Blog

Pristup do podataka je prvi korak u implementaciji sigurne mreže

U današnje vrijeme fokus u cyber security svijetu najviše je na sigurnosnim i monitoring rješenjima odnosno alatima koji nam omogućuju da zaštitimo svoje korisnike na mreži, ali u stvari prvi korak do sigurne mreže je omogućiti tim alatima pristup do svih podataka u mreži, a to je puno teže ostvariti nego što se na prvi pogled čini.

Podaci mogu biti na fizičkoj, virtualnoj ili public cloud infrastrukturi gdje svaka lokacija zahtijeva drugačiji pristup. Osim toga sigurnosna rješenja mogu zahtijevati samo kopiju podataka ili da budu implementirana inline, pa tako omogućuju prevenciju mrežnih incidenata. Pristup do podataka u virtualnoj i/ili public cloud infrastrukturi kao i inline deployment bit će tema nekih sljedećih blogova.

U ovom blogu opisat ćemo kako doći do kopije podataka, isporučiti ih Gigamon NG-NPB (Next Generation – Network Packet Broker) rješenju i kako onda iskoristiti Gigamon tehnologije i isporučiti te podatke prema sigurnosnim rješenjima. Najčešći pristup do kopije podataka je kroz SPAN portove ili kroz TAP uređaj.

SPAN port

SPAN

U takvom pristupu postoji nekoliko nedostataka:

  • mrežna oprema mora imati podršku za SPAN što nije uvijek slučaj
  • ako i postoji podrška za SPAN najčešće su dostupna samo 2 porta po mrežnom uređaju, pa već treće sigurnosno rješenje implementirano u mreži neće imati pristup podacima
  • pojava dupliciranih paketa osim što će generirati veće količine mrežnog prometa na SPAN portu može uzrokovati pogrešnu interpretaciju mrežnog prometa od strane sigurnosnog rješenja
  • u slučaju većeg procesorskog opterećenja na mrežnom uređaju SPAN port je nisko na listi prioriteta što znači da sigurnosno rješenje spojeno na taj SPAN port neće vidjeti kompletan promet

Postoje i neke prednosti korištenja SPAN tehnologije:

  • nema dodatnih investicija u hardware
  • brzo se konfigurira

TAP uređaj

TAP

Bolji pristup za dohvaćanje kopije paketa je kroz TAP uređaje iako i u tom pristupu postoje određeni nedostaci:

  • potrebno je napraviti ispad u mreži tj. na linku za inicijalnu implementaciju
  • duplicira se broj portova potrebnih na sigurnosnom rješenju za Tx i Rx smjer
  • limitiran je broj dostupnih portova odnosno kopija mrežnog prometa na TAP linku
  • mrežni promet se ne može poslati na više sigurnosnih rješenja

Glavna prednost TAP uređaja je u tome što će sigurnosno rješenje dobiti kompletan mrežni promet s TAP linka.

Agregacija

Aggregation

Za agregaciju prikupljenih podataka na oba gore opisana načina i distribuciju dalje prema sigurnosnim rješenjima koriste se NPB rješenja, a prednosti su:

  • kombiniranje ulaznih TAP i/ili SPAN portova s više lokacija u mreži
  • distribucija prometa prema više različitih sigurnosnih rješenja
  • replikacija mrežnog prometa s jednog ulaznog porta na više izlaznih
  • load balancing prometa prema sigurnosnim rješenjima iste namjene npr. IDS
  • session aware load balancing
  • kombiniranje različitih portova 1G, 10G, 40G, 100G

Filtriranje podataka

Filtering

Filtriranje prema tipu prometa npr. web promet se šalje prema alatu za web inspekciju, a mail promet prema alatu za mail inspekciju.
Glavne prednosti takvog pristupa:

  • samo relevantni podaci šalju se na alat koji ih može obraditi čime se postiže njegova maksimalna iskoristivost
  • podaci koji nisu relevantni npr. VoIP, video, Netflix, mogu se odbaciti ili preusmjeriti na neki drugi alat i tako smanjiti opterećenje i ostvariti značajne uštede
  • distribucija prometa prema procesorskoj snazi i kapacitetu pojedinih sigurnosnih rješenja

Next Generation Network Packet Broker

GigaSMART

Mogućnosti opisane iznad pripadaju standardnim NPB tehnologijama, ali Gigamon u svom portfoliju ima rješenja koja spadaju u Next Generation NPB tehnologije poput:

  • dekripcije SSL/TLS prometa inline i/ili dekripcija kopije prometa
  • generiranje NetFlow zapisa i metapodataka
  • deduplikacija prometa koji dolazi s više lokacija u mreži sa SPAN i/ili TAP portova
  • manipulacija s IP zaglavljima i enkapsulacijom paketa
  • maskiranje i odstranjivanje dijela paketa zbog zaštite povjerljivih podataka
  • tuneliranje prometa za sigurno slanje prema izdvojenim lokacijama
  • korelacija GTP paketa u infrastrukturi mobilnih mreža
  • filtriranje prometa prema aplikacijama (Gigamon Application Intelligence)

Gigamon Application Intelligence

Gigamon Application Intelligence

Filtriranje aplikacija na aplikacijskom sloju omogućuje veliku fleksibilnost kod odabira koju aplikaciju odnosno promet želimo dodatno poslati na inspekciju/analizu, a koju ne želimo kako bismo smanjili opterećenje na resurse koji su dostupni na sigurnosnim, monitoring ili bilo kojim drugim rješenjima. Dobar primjer je filtriranje web aplikacija koje rade na istom 443 portu gdje možemo jednostavno označiti youtube, netflix i sličan web video promet i odlučiti da ga ne šaljemo na alate za inspekciju, ali recimo sav drugi web promet na 443 portu želimo dodatno analizirati.

Do sada je takav pristup bio moguć kroz pisanje regularnih izraza, a od sada je taj dio Gigamon napravio za nas kroz Application Intelligence s trenutno preko 3200 dostupnih predefiniranih aplikacija.

Za sve dodatne informacije, tu smo za vas!

Share on LinkedInShare on FacebookTweet about this on Twitter
Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?
Kontaktirajte nas!