Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


11.12.2017

Dla biznesu

BenQ MH760
07.12.2017

Pamięć masowa SDS

SUSE Enterprise Storage 5
05.12.2017

Bezpieczna platforma

Red Hat OpenStack Platform 12
30.11.2017

ITewolucja w bezpieczeństwie....

9 listopada w katowickim hotelu Novotel odbyła się kolejna odsłona konferencji z cyklu...
28.11.2017

Smukle i elegancko

HP Spectre 13 i x360
23.11.2017

Z IEEE 802.3bz

Przełączniki Netgear
21.11.2017

4K z USB-C

EIZO FlexScan EV2785
16.11.2017

Wielofunkcyjne MFP

Canon imageRUNNER ADVANCE C256i, C356i oraz C356P
14.11.2017

Fabryka Przyszłości w drodze...

W dniach 25 i 26 października we Wrocławiu odbyła się czwarta edycja konferencji...

Security Onion – monitoring bezpieczeństwa sieci

Data publikacji: 26-05-2017 Autor: Marcin Jurczyk
W zależności od potrzeb można...

Monitorowanie ruchu sieciowego oraz wykrywanie potencjalnych zagrożeń w strumieniu danych to zagadnienia, którym warto poświęcić uwagę i wykorzystać je do zwiększenia poziomu bezpieczeństwa. Poza zaawansowanymi rozwiązaniami pudełkowymi dostępnymi w portfolio największych firm na rynku dostępnych jest kilka ciekawych rozwiązań open source.

Network Security Monitoring (NSM) to zagadnienie, któremu poświęca się coraz więcej uwagi. O ile narzędzia i mechanizmy umożliwiające przechwytywanie ruchu sieciowego w celu analizy potencjalnych zagrożeń znane są od wielu lat, o tyle poprawne ich zaimplementowanie i wykorzystanie staje się krytycznym elementem dla większości przedsiębiorstw działających w cyfrowym świecie. W dobie zagrożeń atakami typu DDoS as a Service, wszechobecnego phishingu, malware'u i ciągle rosnącego ruchu sieciowego monitoring ruchu sieciowego w kontekście bezpieczeństwa staje się zadaniem coraz bardziej wymagającym. Poza standardowym zbieraniem i analizą pakietów równie ważne jest proaktywne reagowanie na wszelkiego rodzaju anomalie. Korelacja zdarzeń, badanie przepływów i komunikacji pomiędzy węzłami w sieci wewnętrznej i konkretnymi adresami IP w internecie to podstawowe wymagania w stosunku do współczesnych rozwiązań NSM. Spora część zadań związanych z zabezpieczeniem sieci firmowej odbywa się na poziomie zapór sieciowych następnej generacji, które często integrują mechanizmy typu IDS/IPS czy antywirus. Nie mniej ważne są systemy do monitorowania i analizy ruchu sieciowego stosowane w celu wykrycia potencjalnych zagrożeń. Właśnie tego typu rozwiązaniem jest Security Onion – darmowa dystrybucja Linuksa przeznaczona do monitorowania ruchu sieciowego.

> WYKRYWANIE ZAGROŻEŃ

Security Onion to w praktyce prekonfigurowana dystrybucja Linuksa, bazująca na systemie Ubuntu, w skład której wchodzi szereg aplikacji odpowiedzialnych za przechwytywanie całego ruchu sieciowego, realizację IDS na poziomie sieci oraz hostów (NIDS – Network-based Intrusion Detection System oraz HIDS – Host-based Intrusion Detection System) wraz z narzędziami służącymi do analizy zgromadzonych danych o ruchu sieciowym. W dużym uproszczeniu Security Onion to przemyślany i zintegrowany zbiór ogólnodostępnych narzędzi bazujących na licencji open source udostępnianych w ramach pojedynczego obrazu ISO, przeznaczonego do szybkiej implementacji NSM oraz IDS.

Podstawowym narzędziem służącym do zbierania pakietów jest netsniff-ng. Mamy tu do czynienia z wydajnym snifferem, będącym w stanie zapisywać dane o ruchu sieciowym w dobrze znanych plikach .pcap, kompatybilnych z popularnymi narzędziami typu tcpdump czy Wireshark. Pliki te zapisywane są w domyślnym katalogu /nsm/sensor_data/HOSTNAME-INTERFACE/dailylogs/YYYY-MM-DD/, gdzie jedynym ograniczeniem jest fizyczna pojemność lokalnych dysków twardych. Security Onion posiada także wbudowane mechanizmy pozwalające na usuwanie najstarszych plików po przekroczeniu zadeklarowanej maksymalnej zajętości dysku. Dostęp do gromadzonych w ten sposób plików z informacjami o ruchu sieciowym możliwy jest bezpośrednio z wbudowanych narzędzi do analizy ruchu, o których mowa w dalszej części artykułu.

Kolejnym istotnym komponentem tej dystrybucji jest wbudowany IDS. Jak już wspomniano, dostępne są aplikacje realizujące detekcje na poziomie sieci, jak również hostów w sieci lokalnej. W pierwszym przypadku możemy wybrać spośród dwóch rozwiązań – Snort oraz Suricata. Oba projekty to świetnie znane systemy IDS/IPS, działające w oparciu o reguły i sygnatury, za pośrednictwem których rozpoznawane są potencjalne zagrożenia. Wybór pomiędzy Snortem a Suricatą należy do użytkownika i uwarunkowany będzie najprawdopodobniej większą znajomością jednego z pakietów. W praktyce wybór ten nie ma większego znaczenia – finalnie Security Onion przejmuje kontrolę nad konfiguracją, integracją i wizualizacją efektów działania wybranego IDS-a,
co z pewnością zostanie docenione przez większość administratorów, którzy kiedykolwiek wdrażali którykolwiek pakiet IDS od podstaw, kompilując jego poszczególne komponenty. W przypadku obu dostępnych kompilacji IDS wykorzystano PF_RING, dzięki czemu możliwe jest uruchomienie wielu instancji w celu podniesienia wydajności. O ile Suricata wspiera wielowątkowość, o tyle w przypadku Snorta działającego na jednym wątku ma to niebagatelne znaczenie. Należy również podkreślić, że Security Onion nie wspiera funkcji IPS, czyli podejmowanie akcji w trybie inline. W tym przypadku wygenerowanie logów i alertów w celu dalszej analizy to wszystko, do czego ten system został zaprojektowany.

Poza wspomnianymi systemami IDS działającymi w oparciu o reguły, dodatkowo dostępny jest system IDS wykorzystujący analizę ruchu. Mowa tu o projekcie The Bro Network Security Monitor, znanym jako Bro IDS. System ten nie używa sygnatur do identyfikacji zagrożeń, a jego działanie opiera się na analizie ruchu z podziałem na połączenia, protokoły, usługi sieciowe czy oprogramowanie. Dzięki temu ze zbioru pakietów wydobywane są informacje o zawartości ruchu sieciowego wraz z kontekstem i wszelkimi anomaliami. Dane o ruchu zapisywane są w odpowiednich logach na dysku twardym z podziałem na protokoły. Bro nie jest tak popularnym rozwiązaniem IDS jak chociażby Snort, choć posiada spore możliwości.

[...]

Autor jest architektem w międzynarodowej firmie z branży IT. Zajmuje się infrastrukturą sieciowo-serwerową, wirtualizacją infrastruktury i pamięcią masową.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"