Nešiojamo duomenų analizės rinkinio kūrimas
Kam reikalingas toks komplektas?
Tinklo ekspertizės ir kibernetinio saugumo (kibernetinio saugumo) komandos turi sugebėti užfiksuoti tinklo srautą ir duomenų paketus realiuoju laiku, kad būtų išvengta grėsmių ir tiesioginių atakų. Didelės įmonės turi pritaikyti tinklo srauto fiksavimo mechanizmus pagal savo tinklo dydį ir architektūrą. Pavyzdžiui, įmonės, turinčios didelius tinklus ir paskirstytus duomenų centrus, turi įdiegti kelis fiksavimo taškus, maitinančius centrinį paketų analizės įrenginį (tinklo analizatorių), galintį priimti ir analizuoti duomenis 10 Gbps ar net 100 Gbps greičiu.
Deja, ne visos įmonės turi kelis paskirstytos architektūros duomenų centrus. Tiesą sakant, daugumos mažų ir vidutinių organizacijų visa IT infrastruktūra yra vienoje vietoje. Dauguma šių įmonių negali investuoti į brangius tinklo saugumo analizės produktus. Iš patirties galime pasakyti, kad vadovai mieliau skiria daugiau savo biudžeto gamybinei IT įrangai, o ne pagalbinei įrangai, ypač brangiems tinklo analizatoriams, kurių trūkumas gali sukelti saugumo pažeidimus.
Mažoms ir vidutinėms įmonėms gali būti naudingas nešiojamas tinklo teismo ekspertizės rinkinys. Už daug mažesnę kainą jis vis tiek leidžia realiuoju laiku atlikti teismo ekspertizę bet kuriame tinklo segmente pagal pareikalavimą. Sunku ginčytis su šiuo požiūriu.
Įsivaizduokite kibernetinės atakos atvejį, kai filialas yra atjungtas nuo būstinės ir vietinė IT komanda nori atlikti savo filialo vidinio tinklo teismo ekspertizę. Ką daryti, jei tinklo analizatorius bus izoliuotas duomenų centre dėl vidinės ryšio problemos? Tokiose situacijose nešiojamasis teismo ekspertizės rinkinys parodytų savo tikrąją vertę IT palaikymo komandos akyse.
Tokio specialios paskirties rinkinio grožis yra jo nešiojamumas, todėl jį galima greitai panaudoti bet kurioje lauko vietoje ir akimirksniu prijungti prie bet kurio tinklo segmento, nereikalaujant tam skirto maitinimo šaltinio.
Kaip sukurti tokį rinkinį?
Norint sukurti nešiojamąjį rinkinį, kuris gali lengvai išgauti ir analizuoti tinklo srautą, mums reikia trijų pagrindinių įrankių:
Laptop
Pirmas dalykas, kurio mums reikia, yra nešiojamas kompiuteris. Nors tai atrodo akivaizdu, turite įsitikinti, kad turite tinkamą įrenginį, kuris atitiktų reikalavimus. Čia pateikiamos minimalios specifikacijos: nešiojamasis kompiuteris su mažiausiai 4 GB RAM, SSD diskas su mažiausiai 500 GB atminties, 1 Gbps tinklo plokštė, USB 3.0 prievadas ir 3 valandų atsarginė baterija. Daugumą šių reikalavimų atitinka dabartiniai nešiojamieji kompiuteriai. Tačiau didelė dalis nešiojamųjų kompiuterių yra su standartiniu standžiuoju disku (HDD), todėl primygtinai rekomenduojame SSD (Solid State Drive) pagrįstą saugyklą, nes jie yra daug greitesni nei HDD, o greičio reikia norint tinkamai užfiksuoti. Kad galėtumėte atlikti atsisiųstų paketų analizę, turite juos užfiksuoti ir išsaugoti nešiojamajame kompiuteryje.
Turėdami SSD saugyklą, turėtumėte nemažą laiko pranašumą, nes krizinės situacijos metu galėsite kuo greičiau saugoti ir analizuoti paketus. Palyginti su HDD, kurio didžiausias disko įrašymo greitis paprastai yra 100 MB/s, SSD į diską įrašo daug greičiau, kai greitis yra 500 MB/s ar daugiau (kai kurie SSD, M.2 formatu, net įrašo duomenis daugiau nei 3000 MB/s greičiu). s). Atminkite, kad turite turėti bent 250 MB/s disko įrašymo greitį, kurį paaiškinsime kitame skyriuje.
Be to, būtų protinga, kad jūsų nešiojamasis kompiuteris nebūtų pirmoji geresnė IT komandos naudojama aparatinė įranga, nes tai reikštų, kad jame yra daug daug atminties reikalaujančių programų, dėl kurių registras pasikeistų. Todėl dėl šios situacijos sumažėja našumas. Idealiame pasaulyje tokio tipo nešiojamieji kompiuteriai turėtų būti specialūs įrenginiai, skirti ypatingiems tikslams, pvz., teismo ekspertizei ar trikčių šalinimui kliento kelionėje ir pan.
USB 3.0 prievado reikalavimas taip pat bus paaiškintas kitame skyriuje.
Paketų analizatorius
Kitas reikalingas įrankis yra paketų analizatorius (taip pat žinomas kaip paketų sniferis), kuris yra įrankis (gali būti programinė arba aparatinė įranga), kuriantis žurnalus, įrašus ir analizuojantis srautą, einantį per tinklą. Duomenims tekant tinkle, paketų analizatorius priima užfiksuotus duomenų paketus ir iššifruoja neapdorotus duomenis, atrasdamas įvairių paketo laukų reikšmes, pvz., TCP antraštę arba seanso detales. Tada šias vertes galima analizuoti pagal atitinkamas RFC specifikacijas, kad būtų galima nuspręsti, ar paketas elgėsi „nenormaliai“ transportuojant tarp tinklo taškų.
Rinkoje yra įvairių atvirojo kodo paketų analizatorių, įskaitant populiariausią „Wireshark“. Nors jo funkcijos yra panašios į „tcpdump“, jis skiriasi tuo, kad turi GUI sąsają su integruotomis filtravimo parinktimis, kurios padeda surūšiuoti paketus per trumpesnį laiką. Be to, „Wireshark“ yra nemokama.
Daugiau informacijos apie šios funkcijos naudojimą rasite kitame šio straipsnio skyriuje.
Nešiojamas TAP
Norint efektyviai ir sklandžiai atlikti paketų analizę, mums reikia įrenginio, kuris padėtų mums užfiksuoti paketus tiesiai iš „gyvo“ srauto. Iš dviejų paketų fiksavimo būdų, prievado atspindėjimo (SPAN) ir naudojant TAP, renkamės pastarąjį, nes jis yra patikimesnis ir tikslesnis. Daugiau apie TAP galite skaityti kituose mūsų puslapiuose čia ir čia. TAP leidžia prisijungti prie saito ir tiksliai užfiksuoti visą tinklo srautą, netrukdant nuorodos patikimumui. TAP dažnai naudojami saugos programose, nes jie yra neinvaziniai ir neaptinkami tinkle (jie neturi loginio ar fizinio adreso).
Iš įvairių šiandien rinkoje esančių TAP tipų nešiojamieji TAP greitai populiarėja dėl savo lankstumo ir lengvo perkeliamumo, taip pat dėl jų galimybės akimirksniu naudoti bet kur. Juos galima lengvai prijungti prie nešiojamojo kompiuterio, o įdiegus tokį įrankį kaip „Wireshark“, jūsų nešiojamasis kompiuteris pavirs nešiojamu tinklo tyrimų ir analizės rinkiniu.
Kaip naudoti tokį rinkinį?
Teismo ekspertizė yra specializuotas darbas, kuriam reikia ilgametės patirties, kad būtų pasiektas tam tikras kvalifikacijos lygis. Kaip ir patyręs gydytojas, diagnozuojantis ligą greitai perskaitęs simptomus, tinklo analitikas turi sugebėti greitai aptikti tinklo anomalijas, ieškodamas atitinkamų simptomų. Natūralu, kad tokios žinios ateina su ilgamete praktika ir darbu šioje profesijoje. Tačiau yra keletas pagrindinių žingsnių, kuriais galite pradėti tokią analizę.
Čia pateikiamas trumpas patarimų, į kuriuos reikia atkreipti dėmesį atliekant teismo ekspertizę, sąrašas.
Peržiūrėkite renginių laiką
Įvykių (įvykių) laikas yra labai svarbus norint nustatyti, ar mūsų tinkle arba kliento tinkle vyksta kažkas nerimą keliančio. Įvykiai, vykstantys per trumpą laiką, tarkime, kelis šimtus milisekundžių ar net kelias sekundes, gali reikšti, kad juos generuoja robotai arba kenkėjiškos programos, o ne žmonės. Tokių laikotarpių diapazonas nuo milisekundžių iki sekundžių priklauso nuo veiklos pobūdžio, apie kurią tinklo administratorius turėtų žinoti. Pavyzdžiui, kelių milisekundžių gavimas dešimčių DNS užklausų vienai svetainei iš to paties šaltinio IP adreso arba kelių tos pačios svetainės DNS užklausų gavimas iš skirtingų šaltinio IP adresų per kelias milisekundes yra simptomai, rodantys, kad šias užklausas gali dirbtinai sugeneruoti automatiniai scenarijai, kuriuos inicijuoja robotai arba kenkėjiškos programos.
Patikrinkite DNS srautą
Kadangi DNS yra pagrindinis visų į internetą siunčiamų užklausų apdorojimo protokolas, turite stebėti srauto veiklą DNS serveryje. Jei jūsų tinkle yra kokia nors neteisėta sistema ar programa, kuri domisi išeinančiais ryšiais iš jūsų tinklo į išorinį pasaulį, galite aptikti jos kenkėjišką veiklą DNS serveryje. Kaip minėta anksčiau, vienas iš pagrindinių Wireshark pranašumų, palyginti su kitais analizatoriais, yra galimybė filtruoti paketus pagal protokolą arba IP adresą. Naudodami šią funkciją galite filtruoti visus paketus, kurie patenka į jūsų DNS serverio IP adresą, ir peržiūrėti gautas užklausas per tam tikrus laiko langus. Jei pastebėsite, kad kažkas trikdo (pvz., neįprastas prisijungimo užklausų skaičius), galite iš anksto manyti, kad jūsų DNS serveris yra DoS atakoje.
Ieškokite „MAN-IN-THE-MIDDLE“ atakų
Viena iš labiausiai paplitusių atakų prieš organizacijos tinklą yra „Man-in-the-Middle“ (MitM) ataka, kurios metu užpuolikas bando patekti į tinklą apsimesdamas viena iš patikimų tinklo sistemų. MitM atakos metu užpuolikas įveda ryšį tarp dviejų patikimų sistemų, perima jį ir nukreipia visą srautą į save. Nors du patikimi nariai mano, kad jie turi tiesioginį ryšį vienas su kitu, jie iš tikrųjų bendrauja per tarpininką. Tai leidžia ne tik klausytis pokalbio tarp įrenginių, bet ir jį keisti. Dažniausias tokio tipo atakų vykdymo būdas yra ARP klastojimas, dar žinomas kaip ARP talpyklos apsinuodijimas. Tokios atakos metu užpuolikas per LAN transliuoja klaidingus ARP pranešimus, kad susietų savo MAC adresą su vienos iš patikimų LAN sistemų IP adresu, pvz. numatytasis šliuzas, DNS serveris arba DHCP serveris, atsižvelgiant į atakos planą.
Naudodami filtravimo funkciją galime rasti visus ARP paketus ir, jei susiduriame su dideliu ARP srautu (antraštėmis ir atsakymais), tai gali reikšti, kad esame sukčiavimo auka. Jau kurį laiką veikiančioje infrastruktūroje kiekvieno įrenginio talpykloje turėtų būti visų patikimų įrenginių žemėlapis, todėl neturėtumėte rasti ilgo ARP pranešimų sąrašo. Atraskite šaltinio ir paskirties adresą paketų antraštėse ir ištirkite, ar nevyksta tokio tipo ataka.
Aptikti DOS/DDOS (paslaugų atsisakymo) atakas
Tai taip pat viena iš populiariausių atakų, vykdomų iš tinklo arba už jo ribų. Tokios atakos tikslas yra sunaudoti mašinos ar tinklo išteklius taip, kad jie galiausiai taptų nepasiekiami tikriems vartotojams. DoS atakos dažnai vykdomos prieš žiniatinklio serverius, siekiant sustabdyti tinklo paslaugas, kol serveris prijungtas prie interneto. DoS atakos metu užpuolikas bombarduoja tikslinį serverį TCP/SYN užklausomis, prašydamas jo užmegzti ryšį, tačiau šaltinio adresas yra netikras arba suklastotas. Jei šaltinio nėra, serveris negali atsakyti TCP/SYN-ACK pranešimu, nes negali aptikti šaltinio MAC adreso. Jei šaltinis yra netikras, serveris atsako TCP/SYN-ACK pranešimu ir laukia galutinio ACK pranešimo, kad užbaigtų TCP ryšį. Tačiau jei tikrasis šaltinis niekada neužmezga tokio ryšio, serveris niekada negauna galutinio atsakymo ir laukia pusiau atviro ryšio. Abiem atvejais serveris „užlieja“ (SYN Flooding) TCP/SYN užklausas, todėl susidaro neįprastai daug neužbaigtų jungčių, o tai gali apriboti serverio našumą.
Norėdami greitai nustatyti, ar jūsų tinklas yra DoS atakos auka, išfiltruokite TCP paketus naudodami „Wireshark“. Tada naudokite parinktį, kad būtų rodomas paketų sekos grafikas, iliustruojantis TCP ryšių srautą su rodyklėmis, jungiančiomis šaltinio ir paskirties sistemas. Jei matote daug TCP/SYN paketų, siunčiamų iš vieno šaltinio IP adreso į serverio paskirties IP adresą, kuris arba neatsako, arba atsako su SYN-ACK užklausomis, kurios neturi ACK atsakymo iš šaltinio, greičiausiai tapo DoS atakos liudininku.
Tačiau jei matote, kad jūsų tikslinį serverį atakuoja TCP/SYN užklausų srautas iš kelių šaltinio adresų, tai gali būti paskirstytojo paslaugų atsisakymo (DDoS) ataka, kai atakai naudojamas daugiau nei vienas užpuoliko įrenginys, kurį galima įsigyti. pavyzdžiui, paskleisdamas sukurtą failą kompiuterių tinkle ir užkrėsdamas jį, paversdamas jo vartotojus vadinamaisiais zombiais.
Koks nešiojamas TAP geriausiai atitiks tokius reikalavimus?
Kad atitiktumėte aukščiau nurodytus reikalavimus, jums reikia TAP, kuris jokiu būdu neapribos jūsų tinklo, yra tikrai mobilus ir nešiojamas bei turėtų būti kišeninio dydžio. Jis taip pat turėtų būti lengvai prijungiamas prie nešiojamojo kompiuterio ir tuo pat metu pakankamai galingas, kad užfiksuotų 100% srauto neprarandant paketų ar paketo laiko vėlavimų.
Tokiu atveju siūlome ProfiShark 1G – nešiojamąjį TAP su dviem 1Gb/s prievadais, kurie gali lengvai valdyti dviejų kelių srautą į stebėjimo prievadą. Tačiau nuo konkurentų jis skiriasi tuo, kad jame nėra standartinio RJ45 stebėjimo prievado. Vietoj to, jis naudoja didelės spartos USB 3.0 prievadą, perduodantį iki 5 Gbps duomenų, kuris, beje, yra maitinimo šaltinis. 5Gbps pakanka sklandžiai perduoti bendrą tinklo srautą su dviem 1G prievadais abiem kryptimis per USB 3.0 ryšį.
Tai reiškia, kad buferio atmintis neturi praleisti jokių paketų arba laikyti jų pakankamai ilgai, kad paveiktų jų sinchronizavimą. Kaip minėta anksčiau, „ProfiShark 1G“ yra prijungtas prie nešiojamojo kompiuterio / asmeninio kompiuterio per USB prievadą, todėl jį galima prijungti ir paleisti maitindamas iš kompiuterio USB prievado. Kartu su nešiojamuoju kompiuteriu sukuriamas tikrai nešiojamas ir galingas paketų fiksavimo ir analizės rinkinys, paruoštas naudoti bet kur, nepriklausant nuo maitinimo šaltinio.
„ProfiShark 1G“ gali užfiksuoti ir perduoti paketus tiesiai į nešiojamąjį kompiuterį visu greičiu – 2 Gb/s, jei kompiuteryje yra SSD, kaip rekomenduojama ankstesnėse pastraipose („norint užfiksuoti ir įrašyti paketus 2 Gb/s greičiu, disko įrašymo greitis 250“ Reikalingas MB/s“). Ši funkcija leidžia nustatyti laiko žymą nanosekundžių tikslumu. „ProfiShark 1G“ yra su savo programine įranga ir GUI, „ProfiShark Manager“, kuri gali veikti lygiagrečiai su kitais analizatoriais, tokiais kaip „WireShark“ ar „Omnipeek“. Programinė įranga suderinama su Windows ir Linux platformomis.
Vienas iš „ProfiShark Manager“ privalumų yra tai, kad jis leidžia fiksuoti srautą tiesiai į nešiojamąjį kompiuterį vienu paspaudimu, nenaudojant tinklo analizatoriaus. Tai ypač naudinga tais atvejais, kai reikia užfiksuoti srautą nuotoliniame tinklo segmente ir analizuoti jį kitame kompiuteryje, o ne nešiojamajame kompiuteryje, eksportuojant PCAP failą. GUI taip pat rasite skyrių „Skaitikliai“, kuriame rodomi abiejų tinklo prievadų – A ir B – vidiniai skaitikliai. Rodomas teisingų/neteisingų paketų skaičius, CRC klaidos, susidūrimai ir įvairūs paketų dydžiai. Tai greitas būdas patikrinti kiekvieno prievado gaunamo srauto kokybę, neatidarius tinklo analizatoriaus.