Potęga flow

Do gromadzenia informacji rozwiązania NBA wykorzystują kilka mechanizmów. Podstawowym narzędziem ich pracy są tzw. flows, czyli pakiety i powiązane z nimi kontekstowo informacje, które dostarczają danych o ruchu sieciowym. Można je porównać z metadanymi w systemie plików. Musimy jednak dysponować urządzeniami, które obsługują protokoły stosowane do przesyłania danych flow. Na szczęście jest to cecha większości z korporacyjnych przełączników czy routerów. Nawet niewielkie przełączniki, np. Linksys, dzięki dobrodziejstwu pakietu DD-WRT, jesteśmy w stanie przekształcić w eksportery flowów.

Z pakietów flow można czerpać wiele interesujących danych. W zależności od implementacji protokołu i jego wersji otrzymujemy m.in. adresy IP źródła i miejsca docelowego połączenia, porty, ilość przesłanych danych, czas trwania sesji czy dodatkowe flagi podniesione w protokole. Możemy więc precyzyjnie określić trasę połączenia w zasadzie end-to-end, włącznie z nazwą interfejsu na switchu. Jedyne, czego nie znajdziemy we flowach, to payload pakietu. Na rynku funkcjonuje obecnie kilka przyjętych standardów, w których są one przesyłane. Najpopularniejszym jest NetFlow, ale są też sFlow, cFlow, IPFIX, jFlow czy nieco bardziej egzotyczny Packeteer FDR (patrz tabela poniżej).

Flowy gromadzone są za pomocą sensorów sieciowych, które mogą zostać wpięte do infrastruktury za pośrednictwem portu SPAN bądź przy użyciu TAP. Urządzenia sieciowe mogą też eksportować rekordy flow do takiego kolektora. Sensory w typowych scenariuszach wpina się do urządzeń rdzeniowych. To pozwala zaoszczędzić znaczne sumy pieniędzy (o kosztach na końcu artykułu). Warto przy okazji wspomnieć, że podczas wdrażania rozwiązania NBA należy wziąć pod uwagę ograniczenia posiadanych przez nas routerów czy przełączników - zwłaszcza jeżeli przesyłamy już flowy do innych narzędzi, np. do diagnostyki sieci. Dla przykładu, tylko niektóre przełączniki Cisco pozwalają na eksport flowów do więcej niż jednego odbiorcy. Po wpięciu do sieci NBA rozpoczynają pracę od etapu profilowania tego, co aktualnie dzieje się w środowisku. W pierwszych rozwiązaniach tego typu to do administratora należało wprowadzenie najważniejszych informacji. Trzeba było więc określić dokładnie, jakie aplikacje znajdują się w odpowiednich segmentach sieci, "z kim" i w jaki sposób się komunikują. Obecnie to zadanie zostało w znacznej mierze zautomatyzowane. Rozpoczęcie pracy z większością nowoczesnych rozwiązań, takich jak Cascade (Riverbed, dawniej Mazu Networks), Stealthwatch (Lancope) czy Peakflow (Arbor) - nie wymaga od administratora większych nakładów pracy. Wpięcie urządzeń do sieci i wstępna konfiguracja nie zajmuje więcej niż 2 godziny. Potem należy dać rozwiązaniu czas, aby zebrało odpowiednią ilość danych - z reguły wystarczy tydzień, maksimum 10 dni. Ucząc się tego, co dzieje się w sieci, NBA tworzy tzw. baseline, czyli profil tego, co jest normalne. Oczywiście żaden system nie jest nieomylny, więc i tak należy później wprowadzić pewne korekty, chociażby po to, żeby wyeliminować wskazania fałszywie dodatnie (false positive) lub fałszywie ujemne (false negative). Istnieje też pewne ryzyko, że jeżeli w sieci zachodzą już pewne patologie (np. nastąpiła kompromitacja jednego z serwerów), to będą one sprofilowane jako coś normalnego. Stąd szczególną wagę należy przywiązywać do rzetelnej analizy pierwszego baseline‘u i korygować działania automatu.

Gromadzenie danych połączone jest z procesem deduplikacji - usuwane są dane nieistotne, przez co dyski urządzeń nie zapychają się za szybko. Potem, podobnie jak w systemach SIEM, dokonywana jest korelacja informacji i wyciągane na tej podstawie wnioski. Wreszcie mając obraz sytuacji, rozwiązanie może podjąć określone działania. Możliwe jest np. zablokowanie określonego ruchu poprzez wygenerowanie odpowiedniej zmiany w liście ACL, czy wysłanie polecenia do IPS-a. Takie kroki mogą być wykonywane albo w sposób w pełni zautomatyzowany, albo wymagać akceptacji administratora. Jeżeli takie brutalne bądź co bądź posunięcia nie są akceptowane, NBA może zwyczajnie wysłać powiadomienie do administratora.