Blogpost

Warum Sie Ihren Netzwerkverkehr aufzeichnen sollten

Erfahren Sie, wie Sie die Herausforderungen von PCAP in komplexen Hochgeschwindigkeitsumgebungen meistern und entdecken Sie die Effizienz unserer Lösung n.Rewind für eine nahtlose Netzwerkanalyse.

Florian Thebault
6. Oktober 2022
Teilen Sie
LinkedIn LogoX-Logo

**Und vor allem, warum mit unserer Lösung, n.Rewind **

PCAP oder es hat nicht stattgefunden!

Die Cyberkämpfer-Reflexkarte.

Die als PCAP (für Packet CAPture, das bekannteste Netzwerkdaten-Protokollierungsformat) bekannte Aufzeichnung des Netzwerkverkehrs ist sowohl für Netzwerkadministratoren als auch für Cybersicherheitsspezialisten gängige Praxis.

Eine PCAP-Datei ist eine Aufzeichnung im Binärformat (mit ~20-30 % Overhead im Vergleich zum ursprünglichen Stream). Sie bietet volle Transparenz über vergangene Ereignisse. Sie ermöglicht es, vollständige Momentaufnahmen des Netzes für die Analyse zu erstellen.

Mit anderen Worten, es ist Ihre Netzwerkwiederholung, schauen Sie sich Ihre Lieblingsepisoden an, wie z. B. die DDoS-Show vom Dienstag oder das _Ransomware-Special _ oder die DHCP-Störungsshow

Without a timely PCAP trace, it’s not possible to perform an efficient forensic analysis. Here arises the <u>challenge n°1: how to make the capture in time? </u>

PCAP, wozu?

Alles und jedes.

Ein PCAP dient als Grundlage für die Analyse und Überwachung des Zustands des Netzes (z. B. ICMP-Flood oder Verzögerung auf TCP-Sitzungsebene), aber auch zur Erkennung von Anomalien und bösartigen Aktivitäten. Der PCAP ermöglicht es, den Ursprung des Problems, das Sie im Netzwerk identifizieren möchten, zurückzuverfolgen.

Überwachung der Quelle oder des Ziels des Datenverkehrs, Identifizierung von Daten aus "Anwendungen" und Geräten, Erkennung des Ursprungs und der Ursachen von Störungen (die auch Indikatoren für eine Kompromittierung oder IoC sein können), usw.

Insgesamt gibt es vier Hauptkategorien für die Verwendung von Paketaufzeichnungen:

  • Identifizierung von Überlastungspunkten: Dank der Aufzeichnung ist es möglich, den Weg aller Pakete zu verfolgen, was zur Identifizierung von Überlastungspunkten beitragen kann,
  • Fehlersuche: Die Granularität des PCAP (d. h. die Verfügbarkeit aller Pakete) ist die ideale (wenn auch sehr zeitaufwändige) Lösung, um ein Problem und seine Ursache genau zu identifizieren,
  • Erkunden: Als wesentlicher Bestandteil der Forensik ist der PCAP oft unerlässlich für die Identifizierung oder Bestätigung des Vorhandenseins von Malware, die Erkennung von bösartigem Verhalten und Sicherheitslücken,
  • Beweissicherung: Mit dem PCAP können Sie eine konsistente, vollständige und verbreitungsfähige Aufzeichnung eines Netzwerkereignisses weitergeben. Um nützlich zu sein, muss ein PCAP sowohl die Aufzeichnung des gesamten Ereignisses ermöglichen als auch brauchbar bleiben (Erkundungszeit/Größe der Aufzeichnung). Je größer die Aufzeichnung ist und je vollständiger sie ist, desto mehr Zeit wird benötigt, um die interessierenden Elemente zu isolieren. Damit kommen wir zu Herausforderung Nr. 2: Wie kann man eine gezielte Erfassung erreichen?

Ist PCAP einfach zu handhaben?

Kindisch.

Es sei denn: Sie befinden sich in der Cloud oder in hybriden oder Hochgeschwindigkeitsumgebungen, unter einer anspruchsvollen SLA oder unter Beschuss. Ja, abgesehen von Ihrem normalen Tag in einem SOC ist es super einfach zu machen.

Ein Tier-2-SOC-Analyst hilft bei der Behebung von Cyberangriffen, indem er Host- und Netzwerkdaten für die weitere Analyse sammelt und geeignete Sicherheitsmaßnahmen in Übereinstimmung mit dem Incident-Response-Plan auslöst. Die wichtigsten Probleme, mit denen er konfrontiert wird, sind:

  • Keine, unvollständige oder zu viele Informationen darüber, was vor und nach dem Cybervorfall geschah
  • Selbst wenn forensische Daten verfügbar sind, können sie sehr umfangreich, teuer in der Speicherung und extrem zeitaufwändig in der manuellen Untersuchung und Analyse sein.
  • Mitten in einem Vorfall kann es kompliziert sein, eine sinnvolle Erfassung zu machen und zwischen verschiedenen Tools zur Analyse der Pakete zu wechseln.

As you can see, <u>challenge n°3: how to make a capture in the heat of the moment?</u>

Spielt die Größe eine Rolle?

Oh ja! Und auch die Verwendung!

Wenn Sie eine zentrale Erfassung durchführen möchten, übersteigt die Größe der PCAPs häufig die Möglichkeiten der zur Erfassung verwendeten Tools. Außerdem wird es schwierig sein, vollständige Gespräche (oder Sitzungen) zu erfassen, weil Ihr Erfassungstool nicht leistungsfähig genug ist. Aus diesem Grund empfehlen wir Ihnen, die Stream-to-Disk-Rate zu berücksichtigen, eine Kennzahl, die besonders in Umgebungen mit Datenübertragungsraten von mehr als 10 Gbit/s zu beachten ist. Bei hohen Bitraten ist es nicht ungewöhnlich, dass Capture-Tools eine Leistung angeben, die sie nur in einer Handvoll Sekunden erbringen können. Diese Einschränkung wird von einigen Tools gerne als "Microburst" vermarktet.

Erfolgt die Erfassung dagegen am Rande des Netzes, ist die Sichtbarkeit eingeschränkt. Und wir könnten die Erkennung eines DDoS oder von Malware verpassen.

Das Zusammentreffen dieser Zwänge hat zu einem häufigen Zitat geführt, das wir oft von einigen unserer Kunden hören: "Manchmal brauche ich zwei bis drei Tage, um in dem Auszug das zu finden, was ich suche. Dies unterstreicht das Prinzip der "Nadel im Heuhaufen". Und nein, man kann den Heuhaufen nicht verbrennen und die Asche mit einem Magneten durchsuchen, wie unser frecher Praktikant sagen würde.

Und dieses immer wiederkehrende Problem wird nicht verschwinden, wenn die Netzwerkgeschwindigkeiten in Unternehmen steigen. Wireshark ist bereits jetzt nicht in der Lage, Netzwerkströme von 1 Gbit/s ohne Paketverlust aufzuzeichnen. Aber schon jetzt bieten einige Internetanbieter ihren Kunden 2,5 Gbit/s und andere 8 Gbit/s an (auch wenn ihr Angebot mit 10 Gbit/s vermarktet wird). Datenzentren gehen von 40Gbit/s auf 100Gbit/s über, und 400Gbit/s werden voraussichtlich bis zum Ende dieses Jahrzehnts weit verbreitet sein. Die Erfassung von Datenpaketen in diesen Umgebungen ist mit den derzeitigen Tools und der Hardware nicht mehr möglich.

Therefore, <u>challenge n°4 : how do you find the needle in the PCAP haystack? </u>

Einführung von n.Rewind

Intelligente Paketerfassung

Wie bereits erwähnt, sehen sich die Sicherheitsexperten 4 Herausforderungen gegenüber, die ihre Fähigkeit einschränken, von einer nützlichen Spur zu profitieren:

  • Herausforderung 1: Wie kann man die Erfassung rechtzeitig durchführen?
  • Herausforderung 2: Wie kann man eine gezielte Erfassung vornehmen?
  • Herausforderung 3: Wie man in der Hitze des Gefechts fotografiert.
  • Herausforderung 4: Wie findet man die Nadel im Heuhaufen der PCAPs?

Diese Herausforderungen werden durch die ständige Weiterentwicklung der Netze (Core-to-Edge, Edge-to-Cloud, Edge-to-Edge), die Hybridisierung und die Beschleunigung des Durchsatzes noch verschärft. RIP tcpdump.

n.Rewind ist das anpassbare Aufzeichnungstool, das wir entwickelt haben, um alle oben genannten Herausforderungen zu meistern. Es ermöglicht eine vollständige oder gefilterte, automatisierte Aufnahme und enthält einen Puffer, um sicherzustellen, dass Sie den Beginn der Sendung nicht verpassen.

Um dies zu erreichen, begannen wir bei Null und erkannten, dass nur unsere Netzwerksonden-Technologie eine neue Antwort auf diese immer wiederkehrenden Probleme geben konnte. Die Anwendung unserer Sondentechnologie bei der Erfassung ermöglichte es uns,:

  • Nutzen Sie einen Puffer(dessen Größe vom zugewiesenen Arbeitsspeicher abhängt), mit dem Sie in der Zeit zurückgehen und die "Netzwerkmomente" aufzeichnen können, die der Auslösung vorausgehen, was für Cybersicherheitsanalysten nützlich ist, die den Angriffspfad oder schwache Signale für eine bestimmte Aktivität verstehen wollen.
  • Führen Sie automatische Erfassungen durch, die durch Filter oder APIs ausgelöst werden.
  • Upstream-Filterung, d. h. im Kernnetz bei 100 Gbit/s. Mit einer Reihe von Filtern, die viel präziser und nützlicher sind als das 5-Tupel und die einige komplexe Protokollstapelungen wie Tunneling, mehrere VLANs, MPLS usw. berücksichtigen. Ein sehr effizienter Weg, um einen leichtgewichtigen PCAP zu erhalten, wenn man genau weiß, wonach man in großen Rohren sucht. Genau wie unsere frühere Erfahrung, mehrere Tage damit zu verbringen, mehrere 1G-Netzwerke mit Wireshark zu erfassen und dann mehrere Tage damit zu verbringen, das zu finden, wonach wir gesucht haben...., macht wirklich keinen Spaß.
  • Die nachgeschaltete Filterung hat den gleichen Nutzen, ist aber von großem Interesse, wenn Sie noch nicht genau wissen, wonach Sie in Ihren Streams suchen. Der Vorteil unserer Lösung ist, dass man sie auf einem Raspberry Pi für 1G-Aufnahmen oder einem langsamen Celeron für 10G verwenden kann, und 5 bis 10 kleiner als die Konkurrenz für 100G.
  • Bewältigen Sie alle Datenraten, auch die höchsten, mit einer einfachen Softwarelösung. Dies hat den Vorteil, dass es überall in Ihrer IT-Infrastruktur eingesetzt werden kann. Nachdem wir drei Tage damit verbracht hatten, ein Rechenzentrum zu erkunden und an etwa zehn Erfassungspunkten Schnappschüsse zu machen, bevor wir denjenigen fanden, der uns wirklich interessierte, träumten wir von einer Lösung, die mit wenigen Klicks und Befehlszeilen überall in unserer Infrastruktur eingesetzt werden kann, ohne dass wir Datenströme umleiten oder TAPs installieren müssen.

Entwickelt, um die Probleme von SOC-Analysten oder CERT/CSIRT-Experten zu lösen. Die tägliche Analyse dieser Aufzeichnungen ermöglicht eine eingehende, fliegende Überwachung und Untersuchung von Netzwerkereignissen anhand vollständiger und gezielter Spuren. Dies ist für ein transparentes, sicheres Netzwerk und zur Verringerung von Cyberrisiken in privaten, öffentlichen und hybriden Cloud-Umgebungen unerlässlich.

Die von n.Rewind erstellten Aufzeichnungen wurden entwickelt, um die komplexesten Datenströme in Rechenzentren zu bewältigen und die höchsten Durchsätze zu verfolgen. Sie verbessern die Reaktionszeiten auf Vorfälle sowie die täglichen Sicherheitsabläufe in jeder Art von Netzwerk.

Möchten Sie sicher sein, dass Sie die Sendung nicht verpassen? Probieren Sie unser Replay-Tool für das Netzwerk aus.

Florian Thebault
6. Oktober 2022
Teilen Sie
LinkedIn LogoX-Logo

Sind Sie bereit, die vollständige Netzwerktransparenz von
freizuschalten?

Sprechen Sie mit unsBuchen Sie eine Demo ->

Weitere Blogbeiträge

Zum Blog gehen

FPGA neu denken: Herausforderungen bei der Zero-Trust-Netzpaketanalyse

November 10, 2022
Lesen Sie mehr ->

EDR: Jenseits des Hypes

27. September 2022
Lesen Sie mehr ->

NANO Corp. tritt dem DeepTech Club bei

März 24, 2022
Lesen Sie mehr ->
Sie haben sich erfolgreich für den Newsletter angemeldet.
Ups! Etwas ist schief gelaufen, bitte versuchen Sie es erneut.
Wenn Sie den Newsletter abonnieren, erklären Sie sich damit einverstanden, die neuesten Unternehmensnachrichten von NANO Corp. zu erhalten. Lesen Sie die Datenschutzrichtlinie.
Plattform
Deep Network BeobachtungKI-gesteuerter intelligenter AlarmLive-ForensikIntegrationenSIEM/SOAR-RationalisierungIDS-ErsatzErkennung von OT-BedrohungenVollständige NetzwerktransparenzAutomatisierte Paketerfassung
Ressourcen
BlogDokumentationRechner für die Kosten von AusfallzeitenTechnische BlätterDatenschutzbestimmungenBedingungen der Dienstleistung
Unternehmen
ÜberKarriereKontaktVeranstaltungenPresse
LinkedIn LogoX-LogoYoutube-Logo
Urheberrecht © 2024 NANO Corp.