Profitap – kaasaskantava andmeanalüüsi komplekti loomine
Milleks on sellist komplekti vaja?
uid. Suured ettevõtted peavad kohandama võrguliikluse hõivamise mehhanisme vastavalt oma võrgu suurusele ja arhitektuurile. Näiteks suurte võrkudega ettevõtted, kus on hajutatud andmekeskused, peavad kasutusele võtma mitu andmekaardistamispunkti, mis toidavad keskse pakettide analüüsi seadet (võrguanalüsaator), mis suudab vastu võtta ja analüüsida andmeid 10 Gbps või isegi 100 Gbps kiirusel.
Kahjuks ei ole kõigil ettevõtetel hajutatud arhitektuuris mitu andmekeskust. Tegelikult on enamikul väikestel ja keskmise suurusega organisatsioonidel kogu IT-infrastruktuur ühes asukohas. Enamikul neist ettevõtetest ei ole võimalik investeerida kallidesse võrguturbeanalüüsi toodetesse. Võime kogemusest öelda, et juhid eelistavad kulutada oma eelarvest rohkem tootmisotstarbelistele IT-seadmetele kui tugiseadmetele, eriti kallid võrguanalüsaatorid, mille puudumine võib põhjustada turvarikkumisi.
Väikesed ja keskmise suurusega ettevõtted saavad kasu kaasaskantavast võrguanalüüsi komplektist. Palju madalama hinnaga võimaldab see ikkagi reaalajas ja nõudmisel teostatavat kohtuekspertiisi analüüsi mis tahes võrgusegmendis. Sellele lähenemisviisile on raske vastu vaielda.
Kujutage ette küberrünnaku juhtumit, kus harukontor on peakontorist lahti ühendatud ja kohalik IT-meeskond soovib teostada oma harukontori sisevõrgu kohtuekspertiisi. Mis siis, kui võrguanalüsaator isoleerub andmekeskuses sisemise ühendusprobleemi tõttu? Sellistes olukordades näitaks kaasaskantav kohtuekspertiisi komplekt oma tegelikku väärtust IT-tugirühma silmis.
Sellise eriotstarbelise komplekti ilu seisneb selle kaasaskantavuses, mis võimaldab seda kiiresti kasutada kõikjal kohapeal ja ühendada selle kohe mis tahes võrgusegmendiga, ilma et selleks oleks vaja spetsiaalset toiteallikat.
Kuidas sellist komplekti luua?
Selleks, et luua kaasaskantav komplekt, millega saab hõlpsasti võrguliiklust ekstraheerida ja analüüsida, vajame kolme põhitööriista:
Sülearvuti
Esimene asi, mida me vajame, on sülearvuti. Kuigi see tundub ilmselge, peate veenduma, et teil on nõuetele vastav seade. Siin on minimaalsed tehnilised nõuded: Sülearvuti, millel on vähemalt 4 GB RAM-i, SSD-ketas vähemalt 500 GB mälumahuga, 1 Gbit/s võrgukaart, USB 3.0 port ja 3-tunnine aku. Enamik neist nõuetest on praeguste sülearvutite puhul täidetud. Suur osa sülearvutitest on siiski tavalise kõvakettaga (HDD), me soovitame tungivalt SSD (Solid State Drive) põhinevat salvestusruumi, kuna need on palju kiiremad kui HDD-d ja kiirus on see, mida vajate korraliku jäädvustamise jaoks. Enne kui saate allalaaditud pakettide analüüsi teostada, peate need salvestama ja salvestama oma sülearvutisse.
SSD-mälu olemasolu annaks teile olulise ajalise eelise, kuna saate kriisiolukorras pakette võimalikult kiiresti salvestada ja analüüsida. Võrreldes kõvakettaga, mille maksimaalne kirjutamiskiirus kettale on tavaliselt 100 MB/s, kirjutab SSD kettale palju kiiremini, 500 MB/s või rohkem (mõned M.2 formaadis SSD-d kirjutavad andmeid isegi üle 3000 MB/s). Pidage meeles, et teil peab olema vähemalt 250 MB/s ketta kirjutamiskiirus, mida selgitame järgmises jaotises.
Lisaks oleks mõistlik, kui teie sülearvuti ei oleks esimene parem riistvara, mida IT-meeskond kasutab, sest see tähendaks, et sellel on palju mälumahukaid rakendusi, mis põhjustavad olulisi muudatusi registris. Järelikult toob selline olukord kaasa vähenenud jõudluse. Ideaalis peaks seda tüüpi sülearvuti olema spetsiaalne masin, mis on mõeldud eriotstarbeliseks kasutamiseks, näiteks kohtuekspertiisiks või tõrkeotsinguks kliendireisil jne.
USB 3.0 pordi nõuet selgitatakse ka järgmises jaotises.
Paketi analüsaator
Järgmine vajalik vahend on pakettanalüsaator (tuntud ka kui pakettide nuhkija), mis on vahend (võib olla kas tarkvara või riistvara), mis loob logisid, salvestab ja analüüsib võrku läbivat liiklust. Kui andmed liiguvad läbi võrgu, võtab pakettanalüsaator kinnipeetud andmepaketid vastu ja dekodeerib töötlemata andmed, avastades paketi erinevate väljade väärtused, näiteks TCP-pealkirja või seansi üksikasjad. Neid väärtusi saab seejärel analüüsida vastavalt asjakohastele RFC spetsifikatsioonidele, et järeldada, kas pakett käitus võrgupunktide vahelise transpordi ajal „ebanormaalselt”.
Turul on mitmeid avatud lähtekoodiga pakettide analüsaatoreid, sealhulgas kõige populaarsem Wireshark. Kuigi selle funktsioonid on sarnased „tcpdumpiga”, erineb see selle poolest, et tal on GUI-liides, millel on integreeritud filtreerimisvõimalused, mis aitavad pakette sorteerida, vähem aega. Lisaks sellele on Wireshark saadaval tasuta.
Lisateavet selle funktsiooni kasutamise kohta leiate selle artikli järgmisest osast.
Kaasaskantav TAP
Pakettide analüüsi tõhusaks ja sujuvaks teostamiseks vajame seadet, mis aitab meil pakette otse „elavast” liiklusest jäädvustada. Pakettide püüdmise kahest viisist, pordi peegeldamine (SPAN) ja TAPide kasutamine, valime viimase, kuna see on usaldusväärsem ja täpsem. Rohkem infot TAPide kohta saate lugeda meie teistelt lehekülgedelt, siin ja siin. TAP võimaldab teil kasutada linki ja jäädvustada täpselt kogu võrguliiklust, ilma et see häiriks ühenduse usaldusväärsust. TAP-e kasutatakse sageli turvarakendustes, sest need on võrgus mittesekkuvad ja tuvastamatud (neil ei ole loogilist ega füüsilist aadressi).
Tänapäeval turul olevatest erinevat tüüpi TAPidest koguvad kiiresti populaarsust kaasaskantavad TAPid, sest need on paindlikud ja kergesti teisaldatavad ning neid saab koheselt kõikjal kasutusele võtta. Neid saab hõlpsasti sülearvutisse ühendada ja koos sellise tööriista nagu Wireshark paigaldamisega muutub teie sülearvuti kaasaskantavaks võrguuuringu- ja analüüsikomplektiks.
How to use such a set?
Kohtuekspertiis on spetsialiseeritud töö, mis nõuab aastatepikkust kogemust, et jõuda tasemele. Nagu kogenud arst, kes diagnoosib haiguse, lugedes kiiresti sümptomeid, peab võrguanalüütik suutma kiiresti tuvastada kõrvalekaldeid võrgus, otsides asjakohaseid sümptomeid. Loomulikult tulevad sellised teadmised aastatepikkuse praktika ja tööga selles ametis. Siiski on olemas mõned põhilised sammud, millega saab sellist analüüsi alustada.
Siin on lühike loetelu nõuannetest, mida kohtuekspertiisi käigus jälgida.
Ürituse aegade läbivaatamine
Sündmuste (sündmuste) ajastus on kriitilise tähtsusega, et teha kindlaks, kas meie võrgus või kliendi võrgus toimub midagi murettekitavat. Sündmused, mis toimuvad lühikese aja jooksul, näiteks mõnesaja millisekundi või isegi mõne sekundi jooksul, võivad viidata sellele, et need on loodud pigem robotite või pahavara kui inimeste poolt. Selliste ajavahemike vahemik, millisekunditest kuni sekunditeni, sõltub tegevuse laadist, millest võrguadministraator peaks teadma. Näiteks kümnete DNS-päringute saamine ühe saidi jaoks samalt lähte-IP-aadressilt mõne millisekundi jooksul või mitme DNS-päringu saamine sama saidi jaoks erinevatelt lähte-IP-aadressidelt mõne millisekundi jooksul on sümptomid, mis näitavad, et need päringud võivad olla kunstlikult loodud robotite või pahavara poolt algatatud automaatsete skriptide abil.
Kontrollige DNS-liiklust
Kuna DNS on peamine protokoll, mis käsitleb kõiki väljaminevaid päringuid internetti, peate jälgima DNS-serveri liiklust. Kui teie võrgus on mõni volitamata süsteem või programm, mis on huvitatud väljaminevate ühenduste loomisest teie võrgust välismaailma, siis on teil võimalik tuvastada selle pahatahtlik tegevus DNS-serveris. Nagu varem mainitud, on Wiresharki üks peamisi eeliseid teiste analüsaatorite ees võime filtreerida pakette protokolli või IP-aadressi järgi. Selle funktsiooni abil saate filtreerida kõik DNS-serveri IP-aadressile minevad paketid ja vaadata saadud päringuid konkreetsete ajaakende jooksul. Kui leiate midagi häirivat (näiteks ebatavaline arv ühenduspäringuid), võite juba ette oletada, et teie DNS-server on DoS-rünnaku all.
Otsi MAN-IN-THE-MIDDLE rünnakuid
Üks levinumaid rünnakuid organisatsiooni võrgu vastu on Man-in-the-Middle (MitM) rünnak, mille puhul ründaja üritab võrku siseneda, andes end ette, et ta on üks võrgu usaldusväärsetest süsteemidest. MitM-rünnakus siseneb ründaja kahe usaldusväärse süsteemi vahelisse ühendusse, võtab selle üle ja suunab kogu liikluse enda juurde. Kuigi kaks usaldusväärset liiget usuvad, et neil on omavahel otsene ühendus, suhtlevad nad tegelikult vahendaja kaudu. See võimaldab mitte ainult kuulata seadmete vahelist vestlust, vaid ka muuta seda. Kõige levinum meetod seda tüüpi rünnaku läbiviimiseks on ARP spoofing, mida tuntakse ka ARP cache poisoning’ina. Sellise rünnaku käigus saadab ründaja üle kogu LANi valesid ARP-sõnumeid, et seostada oma MAC-aadress ühe LANi usaldusväärse süsteemi IP-aadressiga, nt vaikimisi värav, DNS-server või DHCP-server, sõltuvalt rünnakuplaanist.
Kasutades filtreerimisfunktsiooni, saame leida kõik ARP-paketid ja kui me kohtame palju ARP-liiklust (päised ja vastused), võib see tähendada, et me oleme pettuse ohver. Mõnda aega tegutsenud infrastruktuuris peaks igal seadmel olema kõigi usaldusväärsete seadmete kaart oma vahemälus, seega ei tohiks ARP-sõnumite pikka nimekirja leida. Avastage pakettide päistest lähte- ja sihtaadress ja uurige, kas selline rünnak on käimas.
DOS/DDOS (Denial of Service) rünnakute tuvastamine
See on ka üks populaarsemaid rünnakuid, mida teostatakse võrgu seest või väljastpoolt. Sellise rünnaku eesmärk on tarbida masina või võrgu ressursse nii, et need muutuvad lõpuks tegelikele kasutajatele kättesaamatuks. DoS-rünnakuid viiakse sageli läbi veebiserverite vastu, eesmärgiga peatada võrguteenused, kui server on ühendatud internetti. DoS-rünnaku ajal pommitab ründaja sihtserverit TCP/SYN päringutega, paludes tal avada ühendus, kuid lähteaadress on kas võltsitud või võltsitud. Kui allikat ei ole olemas, ei saa server vastata TCP/SYN-ACK-teatega, sest ta ei suuda tuvastada allika MAC-aadressi. Kui allikas on võltsitud, vastab server TCP/SYN-ACK-teatega ja ootab TCP-ühenduse lõpetamiseks lõplikku ACK-teadet. Kui aga tegelik allikas ei ole kunagi sellist ühendust algatanud, ei saa server kunagi lõplikku vastust ja ootab pooleldi avatud ühendusega. Mõlemal juhul „üleujutab” (SYN Flooding) server TCP/SYN päringuid, mille tulemuseks on ebatavaliselt suur hulk lõpetamata ühendusi, mis võib piirata serveri jõudlust.
Et kiiresti tuvastada, kas teie võrk on DoS-rünnaku ohver, filtreerige TCP-paketid Wiresharki abil. Seejärel kasutage võimalust kuvada pakettide järjestusgraafik, mis illustreerib TCP-ühenduste voogu, kusjuures nooled ühendavad lähte- ja sihtsüsteeme. Kui näete suurt hulka TCP/SYN-pakette, mis lähevad ühelt lähte-IP-aadressilt siht-IP-aadressile serverile, mis kas ei vasta või vastab SYN-ACK-päringutega, millele allikas ei vasta ACK, siis olete tõenäoliselt tunnistajaks DoS-rünnakule.
Kui aga näete sihtserverit ründavate TCP/SYN-päringute voogu mitmest lähteaadressist, võib tegemist olla jaotatud teenusetõkestusrünnakuga (DDoS), mille puhul kasutatakse rünnakuks rohkem kui ühte ründavat seadet, mille võib omandada näiteks kujundatud faili levitamise teel arvutivõrku ja selle nakatamise teel, muutes selle kasutajad nn zombisideks.
Milline kaasaskantav TAP vastab sellistele nõuetele kõige paremini?
Eespool nimetatud nõuete täitmiseks on vaja TAPi, mis ei piira teie võrku mingil viisil, on tõeliselt mobiilne ja kaasaskantav ning peaks olema taskuformaadis. Samuti peaks see olema hõlpsasti ühendatav sülearvutiga ja samal ajal piisavalt võimas, et jäädvustada 100% liiklust ilma paketikadude või pakettide ajaliste viivitusteta.
Sellisel juhul soovitame ProfiShark 1G, mis on kahe 1 Gb/s pordiga kaasaskantav TAP, mis saab hõlpsasti hakkama kahesuunalise liiklusega seireporti. See erineb aga konkurentidest selle poolest, et sellel puudub standardne RJ45 seireport. Selle asemel kasutab see kuni 5 Gbit/s andmeid edastavat kiiret USB 3.0 porti, mis muide toimib ka toiteallikana. 5Gbps on piisav, et sujuvalt edastada kogu võrguliiklust, kusjuures kaks 1G-porti on mõlemal pool USB 3.0 ühendust.
See tähendab, et puhvrimälu ei pea ühtegi paketti vahele jätma ega neid piisavalt kaua hoidma, et mõjutada nende sünkroniseerimist. Nagu varem mainitud, ühendatakse ProfiShark 1G teie sülearvuti/arvuti USB-pordi kaudu, mis muudab selle plug & play-ks, võttes voolu arvuti USB-pordist. Koos sülearvutiga loob see tõeliselt kaasaskantava ja võimsa pakettide jäädvustamise ja analüüsi komplekti, mida saab kasutada kõikjal, sõltumata toiteallikast.
ProfiShark 1G suudab pakette jäädvustada ja edastada otse sülearvutisse täiskiirusel – 2 Gb/s tingimusel, et teie arvutis on SSD-plaat, nagu on soovitatud eelmistes punktides („pakettide jäädvustamiseks ja kirjutamiseks kiirusel 2 Gb/s on vaja 250 MB/s kettakirjutamiskiirust”). See funktsioon võimaldab nanosekundilise täpsusega ajatembeldamist. ProfiShark 1G-l on oma tarkvara ja graafiline kasutajaliides, ProfiShark Manager, mida saab kasutada paralleelselt teiste analüsaatoritega, näiteks WireShark või Omnipeek. Tarkvara ühildub Windows- ja Linux-platvormidega.
Üks ProfiShark Manageri eeliseid on see, et see võimaldab teil salvestada liiklust otse sülearvutis, 1 klõpsuga, ilma võrguanalüsaatorita. See on eriti kasulik olukordades, kus teil on vaja salvestada liiklust, kauges võrgusegmendis ja analüüsida seda muus arvutis kui teie sülearvutis, eksportides PCAP-faili. GUI-st leiate ka „Counters” sektsiooni, mis näitab mõlema võrgupordi, A ja B, sisemisi loendureid. See näitab õigete/vigade pakettide arvu, CRC-vigu, kokkupõrkeid ja erinevaid pakettide suurusi. See on kiire viis kontrollida mõlema pordi sissetuleva liikluse kvaliteeti, ilma et peaks avama võrguanalüsaatorit.
