Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Информационная безопасность

Централизованное обнаружение грубой силы при входе в систему с использованием данных netflow

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Централизованное обнаружение атак методом грубой силы с использованием данных NetFlow
  4. Проблемы использования данных NetFlow для обнаружения атак
  5. Альтернативные подходы
  6. Заключение

Вопрос или проблема

Возможно ли обнаружение brute force-атак с использованием данных netflow? С помощью данных netflow можно проверить количество входящих пакетов на конкретный целевой порт (для каждого потока). Если количество ниже специфичного для сервиса (SSH, FTP и т.д.) порогового значения, вероятно, имел место сканирование порта или неудачная попытка входа с этого IP-адреса.

Есть ли у кого-то опыт в этом или есть альтернатива для установки централизованного обнаружения brute force-атак? Речь идет о защите нескольких сотен Linux-хостов, работающих с различными сервисами, доступными из интернета (SSH, FTP, HTTP, SMTP, IMAP, POP3).

Fail2ban уже используется, но также должно быть установлено централизованное решение.

Это звучит как очень неэффективный метод, в основном потому, что в данных netflow отсутствует много информации. У вас есть только IP-адреса источника и назначения, протоколы и (если это актуально) номера портов, поэтому нет реального способа отличить действительные запросы от недействительных, вам не хватает полезной нагрузки, которая недоступна в netflow.

То, что вы описываете, это всего лишь предположения о способах обнаружения атак по некоторым характеристикам, что, скорее всего, приведет к множеству ложных срабатываний и упущенных атак.

Вам нужна полезная нагрузка, чтобы увидеть, что именно запрашивал IP-адрес. И так как это часто будет TLS, вам нужно смотреть на конечные точки, где осуществляется завершение TLS.

Если у вас этого нет, рассмотрите возможность агрегирования ваших журналов fail2ban и развертывания блокировок для IP-адресов от идентифицированных злоумышленников из этих журналов на все ваши машины.

Ответ или решение

Централизованное обнаружение атак методом грубой силы с использованием данных NetFlow

Обнаружение атак методом грубой силы с помощью данных NetFlow может быть сложной задачей, учитывая, что эта информация ограничена. Данные NetFlow содержат основные метаданные о сети, такие как IP-адреса источника и назначения, протоколы и, в некоторых случаях, номера портов. Однако они не включают полезную нагрузку, которая является критически важной для детального анализа активности и определения, является ли определенный трафик атаками методом грубой силы.

Проблемы использования данных NetFlow для обнаружения атак

  1. Ограниченность данных: Как уже было отмечено, данные NetFlow не содержат информации о содержимом пакетов. Это означает, что невозможно различить законные запросы от злонамеренных без анализа более глубоких данных, таких как данные приложения (payload).

  2. Ложные срабатывания: Использование только данных NetFlow для оценки возможных атак может привести к большому количеству ложных положительных срабатываний. Например, большое количество соединений к порту SSH может происходить не только из-за атак, но и из-за легитимных действий администраторов или автоматизированных процессов.

  3. Недостаток информации о состоянии соединения: Для эффективного обнаружения атак методом грубой силы нужно учитывать не только количество подключений, но и статус этих подключений, временные интервалы между ними и другие параметры.

Альтернативные подходы

  1. Анализ логов: Рекомендованным подходом является агрегация логов из существующих решений, таких как Fail2ban. Это средство эффективно блокирует IP-адреса по результатам анализа логов аутентификации и может быть централизовано настроено для всех ваших Linux-хостов.

    • Сбор логов можно осуществлять с помощью технологии, такой как ELK-стек (Elasticsearch, Logstash, Kibana), что позволяет агрегировать и визуализировать данные логов для последующего анализа и реагирования.

  2. Системы предотвращения вторжений (IPS): Помимо блокировки по логам, рассмотрите возможность внедрения систем обнаружения и предотвращения вторжений, которые могут анализировать трафик в реальном времени и блокировать подозрительные активности на основе политик.

  3. Сетевые средства мониторинга: Используя более продвинутые системы мониторинга, такие как Zeek (ранее известный как Bro), вы сможете отслеживать сетевое поведение более детально и иметь доступ к информации, которая поможет в выявлении атак методом грубой силы.

  4. TLS-криптография: Учитывая, что многие службы используют TLS, необходимо проводить анализ лишь на тех узлах, где производится расшифровка трафика. Этот аспект требует дополнительных настроек и архитектурных решений, чтобы выгоды от анализа перекрывались с требованиями безопасности.

Заключение

Хотя использование данных NetFlow предоставляет определенные возможности для мониторинга сети, полагаться исключительно на них для обнаружения атак методом грубой силы неэффективно. Более надежный подход состоит в комбинировании различных методов обработки данных, включая анализ логов, внедрение систем обнаружения вторжений и принципы мониторинга сетевого трафика на более глубоком уровне. Это позволит вам создать централизованную систему защиты для ваших Linux-хостов, обеспечивая лучший уровень безопасности и минимизацию рисков в отношении кибератак.

attacks authentication brute-force ids network
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности