Wykrywanie anomalii w sieci
- Patryk Królikowski,
- 12.10.2009
Potęga flow
Do gromadzenia informacji rozwiązania NBA wykorzystują kilka mechanizmów. Podstawowym narzędziem ich pracy są tzw. flows, czyli pakiety i powiązane z nimi kontekstowo informacje, które dostarczają danych o ruchu sieciowym. Można je porównać z metadanymi w systemie plików. Musimy jednak dysponować urządzeniami, które obsługują protokoły stosowane do przesyłania danych flow. Na szczęście jest to cecha większości z korporacyjnych przełączników czy routerów. Nawet niewielkie przełączniki, np. Linksys, dzięki dobrodziejstwu pakietu DD-WRT, jesteśmy w stanie przekształcić w eksportery flowów.
Flowy gromadzone są za pomocą sensorów sieciowych, które mogą zostać wpięte do infrastruktury za pośrednictwem portu SPAN bądź przy użyciu TAP. Urządzenia sieciowe mogą też eksportować rekordy flow do takiego kolektora. Sensory w typowych scenariuszach wpina się do urządzeń rdzeniowych. To pozwala zaoszczędzić znaczne sumy pieniędzy (o kosztach na końcu artykułu). Warto przy okazji wspomnieć, że podczas wdrażania rozwiązania NBA należy wziąć pod uwagę ograniczenia posiadanych przez nas routerów czy przełączników - zwłaszcza jeżeli przesyłamy już flowy do innych narzędzi, np. do diagnostyki sieci. Dla przykładu, tylko niektóre przełączniki Cisco pozwalają na eksport flowów do więcej niż jednego odbiorcy. Po wpięciu do sieci NBA rozpoczynają pracę od etapu profilowania tego, co aktualnie dzieje się w środowisku. W pierwszych rozwiązaniach tego typu to do administratora należało wprowadzenie najważniejszych informacji. Trzeba było więc określić dokładnie, jakie aplikacje znajdują się w odpowiednich segmentach sieci, "z kim" i w jaki sposób się komunikują. Obecnie to zadanie zostało w znacznej mierze zautomatyzowane. Rozpoczęcie pracy z większością nowoczesnych rozwiązań, takich jak Cascade (Riverbed, dawniej Mazu Networks), Stealthwatch (Lancope) czy Peakflow (Arbor) - nie wymaga od administratora większych nakładów pracy. Wpięcie urządzeń do sieci i wstępna konfiguracja nie zajmuje więcej niż 2 godziny. Potem należy dać rozwiązaniu czas, aby zebrało odpowiednią ilość danych - z reguły wystarczy tydzień, maksimum 10 dni. Ucząc się tego, co dzieje się w sieci, NBA tworzy tzw. baseline, czyli profil tego, co jest normalne. Oczywiście żaden system nie jest nieomylny, więc i tak należy później wprowadzić pewne korekty, chociażby po to, żeby wyeliminować wskazania fałszywie dodatnie (false positive) lub fałszywie ujemne (false negative). Istnieje też pewne ryzyko, że jeżeli w sieci zachodzą już pewne patologie (np. nastąpiła kompromitacja jednego z serwerów), to będą one sprofilowane jako coś normalnego. Stąd szczególną wagę należy przywiązywać do rzetelnej analizy pierwszego baseline‘u i korygować działania automatu.