Monitoring ruchu sieciowego a bezpieczeństwo IT

ManagerOnline

Eksperci Flowmon przedstawiają jak monitoring sieci i narzędzia analityczne zwiększają bezpieczeństwo firm.

Bezpieczeństwo IT zapewniają programy antywirusowe, zapory, specjalistyczne systemy, odpowiednia polityka czy szkolenia dla użytkowników. Coraz częściej są to niewystarczające narzędzia. Cyberprzestępcy są zawsze krok przed nami. Bez bieżącego monitorowania, firmy nie unikną ataków i w pełni nie zabezpieczą swoich zasobów sieciowych. Już prosty monitoring ruchu sieciowego może wychwycić anomalie i pozwoli administratorom sieci na podjęcie właściwych przeciwdziałań. Im bardziej zaawansowane rozwiązanie do monitorowania, tym większa wiedza o zagrożeniu i celniejsze sposoby ochrony całej infrastruktury IT organizacji. – komentuje Dariusz Jarecki, Country Manager Poland, Flowmon Networks.

Tradycyjny monitoring infrastruktury sieciowej

Tradycyjny monitoring infrastruktury sieciowej bazuje na SNMP (Simple Network Management Protocol), czyli protokole zarządzania siecią. SNMP zapewnia podstawowe informacje o dostępności za pośrednictwem sieci IP poszczególnych urządzeń tworzących infrastrukturę sieciową, takich jak routery, przełączniki, serwery i komputery. Informacje w nim zawarte są podstawowymi danymi dla administratora sieci.

W przypadku nagłego wzrostu ruchu w danej sieci, tradycyjny monitoring daje tylko informacje o wzroście liczby pakietów i ilości przesyłanych danych, ale bez  konkretniejszych informacji o przyczynie  anomalii, konkretnym źródle zwiększonego ruchu oraz co dokładnie (protokół, urządzenie, usługa) wywołuje nietypową sytuację. Te ważne informacje można otrzymać dopiero przy zastosowaniu bardziej zaawansowanych narzędzi do monitorowania infrastruktury.

Monitoring ruchu sieciowego

Monitoring ruchu sieciowego zapewnia większą liczbę informacji, niż podstawowy system SNMP. Generuje statystyki, dotyczące transferów danych (treść komunikatu nie jest przechowywana). Statystyki te pokazują przepływ danych w sieci. Można o nich myśleć jak o liście rozmów telefonicznych. Wiemy, kto komunikuje się z kim, kiedy, jak długo, jak często, ale nie wiemy, co jest przedmiotem rozmowy. Monitoring ruchu sieciowego obejmuje adresy IP, ilość danych, czas, użyte porty, protokoły i inne właściwości techniczne komunikacji TCP / IP na trzeciej i czwartej warstwie sieci.

Monitoring przepływu danych

Jeszcze więcej informacji administratorzy sieci mogą otrzymać dzięki NetFlow – standardowi przepływu danych. Statystyki NetFlow są dostarczane przez urządzenia sieciowe (routery, przełączniki) lub przez wyspecjalizowane autonomiczne sondy sprzętowe. Sondy te są podłączone do monitorowanej sieci jako pasywne urządzenia do tworzenia dokładnych i szczegółowych statystyk przepływu z kopi ruchu sieciowego. Przepływy IP stworzone przez sondę zawierają informacje o tym, kto komunikował się z kim, jak długo, za pomocą jakiego protokołu, ile danych i dokąd zostało przesłanych i wiele innych informacji z nagłówków pakietów (TCP, ToS, AS). Sonda NetFlow wspiera eksport danych w ustalonym formacie NetFlow w wersji 5 lub elastyczne formaty NetFlow w wersji 9 i IPFIX, które umożliwiają bezpośredni wybór monitorowanej i eksportowanej informacji.

Sondy NetFlow umożliwiają monitorowanie pozycji wyższych warstw TCP / IP (L5 – L7), takich jak informacje HTTP (URL, nazwy hosta), statystyki VoIP (opóźnienia, jitter, utrata pakietu) lub bezpośrednio wykonują wykrywanie aplikacji (obsługują standard NBAR2). Dzięki temu sonda nie tylko dostarcza prostych ilościowych informacji o ruchu w sieci, ale też bardziej szczegółowych, dotyczących tego, co dzieje się w sieci komputerowej, odpowiednio dostosowanych do rozwiązywania problemów sieciowych (troubleshooting), analizy wydajności sieci (monitorowanie wydajności), zarządzania i optymalizacji sieci oraz do zwiększania bezpieczeństwa sieci.

Przykładowo: użytkownik z jednego z oddziałów firmy ma słabe połączenie z wewnętrznym systemem znajdującym się fizycznie w odległej głównej siedzibie organizacji, jak również skarży się na powolne ładowanie stron internetowych. Powiadomiony o tym administrator z siedziby głównej szybko sprawdza system monitorowania i od razu identyfikuje stację końcową, która pobiera ogromne ilości danych z Internetu. Ponadto administrator może łatwo i natychmiast zareagować na taką sytuację, czyli powiadomić użytkownika, aby zmniejszył lub nawet przerwał pobieranie danych z internetu.

Behawioralna analiza sieci

Obecnie firmy, poza systemami firewall oraz do wykrywania i zapobiegania włamaniom (IPS), powinny także wdrożyć system wykrywania anomalii na podstawie monitorowania ruchu sieciowego. Systemy te są często nazywane NBA / NBAD (Network Behavior Anomaly Detection) i monitorują w sieci firmowej nietypowe zachowania, wydarzenia czy trendy. Systemy NBA są w stanie wykryć zagrożenia, wobec których inne narzędzia zabezpieczające są nieskuteczne – na przykład specjalnie napisany malware, wirusy i botnety niewykrywane przez programy antywirusowe, czy inne zagrożenia związane z wewnętrznymi użytkownikami sieci.

NBA wykrywa ataki sieciowe, anomalie, zaawansowane zagrożenia i niepożądane zachowania. System ten swoje działanie opiera na ciągłej automatycznej ocenie i analizie statystyk ruchu sieciowego (w oparciu o NetFlow / IPFIX) generowanej przez sondy NetFlow, aktywne urządzenia sieciowe (przełączniki, routery) lub inne narzędzia (np. firewalle). Celem systemu NBA jest identyfikacja problemów bezpieczeństwa, problemów operacyjnych i zwiększenie bezpieczeństwa sieci. Główną przewagą nad regularnymi systemami wykrywania i zapobiegania włamaniom jest skupienie się na ogólnym działaniu urządzeń w sieci, co pozwala na przeciwdziałanie nieznanym lub specyficznym zagrożeniom.

(DG)