Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудования Cisco.

Михаил Кадер
mkader@cisco.com

AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco 1

Как получить подарок:
• внимательно слушать лекции по технологиям Cisco

• посещать демонстрации, включенные в основную программу

• пройти тесты на проверку знаний

Тесты будут открыты:
с 15:00 25 октября по 16:30 26 октября

www.ceq.com.ua

- Обоснование необходимости применения
- Что такое приложение?
- Как идентифицировать приложения?

- Что такое NBAR?
- Что такое NBAR2 (NBAR нового поколения)?
- Каким образом сообщается информация о приложении?
- Как управлять приложением?
- Передовые идеи
- Производительность и диагностика
- Потенциальные проблемы DPI/NBAR2

- Сценарии использования и примеры
- Мониторинг
- Стандартизация


Введение


система система
предотвращен предотвращения
ия сетевого вторжений на уровне
вторжения узлов

усовершенств
межсетевой web- сетевых ованных
экран прокси вторжений вредоносных
программ

поведенческ
защита от предотвращен аномалий
их
вирусов ие спама NetFlow
аномалий

журналы анализ SEIM- "черный список"
NetFlow
web-прокси NetFlow анализ IP-адресов

межсетевой анализ
журналы блокировка
экран для web- вредоносн
событий трафика учетных записей
ых
программ

масштабируемая
система мониторинг
распределения устройств
нагрузки

5

Netflow


Сбор данных в критических точках для обнаружения угроз в
исходящем сетевом трафике

Интернет

Шлюзы
интернет-
провайдера

Корпоративная
магистральная
сеть
Центр
Шлюзы обработки
ЦОД данных Коллектор
NetFlow

AVC_NFC_mkader © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Открытый документ Cisco

7
7

Коллектор Сценарий NetFlow - ботнет
NetFlow
Центр управления
ботнетом - сервер
Command and
Control

Инфицированный
компьютер
сотрудника

Запрос NetFlow для определения
точек подключения
инфицированного узла


Сценарий NetFlow - ботнет (2)

Запрос NetFlow для определения всех ПК,
подключенных к ранее определенному
узлу C2

9

Совместная работа организаций
по обеспечению защиты
информации
Форум групп реагирования на угрозы
безопасности (FIRST)
*-ISAC (центры совместного
использования и анализа информации)
Исследовательско-аналитический центр
по системам доменных имен (DNS-OARC)
Организация по обмену информацией в
области защиты данных, передаваемых по
сети (NSIE)
Организация по обмену информацией в
области защиты данных оборонного
характера (DSIE)
Infragard
Специальная группа Bay Area APT (SIG)

1

0

Компании, специализирующиеся
на исследованиях в области
компьютерной безопасности

Damballa
SensorBase
SenderBase
FireEye
Netwitness

1

1

Источники

•на основе сигнатур
•пассивный сбор
•первичный источник
оповещения

•слабое воздействие на
устройства
•основной инструмент
исследования
•небольшой требуемый объем
памяти

•инструмент глубокого анализа
•возможность фильтрации
•ограниченное воздействие на
систему


1

2
12

NetFlow: Принцип
работы

A

B

C

1

3

Шаблоны NetFlow для IOS,
NX-OS

# conf t
(config)# mls netflow interface
(config)# mls flow ip interface-full
(config)# ip flow-export source <interface x/x>
(config)# ip flow-export version <#>
(config)# ip flow-export destination <ip address | esl record>
<port>
(config-int)# ip flow ingress
#


1

4
14

Шаблоны для IOS, NX-OS

# conf t
(config)# feature netflow
(config)# flow record <record-name> Включение NetFlow в
(config)# match ip ipv4 source address NX-OS
(config)# match ip ipv4 destination address
…
(config)# flow exporter <exporter-name>
(config)# destination <ip address | esl-record>
(config)# transport UDP 2055
(config)# version <#>
(config)# source <interface>
(config)# flow monitor <monitor-name>
(config)# record <record-name>
(config)# exporter <exporter-name>
(config-int)# ip flow monitor <monitor-name> input
(config)# end
#


1

5
15

А если надо детальнее?


Распознавание сетевых приложений (Network Based Application Recognition,
NBAR) - это предлагаемая компанией Cisco инструментальная возможность
управления устройствами. С помощью NBAR осуществляется глубокий анализ
пакетов, в результате которого собирается статистическая информации о
трафике определенного приложения. Компания Cisco инвестировала большой
объем средств в разработку NBAR нового поколения. Например, NBAR в
оборудовании на ASR1k, с большим количеством новых распознаваемых
приложений и т.д.
Мы обсудим основные понятия, конфигурацию, новые возможности,
характерные особенности платформы и влияние на производительность. Также
затронем вопросы архитектуры и сценарии развертывания для системы
обнаружения и контроля приложений Application Visibility and Control (AVC).
Кроме того, будет обращено внимание на взаимосвязь с системами,
обладающими похожими возможностями, такими как QoS, NetFlow, IPV6 и
другими. Также предлагается обзор приложений для управления,
поддерживающих NBAR.
Тема актуальна как для предприятий, так и для поставщиков услуг, которым
необходимо знание о трафике определенного приложения и управление им.


Обоснование необходимости применения для
и
производительности приложений


MC/BR

Интернет / центр
обработки
данных, ЦОД
Webex
Глобальная сеть 1 MC/BR
(IP-VPN)

BR
BR

MC/BR

Глобальная сеть 2
BR (IPVPN, DMVPN)

Центр.
офис
BR

Бизнес-приложения MC/BR

Голосовой и видеотрафик
Приложения передачи данных


• Что происходит в моей сети?
• Классификация голосового трафика
(IP-VPN)
• Классификация видеотрафика
• Критически важные приложения
• Низкоприоритетные приложения
просмотра WEB

Центр. Глобальная сеть 2
офис (IPVPN, DMVPN)


• Какие приложения испытывают
трудности?
• Кто передает (IP-VPN)
слишком много
информации?
• Куда идет наибольший трафик?



MC/BR

• Каким образом оптимизировать
голосовой и видеотрафик?
• Как оптимизировать сетевые
Глобальная сеть 1 MC/BR
ресурсы? (IP-VPN)
• Как управлять качеством видео при
перегруженности сети?
• Как обеспечить безопасность сети?

BR

MC/BR


BR

MC/BR


Идентификация и
классификация
• Автоматическое распознавание
приложений
• Осведомленность о контексте
Управление сетью Мониторинг и
• Планирование, настройка, средства измерения
мониторинг, диагностика Основа Услуга • Планирование пропускной
• Сеансы, оконечные способности
устройства и инфраструктура • Видимость в сети и
сервисов поведение приложений
• Параметры соглашений об • Динамический поиск
уровнях обслуживания (SLA) ИТ Сетевые неисправностей
установки
Оптимизация Ресурсы Управление
• Ускорение работы • Установка приоритета
приложений, разгрузка критического для бизнеса
• Снижение трафика трафика
Оптимизация Управление
глобальной сети и задержек • Соответствие
при работе приложений установленным бизнес-
политикам и приоритетам


Обеспечение выполнения SLA прикладного уровня - измерение,
оповещение и выполнение
- Производительность устройств, также как и SLA сетевого уровня, не
переносится на производительность приложений
- Требуется анализ и измерение характеристик прикладного уровня

Обеспечение динамического управления характеристиками
- Функционирование приложений в реальном времени, предоставление отчетов
и мониторинг
- Возможность управления сервисными параметрами приложений


Что такое приложение?


Сервер

?

Клиент 1 Клиент 2

Примеры приложений: Skype, Bittorrent, Emule, Gnutella и т.д.


Сервер
Клиент 1- сервер:
Клиент 2- сервер:

Протокол уровня L4
Клиент 1 Клиент 2

Приложения могут основываться на протоколах, использующих
стандартные порты IANA (протокол уровня L4)


Сервер
Клиент 1:
Протокол маршрутизации:

OSPF

Клиент 1 Протокол OSPF:
уровня L3

Приложения могут основываться на стандартных IP-
протоколах (протокол уровня L3)

Сервер
MAC-адрес IP-адрес

0

1

0

2

0

3

0

4

0

5

0

6

1

9

2

1

6

8

0

1

0
:

:

:

:

:

.

.

.
0

1

0

2

0

3

0

4

0

5

0

7

1

9

2

1

6

8

0

1

1
:

:

:

:

:

.

.

.
0

1

0

2

0

3

0

8

0

9

0

1

1

9

2

1

6

8

1

2
:

:

:

:

:

.

.

.
Протокол уровня L2

Клиент 2
Клиент 1

Приложения могут основываться на протоколах уровня L2, Ethertype:
ARP, CDP (LLDP), VTP и т.д.

FFFF0000 FFFF

Если в позиции X полезной нагрузки
обнаруживается "Moonbeam", то это –
"MyApplication"

Ссылка на "специальные приложения" в NBAR
Ваши собственные приложения также являются
действительными приложениями!


"Приложения" могут основываться на:
- уровне L4, использующем определенный порт (например, HTTP, FTP)
- уровне L3, использующем определенный тип протокола (например, ICMP, OSPF)
- уровне L2 (например, ARP, CDP)
- любом протоколе или приложении уровня L7, т.е. кодирование входит в
полезную нагрузку (например, Skype)
- ваших собственных технических характеристиках (например, "MyApplication")

Четкая граница между приложением, протоколом и сервисом отсутствует:
- Принятое соглашение: использовать понятие "приложение" во всех
перечисленных вариантах
- Система NBAR, в соответствии со своими возможностями, определяет самое
«вложенное» приложение

http://www.iana.org/protocols/
http://www.iana.org/assignments/port-numbers
http://www.iana.org/assignments/protocol-numbers/
http://www.iana.org/assignments/icmp-parameters
http://www.iana.org/assignments/arp-parameters/arp-parameters.xhtml


Как идентифицировать приложения?


class-map match-all class-video
match dscp ef
!
policy-map policy_video
class class-video
bandwidth percent 30
!
interface GigabitEthernet 0
service-policy output policy_video

Преимущества:
- Стандартная настройка QoS
- Все счетчики доступны по протоколу SNMP с модулем MIB "CISCO-CLASS-BASED-QOS-MIB"

Проблемы:
- Можно ли доверять источнику?
- Можно ли доверять источнику для правильной установки значения в поле кода
дифференцированных сервисов DSCP?
- Не будет ли значение DSCP изменяться по пути следования?
- Одно приложение на DSCP?


Router(config)# access-list 107 permit tcp any host
192.168.1.2 eq www

Идентификация приложения по IP-адресу, типу протокола и номеру
порта
Вопрос: Ваше мнение по данному вопросу?

HTTP 80%
… …


HTTP

Отчет (предоставленный Lancope) 4 уровня без учета особенностей приложений


HTTP

Отчет (предоставленный Lancope) 7 уровня с учетом особенностей приложений


Является ли HTTP единственным приложением, работающим через порт 80?
- Skype, Bittorent, код червей Red&Nimda, троянские программы и пути обхода
системы защиты, Xbox LIVE, приложения и игры и т.д.

Каким образом мы узнаем, что HTTP - это действительно HTTP?
- Рассмотрим полезную нагрузку порта 80. Видим ли мы номер версии 1.0 или
1.1 ? Выполняются ли команды HTTP GET, PUT ? Другие?
- Что происходит с портом 8080? Этот порт обычно используется веб-браузером
- Что произойдет, если кто-нибудь решит запустить веб-сервер на порте TCP 23?

Выводы:
- Протокол HTTP стал НОВЫМ транспортным протоколом
- Для четкой идентификации приложения необходимо тщательно исследовать
полезную нагрузку
- Может не соблюдаться назначение порта (если оно имеет место)
- В идеальном случае следует проверить все порты определенного приложения


Управляющая информация между двумя оконечными устройствами
о способе открытия соединения для передачи данных
В качестве соединения для передачи данных может выступать
новое соединение TCP/UDP, которое в некоторых случаях не
использует стандартный порт TCP.
Для приоритезации трафика данных необходимо знать, какие порты
TCP/UDP искать при открытии клиентом или сервером нового
соединения для передачи данных.
Примеры: FTP
Вывод:
- Необходим анализ с отслеживанием состояния для динамически назначенных
при установлении соединения номеров портов TCP и UDP


Является ли приложением youtube?
- Если при проверке будет установлено, что имя узла = www.youtube.com, то
"youtube" можно классифицировать

Классификация по извлекаемому полю или субприложению
- Пример: Классификация HTTP (на основании URL, имен узлов или mime)
- Может использоваться в политике

Классификация на основе DPI и ряда атрибутов приложения:
- Транспортный протокол реального времени (RTP): классификация полезной
нагрузки основывается на данном алгоритме, в соответствии с которым пакет
классифицируется как RTP по нескольким атрибутам в заголовке RTP.
Вывод:
- Необходимо также идентифицировать некоторые "извлекаемые поля
приложения"


Возможные различные политики, основанные на информации о
транспорте приложений, также известные как транспортная
иерархия
Транспортная иерархия приложений дает информацию о контексте
Пример: SAP в TCP, SAP в HTTP или SAP в Citrix
- Как можно узнать о транспортной иерархии приложений, если сообщается
только SAP?
- В частности, при наличии нескольких приложений 7 уровня

Пример: методы перехода к IPv6
- IPv6 внутри IPv4

Пример: приложения с туннелированием
Вывод:
- Следует идентифицировать "транспорт приложений"


Что такое NBAR?


Классификация трафика приложений на уровнях L4-L7

Может использоваться совместно со средством распознавания протоколов (Protocol
Discovery) для получения представления о структуре сетевого трафика

Может использоваться совместно с MQC (модульного интерфейса управления качеством
обслуживания) для управления структурой сетевого трафика

NBAR помогает идентифицировать высоко- и низкоприоритетный трафик, к которому
необходимо применить соответствующую политику QoS

Интеграция с Flexible NetFlow (FNF): NBAR может экспортировать данные о трафике в
коллектор NetFlow

NBAR используется в качестве подсистемы глубокого анализа пакетов (DPI) в PfR

Поддерживаемые устройства: ISR-G1 (85x, 87x, 18xx, 28xx, 38xx), ISR-G2 (86x, 88x, 89x,
19xx, 29xx, 39xx), 2600XM, 3700, 7200, 7301, 7304-NPE, ASR1000, 7600 FlexWAN и SIP-200,
catalyst 6000 supervisor 32 PISA (в настоящее время снятые с производства)
- Примечание 1: не рекомендуется запускать NBAR на ISR-G1
- Примечание 2: NBAR2 (нового поколения) поддерживается только на ISR-G2 и ASR1000


Идентифицирует приложения
- Статически назначенные
- Динамически назначенные в ходе установления соединения
IP-протоколы, не относящиеся к TCP/UDP
Эвристическая классификация:
- Анализ пакетов данных для определения структуры трафика
- Классификация заголовков и анализ пакетов данных
Анализ с отслеживанием состояния
- Отслеживание входящего и исходящего трафика приложений по
мере прохождения по сети


NBAR Выводы по предыдущему разделу

Для четкой идентификации приложения необходимо
тщательно исследовать полезную нагрузку
В идеальном случае следует проверить все порты
определенного приложения
Необходим анализ с отслеживанием состояния для
динамически назначенных при установлении
соединения номеров портов TCP и UDP
Необходимо также идентифицировать некоторые
"извлекаемые поля приложения"
Следует идентифицировать "транспортировку
приложений"


Распознавание протоколов (Protocol Discovery)
- Выявляет и предоставляет статистические данные по приложениям в реальном
времени
- Отчетность: по интерфейсам, по приложениям, статистические данные по
входящему и исходящему трафику :
скорость передачи данных (бит/с), число пакетов и байтов
- Информация доступна в базе данных CISCO-NBAR-PROTOCOL-DISCOVERY-MIB
- Примечание: Flexible NetFlow дает возможность распознавания протоколов

Классификация трафика посредством Modular QoS (модульный
интерфейс качества обслуживания)
- Оптимизация приложений
- NBAR определяет эффективность использования пропускной способности сети
при выполнении функций QoS:
Гарантированная пропускная способность (CBWFQ)
Применение политик и ограничение пропускной способности
Формирование трафика и разметка пакетов (ToS или DSCP)


Настройка сбора статистических данных о трафике для всех
приложений, известных NBAR
Также используется для распознавания приложений
Распознавание протоколов приложений на интерфейсах и
заполнение базы данных CISCO-NBAR-PROTOCOL-DISCOVERY-
MIB
Поддержка как входящего, так и исходящего трафика
Команда настройки
Router(config)# interface fastethernet 0/0
Router(config-if)# ip nbar protocol-discovery

Команда отображения
Router# show ip nbar protocol-discovery [interface
interface-spec][stats {byte-count|bit-rate|packet-
count}][protocol protocol-name| top-n number}]


Router# show ip nbar protocol-discovery top-n 5 GigabitEthernet0
Input Output
----- ------
Protocol Packet Count Packet Count
Byte Count Byte Count
5min Bit Rate (bps) 5min Bit Rate (bps)
5min Max Bit Rate (bps) 5min Max Bit Rate (bps)
---------------- ------------------------ -----------
------------ Статистика Top-N
skype 395 75 для всех
28539 6415 интерфейсов при
1000 1000 включенной функции
2000 2000 распознавания
icmp 101 100 протоколов NBAR
7360 6860
0 0 В базе данных
0 0 NBAR-PD- MIB
snmp 28 0 предоставляется
1988 0 статистика Top-N по
0 0 всем интерфейсам,
0 0 где N может
netbios 9 0 отличаться для
738 0 каждого интерфейса
0 0
0 0
unknown 205 204
14976 10404
0 0
0 0
Total 41304 40944
2649809 2619839
6000 6000
7000 7000


NBAR гарантирует эффективное использование пропускной
способности сети при выполнении функций QoS:
Распознавание протоколов приложений на интерфейсах
Поддержка как входящего, так и исходящего трафика
Заполнение базы данных CISCO-CLASS-BASED-QOS-MIB
- Счетчики до и после применения политики

Команда настройки
Router(config)# class-map [match-any|match all] <myClass>
Router(config-cmap)# match protocol <application>

Примечание: Контролируются только настроенные <applications>


Карта классов class-map определяет
идентифицируемый трафик
class-map match-any peer2peer
match protocol kazaa2
match protocol gnutella
match protocol fastrack

Карта политик policy-map определяет способ
обработки трафика на основании карты
классов class map
policy-map limit-p2p
class peer2peer
bandwidth percent 10

interface Serial1
service-policy input limit-p2p


Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудования Cisco.

Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудования Cisco.

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудования Cisco.

Similar to Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудования Cisco. (20)

More from Cisco Russia

More from Cisco Russia (20)

Обнаружение сетевых аномалий и угроз c помощью инфраструктурного оборудования Cisco.