معلومات کی حفاظت کے شعبے میں ایک تجزیاتی حل ہے جو تقسیم شدہ نیٹ ورک میں خطرات کی جامع نگرانی فراہم کرتا ہے۔ اسٹیلتھ واچ روٹرز، سوئچز اور دیگر نیٹ ورک ڈیوائسز سے نیٹ فلو اور آئی پی ایف آئی ایکس کو اکٹھا کرنے پر مبنی ہے۔ نتیجے کے طور پر، نیٹ ورک ایک حساس سینسر بن جاتا ہے اور منتظم کو ان جگہوں کو دیکھنے کی اجازت دیتا ہے جہاں روایتی نیٹ ورک سیکیورٹی کے طریقے، جیسے نیکسٹ جنریشن فائر وال، نہیں پہنچ سکتے۔
پچھلے مضامین میں میں پہلے ہی اسٹیلتھ واچ کے بارے میں لکھ چکا ہوں: اور . اب میں آگے بڑھنے اور الارم کے ساتھ کام کرنے اور سیکیورٹی کے ان واقعات کی تحقیقات کرنے کے بارے میں بحث کرنے کی تجویز کرتا ہوں جو حل پیدا کرتا ہے۔ اس میں 6 مثالیں ہوں گی جن سے مجھے امید ہے کہ پروڈکٹ کی افادیت کا اچھا اندازہ ہو جائے گا۔
سب سے پہلے، یہ کہا جانا چاہئے کہ اسٹیلتھ واچ میں الگورتھم اور فیڈز کے درمیان محرکات کی کچھ تقسیم ہے۔ سب سے پہلے مختلف قسم کے الارم (اطلاعات) ہیں، جب ٹرگر ہوتے ہیں، تو آپ نیٹ ورک پر مشکوک چیزوں کا پتہ لگا سکتے ہیں۔ دوسرا سیکورٹی کے واقعات ہیں۔ یہ مضمون متحرک ہونے والے الگورتھم کی 4 مثالوں اور فیڈز کی 2 مثالوں کو دیکھے گا۔
1. نیٹ ورک کے اندر سب سے بڑے تعاملات کا تجزیہ
سٹیلتھ واچ کو ترتیب دینے کا ابتدائی مرحلہ میزبانوں اور نیٹ ورکس کو گروپس میں بیان کرنا ہے۔ ویب انٹرفیس ٹیب میں ترتیب دیں > میزبان گروپ مینجمنٹ نیٹ ورکس، میزبانوں اور سرورز کو مناسب گروپس میں درجہ بندی کیا جانا چاہیے۔ آپ اپنے گروپ بھی بنا سکتے ہیں۔ ویسے، Cisco StealthWatch میں میزبانوں کے درمیان تعاملات کا تجزیہ کرنا کافی آسان ہے، کیونکہ آپ نہ صرف تلاش کے فلٹرز کو سٹریم کے ذریعے محفوظ کر سکتے ہیں، بلکہ خود نتائج کو بھی محفوظ کر سکتے ہیں۔
شروع کرنے کے لیے، ویب انٹرفیس میں آپ کو ٹیب پر جانا چاہیے۔ تجزیہ کریں > بہاؤ تلاش. پھر آپ کو مندرجہ ذیل پیرامیٹرز کو ترتیب دینا چاہئے:
- تلاش کی قسم - سرفہرست گفتگو (سب سے مشہور تعاملات)
- وقت کی حد - 24 گھنٹے (وقت کی مدت، آپ دوسرا استعمال کر سکتے ہیں)
- نام تلاش کریں - اندر سے اوپر کی گفتگو (کوئی بھی دوستانہ نام)
- موضوع - میزبان گروپس → اندرون میزبان (ماخذ - اندرونی میزبانوں کا گروپ)
- کنکشن (آپ بندرگاہوں، ایپلیکیشنز کی وضاحت کر سکتے ہیں)
- پیر - میزبان گروپس → میزبانوں کے اندر (منزل - اندرونی نوڈس کا گروپ)
- ایڈوانسڈ آپشنز میں، آپ اضافی طور پر اس کلکٹر کی وضاحت کر سکتے ہیں جس سے ڈیٹا دیکھا جاتا ہے، آؤٹ پٹ کو ترتیب دیتے ہوئے (بائٹس، اسٹریمز وغیرہ)۔ میں اسے بطور ڈیفالٹ چھوڑ دوں گا۔
بٹن دبانے کے بعد تلاش کریں تعاملات کی ایک فہرست ظاہر ہوتی ہے جو پہلے سے ہی منتقل کردہ ڈیٹا کی مقدار کے مطابق ترتیب دی جاتی ہیں۔
میری مثال میں میزبان 10.150.1.201 (سرور) صرف ایک دھاگے میں منتقل ہوتا ہے۔ 1.5 GB میزبانی کے لیے ٹریفک 10.150.1.200 (کلائنٹ) پروٹوکول کے ذریعہ ایس کیو ایل. بٹن کالموں کا نظم کریں۔ آپ کو آؤٹ پٹ ڈیٹا میں مزید کالم شامل کرنے کی اجازت دیتا ہے۔
اس کے بعد، منتظم کی صوابدید پر، آپ ایک حسب ضرورت اصول بنا سکتے ہیں جو ہمیشہ اس قسم کے تعامل کو متحرک کرے گا اور آپ کو SNMP، ای میل یا Syslog کے ذریعے مطلع کرے گا۔
2. تاخیر کے لیے نیٹ ورک کے اندر کلائنٹ-سرور کے سست ترین تعاملات کا تجزیہ
لیبل SRT (سرور رسپانس ٹائم), RTT (راؤنڈ ٹرپ ٹائم) آپ کو سرور کی تاخیر اور نیٹ ورک کی عمومی تاخیر کا پتہ لگانے کی اجازت دیتا ہے۔ یہ ٹول خاص طور پر اس وقت کارآمد ہوتا ہے جب آپ کو سست رفتاری سے چلنے والی ایپلیکیشن کے بارے میں صارف کی شکایات کی وجہ تلاش کرنے کی ضرورت ہو۔
نوٹ: تقریباً تمام نیٹ فلو برآمد کنندگان معلوم نہیں کیسے SRT، RTT ٹیگز بھیجیں، اتنی کثرت سے، FlowSensor پر اس طرح کا ڈیٹا دیکھنے کے لیے، آپ کو نیٹ ورک ڈیوائسز سے ٹریفک کی ایک کاپی بھیجنے کو ترتیب دینے کی ضرورت ہے۔ FlowSensor بدلے میں توسیع شدہ IPFIX FlowCollector کو بھیجتا ہے۔
اس تجزیے کو StealtWatch جاوا ایپلیکیشن میں کرنا زیادہ آسان ہے، جو ایڈمنسٹریٹر کے کمپیوٹر پر انسٹال ہے۔
دائیں ماؤس کا بٹن آن میزبانوں کے اندر اور ٹیب پر جائیں۔ فلو ٹیبل.
پر کلک کریں فلٹر اور ضروری پیرامیٹرز مرتب کریں۔ ایک مثال کے طور:
- تاریخ/وقت - پچھلے 3 دنوں کے لیے
- کارکردگی — راؤنڈ ٹرپ کا اوسط وقت>=50ms
ڈیٹا ڈسپلے کرنے کے بعد، ہمیں RTT اور SRT فیلڈز کو شامل کرنا چاہیے جو ہماری دلچسپی رکھتے ہیں۔ اس کے لیے اسکرین شاٹ میں موجود کالم پر کلک کریں اور ماؤس کے دائیں بٹن سے منتخب کریں۔ کالموں کا نظم کریں۔. اگلا، RTT، SRT پیرامیٹرز پر کلک کریں۔
درخواست پر کارروائی کرنے کے بعد، میں نے RTT اوسط کے مطابق ترتیب دیا اور سب سے سست تعاملات دیکھے۔
تفصیلی معلومات میں جانے کے لیے، سٹریم پر دائیں کلک کریں اور منتخب کریں۔ بہاؤ کے لیے فوری منظر.
یہ معلومات اشارہ کرتی ہے کہ میزبان 10.201.3.59 گروپ سے سیلز اور مارکیٹنگ پروٹوکول کے مطابق این ایف ایس سے مراد DNS سرور ایک منٹ اور 23 سیکنڈ کے لیے اور صرف خوفناک وقفہ ہے۔ ٹیب میں انٹرفیسز آپ یہ جان سکتے ہیں کہ معلومات کس نیٹ فلو ڈیٹا ایکسپورٹر سے حاصل کی گئی تھی۔ ٹیب میں ٹیبل تعامل کے بارے میں مزید تفصیلی معلومات دکھائی گئی ہیں۔
اگلا، آپ کو معلوم کرنا چاہیے کہ کون سے آلات FlowSensor کو ٹریفک بھیجتے ہیں اور غالباً یہ مسئلہ وہاں موجود ہے۔
مزید یہ کہ اسٹیلتھ واچ اس لحاظ سے منفرد ہے کہ یہ چلتی ہے۔ نقل ڈیٹا (ایک ہی سلسلے کو جوڑتا ہے)۔ لہذا، آپ تقریباً تمام نیٹ فلو ڈیوائسز سے جمع کر سکتے ہیں اور خوفزدہ نہ ہوں کہ بہت زیادہ ڈپلیکیٹ ڈیٹا ہو گا۔ اس کے برعکس، اس اسکیم میں یہ سمجھنے میں مدد ملے گی کہ کون سی ہاپ میں سب سے زیادہ تاخیر ہوتی ہے۔
3. HTTPS کرپٹوگرافک پروٹوکول کا آڈٹ
ETA (انکرپٹڈ ٹریفک تجزیات) سسکو کی طرف سے تیار کردہ ایک ٹیکنالوجی ہے جو آپ کو خفیہ کردہ ٹریفک میں خراب کنکشن کا پتہ لگانے کی اجازت دیتی ہے بغیر اسے ڈکرپٹ کیے۔ مزید یہ کہ، یہ ٹیکنالوجی آپ کو HTTPS کو TLS ورژنز اور کرپٹوگرافک پروٹوکولز میں "پارس" کرنے کی اجازت دیتی ہے جو کنکشن کے دوران استعمال ہوتے ہیں۔ یہ فعالیت خاص طور پر مفید ہوتی ہے جب آپ کو ایسے نیٹ ورک نوڈس کا پتہ لگانے کی ضرورت ہوتی ہے جو کمزور کرپٹو معیارات استعمال کرتے ہیں۔
نوٹ: آپ کو پہلے اسٹیلتھ واچ پر نیٹ ورک ایپ انسٹال کرنا ہوگی۔ ETA کرپٹوگرافک آڈٹ.
ٹیب پر جائیں۔ ڈیش بورڈز → ETA کرپٹوگرافک آڈٹ اور میزبانوں کے گروپ کو منتخب کریں جس کا ہم تجزیہ کرنے کا ارادہ رکھتے ہیں۔ مجموعی تصویر کے لیے، آئیے منتخب کریں۔ میزبانوں کے اندر.
آپ دیکھ سکتے ہیں کہ TLS ورژن اور متعلقہ کرپٹو اسٹینڈرڈ آؤٹ پٹ ہیں۔ کالم میں معمول کی اسکیم کے مطابق عوامل کے پاس جاؤ بہاؤ دیکھیں اور تلاش ایک نئے ٹیب میں شروع ہوتی ہے۔
آؤٹ پٹ سے یہ دیکھا جا سکتا ہے کہ میزبان 198.19.20.136 بھر میں 12 گھنٹے TLS 1.2 کے ساتھ HTTPS کا استعمال کیا، جہاں انکرپشن الگورتھم AES-256 اور ہیش فنکشن ان شاء 384. اس طرح، ETA آپ کو نیٹ ورک پر کمزور الگورتھم تلاش کرنے کی اجازت دیتا ہے۔
4. نیٹ ورک کی بے ضابطگی کا تجزیہ
Cisco StealthWatch تین ٹولز کا استعمال کرتے ہوئے نیٹ ورک پر ٹریفک کی بے ضابطگیوں کو پہچان سکتا ہے: بنیادی واقعات (سیکیورٹی واقعات) رشتے کے واقعات (طبقات، نیٹ ورک نوڈس کے درمیان تعامل کے واقعات) اور طرز عمل کا تجزیہ.
طرز عمل کا تجزیہ، بدلے میں، وقت گزرنے کے ساتھ ساتھ کسی خاص میزبان یا میزبانوں کے گروپ کے لیے طرز عمل کا نمونہ بنانے کی اجازت دیتا ہے۔ اسٹیلتھ واچ سے جتنا زیادہ ٹریفک گزرے گا، اس تجزیہ کی بدولت الرٹس اتنے ہی زیادہ درست ہوں گے۔ سب سے پہلے، نظام بہت غلط طریقے سے ٹرگر کرتا ہے، لہذا قوانین کو ہاتھ سے "موڑ" ہونا چاہئے. میرا مشورہ ہے کہ آپ پہلے چند ہفتوں تک ایسے واقعات کو نظر انداز کر دیں، کیونکہ سسٹم خود کو ایڈجسٹ کر لے گا، یا انہیں مستثنیات میں شامل کر لے گا۔
ذیل میں پہلے سے طے شدہ اصول کی ایک مثال ہے۔ بے عیب۔, جس میں کہا گیا ہے کہ ایونٹ بغیر الارم کے فائر ہو جائے گا اگر Inside Hosts گروپ میں ایک میزبان Inside Hosts گروپ کے ساتھ بات چیت کرتا ہے اور 24 گھنٹوں کے اندر ٹریفک 10 میگا بائٹس سے تجاوز کر جائے گی۔.
مثال کے طور پر، آئیے ایک الارم لیتے ہیں۔ ڈیٹا ہورڈنگ، جس کا مطلب ہے کہ کچھ ماخذ/منزل میزبان نے میزبانوں کے گروپ یا میزبان سے غیر معمولی طور پر بڑی مقدار میں ڈیٹا اپ لوڈ/ڈاؤن لوڈ کیا ہے۔ ایونٹ پر کلک کریں اور اس ٹیبل پر جائیں جہاں ٹرگر کرنے والے میزبانوں کی نشاندہی کی گئی ہے۔ اگلا، وہ میزبان منتخب کریں جس میں ہماری دلچسپی کالم میں ہے۔ ڈیٹا ہورڈنگ.
ایک واقعہ ظاہر ہوتا ہے جس سے ظاہر ہوتا ہے کہ 162k "پوائنٹس" کا پتہ چلا ہے، اور پالیسی کے مطابق، 100k "پوائنٹس" کی اجازت ہے - یہ اندرونی StealthWatch میٹرکس ہیں۔ ایک کالم میں عوامل ۔ بہاؤ دیکھیں.
ہم اس کا مشاہدہ کر سکتے ہیں۔ میزبان دیا رات کو میزبان کے ساتھ بات چیت کی۔ 10.201.3.47 محکمہ سے فروخت اور مارکیٹنگ پروٹوکول کے مطابق HTTPS اور ڈاؤن لوڈ کیا 1.4 GB. ہوسکتا ہے کہ یہ مثال پوری طرح سے کامیاب نہ ہو، لیکن کئی سو گیگا بائٹس کے لیے بھی تعاملات کا پتہ لگانا بالکل اسی طرح کیا جاتا ہے۔ لہذا، بے ضابطگیوں کی مزید تحقیقات دلچسپ نتائج کا باعث بن سکتی ہیں۔
نوٹ: SMC ویب انٹرفیس میں، ڈیٹا ٹیبز میں ہے۔ ڈیش بورڈز صرف پچھلے ہفتے اور ٹیب میں دکھائے جاتے ہیں۔ کی نگرانی گزشتہ 2 ہفتوں کے دوران. پرانے واقعات کا تجزیہ کرنے اور رپورٹیں تیار کرنے کے لیے، آپ کو ایڈمنسٹریٹر کے کمپیوٹر پر جاوا کنسول کے ساتھ کام کرنے کی ضرورت ہے۔
5. اندرونی نیٹ ورک اسکین تلاش کرنا
اب آئیے فیڈز کی چند مثالیں دیکھیں - انفارمیشن سیکیورٹی کے واقعات۔ یہ فعالیت سیکیورٹی پیشہ ور افراد کے لیے زیادہ دلچسپی کا باعث ہے۔
StealthWatch میں کئی پیش سیٹ اسکین ایونٹ کی اقسام ہیں:
- پورٹ اسکین - منبع منزل کے میزبان پر متعدد بندرگاہوں کو اسکین کرتا ہے۔
- Addr tcp اسکین - منبع پورے نیٹ ورک کو اسی TCP پورٹ پر اسکین کرتا ہے، منزل کا IP پتہ تبدیل کرتا ہے۔ اس صورت میں، ذریعہ TCP ری سیٹ پیکٹ وصول کرتا ہے یا اسے بالکل بھی جواب نہیں ملتا ہے۔
- Addr udp اسکین - منبع پورے نیٹ ورک کو اسی UDP پورٹ پر اسکین کرتا ہے، جبکہ منزل کا IP پتہ تبدیل کرتا ہے۔ اس صورت میں، ذریعہ کو ICMP پورٹ ناقابل رسائی پیکٹ موصول ہوتے ہیں یا جوابات بالکل بھی موصول نہیں ہوتے ہیں۔
- پنگ اسکین - جوابات تلاش کرنے کے لیے ذریعہ ICMP کی درخواستیں پورے نیٹ ورک کو بھیجتا ہے۔
- اسٹیلتھ اسکین tсp/udp - منبع نے ایک ہی پورٹ کو ایک ہی وقت میں منزل نوڈ پر متعدد بندرگاہوں سے مربوط کرنے کے لیے استعمال کیا۔
تمام اندرونی سکینرز کو ایک ساتھ تلاش کرنا زیادہ آسان بنانے کے لیے، اس کے لیے ایک نیٹ ورک ایپ موجود ہے۔ اسٹیلتھ واچ - مرئیت کا اندازہ. ٹیب پر جا رہے ہیں۔ ڈیش بورڈز → مرئیت کی تشخیص → اندرونی نیٹ ورک سکینر آپ پچھلے 2 ہفتوں کے سکیننگ سے متعلق سیکورٹی واقعات دیکھیں گے۔
بٹن دبانے سے تفصیلات دیکھیں، آپ ہر نیٹ ورک کی اسکیننگ کا آغاز، ٹریفک کا رجحان اور متعلقہ الارم دیکھیں گے۔
اس کے بعد، آپ پچھلے اسکرین شاٹ میں ٹیب سے میزبان میں "ناکام" ہو سکتے ہیں اور سیکیورٹی ایونٹس کے ساتھ ساتھ اس میزبان کے لیے گزشتہ ہفتے کی سرگرمی بھی دیکھ سکتے ہیں۔
مثال کے طور پر واقعہ کا تجزیہ کرتے ہیں۔ پورٹ اسکین میزبان سے 10.201.3.149 پر 10.201.0.72، دبانا اعمال > وابستہ بہاؤ. ایک دھاگے کی تلاش شروع کی جاتی ہے اور متعلقہ معلومات ظاہر ہوتی ہے۔
ہم اس میزبان کو اس کی ایک بندرگاہ سے کیسے دیکھتے ہیں۔ 51508/TCP پورٹ کے ذریعے منزل کے میزبان کو 3 گھنٹے پہلے اسکین کیا گیا۔ 22، 28، 42، 41، 36، 40 (TCP). کچھ فیلڈز معلومات کو ظاہر نہیں کرتے ہیں کیونکہ نیٹ فلو ایکسپورٹر پر تمام نیٹ فلو فیلڈز تعاون یافتہ نہیں ہیں۔
6. CTA کا استعمال کرتے ہوئے ڈاؤن لوڈ کردہ میلویئر کا تجزیہ
CTA (علمی خطرے کے تجزیات) — Cisco cloud analytics، جو Cisco StealthWatch کے ساتھ مکمل طور پر ضم ہوتا ہے اور آپ کو دستخطی تجزیہ کے ساتھ دستخط سے پاک تجزیہ کو مکمل کرنے کی اجازت دیتا ہے۔ اس سے ٹروجن، نیٹ ورک ورمز، زیرو ڈے میلویئر اور دیگر میلویئر کا پتہ لگانا اور انہیں نیٹ ورک کے اندر تقسیم کرنا ممکن ہو جاتا ہے۔ اس کے علاوہ، پہلے ذکر کردہ ETA ٹیکنالوجی آپ کو انکرپٹڈ ٹریفک میں اس طرح کے نقصان دہ مواصلات کا تجزیہ کرنے کی اجازت دیتی ہے۔
لفظی طور پر ویب انٹرفیس میں پہلے ہی ٹیب پر ایک خاص ویجیٹ ہے۔ علمی خطرے کے تجزیات. ایک مختصر خلاصہ صارف کے میزبانوں پر پائے جانے والے خطرات کی نشاندہی کرتا ہے: ٹروجن، فراڈ سافٹ ویئر، پریشان کن ایڈویئر۔ لفظ "انکرپٹڈ" دراصل ETA کے کام کی نشاندہی کرتا ہے۔ کسی میزبان پر کلک کرنے سے، اس کے بارے میں تمام معلومات، سیکورٹی ایونٹس بشمول CTA لاگز ظاہر ہوتے ہیں۔
CTA کے ہر مرحلے پر منڈلاتے ہوئے، ایونٹ تعامل کے بارے میں تفصیلی معلومات دکھاتا ہے۔ مکمل تجزیات کے لیے، یہاں کلک کریں۔ واقعہ کی تفصیلات دیکھیں، اور آپ کو ایک علیحدہ کنسول پر لے جایا جائے گا۔ علمی خطرے کے تجزیات.
اوپری دائیں کونے میں، ایک فلٹر آپ کو واقعات کو شدت کی سطح سے ظاہر کرنے کی اجازت دیتا ہے۔ جب آپ کسی مخصوص بے ضابطگی کی طرف اشارہ کرتے ہیں، تو لاگز اسکرین کے نیچے دائیں طرف متعلقہ ٹائم لائن کے ساتھ ظاہر ہوتے ہیں۔ اس طرح، انفارمیشن سیکیورٹی ماہر واضح طور پر سمجھتا ہے کہ کون سا متاثرہ میزبان، کون سے اعمال کے بعد، کون سے اعمال انجام دینے لگا۔
ذیل میں ایک اور مثال ہے - ایک بینکنگ ٹروجن جس نے میزبان کو متاثر کیا۔ 198.19.30.36. اس میزبان نے بدنیتی پر مبنی ڈومینز کے ساتھ تعامل شروع کیا، اور لاگ ان تعاملات کے بہاؤ کے بارے میں معلومات دکھاتے ہیں۔
اس کے بعد، ایک بہترین حل جو ہو سکتا ہے وہ ہے میزبان کو قرنطینہ میں رکھنا مزید علاج اور تجزیہ کے لیے Cisco ISE کے ساتھ۔
حاصل يہ ہوا
Cisco StealthWatch حل نیٹ ورک کے تجزیہ اور معلومات کی حفاظت کے لحاظ سے نیٹ ورک مانیٹرنگ پروڈکٹس کے لیڈروں میں سے ایک ہے۔ اس کی بدولت، آپ نیٹ ورک کے اندر غیر قانونی تعاملات، ایپلیکیشن میں تاخیر، انتہائی فعال صارفین، بے ضابطگیوں، مالویئر اور اے پی ٹی کا پتہ لگا سکتے ہیں۔ مزید یہ کہ، آپ سکینر، پینٹیسٹر تلاش کر سکتے ہیں، اور HTTPS ٹریفک کا کرپٹو آڈٹ کر سکتے ہیں۔ آپ کو اس سے بھی زیادہ استعمال کے معاملات یہاں پر مل سکتے ہیں۔ .
اگر آپ یہ دیکھنا چاہتے ہیں کہ آپ کے نیٹ ورک پر ہر چیز کتنی آسانی اور مؤثر طریقے سے کام کرتی ہے، تو بھیجیں۔ .
مستقبل قریب میں، ہم مختلف معلوماتی حفاظتی مصنوعات پر مزید کئی تکنیکی اشاعتوں کی منصوبہ بندی کر رہے ہیں۔ اگر آپ اس موضوع میں دلچسپی رکھتے ہیں، تو ہمارے چینلز میں اپ ڈیٹس کو فالو کریں (, , , )!
ماخذ: www.habr.com