Реализуя защиту от кибератак, ИТ-службы всегда были ориентированы на обеспечение безопасности сетевого периметра. При перемещении данных в направлении защищенных ресурсов этот метод вполне эффективен. Однако выявленные недавно бреши показали, что одной только безопасности периметра недостаточно для отражения таргетированных атак (Advandced Persistent Threat, APT). По мере роста популярности концепции Bring Your Own Device (BYOD), облачных технологий и Интернета вещей данные размещаются уже не только на ключевых серверах, а доступ к сети не обязательно ограничивается.

Для защиты сети от угроз ИТ-службам требуются интеллектуальные решения, которые носят всеобъемлющий характер, основаны на анализе поведения и дополняют существующие зонные средства обеспечения безопасности. Одно из таких решений заключается в использовании сетевой инфраструктуры в качестве датчика. Это делается путем активации сбора потоков IP-трафика и развертывания систем выявления аномалий на основе анализа поведения сети (мониторинга сетевого трафика), что позволяет обнаружить подозрительный трафик, нарушение политик и компрометацию конечных устройств.

АНАЛИЗ ПОВЕДЕНИЯ СЕТИ

Новые облачные архитектуры и мобильные технологии меняют представление о характере и способах подключения тех или иных устройств к сети. Все это существенно усложняет использование средств сетевой безопасности. Решения первого поколения не обеспечивают адекватного контроля, так как не учитывают динамический характер сетевых топологий. Рост уровня сложности и адаптация атак к предпринятым мерам защиты вынуждают организации устанавливать строгие правила безопасности, чтобы получать уведомления о любых потенциальных нарушениях еще до их возникновения. Средства анализа поведения сети (Network Behavior Analysis, NBA) или мониторинг сетевого трафика становятся необходимыми составляющими любой сети и вместе с системами обнаружения аномалий гарантируют полную сетевую безопасность.

Выстраивая стратегию безопасности, специалисты рекомендуют ИТ-службам наряду со средствами защиты периметра (межсетевыми экранами и системами предотвращения вторжения) развернуть в своих сетях и решения NBA. Системы анализа поведения зачастую могут обнаружить угрозы (вредоносные программы, вирусы и ботнеты), ускользающие от внимания других средств. Они укрепляют безопасность сети за счет мониторинга трафика и отделения необычных действий, событий и тенденций от нормальных операций в сетевом трафике.

Существуют различные механизмы сбора информации о сетевом трафике. Большинство необходимых компонентов уже присутствуют в инфраструктуре современной сети. Для обнаружения и отражения сетевой атаки организации могут использовать одну или несколько технологий для мониторинга приложений и/или мониторинга данных сетевых потоков, собранных в сети:

Захват сетевых пакетов. Захват сетевых пакетов всех потоков выполняется путем развертывания сетевых анализаторов или отводов с последующей переадресацией захваченного трафика анализатору безопасности. Хотя этот метод обеспечивает полную видимость всех сетевых потоков, он довольно дорог, сложен в управлении и приводит к слишком долгому хранению транзакций. Значительные расходы обусловлены высокой стоимостью сетевых отводов трафика, программного обеспечения захвата пакетов и анализатора безопасности, проверяющего все пакеты с целью выявления и нейтрализации сетевых атак.

Выборочный экспорт потоков (захват пакетов). Выборочный захват пакетов, поступающих от сетевых устройств, осуществляется путем отправки выборки пакетов выделенному анализатору безо-пасности или коллектору. Это решение может быть полезно для планирования пропускной способности и наблюдения за трафиком и приложениями, но для борьбы с угрозами в реальном времени его возможностей недостаточно. Если сетевые транзакции анализируются выборочно, большинство транзакций в реальном времени остаются незамеченными.

Полный экспорт потоков. Мониторинг IP-потоков (NetFlow) в сочетании с использованием коллекторов NetFlow, ориентированных на безопасность (например, StealthWatch), способствует быстрому выявлению необычного и аномального поведения. Полная реализация NetFlow позволяет фиксировать всю сетевую активность на интерфейсе, через который проходит IP-поток, и полезна для корреляции событий и анализа данных. Ключевым моментом является сбор данных о всем потоке, что помогает уменьшить число ложных срабатываний (по сравнению с решениями выборочного захвата пакетов). Кроме того, благодаря возможности просматривать весь поток удается обнаруживать случаи медленного сканирования сети и атомарных атак, не распознаваемых традиционными решениями безопасности.

Внедрение отводов трафика может оказаться дорогостоящим решением, которое плохо масштабируется в крупных корпоративных сетях. Идеальным вариантом считается NBA на основе Flexible NetFlow, поскольку он обеспечивает глубокий и широкий охват при анализе неизвестных устройств, необычных шаблонов трафика и неожиданного поведения. Будучи богатым источником информации для любого сетевого взаимодействия, Flexible NetFlow позволяет отслеживать каждый сетевой диалог в течение длительного времени. Включение поддержки NetFlow на сетевых устройствах уровня доступа активизирует сеть в качестве датчика и предоставляет ориентированному на безопасность коллектору NetFlow сведения о всей сетевой активности для выявления аномального поведения и его блокирования.

Сегодня в сетевых устройствах используются преимущественно две технологии экспорта потоков: sFlow и NetFlow. Изначально они разрабатывались для мониторинга и устранения неисправностей внутри сети. Рассмотрим каждую из них.

ОБЗОР NETFLOW

NetFlow — это сетевой протокол, разработанный компанией Cisco для сбора и мониторинга данных о потоках сетевого трафика, генерируемых маршрутизаторами и коммутаторами с поддержкой NetFlow. Он создавался как технология пакетной коммутации для машрутизаторов Cisco. Положенная в основу NetFlow идея (рис. 1) заключается в том, что первый пакет потока генерирует на коммутаторе или маршрутизаторе запись коммутации NetFlow. В дальнейшем эта запись используется при обработке пакетов из того же потока вплоть до его окончания. Поиск конкретного маршрута в таблице маршрутизации требуется только для первого пакета потока.

Безопасность сети и Netflow
Рис. 1. Обзор NetFlow

Представленная на рисунке информация о потоке может быть экспортирована. Сегодня она используется для анализа производительности сети и поведения, проводимого в целях безопасности. Потоки не содержат реальных данных пакета, в них присутствуют только метаданные о соединении. Это стандартная форма данных сеанса, в которых подробно расписано все, что касается сетевого трафика: кто, что, когда и где (рис. 2). Они аналогичны записям звонков в телефонном биллинге, но выполняются в реальном времени. Каждая сетевая транзакция обычно разбивается на два потока — по одному в каждом направлении.

Безопасность сети и Netflow
Рис. 2. Одна запись NetFlow содержит значительный объем информации

Операции NetFlow. При прохождении IP-трафика через интерфейс коммутатора или маршрутизатора он захватывает информацию о потоке и сохраняет ее в своем кеше. Эта информация называется NetFlow, а данные из буфера периодически экспортируются в зависимости от тайм-аутов активности и неактивности. NetFlow собирает информацию о потоках для всех диалогов IP-трафика, которые передаются через интерфейс, и сообщает обо всем этом трафике. Информация или запись NetFlow может быть экспортирована в коллектор NetFlow в различных форматах, которые называются экспортными версиями. Наиболее популярными и широко используемыми являются экспортные версии NetFlow 5 и 9. Из них чаще всего используется экспортная версия 5, хотя версия 9 имеет более поздний формат и обладает рядом преимуществ для ключевых технологий безопасности, анализа трафика и многоадресной рассылки.

Процесс формирования отчетов о данных NetFlow включает захват потоков IP, агрегирование потоков на коммутаторе или маршрутизаторе и экспорт их в коллектор NetFlow. Процесс состоит из следующих этапов:

  • конфигурация NetFlow настраивается для захвата потоков и помещения их в кеш NetFlow;
  • экспорт NetFlow настраивается для отправки потоков коллектору;
  • в кеше NetFlow ведется поиск устаревших (с помощью активных таймеров, неактивных таймеров и ограничений на кеш) и завершенных (путем анализа флагов сброса TCP [TCP RST] и завершения [FIN]) потоков, которые экспортируются на сервер коллектора NetFlow;
  • приблизительно 20–25 потоков объединяются в пакет и транспортируются на сервер коллектора NetFlow в формате User Datagram Protocol (UDP);
  • программное обеспечение коллектора NetFlow создает из полученных данных отчеты в реальном времени или исторические отчеты.

Работа агента, коллектора и анализатора NetFlow показана на рис. 3.

Безопасность сети и Netflow
Рис. 3. Агент, коллектор и анализатор NetFlow

Эволюция NetFlow на пути к IPFIX. Протокол NetFlow развивался на протяжении многих лет, что нашло отражение в нескольких его версиях. В табл. 1 приводится информация о трех используемых в настоящее время. Самая последняя — NetFlow 9. Она базируется на шаблонах с расширяемым форматом записи. Эта функция позволяет в дальнейшем вносить изменения в сервисы NetFlow без одновременной корректировки основного формата записи потока. Это означает, что ее можно расширять, добавляя поддержку новых протоколов за счет модификации существующего шаблона.

Безопасность сети и Netflow
Таблица 1. Версии NetFlow

Версия NetFlow v5 ограничивается потоками IPv4. Выбор полей, которые можно экспортировать с использованием этой версии, тоже ограничен.

NetFlow v9 имеет ряд преимуществ перед предшествующими форматами. Шаблон v9 позволяет определять, что помещается в запись. Уменьшив детализацию, можно поместить в дейтаграмму больше потоков.

IPFIX — это стандарт на основе NetFlow, рассматривающий поток как любое число пакетов, наблюдаемых в определенном интервале времени и имеющих ряд общих свойств (например, один и тот же отправитель, один и тот же протокол). IPFIX позволяет отправляющему устройству включать в сообщения предопределенные типы данных, которые пользователь может задать при помощи специальных шаблонов. Кроме того, он предусматривает принудительную доставку: каждый отправитель периодически посылает настроенным принимающим устройствам сообщения IPFIX без какого-либо запроса со стороны получателя. В качестве протокола транспортного уровня предпочтительно использовать Stream Control Transmission Protocol (SCTP), но возможны также Transmission Control Protocol (TCP) и User Datagram Protocol (UDP).

Flexible NetFlow и IPFIX. Flexible NetFlow (FnF) — технология мониторинга IP-потоков следующего поколения, разработанная компанией Cisco. Здесь вводятся две новые концепции мониторинга потоков. Во-первых, допускается использование шаблонов, а во-вторых, пользователь имеет возможность «заглянуть» в пакеты достаточно глубоко и выбрать для мониторинга интересующие его поля. Как правило, NetFlow отслеживает в IP-потоке следующие поля: IP-адреса, порты, протоколы, флаги TCP. Flexible NetFlow позволяет выбирать из заголовка IP почти все поля, все типы флагов TCP и другую информацию, в том числе теги VLAN и адреса URL.

Анализируя эту информацию, большинство систем безопасности ищут аномалии или изменения в сетевом поведении для выявления инцидентов. Flexible NetFlow позволяет отслеживать широкий спектр IP-информации, включая все поля заголовка IPv4 или заголовка IPv6, а также индивидуальные флаги TCP. Экспортировать можно даже разделы пакета, а в отслеживаемую информацию включать как ключевые поля (используемые для создания потока), так и не ключевые (собираемые с потоком). При необходимости, в дополнение к кешу NetFlow для обнаружения уязвимостей в системе безопаснос-ти (выявления аномалий), пользователь может создать другой, чтобы сфокусироваться на конкретной проблеме.

Вслед за NetFlow v9 появились версии IPFIX RF 5101 и RFC 5102. Обе унаследовали функционал от Netflow v9 RFC. В IRFIX перечислены идентификаторы Information Element, которые определены в разделе 5 RFC и совместимы с типами полей NetFlow v9. ИТ-администраторы могут конфигурировать Netflow v9 на устройствах Cisco и осуществлять экспорт в формат IPFIX для соответствия стандарту. Основные преимущества экспорта в IPFIX заключаются в следующем:

  • возможность задать идентификатор поставщика, в который последний может включить проприетарную информацию;
  • поддержка поля переменной длины, что полезно для экспорта URL.

Преимущества Flexible NetFlow (v9) в сочетании с IPFIX по сравнению с традиционным NetFlow:

  • гибкость, масштабируемость и агрегирование данных потока сверх возможностей традиционного NetFlow;
  • возможность мониторинга широкого спектра информации об IP-пакетах, начиная от уровня 2 и заканчивая уровнем 7;
  • расширенное обнаружение сетевых аномалий и нарушений безопасности;
  • конфигурируемая пользователем информация о потоке, позволяющая настраивать идентификацию трафика; возможность выделить и отслеживать специфичное поведение сети;
  • объединение нескольких технологий учета в рамках одного механизма.

NetFlow находит широкое применение в сетевой отрасли для решения различных задач, начиная от планирования пропускной способности сети и заканчивая сетевой аналитикой и экспертизой безопасности.

ОБЗОР SFLOW

Стандарт sFlow, называемый также выборкой потоков, поддерживается на разных платформах. Он представляет собой средство для экспорта усеченных пакетов, а также счетчиков интерфейса. Последовательное развитие sFlow сделало возможным получение им статуса отраслевого стандарта для экспорта пакетов на уровне 2. Текущей версией sFlow является версия 5.

sFlow — это технология выборочного захвата пакетов. Из всего трафика через интерфейс выбирается 1 из n пакетов (где n — частота выборки), первые x байт (128 байт для sFlow v5) захваченного пакета копируются и экспортируются в пакеты UDP, называемые дейтаграммами sFlow. Первые x байт — это данные заголовка, необходимые для восстановления информации о трафике. Однако, поскольку sFlow ориентирован на пакеты, некоторые IP-потоки могут пропускаться. Когда пакеты захватываются для анализа, они не всегда представляют все IP-потоки (диалоги), проходящие через интерфейс. В результате IP-потоки, пакеты которых не собраны, не учитываются, что создает пробелы в картине диалогов в сети.

На рис. 4 показан типичный пакет sFlow.

Безопасность сети и Netflow
Рис. 4. Пакет sFlow

 В табл. 2 отражена частота выборки sFlow.

Безопасность сети и Netflow
Таблица 2. Частота выборки sFlow

Операции sFlow. Система sFlow состоит из нескольких устройств, реализующих выборки двух типов: случайную выборку пакетов и выборку счетчиков на основе времени. Выборочная информация о пакетах/операциях и счетчиках, называемая соответственно образцами потоков и образцами счетчиков, пересылается в виде дейтаграммы sFlow на центральный сервер с необходимым програм-мным обеспечением, где проводится ее анализ и формируются отчеты о сетевом трафике. Такой сервер называется коллектором sFlow.

sFlow произвольно отбирает сетевые пакеты и передает эти образцы внешнему коллектору sFlow, который функционирует как станция мониторинга фактического использования различных приложений и статистического анализа характера использования сети. Для решения этих задач методы равномерно распределенной выборки, такие как sFlow, считаются достаточно точными и надежными даже при использовании сервисов с высокой пропускной способностью.

Кадры sFlow, передаваемые от поддерживающих sFlow элементов сети коллектору sFlow, представляют собой пакеты UDP, пересылаемые на конкретный хост и порт UDP (по умолчанию порт 6343). Недостаточная надежность транспортного механизма UDP мало влияет на точность измерений, полученных от агента sFlow. Каждая дейтаграмма sFlow предоставляет информацию о версии sFlow, IP-адресе отправителя, порядковом номере, количестве включенных образцов, а также один или несколько кадров и образцы счетчиков.

Подобно sFlow, NetFlow собирает кадры трафика и экспортирует сводку статистики об анализируемом потоке, используя стандартную запись NetFlow, которая представляет собой набор кадров UDP (направляемый обычно на порт 2055). Система NetFlow состоит из клиента NetFlow (или экспортера) и коллектора NetFlow, который является сервером, собирающим и анализирующим трафик (как правило, в качестве анализатора выступает отдельный сервер).

В отличие от NetFlow, реализуемого чаще всего на аппаратном уровне, sFlow использует для достижения требуемой масштабируемости выборку, чтобы снизить нагрузку на процессор и подсистему памяти устройств, экспортирующих выбранный пакет. Этот отличный инструмент для устранения неисправностей и планирования пропускной способности не является надежным средством обеспечения безопасности, поскольку пересылает только часть выбранного пакета. Кроме того, он не дает целостного представления обо всех потоках в сети, что требуется для обнаружения вредоносных действий, вредоносных программ и ботнетов, которые могут присутствовать в сети.

СРАВНЕНИЕ SFLOW И NETFLOW

NetFlow и sFlow имеют принципиальные различия. В NetFlow учет трафика, проходящего через сеть, может выполняться как для всех транзакций (полный NetFlow), так и для выборочного их числа (выборочный NetFlow), в то время как sFlow представляет собой «исключительно выборочную» технологию, в которой коммутатор или маршрутизатор случайным образом отбирает образцы фиксированной длины для одного из N пакетов. В табл. 3 приводится сравнение sFLow и NetFlow.

Безопасность сети и Netflow
Таблица 3. Сравнение sFLow и NetFlow

К преимуществам NetFlow относятся:

  • Эффективность — NetFlow реализован на аппаратном уровне, работает на скорости канала, обеспечивается высокий уровень эффективности.
  • Точность — полный NetFlow предоставляет точные сведения о каждой сетевой транзакции, в то время как выборочные методологии не делают этого. Пользователи могут получить детальную информацию обо всех потоках на уровнях со второго по седьмой. Поддерживаются протоколы IP и MPLS.
  • Масштабируемость — NetFlow не оказывает влияния на уровень передачи данных (data plane) сетевого устройства и поддерживается на всех скоростях: 1, 10, 40 и 100 GbE. Технология позволяет осуществлять мониторинг десятков тысяч потоков и сотен тысяч портов.
  • Простота развертывания — NetFlow можно легко внедрить в существующие сети, при этом обеспечивается простота настройки конфигурации. Сбор данных NetFlow поддерживается большинством присутствующих на рынке программных коллекторов.
  • Работа в реальном времени — поскольку NetFlow реализован на аппаратном уровне, изменения скорости потока отражаются в реальном времени.
  • Привлекательная стоимость — решения на основе NetFlow не предусматривают использование отводов трафика и методов выявления аномалий путем включения оборудования в разрыв (inline), поэтому они являются самым дешевым методом реализации средств обнаружения вторжения.

NETFLOW ИЛИ SFLOW: ЧТО ВЫБРАТЬ ДЛЯ ЗАЩИТЫ ОТ УГРОЗ?

Cистема sFlow состоит из нескольких устройств, осуществляющих выборку двух типов: случайную выборку пакетов или операций прикладного уровня и выборку счетчиков на основе времени. В соответствии с предопределенной частотой выборки, случайным образом отбираются в среднем 1 из n пакетов или операций. Важной частью настройки sFlow на коммутаторе является определение подходящей частоты выборки. Обычно на 10-гигабитных соединениях sFlow отбирается 1 из 2000 пакетов — этого вполне достаточно для общего мониторинга трафика в большинстве сетей. При выборе предлагаемой по умолчанию частоты (табл. 2) более 99% трафика игнорируется.

Как правило, использование выборочных данных при планировании пропускной способности сети или регулировании трафика не вызывает никаких проблем. Но когда пакеты захватываются для анализа безопасности, необходимо, чтобы в их выборке был представлен каждый из IP-потоков (диалогов), проходящих через интерфейс. Анализ безопасности требует подробного изучения всех IP-потоков в целях выявления необычного поведения сети, которое может свидетельствовать о вторжении. Благодаря способности захватывать все диалоги, NetFlow лучше справляется с выявлением аномалий в сети. Для этой же цели можно использовать и sFlow, но вероятность отсутствия в sFlow важного потока достаточно велика в силу его выборочной природы.

Выделим два главных требования к любому протоколу экспорта IP-потоков, применяемому в целях обеспечения кибербезопасности:

  • данные должны генерироваться по результатам просмотра всех передаваемых пакетов;
  • пользователю нужно предоставить возможность выбора данных, которые ему необходимо просматривать и включать в отчет.

Одним лишь учетом различий выборочного (sFlow) или полного (NetFlow) анализа критерии принятия решения не ограничиваются. Едва ли не большее значение имеет то, какой протокол мониторинга IP-потоков способен предоставить настраиваемые записи данных о потоках с выбранными полями, которым отводится важная роль в процессе анализа безопасности. Flexible NetFlow в этом случае предпочтителен, поскольку основан на шаблонах и поддерживает новые технологии: трафик IPv6, метки MPLS, многоадресный трафик, MAC-адреса, идентификацию VLAN, вариацию задержки и круговую задержку медиатрафика.

Хотя sFlow может быть полезен при планировании пропускной способности и обеспечении видимости трафика и приложений, в качестве целостного решения безопасности он не подходит. И вот почему:

  • Потенциально высокий уровень ложных срабатываний. Это решение экспортирует только выборочные пакеты и неверно классифицирует данные вполне легитимных приложений. В результате записи потоков зачастую интерпретируются неправильно.
  • Невозможность выявления медленного сканирования сети. Традиционные атаки со сканированием сети червями могут быть обнаружены решениями, осуществляющими выборочный захват пакетов, но, поскольку атаки постоянно усложняются, сканирование сети все чаще осуществляется медленнее и методичнее. Такой подход позволяет атакующим избежать обнаружения, если используются решения выборочного захвата пакетов.
  • Атомарные атаки. Совершенствование вредоносного кода, который пересылает только один пакет, не позволяет решениям выборочного захвата пакетов наподобие sFlow его обнаружить. И хотя выборки потоков по-прежнему широко используются в сценариях управления сетью, их применение для задач безопасности вызывает слишком много вопросов.

Мониторинг IP-потоков (NetFlow) в сочетании с коллекторами безопасности NetFlow (например, с системой StealthWatch) позволяет быстро выявлять необычную и подозрительную активность и аномальное поведение. Полный NetFlow обеспечивает контроль всех действий в сети без какой-либо выборки и может быть полезен при корреляции и анализе данных. Ключевым условием является сбор данных обо всех потоках, что помогает уменьшить число ложных срабатываний по сравнению с решениями выборочного захвата пакетов. Кроме того, полная видимость потока позволяет выявлять медленное сканирование сети и атомарные атаки, которые не идентифицируются другими решениями безопасности.

Джереми Редьярд, независимый эксперт