نحوه پیکربندی و عیبیابی NetFlow برای سیسکو Stealthwatch
NetFlow از اطلاعات IP که در یک دستگاه شبکه جریان دارند استفاده میکند تا گزارشی از فعالیتهای زیرساختی مانند دسترسی کاربران به برنامههای کاربردی، ایمیل یا خدمات وب ایجاد کند. NetFlow v9 به دلیل قابلیت مقیاس پذیری آن از طریق استفاده از الگوهای موجود، در مقایسه با نسخه های قبلی بسیار کارآمد میباشد. NetFlow v9 در واقع همان مکانیزیم استاندارد IETF برای استخراج اطلاعات است.
این راهنما به عنوان راهنمای جامع در مورد Cisco NetFlow ،TrustSec یا NBAR نمیباشد. بلکه هدف آن کمک به پیکربندی Cisco IOS برای استفاده از این پروتکلها و فناوریهایی است که در کنار سیسکو Stealthwatch استفاده میشود.
سیسکو Stealthwatch
سیسکو Stealthwatch یک راهکار تجزیه و تحلیل امنیتی است که از تلهمتری شبکه یا زیرساختهای ابر عمومی استفاده میکند. این راهکار امکان شناسایی تهدیدات پیشرفته، پاسخ سریع به تهدیدات و امکان تقسیمبندی ساده شبکه با استفاده از یادگیری ماشین چند لایه و مدلسازی موجودیتها را فراهم میکند. در واقع ما با یک راهکار واحد و بدون نیاز به Agent، دید شفافی در سراسر شبکه خود از جمله نقاط پایانی، ادارات زیرمجموعه، مرکز داده و فضای ابری بدست میآوریم. سیسکو Stealthwatch تنها محصولی است که میتواند بدافزارها را در ترافیک رمز شده شناسایی و بدون رمزگشایی ترافیک از تطابق آنها با سیاستهای سازمان اطمینان حاصل نماید.
این راهکار از اطلاعات مربوط به ترافیکهای عبوری از دستگاههای موجود در شبکه مانند روترها، سوئیچها و فایروالها استفاده میکند. Stealthwatch میتواند دادههای تلهمتری از هر منبعی (NetFlow ،IPFIX sFlow و سایر پروتکلهای لایه 7) در سراسر شبکه را تجزیه و تحلیل و دید شفاف و بلادرنگی از هر داراییهایی که از شبکه استفاده می کنند را ارایه کند و برای هر دارایی یک پروفایل ایجاد نماید.
این قابلیت دید شفافی از ترافیک شرق به غرب و همچنین ترافیک شمال به جنوب شبکه سازمان ارایه میدهد و رفتار شبکه را برای شناسایی نقض سیاستها، ناهنجاریها و همچنین میزان مصرف داده در شبکه را تجزیه و تحلیل می کند.
جمعآوری و همبستهسازی
جریان یا تلهمتری نشاندهنده اطلاعات یک طرفه در مورد ترافیک عبوری از یک دستگاه شبکهای است که برای مدت زمان مشخصی یعنی تا زمان Timeout شدن یا پایان جریان، در سطح دستگاه ذخیره میشود. این جریان سپس به Stealthwatch ارسال میشود. Stealthwatch در ادامه برای ایجاد یک جریان دو طرفه واحد، جریانهای مختلف مربوط به دستگاهها و اینترفیسهای مختلف را به هم مرتبط میکند.
شناسایی تهدیدات و ناهنجاریها
سیسکو Stealthwatch از روشهای تجزیه و تحلیل امنیتی پیشرفته در قالب مدلسازی موجودیتها و جمعآوری و بهینهسازی تلهمتریهای موجود در شبکه استفاده میکند. این رهکار با اعمال چندین روش ابتکاری بر روی اطلاعات جمعآوری شده، رفتارهای ناهنجار شبکه را تشخیص میدهد. سپس نتیجه بدست آمده را به میزبانهای خاصی مرتبط میکند. این کار منجر به دستهای از هشدارهای سطح بالا میشود که تیمهای امنیتی میتوانند با استفاده از آنها به راحتی خطرات را اولویت بندی و مشکلات را برطرف کنند.
سیسکو Stealthwatch علاوهبراین با یک موتور تجزیه و تحلیل ابری مبتنی بر یادگیری ماشین چند لایهای ادغام میشود. این ماژول رفتارهای تهدید آمیز در سازمان را با رفتارها و تهدیداتی که در سطح جهان مشاهده شده است، مرتبط میکند.
مراحل پیکربندی NetFlow در روترها و سویچهای سیسکو
همانطور که قبلاً ذکر شد، سیسکو Stealthwatch با جمعآوری و آنالیز تلهمتریهای مربوط به NetFlow دستگاههای شبکه میتواند از آنها برای تشخیص ناهنجاریها و تهدیدات شبکه استفاده و قابلیت مشاهده end-to-end در یک شبکه گسترده را فراهم کند. دستگاههای شبکه برای جمعآوری و ارسال NetFlow به Stealthwatch بایستی پیکربندی شوند.
پیکربندی NetFlow بر روی یک دستگاه سیسکو شامل چهار مرحله زیر میشود.
- تعریف یک Flow Record
- پیکربندی یک Flow Exporter
- پیکربندی یک Flow Monitor
- اعمال Flow Monitor بر روی اینترفیسها
تعریف یک Flow Record
Flow Record اطلاعاتی که NetFlow مانند بستههای موجود در جریان ترافیک و انواع شمارندههایی که به ازای هر جریان باید جمعآوری کند را تعریف میکند. اگر میخواهید یک Flow Record شفارشی خارج از نسخه اصلی netflow ایجاد کنید، بایستی یک سری پارامترهای مطابقت (match) و دستورات جمعآوری (collect commands) که به دستگاه میگوید چه فیلدهایی را باید در PDU خروجی NetFlow قرار دهد را تعریف کنید.
فیلدهای match در واقع فیلدهای اصلی هستند که برای تمایز بین flowها استفاده میشود. قسمتهای Collect فقط اطلاعات اضافی هستند که ما برای ارائه جزئیات بیشتر به Stealthwatch Flow Collector به منظور گزارش و تجزیه و تحلیل ارائه میدهیم. درقسمت فیلدهای مربوط به match شما نیازمند تغییر نمیباشد. در زیر هفت ورودی match وجود دارد که بایستی در پیکربندی استفاده کنید. فیلدهای جمعآوری، بسته به مقدار اطلاعاتی که میخواهید برای Flow Collector ارسال کنید، میتواند کاملاً متفاوت باشد.
پیکربندی زیر برای نصب Stealthwatch توصیه میشود. قسمتهایی که در زیر به عنوان “required” علامت گذاری شدهاند، برای پذیرش و ایجاد رکورد جریان توسطStealthwatch ضروری است.
flow record STEALTHWATCH1
match ipv4 protocol (required; key field)
match ipv4 source address (required; key field)
match ipv4 destination address (required; key field)
match transport source-port (required; key field)
match transport destination-port (required; key field)
match interface input (required; key field)
match ipv4 tos (required; key field)
collect interface output (required; key field)
collect counter bytes (required; key field)
collect counter packets (required; key field)
collect timestamp sys-uptime first (required; for calculating duration)
collect timestamp sys-uptime last (required; for calculating duration)
collect routing next-hop address ipv4 (optional; used for closest interface determination)
collect ipv4 dscp (optional; used for closest interface determination)
collect ipv4 ttl minimum (optional; used for closest interface determination)
collect ipv4 ttl maximum (optional; used for closest interface determination)
collect transport tcp flags (optional; used for closest interface determination)
collect routing destination as (optional; used for closest interface determination)
پیکربندی یک Flow Exporter
پس از ایجاد Flow Record، میتوانیم آن را به یک ارسال کننده Flow متصل کنیم. در پیکربندی Flow Exporter آدرس IP فیزیکی یا مجازی Flow Collector که قرار است دادههای NetFlow به آن ارسال شود را تعریف میکنیم. همچنین اینترفیسی که قرار است Flow Exporter از طریق آن دادههای NetFlow را ارسال کند، را مشخص میکنیم، این اینترفیس میتواند یک آدرس فیزیکی یا منطقی باشد. استفاده از یک اینترفیس Loopback برای ارسال دادههای NetFlow میتواند در صورت خرابی سایر اینترفیسها نیز حمل و نقل مداوم دادهها را امکانپذیر کند (درصورتی که مسیریابی اجازه دهد). در ادامه پروتکل انتقال (TCP یا UDP) و پورت مقصد مربوط به NetFlow Collector را تعریف میکنیم.
flow exporter Stealthwatch_Exporter
description Stealthwatch Export to Flow Collector
destination [Collector_IP_Address]
source [Physical_Interface | Logical_Interface]
transport udp 2055
پیکربندی یک Flow Monitor
Flow Monitor تمام ساختارها را در کنار هم قرار میدهد و به Flow Exporter و Flow Record اشاره میکند.
flow monitor Stealthwatch_Monitor
description Stealthwatch Flow Monitor
exporter Stealthwatch_Exporter
cache timeout active 60
record STEALTHWATCH1
اعمال Flow Monitor بر روی اینترفیسها
نهایتا، باید تمام تنظیمات NetFlow ذکر شده در بالا برای هر اینترفیسی که به تجزیه و تحلیل جریان آن نیاز داریم را با استفاده از دستورات زیر اعمال کنیم.
interface [Interface_ID]
ip flow monitor Stealthwatch_Monitor input
دستورات Debug
show flow exporter
show flow interface
show flow internal
show flow monitor
show flow record
show flow ssid
مثال برای پیکربندی NetFlow بر روی دیوایسهای سیسکو
flow record Stealthwatch_FlowRecord
description Flow Record for Export to Stealthwatch (optional)
match ipv4 source address
match ipv4 destination address
match ipv4 protocol
match ipv4 tos
match transport source-port
match transport destination-port
match interface input
match flow direction
collect routing next-hop address ipv4
collect ipv4 dscp
collect ipv4 ttl minimum
collect ipv4 ttl maximum
collect transport tcp flags
collect interface output
collect counter bytes
collect counter packets
collect timestamp sys-uptime first
collect timestamp sys-uptime last
فیلدهای خاص Trustsec
match flow cts source group-tag
match flow cts destination group-tag
فیلدهای مخصوص رکورد NBAR2 (در روترهایی که پک پروتکلها فعال باشد)
collect application name
collect application http url
collect application http host
فیلدهای AVC
collect connection initiator
collect connection new-connections
collect connection sum-duration
collect connection delay response to-server sum
collect connection delay response to-server min
collect connection delay response to-server max
collect connection server counter responses
collect connection delay response to-server histogram late
collect connection delay network to-server sum
collect connection delay network to-client sum
collect connection client counter packets retransmitted
collect connection delay network client-to-server sum
collect connection delay application sum
collect connection delay application min
collect connection delay application max
collect connection delay response client-to-server sum
collect connection transaction duration sum
collect connection transaction counter complete
collect connection server counter packets long
collect connection client counter packets long
collect connection client counter bytes retransmitted
collect connection server counter bytes network long
collect connection client counter bytes network long
collect connection delay network client-to-server num-samples
collect connection delay network to-server num-samples
collect connection delay network to-client num-samples
تنظیمات NetFlow بر روی روتر CSR با امکان آنالیز ترافیکهای رمز شده (Encrypted Traffic Analytics)
flow record ETA-CSR-RECORD
description Flow Record for ETA with Stealthwatch
match ipv4 tos
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match interface input
match flow direction
collect routing source as
collect routing destination as
collect routing next-hop address ipv4
collect ipv4 dscp
collect ipv4 id
collect ipv4 source prefix
collect ipv4 source mask
collect ipv4 destination mask
collect transport tcp flags
collect interface output
collect flow sampler
collect counter bytes
collect counter packets
collect timestamp sys-uptime first
collect timestamp sys-uptime last
collect application name
collect application http url
collect application http host
!
!
flow exporter STEALTHWATCH-EXPORTER
description Send NetFlow to Stealthwatch.
destination 10.10.10.12
source GigabitEthernet1
transport udp 2055
template data timeout 30
option interface-table
option application-table timeout 10
!
flow monitor ETA-FLOWMONITOR
description NetFlow Monitor for use with ETA
exporter STEALTHWATCH-EXPORTER
cache timeout active 60
cache timeout inactive 15
record ETA-CSR-RECORD
!
et-analytics
inactive time 10
ip flow-export destination ip_address port
!
interface GigabitEthernet1
description LAN facing Interface
ip flow monitor ETA-FLOWMONITOR input
ip flow monitor ETA-FLOWMONITOR output
et-analytics enable
دستورات Debug
show platform software et-analytics global
show platform software et-analytics interfaces
دیدگاهتان را بنویسید