I bob. Kompyuter tarmoqlarida axborotni himoyalash vositalarining samaradorligini ta’minlash muammolari

AQShdagi Abilene magistral tarmog'ida asosiy routerlar mavjud. Ma'lumotlar bir timeseries tashkil entropiya ning har bir asosiy paketi nom joylari (manba IP-manzil, manzil IP-manzil, manba port raqami va maqsad port raqami), orqa miya, har timestep oid oqadi. Har bir orqa miya oqimi uchun entropiya, har bir vaqt oralig'ida, har bir sarlavha maydoni uchun, ushbu vaqt oralig'ida ushbu magistral oqim uchun tegishli sarlavha maydonini taqsimlashning empirik gistogrammasi tuzilgandan so'ng hisoblanadi. To'rt komponentli entropiyalar nihoyat entropiyaning vaqt seriyalarini olish uchun birlashtirildi. Jismoniy anomal hodisalar mas'ul orqa miya oqimiga tegishli paketlarning tarqalishida o'zgarishlarni keltirib chiqaradi. Bu o'zgarishlar eng yaxshi entropiyalardagi o'zgarishlar orqali aniqlanadi. Taymestning davomiyligi yana besh minutni tashkil etadi.

Hozirgi vaqtda tarmoq qurilmalarining ishlashida anomaliyalarni aniqlash muammosi dolzarb ahamiyat kasb etdi, bu esa hackerlar tomonidan tarmoq hujumlari va apparat va dasturiy ta'minotdagi uzilishlar natijasidir.

Ushbu muammoni hal qiladigan mavjud tizimlar ularda amalga oshirilgan imzolarni aniqlash usullarining ishlash tamoyillari bilan bog'liq jiddiy cheklovlarga ega:

- har qanday yangi anomaliya (hujum) uchun yangi imzo yaratish kerak;

- hackerlar hujum ta'sirini o'zgartirishning turli usullari asosida imzolarni "chetlab o'tishga" imkon beruvchi usullar mavjud.

"Anomaliyalarni aniqlash" tushunchasi nisbatan yaqinda paydo bo'ldi va darhol tarmoq xavfsizligi sohasidagi mutaxassislarning e'tiborini tortdi. 2003 yil o'rtalarida axborot xavfsizligi bozorida anomalni aniqlashning birinchi g'arbiy va mahalliy tizimlari paydo bo'ldi va tarmoq xavfsizligi provayderlari tegishli echimlarni faol ravishda taklif qila boshladilar. Gartner prognozlariga ko'ra, 0.8 ehtimollik bilan eng yirik xalqaro kompaniyalar 85% 2007, anomaliyalarni aniqlash zamonaviy tizimlari vazifalari foyda olish.

NATOning ilmiy-texnika kengashi tomonidan ishlab chiqilgan 2002-2007 yillar mobaynida 11 ta eng muhim texnik vazifalarning tartibli ro'yxatida birinchi uchtasi TCP/IP asosida zamonaviy va istiqbolli taqsimlangan hisoblash tizimlarida hisoblash jarayonlarining anomaliyalarini aniqlashning apparat va apparat-dasturiy tizimlarini ishlab chiqishga qaratilgan. Ushbu vazifaning dolzarbligi NATOning strategik hisobotlariga ko'ra, mavjud intrusion Detection Systems (IDS) har kuni 400-600 ruxsatsiz avtomatik tajovuz qilish urinishlarini aniqlaydi. Shu bilan birga, ekspertlar ta'kidlashlaricha, bu raqam haqiqiy amalga oshirilgan hujumlarning umumiy sonining 14-17% dan oshmasligi va huquqbuzarlarning ta'siri. Aniq sabablarga ko'ra, bu faktlar tashvishli va axborotni himoya qilish sohasidagi mutaxassislar orasida muayyan tashvish tug'diradi.

Dastlab, tizim ma'murlari konsol oldida o'tirib, foydalanuvchi harakatlarini tahlil qilish orqali hujumlarni aniqladilar. Ular, masalan, ta'tilda bo'lishi kerak bo'lgan foydalanuvchi tizimga kirganligi va juda kamdan-kam ishlatiladigan printerning mahalliy yoki juda faol ekanligiga e'tibor berib, hujumni sezishlari mumkin edi. Bir marta juda samarali bo'lsa-da, hujumni aniqlashning bu shakli ayni paytda aniq vaziyatga qaratilgan va o'lchovliligi yo'q edi.

Keyingi bosqichda, intrusionlarni aniqlash uchun tizim ma'murlari g'ayritabiiy yoki zararli harakatlar belgilarini qidirishda ko'rib chiqadigan ro'yxatga olish jurnallaridan foydalanishni boshladilar. 70-yillarning oxirida va 80-yillarning boshlarida ma'murlar, qoida tariqasida, ish haftasi oxiriga kelib, bir yarim yoki ikki metr balandlikdagi bir to'da bo'lgan teshilgan qog'ozga yozilgan jurnallarni bosib chiqarishdi. Bunday ro'yxatni qidirish, albatta, juda ko'p vaqt talab qildi. Juda ko'p ma'lumot va faqat qo'lda tahlil usullari bilan ma'murlar tez-tez ro'yxatga olish jurnallaridan himoya qilish buzilganligi haqida dalil sifatida foydalanganlar. Uning amalga oshirilishi vaqtida hujumni aniqlay oladigan umid juda kichik edi.

Disk xotirasi arzonroq bo'lgani uchun, ro'yxatga olish jurnallari elektron shaklda yaratila boshlandi; to'plangan ma'lumotlarni tahlil qilish uchun dasturiy vositalar paydo bo'ldi. Shu bilan birga, bunday tahlil juda sekin amalga oshirildi va ko'pincha muhim hisoblash resurslarini talab qildi, shuning uchun odatda, bir nechta foydalanuvchilar tizim bilan ishlayotgan paytda, odatda, intrusionlarni aniqlash dasturlari ommaviy rejimda ishga tushirildi. Mudofaa buzilishlarining aksariyati hali ham faktdan keyin aniqlangan.

90-yillarning boshida operatsion rejimda intrusionlarni aniqlash tizimlari ishlab chiqildi, ular ro'yxatga olish jurnalidagi yozuvlarni darhol ishlab chiqarilgandan so'ng ko'rib chiqdilar. Bu esa, ularni amalga oshirish vaqtida hujumlar va hujumlarni aniqlashga imkon berdi, bu esa o'z navbatida darhol javob berishga imkon berdi va ba'zi hollarda hatto hujumlarni oldini olish imkonini berdi.

Intrusionlarni aniqlashga bag'ishlangan eng so'nggi loyihalar yirik tarmoqlarda samarali tarqatilishi mumkin bo'lgan vositalarni yaratish atrofida joylashgan. Bu vazifa xavfsizlik masalalariga ko'proq e'tibor qaratilganligi, hujumlarni tashkil etishning ko'plab yangi usullari va atrof-muhitdagi hisoblash muhitida doimiy o'zgarishlarni hisobga olgan holda oddiy emas.

Intrusion Detection texnologiyasi

Intrusionlarni aniqlashning maqsadi birinchi qarashda juda oddiy: axborot tizimiga kirishni aniqlash. Biroq, bu juda qiyin vazifa. Aslida, hujumni aniqlash tizimlari hech qanday tajovuzni aniqlay olmaydi-ular faqat bunday hujumlarda yoki postfaktumlarda hujum belgilarini aniqlaydi.

Bunday dalillar ba'zan hujumning "namoyon bo'lishi" deb ataladi. Agar bunday namoyishlar haqida hech qanday ma'lumot bo'lmasa yoki ma'lumot mavjud bo'lsa, lekin ishonchni kuchaytirmasa, tizim hujumni aniqlay olmaydi.

Misol uchun, uy monitoring tizimi eshikni ochishga urinayotgan odamni ko'rsatadigan kuzatuv kamerasidan olingan ma'lumotlarni tahlil qiladi. Video kameralar-sodir bo'layotgan hujumning namoyishi. Kamera linzalari ifloslangan yoki diqqat markazida bo'lmasa, tizim bu o'g'ri yoki uy egasi nima ekanligini aniqlay olmaydi.

Ma'lumotlar yig'ish muammolari

Intrusionlarni aniq aniqlash uchun xavfsiz tizimda yuz berayotgan voqealar haqida ishonchli va to'liq ma'lumotlar talab qilinadi. Ishonchli ma'lumotlarni to'plash - savol o'z-o'zidan murakkab. Ko'pgina operatsion tizimlar turli xil foydalanuvchilar uchun turli xil operatsion jurnallarni yaratishga imkon beruvchi muayyan turdagi auditni o'z ichiga oladi. Ushbu jurnallar faqat xavfsizlik bilan bog'liq voqealar bilan cheklanishi mumkin (masalan, muvaffaqiyatsiz kirish urinishlari); bundan tashqari, ular har bir jarayon tomonidan boshlangan har bir tizim chaqiruvi bo'yicha to'liq hisobot berishi mumkin. Routerlar va xavfsizlik devorlari ham tarmoq faoliyati uchun voqea qayd jurnallarini boshqaradi. Ushbu jurnallarda tarmoq ulanishlarini ochish va yopish kabi oddiy ma'lumotlar yoki tarmoqda paydo bo'lgan har bir paket haqida to'liq ma'lumot bo'lishi mumkin.

Tizim to'playdigan ma'lumotlarning miqdori umumiy xarajatlar va samaradorlik o'rtasidagi kelishuvdir. Har bir harakatni barcha tafsilotlarga yozib olgan tizim o'z ishlashida jiddiy ravishda yo'qotishi va juda katta disk maydoni talab qilishi mumkin. Misol uchun, Fast Ethernet kanalida tarmoq paketlari haqida to'liq ro'yxatga olish ma'lumotlarini to'plash uchun yuzlab gigabayt disk xotirasi talab qilinishi mumkin.

Ma'lumot yig'ish-bu juda qimmat va kerakli ma'lumotlarni to'plash juda muhimdir. Qaysi ma'lumotni ro'yxatdan o'tkazish kerakligi va qaerda to'planishi kerakligi haqidagi savol ochiq qolmoqda. Misol uchun, suv ifloslanishi darajasini nazorat qilish uchun uy monitor xavfsizlik tizimida o'rnatish arzon emas, lekin hech qanday yo'l qaroqchilar uyiga kirishining oldini oladi. Boshqa tomondan, agar uyga potentsial tahdidlarning modeli terrorchilarning hujumlarini nazarda tutsa, suvning ifloslanishini nazorat qilish oqlanishi mumkin.

Hujumlarni aniqlash vositalari

ISO/Osic modelining darajalari bo'yicha ma'lumotlarning maxfiyligini ta'minlash vositalarini tasniflash ISO 7498 standartida:

- Jismoniy daraja. Ushbu darajadagi mablag'lar ISO 7498-2 ma'lumotlariga ko'ra, ma'lumotlar oqimi uchun maxfiylik va maxfiylik bilan cheklangan. Ushbu darajadagi maxfiylik odatda bit shifrlash bilan ta'minlanadi. Ushbu mablag'lar deyarli shaffof, ya'ni qo'shimcha ma'lumotlar paydo bo'lmaganda (aloqani o'rnatishdan tashqari) amalga oshirilishi mumkin.

Bu darajadagi bit-darajali interfeysning ushbu mablag'larni amalga oshirishda talab qilinadigan qo'shimcha ma'lumotlarni uzatish imkoniyati yo'qligi sababli, yaxlitlik va autentifikatsiya qilish odatda mumkin emas. Shu bilan birga, ushbu darajadagi tegishli shifrlash texnologiyalaridan foydalanish ushbu mablag'larni yuqori darajada ta'minlashga imkon beradi.

- Kanal darajasi. ISO 7498-2 ma'lumotlariga ko'ra, kanal darajasida taqdim etilgan mablag'lar ulanishlar uchun maxfiylik va daytagramlar uchun maxfiylik hisoblanadi.

- Tarmoq darajasi. Tarmoq darajasidagi maxfiylik vositalari ishlatiladigan kalitlarga qaramasdan (masalan, X. 25 paketli kalitlarga) tarmoqdagi oxirgi tizimlar o'rtasida taqdim etilishi mumkin. ISO 7498-2 ushbu darajadagi bir nechta maxfiylik vositalarining qo'llanilishini qayd etadi: ulanishlar uchun maxfiylik, kundalik hayot uchun maxfiylik, ma'lumotlar oqimining maxfiyligi, yaxlitlik (tiklanishsiz va kundalik ramkalar uchun ulanishlar uchun), ma'lumotlar manbai autentifikatsiyasi va o'zaro ta'sir qiluvchi shaxslar, shuningdek, kirishni boshqarish.

- Transport darajasi. Transport darajasi uchun Iso 7498-2 quyidagi maxfiylik vositalarini belgilaydi: maxfiylik (ulanishlar yoki kundalik dasturlar uchun), yaxlitlik (alohida maydonlardan tashqari), ma'lumotlar manbai va o'zaro ta'sir qiluvchi shaxslarni autentifikatsiya qilish va kirishni boshqarish. Avtotransport darajasida kuntagram shovqinlari va tarmoq darajasidan yuqori bo'lgan vositalar uchun taqdim etilgan maxfiylik vositalari o'rtasida faqat bitta farq mavjud. Bu nafaqat yakuniy tizimlarda (transport darajasidagi mexanizmlardan foydalangan holda) emas, balki oraliq tizimlarda (tarmoq darajasidagi mexanizmlardan foydalangan holda) himoya qilish qobiliyatidan iborat.

Monitoring har doim ham tarmoq ma'muriyatiga, ham tarmoq trafigini tahlil qilishga tayanib kelgan. Ikkala maydon ham platformaning umumiy holati to'g'risida ma'lumot olishimizga imkon beradigan ma'lumotlarni olish usullarini taqdim etadi.

Masalan, ilova ishlashi bilan bog'liq muammoga duch kelganda, biz hosil bo'lgan trafikni kuzatishni va baholashni istaymiz va bu tarmoq trafigini tahlil qilish bilan shug'ullanadi.

Trafikni kuzatish uchun bu tabiiy birinchi turtki haqiqatan ham oqlanadi, chunki trafikni tahlil qilish konfiguratsiya xatolari, serverning ishlashining yomonlashishi, ba'zi tarmoq tarkibiy qismlarida kechikish muammolari va boshqa ko'plab xato sharoitlarini aniqlashda foydali bo'ldi.

Tarmoq trafigini tahlil qilishning kamida ikkita usuli mavjud: paketli tahlil va tarmoq trafigi oqimini tahlil qilish.

Ikkala texnikada ham, albatta, maqsad bitta: uni baholashni osonlashtiradigan interfeysda taqdim etilishi mumkin bo'lgan tarmoq trafigi to'g'risida ma'lumot olish.

Bir shakldan ikkinchisining farqlari qo'llanilgan metodikada jamlangan.

Paket tahlili tarmoq trafigini paketdan paketga baholash imkoniyatini beradi, oqim tahlili esa metama'lumotlar yoki trafik ma'lumotlarini yig'ish va statistik tahlilni osonlashtirishga qaratilgan.

Paketlarni tahlil qilish SPAN portlarini sozlash (Switch Port Analyzer) yoki tarmoq trafigiga kirish uchun TAP (Terminal Network TAP) kabi uskunalarni o'rnatish kabi tortib olish texnikasini qo'llashga asoslangan.

Aslida, TAP qurilmalari SPAN portlarini qo'llashda yuzaga keladigan ba'zi kamchiliklarni qoplash uchun ishlab chiqilgan, masalan, ular sozlangan tugmachani qayta ishlash resurslariga bog'liqlik va biz olishni rejalashtirgan trafik miqdori va quvvat hajmi o'rtasidagi nozik munosabatlar SPAN portining o'zi.

Agar siz SPAN portlari va tarmoq KAPlarining qulayliklarini ko'rsatishni istasangiz, ushbu blogda nashr etilgan, tarmoq TAP-laridan foydalangan holda paketlarni olishni o'rganadigan maqolani tavsiya qilamiz .

Qo'lga olish masalasi hal qilingandan so'ng, ikkita juda muhim masala ko'tariladi:

• 
  Trafikni saqlash: asosiy narsa tahlilni real vaqt rejimida yoki kechiktirilgan vaqtda amalga oshirishimiz mumkinligi va tahlil taxminiga binoan saqlash xarajatlari.
  
• 
  Biz baholamoqchi bo'lgan paketlar tanlovi: ushbu masalani hal qilish uchun paketlar tahlilini amalga oshiruvchi vositalar odatda biz baholamoqchi bo'lgan paketlarni tanlash va tanlashga imkon beradigan ko'plab imkoniyatlarni taklif etadi.
  

Ushbu yondashuv uchta asosga ega:

• 
  Sarlavhalarni baholashda juda ko'p ma'lumotlarga ega bo'lish mumkin.
  
• 
  Ma'lumotlar qismini chetlab o'tish orqali saqlash xarajatlari saqlanib qoladi.
  
• 
  Ma'lumotlarning bir qismi odatda foydalanuvchilar va tashkilot uchun muhim ma'lumotlarga ega, shuning uchun ularni baholash xavfsizlik va ma'lumotlarni himoya qilish qoidalarini buzishimizga olib kelishi mumkin.
  

Yaqinda uning qo'llanilishi Internet-trafik doirasidan chiqib ketdi va biznes trafigiga o'tdi, albatta, ma'lumotlar maxfiyligi uchun yuzaga kelishi mumkin bo'lgan xatarlar haqida ko'plab tortishuvlar mavjud.

Agar siz paketlarni chuqur tekshirish natijalarini batafsilroq bilishni istasangiz, ushbu blogda bir necha oy oldin nashr etilgan maqolamizni tavsiya qilamiz .

Trafik oqimini tahlil qilish quyidagilarni taklif qiladi:

• 
  Umumiy xususiyatlar asosida tarmoq trafigini baholash. Boshqacha qilib aytganda, boshlang'ich nuqta abstraktsiya - "trafik oqimi" deb nomlanadi - bu ma'lum umumiy xususiyatlarga ega bo'lgan va bitta tarmoq xostidan boshqasiga o'tadigan barcha trafikka mos keladi. Masalan, biz stantsiya va server birgalikda foydalanishi mumkin, xuddi shu suhbatning bir qismi bo'lgan yoki bir xil maqsadga ega bo'lgan trafik oqim deb hisoblanadi.
  
• 
  Oqim shunday saqlanmaydi, faqat metama'lumotlar. Trafik oqimini tashkil etuvchi paketlarni saqlamasdan, trafik oqimi yoki uning metama'lumotlari haqida ma'lumot hosil qilish uchun tarmoq trafigini uzatishda ishtirok etadigan qurilmalardan foydalanish g'oyasi.
  

Trafik oqimini tahlil qilish metama'lumotlarni yaratish, tashish, saqlash va oldindan qayta ishlash jarayonlarini amalga oshirishga imkon beradigan protokollar guruhiga asoslangan.

Ushbu protokollarda tahlilni qanday o'tkazish kerakligi ko'rsatilmaganligini aniqlashtirish kerak; ular o'zlarining maqsadlariga erishish uchun metadata foydalanadigan vositalarga topshiradilar.

Trafik oqimini tahlil qilishni amalga oshirishda ikki xil yondashuvni ifodalovchi ikkita protokol mavjud: NetFlow va sFlow.

NetFlow - bu IP-trafik oqimini tahlil qilishni amalga oshirish uchun tasdiqlangan standartga aylangan Cisco tomonidan ishlab chiqilgan protokol. Cisco-dan tashqari, ko'plab kompaniyalar, ham tarmoq qurilmalari ishlab chiqaruvchilari, ham echimlarni ishlab chiquvchilar ushbu protokolni qo'llab-quvvatlashni o'z ichiga oladi.

NetFlow quyidagi tarkibiy qismlarga ega bo'lgan arxitekturani taqdim etadi:

• 
  Eksportchi: Ular ba'zi tarmoq qurilmalarining kiruvchi va chiquvchi IP-trafik oqimlaridan metama'lumotlarni yig'ish bilan shug'ullanadilar, aslida eksportchilar - bu kommutator va yo'riqnoma kabi qurilmalarda joylashgan dasturiy ta'minot, eksportchilar esa saqlash uchun NetFlow keshi nomli ombordan foydalanadilar. tirbandlik yoki yo'riqnoma qurilmasi orqali kirish va chiqish paytida ular tutadigan oqimlar haqida ma'lumot.
  
• 
  Kollektorlar: eksport qiluvchilardan metama'lumotlarni qabul qilish, ularni saqlash va oldindan qayta ishlash.
  
• 
  Analizator: Bu kollektorlarda mavjud bo'lgan ma'lumotlarni tahlil qilishga imkon beradigan mas'ul element.
  

NetFlow vaqt o'tishi bilan 5-versiyadan 9-versiyaga qadar rivojlanib bordi; IPv6 kabi protokollar yoki VLAN, MPLS va BGP kabi texnologiyalar kiritilgan.

Boshqa tomondan, NetFlow 9-versiyasi, eksport qiluvchilardan kollektorlarga ma'lumot yuborilishini tartibga solishga qaratilgan IPFIX (IP Flow Information Export) deb nomlangan yana bir protokolni keltirib chiqardi.

IPFIX-ning bir nechta yaxshilanishlari mavjud; bir tomondan biz o'zgaruvchan uzunlikdagi maydonlarni qo'llab-quvvatlaymiz va odatda tarmoq ma'muriyati (SNMP va Syslog) bilan bog'liq ma'lumotlarni kiritish imkoniyatiga egamiz.

Agar siz NetFlow dasturlari haqida ko'proq bilmoqchi bo'lsangiz , ushbu blogda nashr etilgan NetFlow haqidagi maqolani o'qishni tavsiya etamiz .

sFlow

NetFlow-dan boshqa ishlab chiqaruvchilar o'zlarining oqimlarini tahlil qilish protokollarini ishlab chiqdilar; umuman olganda ularning barchasi eksportchilar - kollektorlar - analizatorlarning bir xil me'morchiligiga amal qiladi va IP-trafik muhitida saqlanadi.

InMon korporatsiyasi tomonidan ishlab chiqilgan va RFC 3176 da nashr etilgan SFlow (Sampling Flow) diqqatga sazovor o'zgarishlarni kiritmoqda.

SFlow hozirgacha aytib o'tilgan mavhumlik bilan ishlamaydi, oqadi va namunalarni yig'ish faoliyatiga diqqatni jamlaydi.

SFlow-dan foydalanganda namuna olish radiusi ¨n¨ aniqlanadi; Shunday qilib, har bir n paket sFlow eksportchisi OSI modelidagi barcha darajalarni hisobga olgan holda, 2 dan 7 gacha bo'lgan barcha darajalarni hisobga olgan holda paketlardan namuna oladi va nafaqat IP.

Namunalardan sFlow dastlabki baytlarni saqlaydi, hisoblagichlarni qo'shadi va barcha bu ma'lumotlarni sFlow kollektorlariga uzatadi.

Shunday qilib, biz NetFlow-da IP-oqimlari haqida ma'lumotga egamiz, 3 va 4-qavatlarni hisobga olsak, SFlow-da bizda 2-qavatdan 7-qavatgacha bo'lgan har qanday protokol namunalari mavjud.

Bu bizni sFlow-ni kengroq protokoli va eksport qiluvchilarda kamroq sarflanadigan resurslarni ko'rib chiqishga undaydi, bu esa tarozi juda yaxshi, ammo namuna olishga asoslangan holda trafikni baholashsiz qoldirishi mumkin.

Ya'ni, o'quvchi qarama-qarshiliklar mavjudligini to'g'ri taxmin qilishi mumkin. Qaysi protokol yaxshiroq?

Agar bu qiziqish bo'lsa, bu, bir ko'z tashlang qilasiz maqola comparitech chop etilgan va bu bir mavzu ichiga olish pcwdld chop etilgan.