Awọn ilana ṣiṣan bi ohun elo fun mimojuto aabo ti nẹtiwọọki inu

Nigbati o ba de si abojuto aabo ti ile-iṣẹ inu tabi nẹtiwọọki ti ẹka, ọpọlọpọ ni idapọ pẹlu ṣiṣakoso awọn n jo alaye ati imuse awọn solusan DLP. Ati pe ti o ba gbiyanju lati ṣalaye ibeere naa ki o beere bi o ṣe rii awọn ikọlu lori nẹtiwọọki inu, lẹhinna idahun yoo, gẹgẹbi ofin, jẹ mẹnuba awọn eto wiwa ifọle (IDS). Ati pe kini aṣayan nikan ni ọdun 10-20 sẹhin ti di anachronism loni. Imudara diẹ sii wa, ati ni awọn aaye kan, aṣayan nikan ti o ṣee ṣe fun ibojuwo nẹtiwọọki inu - lilo awọn ilana ṣiṣan, eyiti a ṣe ni akọkọ lati wa awọn iṣoro nẹtiwọọki (laasigbotitusita), ṣugbọn ni akoko pupọ yipada si ohun elo aabo ti o nifẹ pupọ. A yoo sọrọ nipa kini awọn ilana ṣiṣan ti o wa ati awọn wo ni o dara julọ ni wiwa awọn ikọlu nẹtiwọọki, nibiti o ti dara julọ lati ṣe ibojuwo ṣiṣan, kini lati wa nigba gbigbe iru ero bẹẹ, ati paapaa bii o ṣe le “gbe” gbogbo eyi lori ohun elo ile laarin awọn dopin ti yi article.

Emi kii yoo gbe lori ibeere naa “Kini idi aabo aabo amayederun inu nilo?” Idahun naa dabi pe o han gbangba. Ṣugbọn ti o ba jẹ pe, sibẹsibẹ, iwọ yoo fẹ lati rii daju lẹẹkan si pe loni o ko le gbe laisi rẹ, wo fidio kukuru kan nipa bii o ṣe le wọ inu nẹtiwọọki ajọ kan ti o ni aabo nipasẹ ogiriina ni awọn ọna 17. Nitorinaa, a yoo ro pe a loye pe ibojuwo inu jẹ ohun pataki ati gbogbo ohun ti o ku ni lati loye bi o ṣe le ṣeto.

Emi yoo ṣe afihan awọn orisun data bọtini mẹta fun ibojuwo awọn amayederun ni ipele nẹtiwọọki:

• ijabọ “aise” ti a mu ati fi silẹ fun itupalẹ si awọn eto itupalẹ kan,
• awọn iṣẹlẹ lati awọn ẹrọ nẹtiwọki nipasẹ eyiti ijabọ kọja,
• alaye ijabọ ti a gba nipasẹ ọkan ninu awọn ilana sisan.

Yiya ijabọ aise jẹ aṣayan olokiki julọ laarin awọn alamọja aabo, nitori pe o farahan ni itan-akọọlẹ ati pe o jẹ akọkọ. Awọn ọna wiwa ifọle nẹtiwọọki ti aṣa (eto wiwa ifọle ti iṣowo akọkọ jẹ NetRanger lati Ẹgbẹ Wheel, ti o ra ni ọdun 1998 nipasẹ Sisiko) ti ṣiṣẹ ni pipe ni yiya awọn apo-iwe (ati awọn akoko nigbamii) ninu eyiti a wa awọn ibuwọlu kan (“awọn ofin ipinnu” ni FSTEC terminology), awọn ikọlu ifihan. Nitoribẹẹ, o le ṣe itupalẹ ijabọ aise kii ṣe lilo IDS nikan, ṣugbọn tun lo awọn irinṣẹ miiran (fun apẹẹrẹ, Wireshark, tcpdum tabi iṣẹ NBAR2 ni Sisiko IOS), ṣugbọn wọn nigbagbogbo ko ni ipilẹ oye ti o ṣe iyatọ ohun elo aabo alaye lati deede. IT irinṣẹ.

Nitorinaa, awọn eto wiwa ikọlu. Ọna ti o dagba julọ ati olokiki julọ ti wiwa awọn ikọlu nẹtiwọọki, eyiti o ṣe iṣẹ ti o dara ni agbegbe (laibikita kini - ile-iṣẹ, ile-iṣẹ data, apakan, bbl), ṣugbọn kuna ni awọn iyipada ode oni ati awọn nẹtiwọọki asọye sọfitiwia. Ninu ọran ti nẹtiwọọki ti a ṣe lori ipilẹ ti awọn iyipada aṣa, awọn amayederun ti awọn sensọ wiwa ikọlu di pupọ ju - iwọ yoo ni lati fi sensọ sori asopọ kọọkan si ipade ti o fẹ lati ṣe atẹle awọn ikọlu. Eyikeyi olupese, nitorinaa, yoo dun lati ta ọ ni awọn ọgọọgọrun ati ẹgbẹẹgbẹrun awọn sensọ, ṣugbọn Mo ro pe isuna rẹ ko le ṣe atilẹyin iru awọn inawo. Mo le sọ pe paapaa ni Sisiko (ati pe awa jẹ awọn olupilẹṣẹ ti NGIPS) a ko le ṣe eyi, botilẹjẹpe o dabi pe ọrọ idiyele wa niwaju wa. Emi ko yẹ ki o duro - ipinnu tiwa ni. Ni afikun, ibeere naa waye, bawo ni a ṣe le sopọ sensọ ni ẹya yii? Sinu aafo? Kini ti sensọ funrararẹ ba kuna? Nilo kan fori module ni sensọ? Lo splitters (tẹ ni kia kia)? Gbogbo eyi jẹ ki ojutu naa jẹ gbowolori diẹ sii ati ki o jẹ ki o jẹ ko ṣee ṣe fun ile-iṣẹ ti iwọn eyikeyi.

O le gbiyanju lati “so” sensọ sori ibudo SPAN/RSPAN/ERSPAN ati ijabọ taara lati awọn ebute oko oju omi ti o nilo si. Aṣayan yii ni apakan kan yọ iṣoro ti a ṣalaye ninu paragira ti tẹlẹ, ṣugbọn o jẹ ọkan miiran - ibudo SPAN ko le gba Egba gbogbo awọn ijabọ ti yoo firanṣẹ si - kii yoo ni bandiwidi to. E o gbodo rubọ nkankan. Boya fi diẹ ninu awọn apa laisi ibojuwo (lẹhinna o nilo lati ṣaju wọn ni akọkọ), tabi firanṣẹ kii ṣe gbogbo ijabọ lati oju ipade, ṣugbọn nikan iru kan. Ni eyikeyi idiyele, a le padanu diẹ ninu awọn ikọlu. Ni afikun, ibudo SPAN le ṣee lo fun awọn iwulo miiran. Bi abajade, a yoo ni lati ṣe atunyẹwo topology nẹtiwọọki ti o wa ati o ṣee ṣe awọn atunṣe si rẹ lati le bo nẹtiwọọki rẹ si iwọn pẹlu nọmba awọn sensosi ti o ni (ati ipoidojuko eyi pẹlu IT).

Kini ti nẹtiwọọki rẹ ba nlo awọn ipa-ọna asymmetric? Kini ti o ba ti ṣe imuse tabi n gbero lati ṣe SDN? Kini ti o ba nilo lati ṣe atẹle awọn ẹrọ ti o ni agbara tabi awọn apoti ti ijabọ ko de iyipada ti ara rara? Iwọnyi jẹ awọn ibeere ti awọn olutaja IDS ibile ko fẹran nitori wọn ko mọ bi a ṣe le dahun wọn. Boya wọn yoo yi ọ pada pe gbogbo awọn imọ-ẹrọ asiko wọnyi jẹ aruwo ati pe o ko nilo rẹ. Boya wọn yoo sọrọ nipa iwulo lati bẹrẹ kekere. Tabi boya wọn yoo sọ pe o nilo lati fi ipadanu agbara kan si aarin nẹtiwọọki naa ki o taara gbogbo awọn ijabọ si rẹ nipa lilo awọn iwọntunwọnsi. Eyikeyi aṣayan ti a fun ọ, o nilo lati ni oye ni kedere bi o ṣe baamu fun ọ. Ati lẹhin iyẹn nikan ṣe ipinnu lori yiyan ọna lati ṣe abojuto aabo alaye ti awọn amayederun nẹtiwọọki. Pada si gbigba apo, Mo fẹ sọ pe ọna yii tẹsiwaju lati jẹ olokiki pupọ ati pataki, ṣugbọn idi akọkọ rẹ ni iṣakoso aala; awọn aala laarin ajo rẹ ati Intanẹẹti, awọn aala laarin ile-iṣẹ data ati iyokù nẹtiwọọki, awọn aala laarin eto iṣakoso ilana ati apakan ile-iṣẹ. Ni awọn aaye wọnyi, IDS/IPS Ayebaye tun ni ẹtọ lati wa ati koju daradara pẹlu awọn iṣẹ ṣiṣe wọn.

Jẹ ki a lọ si aṣayan keji. Onínọmbà ti awọn iṣẹlẹ ti nbọ lati awọn ẹrọ nẹtiwọọki tun le ṣee lo fun awọn idi wiwa ikọlu, ṣugbọn kii ṣe bi ẹrọ akọkọ, nitori o gba laaye wiwa kilasi kekere ti ifọle. Ni afikun, o jẹ inherent ni diẹ ninu awọn ifaseyin - ikọlu gbọdọ kọkọ waye, lẹhinna o gbọdọ gbasilẹ nipasẹ ẹrọ nẹtiwọọki kan, eyiti o ni ọna kan tabi omiiran yoo ṣe ifihan iṣoro kan pẹlu aabo alaye. Orisirisi awọn ọna bẹẹ lo wa. Eyi le jẹ syslog, RMON tabi SNMP. Awọn ilana meji ti o kẹhin fun ibojuwo nẹtiwọọki ni aaye aabo alaye ni a lo nikan ti a ba nilo lati rii ikọlu DoS kan lori ohun elo nẹtiwọọki funrararẹ, nitori lilo RMON ati SNMP o ṣee ṣe, fun apẹẹrẹ, lati ṣe atẹle fifuye lori aringbungbun ẹrọ naa. isise tabi awọn oniwe-ni wiwo. Eyi jẹ ọkan ninu “diwọn julọ” (gbogbo eniyan ni syslog tabi SNMP), ṣugbọn tun jẹ aiṣedeede julọ ti gbogbo awọn ọna ti abojuto aabo alaye ti awọn amayederun inu - ọpọlọpọ awọn ikọlu ni o farapamọ lati ọdọ rẹ. Nitoribẹẹ, wọn ko yẹ ki o gbagbe, ati itupalẹ syslog kanna ṣe iranlọwọ fun ọ lati ṣe idanimọ awọn ayipada akoko ni iṣeto ti ẹrọ funrararẹ, adehun rẹ, ṣugbọn ko dara pupọ fun wiwa awọn ikọlu lori gbogbo nẹtiwọọki.

Aṣayan kẹta ni lati ṣe itupalẹ alaye nipa ijabọ ti n kọja nipasẹ ẹrọ kan ti o ṣe atilẹyin ọkan ninu ọpọlọpọ awọn ilana sisan. Ni ọran yii, laibikita ilana naa, awọn amayederun okun ni dandan ni awọn paati mẹta:

• Iran tabi okeere ti sisan. Iṣe yii ni a maa n pin si olulana, yipada tabi ẹrọ nẹtiwọọki miiran, eyiti, nipa gbigbe ijabọ nẹtiwọọki nipasẹ ararẹ, ngbanilaaye lati yọkuro awọn ipilẹ bọtini lati inu rẹ, eyiti a gbejade lẹhinna si module gbigba. Fun apẹẹrẹ, Sisiko ṣe atilẹyin ilana Netflow kii ṣe lori awọn onimọ-ọna ati awọn iyipada, pẹlu foju ati awọn ti ile-iṣẹ, ṣugbọn tun lori awọn oludari alailowaya, awọn ogiriina ati paapaa awọn olupin.
• Ṣiṣan gbigba. Ni imọran pe nẹtiwọọki ode oni nigbagbogbo ni awọn ẹrọ nẹtiwọọki diẹ sii ju ọkan lọ, iṣoro ti ikojọpọ ati isọdọkan ṣiṣan dide, eyiti o yanju nipa lilo awọn ohun ti a pe ni awọn agbowọ, eyiti o ṣe ilana ṣiṣan ti o gba ati lẹhinna gbejade wọn fun itupalẹ.
• Ayẹwo sisan Oluyanju gba iṣẹ-ṣiṣe ọgbọn akọkọ ati, lilo ọpọlọpọ awọn algoridimu si awọn ṣiṣan, fa awọn ipinnu kan. Fun apẹẹrẹ, gẹgẹbi apakan ti iṣẹ IT, iru olutupalẹ le ṣe idanimọ awọn igo nẹtiwọki tabi ṣe itupalẹ profaili fifuye ijabọ fun iṣapeye nẹtiwọki siwaju sii. Ati fun aabo alaye, iru olutupalẹ le rii awọn jijo data, itankale koodu irira tabi awọn ikọlu DoS.

Maṣe ronu pe faaji ipele mẹta yii jẹ idiju pupọ - gbogbo awọn aṣayan miiran (ayafi, boya, awọn eto ibojuwo nẹtiwọọki ti n ṣiṣẹ pẹlu SNMP ati RMON) tun ṣiṣẹ ni ibamu si rẹ. A ni olupilẹṣẹ data fun itupalẹ, eyiti o le jẹ ẹrọ nẹtiwọọki tabi sensọ imurasilẹ-nikan. A ni eto gbigba itaniji ati eto iṣakoso fun gbogbo awọn amayederun ibojuwo. Awọn ti o kẹhin meji irinše le ti wa ni idapo laarin kan nikan ipade, sugbon ni diẹ ẹ sii tabi kere si ti o tobi nẹtiwọki ti won ti wa ni maa n tan lori o kere ju meji ẹrọ ni ibere lati rii daju scalability ati dede.

Ko dabi itupalẹ apo, eyiti o da lori kikọ akọsori ati data ara ti apo-iwe kọọkan ati awọn akoko ti o ni ninu, itupalẹ ṣiṣan da lori gbigba awọn metadata nipa ijabọ nẹtiwọọki. Nigbawo, melo ni, lati ibo ati nibo, bawo ni… iwọnyi ni awọn ibeere ti o dahun nipasẹ itupalẹ ti telemetry nẹtiwọki nipa lilo awọn ilana ṣiṣan lọpọlọpọ. Ni ibẹrẹ, wọn lo lati ṣe itupalẹ awọn iṣiro ati rii awọn iṣoro IT lori nẹtiwọọki, ṣugbọn lẹhinna, bi awọn ilana itupalẹ ti dagbasoke, o ṣee ṣe lati lo wọn si telemetry kanna fun awọn idi aabo. O tọ lati ṣe akiyesi lẹẹkansi pe itupalẹ sisan ko ni rọpo tabi rọpo gbigba soso. Ọkọọkan awọn ọna wọnyi ni agbegbe tirẹ ti ohun elo. Ṣugbọn ni aaye ti nkan yii, o jẹ itupalẹ sisan ti o baamu julọ fun ibojuwo awọn amayederun inu. O ni awọn ẹrọ nẹtiwọọki (boya wọn ṣiṣẹ ni ilana asọye sọfitiwia tabi ni ibamu si awọn ofin aimi) ti ikọlu ko le fori. O le fori sensọ IDS Ayebaye, ṣugbọn ẹrọ nẹtiwọọki ti o ṣe atilẹyin ilana sisan ko le. Eyi ni anfani ti ọna yii.

Ni apa keji, ti o ba nilo ẹri fun agbofinro tabi ẹgbẹ iwadii iṣẹlẹ tirẹ, iwọ ko le ṣe laisi gbigba apo-iwe – telemetry nẹtiwọki kii ṣe ẹda ijabọ ti o le ṣee lo lati gba ẹri; o nilo fun wiwa iyara ati ṣiṣe ipinnu ni aaye aabo alaye. Ni apa keji, lilo itupalẹ telemetry, o le “kọ” kii ṣe gbogbo awọn ijabọ nẹtiwọọki (ti o ba jẹ ohunkohun, Sisiko ṣe pẹlu awọn ile-iṣẹ data :-), ṣugbọn eyiti o ni ipa ninu ikọlu naa. Awọn irinṣẹ itupalẹ Telemetry ni ọran yii yoo ṣe iranlowo awọn ilana imudani soso ibile daradara, fifun awọn aṣẹ fun yiyan ati ibi ipamọ. Bibẹẹkọ, iwọ yoo ni lati ni awọn amayederun ibi ipamọ nla kan.

Jẹ ki a foju inu wo nẹtiwọki ti n ṣiṣẹ ni iyara 250 Mbit / iṣẹju-aaya. Ti o ba fẹ fipamọ gbogbo iwọn didun yii, lẹhinna iwọ yoo nilo 31 MB ti ibi ipamọ fun iṣẹju-aaya kan ti gbigbe ijabọ, 1,8 GB fun iṣẹju kan, 108 GB fun wakati kan, ati 2,6 TB fun ọjọ kan. Lati tọju data ojoojumọ lati nẹtiwọki kan pẹlu bandiwidi ti 10 Gbit/s, iwọ yoo nilo 108 TB ti ibi ipamọ. Ṣugbọn diẹ ninu awọn olutọsọna nilo fifipamọ data aabo fun awọn ọdun… Gbigbasilẹ ibeere, eyiti itupalẹ sisan ṣe iranlọwọ fun ọ lati ṣe, ṣe iranlọwọ lati dinku awọn iye wọnyi nipasẹ awọn aṣẹ titobi. Nipa ọna, ti a ba sọrọ nipa ipin ti iwọn didun ti data telemetry nẹtiwọki ti o gbasilẹ ati imudani data pipe, lẹhinna o fẹrẹ to 1 si 500. Fun awọn iye kanna ti a fun loke, titoju iwe-kikọ kikun ti gbogbo awọn ijabọ ojoojumọ yoo jẹ 5 ati 216 GB, lẹsẹsẹ (o le paapaa gbasilẹ lori kọnputa filasi deede).

Ti o ba jẹ fun awọn irinṣẹ fun itupalẹ data nẹtiwọọki aise, ọna ti yiya o fẹrẹ jẹ kanna lati ọdọ ataja si ataja, lẹhinna ninu ọran ti itupalẹ sisan ipo naa yatọ. Awọn aṣayan pupọ wa fun awọn ilana sisan, awọn iyatọ ninu eyiti o nilo lati mọ nipa ni ipo aabo. Awọn julọ gbajumo ni Netflow Ilana ni idagbasoke nipasẹ Sisiko. Awọn ẹya pupọ wa ti ilana yii, ti o yatọ ni awọn agbara wọn ati iye alaye ijabọ ti o gbasilẹ. Ẹya lọwọlọwọ jẹ kẹsan (Netflow v9), lori ipilẹ eyiti boṣewa ile-iṣẹ Netflow v10, ti a tun mọ ni IPFIX, ti ni idagbasoke. Loni, ọpọlọpọ awọn olutaja nẹtiwọọki ṣe atilẹyin Netflow tabi IPFIX ninu ohun elo wọn. Ṣugbọn ọpọlọpọ awọn aṣayan miiran wa fun awọn ilana sisan - sFlow, jFlow, cFlow, rFlow, NetStream, ati bẹbẹ lọ, eyiti sFlow jẹ olokiki julọ. O jẹ iru eyi ti o jẹ atilẹyin nigbagbogbo nipasẹ awọn aṣelọpọ ile ti ohun elo nẹtiwọọki nitori irọrun imuse rẹ. Kini awọn iyatọ bọtini laarin Netflow, eyiti o ti di boṣewa de facto, ati sFlow? Emi yoo ṣe afihan awọn bọtini pupọ. Ni akọkọ, Netflow ni awọn aaye asefara olumulo ni idakeji si awọn aaye ti o wa titi ni sFlow. Ati keji, ati eyi ni ohun pataki julọ ninu ọran wa, sFlow n gba ohun ti a npe ni telemetry sampled; ni idakeji si ọkan ti a ko ṣe ayẹwo fun Netflow ati IPFIX. Kini iyato laarin wọn?

Fojuinu pe o pinnu lati ka iwe naa "Ile-iṣẹ Awọn iṣẹ Aabo: Ilé, Ṣiṣẹ, ati Mimu SOC rẹ” ti awọn ẹlẹgbẹ mi - Gary McIntyre, Joseph Munitz ati Nadem Alfardan (o le ṣe igbasilẹ apakan ti iwe lati ọna asopọ). O ni awọn aṣayan mẹta lati ṣaṣeyọri ibi-afẹde rẹ - ka gbogbo iwe, skim nipasẹ rẹ, da duro ni gbogbo oju-iwe 10th tabi 20th, tabi gbiyanju lati wa atunṣe awọn imọran bọtini lori bulọọgi tabi iṣẹ bii SmartReading. Nitorinaa, telemetry ti a ko ṣe apẹẹrẹ n ka gbogbo “oju-iwe” ti ijabọ nẹtiwọọki, iyẹn ni, itupalẹ awọn metadata fun apo-iwe kọọkan. Ayẹwo telemetry jẹ iwadi yiyan ti ijabọ ni ireti pe awọn ayẹwo ti o yan yoo ni ohun ti o nilo ninu. Ti o da lori iyara ikanni, telemetry apẹẹrẹ yoo firanṣẹ fun itupalẹ ni gbogbo 64th, 200th, 500th, 1000th, 2000th tabi paapaa pakẹti 10000th.

Ni agbegbe ti ibojuwo aabo alaye, eyi tumọ si pe telemetry ti a ṣe ayẹwo jẹ ibamu daradara fun wiwa awọn ikọlu DDoS, ṣiṣe ayẹwo, ati itankale koodu irira, ṣugbọn o le padanu atomiki tabi awọn ikọlu apo-ọpọlọpọ ti ko si ninu apẹẹrẹ ti a firanṣẹ fun itupalẹ. Telemetry ti a ko ṣe ayẹwo ko ni iru awọn aila-nfani bẹ. Pẹlu eyi, ibiti awọn ikọlu ti a rii jẹ gbooro pupọ. Eyi ni atokọ kukuru ti awọn iṣẹlẹ ti o le rii ni lilo awọn irinṣẹ itupalẹ telemetry nẹtiwọki.

Nitoribẹẹ, diẹ ninu olutupalẹ Netflow orisun ṣiṣi kii yoo gba ọ laaye lati ṣe eyi, nitori iṣẹ akọkọ rẹ ni lati gba telemetry ati ṣe itupalẹ ipilẹ lori rẹ lati oju wiwo IT. Lati ṣe idanimọ awọn irokeke aabo alaye ti o da lori sisan, o jẹ dandan lati pese olutupalẹ pẹlu ọpọlọpọ awọn ẹrọ ati awọn algoridimu, eyiti yoo ṣe idanimọ awọn iṣoro cybersecurity ti o da lori boṣewa tabi awọn aaye Netflow aṣa, jẹ ki data boṣewa pọ si pẹlu data ita lati ọpọlọpọ awọn orisun Imọye Irokeke, ati bẹbẹ lọ.

Nitorinaa, ti o ba ni yiyan, lẹhinna yan Netflow tabi IPFIX. Ṣugbọn paapaa ti ohun elo rẹ ba ṣiṣẹ nikan pẹlu sFlow, bii awọn aṣelọpọ ile, lẹhinna paapaa ninu ọran yii o le ni anfani lati ọdọ rẹ ni ipo aabo.

Ni akoko ooru ti ọdun 2019, Mo ṣe atupale awọn agbara ti awọn aṣelọpọ ohun elo nẹtiwọọki Russia ni ati gbogbo wọn, laisi NSG, Polygon ati Craftway, kede atilẹyin fun sFlow (o kere ju Zelax, Natex, Eltex, QTech, Rusteleteh).

Ibeere atẹle ti iwọ yoo dojuko ni ibo ni lati ṣe atilẹyin sisan fun awọn idi aabo? Ni otitọ, ibeere naa ko ṣe agbekalẹ ni pipe. Ohun elo ode oni fere nigbagbogbo ṣe atilẹyin awọn ilana sisan. Nitorinaa, Emi yoo ṣe atunṣe ibeere naa ni oriṣiriṣi - nibo ni o munadoko julọ lati gba telemetry lati oju wiwo aabo? Idahun naa yoo han gbangba - ni ipele iwọle, nibiti iwọ yoo rii 100% ti gbogbo awọn ijabọ, nibiti iwọ yoo ni alaye alaye lori awọn ọmọ-ogun (MAC, VLAN, ID wiwo), nibiti o le paapaa ṣe atẹle ijabọ P2P laarin awọn ọmọ-ogun, eyiti jẹ pataki fun wiwa ọlọjẹ ati pinpin koodu irira. Ni ipele mojuto, o le jiroro ko rii diẹ ninu awọn ijabọ, ṣugbọn ni ipele agbegbe, iwọ yoo rii idamẹrin ti gbogbo ijabọ nẹtiwọọki rẹ. Ṣugbọn ti o ba jẹ fun idi kan o ni awọn ẹrọ ajeji lori nẹtiwọọki rẹ ti o gba awọn ikọlu laaye lati “tẹ ati jade” laisi lilọ kiri agbegbe, lẹhinna itupalẹ telemetry lati ọdọ rẹ kii yoo fun ọ ni ohunkohun. Nitorinaa, fun agbegbe ti o pọju, o gba ọ niyanju lati mu gbigba telemetry ṣiṣẹ ni ipele iwọle. Ni akoko kanna, o tọ lati ṣe akiyesi pe paapaa ti a ba n sọrọ nipa ipa-ipa tabi awọn apoti, atilẹyin ṣiṣan tun wa nigbagbogbo ni awọn iyipada foju foju ode oni, eyiti o fun ọ laaye lati ṣakoso ijabọ nibẹ paapaa.

Ṣugbọn niwọn igba ti Mo ti gbe koko-ọrọ naa dide, Mo nilo lati dahun ibeere naa: kini ti ohun elo, ti ara tabi foju, ko ṣe atilẹyin awọn ilana ṣiṣan? Tabi ifisi rẹ jẹ eewọ (fun apẹẹrẹ, ni awọn apakan ile-iṣẹ lati rii daju igbẹkẹle)? Tabi ni titan o lori asiwaju si ga Sipiyu fifuye (yi ṣẹlẹ lori agbalagba hardware)? Lati yanju iṣoro yii, awọn sensosi foju amọja (awọn sensosi ṣiṣan), eyiti o jẹ awọn pipin lasan lasan ti o kọja nipasẹ ara wọn ati gbejade ni irisi ṣiṣan si module gbigba. Otitọ, ninu ọran yii a gba gbogbo awọn iṣoro ti a sọrọ nipa loke ni ibatan si awọn irinṣẹ imudani apo. Iyẹn ni, o nilo lati ni oye kii ṣe awọn anfani ti imọ-ẹrọ itupalẹ ṣiṣan, ṣugbọn awọn idiwọn rẹ.

Ojuami miiran ti o ṣe pataki lati ranti nigbati o ba sọrọ nipa awọn irinṣẹ itupalẹ ṣiṣan. Ti o ba ni ibatan si awọn ọna aṣa ti ipilẹṣẹ awọn iṣẹlẹ aabo a lo metiriki EPS (iṣẹlẹ fun iṣẹju kan), lẹhinna itọkasi yii ko wulo fun itupalẹ telemetry; o ti wa ni rọpo nipasẹ FPS (sisan fun keji). Gẹgẹbi ọran ti EPS, ko le ṣe iṣiro ni ilosiwaju, ṣugbọn o le ṣe iṣiro nọmba isunmọ ti awọn okun ti ẹrọ kan n gbejade da lori iṣẹ-ṣiṣe rẹ. O le wa awọn tabili lori Intanẹẹti pẹlu awọn iye isunmọ fun awọn oriṣiriṣi awọn ẹrọ ile-iṣẹ ati awọn ipo, eyiti yoo gba ọ laaye lati ṣe iṣiro iru awọn iwe-aṣẹ ti o nilo fun awọn irinṣẹ itupalẹ ati kini faaji wọn yoo jẹ? Otitọ ni pe sensọ IDS ti ni opin nipasẹ iwọn bandiwidi kan ti o le “fa”, ati agbasọ sisan ni awọn idiwọn tirẹ ti o gbọdọ loye. Nitorinaa, ni titobi nla, awọn nẹtiwọọki ti a pin kaakiri ni igbagbogbo ọpọlọpọ awọn agbowọ. Nigbati mo se apejuwe bi awọn nẹtiwọki ti wa ni abojuto inu Cisco, Mo ti fun awọn nọmba ti awọn olugba wa tẹlẹ - o wa ninu wọn 21. Ati pe eyi jẹ fun nẹtiwọki ti o tuka kaakiri awọn agbegbe marun ati nọmba to idaji milionu awọn ẹrọ ti nṣiṣe lọwọ).

A lo ojutu tiwa bi eto ibojuwo Netflow Cisco Stealthwatch, eyi ti o ṣe pataki ni idojukọ awọn iṣoro aabo. O ni ọpọlọpọ awọn ẹrọ ti a ṣe sinu rẹ fun wiwa ailorukọ, ifura ati iṣẹ irira kedere, eyiti o fun ọ laaye lati wa ọpọlọpọ awọn irokeke oriṣiriṣi - lati cryptomining si awọn n jo alaye, lati itankale koodu irira si ẹtan. Gẹgẹbi ọpọlọpọ awọn olutupalẹ ṣiṣan, Stealthwatch jẹ itumọ ni ibamu si ero ipele mẹta kan (ipilẹṣẹ - olugba-itupalẹ), ṣugbọn o jẹ afikun pẹlu nọmba awọn ẹya ti o nifẹ si ti o ṣe pataki ni aaye ti ohun elo ti o wa labẹ ero. Ni akọkọ, o ṣepọ pẹlu awọn solusan imudani apo (gẹgẹbi Sisiko Aabo Packet Analyzer), eyiti o fun ọ laaye lati ṣe igbasilẹ awọn akoko nẹtiwọọki ti o yan fun iwadii ijinle ati itupalẹ nigbamii. Ni ẹẹkeji, ni pataki lati faagun awọn iṣẹ ṣiṣe aabo, a ti ṣe agbekalẹ ilana nvzFlow pataki kan, eyiti o fun ọ laaye lati “sisọ” iṣẹ ṣiṣe ti awọn ohun elo lori awọn apa ipari (awọn olupin, awọn aaye iṣẹ, ati bẹbẹ lọ) sinu telemetry ati gbejade si olugba fun itupalẹ siwaju. Ti o ba wa ninu ẹya atilẹba rẹ Stealthwatch ṣiṣẹ pẹlu eyikeyi ilana sisan (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) ni ipele nẹtiwọọki, lẹhinna atilẹyin nvzFlow ngbanilaaye ibamu data tun ni ipele ipade, nitorinaa. jijẹ ṣiṣe ti gbogbo eto ati rii awọn ikọlu diẹ sii ju awọn atunnkanka ṣiṣan nẹtiwọọki deede.

O han gbangba pe nigba ti o ba sọrọ nipa awọn ọna ṣiṣe itupalẹ Netflow lati oju wiwo aabo, ọja naa ko ni opin si ojutu kan lati Sisiko. O le lo mejeeji ti iṣowo ati ọfẹ tabi awọn solusan shareware. O jẹ ohun ajeji ti MO ba tọka awọn solusan awọn oludije bi awọn apẹẹrẹ lori bulọọgi Sisiko, nitorinaa Emi yoo sọ awọn ọrọ diẹ nipa bii telemetry nẹtiwọki le ṣe itupalẹ nipa lilo olokiki meji, iru ni orukọ, ṣugbọn awọn irinṣẹ oriṣiriṣi - SiLK ati ELK.

SiLK jẹ eto awọn irinṣẹ (Eto fun Imọ-Ipele Ayelujara) fun itupalẹ ijabọ, ti o dagbasoke nipasẹ Amẹrika CERT/CC ati eyiti o ṣe atilẹyin, ni ọrọ ti nkan oni, Netflow (5th ati 9th, awọn ẹya olokiki julọ), IPFIX ati sFlow ati lilo ọpọlọpọ awọn ohun elo (rwfilter, rwcount, rwflowpack, ati bẹbẹ lọ) lati ṣe ọpọlọpọ awọn iṣẹ lori telemetry nẹtiwọki lati le rii awọn ami ti awọn iṣe laigba aṣẹ ninu rẹ. Ṣugbọn awọn aaye pataki meji kan wa lati ṣe akiyesi. SiLK jẹ ohun elo laini aṣẹ ti o ṣe itupalẹ lori laini nipa titẹ awọn aṣẹ bii eyi (iwari awọn apo-iwe ICMP ti o tobi ju awọn baiti 200):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

ko gan itura. O le lo iSiLK GUI, ṣugbọn kii yoo jẹ ki igbesi aye rẹ rọrun pupọ, nikan yanju iṣẹ iworan ati kii ṣe rirọpo oluyanju. Ati pe eyi ni aaye keji. Ko dabi awọn solusan iṣowo, eyiti o ti ni ipilẹ itupalẹ ti o muna, awọn algorithms wiwa anomaly, ṣiṣan iṣẹ ti o baamu, ati bẹbẹ lọ, ninu ọran ti SiLK iwọ yoo ni lati ṣe gbogbo eyi funrararẹ, eyiti yoo nilo awọn agbara oriṣiriṣi oriṣiriṣi lati ọdọ rẹ ju lati lilo ti ṣetan tẹlẹ- lati-lilo irinṣẹ. Eyi kii ṣe dara tabi buburu - eyi jẹ ẹya ti o fẹrẹẹ jẹ eyikeyi ọpa ọfẹ ti o dawọle pe o mọ kini lati ṣe, ati pe yoo ṣe iranlọwọ nikan pẹlu eyi (awọn irinṣẹ iṣowo ko da lori awọn agbara ti awọn olumulo rẹ, botilẹjẹpe wọn tun ro pe pe awọn atunnkanka loye o kere ju awọn ipilẹ ti awọn iwadii nẹtiwọọki ati ibojuwo). Ṣugbọn jẹ ki a pada si SiLK. Yiyipo iṣẹ atunnkanka pẹlu rẹ dabi eyi:

• Agbekale a ilewq. A gbọdọ loye ohun ti a yoo wa fun inu telemetry nẹtiwọọki, mọ awọn abuda alailẹgbẹ nipasẹ eyiti a yoo ṣe idanimọ awọn anomalies tabi awọn irokeke kan.
• Ilé awoṣe. Lehin ti o ti ṣe agbekalẹ igbero kan, a ṣe eto rẹ ni lilo Python kanna, ikarahun tabi awọn irinṣẹ miiran ti ko si ninu SiLK.
• Idanwo. Bayi ni akoko wa lati ṣayẹwo deede ti ile-aye wa, eyiti o jẹrisi tabi tako nipa lilo awọn ohun elo SiLK ti o bẹrẹ pẹlu 'rw', 'ṣeto', 'apo'.
• Onínọmbà ti gidi data. Ninu iṣiṣẹ ile-iṣẹ, SiLK ṣe iranlọwọ fun wa lati ṣe idanimọ ohun kan ati pe oluyanju gbọdọ dahun awọn ibeere “Ṣe a rii ohun ti a nireti?”, “Ṣe eyi ni ibamu pẹlu arosọ wa?”, “Bawo ni a ṣe le dinku nọmba awọn idaniloju eke?”, “Bawo ni lati mu ipele idanimọ pọ si? » ati bẹbẹ lọ.
• Ilọsiwaju. Ni ipele ikẹhin, a ni ilọsiwaju ohun ti a ṣe tẹlẹ - a ṣẹda awọn awoṣe, mu dara ati mu koodu pọ si, ṣe atunṣe ati ṣe alaye idawọle, ati bẹbẹ lọ.

Yi ọmọ yoo wa ni tun kan si Sisiko Stealthwatch, nikan awọn ti o kẹhin automate wọnyi marun awọn igbesẹ ti si awọn ti o pọju, atehinwa awọn nọmba ti Oluyanju aṣiṣe ati jijẹ ṣiṣe ti isẹlẹ erin. Fun apẹẹrẹ, ni SiLK o le ṣe alekun awọn iṣiro nẹtiwọọki pẹlu data ita lori awọn IP irira nipa lilo awọn iwe afọwọkọ ti a fiwewe, ati ni Sisiko Stealthwatch o jẹ iṣẹ ti a ṣe sinu ti o ṣafihan itaniji lẹsẹkẹsẹ ti ijabọ nẹtiwọki ba ni awọn ibaraẹnisọrọ pẹlu awọn adirẹsi IP lati inu akojọ dudu.

Ti o ba lọ ga julọ ni jibiti “sanwo” fun sọfitiwia itupalẹ ṣiṣan, lẹhinna lẹhin SiLK ọfẹ ọfẹ yoo wa ELK shareware kan, ti o ni awọn paati bọtini mẹta - Elasticsearch (itọkasi, wiwa ati itupalẹ data), Logstash (titẹwọle / igbejade data). ) ati Kibana (iworan). Ko dabi SiLK, nibiti o ni lati kọ ohun gbogbo funrararẹ, ELK ti ni ọpọlọpọ awọn ile-ikawe / awọn modulu ti a ti ṣetan (diẹ ninu awọn isanwo, diẹ ninu kii ṣe) ti o ṣe adaṣe itupalẹ ti telemetry nẹtiwọki. Fun apẹẹrẹ, àlẹmọ GeoIP ni Logstash ngbanilaaye lati darapọ mọ awọn adirẹsi IP abojuto pẹlu ipo agbegbe wọn (Stealthwatch ni ẹya-ara ti a ṣe sinu).

ELK tun ni agbegbe ti o tobi pupọ ti o n pari awọn paati ti o padanu fun ojutu ibojuwo yii. Fun apẹẹrẹ, lati ṣiṣẹ pẹlu Netflow, IPFIX ati sFlow o le lo module elastiflow, ti o ko ba ni itẹlọrun pẹlu Logstash Netflow Module, eyiti o ṣe atilẹyin Netflow nikan.

Lakoko fifun ṣiṣe diẹ sii ni gbigba sisan ati wiwa ninu rẹ, ELK lọwọlọwọ ko ni awọn atupale ti a ṣe sinu ọlọrọ fun wiwa awọn aiṣedeede ati awọn irokeke ni telemetry nẹtiwọki. Iyẹn ni, ni atẹle igbesi aye igbesi aye ti a ṣalaye loke, iwọ yoo ni lati ṣalaye ni ominira awọn awoṣe irufin ati lẹhinna lo ninu eto ija (ko si awọn awoṣe ti a ṣe sinu nibẹ).

O wa, nitorinaa, awọn amugbooro fafa diẹ sii fun ELK, eyiti o ni awọn awoṣe tẹlẹ fun wiwa awọn asemase ni telemetry nẹtiwọọki, ṣugbọn iru awọn amugbooro naa jẹ owo ati nibi ibeere naa jẹ boya ere naa tọ abẹla - kọ iru awoṣe funrararẹ, ra rẹ. imuse fun ọpa ibojuwo rẹ, tabi ra ojutu ti a ti ṣetan ti kilasi Analysis Traffic Network.

Ni gbogbogbo, Emi ko fẹ lati wọle si ariyanjiyan pe o dara lati lo owo ati ra ojutu ti a ti ṣetan fun ibojuwo awọn asemase ati awọn irokeke ni telemetry nẹtiwọki (fun apẹẹrẹ, Cisco Stealthwatch) tabi ṣe akiyesi ararẹ ati ṣe akanṣe kanna. SiLK, ELK tabi nfdump tabi Awọn irinṣẹ Flow OSU fun irokeke tuntun kọọkan (Mo n sọrọ nipa awọn meji ti o kẹhin ninu wọn so fun Igba ikeyin)? Gbogbo eniyan yan fun ara wọn ati pe gbogbo eniyan ni awọn idi tirẹ fun yiyan eyikeyi ninu awọn aṣayan meji. Mo kan fẹ lati ṣafihan pe telemetry nẹtiwọọki jẹ ohun elo pataki pupọ ni idaniloju aabo nẹtiwọọki ti awọn amayederun inu rẹ ati pe o ko yẹ ki o gbagbe rẹ, nitorinaa ki o ma ṣe darapọ mọ atokọ ti awọn ile-iṣẹ ti orukọ wọn ti mẹnuba ninu media pẹlu awọn apọju “ ti gepa”, “ti ko ni ibamu pẹlu awọn ibeere aabo alaye” “,” “ko ronu nipa aabo data wọn ati data alabara.”

Lati ṣe akopọ, Emi yoo fẹ lati ṣe atokọ awọn imọran bọtini ti o yẹ ki o tẹle nigba ṣiṣe abojuto aabo alaye ti awọn amayederun inu rẹ:

1. Maṣe fi opin si ararẹ nikan si agbegbe! Lo (ati yan) awọn amayederun nẹtiwọọki kii ṣe lati gbe ijabọ nikan lati aaye A si aaye B, ṣugbọn tun lati koju awọn ọran cybersecurity.
2. Kọ ẹkọ awọn ilana ibojuwo aabo alaye ti o wa ninu ohun elo nẹtiwọọki rẹ ki o lo wọn.
3. Fun ibojuwo inu, fun ààyò si itupalẹ telemetry - o fun ọ laaye lati ṣawari to 80-90% ti gbogbo awọn iṣẹlẹ aabo alaye nẹtiwọọki, lakoko ti o ṣe ohun ti ko ṣee ṣe nigbati yiya awọn apo-iwe nẹtiwọọki ati fifipamọ aaye fun titoju gbogbo awọn iṣẹlẹ aabo alaye.
4. Lati ṣe atẹle awọn ṣiṣan, lo Netflow v9 tabi IPFIX - wọn pese alaye diẹ sii ni ipo aabo ati gba ọ laaye lati ṣe atẹle kii ṣe IPv4 nikan, ṣugbọn tun IPv6, MPLS, ati bẹbẹ lọ.
5. Lo Ilana sisan ti a ko ṣe apẹẹrẹ - o pese alaye diẹ sii fun wiwa awọn irokeke. Fun apẹẹrẹ, Netflow tabi IPFIX.
6. Ṣayẹwo ẹru lori ohun elo nẹtiwọọki rẹ - o le ma ni anfani lati mu ilana sisan naa daradara. Lẹhinna ronu nipa lilo awọn sensọ foju tabi Ohun elo Netflow Generation.
7. Ṣiṣe iṣakoso ni akọkọ ni ipele wiwọle - eyi yoo fun ọ ni anfani lati wo 100% ti gbogbo ijabọ.
8. Ti o ko ba ni yiyan ati pe o nlo ohun elo nẹtiwọọki Ilu Rọsia, lẹhinna yan ọkan ti o ṣe atilẹyin awọn ilana sisan tabi ni awọn ebute oko oju omi SPAN/RSPAN.
9. Darapọ ifọle / wiwa ikọlu / awọn ọna idena ni awọn egbegbe ati awọn ọna ṣiṣe itupalẹ sisan ninu nẹtiwọọki inu (pẹlu awọn awọsanma).

Nipa imọran ti o kẹhin, Emi yoo fẹ lati fun apẹẹrẹ kan ti Mo ti sọ tẹlẹ. O rii pe ti tẹlẹ iṣẹ aabo alaye Sisiko fẹrẹ kọ eto aabo aabo alaye rẹ lori ipilẹ awọn eto wiwa ifọle ati awọn ọna ibuwọlu, ni bayi wọn ṣe akọọlẹ fun 20% nikan ti awọn iṣẹlẹ. 20% miiran ṣubu lori awọn ọna ṣiṣe itupalẹ ṣiṣan, eyiti o ni imọran pe awọn solusan wọnyi kii ṣe ifẹ, ṣugbọn ohun elo gidi kan ninu awọn iṣẹ ti awọn iṣẹ aabo alaye ti ile-iṣẹ igbalode kan. Pẹlupẹlu, o ni ohun pataki julọ fun imuse wọn - awọn amayederun nẹtiwọọki, awọn idoko-owo ninu eyiti o le ni aabo siwaju sii nipa fifun awọn iṣẹ ibojuwo aabo alaye si nẹtiwọọki.

Emi ko fi ọwọ kan koko-ọrọ ti idahun si awọn aiṣedeede tabi awọn irokeke ti a damọ ni awọn ṣiṣan nẹtiwọọki, ṣugbọn Mo ro pe o ti han gbangba pe ibojuwo ko yẹ ki o pari nikan pẹlu wiwa irokeke kan. O yẹ ki o tẹle nipasẹ esi ati ni pataki ni ipo adaṣe tabi adaṣe. Ṣugbọn eyi jẹ koko-ọrọ fun nkan lọtọ.

Alaye afikun:

• Apejuwe ti Cisco IOS Netflow
• Netflow support matrix ni orisirisi awọn Sisiko solusan
• Itọsọna lati leto Netflow on orisirisi Cisco iru ẹrọ
• sFlow Community
• Lab ti nlo Stealtjwatch, SiLK ati ELK lati ṣe itupalẹ Netflow lati irisi aabo
• Aaye ayelujara SiLK
• Itọsọna oju-iwe ọgọrun mẹta si lilo SiLK pẹlu awọn apẹẹrẹ pupọ
• Logstash Netflow Module
• Cisco Igbese-nipasẹ-Igbese Itọsọna si Netflow Analysis ni ELK
• Onínọmbà ti NetFlow v.9 Cisco ASA nipa lilo Logstash (ELK)
• Cisco Stealthwatch Solusan

PS. Ti o ba rọrun fun ọ lati gbọ ohun gbogbo ti a kọ loke, lẹhinna o le wo igbejade gigun-wakati ti o ṣe ipilẹ ti akọsilẹ yii.

orisun: www.habr.com