Akış izleme araçları trafik modellerini, planlama kapasitesini ve tespit tehditlerini izlemek için yararlıdır. Ancak, birçok hazır çözüm, özellikle her paketi işlemek istiyorsanız, dik lisans maliyetleri ve donanım talepleri ile birlikte gelir. Tübingen Üniversitesi’nde bir araştırma ekibi bir alternatif oluşturdu: örneklenmemiş IPFIX verilerini toplamak için açık kaynaklı, uygun maliyetli ve dağıtılmış bir platform.
Sensör adı verilen sistemleri, üniversitenin ağındaki birden fazla noktada trafiği izlemek için açık kaynaklı yazılım ve satıcı agnostik bileşenleri kullanır. Bu kurulum, izleme sadece çevrede yapılırsa, aksi takdirde fark edilmeyecek dahili akışları yakalar.
Yaklaşım, yerleşik akış ihracatçılarına sahip pahalı yönlendiricilere ihtiyaçtan kaçınır ve bunun yerine ayna bağlantı noktaları ve yazılım tabanlı akış ölçerleri çalıştıran genel amaçlı sunucular kullanır.
Tübingen Üniversitesi’nde Akış İzleme Platformu
Nasıl Çalışır
Platformun merkezinde iki tür akış ölçer vardır: açık kaynaklı araç YAF’ı çalıştıran yüksek performanslı sunucular ve Mikrotik yönlendiricileri, yansıtılmış trafikten IPFIX oluşturmak için özel bir yapılandırma kullanıyor.
Omurga ve veri merkezi trafiği için ekip, paket işleme için PF halka kitaplığını kullanacak şekilde yapılandırılmış 100 Gbit/s Nics ve YAF ile sunucular kullanır. YAF, derin paket inceleme, uygulama etiketleme ve hatta DHCP tabanlı işletim sistemi tanımlaması için eklentileri destekler.
Erişim seviyesi izleme için ekip Mikrotik yönlendiricilere döndü. Bu cihazlar normalde ayna bağlantı noktalarından pasif akış izlemeyi desteklemez. Ancak araştırmacılar bir çözüm buldular. Bir köprü oluşturarak ve Routeros’un güvenlik duvarı yığını üzerinden trafiği zorlayarak, paketler başlangıçta cihaz tarafından iletilmese de, Mikrotik’in “trafik akışı” özelliğini kullanılabilir IPFIX verileri oluşturmak için alabildiler. Bu, ağın geri kalanını değiştirmeden akış verilerini toplamak için güçlü bir CPU ile nispeten düşük maliyetli bir yönlendirici kullanmalarını sağlar.
Toplama ve işleme akışları
Koleksiyon tarafında, platform paralel olarak çeşitli araçlar kullanır: akışları çoğaltmak için NFACCTD, analiz ve depolama için nfDump ve ipek ve format dönüşüm için goflow2. GOFLOW2, JSON veya Protobuf’a akışları standartlaştırır ve bunları aşağı akış bileşenlerinin bunları olay olarak işlemesine izin veren Apache Kafka’ya gönderir. Ekip ayrıca anonimleştirme ve metrik çıkarma dahil olmak üzere analiz iş akışları oluşturmak için FlowPipeline kullanıyor.
Koleksiyoncuları karıştırarak ve eşleştirerek sistem farklı kullanım durumlarını destekleyebilir ve özel boru hatlarına izin verebilir. Her bileşen, platformu performans ihtiyaçlarına veya analiz hedeflerine uyarlamaya yardımcı olan değiştirilebilir ve modülerdir.
Neden Önemlidir
Çoğu akış izleme kurulumu, bir satıcıya kilitlenmiş ve güçlü, pahalı cihazlar gerektiren gömülü akış ölçerlerine dayanır. Sensör, yalnızca açık araçlar ve emtia donanımı kullanarak esnek ve ölçeklenebilir bir alternatif oluşturmanın mümkün olduğunu gösterir. Ayrıca operatörlerin iç trafiği daha kapsamlı bir şekilde izlemelerini sağlar, sadece ağ sınırını geçen şeyleri değil.
Boris Lukashev, Semper Victus & Inferssight’ta CTO, Net Security’ye açık araçlarla örneklenmemiş akışları toplama yeteneğinin değerli olduğunu, ancak bağlam önemli olduğunu söyledi.
“Örnekleme ağ mühendisliği için iyi çalışır, ancak güvenlik işlemleri için daha az etkilidir. Tedarikçi yaklaşımları değişir ve birisi 100: 1’de örneklenen bir segment üzerinden birkaç bayt atarsa, onu tamamen kaçırabilirsiniz. Bazı satıcılar, cihazın dahili akış tablolarında saklandığı için ‘örnek’ olarak bile yakalanır.”
Lukashev, makalenin adil bir noktaya değindiğini söylüyor, ancak deterministik gecikme ile ileri zenginleştirmeye ihtiyacınız olmadığı sürece araştırmacıların inşa ettiği boru hattı gerektiğinden daha ağır hissediyor.
Lukashev, “Tam hat oranlı NIDS muslukları genellikle güvenliği destekleyen çoğu ağ mühendisliği ekibinin kapsamının ötesindedir ve satın almadan önce mimari planlamanın etkili olması için mimari planlama gerektirir.
Sistem zaten Tübingen Üniversitesi’nde konuşlandırılıyor ve ekip, akış sayaçlarının ve paket işleme kütüphanelerinin performans sınırlarını karşılaştırarak çalışmalarını genişletmeyi planlıyor. Bu sınırların nerede olduğunu anlamak, izlemenin daha yüksek trafik hacimlerinde bile örneklenmemesini sağlamaya yardımcı olacaktır.
Küçük ağların ötesinde ölçeklendirme
Paessler’deki Global İş Geliştirme Müdürü OT/IoT olan David Montoya, sensöre “Derinlemesine trafik analizine erişim sağlarken kurumsal sınıf ekipmanlarının eksikliğini aşmak için açık kaynak teknolojilerinin nasıl kullanılacağının harika bir örneği” diyor. Ancak aynı zamanda “büyük bir ağ veya ISS için ilk tercih olmayan teknolojilere dayandığını” da uyarıyor.
Mikrotik yönlendiriciler sensörde önemli bir rol oynarken, David bu cihazların büyük işletmelerden ziyade küçük ve orta ölçekli işletmelere yönelik olduğunu belirtiyor. Yönlendirme boşluklarını etkili ve uygun bir şekilde doldururlar, ancak Cisco, Juniper, Huawei veya Nokia’nın ekipmanlarına kıyasla onlar için sınırlı kullanım görür.
Büyük satıcıların kurumsal sınıf yönlendiricilerinin zaten gömülü IPFIX, Netflow V9 veya JFlow ile birlikte trafik örneklemesini işleme gücü ile birlikte gönderildiğini belirtiyor. Bunlar doğrudan koleksiyonculara bağlanabilir ve hacim izleme için SNMP, veri bozulması algılama için RMON ve titreşim ve paket kaybını ölçmek için QoS araçları gibi diğer izleme protokolleriyle entegre olabilir. Bunlar birlikte daha geniş bir operasyonel görünüm sağlar.
Sensörle sınırlama, ayrıntılı akış görünürlüğü sunarken, bu diğer protokolleri bir arayüzde birleştirmemesidir. Büyük bir ağ için, sorun giderme ve gözetim daha karmaşık hale getirebilir. “Böyle bir şey küçük ağlar için iyi,” diye açıklıyor David, “ama kesinlikle daha büyük ağlardaki sorun giderme ve gözetimini karmaşıklaştırıyor.”
David ayrıca sensörün gerçek zamanlı uyarma ekleyerek tarihsel analizin ötesine geçme potansiyelini de görüyor. “Kağıt, akış toplayıcıların hızla yükselen UDP trafiği gibi anomaliler için alarmları tetikleyip tetikleyemeyeceğini açıklamıyor.
Donanım ve performans uyarıları
Resilix CEO’su Leo Valentić, sensör tasarımındaki donanımla ilgili kısıtlamaları vurgular. “Ana sınırlama, Mikrotik Köprü geçici çözümünün, özel anahtarlama donanımı yerine CPU aracılığıyla yansıtılmış trafik göndermesidir. Bu, performansı sınırlar, daha az sağlam hale getirir ve ambalajsız izleme hedefinin altını çizen yüksek verimli ortamlarda bir darboğaz oluşturur.”
Valentić, akış ihracatında damla veya tutarsızlık riski de olduğunu, çünkü cihaz pasif yansıtılmış trafiği bu şekilde ele almak için tasarlanmadığını ve yük altında tahmin edilemez bir şekilde davranabileceğini belirtiyor.
“Son olarak, yaklaşım kırılgandır. Roueros yığınından trafiği zorlamak için hassas köprü ve güvenlik duvarı yapılandırmalarına dayanır, bu da güncellemelere, yanlış yapılandırmalara veya donanım değişikliklerine duyarlı hale getirir. Güvenilirliğin kritik olduğu üretim ortamlarında, bunun haklı olması zor olacaktır” dedi.
Şimdilik, sensör en iyi tarihsel analiz ve hedefli izleme için yetenekli, bütçe dostu bir seçenek olarak görülüyor, gerçek zamanlı uyarma ve daha fazla ölçeklenebilirlik eklenirse büyüyecek yer.
Okumalı:
Temel açık kaynaklı siber güvenlik araçları hakkında bilgi sahibi olmak için Net Security Reklamsız Aylık Haber Bülteni’ne abone olun. BURADA Abone Olun!