Erpressungsmethoden wie Ransomware oder Big Game Hunting sind dabei die Hauptbedrohung für Unternehmen.
Um das Ziel zu erreichen, Cyber-Angriffe schnell und genau zu identifizieren und effektiv auf sie zu reagieren, haben SecOps-Abteilungen einen scheinbar unersättlichen Bedarf an mehr Netzwerkinformationen. Neben Flow Technologien und Metadaten, werden dazu zunehmend Rohdaten in Form von Datenpaketen verwendet.
Es gibt eine Reihe von Möglichkeiten, auf die Datenpakete in einem Vollduplex-Netzwerk zuzugreifen.
Die gängigsten Technologien sind:
SPAN-Port: Der Vorteil von SPAN-Ports sind die Kosten, da diese Funktion auf den meisten Switchen verfügbar ist. Ein SPAN-Port ist auch aus der Ferne konfigurierbar, so dass von jedem System aus eine Änderung des SPAN-Ports möglich ist.
Die Einschränkung bei einem SPAN-Port, ergibt sich aus der Port-Aggregation. Dabei wird der Vollduplex-Netzwerkverkehr in einem einzigen Kanal aggregiert. Überschreitet das Verkehrsaufkommen im Netzwerk die Ausgangskapazität des SPAN-Ports, wird der Switch gezwungen, Pakete zu verwerfen. Dadurch stehen Security- oder Netzwerkanalysatoren nicht alle Daten zur Verfügung.
Ein weiterer Grund dafür, dass ein Port Mirror nicht die richtige Wahl ist, liegt darin, dass Layer 1- und 2-Fehler nicht gespiegelt werden und daher nie den Analyzer erreichen. Bei einer allgemeinen Netzwerkanalyse kann es wichtig sein, diese Fehler zu sehen.
Aggregation TAPs: Ein Link Aggregation Tap fasst beide Richtungen eines Vollduplex-Datenstroms zusammen und ermöglicht es jedem angeschlossenen Analysegerät, auch solchen mit nur einer Netzwerkkarte, eine Kopie aller Daten zu erhalten - in einer einzigen Trace-Datei.
Aggregations-TAPs sind ein guter Kompromiss zwischen den Optionen SPAN und Vollduplex-TAP. Er erfordert keine spezielle Dual-Receive-Capture-Schnittstelle auf dem Analysegerät.
Wie ein Vollduplex-TAP ist er unabhängig vom Netzwerk und damit unangreifbar für Sicherheitsbedrohungen. Ein Aggregations-TAP verfügt über einen internen Speicherpuffer, um bei Netzauslastung größer als 50% die Datenpakete zwischenzuspeichern. Bei einer längeren Spitzenlast wird die Pufferkapazität nicht mehr ausreichen und es werden Datenpakete fallengelassen.
Vollduplex-TAPs: Der Einsatz von Vollduplex-TAPs ist die einzige Methode, die garantiert, dass der gesamte Netzwerkverkehr, einschließlich der Fehlerinformationen der ISO/OSI Layer 1 und 2 erfasst und an den Analysator weitergeleitet wird. Dazu werden Vollduplex-TAPs in die Netzwerkverbindung „eingeschliffen“ und leiten eine Kopie des TX-/RX-Signals an den angeschlossenen Analysator weiter.
Dazu werden Vollduplex-TAPs in die Netzwerkverbindung „eingeschliffen“ und leiten eine Kopie des TX-/RX-Signals an den angeschlossenen Analysator weiter. Da im Vergleich zur SPAN-Technologie keine Ports aggregiert werden, gehen auch bei hohen Netzwerklasten keine Informationen verloren.
Ein Vollduplex-TAP muss an einen Analysator angeschlossen werden, welcher in der Lage ist, beide Kanäle (RX/TX) eines Vollduplex-TAPs zu empfangen und die beiden Kanäle wieder zu einem Vollduplex-Signal zusammenzuführen. Obwohl dies die teuerste Lösung sein kann, ist es auch die einzige Lösung, die selbst bei einer 100-prozentigen Netzwerk-Spitzenlast vollständig Genauigkeit garantiert.
Vollduplex-TAPs sind passiv und greifen somit nicht in den Netzwerkverkehr ein. Verfügbar sind TAPs für Kupfer- und optische Leitungen mit Netzwerkgeschwindigkeiten bis 100Gbps.
FAZIT:
Bei den aufgezeigten TAP-Technologien zur forensischen Analyse gibt es Vor- und Nachteile. SPANs und Aggregations-TAPs ermöglichen die Verwendung einer standardmäßigen (und in der Regel weniger teuren) Netzwerkkarte auf dem Analysegerät, aber ihre Einschränkungen machen sie nicht gerade ideal für Situationen, in denen es notwendig ist, die Sichtbarkeit jedes Pakets auf der Leitung zu gewährleisten.
Ein Vollduplex-TAP ist die ideale Lösung für die Überwachung von Vollduplex-Netzwerken, die zu mehr als 50 Prozent ausgelastet sind, aber ihr Design erfordert, dass der Analysator mit einer Dual-Receive-Capture-Schnittstelle ausgestattet ist.
Dabei haben die aufgezeigten Ansätze Vor- und Nachteile. SPANs und Aggregations-TAPs ermöglichen die Verwendung einer standardmäßigen (und in der Regel weniger teuren) Netzwerkkarte auf dem Analysegerät, aber ihre Einschränkungen machen sie nicht gerade ideal für Situationen, in denen es notwendig ist, die Sichtbarkeit jedes Pakets auf der Leitung zu gewährleisten.
Ein Vollduplex-TAP ist die ideale Lösung für die Überwachung von Vollduplex-Netzwerken, die zu mehr als 50 Prozent ausgelastet sind, aber ihr Design erfordert, dass der Analysator mit einer Dual-Receive-Capture-Schnittstelle ausgestattet ist.