Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Monitoring komunikacji urządzeń sieciowych i raportowanie incydentów

Data publikacji: 29-08-2019 Autor: Klaudyna Busza-Kujawska
RYS. 1. BRAKUJĄCY ELEMENT...

Wiele ostatnio słyszymy o kolejnych regulacjach, zaleceniach i ustawach związanych z cyberbezpieczeństwem. Czy to przesada, dodatkowe wymagania i niepotrzebne wydatki, czy słuszna droga przeciwdziałania zagrożeniom? Punkt widzenia przedsiębiorstwa często zależy od doświadczenia rzeczywistego ataku, straty pieniędzy, reputacji lub problemów związanych z przywracaniem zaszyfrowanych systemów.

 

Zabezpieczenia zasobów kluczowych zgodnie z wszelkimi zaleceniami powinny obejmować kilka poziomów – zaczynając od zabezpieczeń fizycznego dostępu, poprzez kontrolę przepływu informacji wewnątrz sieci, kontrolę dostępu do danych, kończąc na samym bezpieczeństwie wewnątrz aplikacji czy systemu operacyjnego. Mówiąc o systemach bezpieczeństwa, często mamy na myśli systemy pozwalające na zabezpieczenie zasobów sieciowych przed nieuprawnionym dostępem z zewnątrz: firewall, antyspam, antymalware, Intrusion Prevention System, antywirus. Czy mając wszystkie wymienione rozwiązania, możemy być spokojni? W ten sposób adresujemy tylko część wektorów ataków – z zewnątrz lub na użytkownika. Dodatkowo taki typ zabezpieczeń zwykle opiera się na sygnaturach, a więc blokuje znane i rozpoznane już zagrożenia.

Nie można pominąć też pewnego słabego punktu każdego nawet najbardziej złożonego systemu zabezpieczeń – człowieka. Koniecznymi elementami budowania dobrej strategii bezpieczeństwa przedsiębiorstwa są więc stałe zwiększanie i weryfikacja świadomości pracowników. Niemniej jednak pomyłki się zdarzają, a hakerzy nie próżnują, wymyślając nowe sposoby dostania się do środka firmy i przejęcia kontroli nad urządzeniami i zasobami.

> USTAWA O KSC

Znanych jest wiele przypadków nieza­uważonego, wielomiesięcznego penetrowania sieci i zasobów przez hakerów, poprzez przejęty system, bez wykrycia podejrzanej aktywności. Jak dużo informacji mogło w tym czasie wypłynąć, można się jedynie domyślać. Takie sytuacje ukazują nam konieczność dzielenia się informacjami o nowych podatnościach i zagrożeniach, bo tutaj czas ma ogromne znaczenie. Dlatego pojawiły się zapisy wymuszające raportowanie incydentów bezpieczeństwa i możliwość wymiany informacji o nich – na przykład w ustawie o krajowym systemie cyberbezpieczeństwa.

Ustawa ta definiuje operatorów usług kluczowych i nakłada na nich obowiązek identyfikacji i szacowania ryzyka dla systemów kluczowych, wdrożenia odpowiednich środków zaradczych i zabezpieczeń, wykonywania audytów, ale również raportowania zaistniałych incydentów do właściwego CSIRT (Computer Security Incident Response Team).

Wykrycie incydentu i weryfikacja ścieżki ataku są kluczowe do wprowadzenia czynności naprawczych uszczelniających bezpieczeństwo sieci. W ustawie o KSC są zdefiniowane różne rodzaje incydentów. Nawet dla incydentu określonego jako zwykły, który nie podlega konieczności zgłaszania do CSIRT, obowiązkowe jest podjęcie czynności związanych z jego obsługą. Bardzo ważna jest przy tym możliwość prześledzenia danych historycznych, bo coraz częściej w złośliwym oprogramowaniu są stosowane różne metody ukrywania, w tym opóźnienie działań od czasu infekcji. Aby mieć możliwość wykrycia, musimy widzieć. Do tego celu służą systemy dostarczające wgląd w komunikację wewnątrz sieci i wykrywające anomalie w tej komunikacji. Dzięki nim możemy też zaadresować kolejny wektor ataku – ze środka sieci: z komputera gościa czy z przejętego już w niezauważony sposób systemu.

> WGLĄD W KOMUNIKACJĘ SIECIOWĄ

Monitoring komunikacji urządzeń sieciowych można wykonać na kilka sposobów. Najczęściej wykorzystywane jest nagrywanie pakietów lub protokół netflow. Każde z tych podejść ma zalety i wady.

Można nagrywać pakiety, wykorzystując do tego celu TAP-y lub SPAN/Mirror port na urządzeniu sieciowym. TAP jest urządzeniem wstawianym w łącze (in-line), które kopiuje wszystkie pakiety przesyłane tym łączem na urządzenie odbierające tę kopię (urządzenie monitorujące, nagrywarka pakietów). Należy się zastanowić nad rodzajem urządzenia kopiującego, ponieważ mamy wybór od najprostszych TAP-ów miedzianych i światłowodowych na jedno łącze do bardzo złożonych środowisk z wieloma interfejsami monitorującymi i zaawansowanymi funkcjami filtrowania, realizowanych przez tzw. Packet Brokery. Przy zastosowaniu najprostszego TAP-a wstawianego w łącze należy pamiętać o tym, że do odbioru kopii ruchu będą niezbędne dwa porty, ponieważ skopiowane kierunki ruchu będą rozdzielone – na jednym interfejsie otrzymamy kierunek Rx, a na drugim Tx. Wyjątkiem są TAP-y z agregacją, które kopiują pakiety na jeden interfejs wyjściowy – opcja nieco droższa.

SPAN lub Mirror port to funkcje urządzeń sieciowych pozwalające na kopiowanie pakietów ze wskazanych interfejsów lub VLAN-ów na wybrany interfejs przełącznika, do którego będzie podłączone urządzenie odbierające taką kopię. Wybierając ten sposób dostarczania pakietów, należy jednak pamiętać, że kopiowanie danych z 24 interfejsów 1G nawet na interfejs 10G może oznaczać osiągnięcie limitu przepustowości i stratę pakietów na tym interfejsie. Nie oznacza to straty pakietów w ruchu sieciowym, ale brak wszystkich informacji na urządzeniu monitorującym. Jednak ze względu na to, że jest to funkcja dostępna od ręki na posiadanych już urządzeniach, bez konieczności dostawiania dodatkowego sprzętu jak TAP, jest to jeden z najpowszechniejszych sposobów zbierania kopii ruchu sieciowego.

Dzięki skopiowanym pakietom dostajemy szczegółowe informacje dotyczące przesłanych danych i możemy wykonać dogłębną analizę (DPI). Musimy jednak liczyć się z dużą ilością zasobów potrzebnych do przechwytywania i przechowywania wielkiej ilości danych, szczególnie jeżeli chcemy mieć historię komunikacji. Przykładowo: w pełni wysycone łącze 10 Gbps oznacza zebranie w ciągu 1 godziny 4,5 TB danych, a w ciągu 1 dnia – 108 TB danych. Takie pojemności zwykle wymuszają ograniczenie punktów monitorowania lub ograniczenie monitorowanych elementów sieci (aplikacji, systemów), co może prowadzić do przeoczenia istotnych objawów udanego ataku.

 

Kolejnym sposobem dostarczenia szerszego wglądu w komunikację sieciową jest konfiguracja tworzenia flowów przez urządzenia sieciowe i wysyłanie tych informacji za pomocą protokołu netflow do kolektora flowów. Podobnie jak w przypadku SPAN/Mirror portu wykorzystuje się tutaj możliwości posiadanych urządzeń sieciowych, jednak nie każde urządzenie dostarcza takiej samej ilości i jakości informacji. W pierwszej kolejności należy zwrócić uwagę na wspierany protokół netflow.

 

[...]

 

Autorka zajmuje się tematyką monitoringu sieci na podstawie technologii NetFlow i pochodnych. Absolwentka Politechniki Poznańskiej, magister inżynier elektroniki i telekomunikacji. Od 2015 roku związana z firmą Flowmon Networks jako Senior Presales Engineer. Jest odpowiedzialna za projekty związane z ochroną przed atakami DDoS, monitoringiem i analizą behawioralną ruchu sieciowego oraz monitoringiem aplikacji.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"