Устройство захвата пакетов

Данные, которые захватывает устройство захвата пакетов, зависят от места и способа установки его в сети. Существует два основных варианта установки устройств захвата пакетов. Первый — подключение устройства к порту SPAN (англ. port mirroring) на сетевом коммутаторе или маршрутизаторе. Второй — установка устройства в разрыв соединения («inline»), так что весь сетевой трафик между двумя точками проходит через него (аналогично сетевому TAP, но данные сохраняются самим устройством, а не передаются другому оборудованию)^[3].

При подключении через порт SPAN устройство захвата пакетов может получать и записывать всю Ethernet/IP-активность по всем портам коммутатора или маршрутизатора^[4].

При установке в разрыв соединения устройство захватывает только тот трафик, который передаётся между двумя точками, то есть проходит по подключённому кабелю^[3].

Существует два основных подхода к размещению устройств захвата пакетов: централизованный и децентрализованный.

В централизованной модели одно высокопроизводительное устройство захвата пакетов подключается к точке агрегации данных. Преимущество данного способа — возможность анализа всего трафика сети с помощью одного устройства. Однако это создаёт единую точку отказа, которая становится привлекательной целью для злоумышленников; кроме того, может потребоваться перестройка сети для направления всего трафика к устройству, а сам подход обычно требует значительных затрат^[4].

В децентрализованной модели устанавливается несколько устройств в различных сегментах сети, начиная с точки входа и далее на более глубоких участках, таких как рабочие группы. Преимущества: отсутствие необходимости перенастройки сети; простота развёртывания; множество точек наблюдения для расследования инцидентов; масштабируемость; отсутствие единой точки отказа — при выходе из строя одного устройства остаются другие; если есть возможность «электронной невидимости», существенно снижается опасность несанкционированного доступа; низкая стоимость. Недостаток — необходимость поддерживать несколько устройств^[4].

Ранее устройства захвата пакетов чаще всего устанавливали только на входе в сеть, однако сегодня их применяют на разных участках. При реагировании на инциденты возможность видеть потоки данных из разных точек помогает существенно ускорить расследование и определить, какие сегменты были затронуты. Установка устройств на входе и перед каждой группой пользователей упрощает отслеживание прохождения информации глубже по сети, а устройства перед рабочими группами фиксируют внутренние передачи, недоступные устройствам на периметре^[3].

Устройства захвата пакетов доступны с дисковой памятью от 500 ГБ до 192 ТБ и выше. Лишь крупные организации с очень высокими объёмами трафика используют устройства максимальной ёмкости; для большинства организаций достаточно устройств на 1–4 ТБ^[5].

Общее практическое правило — 1 ГБ на день для интенсивных пользователей и 1 ГБ на месяц для обычных. Для стандартного офиса из 20 сотрудников с обычным трафиком 1 ТБ хватит примерно на 1–4 года^[3].

Отношение 100/0 означает односторонний (simplex) трафик; на реальных каналах объём данных может быть даже больше.

Устройства полного захвата фиксируют все Ethernet/IP-сессии, тогда как устройства с фильтрацией собирают только часть трафика, определяемую фильтрами пользователя: по IP-адресу, MAC-адресу или протоколу. За исключением специализированных применений, лучше использовать полный захват во избежание потери критически важной информации. Особенно при расследовании инцидентов и вопросах кибербезопасности важно фиксировать все пакеты: не зафиксированный пакет нельзя восстановить позднее, и невозможно заранее предугадать, какие именно фрагменты информации понадобятся, особенно при работе с продвинутыми устойчивыми угрозами (APT). APT и другие техники взлома эффективны во многом за счёт неосведомлённости администраторов о методах атак и отсутствия соответствующих защитных мер^[3].

Интеллектуальный захват пакетов использует методы машинного обучения для фильтрации и сокращения объёма сохраняемого сетевого трафика. В традиционном фильтрованном захвате используются заранее заданные правила, выявляющие потенциально вредоносный трафик. Модель машинного обучения, дополненная данными из источников разведки киберугроз, позволяет целенаправленно фиксировать наиболее опасный трафик. Для этих целей применяются методы выявления вторжений с помощью машинного обучения^[6][7], классификации трафика^[8] и обнаружения аномалий^[9].

Некоторые устройства захвата пакетов шифруют данные до их сохранения на диск, другие — нет. Учитывая конфиденциальность части информации в сети, шифрование рекомендуется для защиты данных. Также это важно для аутентификации данных при сетевой криминалистике^[3].

Скорость постоянного захвата — это объём данных, который устройство может фиксировать без потерь и сбоев в течение длительного времени. Она отличается от пиковой скорости, которая отражает максимальное кратковременное значение до заполнения буфера и начала потерь пакетов. У многих моделей пиковая скорость — 1 Гбит/с, но реальная постоянная скорость существенно различается^[3][10].

Устройство с постоянной памятью подходит для криминалистики и ведения архивов, так как зафиксированные данные нельзя стереть, изменить или перезаписать. Минус — заполненное устройство требует замены. Устройства с перезаписываемой памятью проще в эксплуатации: при заполнении они начинают перезаписывать «старые» данные, но есть риск потери важной информации. В целом, такие устройства подходят для мониторинга общего характера, где не требуется полный архив. Для целей криминалистики необходим именно постоянный, неизменяемый архив данных^[4].

Большинство организаций используют сети Gigabit Ethernet и не планируют переход на более высокие скорости в обозримом будущем^[11]. При построении централизованной системы мониторинга потребуется устройство уровня 10 GbE для агрегации всего трафика. Более эффективен распределённый подход: установка нескольких устройств на 1 Гбит/с в ключевых точках, что избавляет от необходимости перестраивать инфраструктуру под 10 Гбит/с^[10].

Так как устройства захвата пакетов фиксируют большие объёмы сетевой активности (включая файлы^[12], электронную почту и коммуникации), они сами могут становиться объектом атак. Если устройство работает длительное время, необходимо предусмотреть средства защиты данных от несанкционированного доступа. Если такие риски слишком велики, то стоимость защиты может превысить выгоду от внедрения. Наиболее эффективно использовать устройства с встроенными средствами безопасности: например, с шифрованием или механизмом «электронной невидимости» (отсутствие необходимости привязывать IP/MAC-адреса к устройству)^[4].

Хотя подключение устройства через порт SPAN изолирует его от остальной части сети, для управления и получения данных всё равно потребуется выделенное соединение, которое создаёт точку доступа для управления^[3].

Возможность удалённого управления устройством, хотя и удобна, несёт в себе определённые риски безопасности^[13]. Для противодействия злоумышленникам рекомендуется использовать механические средства отключения удалённого доступа (например, физический переключатель на корпусе)^[3].

Последний аспект — физическая безопасность: никакие сетевые меры не помогут, если устройство можно просто похитить или скопировать. Эффективной защитой является шифрование, а некоторые устройства дополнительно оснащяются корпусами с защитой от вскрытия^[3].