Urządzenie do przechwytywania pakietów - Packet capture appliance

Urządzenie do przechwytywania pakietów to samodzielne urządzenie, które wykonuje przechwytywanie pakietów . Urządzenia do przechwytywania pakietów mogą być rozmieszczone w dowolnym miejscu w sieci, jednak najczęściej są one umieszczane przy wejściach do sieci (tj. Połączeniach internetowych) i przed krytycznymi urządzeniami, takimi jak serwery zawierające poufne informacje.

Ogólnie rzecz biorąc, urządzenia do przechwytywania pakietów przechwytują i rejestrują wszystkie pakiety sieciowe w całości (zarówno nagłówek, jak i ładunek), jednak niektóre urządzenia mogą być skonfigurowane do przechwytywania podzbioru ruchu sieciowego w oparciu o filtry definiowane przez użytkownika. W przypadku wielu aplikacji, szczególnie w przypadku kryminalistyki sieci i reagowania na incydenty, krytyczne jest przeprowadzenie pełnego przechwytywania pakietów, chociaż filtrowane przechwytywanie pakietów może być czasami wykorzystywane do określonych, ograniczonych celów gromadzenia informacji.

Rozlokowanie

Dane sieciowe przechwytywane przez urządzenie do przechwytywania pakietów zależą od tego, gdzie i jak jest ono zainstalowane w sieci. Istnieją dwie opcje wdrażania urządzeń do przechwytywania pakietów w sieci. Jedną z opcji jest podłączenie urządzenia do portu SPAN ( dublowanie portu ) w przełączniku sieciowym lub routerze. Drugą opcją jest podłączenie urządzenia w linii, tak aby aktywność sieciowa wzdłuż trasy sieciowej przechodziła przez urządzenie (podobnie w konfiguracji do zaczepu sieciowego , ale informacje są przechwytywane i przechowywane przez urządzenie do przechwytywania pakietów, a nie przekazywane do innego urządzenia) .

Po podłączeniu przez port SPAN urządzenie przechwytywania pakietów może odbierać i rejestrować całą aktywność Ethernet / IP dla wszystkich portów przełącznika lub routera.

Po podłączeniu w linii, urządzenia przechwytywania pakietów przechwytują tylko ruch sieciowy przemieszczający się między dwoma punktami, to znaczy ruch przechodzący przez kabel, do którego jest podłączone urządzenie do przechwytywania pakietów.

Istnieją dwa ogólne podejścia do wdrażania urządzeń do przechwytywania pakietów: scentralizowane i zdecentralizowane.

Scentralizowane

Dzięki scentralizowanemu podejściu jedno urządzenie do przechwytywania pakietów o dużej pojemności i dużej szybkości łączy się z punktem agregacji danych. Zaletą scentralizowanego podejścia jest to, że za pomocą jednego urządzenia uzyskujesz wgląd w cały ruch sieciowy. Takie podejście stwarza jednak pojedynczy punkt awarii, który jest bardzo atrakcyjnym celem dla hakerów; dodatkowo należałoby przeprojektować sieć, aby przenieść ruch do urządzenia, a takie podejście zwykle wiąże się z wysokimi kosztami.

Zdecentralizowane

Dzięki zdecentralizowanemu podejściu umieszczasz wiele urządzeń w sieci, zaczynając w punkcie (punktach) wejścia i przechodząc do głębszych segmentów sieci, takich jak grupy robocze. Zalety obejmują: brak konieczności ponownej konfiguracji sieci; łatwość wdrożenia; wiele punktów obserwacyjnych dla badań reagowania na incydenty; skalowalność; nie ma pojedynczego punktu awarii - jeśli jeden zawiedzie, masz inne; w połączeniu z niewidocznością elektroniczną podejście to praktycznie eliminuje niebezpieczeństwo nieuprawnionego dostępu hakerów; niska cena. Wady: potencjalna zwiększona konserwacja wielu urządzeń.

W przeszłości urządzenia do przechwytywania pakietów były rzadko wdrażane, często tylko w punkcie wejścia do sieci. Urządzenia do przechwytywania pakietów można teraz efektywniej wdrażać w różnych punktach sieci. Podczas reagowania na incydenty możliwość obserwacji przepływu danych w sieci z różnych punktów widzenia jest niezbędna, aby skrócić czas potrzebny do rozwiązania problemu i zawęzić, które części sieci zostały ostatecznie dotknięte. Dzięki umieszczeniu urządzeń do przechwytywania pakietów w punkcie wejścia i przed każdą grupą roboczą, podążanie ścieżką określonej transmisji w głąb sieci byłoby uproszczone i znacznie szybsze. Ponadto urządzenia umieszczone przed grupami roboczymi pokazywałyby transmisje intranetowe, których urządzenie znajdujące się w punkcie wejścia nie byłoby w stanie przechwycić.

Pojemność

Urządzenia do przechwytywania pakietów mają pojemność od 500 GB do 192 TB i więcej. Tylko kilka organizacji o wyjątkowo wysokim wykorzystaniu sieci mogłoby wykorzystać górne zakresy przepustowości. Większość organizacji byłaby dobrze obsługiwana dzięki pojemnościom od 1 TB do 4 TB.

Dobrą zasadą przy wyborze pojemności jest pozostawienie 1 GB dziennie dla ciężkich użytkowników do 1 GB miesięcznie dla zwykłych użytkowników. W przypadku typowego biura 20-osobowego o średnim wykorzystaniu 1 TB wystarczy na około 1 do 4 lat.

Współczynnik szybkości łącza 100/0 100 Mbit / s 1 Gbit / s 10 Gbit / s 40 Gbit / s
Dane na płycie / sek 12,5 MB 125 MB 1,25 GB 5 GB
Dane na płycie / min 750 MB 7,5 GB 75 GB 300 GB
Dane na płycie / godz 45 GB 450 GB 4,5 TB 18 TB

Stosunek 100/0 oznacza ruch simplex na prawdziwych linkach, możesz mieć jeszcze większy ruch

funkcje

Przechwytywanie pakietów filtrowane a pełne

Urządzenia do pełnego przechwytywania pakietów przechwytują i rejestrują całą aktywność Ethernet / IP, podczas gdy urządzenia do filtrowanego przechwytywania pakietów przechwytują tylko podzbiór ruchu w oparciu o zestaw filtrów definiowanych przez użytkownika; takie jak adres IP , adres MAC lub protokołu. O ile nie używa się urządzenia do przechwytywania pakietów w bardzo konkretnym celu objętym parametrami filtru, ogólnie najlepiej jest używać urządzeń do przechwytywania pełnego pakietu lub w inny sposób ryzykować utratę ważnych danych. Szczególnie w przypadku korzystania z przechwytywania pakietów do celów analizy kryminalistycznej sieci lub cyberbezpieczeństwa najważniejsze jest przechwycenie wszystkiego, ponieważ każdy pakiet, który nie został przechwycony na miejscu, jest pakietem, który przepadnie na zawsze. Nie można z wyprzedzeniem poznać specyficznych cech potrzebnych pakietów lub transmisji, zwłaszcza w przypadku zaawansowanego trwałego zagrożenia (APT). APT i inne techniki hakerskie polegają na sukcesie administratorów sieci, którzy nie wiedzą, jak działają, a tym samym nie mają rozwiązań, które mogłyby im przeciwdziałać.

Inteligentne przechwytywanie pakietów

Inteligentne przechwytywanie pakietów wykorzystuje uczenie maszynowe do filtrowania i zmniejszania ilości przechwytywanego ruchu sieciowego. Tradycyjne przechwytywanie filtrowanych pakietów opiera się na regułach i zasadach, które są konfigurowane ręcznie w celu przechwytywania całego potencjalnie złośliwego ruchu. Inteligentne przechwytywanie pakietów wykorzystuje modele uczenia maszynowego, w tym funkcje z kanałów informacji o zagrożeniach cybernetycznych , do naukowego kierowania i przechwytywania najbardziej zagrażającego ruchu. Techniki uczenia maszynowego do wykrywania włamań do sieci, klasyfikacji ruchu i wykrywania anomalii są używane do identyfikowania potencjalnie złośliwego ruchu w celu gromadzenia danych.

Magazyn szyfrowany a niezaszyfrowany

Niektóre urządzenia do przechwytywania pakietów szyfrują przechwycone dane przed zapisaniem ich na dysku, podczas gdy inne tego nie robią. Biorąc pod uwagę rozległość informacji przesyłanych przez sieć lub połączenie internetowe oraz fakt, że przynajmniej część z nich może zostać uznana za poufną, szyfrowanie jest dobrym pomysłem w większości sytuacji jako środek zapewniający bezpieczeństwo przechwyconych danych. Szyfrowanie jest również krytycznym elementem uwierzytelniania danych na potrzeby kryminalistyki danych / sieci.

Stała prędkość przechwytywania a maksymalna prędkość przechwytywania

Utrzymująca się prędkość przechwytywania to szybkość, z jaką urządzenie do przechwytywania pakietów może przechwytywać i rejestrować pakiety bez przerw lub błędów przez długi okres czasu. Różni się ona od maksymalnej szybkości przechwytywania, która jest największą szybkością, z jaką urządzenie do przechwytywania pakietów może przechwytywać i rejestrować pakiety. Szczytową prędkość przechwytywania można utrzymać tylko przez krótki czas, aż do zapełnienia buforów urządzenia i rozpoczęcia utraty pakietów. Wiele urządzeń do przechwytywania pakietów ma tę samą szczytową prędkość przechwytywania 1 Gbit / s, ale rzeczywiste utrzymywane prędkości różnią się znacznie w zależności od modelu.

Pamięć trwała a pamięć nadpisywalna

Urządzenie do przechwytywania pakietów ze stałą pamięcią masową jest idealne do analizy kryminalistycznej sieci i trwałego przechowywania danych, ponieważ przechwyconych danych nie można nadpisać, zmienić ani usunąć. Jedyną wadą stałego przechowywania jest to, że w końcu urządzenie jest pełne i wymaga wymiany. Urządzenia do przechwytywania pakietów z możliwością nadpisywania pamięci masowej są łatwiejsze w zarządzaniu, ponieważ po osiągnięciu pojemności zaczną nadpisywać najstarsze przechwycone dane nowymi, jednak administratorzy sieci ryzykują utratę ważnych danych przechwytywania, gdy zostaną one nadpisane. Ogólnie rzecz biorąc, urządzenia do przechwytywania pakietów z możliwością nadpisywania są przydatne do prostego monitorowania lub testowania, do których nie jest potrzebny trwały zapis. Trwałe nagrywanie bez możliwości nadpisywania jest niezbędne do gromadzenia informacji kryminalistycznych w sieci.

GbE a 10 GbE

Większość firm korzysta z szybkich sieci Gigabit Ethernet i będzie to robić jeszcze przez jakiś czas. Jeśli firma zamierza używać jednego scentralizowanego urządzenia do przechwytywania pakietów do agregowania wszystkich danych sieciowych, prawdopodobnie byłoby konieczne użycie urządzenia do przechwytywania pakietów 10 GbE do obsługi dużej ilości danych docierających do niej z całej sieci. Bardziej efektywnym sposobem jest użycie wielu urządzeń do przechwytywania pakietów o przepustowości 1 Gbit / s rozmieszczonych strategicznie w całej sieci, dzięki czemu nie ma potrzeby przeprojektowywania sieci gigabitowej w celu dopasowania do urządzenia 10 GbE .

Ochrona danych

Ponieważ urządzenia do przechwytywania pakietów przechwytują i przechowują duże ilości danych dotyczących aktywności w sieci, w tym plików, wiadomości e-mail i innych rodzajów komunikacji, mogą same w sobie stać się atrakcyjnym celem hakowania. Urządzenie do przechwytywania pakietów wdrożone na dowolny okres czasu powinno zawierać funkcje bezpieczeństwa, aby chronić zapisane dane sieciowe przed dostępem osób nieupoważnionych. Jeśli wdrożenie urządzenia do przechwytywania pakietów stwarza zbyt wiele dodatkowych obaw dotyczących bezpieczeństwa, koszt jego zabezpieczenia może przeważyć nad korzyściami. Najlepszym podejściem byłoby, gdyby urządzenie do przechwytywania pakietów miało wbudowane funkcje bezpieczeństwa. Te funkcje bezpieczeństwa mogą obejmować szyfrowanie lub metody „ukrywania” obecności urządzenia w sieci. Na przykład niektóre urządzenia do przechwytywania pakietów są wyposażone w „niewidzialność elektroniczną”, która polega na ukrytym profilu sieciowym, ponieważ nie wymagają ani nie używają adresów IP ani MAC.

Chociaż wydaje się, że podłączenie urządzenia do przechwytywania pakietów przez port SPAN czyni je bezpieczniejszym, ostatecznie urządzenie do przechwytywania pakietów musiałoby być ostatecznie podłączone do sieci, aby umożliwić zarządzanie i pobieranie danych. Chociaż urządzenie nie byłoby dostępne przez łącze SPAN, byłoby dostępne za pośrednictwem łącza zarządzania.

Pomimo korzyści, możliwość sterowania urządzeniem do przechwytywania pakietów ze zdalnego komputera stanowi problem z bezpieczeństwem, który może narazić urządzenie na podatność. Urządzenia do przechwytywania pakietów, które umożliwiają zdalny dostęp, powinny mieć solidny system ochrony przed nieautoryzowanym dostępem. Jednym ze sposobów osiągnięcia tego jest włączenie ręcznego wyłączenia, takiego jak przełącznik lub przełącznik, który pozwala użytkownikowi fizycznie wyłączyć dostęp zdalny. To proste rozwiązanie jest bardzo skuteczne, ponieważ wątpliwe jest, aby hakerowi udało się łatwo uzyskać fizyczny dostęp do urządzenia w celu przełączenia przełącznika.

Ostatnim zagadnieniem jest bezpieczeństwo fizyczne. Wszystkie funkcje bezpieczeństwa sieci na świecie są dyskusyjne, jeśli ktoś jest w stanie po prostu ukraść urządzenie do przechwytywania pakietów lub zrobić jego kopię i mieć łatwy dostęp do przechowywanych na nim danych. Szyfrowanie jest jednym z najlepszych sposobów rozwiązania tego problemu, chociaż niektóre urządzenia do przechwytywania pakietów mają również obudowy odporne na manipulacje.

Zobacz też

Bibliografia