Вве­дение

В нас­то­ящее вре­мя, ког­да труд­но предс­та­вить ра­боту офи­са без ло­каль­ной се­ти и ин­тернет, осо­бую важ­ность при­об­ре­та­ет бе­зопас­ность се­ти. Как по­казы­ва­ют исс­ле­дова­ния раз­личных ком­па­ний од­ни из ос­новных уг­роз для компьютер­ной инф­рас­трук­ту­ры предп­ри­ятия при­ходят из ло­каль­ная сеть или ин­тернет. Это и "тро­янс­кие прог­раммы", раз­лично­го ти­па ви­русы, раз­личные ти­пы атак, ко­торые мо­гут бло­киро­вать ра­боту в ин­тернет или в се­ти, тем са­мым при­ос­та­новим де­ятель­ность предп­ри­ятия. 

Су­щест­ву­ет це­лый ряд ме­тодов борь­бы с раз­личны­ми ви­дами уг­роз. Од­ним из та­ких ме­тодов яв­ля­ет­ся ис­поль­зо­вания ана­лиза се­тево­го тра­фика на ос­но­вании про­токо­лов NetF­low, IP­FIX и дру­гих, им по­доб­ных. В нас­то­ящей статье расс­мот­рим имен­но этот ме­тод вы­яв­ле­ния уг­роз.

Что та­кое NetF­low?

NetF­low – тех­но­логия, раз­ра­ботан­ная ком­па­ни­ей Cis­co Sys­tems, ко­торая в пол­ной ме­ре ре­али­зу­ет воз­можность сбо­ра ста­тис­ти­ки, по­лез­ной для ана­лиза се­тево­го тра­фика, а так­же ряд дру­гих воз­можнос­тей, та­ких как:

• Мо­нито­ринг се­тевых при­ложе­ний и поль­зо­вате­лей се­ти;
• Ана­лиз бе­зопас­ности;
• Ана­лиз се­ти и ее пла­ниро­вание;
• Вы­яв­ле­ние уг­роз и на­руше­ний в ра­боте се­ти;
• Уп­равле­ние тра­фиком;
• Учет и бил­линг.

Ар­хи­тек­ту­ра NetF­low

NetF­low име­ет три ос­новных ком­по­нен­та: 

• ис­точник NetF­low;
• кол­лектор;
• сис­те­ма об­ра­бот­ки и предс­тав­ле­ния дан­ных.

Ис­точни­ками дан­ных в фор­ма­те NetF­low (IP­FIX) обыч­но выс­ту­па­ют марш­ру­тиза­торы, ком­му­тато­ры, точ­ки дос­ту­па или дру­гие се­тевые уст­рой­ства, ко­торые под­держи­ва­ют этот про­токол. Так­же в ви­де ис­точни­ков мо­гут выс­ту­пать и компьюте­ры, ра­бота­ющие под раз­личны­ми опе­раци­он­ны­ми сис­те­мами, со спе­ци­аль­ной прог­раммой - прог­рамм­ным сен­со­ром. На всех ис­точни­ках NetF­low спе­ци­аль­ные прог­раммы прос­матри­ва­ют весь се­тевой тра­фик че­рез ука­зан­ные се­тевые ин­терфей­сы и фор­ми­ру­ют ин­форма­цию о этом тра­фике в оп­ре­делен­ном фор­ма­те (NetF­low, IP­FIX).

Эта ин­форма­ция пе­ри­оди­чес­ки пе­реда­ет­ся че­рез IP сеть на компьютер с ус­та­нов­ленной прог­раммой - кол­лекто­ром, ко­торая со­бира­ет по­лучен­ные дан­ные и по­меща­ет их, как пра­вило, в ба­зу дан­ных.

С этой ба­зой дан­ных уже ра­бота­ет сис­те­ма об­ра­бот­ки и пре­дос­тавле­ния дан­ных, ко­торая обыч­но пре­дос­тавля­ет раз­личные ви­ды от­че­тов о сос­то­янии се­ти в ре­аль­ном вре­мени ли­бо за пре­дыду­щие пе­ри­оды.

Об­щая схе­ма сис­те­мы для об­ра­бот­ки дан­ных в NetF­low фор­ма­те предс­тав­ле­на на ри­сун­ке 1.

Ри­сунок 1

Бо­лее под­робно о том, что та­кое NetF­low про­токол мож­но про­читать в со­от­ветс­тву­ющей статье. 

Для сбо­ра и ана­лиза ин­форма­ции в фор­ма­те NetF­low (IP­FIX) ком­па­ния "Софт Пи Ай" пред­ла­га­ет комп­лек­сное ре­шение - сис­те­му Flan­sys (под ОС Win­dows), ко­торая вклю­ча­ет в се­бя все не­об­хо­димые ком­по­нен­ты. Сис­те­ма Flan­sys поз­во­ля­ет со­бирать по­токи NetF­low вер­сий 5 и 9, ф так­же под­держи­ва­ет­ся стан­дарти­зиро­ван­ный спе­ци­аль­ной ко­мис­си­ей ин­тернет-раз­ра­боток (In­ternet En­gi­ne­ering Task For­ce, IETF) про­токол IP­FIX, соз­данный на ос­но­ве про­токо­ла NetF­low 9. Встро­ен­ная сис­те­ма опо­веще­ния о со­быти­ях мо­жет ис­поль­зо­вать­ся для вы­яв­ле­ния раз­личных уг­роз и на­руше­ний в се­ти в ре­жиме ре­аль­но­го вре­мени. Ес­ли есть пот­ребность по­лучать ин­форма­цию о се­тевом тра­фике, про­ходя­щем че­рез компьютер под Win­dows че­рез один или нес­коль­ко ин­терфей­сов, ре­комен­ду­ем ис­поль­зо­вать прог­рамму fSo­nar ком­па­нии "Софт Пи Ай".

Со­бытия в се­ти

На ос­но­ве ин­форма­ции о NetF­low по­токах, со­бира­емой со всех се­тевых уст­рой­ств, вклю­чая компьюте­ры, мож­но вы­яв­лять раз­личные со­бытия, и осу­щест­влять пол­ный конт­роль за сос­то­янием се­ти. 
Со­бытия, воз­никно­вение ко­торых ча­ще все­го ин­те­ресу­ет ад­ми­нист­ра­торов, мож­но ус­ловно раз­де­лить на три груп­пы:

• Со­бытия, свя­зан­ные с ра­ботой се­тевых уст­рой­ств (нап­ри­мер, вы­ход из строя, пе­рег­рузка ин­терфей­са и т.п.); 
• Со­бытия, свя­зан­ные с не­жела­тель­ной ак­тивностью поль­зо­вате­лей (ска­чива­ние фай­лов боль­шо­го объема, та­ких как филь­мы, аудио и т.п.; пре­выше­ние ли­митов по тра­фику и т.д.);
• Со­бытия, свя­зан­ные с бе­зопас­ностью се­ти (се­тевые ата­ки, се­тевые ви­русы).

Сис­те­ма Flan­sys поз­во­ля­ет оп­ре­делять и ре­аги­ровать на со­бытия всех трёх групп. Для это­го ис­поль­зу­ет­ся мо­дуль Flan­sys Alarm, ко­торый функ­ци­они­ру­ет в ви­де служ­бы опе­раци­он­ной сис­те­мы Win­dows и мо­жет быть наст­ро­ен на ши­рокий спектр се­тевых со­бытий. 
Ни­же бу­дут расс­мот­ре­ны ва­ри­ан­ты наст­рой­ки Flan­sys для вы­яв­ле­ния ука­зан­ных вы­ше се­тевых со­бытий. 

Вы­ход из строя се­тево­го уст­рой­ства

Со­бытия, ко­торые мо­гут при­вес­ти к вы­ходу из строя се­тево­го уст­рой­ства мо­гут быть со­вер­шенно раз­личные, но во всех слу­ча­ях вы­явить это со­бытие мож­но по от­сутс­твию NetF­low по­тока от это­го уст­рой­ства.

В наст­рой­ке пра­вила Flan­sys Alarm не­об­хо­димо вы­пол­нить сле­ду­ющие дей­ствия:

• до­бавить филь­тр по уст­рой­ствам со зна­чени­ем IP ад­ре­са нуж­но­го уст­рой­ства;
• выб­рать де­тек­тор ти­па “Тра­фик”, и в его наст­рой­ках ука­зать ус­ло­вие сра­баты­вания при от­сутс­твии тра­фика на про­тяже­нии за­дан­но­го ин­терва­ла вре­мени (ри­сунок 2).

Ри­сунок 2

Конт­роль не­жела­тель­ной ак­тивнос­ти поль­зо­вате­лей

Для поль­зо­вате­лей се­ти каж­дое предп­ри­ятие мо­жет быть ус­та­новить зап­рет на ис­поль­зо­вание оп­ре­делен­но­го ти­па при­ложе­ний, нап­ри­мер, кли­ен­тов icq, при­ложе­ний для ска­чива­ния с tor­rent тре­керов и т.д. Сле­ду­ет так­же об­ра­щать вни­мание ис­поль­зо­вание поль­зо­вате­лями спе­цифи­чес­ко­го прог­рамм­но­го обес­пе­чения для ад­ми­нист­ри­рова­ния се­ти. 
Каж­дое при­ложе­ние в сис­те­ме ис­поль­зу­ет оп­ре­делён­ный порт для пе­реда­чи/по­луче­ния дан­ных. По дан­но­му пор­ту и ис­поль­зу­емо­му при­ложе­ни­ем про­токо­лу (TCP/UDP), мож­но вы­явить его ак­тивность. Для об­на­руже­ния ак­тивнос­ти та­ких при­ложе­ний в сис­те­ме опо­веще­ния Flan­sys пре­дус­мотрен спе­ци­аль­ный тип де­тек­то­ра - “При­ложе­ния”.
В наст­рой­ках Flan­sys Alarm до­бав­ля­ем но­вое пра­вило с де­тек­то­ром ти­па “При­ложе­ния”.
В наст­рой­ках де­тек­то­ра за­да­ём спи­сок зап­ре­щён­ных при­ложе­ний (ри­сунок 3).

Ри­сунок 3

Об­ра­щение к сег­ментам се­ти, к ко­торым дос­туп зап­ре­щён

Об­ра­щение поль­зо­вате­лей к уз­лам, дос­туп к ко­торым им зап­ре­щён, мож­но отс­ле­дить, ис­поль­зуя филь­тра­цию IP ад­ре­сов.

• Для пра­вила мож­но ис­поль­зо­вать де­тек­то­ры “Тра­фик” или “Па­кеты”.
• В филь­тр по IP ад­ре­сам на­до ввес­ти нуж­ные ди­апа­зоны ад­ре­сов ин­те­ресу­ющих се­тей.
• В наст­рой­ках де­тек­то­ра ука­зать ус­ло­вие сра­баты­вания при пре­выше­нии зна­чения лю­бого счёт­чи­ка - зна­чения 0.
  При­мер наст­рой­ки пра­вила для слу­чая об­ра­щения поль­зо­вате­ля с IP ад­ре­сом 10.10.1.1 в сеть 20.20.1.0/24 по­каза­на на ри­сун­ке 4.

Ри­сунок 4

Конт­роль рас­хо­дов тра­фика

В не­кото­рых слу­ча­ях важ­но конт­ро­лиро­вать объём пе­редан­но­го/по­лучен­но­го тра­фика. Это мо­жет быть свя­зан­но с ог­ра­ниче­ни­ями в та­риф­ном па­кете по объёму тра­фика. Так­же это мо­жет пот­ре­бовать­ся для вы­яв­ле­ния про­цес­са ска­чива­ния объём­ных фай­лов, что при­водит к заг­рузке ка­нала (нап­ри­мер, муль­ти­медий­ный кон­тент: ви­део, му­зыка). Расс­мот­рим при­мер наст­рой­ки пра­вила для конт­ро­ля сум­марно­го объёма тра­фика для от­дель­но­го IP ад­ре­са.

• До­бав­ля­ем но­вое пра­вило с де­тек­то­ром ти­па “Тра­фик”.
• В наст­рой­ках де­тек­то­ра за­да­ем по­рого­вое зна­чение пе­редан­но­го/по­лучен­но­го тра­фика и при не­об­хо­димос­ти ин­тервал вре­мени в те­чении ко­торо­го не долж­но быть пре­выше­ния ли­мита (Ри­сунок 5).

Ри­сунок 5

Вы­яв­ле­ние ска­ниро­вания пор­тов

Сис­те­ма опо­веще­ния из сос­та­ва Flan­sys, поз­во­ля­ет вы­яв­лять та­кие расп­рос­тра­нён­ные ви­ды ска­ниро­вания как: ICMP, SYN, TCP, UDP, ACK, FIN и дру­гие. Для вы­яв­ле­ния ска­ниро­вания, в сис­те­ме опо­веще­ния пре­дус­мотрен спе­ци­аль­ный де­тек­тор – “Ска­ниро­вание пор­тов”, ко­торый с наст­рой­ка­ми по умол­ча­нию прек­расно справ­ля­ет­ся с пос­тавлен­ной за­дачей. В слу­чае на­доб­ности, поль­зо­ватель мо­жет са­мос­то­ятель­но подс­тро­ить де­тек­тор (Ри­сунок 6).

Ри­сунок 6

Опо­веще­ние

Од­ним из важ­ных мо­мен­тов при мо­нито­рин­ге се­тево­го тра­фика, яв­ля­ет­ся сво­ев­ре­мен­ное ре­аги­рова­ние на воз­ни­ка­ющие со­бытия. Для это­го мо­дуль Flan­sys Alarm мо­жет:

• отп­рав­лять ад­ми­нист­ра­тору уве­дом­ле­ния по элект­рон­ной поч­те,
• за­писы­вать ин­форма­цию о со­бытии в сис­темный жур­нал, а так­же наст­ра­иваемый текс­то­вый файл,
• вы­пол­нять поль­зо­ватель­ский сце­нарий.

В сце­нарии мож­но ука­зать вы­пол­не­ние ка­ких-угод­но до­пус­ти­мых в сис­те­ме дей­ствий, нап­ри­мер, отк­лю­чение поль­зо­вате­ля, бло­киро­вание IP ад­ре­са, пе­резаг­рузка уст­рой­ства и т.д. 

Сис­те­ма Flan­sys име­ет мощ­ную под­систе­му, поз­во­ля­ющую от­филь­тро­вать лю­бые име­ющиеся дан­ные, по­лучить це­лую груп­пу от­че­тов, на ос­но­вании ко­торых пла­ниро­вать даль­ней­шее раз­ви­тие се­ти и ее бе­зопас­ность.