🥇 לויפן פּראָטאָקאָלס ווי אַ געצייַג פֿאַר מאָניטאָרינג ינערלעך נעץ זיכערהייט

ווען עס קומט צו מאָניטאָרינג די זיכערהייט פון אַן ינערלעך פֿירמע אָדער דעפּאַרטמענטאַל נעץ, פילע מיטאַרבעטער עס מיט קאַנטראָולינג אינפֿאָרמאַציע ליקס און ימפּלאַמענינג DLP סאַלושאַנז. און אויב איר פּרובירן צו דערקלערן די קשיא און פרעגן ווי איר דעטעקט אנפאלן אויף די ינערלעך נעץ, דער ענטפער וועט, ווי אַ הערשן, זיין דערמאָנונג פון ינטרוזשאַן דיטעקשאַן סיסטעמען (IDS). און וואָס איז געווען די בלויז אָפּציע 10-20 יאר צוריק איז שיין אַן אַנאַכראָניזם הייַנט. עס איז אַ מער עפעקטיוו, און אין עטלעכע ערטער, דער בלויז מעגלעך אָפּציע פֿאַר מאָניטאָרינג אַן ינערלעך נעץ - ניצן לויפן פּראָטאָקאָלס, וואָס זענען ערידזשנאַלי דיזיינד צו זוכן פֿאַר נעץ פּראָבלעמס (טראָובלעשאָאָטינג), אָבער מיט צייט פארוואנדלען אין אַ זייער טשיקאַווע זיכערהייט געצייַג. מיר וועלן רעדן וועגן וואָס לויפן פּראָטאָקאָלס עס זענען און וואָס זענען בעסער אין דיטעקטינג נעץ אנפאלן, ווו עס איז בעסטער צו ינסטרומענט לויפן מאָניטאָרינג, וואָס צו קוקן פֿאַר ווען דיפּלויינג אַזאַ אַ סכעמע, און אפילו ווי צו "הייבן" אַלע דעם אויף דינער ויסריכט אין דעם פאַרנעם פון דעם אַרטיקל.

איך וועל נישט וווינען אויף די קשיא "פארוואס איז ינערלעך ינפראַסטראַקטשער זיכערהייט מאָניטאָרינג דארף?" דער ענטפער מיינט צו זיין קלאָר. אָבער אויב איר וואָלט ווי צו מאַכן זיכער אַז הייַנט איר קענען נישט לעבן אָן עס, נעמען אַ קוק אַ קורץ ווידעא וועגן ווי איר קענען דורכנעמען אַ פֿירמע נעץ פּראָטעקטעד דורך אַ פיירוואַל אין 17 וועגן. דעריבער, מיר וועלן יבערנעמען אַז מיר פֿאַרשטיין אַז ינערלעך מאָניטאָרינג איז אַ נייטיק זאַך און אַלע וואָס בלייבט איז צו פֿאַרשטיין ווי עס קענען זיין אָרגאַניזירט.

איך וואָלט הויכפּונקט דריי שליסל דאַטן קוואלן פֿאַר מאָניטאָרינג ינפראַסטראַקטשער אויף די נעץ מדרגה:

"רוי" פאַרקער וואָס מיר כאַפּן און פאָרלייגן פֿאַר אַנאַליסיס צו זיכער אַנאַליסיס סיסטעמען,
געשעענישן פון נעץ דעוויסעס דורך וואָס פאַרקער פּאַסיז,
פאַרקער אינפֿאָרמאַציע באקומען דורך איינער פון די לויפן פּראָטאָקאָלס.

קאַפּטשערינג רוי פאַרקער איז די מערסט פאָלקס אָפּציע צווישן זיכערהייט ספּעשאַלאַסץ, ווייַל עס כיסטאָריקלי ארויס און איז געווען דער ערשטער. קאַנווענשאַנאַל נעץ ינטרוזשאַן דיטעקשאַן סיסטעמען (די זייער ערשטער געשעפט ינטרוזשאַן דיטעקשאַן סיסטעם איז געווען NetRanger פון די Wheel Group, פּערטשאַסט אין 1998 דורך Cisco) זענען פּונקט פאַרקנאַסט אין קאַפּטשערינג פּאַקיץ (און שפּעטער סעשאַנז) אין וואָס זיכער סיגנאַטשערז זענען געקוקט פֿאַר ("באַשטימענדיק כּללים" אין FSTEC טערמינאָלאָגיע), סיגנאַלינג אנפאלן. דאָך, איר קענען אַנאַלייז רוי פאַרקער ניט בלויז ניצן IDS, אָבער אויך ניצן אנדערע מכשירים (למשל, Wireshark, tcpdum אָדער די NBAR2 פאַנגקשאַנאַליטי אין Cisco IOS), אָבער זיי יוזשאַוואַלי פעלן די וויסן באַזע וואָס דיסטינגגווישיז אַן אינפֿאָרמאַציע זיכערהייט געצייַג פון אַ רעגולער. עס געצייַג.

אַזוי, באַפאַלן דיטעקשאַן סיסטעמען. די אָולדאַסט און מערסט פאָלקס אופֿן פון דיטעקטינג נעץ אנפאלן, וואָס טוט אַ גוט אַרבעט אין די פּערימעטער (קיין ענין וואָס - פֿירמע, דאַטן צענטער, אָפּשניט, אאז"ו ו), אָבער פיילז אין מאָדערן סוויטשט און ווייכווארג-דיפיינד נעטוואָרקס. אין דעם פאַל פון אַ נעץ געבויט אויף די יקער פון קאַנווענשאַנאַל סוויטשיז, די ינפראַסטראַקטשער פון באַפאַלן דיטעקשאַן סענסאָרס ווערט צו גרויס - איר וועט האָבן צו ינסטאַלירן אַ סענסער אויף יעדער קשר צו די נאָדע אויף וואָס איר ווילן צו מאָניטאָר אנפאלן. יעדער פאַבריקאַנט, פון קורס, וועט זיין צופרידן צו פאַרקויפן איר הונדערטער און טויזנטער פון סענסאָרס, אָבער איך טראַכטן דיין בודזשעט קען נישט שטיצן אַזאַ הוצאות. איך קען זאָגן אַז אפילו ביי סיסקאָ (און מיר זענען די דעוועלאָפּערס פון NGIPS) מיר קען נישט טאָן דאָס, כאָטש עס וואָלט ויסקומען אַז די אַרויסגעבן פון פּרייַז איז פֿאַר אונדז. איך זאָל נישט שטיין - דאָס איז אונדזער אייגענע באַשלוס. אין דערצו, די קשיא ערייזאַז, ווי צו פאַרבינדן די סענסער אין דעם ווערסיע? אין דער ריס? וואָס אויב דער סענסער זיך פיילז? דאַרפן אַ בייפּאַס מאָדולע אין די סענסער? ניצן ספּליטטערס (צאַפּן)? אַלע דעם מאכט די לייזונג מער טייַער און מאכט עס אַנאַפאָרדאַבאַל פֿאַר אַ פירמע פון קיין גרייס.

איר קענען פּרובירן צו "הענגען" די סענסער אויף אַ SPAN / RSPAN / ERSPAN פּאָרט און דירעקט פאַרקער פון די פארלאנגט באַשטימען פּאָרץ צו עס. די אָפּציע טייל רימוווז די פּראָבלעם דיסקרייבד אין די פריערדיקע פּאַראַגראַף, אָבער פּאָוזיז אן אנדער איינער - די SPAN פּאָרט קען נישט אָננעמען לעגאַמרע אַלע די פאַרקער וואָס וועט זיין געשיקט צו אים - עס וועט נישט האָבן גענוג באַנדווידט. איר וועט האָבן צו קרבן עפּעס. אָדער לאָזן עטלעכע פון די נאָודז אָן מאָניטאָרינג (דעמאָלט איר דאַרפֿן צו פּרייאָראַטייז זיי ערשטער), אָדער שיקן ניט אַלע פאַרקער פֿון די נאָדע, אָבער בלויז אַ זיכער טיפּ. אין קיין פאַל, מיר קען פאַרפירן עטלעכע אנפאלן. אין אַדישאַן, די SPAN פּאָרט קענען זיין געוויינט פֿאַר אנדערע באדערפענישן. ווי אַ רעזולטאַט, מיר וועלן האָבן צו אָפּשאַצן די יגזיסטינג נעץ טאַפּאַלאַדזשי און עפשער מאַכן אַדזשאַסטמאַנץ צו עס צו דעקן דיין נעץ צו די מאַקסימום מיט די נומער פון סענסאָרס איר האָבן (און קאָואָרדאַנאַט דעם מיט עס).

וואָס אויב דיין נעץ ניצט אַסיממעטריק רוץ? וואָס אויב איר האָט ימפּלאַמענאַד אָדער פּלאַנירונג צו ינסטרומענט SDN? וואָס אויב איר דאַרפֿן צו מאָניטאָר ווירטואַליזעד מאשינען אָדער קאַנטיינערז וועמענס פאַרקער קען נישט דערגרייכן די גשמיות באַשטימען? דאָס זענען פֿראגן וואָס טראדיציאנעלן IDS ווענדאָרס טאָן ניט ווי ווייַל זיי טאָן ניט וויסן ווי צו ענטפֿערן זיי. טאָמער זיי וועלן איבערצייגן איר אַז אַלע די מאָדערן טעקנאַלאַדזשיז זענען כייפּ און איר טאָן ניט דאַרפֿן עס. טאָמער זיי וועלן רעדן וועגן די נויט צו אָנהייבן קליין. אָדער אפֿשר זיי וועלן זאָגן אַז איר דאַרפֿן צו שטעלן אַ שטאַרק טרעשער אין די צענטער פון די נעץ און אָנפירן אַלע פאַרקער צו עס מיט באַלאַנסערז. וועלכער אָפּציע איז געפֿינט צו איר, איר דאַרפֿן צו קלאר פֿאַרשטיין ווי עס סוץ איר. און בלויז נאָך דעם מאַכן אַ באַשלוס אויף טשוזינג אַ צוגאַנג צו מאָניטאָרינג די אינפֿאָרמאַציע זיכערהייט פון די נעץ ינפראַסטראַקטשער. צוריק צו פּאַקאַט כאַפּן, איך ווילן צו זאָגן אַז דער אופֿן האלט צו זיין זייער פאָלקס און וויכטיק, אָבער זייַן הויפּט ציל איז גרענעץ קאָנטראָל; באַונדריז צווישן דיין אָרגאַניזאַציע און די אינטערנעט, באַונדריז צווישן די דאַטן צענטער און די רעשט פון די נעץ, באַונדריז צווישן די פּראָצעס קאָנטראָל סיסטעם און די פֿירמע אָפּשניט. אין די ערטער, קלאַסיש IDS / IPS נאָך האָבן אַ רעכט צו עקסיסטירן און קאָפּע געזונט מיט זייער טאַסקס.

זאל ס מאַך אויף צו די רגע אָפּציע. אַנאַליסיס פון געשעענישן וואָס קומען פון נעץ דעוויסעס קענען אויך זיין געניצט פֿאַר באַפאַלן דיטעקשאַן צוועקן, אָבער נישט ווי די הויפּט מעקאַניזאַם, ווייַל עס אַלאַוז דיטעקטינג בלויז אַ קליין קלאַס פון ינטרוזשאַנז. אין דערצו, עס איז טאָכיק אין עטלעכע ריאַקטיוואַטי - די באַפאַלן מוזן ערשטער פּאַסירן, דעמאָלט עס מוזן זיין רעקאָרדעד דורך אַ נעץ מיטל, וואָס אין איין אָדער אנדערן וועג וועט סיגנאַל אַ פּראָבלעם מיט אינפֿאָרמאַציע זיכערהייט. עס זענען עטלעכע אַזאַ וועגן. דאָס קען זיין סיסלאָג, RMON אָדער SNMP. די לעצטע צוויי פּראָטאָקאָלס פֿאַר נעץ מאָניטאָרינג אין דעם קאָנטעקסט פון אינפֿאָרמאַציע זיכערהייט זענען געניצט בלויז אויב מיר דאַרפֿן צו דעטעקט אַ דאָס באַפאַלן אויף די נעץ עקוויפּמענט זיך, ווייַל ניצן RMON און SNMP עס איז מעגלעך, למשל, צו מאָניטאָר די מאַסע אויף די מיטל ס הויפט מיטל. פּראַסעסער אָדער זייַן ינטערפייסיז. דאָס איז איינער פון די "טשיפּאַסט" (אַלעמען האט סיסלאָג אָדער SNMP), אָבער אויך די מערסט יניפעקטיוו פון אַלע מעטהאָדס פון מאָניטאָרינג אינפֿאָרמאַציע זיכערהייט פון ינערלעך ינפראַסטראַקטשער - פילע אנפאלן זענען פשוט פאַרבאָרגן פון עס. פון קורס, זיי זאָל ניט זיין אָפּגעלאָזן, און דער זעלביקער סיסלאָג אַנאַליסיס העלפּס איר צו ידענטיפיצירן ענדערונגען אין די קאַנפיגיעריישאַן פון די מיטל זיך, די קאָמפּראָמיס פון עס, אָבער עס איז נישט זייער פּאַסיק פֿאַר דיטעקטינג אנפאלן אויף די גאנצע נעץ.

די דריט אָפּציע איז צו פונאַנדערקלייַבן אינפֿאָרמאַציע וועגן פאַרקער גייט פארביי דורך אַ מיטל וואָס שטיצט איינער פון עטלעכע לויפן פּראָטאָקאָלס. אין דעם פאַל, ראַגאַרדלאַס פון דעם פּראָטאָקאָל, די טרעדינג ינפראַסטראַקטשער דאַווקע באשטייט פון דריי קאַמפּאָונאַנץ:

דור אָדער אַרויספירן פון לויפן. די ראָלע איז יוזשאַוואַלי אַסיינד צו אַ ראַוטער, באַשטימען אָדער אנדערע נעץ מיטל, וואָס, דורך פאָרן נעץ פאַרקער דורך זיך, אַלאַוז איר צו עקסטראַקט שליסל פּאַראַמעטערס פון עס, וואָס זענען טראַנסמיטטעד צו די זאַמלונג מאָדולע. למשל, סיסקאָ שטיצט די נעטפלאָוו פּראָטאָקאָל ניט בלויז אויף ראָוטערס און סוויטשיז, אַרייַנגערעכנט ווירטואַל און ינדאַסטרי, אָבער אויך אויף וויירליס קאַנטראָולערז, פירעוואַללס און אפילו סערווערס.
זאַמלונג לויפן. קאַנסידערינג אַז אַ מאָדערן נעץ יוזשאַוואַלי האט מער ווי איין נעץ מיטל, די פּראָבלעם פון קאַלעקטינג און קאַנסאַלאַדייטינג פלאָוז ערייזאַז, וואָס איז סאַלווד מיט די אַזוי גערופענע קאַלעקטערז, וואָס פּראַסעסאַז די באקומען פלאָוז און דערנאָך אַריבערפירן זיי פֿאַר אַנאַליסיס.
לויפן אַנאַליסיס דער אַנאַליזער נעמט אויף די הויפּט אינטעלעקטואַל אַרבעט און, אַפּלייינג פאַרשידן אַלגערידאַמז צו סטרימז, דראָז זיכער קאַנקלוזשאַנז. פֿאַר בייַשפּיל, ווי אַ טייל פון אַ IT פונקציע, אַזאַ אַן אַנאַליזער קענען ידענטיפיצירן נעץ באַטאַלנעקס אָדער אַנאַלייז די פאַרקער מאַסע פּראָפיל פֿאַר ווייַטער נעץ אַפּטאַמאַזיישאַן. און פֿאַר אינפֿאָרמאַציע זיכערהייט, אַזאַ אַ אַנאַליזער קענען דעטעקט דאַטן ליקס, די פאַרשפּרייטן פון בייזע קאָד אָדער דאָס אנפאלן.

דו זאלסט נישט טראַכטן אַז די דריי-ריי אַרקאַטעקטשער איז צו קאָמפּליצירט - אַלע אנדערע אָפּציעס (אַחוץ, טאָמער, נעץ מאָניטאָרינג סיסטעמען ארבעטן מיט SNMP און RMON) אויך אַרבעט לויט עס. מיר האָבן אַ דאַטן גענעראַטאָר פֿאַר אַנאַליסיס, וואָס קענען זיין אַ נעץ מיטל אָדער אַ סטאַנד-אַליין סענסער. מיר האָבן אַ שרעק זאַמלונג סיסטעם און אַ פאַרוואַלטונג סיסטעם פֿאַר די גאנצע מאָניטאָרינג ינפראַסטראַקטשער. די לעצטע צוויי קאַמפּאָונאַנץ קענען זיין קאַמביינד אין אַ איין נאָדע, אָבער אין מער אָדער ווייניקער גרויס נעטוואָרקס זיי זענען יוזשאַוואַלי פאַרשפּרייטן איבער בייַ מינדסטער צוויי דעוויסעס אין סדר צו ענשור סקאַלאַביליטי און רילייאַבילאַטי.

ניט ענלעך פּאַקאַט אַנאַליסיס, וואָס איז באזירט אויף לערנען די כעדער און גוף דאַטן פון יעדער פּאַקאַט און די סעשאַנז וואָס עס באשטייט פון, לויפן אַנאַליסיס רילייז אויף קאַלעקטינג מעטאַדאַטאַ וועגן נעץ פאַרקער. ווען, ווי פיל, פון ווו און ווו, ווי ... דאָס זענען די פֿראגן געענטפערט דורך די אַנאַליסיס פון נעץ טעלעמעטרי ניצן פאַרשידן לויפן פּראָטאָקאָלס. טכילעס, זיי זענען געניצט צו פונאַנדערקלייַבן סטאַטיסטיק און געפֿינען עס פּראָבלעמס אויף די נעץ, אָבער דעמאָלט, ווי אַנאַליסיס מעקאַניזאַמז דעוועלאָפּעד, עס איז געווען מעגלעך צו צולייגן זיי צו דער זעלביקער טעלעמעטרי פֿאַר זיכערהייט צוועקן. עס איז כדאי צו באמערקן אַז די לויפן אַנאַליסיס קען נישט פאַרבייַטן אָדער פאַרבייַטן פּאַקאַט כאַפּן. יעדער פון די מעטהאָדס האט זיין אייגענע אַפּלאַקיישאַן געגנט. אָבער אין דעם קאָנטעקסט פון דעם אַרטיקל, די לויפן אַנאַליסיס איז בעסטער פּאַסיק פֿאַר מאָניטאָרינג ינערלעך ינפראַסטראַקטשער. איר האָבן נעץ דעוויסעס (צי זיי אַרבעטן אין אַ ווייכווארג-דיפיינד פּאַראַדיגם אָדער לויט סטאַטיק כּללים) אַז אַ באַפאַלן קען נישט בייפּאַס. עס קענען בייפּאַס אַ קלאַסיש IDS סענסער, אָבער אַ נעץ מיטל וואָס שטיצט די לויפן פּראָטאָקאָל קען נישט. דאָס איז די מייַלע פון דעם אופֿן.

אויף די אנדערע האַנט, אויב איר דאַרפֿן זאָגן פֿאַר געזעץ ענפאָרסמאַנט אָדער דיין אייגענע אינצידענט ויספאָרשונג מאַנשאַפֿט, איר קענען נישט טאָן אָן פּאַקאַט כאַפּן - נעץ טעלעמעטרי איז נישט אַ קאָפּיע פון פאַרקער וואָס קענען ווערן גענוצט צו זאַמלען זאָגן; עס איז דארף פֿאַר גיך דיטעקשאַן און באַשלוס-מאכן אין די פעלד פון אינפֿאָרמאַציע זיכערהייט. אויף די אנדערע האַנט, ניצן טעלעמעטרי אַנאַליסיס, איר קענען "שרייַבן" ניט אַלע נעץ פאַרקער (אויב עפּעס, סיסקאָ דילז מיט דאַטן סענטערס :-), אָבער בלויז וואָס איז ינוואַלווד אין די באַפאַלן. טעלעמעטרי אַנאַליסיס מכשירים אין דעם אַכטונג וועט דערגאַנג טראדיציאנעלן פּאַקאַט כאַפּן מעקאַניזאַמז געזונט, געבן קאַמאַנדז פֿאַר סעלעקטיוו כאַפּן און סטאָרידזש. אַנדערש, איר וועט האָבן אַ קאָלאָסאַל סטאָרידזש ינפראַסטראַקטשער.

לאָמיר ימאַדזשאַן אַ נעץ מיט אַ גיכקייַט פון 250 מביט / סעק. אויב איר ווילן צו קראָם אַלע דעם באַנד, איר דאַרפֿן 31 מעגאבייטן סטאָרידזש פֿאַר איין רגע פון פאַרקער טראַנסמיסיע, 1,8 גיגאבייט פֿאַר איין מינוט, 108 גיגאבייט פֿאַר אַ שעה און 2,6 טב פֿאַר איין טאָג. צו קראָם טעגלעך דאַטן פֿון אַ נעץ מיט אַ באַנדווידט פון 10 גביט / s, איר דאַרפֿן 108 טב סטאָרידזש. אָבער עטלעכע רעגיאַלייטערז דאַרפן סטאָרינג זיכערהייט דאַטן פֿאַר יאָרן ... אויף-פאָדערונג רעקאָרדינג, וואָס לויפן אַנאַליסיס העלפּס איר ינסטרומענט, העלפּס צו רעדוצירן די וואַלועס דורך אָרדערס פון מאַגנאַטוד. דורך דעם וועג, אויב מיר רעדן וועגן די פאַרהעלטעניש פון די באַנד פון רעקאָרדעד נעץ טעלעמעטרי דאַטן און גאַנץ דאַטן כאַפּן, עס איז בעערעך 1 צו 500. פֿאַר די זעלבע וואַלועס געגעבן אויבן, סטאָרינג אַ פול טראַנסקריפּט פון אַלע טעגלעך פאַרקער ריספּעקטיוולי 5 און 216 גיגאבייט (איר קענען אפילו רעקאָרדירן עס אויף אַ רעגולער בליץ פאָר).

אויב פֿאַר מכשירים פֿאַר אַנאַלייזינג רוי נעץ דאַטן, דער אופֿן פון קאַפּטשערינג עס איז כּמעט די זעלבע פון פאַרקויפער צו פאַרקויפער, אין דעם פאַל פון לויפן אַנאַליסיס, די סיטואַציע איז אַנדערש. עס זענען עטלעכע אָפּציעס פֿאַר לויפן פּראָטאָקאָלס, די דיפעראַנסיז אין וואָס איר דאַרפֿן צו וויסן אין דעם קאָנטעקסט פון זיכערהייט. די מערסט פאָלקס איז די Netflow פּראָטאָקאָל דעוועלאָפּעד דורך Cisco. עס זענען עטלעכע ווערסיעס פון דעם פּראָטאָקאָל, אַנדערש אין זייער קייפּאַבילאַטיז און די סומע פון פאַרקער אינפֿאָרמאַציע רעקאָרדעד. די איצטיקע ווערסיע איז די ניינטער (Netflow v9), אויף דער באזע פון וואָס די ינדאַסטרי נאָרמאַל Netflow v10, אויך באקאנט ווי IPFIX, איז דעוועלאָפּעד. הייַנט, רובֿ נעץ ווענדאָרס שטיצן Netflow אָדער IPFIX אין זייער ויסריכט. אָבער עס זענען פאַרשידן אנדערע אָפּציעס פֿאַר לויפן פּראָטאָקאָלס - sFlow, jFlow, cFlow, rFlow, NetStream, עטק, פון וואָס sFlow איז די מערסט פאָלקס. עס איז דעם טיפּ וואָס איז מערסט אָפט געשטיצט דורך דינער מאַניאַפאַקטשערערז פון נעץ עקוויפּמענט רעכט צו זייַן יז פון ימפּלאַמענטיישאַן. וואָס זענען די הויפּט דיפעראַנסיז צווישן Netflow, וואָס איז געווארן אַ דע פאַקטאָ נאָרמאַל, און sFlow? איך וואָלט ונטערשטרייַכן עטלעכע שליסל אָנעס. ערשטער, Netflow האט באַניצער-קאַסטאַמייזד פעלדער, קעגן די פאַרפעסטיקט פעלדער אין sFlow. און צווייטנס, און דאָס איז די מערסט וויכטיק זאַך אין אונדזער פאַל, sFlow קאַלעקץ אַזוי גערופענע סאַמפּאַלד טעלעמעטרי; אין קאַנטראַסט צו די אַנסאַמפּלעד פֿאַר Netflow און IPFIX. וואָס איז דער חילוק צווישן זיי?

ימאַדזשאַן אַז איר באַשליסן צו לייענען דעם בוך "זיכערהייט אָפּעראַטיאָנס צענטער: בויען, אָפּערייטינג און האַלטן דיין SOC" פון מיין חברים - גערי מאַקינטירע, יוסף מוניץ און נאַדעם אַלפאַרדאַן (איר קענען אראפקאפיע טייל פון דעם בוך פון די לינק). איר האָבן דריי אָפּציעס צו דערגרייכן דיין ציל - לייענען די גאנצע בוך, אָפּשעפּן עס, סטאָפּפּינג אויף יעדער 10 אָדער 20 בלאַט, אָדער פּרובירן צו געפֿינען אַ ריטעלינג פון שליסל קאַנסעפּס אויף אַ בלאָג אָדער דינסט ווי SmartReading. אַזוי, אַנסאַמפּאַלד טעלעמעטרי איז לייענען יעדער "בלאַט" פון נעץ פאַרקער, דאָס איז, אַנאַלייזינג מעטאַדאַטאַ פֿאַר יעדער פּאַקאַט. סאַמפּאַלד טעלעמעטרי איז די סעלעקטיוו לערנען פון פאַרקער אין דער האָפענונג אַז די אויסגעקליבן סאַמפּאַלז וועט אַנטהאַלטן וואָס איר דאַרפֿן. דעפּענדינג אויף די קאַנאַל גיכקייַט, סאַמפּאַלד טעלעמעטרי וועט זיין געשיקט פֿאַר אַנאַליסיס יעדער 64, 200, 500, 1000, 2000 אָדער אפילו 10000 פּאַקאַט.

אין דעם קאָנטעקסט פון מאָניטאָרינג פון אינפֿאָרמאַציע זיכערהייט, דאָס מיטל אַז סאַמפּאַלד טעלעמעטרי איז געזונט פּאַסיק פֿאַר דיטעקטינג DDoS אנפאלן, סקאַנינג און פאַרשפּרייטן בייזע קאָד, אָבער קען פאַרפירן אַטאָמישע אָדער מולטי-פּאַקקעט אנפאלן וואָס זענען נישט אַרייַנגערעכנט אין די מוסטער געשיקט פֿאַר אַנאַליסיס. ונסאַמפּלעד טעלעמעטרי טוט נישט האָבן אַזאַ דיסאַדוואַנטידזשיז. מיט דעם, די קייט פון דיטעקטאַד אנפאלן איז פיל ברייטערער. דאָ איז אַ קורץ רשימה פון געשעענישן וואָס קענען זיין דיטעקטאַד מיט נעץ טעלעמעטרי אַנאַליסיס מכשירים.

דאָך, עטלעכע עפֿענען מקור נעטפלאָוו אַנאַליזער וועט נישט לאָזן איר צו טאָן דאָס, ווייַל זיין הויפּט אַרבעט איז צו זאַמלען טעלעמעטרי און אָנפירן יקערדיק אַנאַליסיס אויף עס פֿון אַ IT פונט פון מיינונג. צו ידענטיפיצירן אינפֿאָרמאַציע זיכערהייט טרעץ באזירט אויף לויפן, עס איז נייטיק צו יקוויפּ די אַנאַליזער מיט פאַרשידן ענדזשאַנז און אַלגערידאַמז, וואָס וועט ידענטיפיצירן סייבערסעקוריטי פּראָבלעמס באזירט אויף נאָרמאַל אָדער מנהג נעטפלאָוו פעלדער, באַרייַכערן נאָרמאַל דאַטן מיט פונדרויסנדיק דאַטן פֿון פאַרשידן טרעט ינטעלליגענסע קוואלן, אאז"ו ו.

דעריבער, אויב איר האָט אַ ברירה, קלייַבן Netflow אָדער IPFIX. אָבער אפילו אויב דיין ויסריכט אַרבעט בלויז מיט sFlow, ווי דינער מאַניאַפאַקטשערערז, אפילו אין דעם פאַל איר קענען נוץ פון עס אין אַ זיכערהייט קאָנטעקסט.

אין די זומער פון 2019, איך אַנאַלייזד די קייפּאַבילאַטיז וואָס רוסישע נעץ ייַזנוואַרג מאַניאַפאַקטשערערז האָבן און אַלע פון זיי, אַחוץ NSG, Polygon און Craftway, אַנאַונסט שטיצן פֿאַר sFlow (לפּחות זעלאַקס, Natex, Eltex, QTech, Rusteleteh).

דער ווייַטער קשיא איר וועט פּנים איז ווו צו ינסטרומענט לויפן שטיצן פֿאַר זיכערהייט צוועקן? אין פאַקט, די קשיא איז נישט געשטעלט אין גאנצן ריכטיק. מאָדערן ויסריכט כּמעט שטענדיק שטיצט לויפן פּראָטאָקאָלס. דעריבער, איך וואָלט רעפאָרמולירן די קשיא אַנדערש - ווו איז עס מערסט עפעקטיוו צו זאַמלען טעלעמעטרי פון אַ זיכערהייט פונט פון מיינונג? דער ענטפער וועט זיין גאַנץ קלאָר ווי דער טאָג - אויף דער אַקסעס מדרגה, ווו איר וועט זען 100% פון אַלע פאַרקער, ווו איר וועט האָבן דיטיילד אינפֿאָרמאַציע וועגן מחנות (MAC, VLAN, צובינד שייַן), ווו איר קענען אפילו מאָניטאָר פּ2פּ פאַרקער צווישן מחנות, וואָס איז קריטיש פֿאַר סקאַנינג דיטעקשאַן און פאַרשפּרייטונג פון בייזע קאָד. אין די האַרץ מדרגה, איר קען פשוט נישט זען עטלעכע פון די פאַרקער, אָבער אויף די פּערימעטער מדרגה, איר וועט זען XNUMX/XNUMX פון אַלע דיין נעץ פאַרקער. אבער אויב פֿאַר עטלעכע סיבה איר האָבן פרעמד דעוויסעס אויף דיין נעץ וואָס לאָזן אַטאַקערז צו "אַרייַן און אַרויסגאַנג" אָן בייפּאַסינג די פּערימעטער, דעמאָלט אַנאַלייזינג די טעלעמעטרי פון עס וועט נישט געבן איר עפּעס. דעריבער, פֿאַר מאַקסימום קאַווערידזש, עס איז רעקאַמענדיד צו געבן טעלעמעטרי זאַמלונג אויף די אַקסעס מדרגה. אין דער זעלביקער צייט, עס איז כדאי צו באמערקן אַז אפילו אויב מיר זענען גערעדט וועגן ווירטואַליזאַטיאָן אָדער קאַנטיינערז, לויפן שטיצן איז אויך אָפט געפֿונען אין מאָדערן ווירטואַל סוויטשיז, וואָס אַלאַוז איר צו קאָנטראָלירן פאַרקער דאָרט אויך.

אָבער זינט איך אויפשטיין די טעמע, איך דאַרפֿן צו ענטפֿערן די קשיא: וואָס אויב די ויסריכט, פיזיש אָדער ווירטואַל, שטיצט נישט לויפן פּראָטאָקאָלס? אָדער איז די ינקלוזשאַן פּראָוכיבאַטאַד (למשל, אין ינדאַסטרי סעגמאַנץ צו ענשור רילייאַבילאַטי)? אָדער טוט קערן עס אויף פירן צו הויך קפּו מאַסע (דאָס כאַפּאַנז אויף עלטערע ייַזנוואַרג)? צו סאָלווע דעם פּראָבלעם, עס זענען ספּעשאַלייזד ווירטואַל סענסאָרס (פלוס סענסאָרס), וואָס זענען יסענשאַלי פּראָסט ספּליטטערס וואָס פאָרן פאַרקער דורך זיך און בראָדקאַסט עס אין די פאָרעם פון לויפן צו די זאַמלונג מאָדולע. אמת, אין דעם פאַל מיר באַקומען אַלע די פראבלעמען וואָס מיר גערעדט וועגן אויבן אין באַציונג צו פּאַקאַט כאַפּן מכשירים. אַז איז, איר דאַרפֿן צו פֿאַרשטיין ניט בלויז די אַדוואַנטידזשיז פון לויפן אַנאַליסיס טעכנאָלאָגיע, אָבער אויך די לימיטיישאַנז.

אן אנדער פונט וואָס איז וויכטיק צו געדענקען ווען גערעדט וועגן לויפן אַנאַליסיס מכשירים. אויב אין באַציונג צו קאַנווענשאַנאַל מיטל פון דזשענערייטינג זיכערהייט געשעענישן מיר נוצן די EPS מעטריק (געשעעניש פּער סעקונדע), דער גראדן איז ניט אָנווענדלעך צו טעלעמעטרי אַנאַליסיס; עס איז ריפּלייסט דורך פפּס (לויפן פּער סעקונדע). ווי אין דעם פאַל פון EPS, עס קענען ניט זיין קאַלקיאַלייטיד אין שטייַגן, אָבער איר קענען אָפּשאַצן די דערנענטערנ נומער פון פֿעדעם וואָס אַ באַזונדער מיטל דזשענערייץ דיפּענדינג אויף זייַן אַרבעט. איר קענען געפֿינען טישן אויף דער אינטערנעץ מיט דערנענטערנ וואַלועס פֿאַר פאַרשידענע טייפּס פון פאַרנעמונג דעוויסעס און טנאָים, וואָס וועט לאָזן איר צו אָפּשאַצן וואָס לייסאַנסיז איר דאַרפֿן פֿאַר אַנאַליסיס מכשירים און וואָס זייער אַרקאַטעקטשער וועט זיין? דער פאַקט איז אַז די IDS סענסער איז לימיטעד צו אַ זיכער באַנדווידט אַז עס קענען "ציען", און די לויפן קאַלעקטער האט זיין אייגענע לימיטיישאַנז וואָס מוזן זיין פארשטאנען. דעריבער, אין גרויס, געאָגראַפיקאַללי פונאנדערגעטיילט נעטוואָרקס עס זענען יוזשאַוואַלי עטלעכע קאַלעקטערז. ווען איך דיסקרייבד ווי די נעץ איז מאָניטאָרעד אין סיסקאָ, איך האב שוין געגעבן די נומער פון אונדזער קאַלעקטערז - עס זענען 21 פון זיי. און דאָס איז פֿאַר אַ נעץ צעוואָרפן איבער פינף קאָנטינענץ און נומערינג וועגן אַ האַלב מיליאָן אַקטיוו דעוויסעס).

מיר נוצן אונדזער אייגענע לייזונג ווי אַ נעטפלאָוו מאָניטאָרינג סיסטעם סיסקאָ סטעלטוואַטטש, וואָס איז ספּאַסיפיקלי פאָוקיסט אויף סאַלווינג זיכערהייט פּראָבלעמס. עס האט פילע געבויט-אין ענדזשאַנז פֿאַר דיטעקטינג אַנאַמאַלאַס, סאַספּישאַס און קלאר בייזע אַקטיוויטעטן, וואָס אַלאַוז איר צו דעטעקט אַ ברייט קייט פון פאַרשידענע טרעץ - פֿון קריפּטאָמינינג צו אינפֿאָרמאַציע ליקס, פון די פאַרשפּרייטן פון בייזע קאָד צו שווינדל. ווי רובֿ לויפן אַנאַליזערז, סטעלטוואַטטש איז געבויט לויט אַ דריי-מדרגה סכעמע (גענעראַטאָר - קאַלעקטער - אַנאַליזער), אָבער עס איז סאַפּלאַמענטאַד מיט אַ נומער פון טשיקאַווע פֿעיִקייטן וואָס זענען וויכטיק אין דעם קאָנטעקסט פון דעם מאַטעריאַל אונטער באַטראַכטונג. ערשטער, עס ינטאַגרייץ מיט פּאַקאַט כאַפּן סאַלושאַנז (אַזאַ ווי Cisco Security Packet Analyzer), וואָס אַלאַוז איר צו רעקאָרדירן אויסגעקליבן נעץ סעשאַנז פֿאַר שפּעטער אין-טיפקייַט ויספאָרשונג און אַנאַליסיס. צווייטנס, ספּאַסיפיקלי צו יקספּאַנד זיכערהייט טאַסקס, מיר האָבן דעוועלאָפּעד אַ ספּעציעל nvzFlow פּראָטאָקאָל, וואָס אַלאַוז איר צו "בראָאַדקאַסט" די אַקטיוויטעט פון אַפּלאַקיישאַנז אויף די סוף נאָודז (סערווערס, ווערקסטיישאַנז, אאז"ו ו) אין טעלעמעטרי און אַריבערפירן עס צו די קאַלעקטער פֿאַר ווייַטער אַנאַליסיס. אויב אין זיין אָריגינעל ווערסיע Stealthwatch אַרבעט מיט קיין לויפן פּראָטאָקאָל (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) אויף די נעץ מדרגה, nvzFlow שטיצן אַלאַוז דאַטן קאָראַליישאַן אויך אויף די נאָדע מדרגה. ינקריסינג די עפעקטיווקייַט פון די גאנצע סיסטעם און זען מער אנפאלן ווי קאַנווענשאַנאַל נעץ לויפן אַנאַליזערז.

עס איז קלאָר אַז ווען גערעדט וועגן Netflow אַנאַליסיס סיסטעמען פֿון אַ זיכערהייט פונט פון מיינונג, דער מאַרק איז נישט לימיטעד צו אַ איין לייזונג פֿון Cisco. איר קענען נוצן ביידע געשעפט און פריי אָדער שערווער סאַלושאַנז. עס איז גאַנץ מאָדנע אויב איך ציטירן די סאַלושאַנז פון קאָמפּעטיטאָרס ווי ביישפילן אויף די Cisco בלאָג, אַזוי איך וועל זאָגן אַ ביסל ווערטער וועגן ווי נעץ טעלעמעטרי קענען זיין אַנאַלייזד מיט צוויי פאָלקס, ענלעך אין נאָמען, אָבער נאָך פאַרשידענע מכשירים - סילק און ELK.

SiLK איז אַ גאַנג פון מכשירים (די סיסטעם פֿאַר אינטערנעט-מדרגה וויסן) פֿאַר פאַרקער אַנאַליסיס, דעוועלאָפּעד דורך די אמעריקאנער CERT/CC און וואָס שטיצט, אין דעם קאָנטעקסט פון הייַנט ס אַרטיקל, Netflow (5 און 9, די מערסט פאָלקס ווערסיעס), IPFIX און sFlow און ניצן פאַרשידן יוטילאַטיז (rwfilter, rwcount, rwflowpack, אאז"ו ו) צו דורכפירן פאַרשידן אַפּעריישאַנז אויף נעץ טעלעמעטרי אין סדר צו דעטעקט וואונדער פון אַנאָטערייזד אַקשאַנז אין עס. אבער עס זענען אַ פּאָר פון וויכטיק פונקטן צו טאָן. SiLK איז אַ באַפֿעל שורה געצייַג וואָס פּערפאָרמז אָנליין אַנאַליסיס דורך אַרייַן קאַמאַנדז ווי דאָס (דיטעקשאַן פון ICMP פּאַקיץ גרעסער ווי 200 ביטעס):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

ניט זייער באַקוועם. איר קענט נוצן די iSiLK GUI, אָבער דאָס וועט נישט מאַכן דיין לעבן פיל גרינגער, נאָר סאַלווינג די וויזשוואַלאַזיישאַן פונקציע און נישט ריפּלייסט די אַנאַליסט. און דאָס איז די צווייטע פונט. ניט ענלעך געשעפט סאַלושאַנז, וואָס האָבן שוין אַ האַרט אַנאַליסיס באַזע, אַנאַמאַלי דיטעקשאַן אַלגערידאַמז, קאָראַספּאַנדינג וואָרקפלאָוו, אאז"ו ו צו-נוצן מכשירים. דאָס איז ניט גוט אָדער שלעכט - דאָס איז אַ שטריך פון כּמעט קיין פריי געצייַג וואָס אַסומז אַז איר וויסן וואָס צו טאָן, און עס וועט נאָר העלפֿן איר מיט דעם (געשעפט מכשירים זענען ווייניקער אָפענגיק אויף די קאַמפּאַטינסיז פון זייַן ניצערס, כאָטש זיי אויך יבערנעמען אַז אַנאַליס פֿאַרשטיין אין מינדסטער די באַסיקס פון נעץ ינוועסטאַגיישאַנז און מאָניטאָרינג). לאָמיר זיך אָבער אומקערן צו סילק. דער אַנאַליסט ס אַרבעט ציקל מיט עס קוקט ווי דאָס:

פאָרמולירן אַ כייפּאַטאַסאַס. מיר מוזן פֿאַרשטיין וואָס מיר וועלן קוקן פֿאַר אין נעץ טעלעמעטרי, וויסן די יינציק אַטריביוץ דורך וואָס מיר וועלן ידענטיפיצירן זיכער אַנאַמאַליז אָדער טרעץ.
בויען אַ מאָדעל. נאָך פאָרמולירט אַ כייפּאַטאַסאַס, מיר פּראָגראַם עס מיט די זעלבע פּיטהאָן, שאָל אָדער אנדערע מכשירים וואָס זענען נישט אַרייַנגערעכנט אין סילק.
טעסטינג. איצט קומט דער קער צו קאָנטראָלירן די קערעקטנאַס פון אונדזער כייפּאַטאַסאַס, וואָס איז באשטעטיקט אָדער ריפיוטיד מיט סילק יוטילאַטיז סטאַרטינג מיט 'רוו', 'שטעלן', 'זעקל'.
אַנאַליסיס פון פאַקטיש דאַטן. אין ינדאַסטריאַל אָפּעראַציע, סילק העלפּס אונדז צו ידענטיפיצירן עפּעס און דער אַנאַליסט מוזן ענטפֿערן די פֿראגן "צי מיר האָבן געפֿונען וואָס מיר דערוואַרט?", "צי שטימען צו אונדזער כייפּאַטאַסאַס?", "ווי צו רעדוצירן די נומער פון פאַלש פּאַזאַטיווז?" צו פֿאַרבעסערן די מדרגה פון דערקענונג? » און אזוי ווייטער.
פֿאַרבעסערונג. אין די לעצט בינע, מיר פֿאַרבעסערן וואָס איז געווען געטאן פריער - מיר מאַכן טעמפּלאַטעס, פֿאַרבעסערן און אַפּטאַמייז די קאָד, רעפאָרמולירן און דערקלערן די כייפּאַטאַסאַס, עטק.

דער ציקל וועט אויך זיין אָנווענדלעך צו Cisco Stealthwatch, בלויז די לעצטע אָטאַמייץ די פינף סטעפּס צו די מאַקסימום, רידוסינג די נומער פון אַנאַליסט ערראָרס און ינקריסינג די עפעקטיווקייַט פון אינצידענט דיטעקשאַן. פֿאַר בייַשפּיל, אין SiLK איר קענען באַרייַכערן נעץ סטאַטיסטיק מיט פונדרויסנדיק דאַטן אויף בייזע יפּס ניצן האַנט-געשריבן סקריפּס, און אין Cisco Stealthwatch עס איז אַ געבויט-אין פֿונקציע וואָס גלייך דיספּלייז אַ שרעק אויב נעץ פאַרקער כּולל ינטעראַקשאַנז מיט IP אַדרעסעס פון די בלאַקליסט.

אויב איר גיין העכער אין די "באַצאָלט" פּיראַמיד פֿאַר לויפן אַנאַליסיס ווייכווארג, נאָך די לעגאַמרע פריי SiLK עס וועט זיין אַ שערוואַרע ELK, קאַנסיסטינג פון דריי שליסל קאַמפּאָונאַנץ - Elasticsearch (ינדעקסינג, זוכן און דאַטן אַנאַליסיס), Logstash (דאַטן אַרייַנשרייַב / רעזולטאַט) ) און קיבאַנאַ (וויזשוואַלאַזיישאַן). ניט ענלעך סילק, ווו איר מוזן שרייַבן אַלץ זיך, ELK האט שוין פילע פאַרטיק לייברעריז / מאַדזשולז (עטלעכע באַצאָלט, עטלעכע נישט) וואָס אָטאַמייט די אַנאַליסיס פון נעץ טעלעמעטרי. פֿאַר בייַשפּיל, די GeoIP פילטער אין Logstash אַלאַוז איר צו פאַרבינדן מאָניטאָרעד IP אַדרעסעס מיט זייער דזשיאַגראַפיק אָרט (סטעאַלטוואַטטש האט דעם געבויט-אין שטריך).

ELK אויך האט אַ פערלי גרויס קהל וואָס איז קאַמפּליטינג די פעלנדיק קאַמפּאָונאַנץ פֿאַר דעם מאָניטאָרינג לייזונג. פֿאַר בייַשפּיל, צו אַרבעטן מיט Netflow, IPFIX און sFlow איר קענען נוצן די מאָדולע elastiflow, אויב איר זענט נישט צופֿרידן מיט די Logstash Netflow מאָדולע, וואָס בלויז שטיצט Netflow.

בשעת ELK גיט מער עפעקטיווקייַט אין קאַלעקטינג לויפן און זוכן אין עס, דערווייַל פעלן רייַך ינאַגרייטיד אַנאַליטיקס פֿאַר דיטעקטינג אַנאַמאַליז און טרעץ אין נעץ טעלעמעטרי. אַז איז, נאָך דעם לעבן ציקל דיסקרייבד אויבן, איר וועט האָבן צו ינדיפּענדאַנטלי באַשרייַבן הילעל מאָדעלס און דעמאָלט נוצן עס אין די קאַמבאַט סיסטעם (עס זענען קיין געבויט-אין מאָדעלס דאָרט).

עס זענען, פון קורס, מער סאַפיסטאַקייטיד יקסטענשאַנז פֿאַר ELK, וואָס האָבן שוין עטלעכע מאָדעלס פֿאַר דיטעקטינג אַנאַמאַליז אין נעץ טעלעמעטרי, אָבער אַזאַ יקסטענשאַנז קאָסטן געלט און דאָ די קשיא איז צי די שפּיל איז ווערט די ליכט - שרייַבן אַ ענלעך מאָדעל זיך, קויפן זייַן ימפּלאַמענטיישאַן פֿאַר דיין מאָניטאָרינג געצייַג, אָדער קויפן פאַרטיק לייזונג פון די נעטוואָרק טראַפיק אַנאַליסיס קלאַס.

אין אַלגעמיין, איך טאָן נישט וועלן צו באַקומען אין די דעבאַטע אַז עס איז בעסער צו פאַרברענגען געלט און קויפן אַ פאַרטיק לייזונג פֿאַר מאָניטאָרינג אַנאַמאַליז און טרעץ אין נעץ טעלעמעטרי (למשל, Cisco Stealthwatch) אָדער געפֿינען עס זיך און קאַסטאַמייז די זעלבע. SiLK, ELK אָדער nfdump אָדער OSU פלאָו מכשירים פֿאַר יעדער נייַ סאַקאָנע (איך בין גערעדט וועגן די לעצטע צוויי פון זיי דערציילט לעצטע מאָל)? אַלעמען טשוזיז פֿאַר זיך און יעדער האט זייער אייגן מאטיוון פֿאַר טשוזינג איינער פון די צוויי אָפּציעס. איך נאָר געוואלט צו ווייַזן אַז נעץ טעלעמעטרי איז אַ זייער וויכטיק געצייַג אין ינשורינג די נעץ זיכערהייט פון דיין ינערלעך ינפראַסטראַקטשער און איר זאָל נישט פאַרלאָזן עס, אַזוי נישט צו פאַרבינדן די רשימה פון קאָמפּאַניעס וועמענס נאָמען איז דערמאנט אין די מידיאַ צוזאַמען מיט די עפּיטהעץ " כאַקט", "ניט-געהאָרכיק מיט אינפֿאָרמאַציע זיכערהייט רעקווירעמענץ", "ניט טראכטן וועגן די זיכערהייט פון זייער דאַטן און קונה דאַטן."

צו סאַמערייז, איך וואָלט ווי צו רשימה די שליסל עצות וואָס איר זאָל נאָכפאָלגן ווען איר בויען אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג פון דיין ינערלעך ינפראַסטראַקטשער:

צי ניט נאָר באַגרענעצן זיך צו די פּערימעטער! ניצן (און קלייַבן) נעץ ינפראַסטראַקטשער ניט בלויז צו אַריבערפירן פאַרקער פון פונט א צו פונט ב, אָבער אויך צו אַדרעס סייבערסעקוריטי ישוז.
לערנען די יגזיסטינג אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג מעקאַניזאַמז אין דיין נעץ ויסריכט און נוצן זיי.
פֿאַר ינערלעך מאָניטאָרינג, ייבערהאַנט צו טעלעמעטרי אַנאַליסיס - עס אַלאַוז איר צו דעטעקט אַרויף צו 80-90% פון אַלע נעץ אינפֿאָרמאַציע זיכערהייט ינסאַדאַנץ, בשעת איר טאָן וואָס איז אוממעגלעך ווען קאַפּטשערינג נעץ פּאַקיץ און שפּאָרן פּלאַץ פֿאַר סטאָרינג אַלע אינפֿאָרמאַציע זיכערהייט געשעענישן.
צו מאָניטאָר פלאָוז, נוצן Netflow v9 אָדער IPFIX - זיי צושטעלן מער אינפֿאָרמאַציע אין אַ זיכערהייט קאָנטעקסט און לאָזן איר מאָניטאָר ניט בלויז IPv4, אָבער אויך IPv6, MPLS, עטק.
ניצן אַן אַנסאַמפּלעד לויפן פּראָטאָקאָל - עס גיט מער אינפֿאָרמאַציע פֿאַר דיטעקטינג טרעץ. פֿאַר בייַשפּיל, Netflow אָדער IPFIX.
קאָנטראָלירן די מאַסע אויף דיין נעץ ויסריכט - עס קען נישט זיין ביכולת צו שעפּן די לויפן פּראָטאָקאָל אויך. דערנאָך באַטראַכטן ניצן ווירטואַל סענסאָרס אָדער Netflow Generation Appliance.
ינסטרומענט קאָנטראָל ערשטער פון אַלע אויף די אַקסעס מדרגה - דאָס וועט געבן איר די געלעגנהייט צו זען 100% פון אַלע פאַרקער.
אויב איר האָט קיין ברירה און איר נוצן רוסיש נעץ עקוויפּמענט, קלייַבן איינער וואָס שטיצט לויפן פּראָטאָקאָלס אָדער האט SPAN/RSPAN פּאָרץ.
קאַמביין ינטרוזשאַן / באַפאַלן דיטעקשאַן / פאַרהיטונג סיסטעמען אין די עדזשאַז און לויפן אַנאַליסיס סיסטעמען אין די ינערלעך נעץ (אַרייַנגערעכנט אין די וואלקנס).

וועגן דעם לעצטן עצה, וויל איך געבן אַן אילוסטראַציע, וואָס איך האָב שוין פריער געגעבן. איר זען אַז אויב ביז אַהער די סיסקאָ אינפֿאָרמאַציע זיכערהייט דינסט כּמעט לעגאַמרע געבויט זייַן אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג סיסטעם אויף דער באזע פון ינטרוזשאַן דיטעקשאַן סיסטעמען און כסימע מעטהאָדס, איצט זיי אַקאַונץ פֿאַר בלויז 20% פון ינסאַדאַנץ. אן אנדער 20% פאלן אויף לויפן אַנאַליסיס סיסטעמען, וואָס סאַגדזשעסץ אַז די סאַלושאַנז זענען נישט אַ קאַפּריז, אָבער אַ פאַקטיש געצייַג אין די אַקטיוויטעטן פון אינפֿאָרמאַציע זיכערהייט באַדינונגס פון אַ מאָדערן פאַרנעמונג. דערצו, איר האָבן די מערסט וויכטיק זאַך פֿאַר זייער ימפּלאַמענטיישאַן - נעץ ינפראַסטראַקטשער, ינוועסטמאַנץ אין וואָס קענען זיין ווייַטער פּראָטעקטעד דורך אַסיינינג אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג פאַנגקשאַנז צו די נעץ.

איך ספּאַסיפיקלי האט נישט אָנרירן די טעמע פון ריספּאַנדינג צו אַנאַמאַליז אָדער טרעץ יידענאַפייד אין נעץ פלאָוז, אָבער איך טראַכטן אַז עס איז שוין קלאָר אַז מאָניטאָרינג זאָל נישט סוף בלויז מיט די דיטעקשאַן פון אַ סאַקאָנע. עס זאָל זיין נאכגעגאנגען דורך אַ ענטפער און פּרעפעראַבלי אין אַן אָטאַמאַטיק אָדער אָטאַמייטיד מאָדע. אבער דאָס איז אַ טעמע פֿאַר אַ באַזונדער אַרטיקל.

נאָך אינפארמאציע:

פּס. אויב עס איז גרינגער פֿאַר איר צו הערן אַלץ וואָס איז געווען געשריבן אויבן, איר קענען זען די שעה-לאַנג פּרעזענטירונג וואָס איז געווען די יקער פון דעם טאָן.

מקור: www.habr.com

לויפן פּראָטאָקאָלס ווי אַ געצייַג פֿאַר מאָניטאָרינג ינערלעך נעץ זיכערהייט

לייגן אַ באַמערקונג באָטל מאַכן ענטפער