Zařízení pro snímání paketů - Packet capture appliance
Zařízení pro snímání paketů je samostatné zařízení, které provádí snímání paketů . Zařízení pro snímání paketů lze nasadit kdekoli v síti, nejčastěji se však umisťují u vchodů do sítě (tj. Připojení k internetu) a před kritická zařízení, jako jsou servery obsahující citlivé informace.
Zařízení pro snímání paketů obecně zachycují a zaznamenávají všechny síťové pakety v plném rozsahu (záhlaví i užitečné zatížení), některá zařízení však mohou být nakonfigurována tak, aby zachytávala podmnožinu síťového provozu na základě uživatelem definovatelných filtrů. Pro mnoho aplikací, zejména pro síťovou forenzní analýzu a reakci na incidenty, je zásadní provést úplné zachycení paketů, ačkoli filtrované zachycování paketů lze občas použít pro konkrétní omezené účely shromažďování informací.
Rozvinutí
Síťová data, která zachytí zařízení pro zachycování paketů, závisí na tom, kde a jak je zařízení nainstalováno v síti. Existují dvě možnosti pro nasazení zařízení pro snímání paketů v síti. Jednou z možností je připojení zařízení k portu SPAN ( zrcadlení portů ) na síťovém přepínači nebo směrovači. Druhou možností je připojení zařízení inline, takže síťová aktivita na síťové trase prochází zařízením (podobná v konfiguraci jako síťový kohoutek , ale informace jsou zachyceny a uloženy zařízením pro zachytávání paketů, nikoli předávány jinému zařízení) .
Při připojení přes port SPAN může zařízení pro snímání paketů přijímat a zaznamenávat veškerou aktivitu Ethernet / IP pro všechny porty přepínače nebo směrovače.
Když je připojeno inline, zařízení pro snímání paketů zachycuje pouze síťový provoz cestující mezi dvěma body, tj. Provoz, který prochází kabelem, ke kterému je zařízení pro snímání paketů připojeno.
K nasazení zařízení pro zachycování paketů existují dva obecné přístupy: centralizovaný a decentralizovaný.
Centralizované
S centralizovaným přístupem se jedno vysokokapacitní a vysokorychlostní zařízení pro zachycování paketů připojuje k bodu agregace dat. Výhodou centralizovaného přístupu je, že s jedním zařízením získáte viditelnost v celém provozu sítě. Tento přístup však vytváří jediný bod selhání, který je pro hackery velmi atraktivním cílem; navíc by bylo nutné přepracovat síť, aby přivedl provoz na zařízení, a tento přístup obvykle vyžaduje vysoké náklady.
Decentralizované
S decentralizovaným přístupem umístíte do sítě více zařízení, počínaje vstupním bodem (body) a pokračujte po proudu k hlubším síťovým segmentům, jako jsou pracovní skupiny. Mezi výhody patří: není nutná žádná nová konfigurace sítě; snadnost nasazení; více výhodných bodů pro vyšetřování reakce na incidenty; škálovatelnost; žádný bod selhání - pokud selže jeden, máte ostatní; v kombinaci s elektronickou neviditelností tento přístup prakticky eliminuje nebezpečí neoprávněného přístupu hackerů; nízké náklady. Nevýhody: potenciální zvýšená údržba více zařízení.
V minulosti byla zařízení pro snímání paketů nasazována střídmě, často pouze v místě vstupu do sítě. Zařízení pro snímání paketů lze nyní efektivněji nasadit v různých bodech po síti. Při provádění reakce na mimořádné události je schopnost vidět tok dat v síti z různých výhodných míst nepostradatelná pro zkrácení doby do vyřešení a zúžení, které části sítě byly nakonec ovlivněny. Umístěním zařízení pro snímání paketů na vstupní bod a před každou pracovní skupinu by se zjednodušení a mnohem rychlejší sledování cesty konkrétního přenosu hlouběji do sítě. Zařízení umístěná před pracovními skupinami by navíc zobrazovala intranetové přenosy, které by zařízení umístěné ve vstupním bodě nemohlo zachytit.
Kapacita
Zařízení pro snímání paketů mají kapacitu od 500 GB do 192 TB a více. Pouze několik organizací s extrémně vysokým využitím sítě by mělo využití pro vyšší rozsahy kapacit. Většině organizací by dobře poskytly kapacity od 1 TB do 4 TB.
Dobrým pravidlem při výběru kapacity je povolit 1 GB denně pro těžké uživatele až 1 GB za měsíc pro běžné uživatele. Pro typickou kancelář 20 lidí s průměrným využitím by 1 TB stačila přibližně na 1 až 4 roky.
| Poměr rychlosti linky 100/0 | 100 Mbit / s | 1 Gbit / s | 10 Gbit / s | 40 Gbit / s |
|---|---|---|---|---|
| Data na disku / s | 12,5 MB | 125 MB | 1,25 GB | 5 GB |
| Data na disku / min | 750 MB | 7,5 GB | 75 GB | 300 GB |
| Data na disku / hod | 45 GB | 450 GB | 4,5 TB | 18 TB |
Poměr 100/0 znamená simplexní provoz na skutečných odkazech, kde můžete mít ještě větší provoz
Funkce
Filtrované vs. plné zachycení paketů
Zařízení pro snímání úplných paketů zachycují a zaznamenávají veškerou aktivitu Ethernet / IP, zatímco filtrovaná zařízení pro snímání paketů snímají pouze podmnožinu provozu na základě sady uživatelem definovatelných filtrů; jako je IP adresa , MAC adresa nebo protokol. Pokud nepoužíváte zařízení pro snímání paketů pro velmi konkrétní účel, na který se vztahují parametry filtru, je obecně nejlepší použít zařízení pro snímání paketů nebo jinak riskujete, že vám chybí důležitá data. Zejména při použití zachycení paketů pro účely síťové forenzní nebo kybernetické bezpečnosti je zásadní zachytit vše, protože jakýkoli paket, který není zachycen na místě, je paket, který je navždy pryč. Není možné předem poznat konkrétní vlastnosti potřebných paketů nebo přenosů, zejména v případě pokročilé trvalé hrozby (APT). APT a další hackerské techniky se spoléhají na úspěch na správcích sítí, kteří nevědí, jak fungují, a proto nemají k dispozici řešení, která by jim mohla čelit.
Inteligentní snímání paketů
Inteligentní snímání paketů využívá strojové učení k filtrování a snížení množství zachyceného síťového provozu. Zachycení tradičního filtrovaného paketu závisí na pravidlech a zásadách, které jsou ručně konfigurovány tak, aby zachytily veškerý potenciálně nebezpečný provoz. Inteligentní zachycování paketů využívá modely strojového učení, včetně funkcí z informačních kanálů o kybernetických hrozbách , k vědeckému cílení a zachycení nejohroženějšího provozu. K identifikaci potenciálně škodlivého provozu pro sběr se používají techniky strojového učení pro detekci narušení sítě, klasifikaci provozu a detekci anomálií.
Šifrované vs. nešifrované úložiště
Některá zařízení pro zachytávání paketů šifrovaná data před uložením na disk šifrují , zatímco jiná ne. Vzhledem k šíři informací, které cestují po síti nebo připojení k internetu a že alespoň část z nich lze považovat za citlivou, je šifrování pro většinu situací dobrým opatřením jako opatření k zabezpečení zaznamenaných dat. Šifrování je také kritickým prvkem autentizace dat pro účely datové / síťové forenzní analýzy.
Trvalá rychlost snímání vs. maximální rychlost snímání
Trvalá zachycená rychlost je rychlost, kterou zařízení pro snímání paketů může po dlouhou dobu zachytit a zaznamenat pakety bez přerušení nebo chyby. To se liší od maximální rychlosti snímání, což je nejvyšší rychlost, jakou může zařízení pro snímání paketů zachytit a zaznamenat pakety. Maximální rychlost snímání lze udržovat pouze na krátkou dobu, dokud se nevyplní vyrovnávací paměti zařízení a nezačne ztrácet pakety. Mnoho zařízení pro snímání paketů sdílí stejnou špičkovou rychlost snímání 1 Gbit / s, ale skutečné trvalé rychlosti se u jednotlivých modelů výrazně liší.
Trvalé vs. přepisovatelné úložiště
Zařízení pro snímání paketů s trvalým úložištěm je ideální pro síťovou forenzní účely a účely trvalého vedení záznamů, protože zachycená data nelze přepsat, změnit nebo odstranit. Jedinou nevýhodou trvalého skladování je to, že se zařízení nakonec zaplní a vyžaduje výměnu. Zařízení pro snímání paketů s přepisovatelným úložištěm se snadněji spravují, protože jakmile dosáhnou kapacity, začnou přepisovat nejstarší zachycená data novým, avšak správci sítě riskují, že při přepsání ztratí důležitá zachycená data. Zařízení pro snímání paketů s možnostmi přepsání jsou obecně užitečná pro účely jednoduchého monitorování nebo testování, pro které není nutný trvalý záznam. Trvalý, nepřepisovatelný záznam je nutností pro shromažďování forenzních informací v síti.
GbE vs. 10 GbE
Většina podniků používá rychlostní sítě Gigabit Ethernet a nějakou dobu v tom bude pokračovat. Pokud má podnik v úmyslu použít jedno centralizované zařízení pro zachycování paketů k agregaci všech dat v síti, bylo by pravděpodobně nutné použít zařízení pro zachycování paketů s rychlostí 10 GbE ke zpracování velkého množství dat, která k němu přicházejí z celé sítě. Efektivnějším způsobem je použití více zařízení pro snímání paketů s rychlostí 1 Gbit / s umístěných strategicky po síti, takže není nutné znovu sestavovat gigabitovou síť, aby se vešla na zařízení s rychlostí 10 GbE .
Bezpečnost dat
Vzhledem k tomu, že zařízení pro zachycování paketů zachycují a ukládají velké množství dat o síťové aktivitě, včetně souborů, e-mailů a další komunikace, mohly by se samy o sobě stát atraktivním cílem hackování. Zařízení pro zachytávání paketů nasazené na libovolnou dobu by mělo obsahovat bezpečnostní funkce, aby chránilo zaznamenaná síťová data před přístupem neoprávněných stran. Pokud nasazení zařízení pro snímání paketů přináší příliš mnoho dalších obav o zabezpečení, náklady na jeho zabezpečení mohou převážit výhody. Nejlepším přístupem by bylo, kdyby zařízení pro snímání paketů mělo zabudované bezpečnostní funkce. Mezi tyto funkce zabezpečení může patřit šifrování nebo metody „skrytí“ přítomnosti zařízení v síti. Některá zařízení pro snímání paketů mají například „elektronickou neviditelnost“, kde mají nenápadný síťový profil tím, že nevyžadují ani nepoužívají adresy IP ani MAC.
Ačkoli se zdá, že připojení zařízení pro snímání paketů přes port SPAN je bezpečnější, zařízení pro snímání paketů by nakonec muselo být stále připojeno k síti, aby bylo možné správu a načítání dat. Ačkoli není přístupné přes odkaz SPAN, zařízení by bylo přístupné přes odkaz pro správu.
Navzdory výhodám představuje schopnost ovládat zařízení pro snímání paketů ze vzdáleného počítače bezpečnostní problém, který by mohl způsobit jeho zranitelnost. Zařízení pro snímání paketů, která umožňují vzdálený přístup, by měla mít zavedený robustní systém, který jej chrání před neoprávněným přístupem. Jedním ze způsobů, jak toho dosáhnout, je začlenit ruční deaktivaci, například přepínač nebo přepínač umožňující uživateli fyzicky deaktivovat vzdálený přístup. Toto jednoduché řešení je velmi účinné, protože je pochybné, že by hacker snadno získal fyzický přístup k zařízení, aby mohl přepnout přepínač.
Poslední otázkou je fyzická bezpečnost. Všechny funkce zabezpečení sítě na světě jsou diskutabilní, pokud někdo jednoduše dokáže ukrást zařízení pro snímání paketů nebo si z něj udělat kopii a mít okamžitý přístup k datům v něm uloženým. Šifrování je jedním z nejlepších způsobů řešení tohoto problému, ačkoli některá zařízení pro snímání paketů mají také kryty odolné proti neoprávněné manipulaci.