Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


22.08.2017

Przemysłowy SSD

Transcend SSD430K
17.08.2017

24 porty i PoE

NETGEAR GS724TPv2
11.08.2017

Z helem

WD Red / Red Pro
08.08.2017

Kontener jako usługa

SUSE CaaS Platform
03.08.2017

Natywna obsługa kontenerów

Red Hat OpenShift Online
28.07.2017

Luksusowa hybryda

HP Spectre x2
25.07.2017

Nowy napęd SSD

KC1000 NVMe PCIe
21.07.2017

Rekord świata

Lenovo x3950 X6
18.07.2017

Brightness Intellgence Plus

BenQ EW2770QZ

Security Onion – monitoring bezpieczeństwa sieci

Data publikacji: 26-05-2017 Autor: Marcin Jurczyk
W zależności od potrzeb można...

Monitorowanie ruchu sieciowego oraz wykrywanie potencjalnych zagrożeń w strumieniu danych to zagadnienia, którym warto poświęcić uwagę i wykorzystać je do zwiększenia poziomu bezpieczeństwa. Poza zaawansowanymi rozwiązaniami pudełkowymi dostępnymi w portfolio największych firm na rynku dostępnych jest kilka ciekawych rozwiązań open source.

Network Security Monitoring (NSM) to zagadnienie, któremu poświęca się coraz więcej uwagi. O ile narzędzia i mechanizmy umożliwiające przechwytywanie ruchu sieciowego w celu analizy potencjalnych zagrożeń znane są od wielu lat, o tyle poprawne ich zaimplementowanie i wykorzystanie staje się krytycznym elementem dla większości przedsiębiorstw działających w cyfrowym świecie. W dobie zagrożeń atakami typu DDoS as a Service, wszechobecnego phishingu, malware'u i ciągle rosnącego ruchu sieciowego monitoring ruchu sieciowego w kontekście bezpieczeństwa staje się zadaniem coraz bardziej wymagającym. Poza standardowym zbieraniem i analizą pakietów równie ważne jest proaktywne reagowanie na wszelkiego rodzaju anomalie. Korelacja zdarzeń, badanie przepływów i komunikacji pomiędzy węzłami w sieci wewnętrznej i konkretnymi adresami IP w internecie to podstawowe wymagania w stosunku do współczesnych rozwiązań NSM. Spora część zadań związanych z zabezpieczeniem sieci firmowej odbywa się na poziomie zapór sieciowych następnej generacji, które często integrują mechanizmy typu IDS/IPS czy antywirus. Nie mniej ważne są systemy do monitorowania i analizy ruchu sieciowego stosowane w celu wykrycia potencjalnych zagrożeń. Właśnie tego typu rozwiązaniem jest Security Onion – darmowa dystrybucja Linuksa przeznaczona do monitorowania ruchu sieciowego.

> WYKRYWANIE ZAGROŻEŃ

Security Onion to w praktyce prekonfigurowana dystrybucja Linuksa, bazująca na systemie Ubuntu, w skład której wchodzi szereg aplikacji odpowiedzialnych za przechwytywanie całego ruchu sieciowego, realizację IDS na poziomie sieci oraz hostów (NIDS – Network-based Intrusion Detection System oraz HIDS – Host-based Intrusion Detection System) wraz z narzędziami służącymi do analizy zgromadzonych danych o ruchu sieciowym. W dużym uproszczeniu Security Onion to przemyślany i zintegrowany zbiór ogólnodostępnych narzędzi bazujących na licencji open source udostępnianych w ramach pojedynczego obrazu ISO, przeznaczonego do szybkiej implementacji NSM oraz IDS.

Podstawowym narzędziem służącym do zbierania pakietów jest netsniff-ng. Mamy tu do czynienia z wydajnym snifferem, będącym w stanie zapisywać dane o ruchu sieciowym w dobrze znanych plikach .pcap, kompatybilnych z popularnymi narzędziami typu tcpdump czy Wireshark. Pliki te zapisywane są w domyślnym katalogu /nsm/sensor_data/HOSTNAME-INTERFACE/dailylogs/YYYY-MM-DD/, gdzie jedynym ograniczeniem jest fizyczna pojemność lokalnych dysków twardych. Security Onion posiada także wbudowane mechanizmy pozwalające na usuwanie najstarszych plików po przekroczeniu zadeklarowanej maksymalnej zajętości dysku. Dostęp do gromadzonych w ten sposób plików z informacjami o ruchu sieciowym możliwy jest bezpośrednio z wbudowanych narzędzi do analizy ruchu, o których mowa w dalszej części artykułu.

Kolejnym istotnym komponentem tej dystrybucji jest wbudowany IDS. Jak już wspomniano, dostępne są aplikacje realizujące detekcje na poziomie sieci, jak również hostów w sieci lokalnej. W pierwszym przypadku możemy wybrać spośród dwóch rozwiązań – Snort oraz Suricata. Oba projekty to świetnie znane systemy IDS/IPS, działające w oparciu o reguły i sygnatury, za pośrednictwem których rozpoznawane są potencjalne zagrożenia. Wybór pomiędzy Snortem a Suricatą należy do użytkownika i uwarunkowany będzie najprawdopodobniej większą znajomością jednego z pakietów. W praktyce wybór ten nie ma większego znaczenia – finalnie Security Onion przejmuje kontrolę nad konfiguracją, integracją i wizualizacją efektów działania wybranego IDS-a,
co z pewnością zostanie docenione przez większość administratorów, którzy kiedykolwiek wdrażali którykolwiek pakiet IDS od podstaw, kompilując jego poszczególne komponenty. W przypadku obu dostępnych kompilacji IDS wykorzystano PF_RING, dzięki czemu możliwe jest uruchomienie wielu instancji w celu podniesienia wydajności. O ile Suricata wspiera wielowątkowość, o tyle w przypadku Snorta działającego na jednym wątku ma to niebagatelne znaczenie. Należy również podkreślić, że Security Onion nie wspiera funkcji IPS, czyli podejmowanie akcji w trybie inline. W tym przypadku wygenerowanie logów i alertów w celu dalszej analizy to wszystko, do czego ten system został zaprojektowany.

Poza wspomnianymi systemami IDS działającymi w oparciu o reguły, dodatkowo dostępny jest system IDS wykorzystujący analizę ruchu. Mowa tu o projekcie The Bro Network Security Monitor, znanym jako Bro IDS. System ten nie używa sygnatur do identyfikacji zagrożeń, a jego działanie opiera się na analizie ruchu z podziałem na połączenia, protokoły, usługi sieciowe czy oprogramowanie. Dzięki temu ze zbioru pakietów wydobywane są informacje o zawartości ruchu sieciowego wraz z kontekstem i wszelkimi anomaliami. Dane o ruchu zapisywane są w odpowiednich logach na dysku twardym z podziałem na protokoły. Bro nie jest tak popularnym rozwiązaniem IDS jak chociażby Snort, choć posiada spore możliwości.

[...]

Autor jest architektem w międzynarodowej firmie z branży IT. Zajmuje się infrastrukturą sieciowo-serwerową, wirtualizacją infrastruktury i pamięcią masową.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"