Autor: RNDr. Pavel Minařík, Managing director, AdvaICT, a.s.

Všichni jsme stále více a více závislí na informačních technologiích a internetu. Firmy, školy, nemocnice, státní správa, atd. Ruku v ruce s využíváním informačních technologií jde jejich zneužívaní. Počítačová kriminalita se, dle zprávy FBI, již od roku 2006 celosvětově vyplácí více než např. prodej drog. Tyto varující zprávy jednoznačně dokládají potřebu moderních metod ochrany před kybernetickými hrozbami a kybernetickým zločinem. Zatímco v oblasti ochrany před obecnými hrozbami (viry, spam, spyware, atd.), tj. ochrany na perimetru, existuje celá řada postupů a produktů, v oblasti cílených útoků, útoků zevnitř nebo obecně útoků se znalostí lokálního prostředí krabicová řešení selhávají. Tento článek si klade za cíl seznámit čtenáře s moderními metodami analýzy a vizualizace provozu na počítačové síti se zaměřením na problémy ochrany sítě proti vnitřním útočníkům.

Na čem budeme stavět

Ale začněme pěkně po pořádku. Nejprve je třeba počítačovou síť monitorovat. Klasické technologie monitoringu spoléhající na SNMP statistiky rozhodně nejsou synonymem bezpečnosti a zachytávání veškerého provozu včetně obsahu naráží na legislativní a technické bariéry (extrémní objem dat). Pravidelným čtenářům magazínu ICTsecurity jistě není neznámá technologie NetFlow, která výše zmiňované bariéry elegantně překonává. Technologii NetFlow se podrobně věnuje kolega Jiří Tobola ve článku http://www.ictsecurity.cz/copy-of-monitoring-siti-analyza-logu/flowmon-inovativni-pristup-v-oblasti-monitorovani-a-bezpecnosti-pocitacovych-siti.html zejména s ohledem na její využití v oblasti monitorování sítě a souvisejících služeb.

Jak využít pořádné základy

Pro účely tohoto článku připomeňme, že NetFlow záznam je definován jako jednosměrný tok dat z jednoho zdroje k jednomu cíli (přesněji je definován pěticí zdrojová IP adresa, zdrojový port, cílová IP adresa, cílový port, protokol). Typický přenos dat v síti internet však není jednosměrný tok, ale obousměrné spojení. Tuto informaci však NetFlow data neobsahují. Řešením je rozšíření Bidirectional flows definované ve standardu RFC 5103, které je však dosud běžně nedostupné. Díky rozdělení toků na požadavky, odpovědi a datové toky bez odpovědi jsme schopni v síti rozpoznat klienty, servery nebo zcela přirozeně odhalit skeny (toky bez odpovědi).

Dalším využitím je profilování chování zařízení na síti. Mezi zajímavé profily patří například klasifikace zařízení jako serveru či klienta nebo poskytovaných a využívaných služeb. Náhlá změna v profilu chování může znamenat napadení zařízení spywarem, jeho zneužití neoprávněnou osobou nebo selhání SW vybavení. Přitom z pohledu ochrany sítě na perimetru je vše v pořádku. Díky rozšíření Bidirectional flows je možné budovat podrobnější profily chování, např. separovat příchozí požadavky od příchozích odpovědí na požadavky, bez Bidirectional flows bychom se museli spokojit s údajem o objemu příchozího provozu.

A co takto slovníkové útoky?

NetFlow data je však možné využít i pro mnohem náročnější úlohy. Jedním z dnes nejrozšířenějších útoků je slovníkový útok na síťové služby, např. SSH protokol. Dosud používané metody detekce a obrany spoléhají na tzv. host-based přístup, kdy na každém stroji poskytujícím SSH službu je nainstalován software monitorující pokusy o připojení (log SSH serveru) a v případě několika neúspěšných pokusů z jediné IP adresy tuto zablokuje na firewallu stroje. Mezi hlavní nevýhody tohoto přístupu patří izolované řešení útoků na více místech, tj. informace o útocích na jednotlivé stoje není možné sledovat na jednom místě. Nízkou škálovatelnost a nepříznivé náklady na správu jistě není třeba zdůrazňovat. 

Alternativu tohoto přístupu představuje metoda založená na analýze NetFlow dat vyvinutá na Ústavu výpočetní techniky Masarykovy univerzity v roce 2008. Tato metoda analyzuje veškerý provoz v dané síti, buduje strom SSH útoků, sleduje charakteristiky probíhajících útoků a jejich změny. S velkou pravděpodobností je navíc schopna rozpoznat i úspěšný útok od neúspěšného. Mezi největší výhody této metody patří eliminace více míst detekce a reakce na útoky z jediného místa.

Vizualizace provozu

Poslední důležitý aspekt monitorování a bezpečnosti sítí je vizualizace provozu. Statistické grafy poskytují dobrý přehled o celkovém stavu sítě a umožňují odhalit masivní anomálie. NetFlow data v textové podobě pak obsahují všechny detaily, zahlcení operátora je však nevyhnutelné. Střední úroveň podrobnosti umožňující snadno získat detaily v místě, kde je třeba, však citelně chyběla.

V současné době se prosazuje využití orientovaných grafů, kdy jednotlivé uzly reprezentují zařízení na síti a hrany znázorňují komunikaci mezi těmito zařízeními. V této formě vizualizace lze využívat tvarů, velikostí i barev pro upoutání pozornosti operátora na zajímavá místa v síti. Vizualizaci provozu na síti ve formě orientovaných grafů si můžete vyzkoušet prostřednictvím nástroje NFVis Free - pokud máte zájem této možnosti využít, kontaktuje autora článku.

Teorie vs. praxe

Výše uvedené metody však nezůstaly pouze v akademické prostředí. Jejich aplikací v praxi se zabývá společnost AdvaICT nabízející platformu MyNetScope sloužící k analýze, zpracování a vizualizaci NetFlow dat. Mezi klíčové vlastnosti této platformy patří:
• těsná integrace se zdroji NetFlow dat,
• první implementace standardu Bidirectional flows,
• detekce nežádoucích vzorů chování (např. slovníkové útoky),
• budování profilů chování zařízení v síti,
• pokročilá vizualizace ve formě orientovaných grafů kombinující více vizualizačních metod v jediné pracovní ploše.

Zkušenosti z praxe jednoznačně potvrzují přínosy monitorování sítí a pokročilých metod zpracování NetFlow dat. Systém MyNetScope je již déle než rok provozován na Masarykově univerzitě (síť obsahující více než 10.000 počítačů), kde slouží zejména k obraně před slovníkovými útoky.