Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Забезпечення мережевої безпеки спільно з брокерами мережевих пакетів. Частина перша. Пасивні засоби безпеки

2021-04-20
Автор: Телесфера

 З ростом хмарних обчислень і віртуалізації сучасні комп'ютерні мережі стають все більш уразливими і постійно розвиваються, приносячи з собою нові ризики і невизначеності. Давно минули часи хакерства для задоволення, хакери фінансово мотивовані і більш витончені, ніж будь-коли. Деякі з них створили хакерські групи, такі як LulzSec і Anonymous, щоб обмінюватися досвідом і діяти спільно. Професіонали інформаційної безпеки щосили намагаються не відставати, намагаючись використовувати пасивні (для виявлення) і активні (для блокування) інструменти мережевої безпеки. Незважаючи на те, що вендори своєчасно розробляють і надають інструменти мережевої безпеки для захисту від новітніх кіберзагроз, впровадження цих інструментів є постійною проблемою з різних причин. У цій серії публікацій ми опишемо  основні засоби мережевої безпеки, які борються з кіберзагрозами, розглянемо типові проблеми при розгортанні та шляхи їх вирішення за допомогою брокерів мережевих пакетів.

Пасивні засоби безпеки

Пасивні засоби мережевої безпеки застосовуються для моніторингу та аналізу трафіку в мережі. Такі інструменти працюють з копією трафіку, отриманого з SPAN-портів, відгалуджувачів мережевого трафіку (TAP) або брокерів мережевих пакетів (NPB). Пасивний моніторинг не вносить тимчасових затримок і додаткової службової інформації в мережу. В даний час широко використовуються такі пасивні засоби безпеки, як IDS, Network Forensics, NBA та NTA.

Система виявлення вторгнень (IDS)

Система виявлення вторгнень (Intrusion Detection System - IDS) призначена для моніторингу мережевого трафіку на наявність шкідливих програм, експлойтів і інших кіберзагроз шляхом використання великої кількості сигнатур погроз (іноді званих правилами). Програмне забезпечення IDS може бути розгорнуто на спеціально побудованих пристроях, наданому користувачем обладнанні і в деяких випадках як віртуальні пристрої для VMware, Xen та інших платформ віртуалізації.

В даний час в переважній більшості випадків IDS - це режим роботи інструментів системи запобігання вторгнень (Intrusion Prevention System - IPS). Іншими словами, на сьогоднішній день придбати рішення, яке здатне виконувати тільки пасивний моніторинг буде досить проблематично. IPS відносяться до більш складних і дорогих пристроїв, однак, як правило, підтримують активні IPS і пасивні IDS конфігурації в одному рішенні. Крім того, компанії зазвичай розгортають IPS тільки для пасивного IDS моніторингу, особливо в ядрі мережі.

У просторі IDS рішень (як конфігурація пасивного моніторингу системи IPS) представлені продукти компаній Positive Technologies, Код Безпеки, Інфотекс, Smart-Soft, Info Watch, Stonesoft, Trend Micro, Fortinet, Cisco, HP, IBM, Juniper, McAfee, Sourcefire, Stonesoft , Trend Micro, Check Point.

Мережева форензіка (Network Forensics)

Мережева форензіка (криміналістика) відноситься до технології, яка відстежує, записує і аналізує трафік комп'ютерної мережі з метою збору інформації, юридичних доказів, а також виявлення та аналізу загроз внутрішньокорпоративної мережевої безпеки. Ця технологія часто описується як мережевий відеомагнітофон, який записує (буквально) всі пакети, що проходять через вашу мережу. Програмне забезпечення для мережевої криміналістики найчастіше розгортається на мережевих пристроях з великими обсягами пам'яті, що поставляються постачальниками, але деякі постачальники надають його як програмне рішення тільки для того, щоб клієнти могли самостійно вибрати обладнання для його підтримки.

Аналіз поведінки мережі (NBA) і мережевого трафіку (NTA)

Більшість пристроїв мережевої безпеки розміщуються по периметру (за фаєрволом) для перевірки загроз, що надходять з інтернету. Однак мобільні пристрої, які щодня приносяться в офіс «в кишені», можуть містити шкідливі програми, які захист периметра може ніколи і не побачити.

Система аналізу поведінки мережі (Network Behavior Analysis - NBA) виявляє загрози, з якими стикається мережа зсередини, використовуючи NetFlow і інші стандарти потоку (cFlow, sFlow, jFlow і IPFIX), щоб отримати базове значення для нормального мережевого трафіку і виявити аномалії, такі як поширення шкідливих програм. Системи аналізу мережевого трафіку (Network Traffic Analysis - NTA) призначені для перехоплення і аналізу трафіку, а також для виявлення складних і цільових атак. З їх допомогою можна проводити ретроспективне вивчення мережевих подій, виявляти і розслідувати дії зловмисників, реагувати на інциденти. NTA можуть служити відмінним джерелом даних для ситуаційних центрів інформаційної безпеки (SOC).

Виробники в просторі NBA і NTA рішень - Positive Technologies, Kaspersky, Group-IB, Гарда Технології, Arbor Networks, Lancope, Riverbed Awake, Cisco, Darktrace, ExtraHop Networks, LogRhythm, Flowmon, RSA, TDS і інші.

Типові проблеми розгортання систем мережевої безпеки

ІТ-компанії стикаються з численними проблемами при розгортанні інструментів мережевого захисту, особливо у великих, складних і географічно розподілених мережах. Звучить знайомо? Нижче наведені кейси, в яких поширені проблеми систем моніторингу та інформаційної безпеки вирішуються за допомогою впровадження брокера мережевих пакетів (NPB).

Кейс № 1. Оптимізація мережевої інфраструктури інформаційної безпеки

Сучасний підхід до побудови систем інформаційної безпеки орієнтований на надійні та економічно ефективні рішення, що дозволяють вже впровадженим засобам безпеки відстежувати більшу кількість сегментів мережі, підвищуючи її видимість. При цьому знову впроваджувані засоби безпеки повинні мати доступ до існуючих точок знімання трафіку.

Застосовувані методи віддзеркалення трафіку з використанням SPAN-портів або відгалуджень мережевого трафіку (TAP) мають свої обмеження і недоліки. Трафік SPAN-портів має низький пріоритет і, при підвищенні навантаження на комутаторі, починає втрачатися, а при виставленні високого пріоритету, починає втрачатися «бойовий» трафік, що призводить до більш небезпечних наслідків. Використання TAP дозволяє мати стовідсоткову копію трафіку, але тут є обмеження по кількості можливих точок установки TAP на мережевій інфраструктурі. При збільшенні парку засобів інформаційної безпеки, на кожне з яких потрібно подавати трафік з одних і тих же сегментів мережі, гостро постає питання впровадження їх в існуючу інфраструктуру.

Завдання: У компанії, де впроваджені системи виявлення вторгнень (IDS) і аналізу поведінки мережі (NBA), розгортаються системи Network Forensics і NTA. Для отримання максимальної видимості трафіку, знімання здійснюється не через SPAN-порти, а через TAP. Трафік від TAP відповідних сегментів мережі необхідно доставити і розподілити між чотирма видами систем інформаційної безпеки.

Рішення: Це завдання легко вирішується брокером мережевих пакетів, використовуючи який можна агрегувати трафік, отриманий через TAP із сегментів мережі, оптимізувати (застосувати функції фільтрації, класифікації, дедуплікаціі, модифікації) та віддзеркалювати його, балансуючи на відповідні системи інформаційної безпеки.

Кейс № 2. Оптимізація використання коштів інформаційної безпеки

Стандартні пристрої мережевої безпеки поставляються з фіксованою кількістю інтерфейсів для здійснення одночасного моніторингу декількох сегментів мережі. Однак після того, як ці інтерфейси повністю заповнюються, компанії змушені купувати додаткові одиниці засобів безпеки.

Завдання: Компанія має систему виявлення вторгнень (IDS) з чотирма інтерфейсами 10GbE. Трафік для моніторингу знімається з чотирьох сегментів мережі, при цьому пікове навантаження на IDS не більше 40%. Згодом інфраструктура мережі збільшилася, і виникла необхідність додатково відстежувати два нових сегмента.

Рішення: З розрахунком на подальший розвиток мережі і відмови від закупівлі додаткової IDS на увазі 40% завантаження існуючої системи, вирішувати цю задачу раціональніше за допомогою брокера мережевих пакетів. В даному випадку використання пакетного брокера продиктовано ще й зменшенням проблем, пов'язаних з вирішенням питань виділення місця в стійці, забезпечення електроживлення і кондиціонування. Брокери мережевих пакетів можуть агрегувати трафік з кількох сегментів мережі, а потім оптимізувати (виконуючи функції фільтрації, класифікації, віддзеркалення, балансування, дедуплікаціі, модифікації) цей трафік перед маршрутизацією в IDS. Брокери мережевих пакетів, як правило, дешевше засобів забезпечення безпеки, що дозволяє компаніям розумно використовувати кошти і матеріальні ресурси, одночасно підвищуючи відмовостійкість і продуктивність інструментів.

Кейс № 3. Використання інструментів безпеки 1G в сучасних мережах

Стандарт комп'ютерної мережі 10-гігабітний Ethernet (10GbE або 10G) був вперше опублікований в 2002 році, але досяг критичної маси до 2007 року. З тих пір 10G став основою для великих комп'ютерних мережевих інфраструктур і магістралей. Вже зараз широко поширюються стандарти 40G/100G, а в недалекому майбутньому прийдуть стандарти 200G/400G.

Практично кожна велика комп'ютерна мережа має десятки, а то і сотні, інструментів моніторингу безпеки волоконної мережі 1G. Ці пристрої в залежності від моделі можуть мати можливість перевіряти більше 1 Гбіт/с трафіку, але інструменти, оснащені інтерфейсами 1G, фізично не можуть підключатися до мереж 10G/40G/100G.

Завдання: Компанія модернізує інфраструктуру мережі для збільшення пропускної спроможності каналів впровадженням нового мережевого обладнання та ліній зв'язку. На заміну інтерфейсів 1G приходять інтерфейси 10G/40G/100G. Існуюча система інформаційної безпеки складається з коштів з інтерфейсами 1G. Необхідно забезпечити функціонування існуючої системи інформаційної безпеки на новій інфраструктурі.

Рішення: Брокери мережевих пакетів вирішують цю задачу шляхом агрегування, балансування навантаження і оптимізації трафіку (мінімізація нецільового трафіку і дедуплікація) з мереж 10G/40G/100G в існуючі інструменти безпеки 1G. Це рішення не тільки подовжує термін служби існуючих інструментів 1G (що відкладає витрати на їх заміну), але і максимізує їх продуктивність і відмовостійкість.

Таким чином, застосування брокерів мережевих пакетів вирішує наступні завдання:

  • збільшення кількості точок контролю/моніторингу;
  • можливість підключення потрібної кількості засобів контролю/моніторингу трафіку;
  • оптимізація використання коштів інформаційної безпеки;
  • виключення впливу засобів ІБ на відмовостійкість мережі;
  • забезпечення сумісності інтерфейсів в інфраструктурі ІБ;
  • підвищення видимості мережі для засобів ІБ.

З наведених вище кейсів відмінно видно, наскільки просто вирішуються проблеми, які так часто зустрічаються при побудові систем інформаційної безпеки, виводяться на новий рівень механізми доставки і підвищення видимості трафіку, підвищується продуктивність і відмовостійкість всієї системи в цілому при застосуванні брокерів мережевих пакетів. У наступній частині ми поговоримо про активні засоби забезпечення мережевої безпеки, а також розберемо типові кейси по їх інтеграції в мережеву інфраструктуру компанії.

Джерело: https://habr.com/ru/company/dsol/blog/541832/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  •  Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

 e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Cisco: гібридна робота веде до відмови від паролів

Cisco: гібридна робота веде до відмови від паролів
Cisco,новини,Налаштування Cisco,cisco,cisco безпека

Cisco опублікувала новий звіт по ведучому рішенню багатофакторної аутентифікації (MFA) і безпечного доступу Duo Security, який підтвердив, що підприємства відмовляються від використання паролів для захисту гібридних працівників і переходять до природніх (low-friction) методів аутентифікації.

Рекомендації щодо захисту від вірусів-вимагачів

Рекомендації щодо захисту від вірусів-вимагачів
Cisco,Cisco Network,Налаштування Cisco,Блог Телесфера,cisco,cisco безпека

Віруси-вимагачі завдають величезної шкоди. Як від них захиститися? Віруси-вимагачі перестали бути проблемою тільки фахівців з кібербезпеки. Тепер вони всюди: про них говорять у вечірніх новинах і на саміті «Великої сімки». Вони набули масового характеру і стали спільною проблемою, оскільки хакери все частіше атакують системи найважливіших операторів інфраструктури, які не можуть дозволити собі збої або порушення роботи через кібератаки, - від постачальників продуктів харчування і транспортних компаній до енергетики і систем охорони здоров'я.

Актуальні тренди кібербезпеки в 2021 році

Актуальні тренди кібербезпеки в 2021 році
Блог Телесфера,Продуктивність,cisco безпека,Послуги Телесфера Інтеграція

Швидкість розвитку і зміни кіберпростору в останні роки вражають уяву вже не тільки недосвідчених користувачів, а й маститих фахівців в області ІТ та ІБ. Відбувається експоненціальний розвиток навіть не об'єму оброблюваних даних, кількості підключених до інтернету пристроїв або додатків/сервісів, а й самих концепцій і технологій, а всеосяжна цифровизация і перехід більшості бізнесів в онлайн у зв'язку з пандемією лише прискорили цей тренд. Еволюція сучасного кіберпростору і ландшафту кіберзагроз обумовлена в тому числі і розвитком інструментів створення нових, більш досконалих технологій, що, в свою чергу, тягне за собою подальше прискорення створення вже наступних поколінь технологій і інструментів.