Аудит безопасности с помощью портативного планшета для сетевого анализа OptiView XG | enterprise.netscout.com

Аудит безопасности с помощью портативного планшета для сетевого анализа OptiView XG

В большинстве сетей обеспечивается максимальная защита от внешних угроз, а защита от внутренних угроз менее надежная. Некоторые сети, например используемые в организациях национальной безопасности, финансовых учреждениях, коммунальных службах или других организациях со строгими требованиями к соответствию, должны быть максимально защищены и от внутренних рисков. Такие сети могут быть развернуты, например, в объектах, где регулярно проводится поиск технических средств перехвата информации.

Хотя в них и используются инструменты непрерывного мониторинга безопасности, эксперты используют OptiView XG, чтобы дополнительно укрепить защиту систем. Проводя внезапные, случайные проверки, не поддерживаемые штатными средствами мониторинга, эти специалисты усложняют задачу тем, кто хочет получить несанкционированный доступ. OptiView XG также позволяет проводить «стороннюю» проверку процедур обеспечения безопасности.

NETSCOUT OptiView XG идеально подходит для этой цели благодаря широкому спектру возможностей (тестирование физического уровня, пассивный мониторинг, обнаружение устройств, SNMP/RMON), технологий подключения (медные/оптоволоконные/беспроводные сети) — и все это в портативном, работающем от батареи устройстве. В этой заметке описываются типы тестов, которые OptiView XG может использовать для аудита безопасности сети.


Активное или пассивное тестирование?

Доступ к сети для тестирования зависит от проектирования сети. Коммутаторы усложняют пассивный мониторинг сети, так как каждый порт коммутатора изолирован от соседних портов. Чтобы эффективно отслеживать работу коммутируемой сети, OptiView XG необходимо подключить таким образом, чтобы он мог видеть весь трафик, кроме специально передаваемого OptiView XG. Самый простой способ добиться этого — использовать зеркалирование или объединение портов, когда коммутатор пересылает трафик от выбранных портов на порт, к которому подключен анализатор OptiView XG. Для этого нужно получить доступ к коммутатору и знать, как его настроить. Другой подход заключается в установке ответвителей или использовании встроенных возможностей анализатора на критических каналах, чтобы OptiView XG мог собирать статистические данные о трафике и перехватывать нужные транзакции. Для этого необходимо заранее спроектировать и установить ответвители в оптимальных местах. После установки аудитор легко сможет подключить OptiView XG к сети и начать контролировать и собирать трафик.


Активные тесты могут предоставить гораздо больше информации в коммутируемой сети и позволяют воспользоваться самыми мощными функциями OptiView XG. Тем не менее другие устройства в сети могут замечать активные тесты, что не всегда желательно для управления безопасностью, потому что опытные пользователи могут увидеть подобные тесты. При этом такой пользователь может прекратить несанкционированные действия, прежде чем их заметит OptiView XG. На практике это может быть очень трудно, потому что к тому времени, когда пользователи заметят OptiView XG, их действия также будут зарегистрированы. Однако многие аудиторы безопасности предпочитают быть полностью невидимыми и избегают активное тестирование.

Рис. 1.

Рисунок 1. OptiView XG можно настроить так, чтобы он абсолютно невидимым в сети


Сетевой доступ

Один из самых простых и эффективных методов обеспечения безопасности сети — не допускать в нее несанкционированные устройства. Один из способов добиться этого — создать список аппаратных MAC-адресов, которые разрешены в сети. Любое другое устройство, пытающееся получить доступ к сети, будет заблокировано. OptiView XG упрощает подобное тестирование, так как MAC-адрес можно изменить на панели конфигурации сетевого порта для эффективного «спуфинга» другого устройства. Если разрешенный адреса может подключиться к сети, а другие адреса отклоняются, это значит, что список MAC-адресов работает правильно.


Более сложный подход заключается в использовании проверки подлинности IEEE 802.1x. При этом устройство должно предоставить пароль для доступа к сети. Устройство получает доступ на достаточное время для получения разрешения от сервера 802.1x. Если доступ не предоставляется, порт отключается, а устройство блокируется. OptiView XG поддерживает 802.1X с помощью компонента проверки подлинности Windows, который позволяет использовать сертификат проверки подлинности.

Рис. 2.

Рисунок 2. Экран установки OptiView XG для 802.1x


Анализ нагрузки

Самым простой и традиционный способ поиска аномалий в сети — это пассивное прослушивание. В этом режиме устройство анализирует и пассивно собирает трафик в подключении. Как отмечалось выше, такой подход дает ограниченное представление о современных сетях, если не используются ответвители или связывание. Преимущество этого метода заключается в том, что он пассивный, т. е. его не могут обнаружить другие устройства в сети. Вот что OptiView XG может узнать о сети с помощью этого метода.


Приложения и протоколы

OptiView XG может классифицировать типы трафика по различным категориям на разных уровнях. Например, на уровне 2 вы можете выделить IP и AppleTalk, на уровне 3 — TCP и UDP, а на более высоких уровнях — HTTP, FTP, SMTP, и т. д. Вы можете анализировать различные аспекты. Первое (и самое простое) — само существование протокола. Зачастую сетевые инженеры сильно удивляются, находя неожиданные протоколы, работающие в сетях (многие даже оспаривают результаты работы OptiView XG). OptiView XG может определить, какие устройства используют эти протоколы.

Рис. 3.

Рисунок 3. OptiView XG определяет протоколы по уровням


Во-вторых, хотя некоторые протоколы могут быть допустимы в сети, когда данные этих протоколов поступают от рабочих станций, это может вызывать подозрения. Например, компьютер, формирующий данные протоколов маршрутизации, таких как OSPF или RIP, может указывать на попытку перехвата разговора. В-третьих, объем таких кадров также может быть подозрительным. Рабочая станция будет создавать кадры ARP, но если это происходит регулярно и в большом объеме, это может свидетельствовать о какой-то инфекции. Аналогично большое количество кадров ICMP от компьютер может указывать на сканирование портов в поиске уязвимостей.

Рис. 4.

Рисунок 4. OptiView XG может показывать процессы взаимодействия между рабочими станциями и другими устройствами


Пары источников сообщений/сеансов

Отслеживание сторон, участвующих в обмене данными, также является хорошим способом найти подозрительную активность. OptiView XG может отображать процессы взаимодействия на уровне MAC- и IP-адресов, а также сами устройств по DNS-именам. Так вы легко сможете понять, какие устройства взаимодействуют с устройствами вне локальной сети и с кем именно они взаимодействуют.


Рис. 5.

Рисунок 5. Детализация процессов взаимодействия, использующих конкретный протокол.

Тесты самых распространенных процессов взаимодействия также предоставляют информацию о широковещательных кадрах. Эти кадры могут много рассказать о том, что происходит в сети. Так как они транслируются по всей сети или, по крайней мере, в сети VLAN, намного вероятнее, что OptiView XG сможет увидеть их без ответвления или связанного порта. Сетевые компоненты, такие как коммутаторы и серверы — это самые главные источники широковещательных кадров. Но рабочие станции конечных пользователей обычно генерируют такие кадры только при входе в сеть или подготовке к сеансу. Многие вирусы и другие угрозы используют широковещательные кадры, чтобы получить информацию о других устройствах в сети и о том, как использовать их слабые стороны. Поэтому пользователь изредка отправляющий широковещательные кадры не является чем-то из ряда вон выходящим, но если это происходит регулярно, это подозрительно.


Рис. 6.

Рисунок 6. Список источников широковещательных пакетов и количество созданных пакетов.


Сравнение с произвольной строкой/захват пакетов

Захват и декодирование фактических данных от устройства — это главный способ понять, что происходит. OptiView XG значительно упрощает это. После определения интересующего вас устройства, сеанса или протокола вы можете захватить и сохранить кадры всего несколькими касаниями экрана. Дополнительное программное обеспечение ClearSight™ Analyzer затем может декодировать кадры, чтобы увидеть, что именно в них есть.

Следует отметить, что для расшифровки зашифрованного сеанса потребуются другие инструменты.


Рис. 7.

Рисунок 7. Захват пакетов на OptiView XG настроен. Это может сделать автоматически, выбрав интересующие вас области в списке активных устройств и протоколов.

Захват пакетов можно также оптимизировать, настроив OptiView XG для захвата кадров с заданным пользователем словом или шаблоном. Хотя есть и другие инструменты, которые могут выполнять сопоставление шаблона в предопределенном расположении в кадре, функция сопоставления со свободной строкой OptiView XG позволяет найти шаблон где угодно в пределах кадра.


Активные тесты

Активных тестов существенно расширяют область видимости OptiView XG и позволяют найти множество данных, недоступных при пассивном мониторинге. Единственный реальный недостаток этих тестов состоит в том, что они могут сообщить злоумышленникам, что за ними идет охота. Однако объем передаваемого трафика не так велик, а OptiView XG мало известен за пределами сообщества сетевых администраторов, поэтому вряд ли эти тесты послужат сигналом для злоумышленников.


Обнаружение устройств

Хотя прослушивание трафика позволяет узнать, кто подключен к сети, у этого подхода есть два существенных ограничения. Во-первых, устройства, которые не передают данные, не отображаются. Во-вторых, устройства в коммутируемой сети, которые передают данные, не отображаются, если вы подключены к магистральному каналу с использованием ответвления или зеркалирования портов.

Активные тесты обнаружения в OptiView XG позволяют преодолеть эти трудности. OptiView XG использует ряд методов для проверки сети и получения точного ответа от практически любого устройства в сети. (Хотя теоретически возможно подключиться к сети, не отвечая на запросы OptiView XG, это очень сложно и практически невозможным для многих устройств.)

Рис. 8.

Рисунок 8. Экран обнаружения OptiView XG.


Обнаруженные устройства классифицируются по типу, например это могут быть серверы, принтеры и беспроводные устройства. Отчеты могут создаваться для быстрого сравнения этих устройств со списком известных разрешенных устройств. Благодаря возможности экспорта обнаруженных устройств в CSV-файл информацию об обнаружении можно импортировать в другие системы для анализа. Непредвиденные серверы или беспроводные устройства в сети следует немедленно проанализировать.

Диапазон обнаружения OptiView XG может контролироваться оператором. Это позволяет определять размер списка обнаруженных устройств, а также необходимые сроки и объем трафика. Такой тип обнаружения обычно осуществляется по отдельным сетям VLAN, но его можно расширить при необходимости.


Составление карты сети и неизвестные коммутаторы

Карта сети создается автоматически и дает графическое представление устройств в сети и их взаимосвязей. Это позволяет точно определить, где устройства находятся в сети и как они связаны. Например, выбирая отдельные подсети, можно получить карту, которая показывает, где подсеть связана с объектом, зданием или этажом здания. Нажав кнопку «Report» (Отчет), можно мгновенно создать графическую карту сети, которые можно сохранить в формате рисунка Visio.
Коммутаторы, маршрутизаторы, хосты и другие устройства обозначены разными цветами для облегчения их идентификации, как и сетевые каналы. Информацию, которая отображается для устройств и каналов, можно настраивать. На карте также будет показано наличие «неизвестных коммутаторов» — это могут быть разрешенные межсетевые устройства без функций управления (SNMP) или несанкционированного устройства.

Рис. 9.

Рисунок 9. Карта сети.



Анализ коммутаторов

Если у пользователей OptiView XG есть доступ к коммутаторам в сети, они могут получить дополнительные сведения с помощью подробных тестов устройств OptiView XG. Для получения доступа должны быть выполнены два условия. Во-первых, управляющий адрес (порт) коммутатора должен быть доступен в сети, к которой подключен OptiView XG. Во многих случаях они на самом деле находятся в отдельной от рабочих станций, подключенных к коммутатору, VLAN. Во-вторых, на планшете OptiView XG необходимо указать строку сообщества — пароль, необходимый для доступа к SNMP в коммутаторе. Если оба условия выполнены, можно использовать указанные ниже тесты.

Чтобы устройство видело или создавало трафик в сети, оно должно быть подключено к активному порту коммутатора. OptiView XG может отправить запрос коммутатору и получить список всех активных портов. Его можно сравнить со списком известных санкционированных активных портов, полученных в рамках предыдущего теста. Все порты, активные в настоящее время, которые не были найдены ранее, обозначают новое устройство в сети.

OptiView XG можно также предоставить подробную информацию о том, какие устройства присоединены к порту. Как правило, на одном порту используется только одно устройство — большее количество может указывать на несанкционированное устройство (см. рисунок 10). Это также упрощает отслеживание несанкционированных устройств, даже если это только один порт. Если кто-то разместил неуправляемое межсетевое устройство в сети (к которому подключены несколько MAC-адресов проводной или беспроводной сети), они будут отображаться как «неуправляемые устройства». Вы узнаете порт коммутатора восходящего потока для этих устройств, чтобы заблокировать его для дальнейшего исследования. OptiView XG также может показать уровни использовани для порта, чтобы отслеживать устройства, формирующие большой объем широковещательных пакетов, что, как было указано выше, может вызывать подозрения.

Рис. 10.

Рисунок 10. OptiView XG можно показать список устройств, подключенных к каждому порту коммутатора.


Сведения об устройстве

Тест «Сведения об устройстве» позволяют получить информацию о конкретном устройстве, например его MAC-адрес, DNS-имя, поддерживаемые протоколы, сведения о поддержке IPv4 и IPv6. Также можно выполнить сканирование портов (IPv4 или v6) на устройстве для оценки уязвимостей.

Беспроводные характеристики

Беспроводные сети делают работу удобнее, но также могут служить источником новых уязвимостей. OptiView XG поможет вам найти эти уязвимости.

Незащищенные точки беспроводного доступа (AP) могут стать открытой дверью в вашу сеть. OptiView XG может найти точки доступны со стороны проводной и беспроводной сети. Если точка доступа несанкционированная, можно отследить соответствующий порт, используя сведения о коммутаторе на на стороне проводной сети или физически определив компонент в беспроводной сети. Можно также проверить параметры безопасности точки доступа.

Рис. 11.

Рисунок 11. OptiView XG может обнаруживать беспроводные устройства и классифицировать их.


OptiView XG может обнаружить устройства на стороне беспроводной сети так же, как в и проводной сети. Журналы устройств могут сохраняться и сравниваться, чтобы быстро определять новые устройства, появившиеся с момента последнего аудита.


Спектральный анализ

Дополнительное программное обеспечение для OptiView XG предоставляет сетевым специалистам необходимую информацию о скрытом мире Wi-Fi с возможностью просмотра спектра в удобном формате. Это позволяет вам отслеживать, анализировать и контролировать все источники радиочастотного сигнала и беспроводные устройства, которые влияют на производительность и безопасность сети Wi-Fi, даже если эти устройства являются несанкционированными или появляются на короткое время. Это программное решение для анализа РЧ-спектра не служит заменой специализированных продуктов, но отображает устройства, которые влияют на передачу данных на частотных полосах 2,4 и 5 ГГц.

SNMP

С помощью протокола SNMP OptiView XG получает доступ к информации в коммутаторах, как описано выше, однако он также может стать риском для безопасности. Если на устройствах включен протокол SNMP и используются строки сообщества (пароли) по умолчанию, они могут быть восприимчивы ко многим атакам, в том числе полностью перепрограммированы. Для предотвращения этих проблем сетевой администратор может реализовать некоторые из следующих мер:

  • полностью отключить SNMP (что, однако, ограничивает возможности управления устройством);
  • обновиться с SNMPv1 или v2 до более безопасной версии SNMPv3;
  • изменить строки сообщества на более безопасные;
  • разрешить доступ к агентам SNMP только через отдельную сеть VLAN управления;
  • разрешить доступ к агентам SNMP только предопределенным устройствам.
  • OptiView XG может проверить все эти аспекты.


    IPv6

    Хотя никто, кажется, не может предсказать, когда протокол IPv6 будет широко реализован в корпоративных сетях, на самом деле он уже применяется и поставляется с различными продуктами и операционными системами. Все что пользователю необходимо сделать — подключить новое устройство, и вы получите IPv6 в вашей сети. Из-за Положения о закупках для федеральных нужд государственные учреждения приобретают новое оборудование с поддержкой IPv6. Это приведет к увеличению числа IPv6-устройств в правительственных сетях.

    OptiView XG может выполнять все эти тесты в сети IPv6, а также специальные тесты, предназначенные для решения проблем безопасности IPv6.

    Первое, что вам необходимо узнать — каков объем трафика IPv6 в вашей сети. Пассивный тест протокола, упомянутый выше, мгновенно покажет вам, есть ли в сети трафик IPv6 и какие устройства его создают. Вы можете использовать функцию «Наиболее интенсивные сеансы обмена данными», чтобы посмотреть, какие устройства взаимодействуют друг с другом с помощью IPv6.

    Далее идет набор активных тестов IPv6. Тест «Устройства IPv6» использует активные тесты, похожие на описанные выше, чтобы найти все устройства с поддержкой IPv6 независимо от того, активно ли они создают трафик IPv6.

    Далее идет тест «Объявления маршрутизаторов». Устройства, не являющиеся маршрутизаторами и сообщающие об адресах подсетей, которых не должно быть в сети, могут быть результатом ошибок настройки маршрутизатора или хоста, что в свою очередь может указывать не вредоносные действия. Отправляя поддельные объявления маршрутизатора, злоумышленники притворяются маршрутизатором, из-за чего все другие узлы в подсети будут отправлять ему трафик, что позволит проводить атаки «человек в середине».


    Рис. 12.

    Рисунок 12. Набор тестов IPv6 OptiView XG с получанием списка устройств, которые обнаружены в сети


    Последний элемент — отчет о туннелировании. Благодаря туннелированию протокол IPv6 можно использовать в сетях IPv4. Туннелирования поддерживается в каждой ОС и часто может включаться автоматически. Туннелирование не представляет проблему само по себе, но оно может сделать сети уязвимыми, так как может работать с шифрованием и анонимной адресацией. Туннели часто остаются незамеченными в брандмауэрах и системах обнаружения вторжений (IDS). На вкладке «Tunneling» (Туннелирование) OptiView XG отображаются все устройства, взаимодействующие друг с другом с помощью туннелирования, а также тип используемого туннелирования.

    Изучив тип туннелирования и поняв, кто его использует, вы можете оценить уровень риска. Туннелирование между двумя устройствами в локальной сети не дает оснований для подозрений, но использование туннелирования для связи с устройствами за пределами сети означает более высокий риск. Туннелирование Teredo часто используется для домашних подключений к Интернету, что создает «дыру» в брандмауэре и позволяет реализовать обход NAT.

    Если вы видите локальный туннель в интрасети, существует небольшой риск, но если у вас есть локальное устройство с конечной точкой туннеля вне вашей сети, оно может предоставить доступ к внутренней сети из интрасети, чему, вероятно, не смогут помещать брандмауэры или системы обнаружения вторжений.


    Отчеты

    Помимо предоставления описанной выше информации, OptiView XG может создавать отчеты на ее основе для удобного хранения и сравнения в будущем. Отчеты предоставляются в формате PDF и HTML с гиперссылками для простоты использования. Эти отчеты могут быть сохранены на OptiView XG или локальном компьютере с помощью удаленного пользовательского интерфейса.

    Безопасность OptiView XG

    OptiView XG предназначен для поддержки работы в безопасной среде. Учетные записи пользователей на OptiView XG управляют доступом к тестом и конфиденциальной информации, например паролям, которая хранится в устройстве. Каждую учетную запись можно настроить с требуемым уровнем доступа. Удаленное управления при необходимости предоставляется с помощью собственного протокола связи и приложения с удаленным пользовательским интерфейсом, которое можно установить на клиентском компьютере.

    Рис. 13.

    Рисунок 13. Экран настройки учетных записей пользователей OptiView XG.


    OptiView XG также является безопасным клиентом. При доступе с помощью сенсорного экрана или интерфейса управления сетевой порт можно заблокировать, чтобы изолировать установку Windows на OptiView XG для доступа из отслеживаемой сети. Это исключает вероятность заражения OptiView XG вирусами.


    SSD-диск, используемый в OptiView XG, можно легко извлечь, отвинтив два винта на нижней части устройства. Это позволяет специалисту по безопасности провести полный аудит сети и удалить OptiView XG, оставив конфиденциальные данные (жесткий диск) в безопасности на объекте. Для следующих аудитов защищенный диск можно снова установить в OptiView XG и сравнить результаты предыдущей проверки с текущим состоянием сети.

    Кроме того, государственные учреждения США и некоторых странах-участников договора могут приобрести версию «US DOD SECURE» OptiView XG. Это продукт с более защищенной ОС и программным обеспечением был включен в список UC APL Министерства обороны США после сертификации агентством DISA.


    Обзор тестов безопасности OptiView XG

    ТЕСТ/ФУНКЦИЯ ЗНАЧЕНИЕ КОММЕНТАРИИ
    Изменение MAC-адреса
  • Проверка управления доступом MAC
  • Используется для спуфинга MAC-адресов
    Вход 802.1x
  • Тест безопасности 802.1x
  •  
    Протоколы
  • Поиск несанкционированных протоколов и приложений в сети и определение устройств, их использующих
  • Поиск устройств, использующих непредвиденные протоколы
  • Поиск устройств, отправляющих большой объем данных по непредвиденным протоколам (т. е. широковещательные пакеты)
  • Поиск трафика IPv6
  •  
    Наиболее интенсивные сеансы
  • Определение устройств, с которыми взаимодействуют локальные рабочие станции
  • Поиск IPv6-сеансов
  • Сетевые имена внешних устройств
    Захват пакетов
  • Сбор пакетов для углубленного анализа (декодирования)
  • Сопоставление с произвольной строкой позволяет найти любой шаблон в кадре
    Обнаружение устройств
  • Инвентаризация всех устройств в сети
  • Определение доступности SNMP-устройств из сети
  • Видимость за пределами коммутатора или маршрутизатора; поиск устройств, которые не передают данные
    Сведения об устройстве — интерфейсы
  • Поиск всех активных портов коммутатора
  • Поиск устройств, подключенных к каждому порту
  • Поиск места подключения устройства
  • Проверка параметров безопасности SNMP
  • Поиск портов с несколькими подключенными устройствами

    Обзор тестов безопасности OptiView XG(продолжение)

    ТЕСТ/ФУНКЦИЯ ЗНАЧЕНИЕ КОММЕНТАРИИ
    Сведения об устройстве — обзор
  • Определение имен устройств, поддерживаемых протоколов, поддержки IPv4 и v6
  • Опрос устройств вне локальной сети.
    Беспроводные точки доступа
  • Получение списка точек доступа и проверка их безопасности
  • Поиск несанкционированных точек доступа
  • Поддержка 802.11 a/b/g/n/ac
    Беспроводные клиенты
  • Поиск незащищенных пользователей
  • Поиск несанкционированных пользователей
  • Поддержка 802.11 a/b/g/n/ac
    Беспроводной спектр
  • Поиск устройств (источников помех или беспроводных устройств, не поддерживающих стандарт 802.11) в частотных полосах 802.11 (2,4 ГГц и 5 ГГц)
  •  
    Устройства IPv6
  • Поиск устройств IPv6 в сети
  • Видимость за пределами коммутатора или маршрутизатора; поиск устройств, которые не передают данные
    Объявления маршрутизатора IPv6
  • Обнаружение устройств, действующих как маршрутизаторы (потенциальных мошеннических устройств)
  •  
    Туннелирование IPv6
  • Кто использует туннелирование
  • С кем они взаимодействуют
  •  
     
     
    Powered By OneLink