Без­опас­ность се­ти и NetFlow

Lan - - Колонка Редактора - Дже­ре­ми Ре­дь­ярд

Рас­смат­ри­ва­ют­ся эво­лю­ция и зна­че­ние тех­но­ло­ги­ий экс­пор­та по­то­ков sFlow и NetFlow для со­зда­ния си­сте­мы за­щи­ты от угроз.

Се­го­дня в се­те­вых устрой­ствах используются пре­иму­ще­ствен­но две тех­но­ло­ги­ии экс­пор­та по­то­ков: sFlow и NetFlow.

Изна­чаль­но они раз­ра­ба­ты­ва­лись для мо­ни­то­рин­га и устра­не­ния неис­прав­но­стей внут­ри се­ти. В этой ста­тье рас­смат­ри­ва­ют­ся их эво­лю­ция и зна­че­ние для со­зда­ния си­сте­мы за­щи­ты от угроз.

Ре­а­ли­зуя за­щи­ту от ки­бе­р­атак, ИТ-служ­бы все­гда бы­ли ори­ен­ти­ро­ва­ны на обес­пе­че­ние без­опас­но­сти се­те­во­го пе­ри­мет­ра. При пе­ре­ме­ще­нии дан­ных в на­прав­ле­нии за­щи­щен­ных ре­сур­сов этот ме­тод вполне эф­фек­ти­вен. Од­на­ко вы­яв­лен­ные недав­но бре­ши по­ка­за­ли, что од­ной толь­ко без­опас­но­сти пе­ри­мет­ра недо­ста­точ­но для от­ра­же­ния тар­ге­ти­ро­ван­ных атак (Advandced Persistent Threat, APT). По ме­ре ро­ста по­пу­ляр­но­сти кон­цеп­ции Bring Your Own Device (BYOD), об­лач­ных тех­но­ло­гий и Ин­тер­не­та ве­щей дан­ные раз­ме­ща­ют­ся уже не толь­ко на клю­че­вых сер­ве­рах, а до­ступ к се­ти не обя­за­тель­но огра­ни­чи­ва­ет­ся.

Для за­щи­ты се­ти от угроз ИТ-служ­бам требуются ин­тел­лек­ту­аль­ные ре­ше­ния, ко­то­рые но­сят все­объ­ем­лю­щий ха­рак­тер, ос­но­ва­ны на анализе по­ве­де­ния и до­пол­ня­ют су­ще­ству­ю­щие зон­ные сред­ства обес­пе­че­ния без­опас­но­сти. Од­но из та­ких ре­ше­ний за­клю­ча­ет­ся в ис­поль­зо­ва­нии се­те­вой ин­фра­струк­ту­ры в ка­че­стве дат­чи­ка. Это де­ла­ет­ся пу­тем ак­ти­ва­ции сбо­ра по­то­ков IP-тра­фи­ка и раз­вер­ты­ва­ния си­стем вы­яв­ле­ния ано­ма­лий на ос­но­ве ана­ли­за по­ве­де­ния се­ти (мо­ни­то­рин­га се­те­во­го тра­фи­ка), что поз­во­ля­ет об­на­ру­жить по­до­зри­тель­ный трафик, на­ру­ше­ние по­ли­тик и ком­про­ме­та­цию ко­неч­ных устройств.

АНА­ЛИЗ ПО­ВЕ­ДЕ­НИЯ СЕ­ТИ

Но­вые облачные ар­хи­тек­ту­ры и мо­биль­ные тех­но­ло­гии ме­ня­ют пред­став­ле­ние о ха­рак­те­ре и спо­со­бах под­клю­че­ния тех или иных устройств к се­ти. Все это су­ще­ствен­но услож­ня­ет ис­поль­зо­ва­ние средств се­те­вой без­опас­но­сти. Ре­ше­ния пер­во­го по­ко­ле­ния не обес­пе­чи­ва­ют адек­ват­но­го кон­тро­ля, так как не учи­ты­ва­ют ди­на­ми­че­ский ха­рак­тер се­те­вых то­по­ло­гий. Рост уров­ня слож­но­сти и адап­та­ция атак к пред­при­ня­тым ме­рам за­щи­ты вы­нуж­да­ют ор­га­ни­за­ции уста­нав­ли­вать стро­гие пра­ви­ла без­опас­но­сти, что­бы по­лу­чать уве­дом­ле­ния о лю­бых по­тен­ци­аль­ных на­ру­ше­ни­ях еще до их воз­ник­но­ве­ния. Сред­ства ана­ли­за по­ве­де­ния се­ти (Network Behavior Analysis, NBA) или мо­ни­то­ринг се­те­во­го тра­фи­ка ста­но­вят­ся необ­хо­ди­мы­ми со­став­ля­ю­щи­ми лю­бой се­ти и вме­сте с си­сте­ма­ми об­на­ру­же­ния ано­ма­лий га­ран­ти­ру­ют пол­ную се­те­вую без­опас­ность.

Вы­стра­и­вая стра­те­гию без­опас­но­сти, спе­ци­а­ли­сты ре­ко­мен­ду­ют ИТ-служ­бам на­ря­ду со сред­ства­ми за­щи­ты пе­ри­мет­ра (меж­се­те­вы­ми экра­на­ми и си­сте­ма­ми предот­вра­ще­ния втор­же­ния) раз­вер­нуть в сво­их се­тях и ре­ше­ния NBA. Си­сте­мы ана­ли­за по­ве­де­ния за­ча­стую мо­гут об­на­ру­жить угро­зы (вре­до­нос­ные про­грам­мы, ви­ру­сы и бот­не­ты), усколь­за­ю­щие от вни­ма­ния дру­гих средств. Они укреп­ля­ют без­опас­ность се­ти за счет мо­ни­то­рин­га тра­фи­ка и от­де­ле­ния необыч­ных дей­ствий, со­бы­тий и тен­ден­ций от нор­маль­ных опе­ра­ций в се­те­вом тра­фи­ке.

Су­ще­ству­ют раз­лич­ные ме­ха­низ­мы сбо­ра ин­фор­ма­ции о се­те­вом тра­фи­ке. Боль­шин­ство необ­хо­ди­мых ком­по­нен­тов уже при­сут­ству­ют в ин­фра­струк­ту­ре со­вре­мен­ной се­ти. Для об­на­ру­же­ния и от­ра­же­ния се­те­вой ата­ки ор­га­ни­за­ции мо­гут ис­поль­зо­вать од­ну или несколь­ко тех­но­ло­гий для мо­ни­то­рин­га при­ло­же­ний и/или мо­ни­то­рин­га дан­ных се­те­вых по­то­ков, со­бран­ных в се­ти:

За­хват се­те­вых па­ке­тов. За­хват се­те­вых па­ке­тов всех по­то­ков вы­пол­ня­ет­ся пу­тем раз­вер­ты­ва­ния се­те­вых ана­ли­за­то­ров или от­во­дов с по­сле­ду­ю­щей пе­ре­ад­ре­са­ци­ей за­хва­чен­но­го тра­фи­ка ана­ли­за­то­ру без­опас­но­сти. Хо­тя этот ме­тод обес­пе­чи­ва­ет пол­ную ви­ди­мость всех се­те­вых по­то­ков, он до­воль­но до­рог, сло­жен в управ­ле­нии и при­во­дит к слиш­ком дол­го­му хранению тран­зак­ций. Зна­чи­тель­ные рас­хо­ды обу­слов­ле­ны вы­со­кой сто­и­мо­стью се­те­вых от­во­дов тра­фи­ка, про­грамм­но­го обес­пе­че­ния за­хва­та па­ке­тов и ана­ли­за­то­ра без­опас­но­сти, про­ве­ря­ю­ще­го все па­ке­ты с це­лью вы­яв­ле­ния и ней­тра­ли­за­ции се­те­вых атак.

Вы­бо­роч­ный экс­порт по­то­ков (за­хват па­ке­тов). Вы­бо­роч­ный за­хват па­ке­тов, по­сту­па­ю­щих от се­те­вых устройств, осу­ществ­ля­ет­ся пу­тем от­прав­ки вы­бор­ки па­ке­тов вы­де­лен­но­му ана­ли­за­то­ру без­опас­но­сти или кол­лек­то­ру. Это ре­ше­ние мо­жет быть по­лез­но для пла­ни­ро­ва­ния про­пуск­ной спо­соб­но­сти и на­блю­де­ния за тра­фи­ком и при­ло­же­ни­я­ми, но для борь­бы с угро­за­ми в ре­аль­ном вре­ме­ни его воз­мож­но­стей недо­ста­точ­но. Ес­ли се­те­вые тран­зак­ции ана­ли­зи­ру­ют­ся вы­бо­роч­но, боль­шин­ство тран­зак­ций в ре­аль­ном вре­ме­ни оста­ют­ся неза­ме­чен­ны­ми.

Пол­ный экс­порт по­то­ков. Мо­ни­то­ринг IP-по­то­ков (NetFlow) в со­че­та­нии с ис­поль­зо­ва­ни­ем кол­лек­то­ров NetFlow, ори­ен­ти­ро­ван­ных на без­опас­ность (на­при­мер, StealthWatch), спо­соб­ству­ет быст­ро­му вы­яв­ле­нию необыч­но­го и ано­маль­но­го по­ве­де­ния. Пол­ная ре­а­ли­за­ция NetFlow поз­во­ля­ет фик­си­ро­вать всю се­те­вую активность на ин­тер­фей­се, че­рез ко­то­рый про­хо­дит IP-по­ток, и по­лез­на для кор­ре­ля­ции со­бы­тий и ана­ли­за дан­ных. Клю­че­вым мо­мен­том яв­ля­ет­ся сбор дан­ных о всем по­то­ке, что по­мо­га­ет умень­шить чис­ло лож­ных сра­ба­ты­ва­ний (по срав­не­нию с ре­ше­ни­я­ми вы­бо­роч­но­го за­хва­та па­ке­тов). Кро­ме то­го, бла­го­да­ря воз­мож­но­сти про­смат­ри­вать весь по­ток уда­ет­ся об­на­ру­жи­вать слу­чаи мед­лен­но­го ска­ни­ро­ва­ния се­ти и ато­мар­ных атак, не рас­по­зна­ва­е­мых тра­ди­ци­он­ны­ми ре­ше­ни­я­ми без­опас­но­сти.

Внед­ре­ние от­во­дов тра­фи­ка мо­жет ока­зать­ся до­ро­го­сто­я­щим ре­ше­ни­ем, ко­то­рое пло­хо мас­шта­би­ру­ет­ся в круп­ных кор­по­ра­тив­ных се­тях. Иде­аль­ным ва­ри­ан­том счи­та­ет­ся NBA на ос­но­ве Flexible NetFlow, по­сколь­ку он обес­пе­чи­ва­ет глу­бо­кий и ши­ро­кий охват при анализе неиз­вест­ных устройств, необыч­ных шаб­ло­нов тра­фи­ка и неожи­дан­но­го по­ве­де­ния. Бу­дучи бо­га­тым ис­точ­ни­ком ин­фор­ма­ции для лю­бо­го се­те­во­го вза­и­мо­дей­ствия, Flexible NetFlow поз­во­ля­ет от­сле­жи­вать каж­дый се­те­вой диа­лог в те­че­ние дли­тель­но­го вре­ме­ни. Вклю­че­ние под­держ­ки NetFlow на се­те­вых устрой­ствах уров­ня до­сту­па ак­ти­ви­зи­ру­ет сеть в ка­че­стве дат­чи­ка и предо­став­ля­ет ори­ен­ти­ро­ван­но­му на без­опас­ность кол­лек­то­ру NetFlow све­де­ния о всей се­те­вой ак­тив­но­сти для вы­яв­ле­ния ано­маль­но­го по­ве­де­ния и его бло­ки­ро­ва­ния.

Се­го­дня в се­те­вых устрой­ствах используются пре­иму­ще­ствен­но две тех­но­ло­гии экс­пор­та по­то­ков: sFlow и NetFlow. Изна­чаль­но они раз­ра­ба­ты­ва­лись для мо­ни­то­рин­га и устра­не­ния неис­прав­но­стей внут­ри се­ти. Рас­смот­рим каж­дую из них.

ОБ­ЗОР NETFLOW

NetFlow — это се­те­вой про­то­кол, раз­ра­бо­тан­ный ком­па­ни­ей Cisco для сбо­ра и мо­ни­то­рин­га дан­ных о по­то­ках се­те­во­го тра­фи­ка, ге­не­ри­ру­е­мых марш­ру­ти­за­то­ра­ми и ком­му­та­то­ра­ми с под­держ­кой NetFlow. Он со­зда­вал­ся как тех­но­ло­гия па­кет­ной ком­му­та­ции для маш­ру­ти­за­то­ров Cisco. По­ло­жен­ная в ос­но­ву NetFlow идея (рис. 1) за­клю­ча­ет­ся в том, что пер­вый па­кет по­то­ка ге­не­ри­ру­ет на ком­му­та­то­ре или марш­ру­ти­за­то­ре за­пись ком­му-

та­ции NetFlow. В даль­ней­шем эта за­пись ис­поль­зу­ет­ся при об­ра­бот­ке па­ке­тов из то­го же по­то­ка вплоть до его окон­ча­ния. По­иск кон­крет­но­го марш­ру­та в таб­ли­це марш­ру­ти­за­ции тре­бу­ет­ся толь­ко для пер­во­го па­ке­та по­то­ка.

Пред­став­лен­ная на ри­сун­ке ин­фор­ма­ция о по­то­ке мо­жет быть экс­пор­ти­ро­ва­на. Се­го­дня она ис­поль­зу­ет­ся для ана­ли­за про­из­во­ди­тель­но­сти се­ти и по­ве­де­ния, про­во­ди­мо­го в це­лях без­опас­но­сти.

По­то­ки не со­дер­жат ре­аль­ных дан­ных па­ке­та, в них при­сут­ству­ют толь­ко ме­та­дан­ные о со­еди­не­нии. Это стан­дарт­ная фор­ма дан­ных се­ан­са, в ко­то­рых по­дроб­но рас­пи­са­но все, что ка­са­ет­ся се­те­во­го тра­фи­ка: кто, что, ко­гда и где (рис. 2).

Они ана­ло­гич­ны за­пи­сям звон­ков в те­ле­фон­ном бил­лин­ге, но вы­пол­ня­ют­ся в ре­аль­ном вре­ме­ни. Каж­дая се­те­вая тран­зак­ция обыч­но раз­би­ва­ет­ся на два по­то­ка — по од­но­му в каж­дом на­прав­ле­нии.

Опе­ра­ции NetFlow. При про­хож­де­нии IP-тра­фи­ка че­рез ин­тер­фейс ком­му­та­то­ра или марш­ру­ти­за­то­ра он за­хва­ты­ва­ет ин­фор­ма­цию о по­то­ке и со­хра­ня­ет ее в сво­ем ке­ше. Эта ин­фор­ма­ция на­зы­ва­ет­ся

NetFlow, а дан­ные из бу­фе­ра пе­ри­о­ди­че­ски экс­пор­ти­ру­ют­ся в за­ви­си­мо­сти от тайм-аутов ак­тив­но­сти и неак­тив­но­сти. NetFlow со­би­ра­ет ин­фор­ма­цию о по­то­ках для всех диа­ло­гов IP-тра­фи­ка, ко­то­рые пе­ре­да­ют­ся че­рез ин­тер­фейс, и со­об­ща­ет обо всем этом тра­фи­ке. Ин­фор­ма­ция или за­пись NetFlow мо­жет быть экс­пор­ти­ро­ва­на в кол­лек­тор NetFlow в раз­лич­ных фор­ма­тах, ко­то­рые на­зы­ва­ют­ся экс­порт­ны­ми вер­си­я­ми. Наи­бо­лее по­пу­ляр­ны­ми и ши­ро­ко ис­поль­зу­е­мы­ми яв­ля­ют­ся экс­порт­ные вер­сии NetFlow 5 и 9. Из них ча­ще все­го ис­поль­зу­ет­ся экс­порт­ная вер­сия 5, хо­тя вер­сия 9 име­ет бо­лее позд­ний фор­мат и об­ла­да­ет ря­дом пре­иму­ществ для клю­че­вых тех­но­ло­гий без­опас­но­сти, ана­ли­за тра­фи­ка и мно­го­ад­рес­ной рас­сыл­ки.

Про­цесс фор­ми­ро­ва­ния от­че­тов о дан­ных NetFlow вклю­ча­ет за­хват по­то­ков IP, аг­ре­ги­ро­ва­ние по­то­ков на ком­му­та­то­ре или марш­ру­ти­за­то­ре и экс­порт их в кол­лек­тор NetFlow. Про­цесс со­сто­ит из сле­ду­ю­щих эта­пов:

• кон­фи­гу­ра­ция NetFlow на­стра­и­ва­ет­ся

для за­хва­та по­то­ков и по­ме­ще­ния их в кеш NetFlow;

• экс­порт NetFlow на­стра­и­ва­ет­ся для

от­прав­ки по­то­ков кол­лек­то­ру;

• в ке­ше NetFlow ве­дет­ся по­иск уста­рев-

ших (с по­мо­щью ак­тив­ных тай­ме­ров, неак­тив­ных тай­ме­ров и огра­ни­че­ний на кеш) и за­вер­шен­ных (пу­тем ана­ли­за фла­гов сбро­са TCP [TCP RST] и за­вер­ше­ния [FIN]) по­то­ков, ко­то­рые экс­пор­ти­ру­ют­ся на сер­вер кол­лек­то­ра NetFlow;

• при­бли­зи­тель­но 20–25 по­то­ков объ-

еди­ня­ют­ся в па­кет и транс­пор­ти­ру­ют­ся на сер­вер кол­лек­то­ра NetFlow в фор­ма­те User Datagram Protocol (UDP);

• про­грамм­ное обес­пе­че­ние кол­лек­то­ра

NetFlow со­зда­ет из по­лу­чен­ных дан­ных от­че­ты в ре­аль­ном вре­ме­ни или ис­то­ри­че­ские от­че­ты.

Ра­бо­та аген­та, кол­лек­то­ра и ана­ли­за­то­ра NetFlow по­ка­за­на на рис. 3.

Эво­лю­ция NetFlow на пу­ти к IPFIX. Про­то­кол NetFlow раз­ви­вал­ся на про­тя­же­нии мно­гих лет, что на­шло от­ра­же­ние в несколь­ких его вер­си­ях. В табл. 1 при­во­дит­ся ин­фор­ма­ция о трех ис­поль­зу­е­мых в на­сто­я­щее вре­мя. Са­мая по­след­няя — NetFlow 9. Она ба­зи­ру­ет­ся на шаб­ло­нах с рас-

Рис. 2. Од­на за­пись NetFlow со­дер­жит зна­чи­тель­ный объ­ем ин­фор­ма­ции

Рис. 1. Об­зор NetFlow

Та­б­ли­ца 1. Вер­сии NetFlow

Newspapers in Russian

Newspapers from Russia

© PressReader. All rights reserved.