Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Забезпечення мережевої безпеки спільно з брокерами мережевих пакетів. Частина перша. Пасивні засоби безпеки

2021-04-20
Автор: Телесфера

 З ростом хмарних обчислень і віртуалізації сучасні комп'ютерні мережі стають все більш уразливими і постійно розвиваються, приносячи з собою нові ризики і невизначеності. Давно минули часи хакерства для задоволення, хакери фінансово мотивовані і більш витончені, ніж будь-коли. Деякі з них створили хакерські групи, такі як LulzSec і Anonymous, щоб обмінюватися досвідом і діяти спільно. Професіонали інформаційної безпеки щосили намагаються не відставати, намагаючись використовувати пасивні (для виявлення) і активні (для блокування) інструменти мережевої безпеки. Незважаючи на те, що вендори своєчасно розробляють і надають інструменти мережевої безпеки для захисту від новітніх кіберзагроз, впровадження цих інструментів є постійною проблемою з різних причин. У цій серії публікацій ми опишемо  основні засоби мережевої безпеки, які борються з кіберзагрозами, розглянемо типові проблеми при розгортанні та шляхи їх вирішення за допомогою брокерів мережевих пакетів.

Пасивні засоби безпеки

Пасивні засоби мережевої безпеки застосовуються для моніторингу та аналізу трафіку в мережі. Такі інструменти працюють з копією трафіку, отриманого з SPAN-портів, відгалуджувачів мережевого трафіку (TAP) або брокерів мережевих пакетів (NPB). Пасивний моніторинг не вносить тимчасових затримок і додаткової службової інформації в мережу. В даний час широко використовуються такі пасивні засоби безпеки, як IDS, Network Forensics, NBA та NTA.

Система виявлення вторгнень (IDS)

Система виявлення вторгнень (Intrusion Detection System - IDS) призначена для моніторингу мережевого трафіку на наявність шкідливих програм, експлойтів і інших кіберзагроз шляхом використання великої кількості сигнатур погроз (іноді званих правилами). Програмне забезпечення IDS може бути розгорнуто на спеціально побудованих пристроях, наданому користувачем обладнанні і в деяких випадках як віртуальні пристрої для VMware, Xen та інших платформ віртуалізації.

В даний час в переважній більшості випадків IDS - це режим роботи інструментів системи запобігання вторгнень (Intrusion Prevention System - IPS). Іншими словами, на сьогоднішній день придбати рішення, яке здатне виконувати тільки пасивний моніторинг буде досить проблематично. IPS відносяться до більш складних і дорогих пристроїв, однак, як правило, підтримують активні IPS і пасивні IDS конфігурації в одному рішенні. Крім того, компанії зазвичай розгортають IPS тільки для пасивного IDS моніторингу, особливо в ядрі мережі.

У просторі IDS рішень (як конфігурація пасивного моніторингу системи IPS) представлені продукти компаній Positive Technologies, Код Безпеки, Інфотекс, Smart-Soft, Info Watch, Stonesoft, Trend Micro, Fortinet, Cisco, HP, IBM, Juniper, McAfee, Sourcefire, Stonesoft , Trend Micro, Check Point.

Мережева форензіка (Network Forensics)

Мережева форензіка (криміналістика) відноситься до технології, яка відстежує, записує і аналізує трафік комп'ютерної мережі з метою збору інформації, юридичних доказів, а також виявлення та аналізу загроз внутрішньокорпоративної мережевої безпеки. Ця технологія часто описується як мережевий відеомагнітофон, який записує (буквально) всі пакети, що проходять через вашу мережу. Програмне забезпечення для мережевої криміналістики найчастіше розгортається на мережевих пристроях з великими обсягами пам'яті, що поставляються постачальниками, але деякі постачальники надають його як програмне рішення тільки для того, щоб клієнти могли самостійно вибрати обладнання для його підтримки.

Аналіз поведінки мережі (NBA) і мережевого трафіку (NTA)

Більшість пристроїв мережевої безпеки розміщуються по периметру (за фаєрволом) для перевірки загроз, що надходять з інтернету. Однак мобільні пристрої, які щодня приносяться в офіс «в кишені», можуть містити шкідливі програми, які захист периметра може ніколи і не побачити.

Система аналізу поведінки мережі (Network Behavior Analysis - NBA) виявляє загрози, з якими стикається мережа зсередини, використовуючи NetFlow і інші стандарти потоку (cFlow, sFlow, jFlow і IPFIX), щоб отримати базове значення для нормального мережевого трафіку і виявити аномалії, такі як поширення шкідливих програм. Системи аналізу мережевого трафіку (Network Traffic Analysis - NTA) призначені для перехоплення і аналізу трафіку, а також для виявлення складних і цільових атак. З їх допомогою можна проводити ретроспективне вивчення мережевих подій, виявляти і розслідувати дії зловмисників, реагувати на інциденти. NTA можуть служити відмінним джерелом даних для ситуаційних центрів інформаційної безпеки (SOC).

Виробники в просторі NBA і NTA рішень - Positive Technologies, Kaspersky, Group-IB, Гарда Технології, Arbor Networks, Lancope, Riverbed Awake, Cisco, Darktrace, ExtraHop Networks, LogRhythm, Flowmon, RSA, TDS і інші.

Типові проблеми розгортання систем мережевої безпеки

ІТ-компанії стикаються з численними проблемами при розгортанні інструментів мережевого захисту, особливо у великих, складних і географічно розподілених мережах. Звучить знайомо? Нижче наведені кейси, в яких поширені проблеми систем моніторингу та інформаційної безпеки вирішуються за допомогою впровадження брокера мережевих пакетів (NPB).

Кейс № 1. Оптимізація мережевої інфраструктури інформаційної безпеки

Сучасний підхід до побудови систем інформаційної безпеки орієнтований на надійні та економічно ефективні рішення, що дозволяють вже впровадженим засобам безпеки відстежувати більшу кількість сегментів мережі, підвищуючи її видимість. При цьому знову впроваджувані засоби безпеки повинні мати доступ до існуючих точок знімання трафіку.

Застосовувані методи віддзеркалення трафіку з використанням SPAN-портів або відгалуджень мережевого трафіку (TAP) мають свої обмеження і недоліки. Трафік SPAN-портів має низький пріоритет і, при підвищенні навантаження на комутаторі, починає втрачатися, а при виставленні високого пріоритету, починає втрачатися «бойовий» трафік, що призводить до більш небезпечних наслідків. Використання TAP дозволяє мати стовідсоткову копію трафіку, але тут є обмеження по кількості можливих точок установки TAP на мережевій інфраструктурі. При збільшенні парку засобів інформаційної безпеки, на кожне з яких потрібно подавати трафік з одних і тих же сегментів мережі, гостро постає питання впровадження їх в існуючу інфраструктуру.

Завдання: У компанії, де впроваджені системи виявлення вторгнень (IDS) і аналізу поведінки мережі (NBA), розгортаються системи Network Forensics і NTA. Для отримання максимальної видимості трафіку, знімання здійснюється не через SPAN-порти, а через TAP. Трафік від TAP відповідних сегментів мережі необхідно доставити і розподілити між чотирма видами систем інформаційної безпеки.

Рішення: Це завдання легко вирішується брокером мережевих пакетів, використовуючи який можна агрегувати трафік, отриманий через TAP із сегментів мережі, оптимізувати (застосувати функції фільтрації, класифікації, дедуплікаціі, модифікації) та віддзеркалювати його, балансуючи на відповідні системи інформаційної безпеки.

Кейс № 2. Оптимізація використання коштів інформаційної безпеки

Стандартні пристрої мережевої безпеки поставляються з фіксованою кількістю інтерфейсів для здійснення одночасного моніторингу декількох сегментів мережі. Однак після того, як ці інтерфейси повністю заповнюються, компанії змушені купувати додаткові одиниці засобів безпеки.

Завдання: Компанія має систему виявлення вторгнень (IDS) з чотирма інтерфейсами 10GbE. Трафік для моніторингу знімається з чотирьох сегментів мережі, при цьому пікове навантаження на IDS не більше 40%. Згодом інфраструктура мережі збільшилася, і виникла необхідність додатково відстежувати два нових сегмента.

Рішення: З розрахунком на подальший розвиток мережі і відмови від закупівлі додаткової IDS на увазі 40% завантаження існуючої системи, вирішувати цю задачу раціональніше за допомогою брокера мережевих пакетів. В даному випадку використання пакетного брокера продиктовано ще й зменшенням проблем, пов'язаних з вирішенням питань виділення місця в стійці, забезпечення електроживлення і кондиціонування. Брокери мережевих пакетів можуть агрегувати трафік з кількох сегментів мережі, а потім оптимізувати (виконуючи функції фільтрації, класифікації, віддзеркалення, балансування, дедуплікаціі, модифікації) цей трафік перед маршрутизацією в IDS. Брокери мережевих пакетів, як правило, дешевше засобів забезпечення безпеки, що дозволяє компаніям розумно використовувати кошти і матеріальні ресурси, одночасно підвищуючи відмовостійкість і продуктивність інструментів.

Кейс № 3. Використання інструментів безпеки 1G в сучасних мережах

Стандарт комп'ютерної мережі 10-гігабітний Ethernet (10GbE або 10G) був вперше опублікований в 2002 році, але досяг критичної маси до 2007 року. З тих пір 10G став основою для великих комп'ютерних мережевих інфраструктур і магістралей. Вже зараз широко поширюються стандарти 40G/100G, а в недалекому майбутньому прийдуть стандарти 200G/400G.

Практично кожна велика комп'ютерна мережа має десятки, а то і сотні, інструментів моніторингу безпеки волоконної мережі 1G. Ці пристрої в залежності від моделі можуть мати можливість перевіряти більше 1 Гбіт/с трафіку, але інструменти, оснащені інтерфейсами 1G, фізично не можуть підключатися до мереж 10G/40G/100G.

Завдання: Компанія модернізує інфраструктуру мережі для збільшення пропускної спроможності каналів впровадженням нового мережевого обладнання та ліній зв'язку. На заміну інтерфейсів 1G приходять інтерфейси 10G/40G/100G. Існуюча система інформаційної безпеки складається з коштів з інтерфейсами 1G. Необхідно забезпечити функціонування існуючої системи інформаційної безпеки на новій інфраструктурі.

Рішення: Брокери мережевих пакетів вирішують цю задачу шляхом агрегування, балансування навантаження і оптимізації трафіку (мінімізація нецільового трафіку і дедуплікація) з мереж 10G/40G/100G в існуючі інструменти безпеки 1G. Це рішення не тільки подовжує термін служби існуючих інструментів 1G (що відкладає витрати на їх заміну), але і максимізує їх продуктивність і відмовостійкість.

Таким чином, застосування брокерів мережевих пакетів вирішує наступні завдання:

  • збільшення кількості точок контролю/моніторингу;
  • можливість підключення потрібної кількості засобів контролю/моніторингу трафіку;
  • оптимізація використання коштів інформаційної безпеки;
  • виключення впливу засобів ІБ на відмовостійкість мережі;
  • забезпечення сумісності інтерфейсів в інфраструктурі ІБ;
  • підвищення видимості мережі для засобів ІБ.

З наведених вище кейсів відмінно видно, наскільки просто вирішуються проблеми, які так часто зустрічаються при побудові систем інформаційної безпеки, виводяться на новий рівень механізми доставки і підвищення видимості трафіку, підвищується продуктивність і відмовостійкість всієї системи в цілому при застосуванні брокерів мережевих пакетів. У наступній частині ми поговоримо про активні засоби забезпечення мережевої безпеки, а також розберемо типові кейси по їх інтеграції в мережеву інфраструктуру компанії.

Джерело: https://habr.com/ru/company/dsol/blog/541832/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  •  Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

 e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Aruba випустила своє перше рішення з підтримкою Wi-Fi 6E

Aruba випустила своє перше рішення з підтримкою Wi-Fi 6E
Aruba Networks,Wi-Fi,Налаштування Aruba,новини,Телесфера Інтеграція

Компанія ELKO Ukraine, офіційний дистриб'ютор Aruba в Україні, оголосила про те, що вендор створив портфель корпоративних рішень стандарту Wi-Fi 6E і анонсував його першого представника - AP-635, кампусну точку доступу серії 630.

Методи для виявлення і діагностика несправностей стосовно IoT

Методи для виявлення і діагностика несправностей стосовно IoT
IoT,Послуги Телесфера Інтеграція,Налаштування,Блог Телесфера

Поточна промислова тенденція щодо автоматизації та промислових підприємств веде нас до все більш і більш складних систем. У свою чергу простої системи можуть призводити до величезних фінансових втрат. У деяких випадках поломка однієї деталі може привести до руйнування цілої системи без можливості відновлення. У зв'язку з цим виникає необхідність розробки Виявлення і Діагностики Несправностей (ВДН), яка може запобігти і локалізувати несправності, при цьому підвищується продуктивність систем. Діагностика полягає в виявленні ненормального функціонування за даними датчиків. Зазвичай дані від датчиків бувають дуже зашумленими або пошкодженими, з шумами мережі передачі даних, відповідно алгоритми ВДН також повинні бути стійкі до викидів.

Так, цьому можна запобігати. Великі аварії в ЦОДах за останні роки

Так, цьому можна запобігати. Великі аварії в ЦОДах за останні роки
ЦОД,cisco безпека,Блог Телесфера

Як відомо, значення дата-центрів для всіх типів компаній і звичайних користувачів неухильно зростає. При цьому лише одна хвилина простою великого ЦОД може спровокувати мільйонні збитки для клієнтів оператора. Ми вже не говоримо про збитки від багатогодинних і багатоденних простоїв. Однак аварії в ЦОДах продовжують регулярно відбуватися, і вони зовсім не обов'язково пов'язані з пожежею - за даними Uptime Institute пожежі трапляються рідше ніж раз на рік. Ми розглянемо найбільші аварії в дата-центрах за останній час і проаналізуємо їх причини.