Zařízení pro snímání paketů - Packet capture appliance - Wikipedia

A zařízení pro snímání paketů je samostatné zařízení, které provádí zachytávání paketů. Zařízení pro snímání paketů lze nasadit kdekoli v síti, nejčastěji se však umisťují u vchodů do sítě (tj. Připojení k internetu) a před kritická zařízení, jako jsou servery obsahující citlivé informace.

Zařízení pro snímání paketů obecně zachycují a zaznamenávají všechny síťové pakety v plném rozsahu (záhlaví i užitečné zatížení), některá zařízení však mohou být nakonfigurována tak, aby snímala podmnožinu síťového provozu na základě uživatelem definovatelných filtrů. Pro mnoho aplikací, zejména síťová forenzní a reakce na incidenty, je zásadní provést úplné zachycení paketů, ačkoli filtrované zachycení paketů může být občas použito pro konkrétní omezené účely shromažďování informací.^[1]

Rozvinutí

Síťová data, která zachytí zařízení pro zachycování paketů, závisí na tom, kde a jak je zařízení nainstalováno v síti. Existují dvě možnosti pro nasazení zařízení pro snímání paketů v síti. Jednou z možností je připojit zařízení k portu SPAN (zrcadlení portů ) na síťový přepínač nebo router. Druhou možností je připojení zařízení inline, takže síťová aktivita na síťové trase prochází zařízením (podobná konfigurace jako klepněte na síť, ale informace jsou zachycovány a ukládány zařízením pro zachycování paketů, nikoli předávány jinému zařízení).^[2]

Při připojení přes port SPAN může zařízení pro snímání paketů přijímat a zaznamenávat veškerou aktivitu Ethernet / IP pro všechny porty přepínače nebo směrovače.^[3]

Když je připojeno inline, zařízení pro snímání paketů zachycuje pouze síťový provoz cestující mezi dvěma body, tj. Provoz, který prochází kabelem, ke kterému je zařízení pro snímání paketů připojeno.^[2]

K nasazení zařízení pro zachycování paketů existují dva obecné přístupy: centralizovaný a decentralizovaný.

Centralizované

S centralizovaným přístupem se jedno vysokokapacitní a vysokorychlostní zařízení pro zachycování paketů připojuje k bodu agregace dat. Výhodou centralizovaného přístupu je, že s jedním zařízením získáte viditelnost v celém provozu sítě. Tento přístup však vytváří jediný bod selhání, který je pro hackery velmi atraktivním cílem; navíc by bylo nutné přepracovat síť, aby přivedl provoz na zařízení, a tento přístup obvykle vyžaduje vysoké náklady.^[3]

Decentralizované

S decentralizovaným přístupem umístíte do sítě více zařízení, počínaje vstupním bodem (body) a pokračujte po proudu k hlubším síťovým segmentům, jako jsou pracovní skupiny. Mezi výhody patří: není nutná žádná nová konfigurace sítě; snadnost nasazení; více výhodných bodů pro vyšetřování reakce na incidenty; škálovatelnost; žádný bod selhání - pokud selže jeden, máte ostatní; v kombinaci s elektronickou neviditelností tento přístup prakticky eliminuje nebezpečí neoprávněného přístupu hackerů; nízké náklady. Nevýhody: potenciální zvýšená údržba více zařízení.^[3]

V minulosti byla zařízení pro snímání paketů nasazována střídmě, často pouze v místě vstupu do sítě. Zařízení pro snímání paketů lze nyní efektivněji nasadit v různých bodech po síti. Při provádění reakce na mimořádné události je schopnost vidět tok dat v síti z různých výhodných míst nepostradatelná pro zkrácení doby do vyřešení a zúžení, které části sítě byly nakonec ovlivněny. Umístěním zařízení pro snímání paketů na vstupní bod a před každou pracovní skupinu by se zjednodušení a mnohem rychlejší sledování cesty konkrétního přenosu hlouběji do sítě. Zařízení umístěná před pracovními skupinami by navíc zobrazovala intranetové přenosy, které by zařízení umístěné ve vstupním bodě nemohlo zachytit.^[2]

Kapacita

Zařízení pro snímání paketů mají kapacitu od 500 GB do 192 TB a více. Pouze několik organizací s extrémně vysokým využitím sítě by mělo využití pro vyšší rozsahy kapacit. Většině organizací by dobře poskytly kapacity od 1 TB do 4 TB.^[4]

Dobrým pravidlem při výběru kapacity je povolit 1 GB denně pro těžké uživatele až 1 GB za měsíc pro běžné uživatele. Pro typickou kancelář 20 lidí s průměrným využitím by 1 TB stačila přibližně na 1 až 4 roky.^[2]

Poměr rychlosti linky 100/0	100 Mbit / s	1 Gbit / s	10 Gbit / s	40 Gbit / s
Data na disku / s	12,5 MB	125 MB	1,25 GB	5 GB
Data na disku / min	750 MB	7,5 GB	75 GB	300 GB
Data na disku / hod	45 GB	450 GB	4,5 TB	18 TB

Poměr 100/0 znamená simplexní provoz na skutečných odkazech, kde můžete mít ještě větší provoz

Funkce

Filtrované vs. plné zachycení paketů

Zařízení pro snímání úplných paketů zachycují a zaznamenávají veškerou aktivitu Ethernet / IP, zatímco filtrovaná zařízení pro snímání paketů zachycují pouze podmnožinu provozu na základě sady uživatelem definovatelných filtrů; jako IP adresa, MAC adresa nebo protokol. Pokud nepoužíváte zařízení pro snímání paketů pro velmi konkrétní účel pokrytý parametry filtru, je obecně nejlepší použít zařízení pro snímání paketů nebo jinak riskujete, že vám chybí důležitá data. Zejména při použití zachycení paketů pro účely síťové forenzní nebo kybernetické bezpečnosti je zásadní zachytit vše, protože jakýkoli paket, který není zachycen na místě, je paket, který je navždy pryč. Je nemožné předem vědět konkrétní vlastnosti potřebných paketů nebo přenosů, zejména v případě pokročilá trvalá hrozba (APT). APT a další hackerské techniky se spoléhají na úspěch na správcích sítí, kteří nevědí, jak fungují, a proto nemají k dispozici řešení, která by jim čelila.^[2]

Inteligentní snímání paketů

Inteligentní snímání paketů využívá strojové učení k filtrování a snížení množství zachyceného síťového provozu. Zachycení tradičního filtrovaného paketu závisí na pravidlech a zásadách, které jsou ručně konfigurovány tak, aby zachytily veškerý potenciálně nebezpečný provoz. Inteligentní snímání paketů využívá modely strojového učení, včetně funkcí z Informace o kybernetických hrozbách kanály, aby vědecky zacílily a zachytily nejohroženější provoz. Techniky strojového učení pro detekci narušení sítě ^[5]^[6], klasifikace provozu ^[7]a detekce anomálií ^[8] se používají k identifikaci potenciálně škodlivého provozu pro sběr.

Šifrované vs. nešifrované úložiště

Některá zařízení pro snímání paketů zašifrovat zachycená data před uložením na disk, zatímco ostatní ne. Vzhledem k šíři informací, které cestují po síti nebo připojení k internetu a že alespoň část z nich lze považovat za citlivou, je šifrování pro většinu situací dobrým opatřením jako opatření k zabezpečení zaznamenaných dat. Šifrování je také kritickým prvkem autentizace dat pro účely datové / síťové forenzní analýzy.^[2]

Trvalá rychlost snímání vs. maximální rychlost snímání

Trvalá zachycená rychlost je rychlost, kterou zařízení pro snímání paketů může po dlouhou dobu zachytit a zaznamenat pakety bez přerušení nebo chyby. To se liší od maximální rychlosti snímání, což je nejvyšší rychlost, jakou může zařízení pro snímání paketů zachytit a zaznamenat pakety. Špičkovou rychlost snímání lze udržovat pouze na krátkou dobu, dokud se nevyplní vyrovnávací paměti zařízení a nezačne ztrácet pakety. Mnoho zařízení pro snímání paketů sdílí stejnou špičkovou rychlost snímání 1 Gbit / s, ale skutečné trvalé rychlosti se u jednotlivých modelů výrazně liší.^[2]^[9]

Trvalé vs. přepisovatelné úložiště

Zařízení pro snímání paketů s trvalým úložištěm je ideální pro síťovou forenzní účely a účely trvalého vedení záznamů, protože zachycená data nelze přepsat, změnit nebo odstranit. Jedinou nevýhodou trvalého skladování je to, že se zařízení nakonec zaplní a vyžaduje výměnu. Zařízení pro snímání paketů s přepisovatelným úložištěm se snadněji spravují, protože jakmile dosáhnou kapacity, začnou přepisovat nejstarší zachycená data novým, avšak správci sítě riskují, že při přepsání ztratí důležitá zachycená data. Zařízení pro snímání paketů s možnostmi přepsání jsou obecně užitečná pro účely jednoduchého monitorování nebo testování, pro které není nutný trvalý záznam. Trvalý, nepřepisovatelný záznam je nutností pro shromažďování forenzních informací v síti.^[3]

GbE vs. 10 GbE

Většina podniků používá Gigabitový Ethernet rychlostní sítě a bude to po nějakou dobu pokračovat.^[10] Pokud má podnik v úmyslu použít jedno centralizované zařízení pro zachycování paketů k agregaci všech síťových dat, bylo by pravděpodobně nutné použít 10 GbE zařízení pro snímání paketů pro zpracování velkého množství dat přicházejících k němu z celé sítě. Efektivnějším způsobem je použití více zařízení pro snímání paketů s rychlostí 1 Gbit / s umístěných strategicky po síti, takže není třeba znovu navrhovat gigabitová síť aby se vešly a 10 GbE spotřebič.^[11]

Bezpečnost dat

Protože zařízení pro snímání paketů zachycují a ukládají velké množství dat o síťové aktivitě, včetně souborů,^[12] e-maily a další komunikace, samy o sobě by se mohly stát atraktivním cílem hackování. Zařízení pro zachycování paketů nasazené na libovolnou dobu by mělo obsahovat bezpečnostní funkce, aby chránilo zaznamenaná síťová data před přístupem neoprávněných stran. Pokud nasazení zařízení pro snímání paketů přináší příliš mnoho dalších obav o zabezpečení, náklady na jeho zabezpečení mohou převážit výhody. Nejlepším přístupem by bylo, kdyby zařízení pro snímání paketů mělo zabudované bezpečnostní funkce. Mezi tyto funkce zabezpečení může patřit šifrování nebo metody „skrytí“ přítomnosti zařízení v síti. Některá zařízení pro snímání paketů mají například „elektronickou neviditelnost“, kde mají nenápadný síťový profil tím, že nevyžadují ani nepoužívají adresy IP ani MAC.^[3]

Ačkoli se zdá, že připojení zařízení pro snímání paketů přes port SPAN je bezpečnější, zařízení pro snímání paketů by nakonec muselo být stále připojeno k síti, aby bylo možné správu a načítání dat. Ačkoli není přístupné přes odkaz SPAN, zařízení by bylo přístupné přes odkaz pro správu.^[2]

Navzdory výhodám představuje schopnost ovládat zařízení pro snímání paketů ze vzdáleného počítače bezpečnostní problém, který by mohl způsobit jeho zranitelnost.^[13] Zařízení pro snímání paketů, která umožňují vzdálený přístup, by měla mít zavedený robustní systém, který jej chrání před neoprávněným přístupem. Jedním ze způsobů, jak toho dosáhnout, je začlenit ruční deaktivaci, například přepínač nebo přepínač umožňující uživateli fyzicky deaktivovat vzdálený přístup. Toto jednoduché řešení je velmi efektivní, protože je pochybné, že by hacker snadno získal fyzický přístup k zařízení, aby mohl přepnout přepínač.^[2]

Poslední otázkou je fyzická bezpečnost. Všechny funkce zabezpečení sítě na světě jsou diskutabilní, pokud někdo jednoduše dokáže ukrást zařízení pro snímání paketů nebo si z něj udělat kopii a mít okamžitý přístup k datům v něm uloženým. Šifrování je jedním z nejlepších způsobů řešení tohoto problému, ačkoli některá zařízení pro snímání paketů mají také kryty odolné proti neoprávněné manipulaci.^[2]

Viz také

Reference

^ Sherri Davidoff. „Network Forensics: Tracking Hackers Through Cyberspace“. Citováno 2012-07-08.
^ ^A ^b ^C ^d ^E ^F ^G ^h ⁱ ^j Vacca, John R. (2013-08-26). Zabezpečení sítě a systému. Elsevier. ISBN 978-0-12-416695-0.
^ ^A ^b ^C ^d ^E Vacca, John R. (05.11.2012). Příručka o počítačové a informační bezpečnosti. Noví. ISBN 978-0-12-394612-6.
^ „Úložná kapacita - zařízení pro zachycování paketů IPCopper“. www.ipcopper.com. Citováno 2020-12-04.
^ "KDD Cup 1999: Detekce narušení počítačové sítě". SIGKDD. Citováno 17. června 2019.
^ Buczak, Anna; Guven, Erhan (26. října 2015). „Průzkum metod dolování dat a strojového učení pro detekci narušení kybernetické bezpečnosti“. Průzkumy a návody pro komunikaci IEEE. 18 (2): 1153–1176. doi:10.1109 / COMST.2015.2494502. S2CID 206577177.
^ Li, Wei; Moore, Andrew W. (24. – 26. Října 2007). „Přístup strojového učení pro efektivní klasifikaci provozu“. 2007 15. mezinárodní symposium o modelování, analýze a simulaci počítačových a telekomunikačních systémů: 310–317. CiteSeerX 10.1.1.219.6221. doi:10.1109 / MASCOTS.2007.2. ISBN 978-1-4244-1853-4. S2CID 2037709.
^ Ahmed, Tarem; Oreshkin, Boris; Coates, Mark (10. dubna 2007). „Přístupy strojového učení k detekci anomálií v síti“. Druhý seminář o řešení problémů počítačových systémů s technikami strojového učení (SysML07). Citováno 17. června 2019.
^ "Packet Analyzer - Network Analysis & Scanning Tool | SolarWinds". www.solarwinds.com. Citováno 2020-12-04.
^ „Gigabit Ethernet - je to budoucnost?“. ComputerWeekly.com. Citováno 2020-12-04.
^ "Packet Analyzer - Network Analysis & Scanning Tool | SolarWinds". www.solarwinds.com. Citováno 2020-12-04.
^ Erik Hjelmvik (2008). „Pasivní analýza zabezpečení sítě pomocí nástroje NetworkMiner“. Forenzní zaměření. Archivovány od originál dne 2012-02-23. Citováno 2012-07-08.
^ Mike Pilkington (2010). „Ochrana hesel správce během vzdálené reakce a forenzní“. SANS. Citováno 2012-07-08.

[1] Sherri Davidoff. „Network Forensics: Tracking Hackers Through Cyberspace“. Citováno 2012-07-08.

[:0-2] A ^b ^C ^d ^E ^F ^G ^h ⁱ ^j Vacca, John R. (2013-08-26). Zabezpečení sítě a systému. Elsevier. ISBN 978-0-12-416695-0.

[:1-3] A ^b ^C ^d ^E Vacca, John R. (05.11.2012). Příručka o počítačové a informační bezpečnosti. Noví. ISBN 978-0-12-394612-6.

[4] „Úložná kapacita - zařízení pro zachycování paketů IPCopper“. www.ipcopper.com. Citováno 2020-12-04.

[5] "KDD Cup 1999: Detekce narušení počítačové sítě". SIGKDD. Citováno 17. června 2019.

[6] Buczak, Anna; Guven, Erhan (26. října 2015). „Průzkum metod dolování dat a strojového učení pro detekci narušení kybernetické bezpečnosti“. Průzkumy a návody pro komunikaci IEEE. 18 (2): 1153–1176. doi:10.1109 / COMST.2015.2494502. S2CID 206577177.

[7] Li, Wei; Moore, Andrew W. (24. – 26. Října 2007). „Přístup strojového učení pro efektivní klasifikaci provozu“. 2007 15. mezinárodní symposium o modelování, analýze a simulaci počítačových a telekomunikačních systémů: 310–317. CiteSeerX 10.1.1.219.6221. doi:10.1109 / MASCOTS.2007.2. ISBN 978-1-4244-1853-4. S2CID 2037709.

[8] Ahmed, Tarem; Oreshkin, Boris; Coates, Mark (10. dubna 2007). „Přístupy strojového učení k detekci anomálií v síti“. Druhý seminář o řešení problémů počítačových systémů s technikami strojového učení (SysML07). Citováno 17. června 2019.

[9] "Packet Analyzer - Network Analysis & Scanning Tool | SolarWinds". www.solarwinds.com. Citováno 2020-12-04.

[10] „Gigabit Ethernet - je to budoucnost?“. ComputerWeekly.com. Citováno 2020-12-04.

[11] "Packet Analyzer - Network Analysis & Scanning Tool | SolarWinds". www.solarwinds.com. Citováno 2020-12-04.

[12] Erik Hjelmvik (2008). „Pasivní analýza zabezpečení sítě pomocí nástroje NetworkMiner“. Forenzní zaměření. Archivovány od originál dne 2012-02-23. Citováno 2012-07-08.

[13] Mike Pilkington (2010). „Ochrana hesel správce během vzdálené reakce a forenzní“. SANS. Citováno 2012-07-08.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]