Устройство захвата пакетов - это автономное устройство, которое выполняет захват пакетов . Устройства захвата пакетов могут быть развернуты в любом месте сети, однако чаще всего они размещаются на входах в сеть (т. Е. При подключении к Интернету) и перед критически важным оборудованием, таким как серверы, содержащие конфиденциальную информацию.
Как правило, устройства захвата пакетов захватывают и записывают все сетевые пакеты полностью (как заголовок, так и полезную нагрузку), однако некоторые устройства могут быть настроены для захвата подмножества сетевого трафика на основе определяемых пользователем фильтров. Для многих приложений, особенно для сетевой криминалистики и реагирования на инциденты, критически важно провести полный захват пакетов, хотя захват фильтрованных пакетов может использоваться время от времени для конкретных, ограниченных целей сбора информации. [1]
Развертывание
Сетевые данные, которые захватывает устройство захвата пакетов, зависят от того, где и как оно установлено в сети. Есть два варианта развертывания устройств захвата пакетов в сети. Один из вариантов - подключить устройство к порту SPAN ( зеркалирование портов ) на сетевом коммутаторе или маршрутизаторе. Второй вариант - подключить устройство в линию, чтобы сетевая активность по сетевому маршруту проходила через устройство (конфигурация аналогична сетевому ответвителю , но информация захватывается и сохраняется устройством захвата пакетов, а не передается другому устройству) . [2]
При подключении через порт SPAN устройство захвата пакетов может получать и записывать всю активность Ethernet / IP для всех портов коммутатора или маршрутизатора. [3]
При встроенном подключении устройства захвата пакетов захватывают только сетевой трафик, проходящий между двумя точками, то есть трафик, проходящий через кабель, к которому подключено устройство захвата пакетов. [2]
Существует два общих подхода к развертыванию устройств захвата пакетов: централизованный и децентрализованный.
Централизованный
При централизованном подходе к точке агрегации данных подключается одно высокопроизводительное высокоскоростное устройство захвата пакетов. Преимущество централизованного подхода заключается в том, что с помощью одного устройства вы получаете видимость всего сетевого трафика. Однако такой подход создает единую точку отказа, которая является очень привлекательной целью для хакеров; Кроме того, потребуется реконструировать сеть для передачи трафика на устройство, и этот подход обычно требует больших затрат. [3]
Децентрализованный
При децентрализованном подходе вы размещаете несколько устройств в сети, начиная с точки (точек) входа и переходя вниз по течению к более глубоким сегментам сети, таким как рабочие группы. К преимуществам относятся: не требуется перенастройка сети; простота развертывания; несколько точек зрения для расследования инцидентов; масштабируемость; нет единой точки отказа - если выйдет из строя одна, у вас будут другие; в сочетании с электронной невидимостью такой подход практически исключает опасность несанкционированного доступа хакеров; бюджетный. Минусы: потенциально повышенное обслуживание нескольких устройств. [3]
В прошлом устройства захвата пакетов развертывались редко, часто только в точке входа в сеть. Устройства захвата пакетов теперь можно более эффективно развертывать в различных точках сети. При реагировании на инциденты возможность видеть сетевой поток данных с различных точек зрения необходима для сокращения времени до разрешения и сужения того, какие части сети в конечном итоге были затронуты. Если разместить устройства захвата пакетов в точке входа и перед каждой рабочей группой, проследить путь конкретной передачи вглубь сети будет проще и намного быстрее. Кроме того, устройства, расположенные перед рабочими группами, будут показывать передачи интрасети, которые устройство, расположенное в точке входа, не сможет перехватить. [2]
Вместимость
Устройства захвата пакетов имеют емкость от 500 ГБ до 192 ТБ и более. Только несколько организаций с чрезвычайно высокой загрузкой сети могли бы использовать верхние диапазоны мощностей. Большинству организаций будет достаточно емкостью от 1 ТБ до 4 ТБ. [4]
Хорошее практическое правило при выборе емкости - разрешать 1 ГБ в день для активных пользователей до 1 ГБ в месяц для обычных пользователей. Для типичного офиса из 20 человек со средним уровнем использования 1 ТБ будет достаточно примерно на 1–4 года. [2]
Соотношение скорости соединения 100/0 | 100 Мбит / с | 1 Гбит / с | 10 Гбит / с | 40 Гбит / с |
---|---|---|---|---|
Данные на диске / сек | 12,5 МБ | 125 МБ | 1,25 ГБ | 5 ГБ |
Данные на диске / мин. | 750 МБ | 7,5 ГБ | 75 ГБ | 300 ГБ |
Данные на диске / час | 45 ГБ | 450 ГБ | 4,5 ТБ | 18 ТБ |
Соотношение 100/0 означает, что односторонний трафик по реальным ссылкам может быть еще больше.
Функции
Отфильтрованный и полный захват пакетов
Устройства полного захвата пакетов захватывают и записывают всю активность Ethernet / IP, в то время как устройства захвата фильтрованных пакетов захватывают только часть трафика на основе набора определяемых пользователем фильтров; например IP-адрес , MAC-адрес или протокол. Если не используется устройство захвата пакетов для очень конкретной цели, охватываемой параметрами фильтра, обычно лучше использовать устройства полного захвата пакетов, иначе существует риск потери важных данных. В частности, при использовании захвата пакетов в целях сетевой криминалистики или кибербезопасности крайне важно захватить все, потому что любой пакет, не захваченный на месте, является пакетом, который ушел навсегда. Невозможно заранее узнать конкретные характеристики необходимых пакетов или передач, особенно в случае повышенной постоянной угрозы (APT). APT и другие методы взлома зависят от успеха сетевых администраторов, которые не знают, как они работают, и, следовательно, не имеют решений для противодействия им. [2]
Интеллектуальный захват пакетов
Интеллектуальный захват пакетов использует машинное обучение для фильтрации и уменьшения объема захваченного сетевого трафика. Традиционный захват фильтрованных пакетов основан на правилах и политиках, которые настраиваются вручную для захвата всего потенциально вредоносного трафика. Интеллектуальный захват пакетов использует модели машинного обучения, включая функции из каналов аналитики киберугроз , для научного нацеливания и захвата наиболее опасного трафика. Методы машинного обучения для обнаружения сетевых вторжений, классификации трафика [5] [6] , [7] и обнаружения аномалий [8] используются для выявления потенциально вредоносного трафика для сбора.
Зашифрованное и незашифрованное хранилище
Некоторые устройства захвата пакетов шифруют захваченные данные перед их сохранением на диск, а другие - нет. Учитывая объем информации, которая передается по сети или интернет-соединению, и что по крайней мере часть ее может считаться конфиденциальной, шифрование является хорошей идеей для большинства ситуаций в качестве меры по обеспечению безопасности захваченных данных. Шифрование также является важным элементом аутентификации данных для целей судебной экспертизы данных / сети. [2]
Постоянная скорость захвата в сравнении с максимальной скоростью захвата
Устойчивая скорость захвата - это скорость, с которой устройство захвата пакетов может захватывать и записывать пакеты без прерывания или ошибок в течение длительного периода времени. Это отличается от максимальной скорости захвата, которая является максимальной скоростью, с которой устройство захвата пакетов может захватывать и записывать пакеты. Пиковая скорость захвата может поддерживаться только в течение короткого периода времени, пока буферы устройства не заполнятся и оно не начнет терять пакеты. Многие устройства захвата пакетов имеют одинаковую пиковую скорость захвата 1 Гбит / с, но фактические устойчивые скорости значительно различаются от модели к модели. [2] [9]
Постоянное и перезаписываемое хранилище
Устройство захвата пакетов с постоянным хранилищем идеально подходит для сетевой криминалистики и постоянного хранения записей, поскольку захваченные данные не могут быть перезаписаны, изменены или удалены. Единственным недостатком постоянного хранения является то, что со временем прибор становится полным и требует замены. Устройствами захвата пакетов с перезаписываемым хранилищем легче управлять, потому что, когда они достигают своей емкости, они начинают перезаписывать самые старые захваченные данные новыми, однако сетевые администраторы рискуют потерять важные данные захвата, когда они будут перезаписаны. В общем, устройства захвата пакетов с возможностью перезаписи полезны для простых целей мониторинга или тестирования, для которых постоянная запись не требуется. Постоянная, неперезаписываемая запись является обязательным условием для сбора сетевой криминалистической информации. [3]
GbE против 10 GbE
Большинство предприятий используют скоростные сети Gigabit Ethernet и будут использовать их еще некоторое время. [10] Если компания намеревается использовать одно централизованное устройство захвата пакетов для агрегирования всех сетевых данных, вероятно, потребуется использовать устройство захвата пакетов 10 GbE для обработки большого объема данных, поступающих к нему со всей сети. Более эффективным способом является использование нескольких встроенных устройств захвата пакетов со скоростью 1 Гбит / с, стратегически размещенных вокруг сети, так что нет необходимости перепроектировать гигабитную сеть для соответствия устройству 10 GbE . [11]
Безопасность данных
Поскольку устройства захвата пакетов захватывают и хранят большой объем данных о сетевой активности, включая файлы, [12] электронную почту и другие средства связи, они сами по себе могут стать привлекательными целями для взлома. Устройство захвата пакетов, развернутое на любой период времени, должно включать функции безопасности для защиты записанных сетевых данных от доступа неавторизованных сторон. Если развертывание устройства захвата пакетов вызывает слишком много дополнительных опасений по поводу безопасности, стоимость его защиты может перевесить преимущества. Лучшим подходом было бы, чтобы устройство захвата пакетов имело встроенные функции безопасности. Эти функции безопасности могут включать шифрование или методы «скрытия» присутствия устройства в сети. Например, некоторые устройства захвата пакетов имеют функцию «электронной невидимости», когда они имеют скрытый сетевой профиль, не требуя и не используя IP- или MAC-адреса. [3]
Хотя подключение устройства захвата пакетов через порт SPAN, кажется, делает его более безопасным, устройство захвата пакетов в конечном итоге все равно должно быть подключено к сети, чтобы обеспечить управление и извлечение данных. Хотя к устройству нельзя получить доступ через ссылку SPAN, он будет доступен через ссылку управления. [2]
Несмотря на преимущества, возможность управлять устройством захвата пакетов с удаленной машины представляет собой проблему безопасности, которая может сделать устройство уязвимым. [13] Устройства захвата пакетов, обеспечивающие удаленный доступ, должны иметь надежную систему для защиты от несанкционированного доступа. Один из способов добиться этого - включить ручное отключение, такое как переключатель или тумблер, который позволяет пользователю физически отключить удаленный доступ. Это простое решение очень эффективно, так как сомнительно, что хакеру будет легко получить физический доступ к устройству, чтобы щелкнуть выключателем. [2]
Последнее соображение - физическая безопасность. Все функции сетевой безопасности в мире будут спорными, если кто-то просто сможет украсть устройство захвата пакетов или сделать его копию и получить свободный доступ к хранящимся на нем данным. Шифрование - один из лучших способов решить эту проблему, хотя некоторые устройства захвата пакетов также имеют корпуса с защитой от несанкционированного доступа. [2]
Смотрите также
Рекомендации
- ^ Шерри Давидофф. «Сетевая криминалистика: отслеживание хакеров через киберпространство» . Проверено 8 июля 2012 .
- ^ Б с д е е г ч я J Вакка, Джон Р. (26 августа 2013 г.). Сетевая и системная безопасность . Эльзевир. ISBN 978-0-12-416695-0.
- ^ а б в г д Вакка, Джон Р. (2012-11-05). Справочник по компьютерной и информационной безопасности . Newnes. ISBN 978-0-12-394612-6.
- ^ «Емкость хранилища - устройства захвата пакетов IPCopper» . www.ipcopper.com . Проверено 4 декабря 2020 .
- ^ "KDD Cup 1999: Обнаружение вторжений в компьютерную сеть" . SIGKDD . Проверено 17 июня 2019 .
- ^ Бучак, Анна; Гювен, Эрхан (26 октября 2015 г.). «Обзор методов интеллектуального анализа данных и машинного обучения для обнаружения вторжений в кибербезопасность». Обзоры и учебные пособия по коммуникациям IEEE . 18 (2): 1153–1176. DOI : 10,1109 / COMST.2015.2494502 . S2CID 206577177 .
- ^ Ли, Вэй; Мур, Эндрю В. (24–26 октября 2007 г.). «Подход машинного обучения для эффективной классификации трафика». 2007 15-й Международный симпозиум по моделированию, анализу и моделированию компьютерных и телекоммуникационных систем : 310–317. CiteSeerX 10.1.1.219.6221 . DOI : 10.1109 / MASCOTS.2007.2 . ISBN 978-1-4244-1853-4. S2CID 2037709 .
- ^ Ахмед, Тарем; Орешкин, Борис; Коутс, Марк (10 апреля 2007 г.). "Подходы машинного обучения к обнаружению сетевых аномалий" . Второй семинар по решению проблем компьютерных систем с помощью методов машинного обучения (SysML07) . Проверено 17 июня 2019 .
- ^ "Анализатор пакетов - Инструмент сетевого анализа и сканирования | SolarWinds" . www.solarwinds.com . Проверено 4 декабря 2020 .
- ^ «Gigabit Ethernet - будущее?» . ComputerWeekly.com . Проверено 4 декабря 2020 .
- ^ "Анализатор пакетов - Инструмент сетевого анализа и сканирования | SolarWinds" . www.solarwinds.com . Проверено 4 декабря 2020 .
- ^ Эрик Ельмвик (2008). «Пассивный анализ сетевой безопасности с помощью NetworkMiner» . Криминалистический фокус. Архивировано из оригинала на 2012-02-23 . Проверено 8 июля 2012 .
- ^ Майк Пилкингтон (2010). «Защита паролей администратора во время удаленного ответа и криминалистической экспертизы» . SANS . Проверено 8 июля 2012 .