Sieć pod lupą

W dobie zaawansowanych ataków korzystających z profilowanego złośliwego oprogramowania specjaliści do spraw bezpieczeństwa będą mieli coraz trudniejsze zadanie. Powszechnie stosuje się rejestrowanie ruchu za pomocą narzędzi, takich jak NetWitness firmy RSA lub podobnych dostarczanych przez Cisco czy HP. W ten sposób można wykryć istnienie prymitywnych, choć popularnych botnetów, w których komunikacja z serwerami kontroli odbywa się periodycznie. W ten sposób nie da się jednak wykryć nowoczesnych koni trojańskich, które ukrywają się w ruchu generowanym przez użytkownika. Do analizy tak wysublimowanych wirusów należy użyć innych środków, z rejestracją całego ruchu i aktywności stacji roboczej włącznie.

Dobre wskazówki związane z niepożądanym ruchem przynosi poszukiwanie pakietów, których nie mogła wysłać biznesowa aplikacja. Łukasz Bromirski wyjaśnia: "W sieciach stosuje się sinkholing, czyli technologię ściągania ruchu do analizy. Pobranie ruchu, kierowanego do nieprzypisanych adresów IP w firmie umożliwia wykrycie niektórych koni trojańskich, a także oprogramowania diagnostycznego, które zachowuje się nie tak, jak powinno".

Pakiety pobrane za pomocą sinkholingu, urządzeń takich jak tap lub duplikacji ruchu w przełącznikach sieciowych należy skierować do oprogramowania analizującego. Może być nim sonda IDS, specjalizowany analizator lub dedykowane oprogramowanie do rejestracji i korelacji zdarzeń. Nie jest to jednak tak latwe, jak się wydaje.

"Epoka prostej rejestracji ruchu to już przeszłość, gdyż w środowisku VDI stacja robocza jest w chmurze, dostęp jest możliwy z każdego urządzenia, a adresy IP mogą się przy tym zmieniać, zatem niezbędna będzie automatyzacja czynności monitoringu sieci" - wyjaśnia Łukasz Bromirski.

Skomplikowana pajęczyna

Aby administrator wykorzystał w pełni informacje pochodzące z monitoringu ruchu, musi mieć możliwość całościowego spojrzenia nie tylko na sam ruch w sieci, ale także na urządzenia i aplikacje, które dany ruch generują. Do tego celu wykorzystuje się specjalizowane oprogramowanie, które raportuje pracę całej sieci.

Łukasz Bromirski mówi: "Na rynku są dostępne programy różnych firm, które organizują informacje z wielu źródeł i przedstawiają analizę obciążenia sieci traktowanej holistycznie, jako jeden organizm. Dzięki temu można analizować potrzebę podwyższenia przepustowości w newralgicznych miejscach i ustalić sposoby optymalizacji ruchu. Rozliczenie jest możliwe per aplikacja, port czy sesja, przy czym można rozpoznać także segment, z którego ruch pochodzi, co ma szczególne znaczenie w środowiskach wirtualizowanych".

Narzędzia takich firm, jak: Javvin, Infoblox, Otnet, Cariden, IPoQue czy Wildpackets umożliwiają nie tylko statystyczną analizę, ale także rozpoznanie pracy poszczególnych aplikacji. Przykładem są próbniki aplikacji: Cisco IP SLA, NetworkInstruments czy Netscout. Dzięki takim narzędziom administrator może przygotować odpowiedź na problem wydajnościowy, na przykład przez optymalizację ruchu na potrzeby krytycznych aplikacji, podwyższenie przepustowości, a nawet przesunięcie czasu pracy niektórych aplikacji wsadowych lub zadań konserwacyjnych.

Liczniki i statystyki to podstawowe źródło danych

Podstawowe informacje dotyczące ruchu mają charakter ilościowy - aby je uzyskać, niezbędne jest źródło, które sparametryzuje ruch, dostarczając wiarygodnych danych, choćby tak prostych jak liczba pakietów przesłana przez interfejs sieciowy routera lub przełącznika.

Łukasz Bromirski, dyrektor techniczny Cisco Poland, mówi: "Podstawowym źródłem informacji o statystyce ruchu są różnorakie liczniki, udostępniane przez wiele urządzeń sieciowych. Są to liczniki wysłanych i odrzuconych pakietów, informacje o ruchu przeciążającym, różne inne statystyki ruchu na interfejsie. W ten sposób można sprawdzać, co się dzieje w sieci - jak ona działa, jak jest zajęta, jaki jest wolumen ruchu i w jaki sposób powstaje na każdym z interfejsów. Praktycznie wszystkie nowoczesne routery i przełączniki najważniejszych firm oferują taką funkcjonalność".

W ten sposób można monitorować ruch od strony ilościowej, wykrywając zjawiska takie, jak przeciążenie łączy lub podejrzanie duże obciążenie segmentów, w których nie planowano pracy aplikacji o podobnym obciążeniu. Informacje pozyskane z liczników, chociaż proste i niskopoziomowe, są dobrą wskazówką przy poszukiwaniu awarii sprzętowych, problemów z działaniem aplikacji lub przy rozliczaniu dostępu. Mogą też służyć do wykrywania nadużyć, takich jak wykorzystanie nieprzydzielonych portów.


TOP 200