ProCurve Network Immunity Manager
Материал из Xgu.ru
[править] Основная терминология
- NBAD — Network Behavior Anomaly Detection
- Signature-based detection
- Animaly-based detection
- UTM appliance — Unified Threat Management appliance
[править] Варианты внедрения
NIM поддерживает различные варианты внедрения:
- NIM standalone
- NIM + inline IPS
- NIM + IDS:
- Static mirroring
- Dynamic mirroring — Unified solution
Поддерживаются такие устройства IDS/IPS:
- Cisco IPS 4200 Series Sensors
- Fortinet FortiGate UTM appliance
- SonicWALL UTM appliances
На IDS/IPS должны быть такие настройки SNMP:
- trap community public
- IP-адрес PCM и порт 162
[править] Начальные настройки NIM
Настройки SNMP нужны, чтобы NIM:
- Получал traffic samples от управляемых устройств
- Находил offenders
- Мог применять действия (actions) на устройствах
[править] Traffic sampling technology
Для обнаружения аномалий NIM использует технологии traffic sampling:
- sFlow (использует порт 6343)
- XRMON
Кроме того, NIM использует счетчики трафика:
- счетчики sFlow
- счетчики SNMP
[править] Default traffic sampling
PCM+ может получать traffic samples и counters от 500 источников (ports and radios).
Выбираются источники для отправки traffic samples по таким критериям (в порядке убывания важности):
- InterSwitch Link (ISL) versus edge port
- Link speed
- Link utilization
- Critical traffic threshold violations
- Warning traffic threshold violations
- Device processing power
[править] NBAD sensitivity
Чувствительность NBAD:
- Насколько трафик может отличаться от установленной baseline
- Отдельно настраивается для каждого типа событий NBAD
[править] Alerts
Виды alerts:
- External alerts — инициированные IDS/IPS
- ProCurve alerts:
- NBAD alerts — срабатывают когда NBAD обнаруживает аномалии в traffic samples
- Virus Throttle alerts — срабатывают при получении traps непосредственно от устройств в сети
[править] NBAD event types
NIM ищет различные аномалии в samples трафика, которые ему отправляет sFlow и XRMON. Эти аномалии называются NBAD event types и бывают такие:
- Duplicate IP
- IP spoofing
- IP fanout
- TCP/UDP fanout
- Packet size deviation
- DNS tunneling
- Protocol anomaly
[править] Duplicate IP
Название события | Описание события | Данные, которые анализируются | Чувствительность | Временное окно |
---|---|---|---|---|
Duplicate IP | Два отправителя с различными MAC-адресами используют один IP-адрес в указанный период времени |
| 1 | 1 минута |
2 | 15 минут | |||
3 | 60 минут | |||
4 | 3 часа | |||
5 | 24 часа |
[править] IP spoofing
Название события | Описание события | Данные, которые анализируются | Чувствительность | Временное окно |
---|---|---|---|---|
IP Spoofing | Отправитель с определенным MAC-адресом использует два или более IP-адреса в указанный период времени |
| 1 | 1 минута |
2 | 15 минут | |||
3 | 60 минут | |||
4 | 3 часа | |||
5 | 24 часа |
[править] IP fanout
Название события | Описание события | Данные, которые анализируются | Чувствительность | Количество IP-адресов получателя (X) | Временное окно (Y) |
---|---|---|---|---|---|
IP fanout | Отправитель с определенным IP-адресом контактирует с X IP-адресами за время Y |
| 1 | 256 | 1 минута |
2 | 128 | 5 минут | |||
3 | 96 | 10 минут | |||
4 | 32 | 15 минут | |||
5 | 3 | 30 минут |
[править] TCP/UDP fanout
Название события | Описание события | Данные, которые анализируются | Чувствительность | Количество IP-адресов получателя (X) | Временное окно (Y) |
---|---|---|---|---|---|
TCP/UDP fanout | Отправитель с определенным IP-адресом контактирует с X портами одного и того же IP-адреса получателя за время Y |
| 1 | 256 | 1 минута |
2 | 128 | 5 минут | |||
3 | 10 | 10 минут | |||
4 | 5 | 15 минут | |||
5 | 2 | 30 минут |
[править] Packet size deviation
Название события | Описание события | Данные, которые анализируются | Чувствительность | Допустимое отклонение (X) |
---|---|---|---|---|
Packet size deviation | Средне значение размера пакета изменяется более чем в X стандартных отклонений (SD) |
| 1 | 6 SD |
2 | 5 SD | |||
3 | 4 SD | |||
4 | 3 SD | |||
5 | 2 SD |
[править] DNS tunneling
Использование протокола DNS для передачи данных других протоколов.
[править] Protocol anomaly
Изменение чувствительности не влияет на события protocol anomaly.
Аномалия протокола | Угроза |
---|---|
IcmpAddressMaskReply | DoS-атака |
IcmpAddressMaskReply | DoS-атака |
IcmpAddressMaskRequest | DoS-атака |
IcmpFragmentedTraffic | DoS-атака (Fragmentation attack) или covert channel |
IcmpHostUnreachable | Network reconnaissance |
IcmpInformationReply | DoS-атака |
IcmpLargeTraffic | DoS-атака |
IcmpParameterProblem | DoS-атака |
IcmpPingOfDeath | DoS-атака (Ping of Death) |
IcmpRedirect | DoS-атака |
IcmpTimeExceeded | DoS-атака |
IcmpTimestampReply | DoS-атака |
IcmpTimestampReques | DoS-атака |
IpBothAddressesIdentical | DoS-атака (Land attack) |
IpOptionLooseSourceRoute | Неправильно настроенное устройство |
IpOptionRecordRoute | Неправильно настроенное устройство |
IpOptionStreamIdentifier | Неправильно настроенное устройство |
IpOptionSecurity | Неправильно настроенное устройство или устройство на котором работает PIM или IGMP |
IpOptionStrictSourceRoute | Неправильно настроенное устройство |
IpOptionTimestamp | Неправильно настроенное устройство |
IpUnknownProtocol | Covert channel или устройство на котором работает PIM или IGMP |
TcpFlagsAllBitsSet | Сканирование портов (XMAS tree) |
TcpFlagsFinSetButNoAck | Сканирование портов (TCP FIN) |
TcpFlagsNoBitsSet | Сканирование портов (TCP NULL) |
TcpFlagsSynFinBitsSet | Сканирование портов (SYN и FIN TCP scan) |
UdpBomb | DoS-атака (UDP bomb) |
UdpCharacterGeneration | DoS-атака (Chargen) |
UdpSnork | DoS-атака (Snork) |
[править] Атаки
NIM тестировался на обнаружение таких атак:
- Различные техники сканирования портов
- Разведка и сбор информации о сети перед атакой с помощью различных утилит
- DoS-атаки
- Другие сетевые атаки
- Неправильно настроенные устройства
[править] Сканирование портов
NIM обнаруживает такие техники сканирования портов:
- Xmas tree scan
- NULL scan
- FIN scan
- TCP scan (SYN and FIN flags on)
[править] Типы событий NBAD, которые соответствуют сканированию портов
Сканированию портов соответствуют такие NBAD event types:
- Protocol anomaly:
Аномалия протокола | Техника сканирования портов |
---|---|
TcpFlagsAllBitsSet | Сканирование портов (XMAS tree) |
TcpFlagsFinSetButNoAck | Сканирование портов (TCP FIN) |
TcpFlagsNoBitsSet | Сканирование портов (TCP NULL) |
TcpFlagsSynFinBitsSet | Сканирование портов (SYN и FIN TCP scan) |
- Возможно, TCP/UDP fanout. Чаще всего, если обнаружены такие характеристики:
- Один атакующий (атака с одного IP-адреса)
- Много случайных destination TCP-портов
- Возможно, IP fanout. Чаще всего, если обнаружены такие характеристики:
- Один атакующий (атака с одного IP-адреса)
- Много destination портов
[править] Разведка и сбор информации о сети перед атакой
NIM обнаруживает использование таких утилит:
- Nessus
- Network Mapper (Nmap)
- Ping
[править] Типы событий NBAD, которые соответствуют разведке и сбору информации о сети
Такие события NBAD могут свидетельствовать о том, что выполняется сканирование с помощью Nessus или NMAP:
- TCP/UDP fanout с такими характеристиками:
- Один атакующий (атака с одного IP-адреса)
- Много целей
- Много по-видимому случайных destination TCP-портов. Если атакующего интересуют конкретные сервисы, то в качестве destination портов могут быть такие порты:
- HTTP (80)
- FTP (21)
- SSH (22)
- Telnet (23)
- SMTP (25)
- POP (109 и 110)
- IMAP (143)
- IP fanout с такими характеристиками:
- Один атакующий (атака с одного IP-адреса)
- Много destination портов или часто используемые порты
- Возможно, protocol anomaly:
- TCP anomalies
- ICMP Echo anomalies
[править] DoS-атаки
NIM обнаруживает такие DoS-атаки:
- UDP bomb
- LAND attack
- Ping of death
- Fragmentation attacks
[править] Типы событий NBAD, которые соответствуют DoS-атакам
UDP bomb — атака основана на отправке UDP-пакета в заголовке которого указана неправильная длина пакета. При получении такого пакета некоторые системы могут выйти из строя, при попытке обработать такой пакет.
Индикатором атаки UDP bomb будет NBAD событие UDPBomb.
LAND attack — атакующий отправляет TCP-пакет с флагом SYN на открытый порт целевой системы. IP-адрес и порт отправителя подменены таким образом, что совпадают с адресом и портом целевой системы. Эта атака на некоторых системах может вызвать зацикливание и выход из строя.
О выполнении этой атаки могут свидетельствовать такие типы событий NBAD:
- IpBothAddressesIdentical
- Возможно, IP spoofing
- Возможно, duplicate IP
Ping of death — атака заключается в отправке ICMP пакета размером более чем 65535 байт. По сети такой пакет передается фрагментированным, а система получателя начинает собирать его и при это может выйти из строя.
Индикатором атаки Ping of death будет NBAD событие IcmpPingOfDeath .
Fragmentation attacks — атаки нацеленные на отправку больших пакетов, возможно, с неправильными опциями в пакете. Такие пакеты могут привести к выходу из строя системы получателя, которая пытается собрать пришедшие пакеты.
Индикатором Fragmentation атак будет NBAD событие IcmpFragmentedTraffic.
[править] Другие сетевые атаки
- DNS tunneling
- IP spoofing
- Various worm propagation techniques
[править] Типы событий NBAD, которые соответствуют другим сетевым атакам
DNS tunneling — использование протокола DNS для передачи данных других протоколов.
О выполнении этой атаки могут свидетельствовать такие типы событий NBAD:
- DNS tunneling
- Другие признаки:
- Источник события DNS tunneling не является DNS-сервером или почтовым сервером (DNS-сервера и почтовые сервера лучше исключить из проверок DNS tunneling)
- Атакующий находится в гостевой или беспроводной сети (DNS tunneling может использоваться для получения доступа, например, к Internet)
- DNS-сообщения отличаются от типичных
Covert Channel (скрытый канал) — передача данных атакующего в обход авторизации или других средств защиты с помощью разрешенного трафика. DNS tunneling это один из примеров скрытого канала. Часто это осуществляется инкапсуляцией данных атакующего в заголовки разрешенных протоколов.
Индикатором атаки Covert Channel может быть NBAD событие IpUnknownProtocol.
IP spoofing — отправитель с определенным MAC-адресом использует два или более IP-адреса, но один MAC-адрес. Может быть самостоятельной атакой, а может быть частью другой атаки.
О выполнении атаки IP spoofing могут свидетельствовать такие типы событий NBAD:
- IP spoofing
- Duplicate IP (если подменяется адрес существующий в сети)
Worm — обычно запрограммирован на:
- Выполнение программы, которая использует определенную уязвимость
- Распространение максимального количества собственных копий
О наличии worm в сети могут свидетельствовать такие типы событий NBAD:
- IP fanout с такими характеристиками:
- Один или несколько атакующих
- Один (или небольшое количество) destination портов
- Virus Throttle event
- Возможно, packet size deviation
[править] Неправильно настроенные устройства
- Duplicate IPs
- Rogue routers
- Rogue proxies
[править] Типы событий NBAD, которые соответствуют неправильно настроенным устройствам
Примеры неправильно настроенных устройств:
- Дублирующиеся IP-адреса
- Использование устаревших протоколов
Такие события NBAD могут свидетельствовать о том, что в сети есть неправильно настроенные устройства:
- IpOptionLooseSourceRoute
- IpOptionRecordRoute
- IpOptionStreamIdentifier
- IpOptionSecurity
- IpOptionStrictSourceRoute
- IpOptionTimestamp
Не исключенные маршрутизаторы (или устройства выполняющие маршрутизацию трафика) могут вызывать такие события NBAD:
- IP spoofing большого количества различных адресов
- IP fanout
- Возможно, TCP/UDP fanout (если установлена высокая чувствительность NBAD)
[править] Реагирование на угрозы
Немедленные действия при обнаружении угроз:
- Отключение порта
- MAC Lockout
- Port rate limit
- Quarantine VLAN
Действия вызывающие дополнительным анализ трафика:
- Traffic sampling
- Remote mirroring
Действия отправляющие различные уведомления:
- Сообщение в PCM+
- SNMP trap для другого устройства безопасности
[править] Отключение порта
Характеристики:
- Лучше применять для зон с гостевым доступом к сети (комнат переговоров) и если трафик передающий в этих сетях не является критичным для бизнеса. Так как можно ошибочно выключить порт к которому подключен, например, сервер или инфраструктурное устройство.
- Можно применять отключение порта временно, на определенный промежуток времени.
- Не является решением для беспроводной сети и в случаях когда атакующий легко может подключиться к другому порту.
[править] MAC Lockout
Характеристики:
- Как и отключение порта, является самой серьезной мерой применимой к атакующему.
- Позволяет блокировать трафик с устройства атакующего на любом порту коммутатора, из-за этого удобнее, чем отключение порта.
- Можно легко блокировать устройство атакующего во всей сети применив настройки MAC Lockout на всех устройствах.
- Подмена MAC-адреса позволяет обойти настройки MAC Lockout.
- Подходит как для проводных, так и для беспроводных сетей.
Если атакующий к которому применяется отключение порта или MAC Lockout при выполнении атаки использовал IP spoofing, то NIM может применить действие к жертве (по её IP-адресу), а не к атакующему. |
[править] Port rate limit
Подходит для реакции на:
- Alerts которые появились как реакция на небольшое количество events за большое промежуток времени — например, одно событие за час
- Alerts инициированные NBAD events с высоким уровнем чувствительности — например, IP fanout event с чувствительностью 4
- Alerts инициированные менее срочными NBAD events — например, для какой-то сети TCP/UDP fanout может считаться менее срочным
[править] Quarantine VLAN
Позволяет помещать порт с которого выполняется атака в определенный VLAN.
Политиками IDM на коммутаторы могут назначаться настройки port rate limit и помещение в VLAN. Когда на одном устройстве совпадают две политики — NIM и IDM, то приоритет у политики IDM и действия указанные в политике NIM не применяются. |
[править] Traffic sampling
Traffic sampling подходит для ситуаций:
- NIM необходимо дополнительно проанализировать трафик и получить большее количество traffic samples
- Packet size deviation alert
- Для alert которые не считаются очень критичными
[править] ProCurve Default Alert
У всех типов событий есть default alert. Исключение — Duplicate IP.
[править] Создание политик
Physical source — устройство, которое отправило пакет sFlow или XRMON который вызвал срабатывание alert.
Logical source — устройство и порт (или AP и radio) к которому подсоединен атакующий. Для определения логического источника NIM использует утилиту Find Node.
Когда создается политика и указывается location, то это location обозначает источник угрозы, а не место обнаружения. И, независимо от того где была обнаружена угроза, применяться политика будет на источнике угрозы (logical source).
Чувствительность определяет вызывает ли обнаруженное отклонение появление события (event). Настройки alert's event settings определяют вызовет ли появление события срабатывание alert. Или, например, alert сработает, если у event наберется опеределенное количество violation (violation count).
У NBAD event обычно severity = Minor.
[править] Управление политиками
[править] Первое прохождение жизненного цикла
Цели:
- Установить baseline
- Отрегулировать чувствительность NBAD
- Начать создавать alerts для обнаружения угроз в сети.
[править] Исключение устройств из проверок NBAD
NIM автоматически исключает:
- Любые устройства ProCurve обнаруженные PCM, для которых включен routing:
- Duplicate IP
- IP spoofing
- IP fanout
- External
- PCM+ сервер:
- All events
- Default gateway для PCM+ сервера:
- Duplicate IP
- IP spoofing
- IP fanout
- External
[править] Второе прохождение жизненного цикла
Цель:
- Планирование и создание политик
[править] Дополнительная информация
ProCurve | ||
---|---|---|
Основы | ProCurve Adaptive Edge | ProCurve ProActive Defense | ProCurve Network Access Control | ProCurve Wireless | |
Программы | ProCurve Manager | ProCurve Identity Driven Manager | ProCurve Network Immunity Manager | ProCurve Mobility Manager | |
Устройства | ProCurve Switch | ProCurve Router | ProCurve ONE Module | ProCurve TMS Module | ProCurve NAC 800 | ProCurve Access Point | ProCurve WESM | |
Настройка | ||
Безопасность | ProCurve Security | Доступ к коммутатору ProCurve | DHCP snooping | Dynamic ARP Protection | IP Source Guard | Port security | Аутентификация при доступе к сети | 802.1X в ProCurve | Web-аутентификация в ProCurve | MAC-аутентификация в ProCurve | |
Канальный уровень | CDP | LLDP | VLAN в ProCurve | GVRP | STP в ProCurve | ProCurve Mesh | Агрегирование каналов | Зеркалирование трафика | QinQ | |
Сетевой уровень | RIP в ProCurve | OSPF в ProCurve | VRRP в ProCurve | XRRP в ProCurve | QoS в ProCurve | Multicast в ProCurve | PIM в ProCurve | |
Разное | Опция 82 DHCP | SNMP в ProCurve |