نحوه پیکربندی و عیب‌یابی NetFlow برای سیسکو Stealthwatch

NetFlow از اطلاعات IP که در یک دستگاه شبکه جریان دارند استفاده می‌کند تا گزارشی از فعالیت‌های زیرساختی مانند دسترسی کاربران به برنامه‌های کاربردی، ایمیل یا خدمات وب ایجاد کند. NetFlow v9 به دلیل قابلیت مقیاس ‌پذیری آن از طریق استفاده از الگوهای موجود، در مقایسه با نسخه های قبلی بسیار کارآمد می‌باشد. NetFlow v9 در واقع همان مکانیزیم استاندارد IETF برای استخراج اطلاعات است.

این راهنما به عنوان راهنمای جامع در مورد Cisco NetFlow ،TrustSec یا NBAR نمی‌باشد. بلکه هدف آن کمک به پیکربندی Cisco IOS برای استفاده از این پروتکل‌ها و فناوری‌هایی است که در کنار سیسکو Stealthwatch استفاده می‌شود.

سیسکو Stealthwatch

سیسکو Stealthwatch یک راهکار تجزیه و تحلیل امنیتی است که از تله‌متری شبکه یا زیرساخت‌های ابر عمومی استفاده می‌کند. این راهکار امکان شناسایی تهدیدات پیشرفته، پاسخ سریع به تهدیدات و امکان تقسیم‌بندی ساده شبکه با استفاده از یادگیری ماشین چند لایه و مدل‌سازی موجودیت‌ها را فراهم می‌کند. در واقع ما با یک راهکار واحد و بدون نیاز به Agent، دید شفافی در سراسر شبکه خود از جمله نقاط پایانی، ادارات زیر‌مجموعه، مرکز داده و فضای ابری بدست می‌آوریم. سیسکو Stealthwatch تنها محصولی است که می‌تواند بدافزارها را در ترافیک رمز شده شناسایی و بدون رمزگشایی ترافیک از تطابق آنها با سیاست‌های سازمان اطمینان حاصل نماید.

این راهکار از اطلاعات مربوط به ترافیک‌های عبوری از دستگاه‌های موجود در شبکه مانند روترها، سوئیچ‌ها و فایروال‌ها استفاده می‌کند. Stealthwatch می‌تواند داده‌های تله‌متری از هر منبعی (NetFlow ،IPFIX sFlow و سایر پروتکل‌های لایه ۷) در سراسر شبکه را تجزیه و تحلیل و دید شفاف و بلادرنگی از هر دارایی‌هایی که از شبکه استفاده می کنند را ارایه کند و برای هر دارایی یک پروفایل ایجاد نماید.

این قابلیت دید شفافی از ترافیک شرق به غرب و همچنین ترافیک شمال به جنوب شبکه سازمان ارایه میدهد و رفتار شبکه را برای شناسایی نقض سیاست‌ها، ناهنجاری‌ها و همچنین میزان مصرف داده در شبکه را تجزیه و تحلیل می کند.

جمع‌آوری و همبسته‌سازی

جریان یا تله‌متری نشان‌دهنده اطلاعات یک طرفه در مورد ترافیک عبوری از یک دستگاه شبکه‌ای است که برای مدت زمان مشخصی یعنی تا زمان Timeout شدن یا پایان جریان، در سطح دستگاه ذخیره می‌شود. این جریان سپس به Stealthwatch ارسال می‌شود. Stealthwatch در ادامه برای ایجاد یک جریان دو طرفه واحد، جریان‌های مختلف مربوط به دستگاه‌ها و اینترفیس‌های مختلف را به هم مرتبط می‌کند.

شناسایی تهدیدات و ناهنجاری‌ها

سیسکو Stealthwatch از روش‌های تجزیه و تحلیل امنیتی پیشرفته در قالب مدل‌سازی موجودیت‌ها و جمع‌آوری و بهینه‌سازی تله‌متری‌های موجود در شبکه استفاده می‌کند. این رهکار با اعمال چندین روش ابتکاری بر روی اطلاعات جمع‌آوری شده، رفتارهای ناهنجار شبکه را تشخیص می‌دهد. سپس نتیجه بدست آمده را به میزبان‌های خاصی مرتبط می‌کند. این کار منجر به دسته‌ای از هشدارهای سطح بالا می‌شود که تیم‌های امنیتی می‌توانند با استفاده از آنها به راحتی خطرات را اولویت بندی و مشکلات را برطرف کنند.

سیسکو Stealthwatch علاوه‌براین با یک موتور تجزیه و تحلیل ابری مبتنی بر یادگیری ماشین چند لایه‌ای ادغام می‌شود. این ماژول رفتارهای تهدید آمیز در سازمان را با رفتارها و تهدیداتی که در سطح جهان مشاهده شده است، مرتبط می‌کند.

مراحل پیکربندی NetFlow در روترها و سویچ‌های سیسکو

همانطور که قبلاً ذکر شد، سیسکو Stealthwatch با جمع‌آوری و آنالیز تله‌متری‌های مربوط به NetFlow دستگاه‌های شبکه می‌تواند از آنها برای تشخیص ناهنجاری‌ها و تهدیدات شبکه استفاده و قابلیت مشاهده end-to-end در یک شبکه گسترده را فراهم کند. دستگاه‌های شبکه برای جمع‌آوری و ارسال NetFlow به Stealthwatch بایستی پیکربندی شوند.

پیکربندی NetFlow بر روی یک دستگاه سیسکو شامل چهار مرحله زیر می‌شود.

• تعریف یک Flow Record
• پیکربندی یک Flow Exporter
• پیکربندی یک Flow Monitor
• اعمال Flow Monitor بر روی اینترفیس‌ها

تعریف یک Flow Record

Flow Record اطلاعاتی که NetFlow مانند بسته‌های موجود در جریان ترافیک و انواع شمارنده‌هایی که به ازای هر جریان باید جمع‌آوری کند را تعریف می‌کند. اگر می‌خواهید یک Flow Record شفارشی خارج از نسخه اصلی netflow ایجاد کنید، بایستی یک سری پارامترهای مطابقت (match) و دستورات جمع‌آوری (collect commands) که به دستگاه می‌گوید چه فیلدهایی را باید در PDU خروجی NetFlow قرار دهد را تعریف کنید.

فیلدهای match در واقع فیلدهای اصلی هستند که برای تمایز بین flowها استفاده می‌شود. قسمت‌های Collect فقط اطلاعات اضافی هستند که ما برای ارائه جزئیات بیشتر به Stealthwatch Flow Collector به منظور گزارش و تجزیه و تحلیل ارائه می‌دهیم. درقسمت فیلدهای مربوط به match شما نیازمند تغییر نمی‌باشد. در زیر هفت ورودی match وجود دارد که بایستی در پیکربندی استفاده کنید. فیلدهای جمع‌آوری، بسته به مقدار اطلاعاتی که می‌خواهید برای Flow Collector ارسال کنید، می‌تواند کاملاً متفاوت باشد.

پیکربندی زیر برای نصب Stealthwatch توصیه می‌شود. قسمت‌هایی که در زیر به عنوان “required” علامت گذاری شده‌اند، برای پذیرش و ایجاد رکورد جریان توسطStealthwatch ضروری است.

flow record STEALTHWATCH1
match ipv4 protocol (required; key field)
match ipv4 source address (required; key field)
match ipv4 destination address (required; key field)
match transport source-port (required; key field)
match transport destination-port (required; key field)
match interface input (required; key field)
match ipv4 tos (required; key field)
collect interface output (required; key field)
collect counter bytes (required; key field)
collect counter packets (required; key field)
collect timestamp sys-uptime first (required; for calculating duration)
collect timestamp sys-uptime last (required; for calculating duration)
collect routing next-hop address ipv4 (optional; used for closest interface determination)
collect ipv4 dscp (optional; used for closest interface determination)
collect ipv4 ttl minimum (optional; used for closest interface determination)
collect ipv4 ttl maximum (optional; used for closest interface determination)
collect transport tcp flags (optional; used for closest interface determination)
collect routing destination as (optional; used for closest interface determination)

پیکربندی یک Flow Exporter

پس از ایجاد Flow Record، می‌توانیم آن را به یک ارسال کننده Flow متصل کنیم. در پیکربندی Flow Exporter آدرس IP فیزیکی یا مجازی Flow Collector که قرار است داده‌های NetFlow به آن ارسال شود را تعریف می‌کنیم. همچنین اینترفیسی که قرار است Flow Exporter از طریق آن داده‌های NetFlow را ارسال کند، را مشخص می‌کنیم، این اینترفیس می‌تواند یک آدرس فیزیکی یا منطقی باشد. استفاده از یک اینترفیس Loopback برای ارسال داده‌های NetFlow می‌تواند در صورت خرابی سایر اینترفیس‌ها نیز حمل و نقل مداوم داده‌ها را امکان‌پذیر کند (درصورتی که مسیریابی اجازه دهد). در ادامه پروتکل انتقال (TCP یا UDP) و پورت مقصد مربوط به NetFlow Collector را تعریف می‌کنیم.

flow exporter Stealthwatch_Exporter
description Stealthwatch Export to Flow Collector
destination [Collector_IP_Address]
source [Physical_Interface | Logical_Interface]
transport udp 2055

پیکربندی یک Flow Monitor

Flow Monitor تمام ساختارها را در کنار هم قرار می‌دهد و به Flow Exporter و Flow Record اشاره می‌کند.

flow monitor Stealthwatch_Monitor
description Stealthwatch Flow Monitor
exporter Stealthwatch_Exporter
cache timeout active 60
record STEALTHWATCH1

اعمال Flow Monitor بر روی اینترفیس‌ها

نهایتا، باید تمام تنظیمات NetFlow ذکر شده در بالا برای هر اینترفیسی که به تجزیه و تحلیل جریان آن نیاز داریم را با استفاده از دستورات زیر اعمال کنیم.

interface [Interface_ID]
ip flow monitor Stealthwatch_Monitor input

دستورات Debug

show flow exporter
show flow interface
show flow internal
show flow monitor
show flow record
show flow ssid

مثال برای پیکربندی NetFlow بر روی دیوایس‌های سیسکو

flow record Stealthwatch_FlowRecord
description Flow Record for Export to Stealthwatch (optional)
match ipv4 source address
match ipv4 destination address
match ipv4 protocol
match ipv4 tos
match transport source-port
match transport destination-port
match interface input
match flow direction
collect routing next-hop address ipv4
collect ipv4 dscp
collect ipv4 ttl minimum
collect ipv4 ttl maximum
collect transport tcp flags
collect interface output
collect counter bytes
collect counter packets
collect timestamp sys-uptime first
collect timestamp sys-uptime last

فیلدهای خاص Trustsec

match flow cts source group-tag
match flow cts destination group-tag

فیلدهای مخصوص رکورد NBAR2 (در روترهایی که پک پروتکل‌ها فعال باشد)

collect application name
collect application http url
collect application http host

فیلدهای AVC

collect connection initiator
collect connection new-connections
collect connection sum-duration
collect connection delay response to-server sum
collect connection delay response to-server min
collect connection delay response to-server max
collect connection server counter responses
collect connection delay response to-server histogram late
collect connection delay network to-server sum
collect connection delay network to-client sum
collect connection client counter packets retransmitted
collect connection delay network client-to-server sum
collect connection delay application sum
collect connection delay application min
collect connection delay application max
collect connection delay response client-to-server sum
collect connection transaction duration sum
collect connection transaction counter complete
collect connection server counter packets long
collect connection client counter packets long
collect connection client counter bytes retransmitted
collect connection server counter bytes network long
collect connection client counter bytes network long
collect connection delay network client-to-server num-samples
collect connection delay network to-server num-samples
collect connection delay network to-client num-samples

تنظیمات NetFlow بر روی روتر CSR با امکان آنالیز ترافیک‌های رمز شده (Encrypted Traffic Analytics)

flow record ETA-CSR-RECORD
description Flow Record for ETA with Stealthwatch
match ipv4 tos
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match interface input
match flow direction
collect routing source as
collect routing destination as
collect routing next-hop address ipv4
collect ipv4 dscp
collect ipv4 id
collect ipv4 source prefix
collect ipv4 source mask
collect ipv4 destination mask
collect transport tcp flags
collect interface output
collect flow sampler
collect counter bytes
collect counter packets
collect timestamp sys-uptime first
collect timestamp sys-uptime last
collect application name
collect application http url
collect application http host
!
!
flow exporter STEALTHWATCH-EXPORTER
description Send NetFlow to Stealthwatch.
destination 10.10.10.12
source GigabitEthernet1
transport udp 2055
template data timeout 30
option interface-table
option application-table timeout 10
!
flow monitor ETA-FLOWMONITOR
description NetFlow Monitor for use with ETA
exporter STEALTHWATCH-EXPORTER
cache timeout active 60
cache timeout inactive 15
record ETA-CSR-RECORD
!
et-analytics
inactive time 10
ip flow-export destination ip_address port 
!
interface GigabitEthernet1
description LAN facing Interface
ip flow monitor ETA-FLOWMONITOR input
ip flow monitor ETA-FLOWMONITOR output
et-analytics enable

دستورات Debug

show platform software et-analytics global
 show platform software et-analytics interfaces