數據包捕獲設備是執行獨立設備的數據包捕獲。它可以部署在網路上的任何地方,然而最通常地放置在網路的入口(即網際網路連線)和關鍵設備比如包含敏感信息的伺服器的前面。
通常來說,數據包捕獲設備完全捕獲和記錄所有網路分組(報頭和有效載荷),然而,一些設備可以被配置為基於用戶可定義的過濾器捕獲網路的業務的子集。對於許多套用,特別是網路取證和事件回響,執行完整的分組捕獲是很關鍵的,儘管過濾的數據包捕獲設備可能有時被用於特定的,有限的信息收集目的。
基本介紹
- 中文名:數據包捕獲設備
- 外文名:Packet capture appliance
- 目的:執行獨立設備的數據包捕獲
- 方法:集中式和分散式
- 特點:永久性等
- 領域:網路安全
部署,集中,分散,特點,過濾與全包捕獲,加密與未加密存儲,持續捕獲速度與峰值捕獲速度,永久性和可覆蓋性存儲,GbE與10 GbE,數據安全,
部署
數據包捕獲設備捕獲的網路數據取決於設備在網路上的安裝位置和方式。在網路上部署包捕獲設備有兩個方法。第一個是將設備連線到網路交換機或路由器上的SPAN連線埠(連線埠鏡像)。第二種選擇是內聯連線設備,使得沿著網路路由的網路活動穿過設備(在配置上類似於網路分路器,但信息由分組捕獲設備捕獲和存儲,而不是傳遞到另一個設備) 。 當通過SPAN連線埠連線時,包捕獲設備可以接收和記錄交換機或路由器的所有連線埠的所有乙太網/ IP活動。 當內聯連線時,數據包捕獲設備僅捕獲兩點之間行進的網路流量,即通過與數據包捕獲設備連線的電纜的流量。 有兩種通用的方法來部署數據包捕獲設備:集中式和分散式。
集中
使用集中式方法,將一個高容量,高速數據包捕獲設備連線到數據聚合點。集中式方法的優點是,通過一個設備,你可以了解網路的整個流量。然而,這種方法產生了單點故障,而這對於黑客是一個非常有吸引力的目標; 另外,必須重新設計網路以將業務帶到設備,並且這種方法通常涉及高成本。
分散
使用分散式方法,你可以在網路上放置多個設備,從入口點開始,並向下游到更深層的網段(如工作組)。優點包括:不需要重新配置網路; 易於部署; 可用於事件回響調查多個有利點; 有可擴展性; 沒有單點故障 - 如果一個失敗了,你還有其他的可用;如果結合電子隱形來說,這種方法還消除了黑客未經授權訪問的危險;低成本。缺點:需要增加多個電器用來維護。
在過去,分組捕獲設備通常僅被節省地部署在進入網路的點處。現在可以將數據包捕獲設備更有效地部署在網路各處。當執行事件回響時,從各種有利位置查看網路數據流的能力對於縮短解決時間和縮小網路的哪些部分最終受到影響是不可缺少的。通過將分組捕獲設備放置在每個工作組的入口點和前面,可以簡化和更快地跟蹤特定傳輸到網路中的路徑。此外,放置在工作組前面的設備將顯示位於入口點的設備無法捕獲的內部網傳輸數據。
特點
過濾與全包捕獲
完全包捕獲設備捕獲和記錄所有乙太網/ IP活動,而過濾的包捕獲設備僅捕獲基於一組用戶可定義過濾器的流量子集; 例如IP位址,MAC地址或協定。除非為過濾器參數所涵蓋的非常特定的目的使用分組捕獲設備,否則通常最好使用全包捕獲設備來避免丟失重要數據。特別是在使用數據包捕獲進行網路取證或網路安全時,捕獲所有數據是至關重要的,因為任何未捕獲的數據包都會永遠消失。提前知道所需的分組或傳輸的特定特性是不可能的,特別是在高級持續性威脅(APT)的情況下。APT和其他黑客技術的成功依賴於網路管理員不知道他們是如何工作的,因此沒有解決方案來消除他們。
加密與未加密存儲
一些數據包捕獲設備會將捕獲的數據加密,然後再將其保存到磁碟,而其他數據包則不會。考慮到在網路或網際網路連線上傳播的信息的寬度,並且其至少一部分可以被認為是敏感的,對於大多數情況為保持捕獲的數據安全的措施,加密是一個好主意。加密也是用於數據/網路取證的數據認證的關鍵要素。
持續捕獲速度與峰值捕獲速度
持續捕獲速度指的是分組捕獲設備在長時間段內捕獲和記錄分組而沒有中斷或錯誤的速率。這與峰值捕獲率不同,峰值捕獲率是數據包捕獲設備可以捕獲和記錄數據包的最高速度。峰值捕獲速度只能在短時間內保持,直到設備的緩衝區填滿並開始丟失數據包。許多數據包捕獲設備共享1 Gbit / s的相同峰值捕獲速度,但實際持續速度因型號而異。
永久性和可覆蓋性存儲
具有永久存儲的數據包捕獲設備是網路取證和永久記錄保存的理想選擇,因為捕獲的數據不能被覆蓋,更改或刪除。永久存儲的唯一缺點是,如果最後設備滿了則需要更換。具有可覆蓋存儲的數據包捕獲設備更容易管理,因為一旦達到容量,它們將開始用新的數據覆蓋最舊的捕獲數據,但是,網路管理員要承擔在覆蓋時丟失重要捕獲數據的風險。通常,具有重寫能力的分組捕獲設備對於簡單的監視或測試目的是有用的,因為其不需要永久記錄。永久的,不可覆蓋的記錄是網路取證信息收集的必要條件。
GbE與10 GbE
大多數企業使用千兆乙太網速度網路,並將繼續這樣做一段時間。如果企業打算使用一個集中式數據包捕獲設備來聚合所有網路數據,則可能需要使用10 GbE數據包捕獲設備來處理來自網路的大量數據。更有效的方法是使用多個1Gbit / s線上數據包捕獲設備,圍繞網路有策略地放置,這樣就不需要重新設計千兆網路以適應10 GbE設備。
數據安全
由於數據包捕獲設備捕獲並存儲大量的網路活動數據,包括檔案,電子郵件和其他通信,他們本身可能成為黑客的有吸引力的目標。部署了任何時間長度的數據包捕獲設備應該包括安全特徵,以保護記錄的網路數據不被未授權方訪問。如果部署數據包捕獲設備引入了太多對安全性的額外注意,則保護它的成本可能超過它帶來的好處。最好的方法是使數據包捕獲設備具有內置的安全功能。這些安全功能可以包括加密或“隱藏”設備在網路上的存在的方法。例如,一些數據包捕獲設備具有“電子不可見性”,即,通過不要求或使用IP或MAC地址而具有隱秘的網路簡檔。
雖然在它的表面上通過SPAN連線埠連線分組捕獲設備似乎使其更加安全,但是數據包捕獲設備最終仍然必須連線到網路以便允許管理和數據檢索。雖然無法通過SPAN連結訪問,但設備可通過管理連結訪問。
儘管有這些好處,但是從遠程機器控制數據包捕獲設備的能力具有一個安全問題,那就是可能會使設備易受攻擊。允許遠程訪問的數據包捕獲設備應該有一個強大的系統,以防止未經授權的訪問。實現這一點的一種方式是併入手動禁用,例如允許用戶物理地禁用遠程訪問的開關或切換。這個簡單的解決方案是非常有效的,但是有人懷疑這會使得黑客更容易地獲得對設備的物理訪問,以翻轉開關。
最後考慮的是物理安全。如果有人只能竊取數據包捕獲設備或製作數據包捕獲設備的副本,並且可以隨時訪問存儲在其上的數據,那么世界上的所有網路安全功能都是無用的。加密是解決這一問題的最佳方法之一,儘管一些數據包捕獲設備還具有防篡改機箱。
