دریافت مقالات

امنیت

مانیتورینگ امنیتی با Flexible NetFlow  

326 مشاهده ۱۶ دی, ۱۳۹۶ 11

مانیتورینگ امنیتی با Flexible NetFlow  

Flexible NetFlow با قابلیت ردیابی تمام قسمت‌های IP Header و حتی بخش‌های مختلف Packet ها و مشخص کردن این اطلاعات در جریان ترافیک، می‌تواند به عنوان ابزار شناسایی حملات شبکه در مورد استفاده قرار گیرد. سیستم‌های مانیتورینگ امنیتی، قادر به تجزیه و تحلیل نمودن اطلاعات بوده و بلافاصله پس از یافتن مسئله‌ای مشکوک در شبکه، اقدام به ایجاد Bucket و یا Cache مجازی می‌نماید که برای ردیابی اطلاعات خاص و شناسایی جزییات الگوی حمله یا انتشار Worm پیکربندی می‌گردند. یکپارچگی قابلیت‌های فیلترینگ ورودی، برای مثال فیلتر کردن کل جریان ترافیک به مقصدی خاص همراه با ایجاد داینامیک Cacheهایی با اطلاعات خاص، Flexible NetFlow را به ابزار مانیتورینگ امنیتی قدرتمندی بدل نموده است.

یکی از انواع رایج حملات، زمانی اتفاق می‌افتد که TCP Flagها به منظور پوشش درخواست‌های بازِ TCP به یک سرور مقصد، مورد استفاده قرار می‌گیرند برای مثال حمله‌ی SYN Flood از این گونه موارد است. تجهیزات مهاجم جریانی از TCP SYNها را به آدرس مقصد معین ارسال می‌کنند اما هرگز ACK را در پاسخ به یک سرور SYN-ACK به عنوان بخشی از TCP Three-Way Handshake نمی‌فرستند. اطلاعات جریان ترافیک مورد نیاز برای یک سرور شناسایی امنیتی نیاز به ردیابی سه فیلد کلیدی دارد:

شرکت امن پایه ریزان کارن APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور تماس با کارشناسان 021-88539044-5
  • آدرس مقصد یا Subnet
  • TCP Flags
  • Packet Count

سرور شناسایی امنیتی می‌تواند اطلاعات کلی NetFlow Flexible را مانیتور نماید و این اطلاعات ممکن است علاوه بر اینکه با استفاده از NetFlow Flexible، مانیتور داینامیک جریان جدید در پیکربندی روتر ایجاد می‌شود، دید دقیقی از این حمله خاص را فراهم کند. مانیتور جریان جدید می‌تواند با فیلتر ورودی همراه باشد تا ترافیک قابل شناسایی درFlexible NetFlow Cache را محدود نموده و به منظور تشخیص حملات مبتنی بر TCP، اطلاعات خاصی را ردیابی کند. در این مورد کاربر ممکن است بخواهد تمامی اطلاعات جریان ترافیک به آدرس سرور مقصد و یا Subnet را مسدود کند تا میزان اطلاعاتی که سرور شناسایی امنیتی باید مورد بررسی قرار دهد، محدود شود. اگر سرور تشخیص امنیتی بخواهد این حمله را تشخیص دهد احتمالا لازم است به منظور جمع‌آوری و انتقال اطلاعات Payload و یا بخش‌های Packetها مانیتور کردن جریان دیگری را برنامه‌ریزی نماید تا دیدی عمیق‌تر به Signature درون Packet داشته باشد. این مثال تنها نمونه‌ای از روش‌های گوناگونِ استفاده از Flexible NetFlow در شناسایی خطرات احتمالی امنیتی می‌باشد.

معیار شناسایی جریان ترافیک برای استفاده جهت آنالیز Flexible NetFlow

در صورتی که رکوردهای از پیش تعریف شده برای ترافیک مورد نیاز، مناسب نباشند، می‌توان با استفاده از دستورات Collect و Match افزونه‌ی Flexible NetFlow، رکورد سفارشیِ مبتنی بر کاربر ایجاد نمود. اما قبل از ایجاد رکوردی سفارشی باید نوع شاخص مورد استفاده برای فیلدهای کلیدی و غیرکلیدی تعیین گردد.

به منظور ایجاد رکوردی سفارشی برای تشخیص حملات شبکه، باید فیلدهای کلیدی و غیرکلیدی مناسب را در آن رکورد منظور نمود تا روتر جریان‌های ترافیک و اطلاعات مورد نیاز برای تجزیه و تحلیل حملات و پاسخ به آن‌ها را ایجاد ‌نماید. مثلا حملات  SYN Flood به عنوان حملات DoS رایج محسوب می‌شوند که TCP Flagها برای پوشاندن درخواست‌های TCP باز به Host مقصد استفاده می‌گردند. هنگامی که یک اتصال TCP نرمال راه‌اندازی می‌شود، Host مقصد از جانب یک Host مبدا یک پکت   SYN  برای فرآیند Synchronize/Start دریافت کرده و  SYN ACKرا می‌فرستد. سپس Host مقصد باید قبل از اینکه اتصال برقرار گردد از SYN/ACK یک ACK (تایید) دریافت نماید. از این فرآیند با عنوان TCP Three-Way Handshake یاد می‌شود. در حالی‌که Host مقصد منتظر ACK برای ارسال SYN ACK می‌باشد یک صف اتصال با اندازه‌ای محدود بر روی Host مقصد، اتصالاتی که منتظر تکمیل هستند، را ردیابی می‌نماید. این صف به طور معمول به سرعت تخلیه می‌گردد چراکه اصولا ACK چندمیلی ثانیه پس از SYN ACK می‌رسد. حمله‌ی TCP SYN با استفاده از یک Host مبدا مهاجم، از این طراحی سوءاستفاده نموده و به سرعت Packetهای TCP SYN با آدرس مبدا تصادفی، به سمت Host هدف ایجاد می‌نماید. Host مربوطه به آدرس مبدا تصادفی یک SYN ACK می‌فرستد و مدخلی برای صف اتصال اضافه می‌کند و چون‌ SYN ACK برای یک Host نادرست یا نامعتبر معین شده، آخرین قسمت TCP Three-Way Handshake هرگز کامل نمی‌شود و آن ورودی تا زمان منقضی شدن تایمر که معمولا یک دقیقه است، در صف اتصال باقی می‌ماند. هنگامی‌که Host مبدا به سرعت Packetهای TCP SYN را از آدرس‌های IP تصادفی ایجاد می‌نماید، صف اتصال ممکن است پر شده و سرویس‌های TCP همچون ایمیل، انتقال فایل یا WWW برای کاربران مجاز مسدود گردند.

اطلاعات مورد نیاز برای یک رکورد مانیتورینگ امنیتی برای این گونه از حملاتِ DoS می‌تواند شامل فیلدهای کلیدی و غیرکلیدی زیر باشد:

فیلدهای کلیدی:

  • آدرس IP مقصد یا IP Subnet مقصد
  • TCP flags
  • Packet count

فیلدهای غیرکلیدی:

  • آدرس IP مقصد
  • آدرس IP مبدا
  • ورودی و خروجی واسط کاربری

بسیاری از کاربران اقدام به پیکربندی نمودن یک مانیتور Flexible NetFlow می‌نمایند که دید دقیق‌تری به حملات DoS فراهم می‌نماید و از این فیلدهای کلیدی و غیرکلیدی استفاده می‌کند.

مطلب مفید بود؟


?