Spis treści
Wykrywanie skanowania sieci poprzez analizę NetFlow
Jednym z najważniejszych etapów rozpoznania sieciowego jest skanowanie sieci pod kątem działających urządzeń, uruchomionych usług i istniejących podatności.
Na szczęście skanowanie sieci pozostawia wyraźny ślad w ruchu sieciowym. Ślad, który łatwo zauważyć, analizując dane NetFlow. Podczas skanowania sieci bardzo duża liczba połączeń kończy się niepowodzeniem. Wynika to z faktu, że niewiele sieci wykorzystuje wszystkie adresy IP w dostępnej podsieci. Z drugiej strony, nawet jeśli pod danym adresem IP działa host, nie oznacza to, że uruchomione są na nim wszystkie usługi, które chce wykryć atakujący. Dzieje się tak, ponieważ wiele automatycznych skanerów w ramach jednego skanu sprawdza najpopularniejsze usługi zarówno dla systemów Linux, jak i Microsoft Windows.
Skanowanie poziome i pionowe sieci
Przyjrzyjmy się dwóm najpopularniejszym typom skanowania sieci: skanowaniu poziomemu (Horizontal scan) i pionowemu (Vertical scan).
Skanowanie poziome to bardzo szerokie rozpoznanie urządzeń działających w sieci. W tym przypadku urządzenie atakującego próbuje nawiązać połączenie ze wszystkimi hostami w sieci. Zazwyczaj skanowanych jest wiele adresów IP, ale tylko jeden lub kilka portów na każdy z nich. Każda odpowiedź na wysłane żądanie oznacza, że skanowany host działa.
Skanowanie pionowe działa nieco inaczej. Po początkowym ustaleniu, że host działa, atakujący próbuje zidentyfikować, jakie usługi są na nim uruchomione i w jakich wersjach (tzw. Fingerprints). W tym przypadku do pojedynczego adresu IP wysyłanych jest wiele żądań na różne porty. W zależności od wybranego narzędzia lub mechanizmu skanowania możliwe jest skanowanie 100 najpopularniejszych portów, portów z zakresu 1–1024 lub wszystkich portów z zakresu 1–65535.
Dlaczego użycie danych NetFlow to dobry sposób na wykrycie skanowania sieci?
NetFlow umożliwia monitorowanie przepływu danych w sieci. Jego ogromną zaletą jest przekazywanie informacji o każdej komunikacji, jaka miała miejsce – niezależnie od tego, czy była to wymiana dużych ilości danych, czy pojedynczych pakietów między stronami. NetFlow zapisuje każdy kierunek przepływu oddzielnie, a więc pozostawia ślad transmisji jednokierunkowych lub – jak w przypadku skanowania sieci – nieudanych prób połączeń.
Jak Sycope wykrywa skanowanie sieci?
Sycope Security to zbiór wielu reguł służących do wykrywania anomalii wolumetrycznych i jakościowych w ruchu sieciowym. Wśród blisko 60 metod wykrywania znajdują się metody wykrywania poziomego i pionowego skanowania sieci. Ich założenie polega na zliczaniu liczby unikalnych par adres–port oraz liczby nawiązanych sesji.
W przypadku skanowania poziomego mechanizm wykrywa połączenia lub próby połączeń pochodzące z jednego adresu IP, które są nawiązywane z wieloma różnymi urządzeniami.
Skan horyzontalny
Dla skanowania pionowego wykrywane są połączenia lub próby połączeń pomiędzy parą adresów IP. Alarm jest wyzwalany, jeśli takie połączenia są nawiązywane na dużej liczbie portów – większej niż w przypadku standardowej komunikacji.
Zastosowanie wszystkich tych parametrów i przypisanie im odpowiednich wartości w metodach wykrywania sprawia, że dla poprawnego ruchu sieciowego, w którym klient nawiązuje prawidłowe sesje i wymienia dane, alert nie zostanie wygenerowany. Z kolei jeśli w komunikacji pojawiają się wzorce wskazujące na odejście od standardów, system uruchomi alert i poinformuje administratora o samym zdarzeniu oraz jego szczegółach.
Co istotne, administrator systemu ma możliwość dostosowania progów do własnej sieci i wymagań, ponieważ parametry reguły mogą się różnić od wartości domyślnych – choćby ze względu na wielkość sieci.
Podsumowanie
Sposób działania NetFlow sprawia, że informacje o każdym ruchu w sieci są zapisywane i przekazywane do kolektora. Z kolei prawidłowa interpretacja tych danych i wykrywanie anomalii to zadanie modułów analizy.
