facebook LinkedIN LinkedIN - follow
IT SYSTEMS 1-2/2015 , IT Security

Pokročilá analýza provozu datových sítí (1. díl)

Není monitoring jako monitoring



InveaV tomto čtyřdílném seriálu vás seznámíme s různými metodami a přístupy k monitorování provozu datových sítí a jeho analýze. V prvním díle vysvětlíme rozdíly mezi běžný infrastrukturním monitoringem a skutečným monitorováním vlastního provozu datové sítě. Díl druhý bude věnován záznamu provozu v plném rozsahu a tzv. paketové analýze. Ve třetím díle se pak podíváme na nejnovější trend, který spojuje výhody obou přístupů do velmi efektivního a flexibilního řešení pro správu IT infrastruktury. V závěrečném díle se podíváme na možnosti sledování výkonu sítě i podnikových aplikací.


Monitoring IT infrastruktury

Když se řekne monitoring, většina IT profesionálů si vybaví sledování dostupnosti serverů a služeb, vytížení CPU, zaplnění disku nebo paměti nebo stav jednotlivých síťových rozhraní a počet přenesených paketů. Tato tradiční představa odpovídá běžnému infrastrukturnímu monitoringu, obvykle na bázi SNMP (Simple Network Management Protocol), který poskytuje přehled o stavu IT infrastruktury a dostupnosti jednotlivých komponent. Takový monitoring lze dnes považovat za povinnou výbavu zodpovědného správce datové sítě.

Pokud dojde k anomálii provozu datové sítě a provoz výrazně vzroste, dozvíte se o nárůstu počtu paketů a objemu přenesených dat na síťových rozhraních. Ale co dál? O jakou anomálii se jedná? Která stanice je za nárůst provozu zodpovědná? O jaké přenosové protokoly a služby jde? Na tyto otázky Vám bohužel běžný infrastrukturní monitoring neodpoví, neboť vlastní provoz datové sítě nesleduje a nezná tak jeho strukturu.

Monitoring síťového provozu

Potřebujeme monitoring síťového provozu, často označovaný jako tzv. next-generation monitoring, který na tyto otázky hravě odpoví. Monitoring síťového provozu vytváří agregované statistiky o veškerých datových přenosech, dochází k abstrakci od jednotlivých paketů a obsah komunikace není sledování. Tyto statistiky reprezentují datové toky v síti a zjednodušeně si je můžeme představit podobně jako výpis telefonních hovorů. Známe volající strany, čas, délku trvání, ale nevíme, co bylo předmětem rozhovoru. V prostředí datových sítí tedy sledujeme IP adresy, objemy dat, čas, porty, protokoly a další technické parametry TCP/IP komunikace na třetí a čtvrté síťové vrstvě. Vraťme se k naší anomálii. Jednoduchým dotazem nad datovými toky se dozvíme, že jde o komunikaci služby FTP (protokol TCP a port 20), kdy stanice z lokání sítě s IP adresou 192.168.34.78 ukládá masivní objem dat (za posledních 10 minut šlo o 2,8 GB) na veřejnou adresu.

NetFlow

V praxi se můžeme setkat s celou řadou standardů a formátů datových toků. Mezi nejznámější patří standard NetFlow vytvořený společností Cisco, jehož původní účel byl umožnit snadné účtování objemu přenášených dat jednotlivým uživatelům využívajícím datovou konektivitu poskytovatele připojení k síti internet. Standard NetFlow je dostupný v několika verzích, původní verze NetFlow v5 je dnes považována již za značně zastaralou, neboť nepodporuje IPv6 provoz, čísla VLAN nebo MAC adresy. Tyto nedostatky odstraňuje standard NetFlow v9, který je založen na tzv. šablonách a umožňuje flexibilně nastavit, jaké informace z provozu datové sítě budou sledovány. V současné době je aktuální standard označovaný jako IPFIX (někdy též NetFlow v10) a jde o obecně uznávaný IETF standard (RFC 5101, RFC 5153).

NetFlow statistiky jsou získávány prostřednictvím síťových prvků (směrovače, přepínače) nebo specializovaných zařízení, tzv. síťových sond, které z kopie datového provozu vytváří velmi přesné a detailní statistiky. Podporu standardu NetFlow a jeho příslušné verze je vždy třeba ověřit v dokumentaci daného aktivního prvku a obvykle i vyzkoušet. Zejména u starších prvků se lze setkat s výkonnostními problémy, nepřesností síťových statistik nebo omezeními v rozsahu sledovaných atributů síťového provozu. Datové prvky nejsou jen doménou aktivních prvků od společnosti Cisco, existují další více méně kompatibilní standardy, např. jFlow, cFlow nebo NetStream. Řada aktivních prvků navíc standard NetFlow od společnosti Cisco implementuje, např. populární zřízení Mikrotik.

Zpracování statistik o datových tocích

Pro plnohodnotné využití statistik o datových tocích potřebujeme nástroj, který dokáže tyto statistiky posbírat, uložit, zobrazit, reportovat a umožnit jejich manuální analýzu. Takový nástroj označujeme jako NetFlow kolektor. Jedná se o specializovaný software nebo hardwarovou appliance, která je příslušným software vybavena. Všechny statistiky o provozu datové sítě jsou tak centrálně sbírány a vyhodnocovány na jediném místě. Díky tomu má správce datové sítě okamžitý přehled o objemech a struktuře provozu, souhrnné reporty o míře vytížení datové sítě a zároveň i mocný nástroj pro řešení provozních problémů (troubleshooting).

Behaviorální analýza

Samostatnou kapitolou je bezpečnost datové sítě, kdy analýzou těchto síťových statistik je možné získat kvalitativně nový pohled na IT infrastrukturu, automaticky identifikovat infikované stanice, nežádoucí síťový provoz a aktivity uživatelů, útoky a obecně anomálie provozu datové sítě. Tato technologie, která analyzuje právě datové toky, je označována jako tzv. behaviorální analýza (Network Behavior Analysis) a na rozdíl od systémů založených na signaturách je schopna odhalit i nové nebo dosud neznámé hrozby a útoky.

Představme si následující scénář: Uživatelé z brněnské pobočky pozorují špatnou odezvu interních systémů provozovaných v Praze stejně jako pomalé načítání webových stránek. Upozorní tedy administrátora na centrále. Ten rychlým pohledem do monitorovacího systému identifikuje stanici zástupce vedoucího brněnského skladu, která již přenesla do internetu několik gigabytů dat. Na vzniklou situaci okamžitě reaguje a dotyčného pracovníka důrazně upozorní, aby stahování dat ze sítě internet omezil.

NetFlow kolektor zobrazující provoz vybraných aplikačních protokolů s možností analýzy tohoto provozu na základě celé řady atributů síťových statistik.
NetFlow kolektor zobrazující provoz vybraných aplikačních protokolů s možností analýzy tohoto provozu na základě celé řady atributů síťových statistik.


Představme si jiný scénář: Zvědavý uživatel otevře zaručeně bezpečnou přílohu svého e-mailu, která nainstaluje do jeho počítače nežádoucí kód. Tento kód vyhledá v interní síti servery s operačním systémem Windows a začne zkoušet různé kombinace přihlašovacích údajů ke službě vzdálené plochy. Čas od času úspěšně zjištěné údaje zašifruje a nahraje na server někde na druhém konci světa. Jak na takovou situaci reaguje systém behaviorální analýzy, který sleduje a vyhodnocuje síťovou komunikaci? Vyhledávání serverů v interní síti (tj. horizontální port sken) s následným pokusem o připojení ke službě Windows Remote Desktop (tj. slovníkový útok) identifikuje jako útok. Komunikaci malwaru s řídícím centrem, které se nachází na druhém konci světa, nahlásí jako podezřelou. Obrázek 4: příklad bezpečnostního dashboardu systému behaviorální analýzy, aktuálně můžeme pozorovat útok na službu SSH běžící na serveru s IP adresou 192.168.47.110 vedený z Japonska z IP adresy, která je známým útočníkem. Tato informace je získána z IP reputační databáze.

Shrnutí prvního dílu

Představili jsme si technologii monitorování provozu datové sítě prostřednictví datových toků a její aplikaci v praxi. Hlavním přínosem této technologie je získání absolutní viditelnosti a přehledu o dění na síti, možnost rychle a efektivně řešit provozní problémy nebo automaticky identifikovat bezpečnostní incidenty a hrozby. V příštím díle se do paketů ponoříme ještě hlouběji a podíváme se na možnosti jejich záchytu, hloubkové analýzy a možností využití.

RNDr. Pavel Minařík, PhD. RNDr. Pavel Minařík, PhD.
Autor článku se oblastí kybernetické bezpečnosti zabývá od roku 2006. Účastnil se řady výzkumných projektů v oblasti analýzy provozu datových sítí a detekci pokročilých hrozeb jako výzkumný pracovník Ústavu výpočetní techniky Masarykovy univerzity. Během posledních čtyř let se účastnil několika desítek projektů nasazení řešení pro monitorování provozu a detekci pokročilých hrozeb. V současné době pracuje jako technologický ředitel ve společnosti INVEA-TECH zodpovědný za návrh a vývoj produktů pro Flow Monitoring a Network Behavior Analysis.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.