Перевод: Анна Давыдова
Источник: n0where.net
Отслеживание сети в режиме реального времени: Cyberprobe
Cyberprobe является распределенной архитектурой для отслеживания сети в режиме реального времени с целью предотвращения каких-либо атак. Данное программное обеспечение состоит из определенного количества компонентов, включая:
- Зонд, который собирает пакеты данных и пересылает их по сети в стандартных потоковых протоколах
- Монитор, который получает потоковые пакеты, декодирует протоколы и интерпретирует информацию.
Скачать Cyberprobe
Эти компоненты могут быть использованы вместе или раздельно. Для простых конфигураций, они могут быть запущены на одном и том же хосте, для более сложных сред, количество зондов может снабжать один монитор.
Зонд, cyberprobe обладает следующими свойствами:
- Зонду может быть задана задача собирать пакеты из интерфейса и затем пересылать все, соответствующие настраиваемому списку адресов.
- Зонд может быть настроен таким образом, чтобы он получал Snort предупреждения. В данной конфигурации, когда предупреждение получается из Snort, исходный IP-адрес, связанный с предупреждением, становится целью на определенный период времени. Также в этом типе конфигурации система будет собирать данные с любого сетевого оператора, который запускает правило snort и, таким образом, она будет идентифицировать его, как потенциального злоумышленника.
- По выбору зонд может запустить интерфейс управления, который позволяет удаленно запрашивать состояние и изменять конфигурацию. Это позволяет динамически изменять карту таргетинга и интегрироваться с другими системами.
- Зонд может быть настроен для доставки на один из двух потоковых протоколов.
Инструмент монитора, cybermon обладает следующими свойствами:
- Собирает пакеты, доставленные в потоковых протоколах.
- Декодирует пакетные протоколы и вызывает события почти в реальном времени.
- Декодированная информация становится доступной для настраиваемой пользователем логики определения способа, каким обрабатываются данные. Используется простой язык конфигурации (LUA) и примеры конфигурации предоставляются для отслеживания объемов данных, отображения шестнадцатеричных данных или хранения данных в файлах.
- Включены методы подделки пакетов, которые позволяют сбросить TCP-соединения и подделывать DNS-ответы. Они могут быть запущены из вашего LUA для того, чтобы бороться с атаками в вашей сети.
- На данный момент поддерживает IP, TCP, UDP, ICMP, HTTP и DNS протоколы.
На данный момент программное обеспечение cybermon все еще находится в состоянии разработки и требует добавления большего количество протоколов, но уже присутствует достаточное количество возможностей, чтобы принести пользу и продемонстрировать значение и ценность данной архитектуры.
Код ориентирован на платформу Linux, хотя он достаточно общий, чтобы быть применимым к другим UN * X-подобным платформам.
Самый простой способ узнать больше о программном обеспечении — это следовать краткому руководству по использованию.
Мотивация
Cyberprobe изначально задумывался как инструмент исследования для изучения сетевых приложений, чтобы разузнать, что они делают на самом деле, потому что мы прекрасно с вами знаем, как поставщики программного обеспечения любят приписывать своим продуктам несуществующие свойства и особенности. Итак, был разработан простой инструмент для настройки того, как захватываются пакеты из сети. Но, как вы наверно знаете, самая большая угроза безопасности вашей информации находится за пределами сети. Таким образом, была добавлена возможность запуска сбора пакетов при обнаружении правила Snort.
Snort является мощной IDS системой, которая изучает пакеты в сети, анализирует их на основе набора подписей и создает журналы и предупреждения. Мы понимали, что существует необходимость использовать оповещения Snort, но применять их для запуска сбора и пересылки пакетов с адреса, вызвавшего предупреждение
Вы можете задать вопрос, зачем вам нужно использовать Cyberprobe? В конце концов, отслеживание сетей с помощью tcpdump и Snort и сбор предупреждений и пакетных данных для анализа является обычным процессом для большинства сетей. Однако, анализ в реальном времени невозможен, если все основано на файлах. Сбор данных и передача их в центральную точку сбора делает возможным более и менее «индустриализированный» подход для обнаружения вторжения. Если вы обнаружили попытку атаки, и затем вы видите, что огромное количество данных покидает вашу сеть, например, из базы данных аккаунтов кредитных карточек, вы знаете, что вам необходимо быстро отреагировать.
Вам необходима гибкость в отслеживании сетевых атак. К сожалению, не существует универсального решения. Атакующие изобретательны в своем подходе к атаке на вашу сеть, поэтому вам необходимо иметь гибкий настраиваемый инструмент отслеживания для разработки вашей защиты.
Внимание:
Грядет война… Враги очень изобретательны, они могут использовать ваши собственные сети и системы как их собственное оружие. Но имея под рукой необходимые инструменты, вы сможете подготовить достойную оборону. Пора подготовиться к Cybermaggedon (Киберармегеддону).
Зависимости:
У этого кода немного зависимостей. Экзотическими зависимостями являются следующие:
- Boost regex.
- Boost shared pointer.
- LUA – 5.1 или более поздняя.
- GCC C++ компилятор и поддержка разработки.
- libpcap
- Expat (XML анализатор).
- tcpdump – не нужен для создания программного обеспечения, но мы используем его в учебнике.
- telnet – не нужен для создания программного обеспечения, но мы используем его в учебнике.
- luafilesystem, при использовании определенных конфигурационных файлов Lua.
- luajson, при использовании определенных конфигурационных файлов Lua.
- lua-md5, для MD5 хэширования пейлоад.
- ncurses, является необходимой для утилиты администрирования командной строки.
- readline, является необходимой для утилиты администрирования командной строки.
- Для STIX поддержки, libtaxii и stix являются Python модулями, которые доступны на http://mitre.org, и могут быть скачаны с помощью pip.
Существует несколько способов получить программное обеспечение:
Пакеты ОС
- Fedora 24, 64-bit.
- Debian Jessie, 64-bit.
- Ubuntu, 64-bit. FIXME: Какая версия?