Csomagfogó készülék - Packet capture appliance
A packet capture készülék egy önálló eszköz, amely végrehajt packet capture . Csomagkapcsolt készülékek bárhová telepíthetők a hálózaton, azonban leggyakrabban a hálózat bejáratánál (azaz az internetkapcsolatoknál) és a kritikus fontosságú berendezések - például érzékeny információkat tartalmazó szerverek - előtt helyezkednek el.
Általánosságban elmondható, hogy a csomagfogó készülékek az összes hálózati csomagot teljes egészében rögzítik és rögzítik (mind a fejlécet, mind a hasznos terhet), azonban egyes készülékek úgy konfigurálhatók, hogy a felhasználó által meghatározható szűrők alapján rögzítsék a hálózat forgalmának egy részét. Számos alkalmazásban, különösen a hálózati kriminalisztikában és az események elhárításában, kritikus fontosságú a teljes csomagrögzítés, bár a szűrt csomagrögzítés időnként felhasználható specifikus, korlátozott információgyűjtési célokra.
Telepítés
A csomagkapcsolt készülék által rögzített hálózati adatok attól függenek, hogy a készülék hol és hogyan van telepítve a hálózatra. Két lehetőség van a csomagfogó készülékek hálózatra történő telepítésére. Az egyik lehetőség a készülék csatlakoztatása a hálózati kapcsoló vagy útválasztó SPAN portjához ( port tükrözés ) . A második lehetőség a készülék inline összekapcsolása, hogy a hálózati tevékenység a hálózati útvonal mentén haladjon át a készüléken (konfigurációjában hasonló a hálózati csaphoz , de az információkat a csomag-rögzítő készülék rögzíti és tárolja, nem pedig továbbítja egy másik eszköznek). .
SPAN porton keresztül csatlakozva a csomagkapcsolt készülék fogadhatja és rögzítheti az Ethernet / IP összes tevékenységét a kapcsoló vagy az útválasztó összes portján.
Inline csatlakozáskor a csomag-elfogó készülékek csak a két pont között haladó hálózati forgalmat rögzítik, vagyis azt a forgalmat, amely áthalad azon a kábelen, amelyhez a csomag-elfogó készülék csatlakozik.
A csomagfogó berendezések telepítésének két általános megközelítése van: központosított és decentralizált.
Központosítva
Központosított megközelítéssel egy nagykapacitású, nagysebességű csomagkapcsolt készülék csatlakozik az adatok összesítéséhez. A központosított megközelítés előnye, hogy egy készülékkel láthatóságot szerez a hálózat teljes forgalmán. Ez a megközelítés azonban egyetlen kudarcot hoz létre, amely nagyon vonzó célpont a hackerek számára; emellett át kell tervezni a hálózatot, hogy a forgalom eljusson a készülékekbe, és ez a megközelítés általában magas költségekkel jár.
Decentralizált
Decentralizált megközelítéssel több készüléket helyez el a hálózat körül, kezdve a belépési ponttól (pontoktól), és lefelé haladva a mélyebb hálózati szegmensekig, például a munkacsoportokig. Az előnyök a következők: nem szükséges a hálózat újrakonfigurálása; könnyű telepítés; több nézőpont az események elhárításához; méretezhetőség; egyetlen kudarcpont sincs - ha az egyik kudarcot vall, akkor megvan a többi; ha elektronikus láthatatlansággal kombinálják, ez a megközelítés gyakorlatilag kiküszöböli a hackerek jogosulatlan hozzáférésének veszélyét; alacsony költségű. Hátrányok: több készülék potenciális fokozott karbantartása.
A múltban csomagkapcsolt készülékeket takarékosan telepítették, gyakran csak a hálózatba történő belépés helyén. A csomagrögzítő készülékek hatékonyabban telepíthetők a hálózat különböző pontjain. Az események elhárításakor elengedhetetlen a különféle nézőpontokból származó hálózati adatáramlás meglátása a felbontásigény csökkentéséhez szükséges idő csökkentésében és a hálózat mely részeinek szűkítésében. Ha csomagkapcsolt készülékeket helyezünk a belépési pontba és az egyes munkacsoportok elé, akkor egyszerűbbé és sokkal gyorsabbá válik egy adott átvitel útjának követése a hálózat mélyén. Ezenkívül a munkacsoportok elé helyezett készülékek olyan intranetes átviteleket mutatnak, amelyeket a belépési ponton elhelyezett készülék nem képes rögzíteni.
Kapacitás
A csomagrögzítő készülékek kapacitása 500 GB és 192 TB között van. Csak néhány rendkívül magas hálózati felhasználású szervezet használja a kapacitások felső tartományát. A legtöbb szervezet 1 TB-tól 4 TB-ig terjedő kapacitással jól szolgálna.
A kapacitás kiválasztásakor jó alapszabály, hogy a nehéz felhasználók számára napi 1 GB-ot engedélyeznek, a rendszeres felhasználóknak pedig havi 1 GB-ot. Egy átlagos, 20 fős, átlagos felhasználású iroda számára 1 TB elegendő körülbelül 1–4 évre.
| Link sebesség aránya 100/0 | 100 Mbit / s | 1 Gbit / s | 10 Gbit / s | 40 Gbit / s |
|---|---|---|---|---|
| Adatok a lemezen / sec | 12,5 MB | 125 MB | 1,25 GB | 5 GB |
| Adatok a lemezen / perc | 750 MB | 7,5 GB | 75 GB | 300 GB |
| Adatok a lemezen / óra | 45 GB | 450 GB | 4,5 TB | 18 TB |
A 100/0 arány szimplex forgalmat jelent a valós linkeken, így még nagyobb a forgalma
Jellemzők
Szűrt és teljes csomagrögzítés
A teljes csomagrögzítő készülékek rögzítik és rögzítik az összes Ethernet / IP tevékenységet, míg a szűrt csomagrögzítő készülékek csak a forgalom egy részét rögzítik a felhasználó által meghatározható szűrők összessége alapján; például IP-cím , MAC-cím vagy protokoll. Hacsak a csomagfogó készüléket a szűrőparaméterek által lefedett nagyon meghatározott célra nem használja, általában a legjobb a teljes csomagfogó készüléket használni, vagy más módon kockáztathatja a létfontosságú adatok hiányát. Különösen akkor, ha csomagfogást használunk hálózati kriminalisztikai vagy kiberbiztonsági célokra, kiemelten fontos mindent rögzíteni, mert minden, a helyszínen nem rögzített csomag örökre eltűnt csomag. Lehetetlen idő előtt megismerni a szükséges csomagok vagy továbbítások sajátos jellemzőit, különösen előrehaladott tartós fenyegetés (APT) esetén. Az APT-k és más hackelési technikák a sikerre támaszkodnak abban, hogy a rendszergazdák nem tudják, hogyan működnek, és így nincsenek megoldásuk az ellensúlyozásukra.
Intelligens csomagrögzítés
Az intelligens csomagrögzítés gépi tanulással szűri és csökkenti a rögzített hálózati forgalom mennyiségét. A hagyományos szűrt csomagrögzítés olyan szabályokra és házirendekre támaszkodik, amelyeket manuálisan konfigurálnak az esetleges rosszindulatú forgalom befogására. Az intelligens csomagrögzítés gépi tanulási modelleket használ, beleértve a Cyber fenyegetés hírcsatornáinak szolgáltatásait is, a tudományosan megcélozza és elfogja a legveszélyesebb forgalmat. Gépi tanulási technikákat alkalmaznak a hálózat behatolásának felderítésére, a forgalom osztályozására és az anomáliák felderítésére a potenciálisan rosszindulatú forgalom azonosítására a gyűjtés céljából.
Titkosított vagy titkosítatlan tárhely
Egyes csomagkapcsolt készülékek a lemezre mentés előtt titkosítják a rögzített adatokat, míg mások nem. Figyelembe véve a hálózaton vagy internetkapcsolaton keresztül eljutó információk szélességét, és amelyeknek legalább egy részét érzékenynek lehet tekinteni, a titkosítás a legtöbb helyzetben jó ötlet a rögzített adatok biztonságának megőrzése érdekében. A titkosítás az adatok hitelesítésének kritikus eleme az adat / hálózati kriminalisztika céljából is.
Folyamatos rögzítési sebesség a csúcsfelvétel sebességével szemben
Az állandó rögzített sebesség az az arány, amellyel a csomag-elfogó készülék hosszú távon megszakítás és hiba nélkül képes csomagokat rögzíteni és rögzíteni. Ez különbözik a csúcsfogási sebességtől, amely a legnagyobb sebesség, amellyel egy csomagfogó készülék képes csomagokat rögzíteni és rögzíteni. A csúcsrögzítési sebesség csak rövid ideig tartható fenn, amíg a készülék pufferei meg nem töltenek és csomagokat veszítenek. Számos csomagfogó készüléknek ugyanaz az 1 Gbit / s csúcsfogási sebessége, de a tényleges tartós sebesség modellenként változik.
Állandó vagy felülírható tárhely
Az állandó tárolású csomagkapcsolt készülék ideális hálózati kriminalisztikai és állandó nyilvántartási célokra, mert a rögzített adatokat nem lehet felülírni, megváltoztatni vagy törölni. Az állandó tárolás egyetlen hátránya, hogy végül a készülék megtelik és cserét igényel. A felülírható tárolóval rendelkező csomagrögzítő készülékeket könnyebb kezelni, mert amint elérik a kapacitást, elkezdik felülírni a legrégebbi rögzített adatokat az újdonságokkal, azonban a hálózati rendszergazdák azzal a kockázattal járnak, hogy elveszítik a fontos rögzítési adatokat, amikor azok felülíródnak. Általánosságban elmondható, hogy a felülíró képességekkel rendelkező csomagfogó készülékek egyszerű megfigyelés vagy tesztelés céljából hasznosak, amelyekhez nincs szükség állandó nyilvántartásra. Az állandó, nem felülírható felvétel elengedhetetlen a hálózati kriminalisztikai információk gyűjtéséhez.
GbE vs. 10 GbE
A legtöbb vállalkozás Gigabit Ethernet sebességű hálózatokat használ , és egy ideig továbbra is ezt fogja használni . Ha egy vállalkozás egyetlen központosított csomag-elfogó készüléket kíván felhasználni az összes hálózati adat összesítéséhez, akkor valószínűleg 10 GbE-s csomag-elfogó készüléket kell használni a hálózat egészéről érkező nagy mennyiségű adat kezelésére. Hatékonyabb módszer a hálózaton belül stratégiailag elhelyezett többszörös 1 Gbit / s-os soros csomagfogó készülék használata, így nincs szükség egy gigabites hálózat átalakítására, hogy illeszkedjen egy 10 GbE-s készülékhez.
Adatbiztonság
Mivel a csomagfogó készülékek nagy mennyiségű adatot rögzítenek és tárolnak a hálózati tevékenységről, beleértve a fájlokat, e-maileket és egyéb kommunikációt, önmagukban vonzó célpontokká válhatnak a hackelés számára. A bármilyen ideig telepített csomagfogó készüléknek tartalmaznia kell biztonsági funkciókat, hogy megvédje a rögzített hálózati adatokat illetéktelen felek hozzáférésétől. Ha egy csomagrögzítő készülék telepítése túl sok további aggályt vet fel a biztonsággal kapcsolatban, akkor annak biztosításának költségei meghaladhatják az előnyöket. A legjobb megoldás az lenne, ha a csomagfogó készülék beépített biztonsági funkciókkal rendelkezne. Ezek a biztonsági szolgáltatások magukban foglalhatják a titkosítást, vagy a készülék hálózati jelenlétének „elrejtésének” módszereit. Például egyes csomagfogó készülékek „elektronikus láthatatlansággal” rendelkeznek, ahol lopakodó hálózati profillal rendelkeznek, mivel nem igényelnek vagy használnak IP- vagy MAC-címeket.
Bár úgy tűnik, hogy egy csomagkapcsolt készüléket SPAN-porton keresztül csatlakoztatva biztonságosabbá válik, a csomag-elfogó készüléket végül is össze kell kapcsolni a hálózattal a kezelés és az adat-visszakeresés lehetővé tétele érdekében. Bár a készülék nem érhető el a SPAN linken keresztül, a kezelő linken keresztül elérhető.
Az előnyök ellenére a csomagfogó készülék távoli gépről történő irányításának lehetősége olyan biztonsági problémát vet fel, amely sebezhetővé teheti a készüléket. A távoli hozzáférést lehetővé tevő csomagfogó készülékeknek robusztus rendszerrel kell rendelkezniük az illetéktelen hozzáférés elleni védelem érdekében. Ennek egyik módja a kézi letiltás beépítése, például egy kapcsoló vagy kapcsoló, amely lehetővé teszi a felhasználó számára, hogy fizikailag letiltsa a távoli hozzáférést. Ez az egyszerű megoldás nagyon hatékony, mivel kétséges, hogy egy hacker könnyedén megszerezné a fizikai hozzáférést a készülékhez egy kapcsoló megfordítása érdekében.
Végső szempont a fizikai biztonság. A világ összes hálózati biztonsági funkciója vitatott, ha valaki egyszerűen képes ellopni a csomagrögzítő készüléket, vagy másolatot készíteni róla, és könnyen hozzáférhet a rajta tárolt adatokhoz. A titkosítás az egyik legjobb módszer ennek az aggodalomnak a kezelésére, bár egyes csomagfogó készülékek is manipulálhatatlan házakkal rendelkeznek.