facebook LinkedIN LinkedIN - follow
IT security , IT Security

Monitorování provozu sítě

Nedílná součást bezpečnosti



Každodenně se z médií dozvídáme o dalším z úspěšných útoků na významnou společnost, o velkém množství odcizených citlivých zákaznických či firemních dat, o nedostupnosti služeb v důsledku DDoS útoku a o mnoha dalších útocích na počítačové systémy a sítě. V minulosti se mohlo zdát, že se nás tyto útoky netýkají a naše data a počítačové systémy jsou v bezpečí, neboť většina medializovaných případů se přeci týkala velkých zahraničních společností. To však byl jen mylný dojem, což nám dokazují poslední týdny, kdy se pod vlnou útoků ocitají i české společnosti a instituce.


Kyberútoky na české společnosti a instituce

Z nejznámějších útoků nedávné doby je možné zmínit DDoS (distributed denial of service) útok na webové stránky Úřadu vlády ČR. K tomuto útoku byla využita botnet síť, neboli obrovské množství zavirovaných počítačů z celého světa, které se opakovaně připojovaly k těmto webovým stránkám, tím je zahltily a na několik hodin zcela vyřadily z provozu.
Jako výrazně závažnější se však jeví útoky na ODS, a především na Letiště Brno. V případě ODS se podařilo útočníkům nejprve modifikovat webové stránky této strany a následně i získat osobní údaje všech jejích více než 27 tisíc členů. To v případě Letiště Brno se hackerovi podařilo obejít veškerá zabezpečení a získat přístupové účty a hesla do jejich intranetu. O to více zarážející je i fakt, že se letištní počítačoví specialisté o tomto útoku pravděpodobně dozvěděli až po zveřejnění údajů na internetu samotným hackerem. To tedy může znamenat, že třeba i několik týdnů mohl tyto účty a hesla využívat pro své záměry.
Takto by bylo možné pokračovat útokem na Ochranný svaz autorský, Parlament ČR a mnoho dalších i komerčních společností. To však není předmětem článku, pojďme se raději podívat na to, jak je možné tyto útoky odhalovat, bránit se jim, nebo alespoň minimalizovat jejich dopady.

Klíčové je mít přehled o tom, co se děje

Dobře známé pravdy, že každá počítačová síť by měla být chráněna na perimetru firewallem (nejlépe v kombinaci s IPS systémem) či UTM zařízením, všechny koncové stanice by měly mít nainstalovány antivirové nástroje s aktuálními databázemi virů, uživatelé by měli mít silná hesla a mnoho dalších pravd, není potřeba opakovat, neboť to každý bezpečnostní či síťový administrátor ví. Co je však neméně důležité, a na co se přesto velmi často zapomíná, je to, že pro zajištění bezpečnosti počítačové sítě je klíčové mít přehled o tom, co se v ní děje, aby bylo možné na nastalé situace okamžitě reagovat.
Takový přehled je možné získat jedině trvalým monitoringem. Avšak nejedná se o monitoring v podobě dohledového systému na bázi SNMP, ale o technologii zaměřenou na síťový provoz – monitorování datových toků. Tato technologie přináší informace o jednotlivých datových komunikacích v síti, čímž poskytuje kompletní přehled o dění a aktuální situaci v síti.
Technologii monitoringu datových toků v síti reprezentuje protokol NetFlow, který byl v roce 1996 uveden společností Cisco. Od svého uvedení se protokol dočkal celé řady nových verzí a vylepšení až po současnou verzi 9, která je chápána jako průmyslový standard a je používána celou řadou výrobců. Základní princip NetFlow protokolu spočívá ve sledování hlaviček všech síťových paketů (obsah paketů není sledován), přičemž informace z paketů mající shodné klíčové údaje (zdrojová a cílová IP adresa, zdrojový a cílový port, číslo protokolu) jsou sdružovány do tzv. datového toku. Pro každý datový tok jsou pak také evidovány údaje o času jeho vzniku, délky trvání, počtu paketů, přenesených bajtů a řada dalších (např. VLAN příznaky, příznaky spojení). Datový tok tedy detailně charakterizuje konkrétní IP komunikaci mezi dvěma koncovými stanicemi. Při NetFlow monitoringu jsou sledovány veškeré datové toky, díky čemuž administrátor získává detailní informace o provozu a činnostech v síti.

Bezpečnostní využití NetFlow dat

Paketové analyzátory, SIEM, IDS a SNMP systémy poskytují pouze omezený pohled do počítačové sítě – typicky se jedná o konkrétní segment, podmnožinu sítě (např. perimetr sítě) či jsou zaměřeny na konkrétní hrozby (např. dle databáze škodlivých vzorů). Oproti tomu systémy na bázi NetFlow monitorují síťové komunikace a chování jednotlivých uživatelů v celé počítačové síti (LAN, WAN, perimetr) a na základě těchto informací mohou detekovat celou řadu nežádoucích jevů. Typicky také nejsou zaměřeny na detekci konkrétních hrozeb v podobě konkrétního viru či útoku, ale obecně proti jakémukoliv nežádoucímu chování v síti.
Systémy na bázi NetFlow poskytují informace o provozu v celé síti neustále, v reálném čase a typicky data uchovávají několik měsíců historicky, což je důležité především pro zpětné dohledávání příčin vzniklých incidentů. Díky působnosti napříč celou sítí mohou pomoci odhalit kdykoliv, jakýkoliv síťový problém v libovolném segmentu sítě. Těmito nástroji jsou organizace chráněny také proti moderním pokročilým útokům (APTs – advanced persistent threats) a dalším bezpečnostním hrozbám (viry, malware, útoky na míru), které jsou schopny detekovat na základě podezřelého chování v síti (např. horizontální či vertikální skenování portů, slovníkový útok, anomálie v datovém provozu).
NetFlow systémy ukládají informace o datových tocích, následně je detailně analyzují a prezentují uživateli. Mezi základní funkce patří zobrazení datového provozu v čase s možností sledovat jak kompletní provoz, tak jeho jednotlivé složky (např. pouze e-mailový provoz) či segmenty sítě (např. pouze konkrétní VLAN). Důležitou funkcí je také možnost postupně provoz analyzovat až na úroveň jednotlivých datových toků (komunikací). Systémy samozřejmě zahrnují i funkce pro automatické upozorňování v případě splnění konkrétní podmínky (např. nárůst počtu komunikací, přístup na zakázané servery z vnější sítě).
Pokud to uživatel myslí s bezpečností skutečně vážně a nechce trávit spoustu času manuální analýzou datových toků, tak je vhodné použít NetFlow systém obsahující pokročilou bezpečnostní nadstavbu v podobě analýzy chování sítě (NBA – network behavior analysis). NBA funkcionalita spočívá v automatické detailní analýze změn chování sítě a jednotlivých komunikací, na základě kterých detekuje a upozorňuje na pokročilé útoky (APT, zero-day, botnet), viry a malware, pokusy o proniknutí do sítě a další nežádoucí chování. Takovéto systémy jsou v současné době velmi pokročilé a jsou ceněny především proto, že jsou schopny detekovat i takové hrozby, které ostatní bezpečnostní nástroje nemohou z principu své činnosti odhalit.

Shrnutí

Bezpečnost počítačové sítě nelze zajistit, pokud nemáme detailní přehled o provozu v dané síti a nemůžeme v jakémkoliv okamžiku zjistit, co se v ní děje. Proto renomované analytické společnosti doporučují bezpečnostním administrátorům, aby zvážili nasazení systému pro monitorování datových toků, nejlépe včetně NBA funkcionality, který jim pomůže s výrazným zvýšením bezpečnosti své organizace a doplní standardní bezpečnostní nástroje typu firewall a antivir.
Kromě bezpečnostních přínosů se nástroje pro monitorování datových toků typicky stávají také nepostradatelným nástrojem pro síťové administrátory a CIO, neboť jim poskytnou informace pro efektivní troubleshooting, pomohou eliminovat úzká hrdla v IT infrastruktuře a automaticky vytváří grafy a přehledy o využití sítě a jednotlivých síťových aplikací uživateli. Tím ve výsledku organizaci nejenom významně zvyšují zabezpečení, ale také pomáhají ušetřit nemalé finanční zdroje.

Petr Špringl
Autor článku působí ve společnosti Invea-Tech.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Ochrana dat a bezpečnost v éře DORA a NIS2

Klíčová role IBM Guardium a SIEM QRadar

Security AIS rostoucími nároky na ochranu citlivých dat a dodržování regulatorních požadavků se firmy stále více obrací k pokročilým nástrojům, které jim umožňují efektivně čelit výzvám moderního IT prostředí. Směrnice DORA a NIS2, které zdůrazňují operační odolnost a správu kybernetické bezpečnosti, stanovují jasné standardy pro ochranu dat a řízení přístupu. V tomto kontextu hrají zásadní roli řešení IBM Guardium a SIEM QRadar.