Устройство захвата пакетов

Устройство перехвата пакетов — это автономное устройство, выполняющее перехват пакетов . ^[1] Устройства захвата пакетов могут быть развернуты в любом месте сети, однако чаще всего их размещают на входах в сеть (т. е. соединениях с Интернетом) и перед критически важным оборудованием, например серверами, содержащими конфиденциальную информацию.

Как правило, устройства захвата пакетов захватывают и записывают все сетевые пакеты полностью (как заголовок, так и полезные данные), однако некоторые устройства могут быть настроены на захват подмножества сетевого трафика на основе определяемых пользователем фильтров. Для многих приложений, особенно для сетевой экспертизы и реагирования на инциденты, крайне важно провести полный захват пакетов, хотя фильтрованный захват пакетов может использоваться время от времени для конкретных, ограниченных целей сбора информации. ^[2]

Развертывание

Сетевые данные, которые захватывает устройство перехвата пакетов, зависят от того, где и как это устройство установлено в сети. Существует два варианта развертывания устройств перехвата пакетов в сети. Один из вариантов — подключить устройство к порту SPAN ( зеркалирование портов ) сетевого коммутатора или маршрутизатора. Второй вариант — подключить устройство напрямую, чтобы сетевая активность по сетевому маршруту проходила через устройство (по конфигурации аналогично сетевому отводу , но информация захватывается и сохраняется устройством перехвата пакетов, а не передается на другое устройство). . ^[3]

При подключении через порт SPAN устройство перехвата пакетов может получать и записывать всю активность Ethernet/IP для всех портов коммутатора или маршрутизатора. ^[4]

При подключении в линию устройства перехвата пакетов захватывают только сетевой трафик, проходящий между двумя точками, то есть трафик, проходящий через кабель, к которому подключено устройство перехвата пакетов. ^[3]

Существует два основных подхода к развертыванию устройств перехвата пакетов: централизованный и децентрализованный.

Централизованный

При централизованном подходе одно высокопроизводительное и высокоскоростное устройство захвата пакетов подключается к точке агрегирования данных. Преимущество централизованного подхода заключается в том, что с помощью одного устройства вы получаете контроль над всем трафиком сети. Однако такой подход создает единую точку отказа, которая является очень привлекательной целью для хакеров; кроме того, потребуется перепроектировать сеть, чтобы доставить трафик к устройству, и этот подход обычно требует больших затрат. ^[4]

Децентрализованный

При децентрализованном подходе вы размещаете несколько устройств в сети, начиная с точки входа и переходя к более глубоким сегментам сети, таким как рабочие группы. К преимуществам относятся: не требуется переконфигурация сети; простота развертывания; несколько точек зрения для расследования реагирования на инциденты; масштабируемость; нет единой точки отказа – если одна выйдет из строя, у вас есть другие; в сочетании с электронной невидимостью такой подход практически исключает опасность несанкционированного доступа хакеров; бюджетный. Минусы: потенциальное увеличение обслуживания нескольких приборов. ^[4]

В прошлом устройства перехвата пакетов использовались редко, зачастую только в точке входа в сеть. Устройства захвата пакетов теперь можно более эффективно развертывать в различных точках сети. При реагировании на инциденты возможность видеть поток сетевых данных с различных точек зрения необходима для сокращения времени на устранение инцидентов и определения того, какие части сети в конечном итоге были затронуты. Разместив устройства перехвата пакетов в точке входа и перед каждой рабочей группой, отслеживание пути конкретной передачи вглубь сети будет проще и намного быстрее. Кроме того, устройства, расположенные перед рабочими группами, будут отображать передачи внутри сети, которые устройство, расположенное в точке входа, не сможет перехватить. ^[3]

Емкость

Устройства захвата пакетов имеют емкость от 500 ГБ до 192 ТБ и более. Лишь немногие организации с чрезвычайно высокой загрузкой сети будут использовать верхние диапазоны мощностей. Большинству организаций будет хорошо обслуживаться емкостью от 1 ТБ до 4 ТБ. ^[5]

Хорошее эмпирическое правило при выборе емкости — выделять 1 ГБ в день для активных пользователей и 1 ГБ в месяц для обычных пользователей. Для типичного офиса из 20 человек со средним уровнем использования 1 ТБ будет достаточно примерно на 1–4 года. ^[3]

Коэффициент скорости соединения 100/0	100 Мбит/с	1 Гбит/с	10 Гбит/с	40 Гбит/с
Данных на диске/сек.	12,5 МБ	125 МБ	1,25 ГБ	5 ГБ
Данных на диске/мин	750 МБ	7,5 ГБ	75 ГБ	300 ГБ
Данные на диске/час	45 ГБ	450 ГБ	4,5 ТБ	18 ТБ

Соотношение 100/0 означает симплексный трафик по реальным ссылкам, вы можете получить еще больше трафика.

Функции

Фильтрованный и полный захват пакетов

Устройства полного перехвата пакетов захватывают и записывают всю активность Ethernet/IP, тогда как устройства перехвата фильтров с фильтрацией захватывают только часть трафика на основе набора определяемых пользователем фильтров; например IP-адрес , MAC-адрес или протокол. Если устройство перехвата пакетов не используется для конкретной цели, предусмотренной параметрами фильтра, обычно лучше использовать устройства полного перехвата пакетов, иначе вы рискуете потерять важные данные. В частности, при использовании перехвата пакетов для сетевой криминалистики или в целях кибербезопасности крайне важно перехватить все, поскольку любой пакет, не перехваченный на месте, является пакетом, который исчезнет навсегда. Невозможно заранее узнать конкретные характеристики необходимых пакетов или передач, особенно в случае постоянной постоянной угрозы (APT). Успех APT и других методов взлома зависит от того, что сетевые администраторы не знают, как они работают, и, следовательно, не имеют решений для противодействия им. ^[3]

Интеллектуальный захват пакетов

Интеллектуальный захват пакетов использует машинное обучение для фильтрации и уменьшения объема перехваченного сетевого трафика. Традиционный фильтрованный захват пакетов основан на правилах и политиках, которые настраиваются вручную для захвата всего потенциально вредоносного трафика. Интеллектуальный захват пакетов использует модели машинного обучения, в том числе функции из каналов аналитики киберугроз , для научного определения и захвата наиболее опасного трафика. Методы машинного обучения для обнаружения сетевых вторжений, ^[6]^[7] классификация трафика, ^[8] и обнаружение аномалий ^[9] используются для выявления потенциально вредоносного трафика для сбора.

Зашифрованное и незашифрованное хранилище

Некоторые устройства перехвата пакетов шифруют захваченные данные перед сохранением их на диск, а другие этого не делают. Учитывая объем информации, которая передается по сети или интернет-соединению, и то, что по крайней мере часть ее можно считать конфиденциальной, шифрование является хорошей идеей для большинства ситуаций в качестве меры обеспечения безопасности захваченных данных. Шифрование также является важнейшим элементом аутентификации данных в целях криминалистики данных/сети. ^[3]

Устойчивая скорость захвата и пиковая скорость захвата

Устойчивая скорость захвата — это скорость, с которой устройство перехвата пакетов может перехватывать и записывать пакеты без перерывов и ошибок в течение длительного периода времени. Это отличается от пиковой скорости захвата, которая представляет собой максимальную скорость, с которой устройство перехвата пакетов может захватывать и записывать пакеты. Пиковую скорость захвата можно поддерживать только в течение короткого периода времени, пока буферы устройства не заполнятся и оно не начнет терять пакеты. Многие устройства перехвата пакетов имеют одинаковую пиковую скорость захвата 1 Гбит/с, но фактическая устойчивая скорость значительно варьируется от модели к модели. ^[3]^[10]

Постоянное и перезаписываемое хранилище

Устройство перехвата пакетов с постоянным хранилищем идеально подходит для сетевой криминалистики и постоянного ведения учета, поскольку захваченные данные не могут быть перезаписаны, изменены или удалены. Единственным недостатком постоянного хранения является то, что со временем прибор заполняется и требует замены. Устройствами захвата пакетов с перезаписываемым хранилищем легче управлять, потому что, как только они достигнут емкости, они начнут перезаписывать самые старые захваченные данные новыми, однако сетевые администраторы рискуют потерять важные данные перезаписи, когда они будут перезаписаны. В общем, устройства перехвата пакетов с возможностью перезаписи полезны для простых целей мониторинга или тестирования, для которых постоянная запись не требуется. Постоянная, неперезаписываемая запись необходима для сбора сетевой криминалистической информации. ^[4]

GbE против. 10 ГбЕ

Большинство предприятий используют скоростные сети Gigabit Ethernet и будут продолжать делать это в течение некоторого времени. ^[11] Если компания намеревается использовать одно централизованное устройство перехвата пакетов для агрегирования всех сетевых данных, вероятно, потребуется использовать устройство перехвата пакетов 10 GbE для обработки большого объема данных, поступающих к нему со всей сети. Более эффективный способ — использовать несколько встроенных устройств захвата пакетов со скоростью 1 Гбит/с, стратегически расположенных вокруг сети, чтобы не было необходимости перепроектировать гигабитную сеть для установки устройства 10 GbE . ^[10]

Безопасность данных

Поскольку устройства перехвата пакетов захватывают и хранят большой объем данных о сетевой активности, включая файлы, ^[12] электронные письма и другие сообщения, они сами по себе могут стать привлекательными целями для взлома. Устройство перехвата пакетов, развернутое на любой период времени, должно включать функции безопасности для защиты записанных сетевых данных от доступа посторонних лиц. Если развертывание устройства перехвата пакетов вызывает слишком много дополнительных проблем с безопасностью, затраты на его обеспечение могут перевесить выгоды. Лучшим подходом было бы, чтобы устройство перехвата пакетов имело встроенные функции безопасности. Эти функции безопасности могут включать шифрование или методы «скрытия» присутствия устройства в сети. Например, некоторые устройства перехвата пакетов имеют функцию «электронной невидимости», когда они имеют скрытый сетевой профиль, не требуя и не используя IP-адреса и MAC-адреса. ^[4]

Хотя подключение устройства перехвата пакетов через порт SPAN, по-видимому, делает его более безопасным, в конечном итоге устройство перехвата пакетов все равно придется подключать к сети, чтобы обеспечить управление и извлечение данных. Хотя устройство недоступно по ссылке SPAN, оно будет доступно по ссылке управления. ^[3]

Несмотря на преимущества, возможность управлять устройством перехвата пакетов с удаленного компьютера представляет собой проблему безопасности, которая может сделать устройство уязвимым. ^[13] Устройства захвата пакетов, обеспечивающие удаленный доступ, должны иметь надежную систему для защиты от несанкционированного доступа. Один из способов добиться этого — включить ручное отключение, например, с помощью переключателя или переключателя, который позволяет пользователю физически отключить удаленный доступ. Это простое решение очень эффективно, поскольку сомнительно, что хакеру будет легко получить физический доступ к устройству, чтобы щелкнуть выключателем. ^[3]

Последнее соображение – физическая безопасность. Все функции сетевой безопасности в мире являются спорными, если кто-то просто может украсть устройство перехвата пакетов или сделать его копию и получить свободный доступ к хранящимся на нем данным. Шифрование — один из лучших способов решения этой проблемы, хотя некоторые устройства перехвата пакетов также имеют защищенные от несанкционированного доступа корпуса. ^[3]

См. также

Ссылки

^ «Что такое захват сетевых пакетов?» . www.endace.com . 2023.
^ Шерри Давидофф. «Сетевая криминалистика: отслеживание хакеров через киберпространство» . Проверено 8 июля 2012 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж Вакка, Джон Р. (26 августа 2013 г.). Сетевая и системная безопасность . Эльзевир. ISBN 978-0-12-416695-0 .
^ Jump up to: ^а ^б ^с ^д ^и Вакка, Джон Р. (5 ноября 2012 г.). Справочник по компьютерной и информационной безопасности . Ньюнес. ISBN 978-0-12-394612-6 .
^ «Емкость хранилища — устройства захвата пакетов IPCoper» . www.ipcopper.com . Проверено 4 декабря 2020 г.
^ «Кубок KDD 1999: Обнаружение вторжений в компьютерные сети» . СИГКДД . Проверено 17 июня 2019 г.
^ Бучак, Анна; Гювен, Эрхан (26 октября 2015 г.). «Обзор методов интеллектуального анализа данных и машинного обучения для обнаружения вторжений в кибербезопасность». Опросы и учебные пособия IEEE по коммуникациям . 18 (2): 1153–1176. дои : 10.1109/COMST.2015.2494502 . S2CID 206577177 .
^ Ли, Вэй; Мур, Эндрю В. (24–26 октября 2007 г.). Подход машинного обучения для эффективной классификации трафика . 2007 15-й Международный симпозиум по моделированию, анализу и моделированию компьютерных и телекоммуникационных систем. стр. 310–317. CiteSeerX 10.1.1.219.6221 . дои : 10.1109/MASCOTS.2007.2 . ISBN 978-1-4244-1853-4 . S2CID 2037709 .
^ Ахмед, Тарем; Орешкин Борис; Коутс, Марк (10 апреля 2007 г.). Подходы машинного обучения к обнаружению сетевых аномалий . Второй семинар по решению проблем компьютерных систем с помощью методов машинного обучения (SysML07) . Проверено 17 июня 2019 г.
^ Jump up to: ^а ^б «Анализатор пакетов — инструмент сетевого анализа и сканирования | SolarWinds» . www.solarwinds.com . Проверено 4 декабря 2020 г.
^ «Гигабитный Ethernet – это будущее?» . ComputerWeekly.com . Проверено 4 декабря 2020 г.
^ Эрик Хельмвик (2008). «Анализ пассивной сетевой безопасности с помощью NetworkMiner» . Судебно-медицинский фокус. Архивировано из оригинала 23 февраля 2012 г. Проверено 8 июля 2012 г.
^ Майк Пилкингтон (2010). «Защита паролей администратора во время удаленного реагирования и криминалистики» . САНС . Проверено 8 июля 2012 г.

[Endace2023-1] «Что такое захват сетевых пакетов?» . www.endace.com . 2023.

[2] Шерри Давидофф. «Сетевая криминалистика: отслеживание хакеров через киберпространство» . Проверено 8 июля 2012 г.

[:0-3] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж Вакка, Джон Р. (26 августа 2013 г.). Сетевая и системная безопасность . Эльзевир. ISBN 978-0-12-416695-0 .

[:1-4] Jump up to: ^а ^б ^с ^д ^и Вакка, Джон Р. (5 ноября 2012 г.). Справочник по компьютерной и информационной безопасности . Ньюнес. ISBN 978-0-12-394612-6 .

[5] «Емкость хранилища — устройства захвата пакетов IPCoper» . www.ipcopper.com . Проверено 4 декабря 2020 г.

[6] «Кубок KDD 1999: Обнаружение вторжений в компьютерные сети» . СИГКДД . Проверено 17 июня 2019 г.

[7] Бучак, Анна; Гювен, Эрхан (26 октября 2015 г.). «Обзор методов интеллектуального анализа данных и машинного обучения для обнаружения вторжений в кибербезопасность». Опросы и учебные пособия IEEE по коммуникациям . 18 (2): 1153–1176. дои : 10.1109/COMST.2015.2494502 . S2CID 206577177 .

[8] Ли, Вэй; Мур, Эндрю В. (24–26 октября 2007 г.). Подход машинного обучения для эффективной классификации трафика . 2007 15-й Международный симпозиум по моделированию, анализу и моделированию компьютерных и телекоммуникационных систем. стр. 310–317. CiteSeerX 10.1.1.219.6221 . дои : 10.1109/MASCOTS.2007.2 . ISBN 978-1-4244-1853-4 . S2CID 2037709 .

[9] Ахмед, Тарем; Орешкин Борис; Коутс, Марк (10 апреля 2007 г.). Подходы машинного обучения к обнаружению сетевых аномалий . Второй семинар по решению проблем компьютерных систем с помощью методов машинного обучения (SysML07) . Проверено 17 июня 2019 г.

[solarwinds.com-10] Jump up to: ^а ^б «Анализатор пакетов — инструмент сетевого анализа и сканирования | SolarWinds» . www.solarwinds.com . Проверено 4 декабря 2020 г.

[11] «Гигабитный Ethernet – это будущее?» . ComputerWeekly.com . Проверено 4 декабря 2020 г.

[12] Эрик Хельмвик (2008). «Анализ пассивной сетевой безопасности с помощью NetworkMiner» . Судебно-медицинский фокус. Архивировано из оригинала 23 февраля 2012 г. Проверено 8 июля 2012 г.

[13] Майк Пилкингтон (2010). «Защита паролей администратора во время удаленного реагирования и криминалистики» . САНС . Проверено 8 июля 2012 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]