Blogpost

Netzüberwachung: Welche Geräte stehen Ihnen zur Verfügung?

Hier ist unsere Perspektive auf einen unserer Grundwerte. Betrachten Sie diesen Artikel als das grundlegende Whiteboard, das uns zur Gründung der NANO Corp. inspiriert hat, die wir gerne mit Ihnen teilen möchten!

Florian Thebault
13. Dezember 2022
Teilen Sie
LinkedIn LogoX-Logo

Im Bereich der Überwachung und des IT-Schutzes sind traditionell 4 Lösungsfamilien auf dem Markt, die die beste Servicequalität garantieren sollen: Firewall, Network Intrusion Detection System (NIDS), Network Intrusion Prevention System (NIPS) und Netzwerküberwachungstools. Die ersten drei sind besonders sicherheitsorientiert, während die letzte Familie über diesen einfachen Rahmen hinausgeht und sich mit Themen wie der Qualitätskontrolle von Netzwerken oder der Rechnungsstellung befasst.

Die folgende Übersicht stellt 4 Familien aktueller Lösungen vor und eröffnet den Blick auf Antworten für die Zukunft.

Firewalls

Firewalls blockieren unerwünschten ein- und ausgehenden Datenverkehr und sollen so helfen:

  • Verhindern Sie grundlegende Angriffe;
  • Verhindern Sie, dass Netzwerkbenutzer auf bestimmte Websites zugreifen können;
  • Vermeiden Sie die Verwendung von Protokollen, deren Ports (normalerweise) festgelegt sind.

Firewalls sind in der Lage, große oder sogar sehr große Geschwindigkeiten(100 Gbit/s und mehr) zu bewältigen, und beschränken sich auf einfache Verarbeitungsregeln. Letztere basieren sehr oft auf einer einfachen Korrelation zwischen IP und Port, manchmal wird auch ein einfacher REGEX (d.h. regulärer Ausdruck) in den Daten (Nutzdaten) berücksichtigt. Diese Einfachheit erklärt ihren Mangel an Präzision.

Herkömmliche Firewalls nehmen keine Protokollklassifizierung vor. Einige können jedoch NIDS in sie einbetten, um die Erstellung präziserer Regeln vorzuschlagen (z. B. anstatt den gesamten Web-Feed zu blockieren, blockieren wir nur eine bestimmte Website). Die dann behandelten Datenströme sind jedoch deutlich geringer.

Zusammenfassend lässt sich sagen, dass Firewalls in der Lage sind, große Geschwindigkeiten bei geringem Platzbedarf zu bewältigen, aber nur über sehr begrenzte Schutzfunktionen verfügen. Nach heutigen Maßstäben können sie definitiv nicht viel ausrichten.

Netzwerk-Intrusion-Detection-System (NIDS)

Dieses Tool, das im Allgemeinen auf Geschwindigkeiten in der Größenordnung von_ 10 Gbit/s_ beschränkt ist, soll Netzmanager vor Ereignissen bösartigen Ursprungs warnen. Es basiert auf einer gründlicheren Analyse des Inhalts der Pakete als die Firewall. Es ist im Allgemeinen in der Lage, die von den wichtigsten Protokollen (z. B. HTTP) übermittelten Informationen zu entschlüsseln und zu nutzen.

Seine Warnungen basieren auf komplexeren und fortgeschritteneren Erkennungsregeln als die einer Firewall (meist SNORT-Regeln). Sie können sehr genau sein, wenn sie sich auf bekannte Protokollfelder stützen (z. B. das Host-Feld des HTTP-Protokolls). Sie können aber auch sehr viel allgemeiner sein und dann den Regeln einer Firewall sehr ähnlich sein. Diese Besonderheiten verleihen dem Tool eine Flexibilität und Präzision, die die Firewall nicht hat.

Zusammenfassend lässt sich sagen, dass NIDS in der Lage sind, Netzwerkmanager genauer zu warnen als eine Firewall, aber nicht in der Lage sind, unerwünschte Datenströme zu blockieren. Im Gegensatz zu Firewalls sind die von NIDS unterstützten Raten stark reduziert.

System zur Verhinderung von Netzwerkeinbrüchen (NIPS)

Dieses Tool ist nichts anderes als eine Fusion zwischen einer Firewall und einem NIDS. Es ermöglicht daher eine genauere Blockierung des Datenverkehrs als eine Firewall. Trotz dieser besonders interessanten funktionalen Eigenschaften löst NIPS nicht das Problem des geringen Durchsatzes, der von NIDS unterstützt wird.

Überwachungsinstrumente

Überwachungswerkzeuge ermöglichen eine - in der Regel verzögerte - Überwachung des Netzzustandes. Diese Werkzeuge sind in zwei Hauptfamilien erhältlich.

Die erste, so genannte spezialisierte, ist für die eingehende Untersuchung bestimmter Geschäftsprotokolle gedacht. Sie ist auf niedrige Geschwindigkeiten (1-10 Gbit/s) beschränkt und soll einen umfassenden Einblick in bestimmte Teile des Netzes geben.

Die zweite, häufigere Variante ist für eine oberflächliche Untersuchung des Netzes mittels zusammenfassender Statistiken über die betrachteten Sitzungen gedacht (wenn man Glück hat, dass man überhaupt welche erhält). Es ist in der Regel in die Netzwerkausrüstung (hauptsächlich Router) integriert und unterstützt höhere Geschwindigkeiten (bis zu 100 Gbit/s). Die meisten sind jedoch proprietär. Allerdings kann es bei Bedarf eine kurze Stichprobe der über das Netzwerk laufenden Pakete (in der Größenordnung von einem von 10.000 Paketen) machen, um Ihnen etwas mehr Informationen zu geben.

Zusammenfassend lässt sich sagen, dass Überwachungswerkzeuge je nach ihrer Familie einen (gerade noch) feinen, aber partiellen Überblick über das Netz oder einen Überblick, aber nicht sehr detailliert, liefern können.

Ein gemeinsamer Motor: Protokollanalyse

Die zuvor besprochenen Tools müssen alle Informationen aus Kommunikationsprotokollen identifizieren und extrahieren. Es gibt verschiedene Möglichkeiten, diese Analyse durchzuführen: Sie kann kurz und schnell sein wie bei Firewalls oder genauer und langsamer wie bei NIDS.

Die Kurzanalyse stützt sich ausschließlich auf die Ports, um die Protokolle zu "identifizieren", was viele falsche Erkennungen zur Folge hat. Die Tiefenanalyse hingegen taucht in den Kern der Pakete ein, um die Signaturen der Protokolle zu erkennen, was theoretisch ein sehr hohes Maß an Sicherheit bietet.

Darüber hinaus beinhaltet diese tiefgehende Analyse viele Rechenoperationen, was den unterstützten Durchsatz begrenzt. Um einen angemessenen Datenfluss zu gewährleisten, verschließt es außerdem absichtlich die Augen vor der zunehmenden Komplexität der Netze und beschränkt sich auf den Beginn der Analyse ab Schicht 3 (Nichtverwaltung von Tunneln).

Zusammenfassend lässt sich sagen, dass die Protokollanalyse für die Netzüberwachung unabdingbar ist. Es ist auch unbestreitbar, dass die Zuverlässigkeit der derzeitigen Lösungen durch die explosionsartige Zunahme der Datenströme und die zunehmende Komplexität der Netze beeinträchtigt wird.

NANO Corp: Lösungen der nächsten Generation für die Überwachung Ihrer Netzwerke

Mit der revolutionären Protokollanalysetechnologie ergänzen und verbessern die Lösungen von NANO Corp die vorhandenen Tools in Ihren Systemen.

Florian Thebault
13. Dezember 2022
Teilen Sie
LinkedIn LogoX-Logo

Sind Sie bereit, die vollständige Netzwerktransparenz von
freizuschalten?

Sprechen Sie mit unsBuchen Sie eine Demo ->

Weitere Blogbeiträge

Zum Blog gehen

NANO Corp. tritt dem DeepTech Club bei

März 24, 2022
Lesen Sie mehr ->

Überwachung: die Grundlage für die Beobachtbarkeit der Cybersicherheit

15. Juni 2023
Lesen Sie mehr ->

Bandbreitenexplosion: Welche Leistung wird für die Überwachung der Netze von morgen benötigt?

November 22, 2022
Lesen Sie mehr ->
Sie haben sich erfolgreich für den Newsletter angemeldet.
Ups! Etwas ist schief gelaufen, bitte versuchen Sie es erneut.
Wenn Sie den Newsletter abonnieren, erklären Sie sich damit einverstanden, die neuesten Unternehmensnachrichten von NANO Corp. zu erhalten. Lesen Sie die Datenschutzrichtlinie.
Plattform
Deep Network BeobachtungKI-gesteuerter intelligenter AlarmLive-ForensikIntegrationenSIEM/SOAR-RationalisierungIDS-ErsatzErkennung von OT-BedrohungenVollständige NetzwerktransparenzAutomatisierte Paketerfassung
Ressourcen
BlogDokumentationRechner für die Kosten von AusfallzeitenTechnische BlätterDatenschutzbestimmungenBedingungen der Dienstleistung
Unternehmen
ÜberKarriereKontaktVeranstaltungenPresse
LinkedIn LogoX-LogoYoutube-Logo
Urheberrecht © 2024 NANO Corp.