Autor: Piotr Kałuża, Solution Architect w firmie Sycope S.A. Jednym z najważniejszych etapów rekonesansu sieciowego jest przeskanowanie sieci pod kątem działających urządzeń, uruchomionych usług i występujących podatności. W przypadku skanowania sieci bardzo duża ilość połączeń jest nieudana. Wiąże się to z tym, że mało która sieć wykorzystuje wszystkie adresy IP w ramach dostępnej podsieci. Z drugiej strony, nawet jeśli pod jakimś adresem IP działa host nie oznacza to, że działają na nim wszystkie usługi, które atakujący chce wykryć. Dzieje się tak, ponieważ wiele automatycznych skanerów sprawdza w ramach jednego skanowania najpopularniejsze usługi zarówno dla systemów Linux, jaki i Microsoft Windows.
Horyzontalne i wertykalne skanowanie sieci
Przyjrzyjmy się dwóm najpopularniejszym metodom skanowania sieci: skanowaniu horyzontalnemu (Horizontal scan) i wertykalnemu (Vertical scan).
- Skanowanie horyzontalne to bardzo szerokie rozpoznanie działających w sieci urządzeń. W tym przypadku urządzenie atakującego stara się nawiązać połączenia ze wszystkimi hostami w sieci. Skanowanych jest zazwyczaj dużo adresów IP, ale dla każdego z nich skanowanych jest tylko jeden lub kilka portów. Każda odpowiedź na wysłane żądanie oznacza, że skanowany host działa.
- Skanowanie wertykalne działa nieco inaczej. Po wstępnym ustaleniu, że jakiś host działa, atakujący podejmuje próbę rozpoznania jakie tam usługi działają i w jakich są wersjach (tzw. Fingerprint). W tym przypadku na pojedynczy adres IP wysyłanych jest wiele zapytań na różne porty. W zależności od wybranego narzędzia lub mechanizmu skanowania możliwe jest przeskanowanie 100 najpopularniejszych portów, portów z zakresu 1-1024 lub wszystkich portów czyli od 1-65535.
Dlaczego korzystanie z danych NetFlow to dobry sposób na wykrywanie skanowania sieci?
NetFlow umożliwia monitorowanie przepływu danych w sieci. Jego olbrzymią zaletą jest przekazywanie informacji o każdej zaistniałej komunikacji, niezależnie czy była to wymiana dużej ilości danych, czy wymiana pojedynczych pakietów pomiędzy stronami. NetFlow rejestruje każdy kierunek przepływu osobno, a więc pozostawia również ślad po jednokierunkowych transmisjach albo tak jak w przypadku skanowania sieci o próbach nawiązania połączeń, które nie doszły do skutku.
Jak Sycope wykrywa skanowanie sieci?
Sycope Security to zbiór wielu reguł wykorzystywanych do wykrywania anomalii wolumetrycznych i jakościowych w ruchu sieciowym. Wśród blisko 60 metod detekcji znajdują się metody do wykrywania horyzontalnych i wertykalnych skanów sieci. Idea ich działania opiera się na kalkulacji ilości unikatowych par adresów i portów oraz ilości nawiązywanych sesji.
W przypadku skanowania horyzontalnego mechanizm wykrywa połączenia lub próby połączeń pochodzące z pojedynczego adresu IP, które są nawiązywane z wieloma różnymi urządzeniami.
Rysunek 1: Skanowanie horyzontalne
Dla skanowania wertykalnego wykrywane są połączenia lub próby połączeń pomiędzy parą adresów IP. Do wywołania alarmu dochodzi jeśli takie połączenia nawiązywane są na dużą liczbę portów, większą niż ma to miejsce w przypadku normalnej komunikacji.
Rysunek 2: Skanowanie wertykalne
Użycie tych wszystkich parametrów i przypisanie im odpowiednich wartości w metodach detekcji powoduje, że dla prawidłowego ruchu sieciowego, gdzie klient nawiązuje poprawne sesje i wymienia dane alert nie zostanie wywołany. Natomiast jeśli komunikacja zawiera wzorce świadczące o odchyleniu od standardów, to w takiej sytuacji system wywoła alert i poinformuje administratora o samym zdarzeniu i jego szczegółach.
Rysunek 3: Lista alertów z ich opisem
Co istotne, administrator systemu ma możliwość dopasowania thresholdów do własnej sieci i wymagań, bo chociażby ze względu na wielkość sieci parametry reguły mogą się różnić od wartości domyślnych.
Podsumowanie
Sposób działania NetFlow gwarantuje, że informacja o każdym ruchu w sieci zostanie zarejestrowana i przekazany do kolektora. Natomiast poprawna interpretacja tych danych i wykrywanie anomalii jest zadaniem modułów analitycznych.