Неотъемлемым элементом защитного периметра сети сегодня стали системы обнаружения атак.
Многие производители межсетевых экранов в погоне за модой стали встраивать в свои продукты модули СОА, но функционал и эффективность таких комбинированных систем обычно на порядок ниже, чем у отдельных девайсов.
Если вы задумались об установке выделенной системы обнаружения атак, то первый технический вопрос, с которым вы столкнетесь, будет: как отзеркалить на СОА весь входящий трафик?
И тут есть несколько типовых решений:
1. Подключить СОА к SPAN порту маршрутизатора (или управляемого коммутатора). Стоит отметить, что такой порт очень редко встречается в бюджетных моделях;
2. Достать сетевой концентратор (тот, который HUB, а не SWITCH). Такие уже лет 10 как никто не выпускает, и если даже вы такой нашли - он вполне может оказаться 10 мбитным;
3. Включить СОА в разрыв внешнего канала связи, если СОА поддерживает bypass режим (т.е. может пассивно пропускать через себя трафик, оставаясь практически невидимой);
4. Установить ПО СОА на виртуальную машину, запущенную на корпоративном межсетевом экране. Тогда виртуальный сетевой адаптер будет получать копию трафика с физического сетевого адаптера.
Но есть и пятый способ - собрать passive LAN tap - простейшее устройство мониторинга Ethernet соединения. Вот на нём я и остановлюсь подробней.
Для ленивых продаются уже готовые устройства. Однако цена может в разы превышать себестоимость, поэтому мы пойдём другим путём =)
Чтобы его собрать нам понадобится 4 max модуля, пару патчкордов и кусок витой пары. Все это легко найти в обычном компьютерном магазине.
Теперь соберем LAN tap по схеме с сайта snort.org:
Получаем что-то вот такое:
Два модуля с полным набором проводов предназначены для подключения Интернет канала и патчкорда к межсетевому экрану. "Зеленый" и "Оранжевый" модули предназначены для того, чтобы слушать входящий и исходящий трафик.
Запускаем Wireshark и проверяем. Исходящий трафик:
Входящий трафик:
Работает :)
Дабы получить полную картину, необходимо использовать на слушающем ПК 2 сетевые карты, объединенные в bridge, которые нужно подключить в "оранжевому" и "зеленому" модулю одновременно.
Прелестью устройства является физическая изоляция передающего канала СОА. Т.о. обнаружить "прослушку" можно только по падению напряжения в кабеле. Выдать себя "случайным пакетом" она не сможет. Правда включение passive LAN tap в длинную линию (>100 метров) может сказаться на качестве связи и в тяжелых случаях привести к полной неработоспособности канала.
Устройство можно так же слегка модифицировать для "нужд разведки":
Осталось только приклеить надпись "Грозозащита" и подключить его к нужной линии ;)
Даже оптоволокно может быть прослушано схожим образом. Однако технически это сложнее и шанс выдать себя/повредить канал связи в этом случае заметно выше.
Вообщем подобное устройство может оказаться очень полезным как одной, так и другой стороне ИБ. Первые могут с помощью LAN tap подключатся к любому участку сети для поиска и идентификации сетевых проблем, а так же могут подключать к сети сенсоры системы обнаружения атак. Ну а вторые могут слушать сеть, оставаясь при этом бесшумными.
Вообщем подобное устройство может оказаться очень полезным как одной, так и другой стороне ИБ. Первые могут с помощью LAN tap подключатся к любому участку сети для поиска и идентификации сетевых проблем, а так же могут подключать к сети сенсоры системы обнаружения атак. Ну а вторые могут слушать сеть, оставаясь при этом бесшумными.
Спасибо.
ОтветитьУдалитьРаз уж изучал вопрос - подскажи где и за сколько можно купить готовые устройства.
http://hakshop.myshopify.com/collections/gadgets/products/throwing-star-lan-tap тут, например.
УдалитьЕсли интересуют промышленные образцы, то можно посмотреть тут:
ОтветитьУдалитьhttp://ru.flukenetworks.com/enterprise-network/network-monitoring/Tap-Solutions
http://www.netoptics.com/products/network-taps
http://www.networktaps.com/
Когда-то ещё брал решение Finisar.
Главные преимущества - bypass режим, в случае выхода из строя железяки и есть решения с агрегацией исходящих и входящих потоков в один провод (но тогда не должно быть 100%-ой нагрузки на сеть, чтобы пакеты не терялись)
спасибо!
Удалитьинтересно как они объединяют 2 провода в один... это пока главный недостаток самоделки.
Всегда пожалуйста. Как объединяют, если честно не знаю, схемы они не выкладывали. Знаю только, что буфер для хранения данных на случай большой интенсивности потоков в таких решениях заложен. В реальных случаях, что касается интернет-каналов, трафик никогда не забивал такие железяки.
Удалитьспасибки
ОтветитьУдалитьМожно дополнить схему конденсаторами и тогда будет поинтереснее
ОтветитьУдалить