Oqim protokollari ichki tarmoq xavfsizligini nazorat qilish vositasi sifatida

Ichki korporativ yoki idoraviy tarmoq xavfsizligini monitoring qilish haqida gap ketganda, ko'pchilik buni ma'lumotlarning sizib chiqishini nazorat qilish va DLP yechimlarini joriy qilish bilan bog'laydi. Va agar siz savolga aniqlik kiritishga harakat qilsangiz va ichki tarmoqqa hujumlarni qanday aniqlaganingizni so'rasangiz, javob, qoida tariqasida, hujumni aniqlash tizimlari (IDS) haqida eslatib o'tadi. Va 10-20 yil oldin yagona variant bo'lgan narsa bugungi kunda anaxronizmga aylanib bormoqda. Keyinchalik samaraliroq va ba'zi joylarda ichki tarmoqni kuzatishning yagona mumkin bo'lgan varianti mavjud - dastlab tarmoq muammolarini qidirish (nosozliklarni bartaraf etish) uchun mo'ljallangan oqim protokollaridan foydalanish, ammo vaqt o'tishi bilan juda qiziqarli xavfsizlik vositasiga aylandi. Biz qanday oqim protokollari mavjudligi va qaysi biri tarmoq hujumlarini aniqlashda yaxshiroq ekanligi, oqim monitoringini qayerda amalga oshirish yaxshiroq ekanligi, bunday sxemani qo'llashda nimalarga e'tibor berish kerakligi va hatto bularning barchasini mahalliy uskunalarda qanday qilib "ko'tarish" haqida gaplashamiz. ushbu maqola doirasida.

Men “Nima uchun ichki infratuzilma xavfsizligi monitoringi zarur?” degan savolga to‘xtalmayman. Javob aniq ko'rinadi. Ammo, shunga qaramay, siz bugun usiz yashay olmasligingizga yana bir bor ishonch hosil qilishni istasangiz, bir ko'z tashlang xavfsizlik devori bilan himoyalangan korporativ tarmoqqa 17 usulda qanday kirishingiz mumkinligi haqida qisqa video. Shuning uchun biz ichki monitoring zarur narsa ekanligini tushunamiz va uni qanday tashkil qilish mumkinligini tushunish qoladi.

Men tarmoq darajasida infratuzilmani monitoring qilish uchun uchta asosiy ma'lumot manbasini ajratib ko'rsataman:

• Biz ushlaydigan va ma'lum tahlil tizimlariga tahlil qilish uchun yuboradigan "xom" trafik,
• trafik o'tadigan tarmoq qurilmalaridagi hodisalar,
• oqim protokollaridan biri orqali olingan trafik ma'lumotlari.

Xom trafikni qo'lga kiritish xavfsizlik mutaxassislari orasida eng mashhur variantdir, chunki u tarixan paydo bo'lgan va birinchi bo'lgan. Tarmoqqa tajovuzni aniqlashning an'anaviy tizimlari (birinchi tijoriy hujumni aniqlash tizimi 1998 yilda Cisco tomonidan sotib olingan Wheel Group kompaniyasidan NetRanger edi) ma'lum imzolar qidiriladigan paketlarni (va keyingi seanslarni) olish bilan shug'ullangan ("hal qiluvchi qoidalar"). FSTEC terminologiyasi), signal hujumlari. Albatta, siz xom trafikni nafaqat IDS, balki boshqa vositalar yordamida ham tahlil qilishingiz mumkin (masalan, Wireshark, tcpdum yoki Cisco IOS-dagi NBAR2 funksionalligi), lekin ular odatda axborot xavfsizligi vositasini oddiy dasturdan ajratib turadigan bilim bazasiga ega emaslar. IT vositasi.

Shunday qilib, hujumni aniqlash tizimlari. Tarmoq hujumlarini aniqlashning eng qadimgi va eng mashhur usuli, u perimetrda yaxshi ish qiladi (nima bo'lishidan qat'iy nazar - korporativ, ma'lumotlar markazi, segment va boshqalar), lekin zamonaviy kommutatsiyalangan va dasturiy ta'minot bilan aniqlangan tarmoqlarda muvaffaqiyatsizlikka uchraydi. An'anaviy kalitlar asosida qurilgan tarmoq bo'lsa, hujumni aniqlash sensorlari infratuzilmasi juda katta bo'ladi - siz hujumlarni kuzatmoqchi bo'lgan tugunga har bir ulanishga sensor o'rnatishingiz kerak bo'ladi. Har qanday ishlab chiqaruvchi, albatta, sizga yuzlab va minglab sensorlarni sotishdan mamnun bo'ladi, lekin menimcha, sizning byudjetingiz bunday xarajatlarni qo'llab-quvvatlay olmaydi. Aytishim mumkinki, hatto Cisco-da (va biz NGIPS-ni ishlab chiquvchimiz) biz buni qila olmadik, garchi narx masalasi oldimizda turganga o'xshaydi. Men turmasligim kerak - bu bizning qarorimiz. Bundan tashqari, savol tug'iladi, bu versiyada sensorni qanday ulash mumkin? Bo'shliqqa? Sensorning o'zi ishlamay qolsa nima bo'ladi? Sensorda bypass moduli kerakmi? Splitterlardan foydalanilsinmi (tegish)? Bularning barchasi yechimni qimmatroq qiladi va uni har qanday o'lchamdagi kompaniya uchun sotib bo'lmaydi.

Sensorni SPAN/RSPAN/ERSPAN portiga “osib qo‘yishga” va kerakli o‘tish portlaridan trafikni unga yo‘naltirishga urinib ko‘rishingiz mumkin. Ushbu parametr avvalgi xatboshida tasvirlangan muammoni qisman bartaraf qiladi, lekin boshqasini keltirib chiqaradi - SPAN porti unga yuboriladigan barcha trafikni mutlaqo qabul qila olmaydi - u etarli tarmoqli kengligiga ega bo'lmaydi. Siz biror narsani qurbon qilishingiz kerak bo'ladi. Yoki ba'zi tugunlarni kuzatmasdan qoldiring (keyin ularni birinchi o'ringa qo'yishingiz kerak) yoki tugundan barcha trafikni emas, balki faqat ma'lum bir turni yuboring. Har qanday holatda ham ayrim hujumlarni o'tkazib yuborishimiz mumkin. Bundan tashqari, SPAN portidan boshqa ehtiyojlar uchun ham foydalanish mumkin. Natijada, biz mavjud tarmoq topologiyasini ko'rib chiqishimiz va tarmoqingizni sizda mavjud bo'lgan sensorlar soni bilan maksimal darajada qoplash uchun (va buni IT bilan muvofiqlashtirish) uchun unga tuzatishlar kiritishimiz kerak bo'ladi.

Agar sizning tarmog'ingiz assimetrik marshrutlardan foydalansa nima bo'ladi? Agar siz SDN-ni joriy qilgan bo'lsangiz yoki amalga oshirishni rejalashtirmoqchi bo'lsangiz-chi? Agar virtualizatsiya qilingan mashinalar yoki trafik jismoniy kalitga umuman etib bormaydigan konteynerlarni kuzatishingiz kerak bo'lsa-chi? Bu an'anaviy IDS sotuvchilari yoqtirmaydigan savollar, chunki ularga qanday javob berishni bilishmaydi. Ehtimol, ular sizni ushbu zamonaviy texnologiyalarning barchasi shov-shuvli va sizga kerak emasligiga ishontirishadi. Ehtimol, ular kichikdan boshlash kerakligi haqida gapirishadi. Yoki ular tarmoqning markaziga kuchli xirmonni qo'yish va balanslashtirgichlar yordamida barcha trafikni unga yo'naltirish kerakligini aytishadi. Sizga qanday variant taklif qilinmasin, u sizga qanchalik mos kelishini aniq tushunishingiz kerak. Va shundan keyingina tarmoq infratuzilmasi axborot xavfsizligini monitoring qilish yondashuvini tanlash to'g'risida qaror qabul qiling. Paketni qo'lga kiritishga qaytsak, shuni aytmoqchimanki, bu usul juda mashhur va muhim bo'lib qolmoqda, ammo uning asosiy maqsadi chegara nazorati; tashkilotingiz va Internet o'rtasidagi chegaralar, ma'lumotlar markazi va tarmoqning qolgan qismi o'rtasidagi chegaralar, jarayonni boshqarish tizimi va korporativ segment o'rtasidagi chegaralar. Bu joylarda klassik IDS/IPS hali ham mavjud bo'lish va o'z vazifalarini yaxshi bajarish huquqiga ega.

Keling, ikkinchi variantga o'tamiz. Tarmoq qurilmalaridan keladigan hodisalarni tahlil qilish hujumlarni aniqlash maqsadlarida ham qo'llanilishi mumkin, lekin asosiy mexanizm sifatida emas, chunki u faqat kichik toifadagi kirishlarni aniqlashga imkon beradi. Bundan tashqari, u ba'zi reaktivlikka xosdir - hujum birinchi navbatda sodir bo'lishi kerak, keyin u tarmoq qurilmasi tomonidan qayd etilishi kerak, bu u yoki bu tarzda axborot xavfsizligi bilan bog'liq muammo haqida signal beradi. Bunday usullarning bir nechtasi mavjud. Bu syslog, RMON yoki SNMP bo'lishi mumkin. Axborot xavfsizligi kontekstida tarmoq monitoringining oxirgi ikkita protokoli faqat tarmoq uskunasiga DoS hujumini aniqlashimiz kerak bo'lganda qo'llaniladi, chunki RMON va SNMP-dan foydalangan holda, masalan, qurilmaning markaziy qismidagi yukni kuzatish mumkin. protsessor yoki uning interfeyslari. Bu "eng arzon"lardan biri (hammada syslog yoki SNMP mavjud), lekin ayni paytda ichki infratuzilmaning axborot xavfsizligini monitoring qilishning barcha usullaridan eng samarasiz - ko'plab hujumlar undan yashiringan. Albatta, ularni e'tiborsiz qoldirmaslik kerak va xuddi shu syslog tahlili qurilmaning o'zi konfiguratsiyasidagi o'zgarishlarni, uning buzilishini o'z vaqtida aniqlashga yordam beradi, ammo bu butun tarmoqqa hujumlarni aniqlash uchun juda mos kelmaydi.

Uchinchi variant - bir nechta oqim protokollaridan birini qo'llab-quvvatlaydigan qurilma orqali o'tadigan trafik haqidagi ma'lumotlarni tahlil qilish. Bunday holda, protokoldan qat'i nazar, tarmoqli infratuzilmasi majburiy ravishda uchta komponentdan iborat:

• Oqimni yaratish yoki eksport qilish. Ushbu rol odatda yo'riqnoma, kommutator yoki boshqa tarmoq qurilmasiga tayinlanadi, u tarmoq trafigini o'zi orqali o'tkazib, undan asosiy parametrlarni olish imkonini beradi, keyinchalik ular yig'ish moduliga uzatiladi. Misol uchun, Cisco Netflow protokolini nafaqat marshrutizatorlar va kalitlarda, shu jumladan virtual va sanoatda, balki simsiz boshqaruvchilar, xavfsizlik devorlari va hatto serverlarda ham qo'llab-quvvatlaydi.
• Yig'ish oqimi. Zamonaviy tarmoq odatda bir nechta tarmoq qurilmalariga ega ekanligini hisobga olsak, oqimlarni yig'ish va birlashtirish muammosi paydo bo'ladi, bu kollektorlar deb ataladigan vositalar yordamida hal qilinadi, ular qabul qilingan oqimlarni qayta ishlaydi va keyin ularni tahlil qilish uchun uzatadi.
• Oqim tahlili Analizator asosiy intellektual vazifani o'z zimmasiga oladi va oqimlarga turli xil algoritmlarni qo'llash orqali ma'lum xulosalar chiqaradi. Masalan, IT funktsiyasining bir qismi sifatida bunday analizator tarmoqdagi to'siqlarni aniqlashi yoki tarmoqni yanada optimallashtirish uchun trafik yuki profilini tahlil qilishi mumkin. Va axborot xavfsizligi uchun bunday analizator ma'lumotlarning sizib chiqishini, zararli kodning tarqalishini yoki DoS hujumlarini aniqlay oladi.

Ushbu uch bosqichli arxitektura juda murakkab deb o'ylamang - boshqa barcha variantlar (ehtimol, SNMP va RMON bilan ishlaydigan tarmoq monitoringi tizimlari bundan mustasno) ham shunga muvofiq ishlaydi. Bizda tahlil qilish uchun ma'lumotlar generatori mavjud, u tarmoq qurilmasi yoki mustaqil sensor bo'lishi mumkin. Bizda signal yig'ish tizimi va butun monitoring infratuzilmasi uchun boshqaruv tizimi mavjud. Oxirgi ikkita komponent bitta tugun ichida birlashtirilishi mumkin, lekin ko'proq yoki kamroq katta tarmoqlarda ular kengayishi va ishonchliligini ta'minlash uchun odatda kamida ikkita qurilma bo'ylab tarqaladi.

Har bir paketning sarlavhasi va asosiy ma'lumotlarini va uning tarkibidagi seanslarni o'rganishga asoslangan paket tahlilidan farqli o'laroq, oqim tahlili tarmoq trafigiga oid metama'lumotlarni yig'ishga asoslanadi. Qachon, qancha, qayerdan va qayerdan, qanday... bu savollarga turli oqim protokollari yordamida tarmoq telemetriyasining tahlili javob beradi. Dastlab ular statistik ma'lumotlarni tahlil qilish va tarmoqdagi IT muammolarini topish uchun ishlatilgan, ammo keyinchalik analitik mexanizmlar ishlab chiqilishi bilan ularni xavfsizlik maqsadida bir xil telemetriyaga qo'llash mumkin bo'ldi. Yana bir bor ta'kidlash joizki, oqim tahlili paketlarni yozib olishni o'zgartirmaydi yoki o'rnini bosa olmaydi. Ushbu usullarning har biri o'z qo'llash sohasiga ega. Ammo ushbu maqola kontekstida ichki infratuzilmani kuzatish uchun eng mos keladigan oqim tahlili. Sizda hujumni chetlab o'tolmaydigan tarmoq qurilmalaringiz bor (ular dasturiy ta'minot bilan belgilangan paradigmada yoki statik qoidalarga muvofiq ishlaydi). U klassik IDS sensorini chetlab o'tishi mumkin, ammo oqim protokolini qo'llab-quvvatlaydigan tarmoq qurilmasi buni qila olmaydi. Bu usulning afzalligi.

Boshqa tomondan, agar sizga huquqni muhofaza qilish organlari yoki o'zingizning voqea tergov guruhi uchun dalil kerak bo'lsa, siz paketlarni ushlamasdan qilolmaysiz - tarmoq telemetriyasi dalillarni to'plash uchun ishlatilishi mumkin bo'lgan trafik nusxasi emas; axborot xavfsizligi sohasida tezkor aniqlash va qaror qabul qilish uchun zarur. Boshqa tomondan, telemetriya tahlilidan foydalanib, siz barcha tarmoq trafigini emas (agar biror narsa bo'lsa, Cisco ma'lumotlar markazlari bilan shug'ullanadi :-), balki faqat hujumda ishtirok etgan narsani "yozishingiz" mumkin. Bu borada telemetriyani tahlil qilish vositalari an'anaviy paketlarni ushlash mexanizmlarini yaxshi to'ldiradi va tanlangan suratga olish va saqlash uchun buyruqlar beradi. Aks holda, siz ulkan saqlash infratuzilmasiga ega bo'lishingiz kerak bo'ladi.

250 Mbit/sek tezlikda ishlaydigan tarmoqni tasavvur qilaylik. Agar siz ushbu hajmning barchasini saqlamoqchi bo'lsangiz, unda bir soniya trafik uzatish uchun 31 MB, bir daqiqa uchun 1,8 GB, bir soat uchun 108 GB va bir kun uchun 2,6 TB xotira kerak bo'ladi. O'tkazish qobiliyati 10 Gbit/s bo'lgan tarmoqdan kunlik ma'lumotlarni saqlash uchun sizga 108 TB xotira kerak bo'ladi. Ammo ba'zi regulyatorlar xavfsizlik ma'lumotlarini yillar davomida saqlashni talab qiladilar ... Oqim tahlilini amalga oshirishga yordam beradigan talab bo'yicha ro'yxatga olish bu qiymatlarni kattalik buyurtmalari bo'yicha kamaytirishga yordam beradi. Aytgancha, agar biz yozib olingan tarmoq telemetriya ma'lumotlari hajmi va to'liq ma'lumotlarni olish nisbati haqida gapiradigan bo'lsak, u taxminan 1 dan 500 gacha. Yuqorida keltirilgan qiymatlar uchun barcha kunlik trafikning to'liq transkripti saqlanadi. mos ravishda 5 va 216 GB bo'ladi (hatto uni oddiy flesh-diskda yozib olishingiz mumkin ).

Agar xom tarmoq ma'lumotlarini tahlil qilish vositalari uchun uni qo'lga kiritish usuli sotuvchidan sotuvchiga deyarli bir xil bo'lsa, oqimni tahlil qilishda vaziyat boshqacha. Oqim protokollarining bir nechta variantlari mavjud, ulardagi farqlar xavfsizlik nuqtai nazaridan bilishingiz kerak. Eng mashhuri Cisco tomonidan ishlab chiqilgan Netflow protokoli. Ushbu protokolning bir nechta versiyalari mavjud bo'lib, ularning imkoniyatlari va qayd etilgan trafik ma'lumotlari miqdori bilan farqlanadi. Joriy versiya to'qqizinchi (Netflow v9) bo'lib, uning asosida IPFIX nomi bilan ham tanilgan Netflow v10 sanoat standarti ishlab chiqilgan. Bugungi kunda ko'pchilik tarmoq sotuvchilari o'z uskunalarida Netflow yoki IPFIX-ni qo'llab-quvvatlaydi. Ammo oqim protokollari uchun turli xil variantlar mavjud - sFlow, jFlow, cFlow, rFlow, NetStream va boshqalar, ulardan sFlow eng mashhurdir. Aynan shu turni amalga oshirish qulayligi tufayli mahalliy tarmoq uskunalari ishlab chiqaruvchilari ko'pincha qo'llab-quvvatlaydi. De-fakto standartga aylangan Netflow va sFlow o'rtasidagi asosiy farqlar qanday? Men bir nechta asosiylarini ta'kidlagan bo'lardim. Birinchidan, Netflow sFlow-dagi sobit maydonlardan farqli o'laroq, foydalanuvchi tomonidan sozlanishi mumkin bo'lgan maydonlarga ega. Va ikkinchidan, va bu bizning holatlarimizda eng muhim narsa, sFlow namunali telemetriya deb ataladigan narsalarni to'playdi; Netflow va IPFIX uchun namuna olinmaganidan farqli o'laroq. Ularning orasidagi farq nima?

Tasavvur qiling-a, siz kitobni o'qishga qaror qildingiz "Xavfsizlik operatsiyalari markazi: SOCni qurish, ishlatish va saqlash” mening hamkasblarim - Gari Makintayr, Jozef Munitz va Nadem Alfardan (siz kitobning bir qismini havoladan yuklab olishingiz mumkin). Maqsadingizga erishish uchun sizda uchta variant bor - to'liq kitobni o'qing, uni ko'zdan kechiring, har 10 yoki 20-sahifada to'xtab turing yoki SmartReading kabi blog yoki xizmatda asosiy tushunchalarning qayta bayonini topishga harakat qiling. Shunday qilib, namunasiz telemetriya tarmoq trafigining har bir "sahifasini" o'qiydi, ya'ni har bir paket uchun metama'lumotlarni tahlil qiladi. Namuna olingan telemetriya - tanlangan namunalar sizga kerak bo'lgan narsalarni o'z ichiga oladi degan umidda trafikni tanlab o'rganishdir. Kanal tezligiga qarab, namunaviy telemetriya har 64, 200, 500, 1000, 2000 va hatto 10000-paketda tahlilga yuboriladi.

Axborot xavfsizligi monitoringi kontekstida, bu namunaviy telemetriya DDoS hujumlarini aniqlash, skanerlash va zararli kodni tarqatish uchun juda mos ekanligini anglatadi, ammo tahlilga yuborilgan namunaga kiritilmagan atom yoki ko'p paketli hujumlarni o'tkazib yuborishi mumkin. Namunasiz telemetriyaning bunday kamchiliklari yo'q. Bu bilan aniqlangan hujumlar doirasi ancha kengaydi. Bu erda tarmoq telemetriyasini tahlil qilish vositalari yordamida aniqlanishi mumkin bo'lgan voqealarning qisqa ro'yxati keltirilgan.

Albatta, ba'zi ochiq manba Netflow analizatorlari buni amalga oshirishga imkon bermaydi, chunki uning asosiy vazifasi telemetriyani yig'ish va IT nuqtai nazaridan asosiy tahlillarni o'tkazishdir. Oqim asosida axborot xavfsizligi tahdidlarini aniqlash uchun analizatorni standart yoki moslashtirilgan Netflow maydonlari asosida kiberxavfsizlik muammolarini aniqlaydigan turli xil dvigatellar va algoritmlar bilan jihozlash kerak, standart ma'lumotlarni turli xil tahdidlarni razvedka manbalaridan tashqi ma'lumotlar bilan boyitadi va hokazo.

Shuning uchun, agar sizda tanlov bo'lsa, Netflow yoki IPFIX ni tanlang. Ammo sizning uskunangiz mahalliy ishlab chiqaruvchilar kabi faqat sFlow bilan ishlayotgan bo'lsa ham, bu holatda ham siz undan xavfsizlik nuqtai nazaridan foyda olishingiz mumkin.

2019 yilning yozida men rus tarmoq apparat ishlab chiqaruvchilarining imkoniyatlarini tahlil qildim va ularning barchasi, NSG, Polygon va Craftway bundan mustasno, sFlow (hech bo'lmaganda Zelax, Natex, Eltex, QTech, Rusteleteh) ni qo'llab-quvvatlashini e'lon qildi.

Siz duch keladigan keyingi savol - xavfsizlik maqsadlarida oqimni qo'llab-quvvatlashni qayerda amalga oshirish kerak? Aslida, savol to'liq to'g'ri qo'yilmagan. Zamonaviy uskunalar deyarli har doim oqim protokollarini qo'llab-quvvatlaydi. Shuning uchun men savolni boshqacha shakllantirgan bo'lardim - xavfsizlik nuqtai nazaridan telemetriyani yig'ish qayerda samaraliroq? Javob juda aniq bo'ladi - kirish darajasida, siz barcha trafikning 100% ni ko'rasiz, bu erda siz xostlar (MAC, VLAN, interfeys identifikatori) haqida batafsil ma'lumotga ega bo'lasiz, bu erda siz hatto xostlar o'rtasidagi P2P trafikni kuzatishingiz mumkin. skanerlash zararli kodni aniqlash va tarqatish uchun juda muhimdir. Asosiy darajada siz trafikning bir qismini ko'rmasligingiz mumkin, lekin perimetr darajasida siz barcha tarmoq trafigining to'rtdan bir qismini ko'rasiz. Ammo agar biron sababga ko'ra sizning tarmog'ingizda tajovuzkorlarga perimetrni chetlab o'tmasdan "kirish va chiqish" imkonini beradigan xorijiy qurilmalar mavjud bo'lsa, undan telemetriyani tahlil qilish sizga hech narsa bermaydi. Shuning uchun, maksimal qamrab olish uchun kirish darajasida telemetriya to'plamini yoqish tavsiya etiladi. Shu bilan birga, shuni ta'kidlash kerakki, agar biz virtualizatsiya yoki konteynerlar haqida gapiradigan bo'lsak ham, oqimni qo'llab-quvvatlash ko'pincha zamonaviy virtual kalitlarda topiladi, bu sizga u erda ham trafikni boshqarish imkonini beradi.

Ammo men mavzuni ko'targanimdan so'ng, men savolga javob berishim kerak: agar uskuna jismoniy yoki virtual oqim protokollarini qo'llab-quvvatlamasa nima bo'ladi? Yoki uni kiritish taqiqlanganmi (masalan, ishonchliligini ta'minlash uchun sanoat segmentlarida)? Yoki uni yoqish yuqori protsessor yuklanishiga olib keladimi (bu eski uskunada sodir bo'ladi)? Ushbu muammoni hal qilish uchun maxsus virtual sensorlar (oqim sensorlari) mavjud bo'lib, ular mohiyatan oddiy ajratgichlar bo'lib, ular o'zlari orqali trafikni o'tkazadilar va uni oqim shaklida yig'ish moduliga uzatadilar. To'g'ri, bu holda biz paketlarni yozib olish vositalariga nisbatan yuqorida aytib o'tgan barcha muammolarni olamiz. Ya'ni, siz nafaqat oqim tahlili texnologiyasining afzalliklarini, balki uning cheklovlarini ham tushunishingiz kerak.

Oqimlarni tahlil qilish vositalari haqida gapirganda eslash muhim bo'lgan yana bir nuqta. Agar xavfsizlik hodisalarini yaratishning an'anaviy vositalariga nisbatan biz EPS ko'rsatkichidan foydalansak (sekundiga hodisa), unda bu ko'rsatkich telemetriya tahliliga taalluqli emas; u FPS (sekundiga oqim) bilan almashtiriladi. EPS holatida bo'lgani kabi, uni oldindan hisoblash mumkin emas, lekin siz uning vazifasiga qarab ma'lum bir qurilma yaratadigan iplarning taxminiy sonini taxmin qilishingiz mumkin. Siz Internetda har xil turdagi korporativ qurilmalar va shartlar uchun taxminiy qiymatlarga ega jadvallarni topishingiz mumkin, bu sizga tahlil vositalari uchun qanday litsenziyalar kerakligini va ularning arxitekturasi qanday bo'lishini taxmin qilish imkonini beradi? Haqiqat shundaki, IDS sensori "tortib olishi" mumkin bo'lgan ma'lum bir tarmoqli kengligi bilan cheklangan va oqim kollektori tushunilishi kerak bo'lgan o'z cheklovlariga ega. Shuning uchun katta, geografik jihatdan taqsimlangan tarmoqlarda odatda bir nechta kollektorlar mavjud. Men tasvirlaganimda tarmoq Cisco ichida qanday nazorat qilinadi, Men allaqachon bizning kollektorlar sonini aytdim - ularning soni 21 ta. Va bu beshta qit'a bo'ylab tarqalgan va yarim millionga yaqin faol qurilmalarga ega tarmoq uchun).

Biz o'z yechimimizdan Netflow monitoring tizimi sifatida foydalanamiz Cisco Stealthwatch, bu ayniqsa xavfsizlik muammolarini hal qilishga qaratilgan. Unda anomal, shubhali va aniq zararli faoliyatni aniqlash uchun koʻplab oʻrnatilgan dvigatellar mavjud boʻlib, ular turli xil tahdidlarning keng doirasini aniqlash imkonini beradi - kriptominatsiyadan maʼlumotlarning sizib chiqishigacha, zararli kodning tarqalishidan firibgarlikgacha. Ko'pgina oqim analizatorlari singari, Stealthwatch ham uch darajali sxema bo'yicha qurilgan (generator - kollektor - analizator), lekin u ko'rib chiqilayotgan material kontekstida muhim bo'lgan bir qator qiziqarli xususiyatlar bilan to'ldirilgan. Birinchidan, u paketlarni yozib olish yechimlari (masalan, Cisco Security Packet Analyzer) bilan integratsiyalashib, keyinchalik chuqur tekshirish va tahlil qilish uchun tanlangan tarmoq seanslarini yozib olish imkonini beradi. Ikkinchidan, ayniqsa, xavfsizlik vazifalarini kengaytirish uchun biz maxsus nvzFlow protokolini ishlab chiqdik, bu sizga oxirgi tugunlardagi (serverlar, ish stantsiyalari va boshqalar) ilovalarning faoliyatini telemetriyaga "translyatsiya qilish" va keyingi tahlil qilish uchun kollektorga uzatish imkonini beradi. Agar Stealthwatch o'zining asl versiyasida tarmoq darajasida har qanday oqim protokoli (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) bilan ishlayotgan bo'lsa, nvzFlow qo'llab-quvvatlashi ma'lumotlarni tugun darajasida ham korrelyatsiya qilishga imkon beradi. butun tizimning samaradorligini oshirish va an'anaviy tarmoq oqimi analizatorlariga qaraganda ko'proq hujumlarni ko'rish.

Xavfsizlik nuqtai nazaridan Netflow tahlil tizimlari haqida gapirganda, bozor Cisco kompaniyasining yagona yechimi bilan cheklanib qolmasligi aniq. Siz ham tijorat, ham bepul yoki umumiy dasturlardan foydalanishingiz mumkin. Cisco blogida raqobatchilarning yechimlarini misol qilib keltirsam, juda g'alati, shuning uchun tarmoq telemetriyasini ikkita mashhur, nomi o'xshash, ammo baribir turli xil vositalar - SiLK va ELK yordamida qanday tahlil qilish mumkinligi haqida bir necha so'z aytaman.

SiLK - bu Amerika CERT/CC tomonidan ishlab chiqilgan va bugungi maqola kontekstida Netflow (eng ommabop versiyalar 5 va 9), IPFIXni qo'llab-quvvatlaydigan trafikni tahlil qilish uchun vositalar to'plami (Internet darajasidagi bilimlar tizimi). va sFlow va turli utilitlardan (rwfilter, rwcount, rwflowpack va boshqalar) foydalanib, undagi ruxsat etilmagan harakatlar belgilarini aniqlash maqsadida tarmoq telemetriyasida turli operatsiyalarni amalga oshiradi. Ammo e'tiborga olish kerak bo'lgan bir nechta muhim fikrlar mavjud. SiLK - bu kabi buyruqlarni kiritish orqali onlayn tahlilni amalga oshiradigan buyruq qatori vositasi (200 baytdan katta ICMP paketlarini aniqlash):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

unchalik qulay emas. Siz iSiLK GUI-dan foydalanishingiz mumkin, lekin u hayotingizni osonlashtirmaydi, faqat vizualizatsiya funksiyasini hal qiladi va tahlilchini almashtirmaydi. Va bu ikkinchi nuqta. Qattiq analitik bazaga, anomaliyalarni aniqlash algoritmlariga, tegishli ish jarayoniga va boshqalarga ega bo'lgan tijorat echimlaridan farqli o'laroq, SiLK holatida siz bularning barchasini o'zingiz qilishingiz kerak bo'ladi, bu sizdan allaqachon tayyor bo'lgandan ko'ra bir oz boshqacha vakolatlarni talab qiladi. vositalaridan foydalanish. Bu yaxshi ham, yomon ham emas - bu deyarli har qanday bepul vositaning xususiyati bo'lib, siz nima qilishni bilasiz va bu sizga faqat yordam beradi (tijorat vositalari foydalanuvchilarning malakasiga kamroq bog'liq, garchi ular ham analitiklar hech bo'lmaganda tarmoq tekshiruvlari va monitoringi asoslarini tushunadi). Ammo keling, SiLKga qaytaylik. U bilan tahlilchining ish aylanishi quyidagicha ko'rinadi:

• Gipotezani shakllantirish. Biz tarmoq telemetriyasi ichida nimani qidirayotganimizni tushunishimiz, muayyan anomaliyalar yoki tahdidlarni aniqlaydigan noyob atributlarni bilishimiz kerak.
• Model qurish. Gipotezani shakllantirgandan so'ng, biz uni xuddi shu Python, qobiq yoki SiLKga kiritilmagan boshqa vositalar yordamida dasturlashtiramiz.
• Sinov. Endi bizning gipotezamizning to'g'riligini tekshirish navbati keladi, bu "rw", "set", "sumka" bilan boshlanadigan SiLK yordam dasturlari yordamida tasdiqlangan yoki rad etiladi.
• Haqiqiy ma'lumotlarni tahlil qilish. Sanoat faoliyatida SiLK bizga biror narsani aniqlashga yordam beradi va tahlilchi “Biz kutgan narsamizni topdikmi?”, “Bu bizning farazimizga mos keladimi?”, “Yolg‘on pozitivlar sonini qanday kamaytirish mumkin?”, “Qanday qilib” savollariga javob berishi kerak. tan olish darajasini oshirish uchunmi? » va h.k.
• Yaxshilash. Yakuniy bosqichda biz ilgari qilingan ishlarni yaxshilaymiz - biz shablonlarni yaratamiz, kodni yaxshilaymiz va optimallashtiramiz, gipotezani qayta shakllantiramiz va aniqlaymiz va hokazo.

Ushbu tsikl Cisco Stealthwatch uchun ham qo'llaniladi, faqat oxirgisi ushbu besh bosqichni maksimal darajada avtomatlashtiradi, tahlilchilarning xatolari sonini kamaytiradi va hodisalarni aniqlash samaradorligini oshiradi. Misol uchun, SiLK-da siz qo'lda yozilgan skriptlar yordamida zararli IP-lar bo'yicha tashqi ma'lumotlar bilan tarmoq statistikasini boyitishingiz mumkin va Cisco Stealthwatch-da bu o'rnatilgan funksiya bo'lib, agar tarmoq trafigida qora ro'yxatdagi IP-manzillar bilan o'zaro aloqalar mavjud bo'lsa, darhol signalni ko'rsatadi.

Agar siz oqimni tahlil qilish uchun dasturiy ta'minot uchun "pullik" piramidada yuqoriroqqa o'tsangiz, mutlaqo bepul SiLK dan so'ng uchta asosiy komponentdan tashkil topgan ELK Shareware dasturi paydo bo'ladi - Elasticsearch (indekslash, qidirish va ma'lumotlarni tahlil qilish), Logstash (ma'lumotlarni kiritish/chiqarish). ) va Kibana (vizualizatsiya). Hamma narsani o'zingiz yozishingiz kerak bo'lgan SiLKdan farqli o'laroq, ELKda tarmoq telemetriyasini tahlil qilishni avtomatlashtiradigan ko'plab tayyor kutubxonalar/modullar (ba'zilari pullik, ba'zilari esa yo'q) mavjud. Masalan, Logstash-dagi GeoIP filtri nazorat qilinadigan IP-manzillarni ularning geografik joylashuvi bilan bog'lash imkonini beradi (Stealthwatchda bu o'rnatilgan xususiyat mavjud).

ELK shuningdek, ushbu monitoring yechimi uchun etishmayotgan komponentlarni to'ldiruvchi juda katta jamoaga ega. Masalan, Netflow, IPFIX va sFlow bilan ishlash uchun siz moduldan foydalanishingiz mumkin elastik oqim, agar siz faqat Netflowni qo'llab-quvvatlaydigan Logstash Netflow modulidan qoniqmasangiz.

Oqimni yig'ish va uni qidirishda ko'proq samaradorlikni ta'minlagan holda, ELK hozirda tarmoq telemetriyasidagi anomaliyalar va tahdidlarni aniqlash uchun boy o'rnatilgan tahlillarga ega emas. Ya'ni, yuqorida tavsiflangan hayot aylanishidan so'ng, siz buzilish modellarini mustaqil ravishda tavsiflashingiz va keyin uni jangovar tizimda ishlatishingiz kerak bo'ladi (u erda o'rnatilgan modellar yo'q).

Albatta, ELK uchun yanada murakkab kengaytmalar mavjud bo'lib, ular allaqachon tarmoq telemetriyasidagi anomaliyalarni aniqlash uchun ba'zi modellarni o'z ichiga oladi, ammo bunday kengaytmalar pul talab qiladi va savol shundaki, o'yin shamga arziydimi - shunga o'xshash modelni o'zingiz yozing, uni amalga oshirishni sotib oling. monitoring vositangiz uchun yoki tarmoq trafigini tahlil qilish sinfining tayyor yechimini sotib oling.

Umuman olganda, men pul sarflash va tarmoq telemetriyasidagi anomaliyalar va tahdidlarni kuzatish uchun tayyor echimni sotib olish (masalan, Cisco Stealthwatch) yoki buni o'zingiz aniqlab, xuddi shu narsani sozlash haqida bahslashishni xohlamayman. Har bir yangi tahdid uchun SiLK, ELK yoki nfdump yoki OSU Flow Tools (men ulardan oxirgi ikkitasi haqida gapiryapman. dedi o'tgan safar)? Har kim o'zi uchun tanlaydi va har bir kishi ikkita variantdan birini tanlash uchun o'z sabablariga ega. Men shunchaki ko'rsatmoqchi edimki, tarmoq telemetriyasi sizning ichki infratuzilmangizning tarmoq xavfsizligini ta'minlashda juda muhim vosita va siz uni e'tiborsiz qoldirmasligingiz kerak, chunki ommaviy axborot vositalarida nomi epitetlar bilan birga tilga olingan kompaniyalar ro'yxatiga qo'shilmaslik kerak. buzilgan”, “axborot xavfsizligi talablariga mos kelmaydigan”, “o‘z ma’lumotlari va mijozlar ma’lumotlari xavfsizligi haqida o‘ylamaslik”.

Xulosa qilib aytganda, men ichki infratuzilmangizning axborot xavfsizligi monitoringini yaratishda amal qilishingiz kerak bo'lgan asosiy maslahatlarni sanab o'tmoqchiman:

1. O'zingizni faqat perimetr bilan cheklamang! Tarmoq infratuzilmasidan nafaqat trafikni A nuqtadan B nuqtaga ko'chirish, balki kiberxavfsizlik muammolarini hal qilish uchun ham foydalaning (va tanlang).
2. Tarmoq uskunangizdagi mavjud axborot xavfsizligi monitoringi mexanizmlarini o'rganing va ulardan foydalaning.
3. Ichki monitoring uchun telemetriya tahliliga ustunlik bering - bu tarmoq paketlarini olish va axborot xavfsizligining barcha hodisalarini saqlash uchun joyni tejashda imkonsiz bo'lgan narsani qilish bilan birga, tarmoqdagi barcha axborot xavfsizligi hodisalarining 80-90% gacha aniqlash imkonini beradi.
4. Oqimlarni kuzatish uchun Netflow v9 yoki IPFIX dan foydalaning - ular xavfsizlik kontekstida qo'shimcha ma'lumot beradi va nafaqat IPv4, balki IPv6, MPLS va boshqalarni kuzatish imkonini beradi.
5. Namuna qilinmagan oqim protokolidan foydalaning - u tahdidlarni aniqlash uchun qo'shimcha ma'lumot beradi. Masalan, Netflow yoki IPFIX.
6. Tarmoq uskunangizdagi yukni tekshiring - u oqim protokolini ham bajara olmasligi mumkin. Keyin virtual sensorlar yoki Netflow Generation Appliance-dan foydalanishni o'ylab ko'ring.
7. Nazoratni birinchi navbatda kirish darajasida amalga oshiring - bu sizga barcha trafikni 100% ko'rish imkoniyatini beradi.
8. Agar tanlovingiz bo'lmasa va siz rus tarmoq uskunasidan foydalansangiz, oqim protokollarini qo'llab-quvvatlaydigan yoki SPAN/RSPAN portlariga ega bo'lgan birini tanlang.
9. Ichki tarmoqdagi (jumladan, bulutlarda) oqimlarni tahlil qilish tizimlari va chekkalarda hujum/hujumni aniqlash/profilaktika tizimlarini birlashtiring.

Oxirgi maslahatga kelsak, men ilgari bergan misolni keltirmoqchiman. Ko'ryapsizmi, agar ilgari Cisco axborot xavfsizligi xizmati o'zining axborot xavfsizligi monitoringi tizimini deyarli to'liq hujumlarni aniqlash tizimlari va imzolash usullari asosida qurgan bo'lsa, hozir ular hodisalarning atigi 20 foizini tashkil qiladi. Yana 20% oqimlarni tahlil qilish tizimlariga to'g'ri keladi, bu esa ushbu echimlar injiqlik emas, balki zamonaviy korxonaning axborot xavfsizligi xizmatlari faoliyatida haqiqiy vosita ekanligini ko'rsatadi. Bundan tashqari, siz ularni amalga oshirish uchun eng muhim narsaga egasiz - tarmoq infratuzilmasi, tarmoqqa axborot xavfsizligi monitoringi funktsiyalarini belgilash orqali qo'shimcha ravishda himoya qilinishi mumkin bo'lgan investitsiyalar.

Men tarmoq oqimlarida aniqlangan anomaliyalar yoki tahdidlarga javob berish mavzusiga alohida to'xtalmadim, lekin menimcha, monitoring faqat tahdidni aniqlash bilan tugamasligi kerakligi allaqachon aniq. Undan keyin javob va afzal avtomatik yoki avtomatlashtirilgan rejimda bo'lishi kerak. Ammo bu alohida maqola uchun mavzu.

Qo'shimcha ma'lumot:

• Cisco IOS Netflow tavsifi
• Turli Cisco yechimlarida Netflow qo'llab-quvvatlash matritsasi
• Turli Cisco platformalarida Netflowni sozlash bo'yicha qo'llanma
• sFlow hamjamiyati
• Netflowni xavfsizlik nuqtai nazaridan tahlil qilish uchun Stealtjwatch, SiLK va ELK yordamida laboratoriya.
• SiLK veb-sayti
• SiLK-dan foydalanish bo'yicha uch yuz sahifali qo'llanma, tonna misollar bilan
• Logstash Netflow moduli
• Cisco ELK-da Netflow tahlili bo'yicha bosqichma-bosqich qo'llanma
• Logstash (ELK) yordamida NetFlow v.9 Cisco ASA tahlili
• Cisco Stealthwatch yechimi

PS. Agar yuqorida yozilganlarning hammasini eshitish sizga osonroq bo'lsa, unda siz ushbu eslatmaga asos bo'lgan bir soatlik taqdimotni tomosha qilishingiz mumkin.

Manba: www.habr.com