک کی معلومات۔

خام ٹریفک کو پکڑنا سیکورٹی ماہرین کے درمیان سب سے زیادہ مقبول آپشن ہے، کیونکہ یہ تاریخی طور پر ظاہر ہوا اور سب سے پہلے تھا۔ روایتی نیٹ ورک کی مداخلت کا پتہ لگانے کے نظام (پہلا تجارتی مداخلت کا پتہ لگانے کا نظام وہیل گروپ کا نیٹ رینجر تھا، جسے سسکو نے 1998 میں خریدا تھا) خاص طور پر پیکٹس (اور بعد میں سیشنز) کیپچر کرنے میں مصروف تھے جس میں کچھ دستخطوں کی تلاش کی جاتی تھی ("فیصلہ کن اصول" FSTEC اصطلاحات)، سگنلنگ حملوں۔ بلاشبہ، آپ خام ٹریفک کا تجزیہ نہ صرف IDS کا استعمال کرتے ہوئے کر سکتے ہیں، بلکہ دوسرے ٹولز (مثال کے طور پر، Wireshark، tcpdum یا Cisco IOS میں NBAR2 کی فعالیت) کا بھی استعمال کر سکتے ہیں، لیکن ان میں عام طور پر علم کی کمی ہوتی ہے جو کہ معلوماتی حفاظتی ٹول کو معمول سے ممتاز کرتا ہے۔ آئی ٹی ٹول۔

تو، حملے کا پتہ لگانے کے نظام. نیٹ ورک کے حملوں کا پتہ لگانے کا سب سے پرانا اور سب سے مشہور طریقہ، جو فریم پر اچھا کام کرتا ہے (چاہے کوئی بھی ہو - کارپوریٹ، ڈیٹا سینٹر، سیگمنٹ، وغیرہ)، لیکن جدید سوئچ شدہ اور سافٹ ویئر سے طے شدہ نیٹ ورکس میں ناکام ہوجاتا ہے۔ روایتی سوئچز کی بنیاد پر بنائے گئے نیٹ ورک کی صورت میں، حملے کا پتہ لگانے والے سینسرز کا انفراسٹرکچر بہت بڑا ہو جاتا ہے - آپ کو اس نوڈ کے ہر کنکشن پر ایک سینسر انسٹال کرنا پڑے گا جس پر آپ حملوں کی نگرانی کرنا چاہتے ہیں۔ کوئی بھی صنعت کار، یقیناً، آپ کو سیکڑوں اور ہزاروں سینسر بیچ کر خوش ہو گا، لیکن مجھے لگتا ہے کہ آپ کا بجٹ اس طرح کے اخراجات کو پورا نہیں کر سکتا۔ میں کہہ سکتا ہوں کہ سسکو میں بھی (اور ہم این جی آئی پی ایس کے ڈویلپر ہیں) ہم ایسا نہیں کر سکے، حالانکہ ایسا لگتا ہے کہ قیمت کا مسئلہ ہمارے سامنے ہے۔ مجھے کھڑا نہیں ہونا چاہئے - یہ ہمارا اپنا فیصلہ ہے۔ اس کے علاوہ، سوال پیدا ہوتا ہے، اس ورژن میں سینسر کو کیسے جوڑنا ہے؟ خلا میں؟ اگر سینسر ہی ناکام ہو جائے تو کیا ہوگا؟ سینسر میں بائی پاس ماڈیول کی ضرورت ہے؟ سپلٹرز (تھپتھپائیں) استعمال کریں؟ یہ سب حل کو زیادہ مہنگا بناتا ہے اور اسے کسی بھی سائز کی کمپنی کے لیے ناقابل برداشت بناتا ہے۔

آپ SPAN/RSPAN/ERSPAN پورٹ پر سینسر کو "ہینگ" کرنے کی کوشش کر سکتے ہیں اور مطلوبہ سوئچ پورٹس سے براہ راست ٹریفک کو اس کی طرف لے جا سکتے ہیں۔ یہ آپشن پچھلے پیراگراف میں بیان کردہ مسئلہ کو جزوی طور پر ہٹاتا ہے، لیکن ایک اور پیش کرتا ہے - SPAN پورٹ بالکل تمام ٹریفک کو قبول نہیں کر سکتا جو اسے بھیجی جائے گی - اس میں کافی بینڈوتھ نہیں ہوگی۔ کچھ تو قربان کرنا پڑے گا۔ یا تو کچھ نوڈس کو بغیر نگرانی کے چھوڑ دیں (پھر آپ کو پہلے ان کو ترجیح دینے کی ضرورت ہے)، یا نوڈ سے تمام ٹریفک نہیں بلکہ صرف ایک خاص قسم بھیجیں۔ کسی بھی صورت میں، ہم کچھ حملوں سے محروم ہو سکتے ہیں۔ اس کے علاوہ اسپین پورٹ کو دیگر ضروریات کے لیے بھی استعمال کیا جا سکتا ہے۔ نتیجے کے طور پر، ہمیں موجودہ نیٹ ورک ٹوپولوجی کا جائزہ لینا ہو گا اور ممکنہ طور پر اس میں ایڈجسٹمنٹ کرنا ہو گی تاکہ آپ کے نیٹ ورک کو آپ کے پاس موجود سینسر کی تعداد کے ساتھ زیادہ سے زیادہ کور کر سکیں (اور اسے IT کے ساتھ مربوط کریں)۔

اگر آپ کا نیٹ ورک غیر متناسب راستے استعمال کرتا ہے تو کیا ہوگا؟ اگر آپ نے SDN کو لاگو کیا ہے یا آپ اسے نافذ کرنے کا ارادہ کر رہے ہیں تو کیا ہوگا؟ کیا ہوگا اگر آپ کو ورچوئلائزڈ مشینوں یا کنٹینرز کی نگرانی کرنے کی ضرورت ہے جن کی ٹریفک بالکل بھی فزیکل سوئچ تک نہیں پہنچتی؟ یہ وہ سوالات ہیں جو روایتی IDS فروشوں کو پسند نہیں ہیں کیونکہ وہ نہیں جانتے کہ ان کا جواب کیسے دیا جائے۔ شاید وہ آپ کو اس بات پر قائل کریں گے کہ یہ تمام فیشن ایبل ٹیکنالوجیز ہائپ ہیں اور آپ کو اس کی ضرورت نہیں ہے۔ شاید وہ چھوٹی شروعات کرنے کی ضرورت کے بارے میں بات کریں گے۔ یا شاید وہ کہیں گے کہ آپ کو نیٹ ورک کے مرکز میں ایک طاقتور تھریشر لگانے کی ضرورت ہے اور بیلنسرز کا استعمال کرتے ہوئے تمام ٹریفک کو اس کی طرف بھیجنا ہوگا۔ آپ کو جو بھی آپشن پیش کیا جائے، آپ کو واضح طور پر یہ سمجھنا ہوگا کہ یہ آپ کے لیے کس طرح مناسب ہے۔ اور اس کے بعد ہی نیٹ ورک کے انفراسٹرکچر کی انفارمیشن سیکیورٹی کی نگرانی کے لیے کوئی نقطہ نظر منتخب کرنے کا فیصلہ کریں۔ پیکٹ کیپچر پر واپس آتے ہوئے، میں یہ کہنا چاہتا ہوں کہ یہ طریقہ بہت مقبول اور اہم ہے، لیکن اس کا بنیادی مقصد سرحدی کنٹرول ہے۔ آپ کی تنظیم اور انٹرنیٹ کے درمیان حدود، ڈیٹا سینٹر اور باقی نیٹ ورک کے درمیان حدود، پراسیس کنٹرول سسٹم اور کارپوریٹ طبقہ کے درمیان حدود۔ ان جگہوں پر، کلاسک IDS/IPS کو اب بھی موجود رہنے اور اپنے کاموں سے اچھی طرح نمٹنے کا حق حاصل ہے۔

آئیے دوسرے آپشن کی طرف چلتے ہیں۔ نیٹ ورک ڈیوائسز سے آنے والے واقعات کے تجزیے کو حملے کا پتہ لگانے کے مقاصد کے لیے بھی استعمال کیا جا سکتا ہے، لیکن مرکزی طریقہ کار کے طور پر نہیں، کیونکہ یہ مداخلتوں کے صرف ایک چھوٹے سے طبقے کا پتہ لگانے کی اجازت دیتا ہے۔ اس کے علاوہ، یہ کچھ رد عمل میں موروثی ہے - حملہ پہلے ہونا چاہیے، پھر اسے کسی نیٹ ورک ڈیوائس کے ذریعے ریکارڈ کیا جانا چاہیے، جو کسی نہ کسی طریقے سے انفارمیشن سیکیورٹی میں کسی مسئلے کا اشارہ دے گا۔ اس طرح کے کئی طریقے ہیں۔ یہ syslog، RMON یا SNMP ہو سکتا ہے۔ انفارمیشن سیکیورٹی کے تناظر میں نیٹ ورک کی نگرانی کے لیے آخری دو پروٹوکول صرف اس صورت میں استعمال کیے جاتے ہیں جب ہمیں نیٹ ورک کے آلات پر ہی DoS حملے کا پتہ لگانے کی ضرورت ہو، کیونکہ RMON اور SNMP کا استعمال ممکن ہے، مثال کے طور پر، ڈیوائس کے سینٹرل پر بوجھ کی نگرانی کرنا۔ پروسیسر یا اس کے انٹرفیس۔ یہ "سب سے سستا" میں سے ایک ہے (ہر ایک کے پاس syslog یا SNMP ہے)، لیکن اندرونی انفراسٹرکچر کی معلومات کی حفاظت کی نگرانی کے تمام طریقوں میں سب سے زیادہ غیر موثر بھی ہے - بہت سے حملے اس سے پوشیدہ ہیں۔ بلاشبہ، انہیں نظر انداز نہیں کیا جانا چاہئے، اور اسی syslog تجزیہ آپ کو آلہ کی ترتیب، اس کے سمجھوتہ میں تبدیلیوں کی بروقت شناخت کرنے میں مدد کرتا ہے، لیکن یہ پورے نیٹ ورک پر حملوں کا پتہ لگانے کے لیے بہت موزوں نہیں ہے۔

تیسرا آپشن ایک ایسے آلے سے گزرنے والی ٹریفک کے بارے میں معلومات کا تجزیہ کرنا ہے جو کئی فلو پروٹوکولز میں سے ایک کو سپورٹ کرتا ہے۔ اس صورت میں، پروٹوکول سے قطع نظر، تھریڈنگ کا بنیادی ڈھانچہ لازمی طور پر تین اجزاء پر مشتمل ہوتا ہے:

• بہاؤ کی نسل یا برآمد۔ یہ کردار عام طور پر ایک راؤٹر، سوئچ یا دوسرے نیٹ ورک ڈیوائس کو تفویض کیا جاتا ہے، جو نیٹ ورک ٹریفک کو خود سے گزر کر، آپ کو اس سے کلیدی پیرامیٹرز نکالنے کی اجازت دیتا ہے، جو پھر کلیکشن ماڈیول میں منتقل ہو جاتے ہیں۔ مثال کے طور پر، سسکو نیٹ فلو پروٹوکول کو نہ صرف راؤٹرز اور سوئچز پر سپورٹ کرتا ہے، بشمول ورچوئل اور انڈسٹریل، بلکہ وائرلیس کنٹرولرز، فائر والز اور حتیٰ کہ سرورز پر بھی۔
• جمع کرنے کا بہاؤ۔ اس بات کو مدنظر رکھتے ہوئے کہ ایک جدید نیٹ ورک میں عام طور پر ایک سے زیادہ نیٹ ورک ڈیوائسز ہوتے ہیں، بہاؤ کو جمع کرنے اور ان کو مضبوط کرنے کا مسئلہ پیدا ہوتا ہے، جسے نام نہاد جمع کرنے والوں کا استعمال کرتے ہوئے حل کیا جاتا ہے، جو موصول ہونے والے بہاؤ پر کارروائی کرتے ہیں اور پھر انہیں تجزیہ کے لیے منتقل کرتے ہیں۔
• بہاؤ تجزیہ تجزیہ کار بنیادی فکری کام انجام دیتا ہے اور مختلف الگورتھم کو اسٹریمز پر لاگو کرتے ہوئے، کچھ نتائج اخذ کرتا ہے۔ مثال کے طور پر، IT فنکشن کے حصے کے طور پر، ایسا تجزیہ کار نیٹ ورک کی رکاوٹوں کی نشاندہی کر سکتا ہے یا مزید نیٹ ورک کی اصلاح کے لیے ٹریفک لوڈ پروفائل کا تجزیہ کر سکتا ہے۔ اور معلومات کی حفاظت کے لیے، ایسا تجزیہ کار ڈیٹا کے لیک ہونے، بدنیتی پر مبنی کوڈ کے پھیلاؤ یا DoS حملوں کا پتہ لگا سکتا ہے۔

یہ مت سوچیں کہ یہ تین درجے کا فن تعمیر بہت پیچیدہ ہے - باقی تمام اختیارات (سوائے، شاید، نیٹ ورک مانیٹرنگ سسٹم جو SNMP اور RMON کے ساتھ کام کرتے ہیں) بھی اس کے مطابق کام کرتے ہیں۔ ہمارے پاس تجزیہ کے لیے ڈیٹا جنریٹر ہے، جو نیٹ ورک ڈیوائس یا اسٹینڈ اکیلے سینسر ہو سکتا ہے۔ ہمارے پاس الارم جمع کرنے کا نظام اور پورے مانیٹرنگ انفراسٹرکچر کے لیے ایک انتظامی نظام ہے۔ آخری دو اجزاء کو ایک نوڈ کے اندر جوڑا جا سکتا ہے، لیکن کم و بیش بڑے نیٹ ورکس میں وہ عام طور پر کم از کم دو آلات پر پھیلے ہوتے ہیں تاکہ اسکیل ایبلٹی اور قابل اعتماد کو یقینی بنایا جا سکے۔

پیکٹ کے تجزیے کے برعکس، جو ہر پیکٹ کے ہیڈر اور باڈی ڈیٹا کے مطالعہ پر مبنی ہے اور اس پر مشتمل سیشنز، بہاؤ کا تجزیہ نیٹ ورک ٹریفک کے بارے میں میٹا ڈیٹا اکٹھا کرنے پر انحصار کرتا ہے۔ کب، کتنا، کہاں سے اور کہاں سے، کیسے... یہ وہ سوالات ہیں جن کا جواب مختلف فلو پروٹوکول کا استعمال کرتے ہوئے نیٹ ورک ٹیلی میٹری کے تجزیے سے ملتا ہے۔ ابتدائی طور پر، ان کا استعمال اعداد و شمار کا تجزیہ کرنے اور نیٹ ورک پر آئی ٹی کے مسائل کو تلاش کرنے کے لیے کیا جاتا تھا، لیکن پھر جیسے جیسے تجزیاتی طریقہ کار تیار ہوا، حفاظتی مقاصد کے لیے انہیں اسی ٹیلی میٹری پر لاگو کرنا ممکن ہوا۔ یہ ایک بار پھر قابل توجہ ہے کہ بہاؤ کا تجزیہ پیکٹ کیپچر کو تبدیل یا تبدیل نہیں کرتا ہے۔ ان طریقوں میں سے ہر ایک کا اطلاق کا اپنا علاقہ ہے۔ لیکن اس مضمون کے تناظر میں، یہ بہاؤ کا تجزیہ ہے جو اندرونی انفراسٹرکچر کی نگرانی کے لیے بہترین موزوں ہے۔ آپ کے پاس نیٹ ورک ڈیوائسز ہیں (چاہے وہ سافٹ ویئر سے طے شدہ پیراڈائم میں کام کریں یا جامد اصولوں کے مطابق) جنہیں حملہ نظرانداز نہیں کر سکتا۔ یہ ایک کلاسک IDS سینسر کو نظرانداز کر سکتا ہے، لیکن ایک نیٹ ورک ڈیوائس جو فلو پروٹوکول کو سپورٹ کرتا ہے ایسا نہیں کر سکتا۔ یہ اس طریقہ کار کا فائدہ ہے۔

دوسری طرف، اگر آپ کو قانون نافذ کرنے والے اداروں یا آپ کی اپنی واقعے کی تحقیقاتی ٹیم کے لیے ثبوت کی ضرورت ہے، تو آپ پیکٹ کیپچر کے بغیر نہیں کر سکتے ہیں - نیٹ ورک ٹیلی میٹری ٹریفک کی نقل نہیں ہے جسے ثبوت جمع کرنے کے لیے استعمال کیا جا سکتا ہے۔ معلومات کی حفاظت کے میدان میں تیزی سے پتہ لگانے اور فیصلہ سازی کے لیے اس کی ضرورت ہے۔ دوسری طرف، ٹیلی میٹری تجزیہ کا استعمال کرتے ہوئے، آپ تمام نیٹ ورک ٹریفک کو نہیں "لکھ سکتے ہیں" (اگر کچھ بھی ہے تو، سسکو ڈیٹا سینٹرز سے ڈیل کرتا ہے :-)، لیکن صرف وہی جو حملے میں ملوث ہے۔ اس سلسلے میں ٹیلی میٹری تجزیہ کے اوزار روایتی پیکٹ کیپچر میکانزم کو اچھی طرح سے مکمل کریں گے، منتخب کیپچر اور اسٹوریج کے لیے کمانڈ دیں گے۔ بصورت دیگر، آپ کے پاس ایک زبردست اسٹوریج انفراسٹرکچر ہونا پڑے گا۔

آئیے 250 Mbit/sec کی رفتار سے کام کرنے والے نیٹ ورک کا تصور کریں۔ اگر آپ اس تمام حجم کو ذخیرہ کرنا چاہتے ہیں، تو آپ کو ٹریفک ٹرانسمیشن کے ایک سیکنڈ کے لیے 31 ایم بی اسٹوریج، ایک منٹ کے لیے 1,8 جی بی، ایک گھنٹے کے لیے 108 جی بی، اور ایک دن کے لیے 2,6 ٹی بی کی ضرورت ہوگی۔ 10 Gbit/s کی بینڈوتھ والے نیٹ ورک سے روزانہ ڈیٹا ذخیرہ کرنے کے لیے، آپ کو 108 TB اسٹوریج کی ضرورت ہوگی۔ لیکن کچھ ریگولیٹرز کو حفاظتی ڈیٹا کو برسوں تک ذخیرہ کرنے کی ضرورت ہوتی ہے... آن ڈیمانڈ ریکارڈنگ، جس کا بہاؤ تجزیہ آپ کو لاگو کرنے میں مدد کرتا ہے، ان اقدار کو ترتیب کے لحاظ سے کم کرنے میں مدد کرتا ہے۔ ویسے، اگر ہم ریکارڈ شدہ نیٹ ورک ٹیلی میٹری ڈیٹا کے حجم اور مکمل ڈیٹا کیپچر کے تناسب کے بارے میں بات کریں، تو یہ تقریباً 1 سے 500 ہے۔ اوپر دی گئی اسی قدروں کے لیے، تمام روزانہ ٹریفک کا مکمل ٹرانسکرپٹ اسٹور کرنا۔ بالترتیب 5 اور 216 GB ہوگی (آپ اسے باقاعدہ فلیش ڈرائیو پر بھی ریکارڈ کر سکتے ہیں)۔

اگر خام نیٹ ورک ڈیٹا کا تجزیہ کرنے کے ٹولز کے لیے، اسے پکڑنے کا طریقہ وینڈر سے وینڈر تک تقریباً ایک جیسا ہے، تو بہاؤ کے تجزیہ کی صورت میں صورتحال مختلف ہے۔ فلو پروٹوکول کے لیے کئی آپشنز ہیں، وہ فرق جن کے بارے میں آپ کو سیکیورٹی کے تناظر میں جاننے کی ضرورت ہے۔ سب سے زیادہ مقبول نیٹ فلو پروٹوکول ہے جسے سسکو نے تیار کیا ہے۔ اس پروٹوکول کے کئی ورژن ہیں، جو ان کی صلاحیتوں اور ریکارڈ کردہ ٹریفک کی معلومات کی مقدار میں مختلف ہیں۔ موجودہ ورژن نواں (Netflow v9) ہے، جس کی بنیاد پر انڈسٹری کا معیاری Netflow v10، جسے IPFIX بھی کہا جاتا ہے، تیار کیا گیا تھا۔ آج، زیادہ تر نیٹ ورک فروش اپنے آلات میں Netflow یا IPFIX کو سپورٹ کرتے ہیں۔ لیکن فلو پروٹوکول کے لیے بہت سے دوسرے آپشنز ہیں - sFlow، jFlow، cFlow، rFlow، NetStream، وغیرہ، جن میں sFlow سب سے زیادہ مقبول ہے۔ یہ اس قسم کی ہے جو اکثر اس کے نفاذ میں آسانی کی وجہ سے نیٹ ورک کے سازوسامان کے گھریلو مینوفیکچررز کی طرف سے حمایت کی جاتی ہے. نیٹ فلو، جو ڈی فیکٹو سٹینڈرڈ بن گیا ہے، اور sFlow کے درمیان کیا اہم فرق ہیں؟ میں کئی اہم چیزوں کو اجاگر کروں گا۔ سب سے پہلے، نیٹ فلو میں sFlow میں فکسڈ فیلڈز کے برعکس صارف کے لیے حسب ضرورت فیلڈز ہیں۔ اور دوسری بات، اور یہ ہمارے معاملے میں سب سے اہم چیز ہے، sFlow نام نہاد نمونہ دار ٹیلی میٹری جمع کرتا ہے۔ Netflow اور IPFIX کے لیے غیر نمونہ کے برعکس۔ ان میں کیا فرق ہے؟

تصور کریں کہ آپ کتاب پڑھنے کا فیصلہ کرتے ہیں "سیکورٹی آپریشنز سینٹر: اپنے SOC کی تعمیر، آپریٹنگ، اور برقرار رکھنامیرے ساتھیوں میں سے - گیری میکانٹائر، جوزف مونٹز اور ندیم الفاردان (آپ لنک سے کتاب کا کچھ حصہ ڈاؤن لوڈ کر سکتے ہیں)۔ اپنے مقصد کو حاصل کرنے کے لیے آپ کے پاس تین آپشنز ہیں - پوری کتاب کو پڑھیں، اس پر غور کریں، ہر 10ویں یا 20ویں صفحے پر رکیں، یا کسی بلاگ یا اسمارٹ ریڈنگ جیسی سروس پر کلیدی تصورات کو دوبارہ بیان کرنے کی کوشش کریں۔ لہذا، غیر نمونہ شدہ ٹیلی میٹری نیٹ ورک ٹریفک کے ہر "صفحہ" کو پڑھ رہی ہے، یعنی ہر پیکٹ کے لیے میٹا ڈیٹا کا تجزیہ کر رہی ہے۔ نمونہ دار ٹیلی میٹری ٹریفک کا انتخابی مطالعہ ہے اس امید پر کہ منتخب کردہ نمونوں میں وہ چیزیں ہوں گی جو آپ کی ضرورت ہے۔ چینل کی رفتار پر منحصر ہے، ہر 64ویں، 200ویں، 500ویں، 1000ویں، 2000ویں یا یہاں تک کہ 10000ویں پیکٹ پر نمونہ دار ٹیلی میٹری تجزیہ کے لیے بھیجی جائے گی۔

انفارمیشن سیکیورٹی مانیٹرنگ کے تناظر میں، اس کا مطلب یہ ہے کہ ڈی ڈی او ایس حملوں کا پتہ لگانے، اسکین کرنے، اور بدنیتی پر مبنی کوڈ پھیلانے کے لیے نمونہ دار ٹیلی میٹری اچھی طرح سے موزوں ہے، لیکن اس سے ایٹمک یا ملٹی پیکٹ حملے چھوٹ سکتے ہیں جو تجزیہ کے لیے بھیجے گئے نمونے میں شامل نہیں تھے۔ غیر نمونہ ٹیلی میٹری میں اس طرح کے نقصانات نہیں ہیں۔ اس کے ساتھ، پتہ چلا حملوں کی حد بہت وسیع ہے. یہاں ان واقعات کی ایک مختصر فہرست ہے جن کا پتہ نیٹ ورک ٹیلی میٹری تجزیہ ٹولز کے ذریعے لگایا جا سکتا ہے۔

یقیناً، کچھ اوپن سورس نیٹ فلو تجزیہ کار آپ کو ایسا کرنے کی اجازت نہیں دیں گے، کیونکہ اس کا بنیادی کام ٹیلی میٹری کو جمع کرنا اور آئی ٹی کے نقطہ نظر سے اس پر بنیادی تجزیہ کرنا ہے۔ بہاؤ کی بنیاد پر معلومات کے تحفظ کے خطرات کی نشاندہی کرنے کے لیے، تجزیہ کار کو مختلف انجنوں اور الگورتھم سے لیس کرنا ضروری ہے، جو معیاری یا حسب ضرورت نیٹ فلو فیلڈز کی بنیاد پر سائبر سیکیورٹی کے مسائل کی نشاندہی کرے گا، مختلف تھریٹ انٹیلی جنس ذرائع سے بیرونی ڈیٹا کے ساتھ معیاری ڈیٹا کو تقویت بخشے گا۔

لہذا، اگر آپ کے پاس کوئی انتخاب ہے، تو Netflow یا IPFIX کا انتخاب کریں۔ لیکن یہاں تک کہ اگر آپ کا سامان گھریلو مینوفیکچررز کی طرح صرف sFlow کے ساتھ کام کرتا ہے، تب بھی اس صورت میں بھی آپ حفاظتی تناظر میں اس سے فائدہ اٹھا سکتے ہیں۔

2019 کے موسم گرما میں، میں نے ان صلاحیتوں کا تجزیہ کیا جو روسی نیٹ ورک ہارڈویئر مینوفیکچررز کے پاس ہیں اور ان سب نے، NSG، Polygon اور Craftway کو چھوڑ کر، sFlow (کم از کم Zelax, Natex, Eltex, QTech, Rusteleteh) کے لیے حمایت کا اعلان کیا۔

اگلا سوال جس کا آپ کو سامنا ہوگا وہ یہ ہے کہ حفاظتی مقاصد کے لیے فلو سپورٹ کو کہاں نافذ کیا جائے؟ درحقیقت، سوال پوری طرح سے درست نہیں ہے۔ جدید آلات تقریباً ہمیشہ بہاؤ پروٹوکول کی حمایت کرتے ہیں۔ لہذا، میں سوال کو مختلف طریقے سے ترتیب دوں گا - حفاظتی نقطہ نظر سے ٹیلی میٹری کو جمع کرنا کہاں سب سے زیادہ مؤثر ہے؟ جواب بالکل واضح ہوگا - رسائی کی سطح پر، جہاں آپ کو تمام ٹریفک کا 100% نظر آئے گا، جہاں آپ کو میزبانوں (MAC، VLAN، انٹرفیس ID) کے بارے میں تفصیلی معلومات حاصل ہوں گی، جہاں آپ میزبانوں کے درمیان P2P ٹریفک کی نگرانی بھی کر سکتے ہیں، جو بدنیتی پر مبنی کوڈ کی اسکیننگ کا پتہ لگانے اور تقسیم کرنے کے لیے اہم ہے۔ بنیادی سطح پر، ہو سکتا ہے کہ آپ کو کچھ ٹریفک نظر نہ آئے، لیکن دائرے کی سطح پر، آپ کو اپنے تمام نیٹ ورک ٹریفک کا ایک چوتھائی حصہ نظر آئے گا۔ لیکن اگر کسی وجہ سے آپ کے نیٹ ورک پر غیر ملکی ڈیوائسز ہیں جو حملہ آوروں کو دائرہ کو نظرانداز کیے بغیر "داخل اور باہر نکلنے" کی اجازت دیتی ہیں، تو اس سے ٹیلی میٹری کا تجزیہ کرنے سے آپ کو کچھ نہیں ملے گا۔ لہذا، زیادہ سے زیادہ کوریج کے لیے، رسائی کی سطح پر ٹیلی میٹری جمع کرنے کو فعال کرنے کی سفارش کی جاتی ہے۔ ساتھ ہی یہ بات بھی قابل غور ہے کہ اگر ہم ورچوئلائزیشن یا کنٹینرز کی بات کر رہے ہیں تو بھی اکثر جدید ورچوئل سوئچز میں فلو سپورٹ پایا جاتا ہے، جس کی مدد سے آپ وہاں بھی ٹریفک کو کنٹرول کر سکتے ہیں۔

لیکن چونکہ میں نے موضوع اٹھایا ہے، مجھے اس سوال کا جواب دینے کی ضرورت ہے: اگر سامان، جسمانی یا ورچوئل، بہاؤ پروٹوکول کی حمایت نہیں کرتا ہے تو کیا ہوگا؟ یا کیا اس کی شمولیت ممنوع ہے (مثال کے طور پر صنعتی حصوں میں اعتبار کو یقینی بنانے کے لیے)؟ یا اسے آن کرنے سے سی پی یو کا زیادہ بوجھ پڑتا ہے (یہ پرانے ہارڈ ویئر پر ہوتا ہے)؟ اس مسئلے کو حل کرنے کے لیے، مخصوص ورچوئل سینسرز (فلو سینسر) موجود ہیں، جو کہ بنیادی طور پر عام سپلٹرز ہیں جو ٹریفک کو خود سے گزرتے ہیں اور اسے جمع کرنے والے ماڈیول میں بہاؤ کی شکل میں نشر کرتے ہیں۔ سچ ہے، اس معاملے میں ہمیں وہ تمام مسائل ملتے ہیں جن کے بارے میں ہم نے اوپر بات کی ہے پیکٹ کیپچر ٹولز کے سلسلے میں۔ یعنی، آپ کو نہ صرف بہاؤ تجزیہ ٹیکنالوجی کے فوائد بلکہ اس کی حدود کو بھی سمجھنے کی ضرورت ہے۔

ایک اور نکتہ جو بہاؤ تجزیہ ٹولز کے بارے میں بات کرتے وقت یاد رکھنا ضروری ہے۔ اگر حفاظتی واقعات پیدا کرنے کے روایتی ذرائع کے سلسلے میں ہم EPS میٹرک (ایونٹ فی سیکنڈ) استعمال کرتے ہیں، تو یہ اشارے ٹیلی میٹری تجزیہ پر لاگو نہیں ہوتا ہے۔ اس کی جگہ FPS (بہاؤ فی سیکنڈ) ہے۔ جیسا کہ EPS کے معاملے میں ہے، اس کا پہلے سے حساب نہیں لگایا جا سکتا، لیکن آپ دھاگوں کی تخمینی تعداد کا اندازہ لگا سکتے ہیں جو ایک خاص ڈیوائس اپنے کام کے لحاظ سے تیار کرتی ہے۔ آپ انٹرنیٹ پر مختلف قسم کے انٹرپرائز ڈیوائسز اور حالات کے لیے تخمینی قدروں کے ساتھ ٹیبلز تلاش کر سکتے ہیں، جس سے آپ اندازہ لگا سکیں گے کہ تجزیے کے آلات کے لیے آپ کو کن لائسنسوں کی ضرورت ہے اور ان کا فن تعمیر کیا ہو گا؟ حقیقت یہ ہے کہ آئی ڈی ایس سینسر ایک مخصوص بینڈوڈتھ سے محدود ہے جسے یہ "کھنچو" سکتا ہے، اور فلو کلیکٹر کی اپنی حدود ہیں جنہیں سمجھنا ضروری ہے۔ لہذا، بڑے، جغرافیائی طور پر تقسیم شدہ نیٹ ورکس میں عام طور پر کئی جمع کرنے والے ہوتے ہیں۔ جب میں نے بیان کیا۔ سسکو کے اندر نیٹ ورک کی نگرانی کیسے کی جاتی ہے۔میں نے پہلے ہی اپنے جمع کرنے والوں کی تعداد بتا دی ہے - ان میں سے 21 ہیں۔ اور یہ پانچ براعظموں میں بکھرے ہوئے نیٹ ورک کے لیے ہے اور جس کی تعداد تقریباً نصف ملین فعال ڈیوائسز ہے)۔

ہم اپنے حل کو نیٹ فلو مانیٹرنگ سسٹم کے طور پر استعمال کرتے ہیں۔ سسکو سٹیلتھ واچجو خاص طور پر سیکورٹی کے مسائل کو حل کرنے پر مرکوز ہے۔ اس میں بے ترتیب، مشکوک اور واضح طور پر بدنیتی پر مبنی سرگرمی کا پتہ لگانے کے لیے بہت سے بلٹ ان انجن ہیں، جو آپ کو مختلف خطرات کی ایک وسیع رینج کا پتہ لگانے کی اجازت دیتے ہیں - کرپٹو مائننگ سے لے کر معلومات کے لیک ہونے تک، بدنیتی پر مبنی کوڈ کے پھیلاؤ سے لے کر فراڈ تک۔ زیادہ تر بہاؤ تجزیہ کاروں کی طرح، اسٹیلتھ واچ کو تین سطحی اسکیم (جنریٹر - کلیکٹر - تجزیہ کار) کے مطابق بنایا گیا ہے، لیکن اس میں متعدد دلچسپ خصوصیات ہیں جو زیر غور مواد کے تناظر میں اہم ہیں۔ سب سے پہلے، یہ پیکٹ کیپچر سلوشنز (جیسے سسکو سیکیورٹی پیکٹ اینالائزر) کے ساتھ مربوط ہوتا ہے، جو آپ کو بعد میں گہرائی سے تفتیش اور تجزیہ کے لیے منتخب نیٹ ورک سیشنز کو ریکارڈ کرنے کی اجازت دیتا ہے۔ دوم، خاص طور پر حفاظتی کاموں کو بڑھانے کے لیے، ہم نے ایک خصوصی nvzFlow پروٹوکول تیار کیا ہے، جو آپ کو اینڈ نوڈس (سرور، ورک سٹیشن وغیرہ) پر ایپلی کیشنز کی سرگرمی کو ٹیلی میٹری میں "براڈکاسٹ" کرنے اور مزید تجزیہ کے لیے کلکٹر کو منتقل کرنے کی اجازت دیتا ہے۔ اگر اسٹیلتھ واچ اپنے اصل ورژن میں نیٹ ورک کی سطح پر کسی بھی فلو پروٹوکول (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) کے ساتھ کام کرتی ہے، تو nvzFlow سپورٹ نوڈ کی سطح پر بھی ڈیٹا کو ارتباط کی اجازت دیتا ہے۔ پورے نظام کی کارکردگی کو بڑھانا اور روایتی نیٹ ورک فلو اینالائزرز سے زیادہ حملے دیکھنا۔

یہ واضح ہے کہ جب سیکیورٹی کے نقطہ نظر سے نیٹ فلو کے تجزیہ کے نظام کے بارے میں بات کی جائے تو، مارکیٹ سسکو کے کسی ایک حل تک محدود نہیں ہے۔ آپ تجارتی اور مفت یا شیئر ویئر کے حل دونوں استعمال کر سکتے ہیں۔ یہ کافی عجیب بات ہے اگر میں Cisco بلاگ پر حریفوں کے حل کو مثال کے طور پر پیش کرتا ہوں، تو میں اس بارے میں کچھ الفاظ کہوں گا کہ نیٹ ورک ٹیلی میٹری کا تجزیہ کس طرح کیا جا سکتا ہے دو مقبول، نام سے ملتے جلتے، لیکن پھر بھی مختلف ٹولز - SiLK اور ELK۔

SiLK ٹریفک تجزیہ کے لیے ٹولز (انٹرنیٹ لیول نالج کا نظام) کا ایک مجموعہ ہے، جسے امریکی CERT/CC نے تیار کیا ہے اور جو آج کے مضمون کے تناظر میں، Netflow (5ویں اور 9ویں، سب سے مشہور ورژن)، IPFIX کی حمایت کرتا ہے۔ اور sFlow اور نیٹ ورک ٹیلی میٹری پر مختلف آپریشنز کرنے کے لیے مختلف یوٹیلیٹیز (rwfilter، rwcount، rwflowpack، وغیرہ) کا استعمال کرتے ہوئے اس میں غیر مجاز کارروائیوں کی علامات کا پتہ لگانے کے لیے۔ لیکن نوٹ کرنے کے لئے چند اہم نکات ہیں۔ SiLK ایک کمانڈ لائن ٹول ہے جو اس طرح کے کمانڈز درج کرکے آن لائن تجزیہ کرتا ہے (200 بائٹس سے بڑے ICMP پیکٹوں کا پتہ لگانا):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

بہت آرام دہ نہیں. آپ iSiLK GUI استعمال کر سکتے ہیں، لیکن یہ آپ کی زندگی کو زیادہ آسان نہیں بنائے گا، صرف تصوراتی فنکشن کو حل کرے گا اور تجزیہ کار کی جگہ نہیں لے گا۔ اور یہ دوسرا نکتہ ہے۔ تجارتی حل کے برعکس، جن کے پاس پہلے سے ہی ایک ٹھوس تجزیاتی بنیاد ہے، بے ضابطگی کا پتہ لگانے والے الگورتھم، متعلقہ ورک فلو وغیرہ، SiLK کے معاملے میں آپ کو یہ سب کچھ خود کرنا پڑے گا، جس کے لیے آپ سے پہلے سے تیار شدہ استعمال کے مقابلے میں قدرے مختلف صلاحیتوں کی ضرورت ہوگی۔ استعمال کرنے کے اوزار. یہ نہ تو اچھا ہے اور نہ ہی برا - یہ تقریبا کسی بھی مفت ٹول کی ایک خصوصیت ہے جو یہ فرض کرتی ہے کہ آپ جانتے ہیں کہ کیا کرنا ہے، اور یہ صرف اس میں آپ کی مدد کرے گا (تجارتی ٹولز اپنے صارفین کی قابلیت پر کم انحصار کرتے ہیں، حالانکہ وہ یہ بھی فرض کرتے ہیں کہ تجزیہ کار نیٹ ورک کی تحقیقات اور نگرانی کی کم از کم بنیادی باتوں کو سمجھتے ہیں)۔ لیکن آئیے سلک کی طرف لوٹتے ہیں۔ اس کے ساتھ تجزیہ کار کا کام کا چکر اس طرح لگتا ہے:

• ایک مفروضہ وضع کرنا۔ ہمیں یہ سمجھنا چاہیے کہ ہم نیٹ ورک ٹیلی میٹری کے اندر کیا تلاش کریں گے، ان انوکھی صفات کو جانیں جن کے ذریعے ہم بعض بے ضابطگیوں یا خطرات کی نشاندہی کریں گے۔
• ایک ماڈل بنانا۔ ایک مفروضہ تیار کرنے کے بعد، ہم اسے اسی Python، شیل یا دوسرے ٹولز کا استعمال کرتے ہوئے پروگرام کرتے ہیں جو SiLK میں شامل نہیں ہیں۔
• ٹیسٹنگ اب ہمارے مفروضے کی درستگی کو جانچنے کی باری آتی ہے، جس کی تصدیق یا تردید SiLK یوٹیلیٹیز سے ہوتی ہے جس کا آغاز 'rw'، 'set'، 'bag' سے ہوتا ہے۔
• حقیقی ڈیٹا کا تجزیہ۔ صنعتی آپریشن میں، SiLK ہمیں کسی چیز کی شناخت میں مدد کرتا ہے اور تجزیہ کار کو ان سوالوں کا جواب دینا چاہیے "کیا ہم نے وہی پایا جس کی ہم نے توقع کی؟"، "کیا یہ ہمارے مفروضے سے مطابقت رکھتا ہے؟"، "غلط مثبت کی تعداد کو کیسے کم کیا جائے؟"، "کیسے شناخت کی سطح کو بہتر بنانے کے لیے؟ » اور اسی طرح.
• بہتری. آخری مرحلے پر، ہم پہلے کی گئی چیزوں کو بہتر بناتے ہیں - ہم ٹیمپلیٹس بناتے ہیں، کوڈ کو بہتر اور بہتر بناتے ہیں، مفروضے کی اصلاح اور وضاحت کرتے ہیں، وغیرہ۔

یہ سائیکل Cisco Stealthwatch پر بھی لاگو ہوگا، صرف آخری ایک ان پانچ مراحل کو زیادہ سے زیادہ خودکار کرتا ہے، تجزیہ کار کی غلطیوں کی تعداد کو کم کرتا ہے اور واقعے کا پتہ لگانے کی کارکردگی کو بڑھاتا ہے۔ مثال کے طور پر، SiLK میں آپ ہاتھ سے لکھے ہوئے اسکرپٹس کا استعمال کرتے ہوئے بدنیتی پر مبنی IPs پر بیرونی ڈیٹا کے ساتھ نیٹ ورک کے اعدادوشمار کو بہتر بنا سکتے ہیں، اور Cisco Stealthwatch میں یہ ایک بلٹ ان فنکشن ہے جو فوری طور پر الارم ظاہر کرتا ہے اگر نیٹ ورک ٹریفک بلیک لسٹ سے IP پتوں کے ساتھ تعاملات پر مشتمل ہو۔

اگر آپ بہاؤ تجزیہ سافٹ ویئر کے لیے "ادا کردہ" اہرام میں اوپر جاتے ہیں، تو بالکل مفت SiLK کے بعد ایک شیئر ویئر ELK ہوگا، جس میں تین اہم اجزاء شامل ہوں گے - Elasticsearch (انڈیکسنگ، تلاش اور ڈیٹا کا تجزیہ)، Logstash (ڈیٹا ان پٹ/آؤٹ پٹ) ) اور کبانا ( تصور)۔ SiLK کے برعکس، جہاں آپ کو سب کچھ خود لکھنا پڑتا ہے، ELK کے پاس پہلے سے ہی بہت سے ریڈی میڈ لائبریریز/ماڈیولز (کچھ ادا کیے گئے، کچھ نہیں) ہیں جو نیٹ ورک ٹیلی میٹری کے تجزیے کو خودکار بناتے ہیں۔ مثال کے طور پر، Logstash میں GeoIP فلٹر آپ کو نگرانی شدہ IP پتوں کو ان کے جغرافیائی محل وقوع کے ساتھ منسلک کرنے کی اجازت دیتا ہے (اسٹیلتھ واچ میں یہ خصوصیت بلٹ ان ہے)۔

ELK کے پاس کافی بڑی کمیونٹی بھی ہے جو اس نگرانی کے حل کے لیے گمشدہ اجزاء کو مکمل کر رہی ہے۔ مثال کے طور پر، Netflow، IPFIX اور sFlow کے ساتھ کام کرنے کے لیے آپ ماڈیول استعمال کر سکتے ہیں۔ elastiflow، اگر آپ Logstash Netflow Module سے مطمئن نہیں ہیں، جو صرف Netflow کو سپورٹ کرتا ہے۔

بہاؤ کو جمع کرنے اور اس میں تلاش کرنے میں زیادہ کارکردگی دیتے ہوئے، ELK کے پاس فی الحال نیٹ ورک ٹیلی میٹری میں بے ضابطگیوں اور خطرات کا پتہ لگانے کے لیے بھرپور بلٹ ان اینالیٹکس کا فقدان ہے۔ یعنی، اوپر بیان کردہ لائف سائیکل کے بعد، آپ کو خلاف ورزی کے ماڈلز کو آزادانہ طور پر بیان کرنا ہوگا اور پھر اسے جنگی نظام میں استعمال کرنا ہوگا (وہاں کوئی بلٹ ان ماڈل نہیں ہیں)۔

بلاشبہ، ELK کے لیے مزید نفیس ایکسٹینشنز موجود ہیں، جو پہلے سے ہی نیٹ ورک ٹیلی میٹری میں بے ضابطگیوں کا پتہ لگانے کے لیے کچھ ماڈلز پر مشتمل ہیں، لیکن اس طرح کی ایکسٹینشنز پر پیسہ خرچ ہوتا ہے اور سوال یہ ہے کہ کیا گیم موم بتی کے قابل ہے؟ اپنے مانیٹرنگ ٹول کے لیے، یا نیٹ ورک ٹریفک تجزیہ کلاس کا ریڈی میڈ حل خریدیں۔

عام طور پر، میں اس بحث میں نہیں پڑنا چاہتا کہ نیٹ ورک ٹیلی میٹری میں بے ضابطگیوں اور خطرات کی نگرانی کے لیے پیسہ خرچ کرنا اور ایک تیار حل خریدنا بہتر ہے (مثال کے طور پر، سسکو اسٹیلتھ واچ) یا خود اس کا پتہ لگانا اور اسے اپنی مرضی کے مطابق بنانا۔ ہر نئے خطرے کے لیے SiLK، ELK یا nfdump یا OSU فلو ٹولز (میں ان میں سے آخری دو کے بارے میں بات کر رہا ہوں بتایا آخری بار)؟ ہر کوئی اپنے لیے انتخاب کرتا ہے اور دونوں میں سے کسی ایک کو منتخب کرنے کے لیے ہر ایک کے اپنے مقاصد ہوتے ہیں۔ میں صرف یہ بتانا چاہتا تھا کہ نیٹ ورک ٹیلی میٹری آپ کے اندرونی انفراسٹرکچر کی نیٹ ورک سیکیورٹی کو یقینی بنانے کے لیے ایک بہت اہم ٹول ہے اور آپ کو اس کو نظر انداز نہیں کرنا چاہیے، تاکہ ان کمپنیوں کی فہرست میں شامل نہ ہو جائیں جن کے نام کے ساتھ ساتھ میڈیا میں بھی اس کا ذکر ہے۔ ہیک شدہ”، “معلومات کی حفاظت کے تقاضوں کی تعمیل نہ کرنے والا”، “اپنے ڈیٹا اور کسٹمر ڈیٹا کی حفاظت کے بارے میں نہ سوچا۔”

خلاصہ کرنے کے لیے، میں ان اہم نکات کی فہرست دینا چاہوں گا جن پر آپ کو اپنے اندرونی انفراسٹرکچر کی معلومات کی حفاظت کی نگرانی کرتے وقت عمل کرنا چاہیے:

1. اپنے آپ کو صرف دائرے تک محدود نہ رکھیں! نیٹ ورک انفراسٹرکچر کا استعمال (اور منتخب کریں) نہ صرف ٹریفک کو پوائنٹ A سے پوائنٹ B تک لے جانے کے لیے، بلکہ سائبر سیکیورٹی کے مسائل کو حل کرنے کے لیے بھی۔
2. اپنے نیٹ ورک کے آلات میں موجود انفارمیشن سیکیورٹی مانیٹرنگ میکانزم کا مطالعہ کریں اور انہیں استعمال کریں۔
3. اندرونی نگرانی کے لیے، ٹیلی میٹری کے تجزیے کو ترجیح دیں - یہ آپ کو نیٹ ورک انفارمیشن سیکیورٹی کے تمام واقعات میں سے 80-90% تک کا پتہ لگانے کی اجازت دیتا ہے، جبکہ نیٹ ورک پیکٹ کیپچر کرتے وقت اور تمام معلوماتی سیکیورٹی ایونٹس کو اسٹور کرنے کے لیے جگہ کی بچت کرتے ہوئے وہ کام کرنا ممکن ہوتا ہے۔
4. بہاؤ کی نگرانی کے لیے، Netflow v9 یا IPFIX کا استعمال کریں - وہ سیکیورٹی کے تناظر میں مزید معلومات فراہم کرتے ہیں اور آپ کو نہ صرف IPv4، بلکہ IPv6، MPLS وغیرہ کی بھی نگرانی کرنے کی اجازت دیتے ہیں۔
5. ایک غیر نمونہ شدہ بہاؤ پروٹوکول استعمال کریں - یہ خطرات کا پتہ لگانے کے لیے مزید معلومات فراہم کرتا ہے۔ مثال کے طور پر، نیٹ فلو یا IPFIX۔
6. اپنے نیٹ ورک کے سامان پر بوجھ چیک کریں - یہ بہاؤ پروٹوکول کو بھی سنبھالنے کے قابل نہیں ہوسکتا ہے۔ پھر ورچوئل سینسرز یا نیٹ فلو جنریشن آلات استعمال کرنے پر غور کریں۔
7. رسائی کی سطح پر سب سے پہلے کنٹرول کو لاگو کریں - اس سے آپ کو تمام ٹریفک کا 100% دیکھنے کا موقع ملے گا۔
8. اگر آپ کے پاس کوئی چارہ نہیں ہے اور آپ روسی نیٹ ورک کا سامان استعمال کر رہے ہیں، تو ایک ایسا انتخاب کریں جو فلو پروٹوکول کو سپورٹ کرتا ہو یا جس میں SPAN/RSPAN پورٹس ہوں۔
9. داخلی نیٹ ورک (بشمول بادلوں میں) کناروں پر مداخلت/حملے کا پتہ لگانے/روک تھام کے نظام اور بہاؤ کے تجزیہ کے نظام کو یکجا کریں۔

آخری ٹوٹکے کے بارے میں، میں ایک مثال دینا چاہوں گا جو پہلے بھی دے چکا ہوں۔ آپ دیکھتے ہیں کہ اگر پہلے Cisco انفارمیشن سیکیورٹی سروس نے تقریباً مکمل طور پر اپنے انفارمیشن سیکیورٹی مانیٹرنگ سسٹم کو مداخلت کا پتہ لگانے کے نظام اور دستخطی طریقوں کی بنیاد پر بنایا تھا، تو اب وہ صرف 20% واقعات کے لیے ذمہ دار ہیں۔ مزید 20% بہاؤ کے تجزیہ کے نظام پر پڑتا ہے، جس سے پتہ چلتا ہے کہ یہ حل کوئی سنک نہیں ہیں، بلکہ جدید انٹرپرائز کی معلوماتی حفاظتی خدمات کی سرگرمیوں میں ایک حقیقی ذریعہ ہیں۔ مزید برآں، آپ کے پاس ان کے نفاذ کے لیے سب سے اہم چیز ہے - نیٹ ورک کا بنیادی ڈھانچہ، سرمایہ کاری جس میں نیٹ ورک کو انفارمیشن سیکیورٹی مانیٹرنگ فنکشنز تفویض کرکے مزید محفوظ کیا جا سکتا ہے۔

میں نے خاص طور پر نیٹ ورک کے بہاؤ میں نشاندہی کی گئی بے ضابطگیوں یا خطرات کا جواب دینے کے موضوع پر بات نہیں کی، لیکن میں سمجھتا ہوں کہ یہ پہلے ہی واضح ہے کہ نگرانی صرف خطرے کی نشاندہی پر ختم نہیں ہونی چاہیے۔ اس کے بعد جواب دیا جانا چاہیے اور ترجیحاً خودکار یا خودکار موڈ میں ہونا چاہیے۔ لیکن یہ ایک الگ مضمون کا موضوع ہے۔

اضافی معلومات:

• سسکو آئی او ایس نیٹ فلو کی تفصیل
• مختلف سسکو سلوشنز میں نیٹ فلو سپورٹ میٹرکس
• مختلف سسکو پلیٹ فارمز پر نیٹ فلو کو ترتیب دینے کے لیے گائیڈ
• ایس فلو کمیونٹی
• حفاظتی نقطہ نظر سے نیٹ فلو کا تجزیہ کرنے کے لیے Stealtjwatch، SiLK اور ELK کا استعمال کرتے ہوئے لیب
• SiLK ویب سائٹ
• ٹن مثالوں کے ساتھ SiLK استعمال کرنے کے لیے تین سو صفحات پر مشتمل گائیڈ
• لاگ اسٹیش نیٹ فلو ماڈیول
• ELK میں نیٹ فلو تجزیہ کے لیے سسکو مرحلہ وار گائیڈ
• Logstash (ELK) کا استعمال کرتے ہوئے NetFlow v.9 Cisco ASA کا تجزیہ
• سسکو اسٹیلتھ واچ حل

پی ایس اگر آپ کے لیے اوپر لکھی ہوئی ہر چیز کو سننا آسان ہے، تو آپ ایک گھنٹہ طویل پریزنٹیشن دیکھ سکتے ہیں جس نے اس نوٹ کی بنیاد بنائی۔

ماخذ: www.habr.com