Zaznacz stronę
Formularz kontaktowy
Jeśli interesuje Cię nasza oferta, skorzystaj z formularza i zadaj pytanie naszemu specjaliście.

Tworzenie przenośnego zestawu do analizowania danych

Do czego potrzebny jest taki zestaw?

Zespoły zajmujące się kryminalistyką sieci i bezpieczeństwem cybernetycznym (cybersecurity) muszą mieć możliwość przechwytywania ruchu sieciowego i pakietów danych w czasie rzeczywistym, aby zapobiegać zagrożeniom i atakom na żywo. Duże firmy muszą dopasować mechanizmy przechwytywania ruchu w sieci, do rozmiaru i architektury swojej sieci. Na przykład firmy z dużymi sieciami, z rozproszonymi centrami danych muszą wdrożyć wiele punktów przechwytywania, zasilając centralne urządzenie do analizy pakietów (analizator sieci), które będzie w stanie odbierać i analizować dane z szybkością 10 Gb/s lub nawet 100 Gb/s.

Niestety nie wszystkie firmy mają wiele centrów danych w architekturze rozproszonej. W rzeczywistości większość małych i średnich organizacji ma całą infrastrukturę IT hostowaną w jednej lokalizacji. Większość z tych firm nie jest w stanie zainwestować w kosztowne produkty do analizy bezpieczeństwa sieci. Z doświadczenia możemy powiedzieć, że kierownictwo woli przeznaczać większą część budżetu na sprzęt produkcyjny IT, aniżeli na sprzęt dla wsparcia, zwłaszcza drogie analizatory sieci, których brak może prowadzić do naruszeń bezpieczeństwa.

Małe i średnie przedsiębiorstwa mogą skorzystać z przenośnego zestawu do analizy kryminalistycznej sieci. Przy znacznie niższych kosztach nadal umożliwia wykonywanie analiz kryminalistycznych w czasie rzeczywistym, w dowolnym segmencie sieci na żądanie. Ciężko się z takim podejściem sprzeczać.

Wyobraźmy sobie przypadek cyberataku, w którym oddział zostaje odłączony od centrali, a lokalny zespół IT chce przeprowadzić analizę kryminalistyczną wewnętrznej sieci swojego oddziału. A co, jeśli analizator sieci zostanie odizolowany w centrum danych z powodu problemu z łącznością wewnętrzną? W takich sytuacjach przenośny zestaw do badań kryminalistycznych pokazałby swoją prawdziwą wartość w oczach zespołu wsparcia IT.

Piękno takiego zestawu do zadań specjalnych kryje się w jego przenośności, umożliwiającej szybkie wdrożenie w dowolnym miejscu, w terenie i natychmiastowe podłączenie go do dowolnego segmentu sieci, bez konieczności posiadania dedykowanego źródła zasilania.

Jak stworzyć taki zestaw?

W celu zbudowania przenośnego zestawu, który bez problemu będzie mógł wydobyć i przeanalizować ruch sieciowy potrzebujemy trzech podstawowych narzędzi:

Laptop

Pierwszą rzeczą, której potrzebujemy, jest laptop. Chociaż wydaje się to oczywiste, musisz upewnić się, że masz odpowiednie urządzenie, które będzie spełniać wymagania. Oto minimalne specyfikacje: Laptop z przynajmniej 4 GB pamięci RAM, dysk SSD, o pojemności co najmniej 500 GB, karta sieciowa 1 Gb/s, port USB 3.0 i podtrzymanie bateryjne przez 3 godziny. Większość tych wymagań spełniają obecnie produkowane laptopy. Jednakże duża część przenośnych komputerów jest wyposażona w standardowy dysk twardy (HDD), zdecydowanie zalecamy pamięć masową opartą na SSD (Solid State Drive), ponieważ są one znacznie szybsze niż dyski HDD, a prędkość jest tym, czego potrzebujesz do prawidłowego przechwytywania. Zanim będzie można przeprowadzić analizę na pobranych pakietach, musisz je przechwycić i przechować na swoim laptopie.

Posiadanie pamięci masowej SSD dałoby znaczną przewagę czasową, ponieważ można przechowywać i analizować pakiety tak szybko, jak to możliwe podczas sytuacji kryzysowej. W porównaniu z dyskiem twardym, który typowo ma maksymalną prędkość zapisu na dysku na poziomie 100 MB/s, dysk SSD zapisuje na dysku znacznie szybciej z prędkością 500 MB/s lub więcej (niektóre dyski SSD, w formacie M.2 zapisują dane nawet z prędkością ponad 3000 MB/s). Pamiętaj, że musisz mieć co najmniej 250 MB/s szybkości zapisu na dysku, co wyjaśnimy w następnej sekcji.

Dodatkowo, dobrze byłoby żeby twój laptop nie był pierwszym lepszym sprzętem używanym przez zespół IT, ponieważ oznaczałoby to, że znajduje się na nim wiele aplikacji obciążających pamięć, powodujących znaczne zmiany w rejestrze. W konsekwencji taka sytuacja skutkuje zmniejszoną wydajnością. W idealnym świecie laptop tego typu powinien być dedykowaną maszyną przeznaczoną do specjalnych celów, takich jak analiza kryminalistyczna czy rozwiązywanie problemów na wyjeździe do klienta etc.

Wymóg posiadania portu USB 3.0 zostanie również wyjaśniony w następnej sekcji.

Analizator pakietów

Następnym wymaganym narzędziem jest analizator pakietów (znany również jako sniffer pakietów), który jest narzędziem (może być oprogramowaniem albo hardware) tworzącym logi, rejestrującym i analizującym ruch przechodzący przez sieć. W czasie gdy dane przepływają przez sieć, analizator pakietów odbiera przechwycone pakiety danych i dekoduje nieprzetworzone dane odkrywając wartości różnych pól w pakiecie, takich jak nagłówek TCP, czy detale o sesji. Następnie można analizować te wartości, zgodnie z odpowiednimi specyfikacjami RFC, aby wywnioskować czy pakiet zachowywał się „nienormalnie” podczas transportu między punktami sieci.

Na rynku dostępne są różne analizatory pakietów działające w systemie open-source, w tym najpopularniejszy, Wireshark. Chociaż jego funkcjonalności podobne są do urządzenia „tcpdump”, odróżnia się tym, że posiada interfejs GUI, ze zintegrowanymi opcjami filtrowania, które pomagają sortować pakiety, w krótszym czasie. Poza tym, Wireshark jest dostępny za darmo.

Więcej informacji na temat korzystania z tej funkcji znajduje się w kolejnej części artykułu.

Przenośny TAP

Żeby skutecznie i bezproblemowo przeprowadzać analizę pakietów, potrzebne jest urządzenie, które pomoże nam przechwytywać pakiety bezpośrednio z „żywego” ruchu. Spośród dwóch sposobów na przechwytywanie pakietów, port mirroringu (SPAN) i użycia TAPów, wybieramy ten drugi, jako że jest bardziej niezawodny i dokładny. O TAPach można poczytać więcej na innych naszych stronach, TU i TU. TAP pozwala na wpięcie się w łącze i dokładne przechwycenie całego ruchu sieciowego, bez ingerencji w niezawodność połączenia. TAPy często znajdują zastosowanie w aplikacjach bezpieczeństwa, ponieważ są nieinwazyjne i niewykrywalne w sieci (nie mają adresu logicznego ani fizycznego).

Spośród różnych typów TAPów dostępnych obecnie na rynku, TAPy przenośne szybko zyskują na popularności, ze względu na ich elastyczność i łatwość w przenoszeniu oraz możliwość natychmiastowego wdrażania w dowolnym miejscu. W prosty sposób można je podłączyć do laptopa, a po zainstalowaniu takiego narzędzia jak Wireshark, Twój laptop zmienia się w przenośny zestaw do prowadzenia badań i analizy sieci.

Jak korzystać z takiego zestawu?

Analiza kryminalistyczna (Forensic analysis) to wyspecjalizowana praca, która wymaga lat doświadczenia żeby dojść do poziomu biegłości. Podobnie jak doświadczony lekarz, który diagnozuje chorobę, szybko odczytując objawy, analityk sieciowy musi być w stanie szybko wykryć nieprawidłowości w sieci, szukając odpowiednich objawów. Naturalnie, taka wiedza przychodzi z latami praktyki i pracy w zawodzie. Istnieje jednak kilka podstawowych kroków, od których możesz zacząć taką analizę.

Oto krótka lista wskazówek, na które należy zwrócić uwagę podczas analizy kryminalistycznej.

Przejrzyj czasy wydarzeń

Czasy wydarzeń (eventów) mają kluczowe znaczenie dla określenia, czy w naszej sieci, lub sieci klienta, dzieje się coś niepokojącego. Zdarzenia zachodzące w krótkim czasie, powiedzmy kiluset milisekund lub nawet kilku sekund, mogą wskazywać na to, że są generowane przez boty, albo złośliwe oprogramowanie, a nie człowieka. Zakres takich okresów czasu, od milisekund do sekund, zależy od charakteru czynności, o której administrator sieci powinien wiedzieć. Na przykład otrzymywanie dziesiątek żądań DNS dla jednej witryny, z tego samego źródłowego adresu IP, w ciągu kilku milisekund, albo otrzymanie kilku żądań DNS dla tej samej witryny, z różnych źródłowych adresów IP, w ciągu kilku milisekund, to objawy wskazujące na to, że te żądania mogą być generowanie sztucznie przez automatyczne skrypty inicjowane przez boty lub złośliwe oprogramowanie.

Sprawdź ruch DNS

Ze względu na to, że DNS jest głównym protokołem obsługi wszystkich żądań wychodzących do Internetu, należy kontrolować aktywność ruchu na serwerze DNS. Jeżeli w Twojej sieci znalazł się jakiś nieautoryzowany system albo program, który zainteresowany jest nawiązywaniem połączeń wychodzących z Twojej sieci na zewnątrz, jesteś w stanie wykryć jego złośliwe działania na serwerze DNS. Jak wspomniano wcześniej, jedną z kluczowych przewag, jakie posiada Wireshark nad innymi analizatorami jest możliwość filtrowania pakietów według protokołów lub adresów IP. Używając tej funkcji, możesz odfiltrować wszystkie pakiety, które trafiają na adres IP Twojego serwera DNS i przyjrzeć się odebranym żądaniom, w określonych oknach czasowych. Jeżeli odnajdziesz coś niepokojącego (np. nadzwyczajna ilość żądań połączeń), możesz z góry założyć że Twój serwer DNS jest atakowany przez DoS.

Szukaj ataków typu MAN-IN-THE-MIDDLE

Jeden z bardziej popularnych ataków na sieć danej organizacji, jest atak typu Man-in-the-Middle (MitM), w których atakujący próbuje dostać się do sieci, udając jeden z zaufanych systemów tej sieci. W ataku MitM napastnik wkracza w połączenie między dwoma zaufanymi systemami, przejmuje je i przekierowuje cały ruch do siebie. W czasie, gdy dwaj zaufani członkowie wierzą, że mają bezpośrednie połączenie ze sobą, w rzeczywistości komunikują się przez pośrednika przechwytującego ich dane. Pozwala to nie tylko nasłuchiwać konwersacji między urządzeniami, ale także ją modyfikować. Najczęściej spotykaną metodą przeprowadzania ataku tego typu jest spoofing ARP, znany też jako ARP cache poisoning. Podczas takiego ataku napastnik rozgłasza fałszywe komunikaty ARP w sieci LAN, aby skojarzyć swój adres MAC z adresem IP jednego z zaufanych systemów w sieci LAN np. bramy domyślnej, serwera DNS czy serwera DHCP, w zależności od tego jaki jest plan ataku.

Używając funkcji filtrowania możemy odszukać wszystkie pakiety ARP i jeżeli natrafimy na dużą ilość ruchu ARP (rozgłoszeń i odpowiedzi), może to oznaczać, że jesteśmy ofiarą oszustwa. W infrastrukturze działającej już jakiś czas, każde z urządzeń powinno mieć mapę wszystkich zaufanych urządzeń w swojej pamięci podręcznej, dlatego więc nie powinno się znajdować długiej listy wiadomości ARP. Odkryj adres źródłowy i docelowy w nagłówkach pakietów i zbadaj czy trwa atak tego typu.

Wykryj ataki DOS/DDOS (Denial of Service)

Jest to również jeden z najpopularniejszych ataków przeprowadzanych z wnętrza sieci lub z jej zewnątrz. Celem takiego ataku jest doprowadzenie do takiego zużycia zasobów maszyny lub sieci, żeby ostatecznie stały się niedostępne dla jej rzeczywistych użytkowników. Ataki DoS często przeprowadzane są na serwery sieci Web, w celu zawieszeniu usług sieciowych, gdy serwer jest połączony z internetem. Podczas ataku DoS napastnik bombarduje docelowy serwer zapytaniami TCP/SYN, z prośbą o otwarcie połączenia, ale adres źródłowy jest albo fałszywy albo podrobiony. Jeżeli źródło nie istnieje, serwer nie jest w stanie odpowiedzieć wiadomością TCP/SYN-ACK, bo nie może odkryć adresu MAC źródła. Jeżeli źródło jest podrobione, serwer odpowiada wiadomością TCP/SYN-ACK i czeka na finalną wiadomość ACK, żeby zakończyć połączenie TCP. Jednak przez to, że prawdziwe źródło nigdy nie inicjowało takiego połączenia, serwer nigdy nie otrzymał ostatecznej odpowiedzi i czeka z półotwartym połączeniem. W obu przypadkach serwer jest „zalewany” (SYN Flooding) żądaniami TCP/SYN, co skutkuje niezwykle dużą liczbą niezakończonych połączeń, co może ograniczać wydajność serwera.

Aby szybko zidentyfikować, czy nasza sieć jest ofiarą ataku DoS, należy odfiltrować pakiety TCP używając Wiresharka. Następnie użyć opcji wyświetlania wykresu sekwencji pakietów, który ilustruje przepływ połączeń TCP, ze strzałkami łączącymi system źródłowy i docelowy. Jeżeli widzisz, że duża ilość pakietów TCP/SYN trafia z jednego źródłowego adresu IP na docelowy adres IP serwera, który nie odpowiada albo odpowiada zapytaniami SYN-ACK, które nie mają odpowiedzi ACK ze źródła, najpewniej jesteś świadkiem ataku DoS.

Jeżeli jednak widzisz strumień zapytań TCP/SYN atakujących Twój serwer docelowy, z wielu adresów źródłowych, może być to atak DDoS (Distributed Denial of Service), w którym do ataku używa się więcej niż jednego urządzenia atakującego, który można zdobyć np. rozsyłając spreparowany plik w sieci komputerowej i infekując ją, robiąc z jej użytkowników tzw. zombie.

Jaki przenośny TAP najlepiej będzie spełniał takie wymagania?

Do spełnienia powyższych wymagań potrzebny jest TAP, który nie będzie ograniczał w żaden sposób sieci, jest prawdziwie mobilny i przenośny, powinien być wielkości kieszeniowej. Powinien również w łatwy sposób dać się podłączyć do laptopa i być jednocześnie wystarczająco wydajny, by móc przechwytywać 100% ruchu bez utraty pakietów czy opóźnień w czasach pakietów.

W takim wypadku proponujemy ProfiShark 1G, przenośnego TAPa z dwoma portami 1Gb/s, który bez problemu poradzi sobie z przesyłaniem ruchu z dwóch ścieżek na port monitorujący. Jednak to czym różni się od konkurencji to brak standardowego portu monitorującego RJ45. Zamiast tego, korzysta z szybkiego portu USB 3.0 przesyłającego do 5Gb/s danych, który służy przy okazji za zasilanie. 5 Gb/s wystarczy do bezproblemowego przesyłania zagregowanego ruchu sieciowego, z dwóch portów 1G w każdą stronę przez połączenie USB 3.0.

Oznacza to, że pamięć w buforze nie musi pomijać żadnych pakietów, ani przechowywać ich tak długo, aby wpłynąć na ich synchronizację. Jak zostało wspomniane wcześniej, ProfiShark 1G jest łączony z laptopem/PC poprzez port USB, przez co działa w trybie plug&play pobierając energię z portu USB komputera. W połączeniu z laptopem tworzy to naprawdę przenośny i potężny zestaw do przechwytywania i analizy pakietów, gotowy do użycia w dowolnym miejscu bez uzależnienia od źródła zasilania.

ProfiShark 1G może przechwytywać i przesyłać pakiety bezpośrednio do Twojego laptopa z pełną prędkością – 2Gb/s pod warunkiem, że w Twoim komputerze znajduje się dysk SSD zgodnie z zaleceniami z poprzednich akapitów („aby przechwytywać i zapisywać pakiety z prędkością 2Gb/s wymagana jest prędkość zapisu na dysku na poziomie 250 MB/s”). Taka funkcjonalność umożliwia wprowadzenie timestampingu z dokładnością do nanosekundy. ProfiShark 1G dostarczany jest z własnym oprogramowaniem i GUI – ProfiShark Managerem, który może działać równolegle z innymi analizatorami takimi jaki WireShark czy Omnipeek. Software jest kompatybilny z platformami Windows i Linux.

Jedną z zalet ProfiShark Manager jest to, że umożliwia przechwytywanie ruchu bezpośrednio na laptopie, za pomocą 1 kliknięcia, bez konieczności stosowania analizatora sieci. Jest to szczególnie przydatne w sytuacjach, w których musisz przechwycić ruch, w zdalnym segmencie sieci i przeanalizować go na innym komputerze niż laptop, eksportując plik PCAP. W GUI znajdziemy również sekcję „Liczniki”, w której wyświetlane są wewnętrzne liczniki dla obu portów sieciowych, A i B. Pokazuje ona liczbę poprawnych/niepoprawnych pakietów, błędy CRC, kolizje i różne rozmiary pakietów. To szybki sposób na sprawdzenia jakości ruchu przychodzącego na każdym porcie, bez konieczności otwierania analizatora sieci.