Blogpost

Supervision des réseaux : quels choix d'équipement s'offrent à vous ?

Lesen Sie hier unseren Standpunkt zu einer unserer grundlegenden Werte. Betrachten Sie diesen Artikel als das Grundgerüst, das die Gründung der NANO Corp inspiriert hat und das wir gerne mit Ihnen teilen möchten!

Florian Thebault
13. Dezember 2022
Teilen Sie
LinkedIn LogoX-Logo

Im Bereich der Überwachung und des Schutzes der Datenverarbeitung sind 4 Lösungsfamilien zur Gewährleistung einer hohen Servicequalität auf dem Markt vertreten: Firewall, Netzwerk-Intrusion-Detection-System (NIDS), Netzwerk-Eindringungsschutzsystem (NIPS) und Überwachungsinstrumente. Die ersten drei sind vor allem auf die Sicherheit ausgerichtet, während die letzte es ermöglicht, diesen einfachen Rahmen zu verlassen, um sich in andere Bereiche wie die Kontrolle der Netzqualität oder die Abrechnung einzuarbeiten.

Das entsprechende Panorama präsentiert 4 aktuelle Lösungsansätze und eröffnet eine Perspektive für künftige Antworten.

Firewall

Die Firewalls blockieren den unerwünschten Eingangs- und Ausgangsverkehr und sind für folgende Zwecke bestimmt:

  • Vorbeugung von Anschlägen auf den Grundbesitz ;
  • Empêcher les usagers du réseau d'accéder à certains sites ;
  • Vermeiden Sie die Verwendung von Protokollen, bei denen die Ports (im Allgemeinen) fest sind.

Die Firewalls können zwar große, ja sogar sehr große Datenmengen(100 Gbit/s und mehr) übertragen, sind aber auf einfache Regeln zur Datenverarbeitung beschränkt. Diese basieren häufig auf einer einfachen Korrelation zwischen IP und Port, manchmal wird auch ein einfacher REGEX (d.h. ein regelmäßiger Ausdruck) in der Datei (Payload) berücksichtigt. Diese Einfachheit verdeutlicht die mangelnde Genauigkeit der Daten.

Herkömmliche Firewalls verfügen nicht über eine protokollarische Klassifizierung. Dennoch können einige Firewalls NIDS in ihr System einbinden, um die Erstellung präziserer Regeln vorzuschlagen (z. B. statt den gesamten Webfluss zu blockieren, wird nur eine bestimmte Website blockiert). Allerdings sind die bereits gehandhabten Vorwürfe deutlich geringer.

Zusammenfassend lässt sich sagen, dass Firewalls in der Lage sind, mit geringem Aufwand, aber mit eingeschränkter Schutzfunktionalität, große Gefahren zu bewältigen.

Netzwerk-Intrusion-Detection-System (NIDS)

Dieses Gerät, das in der Regel auf Datenübertragungen in der Größenordnung von 10 Gbit/s beschränkt ist, soll die Netzbetreiber vor schädlichen Ereignissen schützen. Es beruht auf einer genaueren Analyse des Paketinhalts als die der Firewall. Sie ist in der Regel in der Lage, die von den großen Protokollen (z. B. HTTP) übermittelten Informationen zu dekodieren und zu verwerten.

Die Warnungen beruhen auf komplexeren und umfangreicheren Erkennungsregeln als die einer Firewall (hauptsächlich SNORT-Regeln). Sie können sehr präzise sein, wenn sie auf bekannte Protokolle angewendet werden (z. B. auf den Host des HTTP-Protokolls). Sie können aber auch sehr viel allgemeiner sein und ähneln sehr stark denen einer Firewall. Diese Besonderheiten verleihen dem Gerät eine Flexibilität und Präzision, über die eine Firewall nicht verfügt.

Zusammenfassend lässt sich sagen, dass die NIDS in der Lage sind, die Netzbetreiber auf präzisere Weise als eine Firewall abzuwehren, aber nicht in der Lage sind, den unerwünschten Datenfluss zu blockieren. Im Gegensatz zu Firewalls sind die von den NIDS unterstützten Angriffe stark eingeschränkt.

System zur Verhinderung von Netzwerkeinbrüchen (NIPS)

Dieses Tool ist nichts anderes als eine Verschmelzung zwischen einer Firewall und einem NIDS. Es ermöglicht daher, den Datenverkehr auf präzisere Weise zu blockieren als eine Firewall. Trotz dieser besonders interessanten Funktionsmerkmale lösen die NIPS nicht das Problem des geringen Datenvolumens, das von den NIDS unterstützt wird.

Hilfsmittel zur Überwachung

Die Überwachungsinstrumente ermöglichen eine zeitlich gestaffelte Überwachung des Netzzustands. Diese Hilfsmittel werden in zwei große Gruppen eingeteilt.

Die erste, so genannte spezialisierte Variante, ist für die Untersuchung spezieller technischer Protokolle gedacht. Sie ist auf kleine Datenübertragungsraten (1-10 Gbit/s) beschränkt und soll einen umfassenden Überblick über bestimmte Bereiche des Netzes bieten.

Die zweite, allgemeinere Variante wird für eine globale Untersuchung des Netzes mit Hilfe von statistischen Daten über die einzelnen Sitzungen verwendet. Sie ist in der Regel in die Netzausrüstungen (vor allem in die Router) integriert und unterstützt höhere Übertragungsraten (bis zu 100 Gbit/s). Darüber hinaus kann sie bei Bedarf eine kurze Übertragung von Paketen über das Netz durchführen (in der Größenordnung von einem Paket pro 10 000).

Zusammenfassend lässt sich sagen, dass die Überwachungsgeräte je nach ihrer Art in der Lage sind, ein feines, aber teilweises Bild des Netzes oder ein Gesamtbild zu liefern, das jedoch nur geringfügig verändert werden kann.

Ein gemeinsamer Motor: die Analyse von Protokollen

Die oben erwähnten Hilfsmittel müssen alle Informationen über Kommunikationsprotokolle identifizieren und extrahieren. Es gibt verschiedene Möglichkeiten, diese Analyse durchzuführen: Sie kann kurz und schnell sein, wie bei Firewalls, oder präziser und umfangreicher, wie bei NIDS.

Die Kurzanalyse stützt sich ausschließlich auf die Ports, um die Protokolle zu "identifizieren", was eine Vielzahl von Abbrüchen zur Folge hat. Die ausführliche Analyse stützt sich auf die Ports, um die Signaturen der Protokolle zu ermitteln, was theoretisch ein sehr hohes Maß an Vertrauen bietet.

Außerdem impliziert diese tiefgreifende Analyse eine Vielzahl von Rechenoperationen, die den unterstützten Betrag begrenzen. Darüber hinaus werden die Augen angesichts der hohen Komplexität der Netze leicht geöffnet, um eine gute Ausgangsbasis zu gewährleisten, und die Analyse beginnt in der Phase 3 (ohne Tunnelbetrieb).

Zusammenfassend ist unbestreitbar, dass die Analyse von Protokollen für die Netzüberwachung unerlässlich ist. Es ist auch unbestreitbar, dass die Zuverlässigkeit aktueller Lösungen durch die Explosion der Datenmengen und die Komplexität der Netze beeinträchtigt wird.

NANO Corp : Lösungen der neuesten Generation für die Überwachung von Netzwerken

Dank einer revolutionären Technologie zur Analyse von Protokollen können die Lösungen von NANO Corp die in Ihren Systemen vorhandenen Instrumente ergänzen und verbessern.

Florian Thebault
13. Dezember 2022
Teilen Sie
LinkedIn LogoX-Logo

Möchten Sie
die vollständige Sichtbarkeit Ihres Netzwerks freigeben?

Kontaktieren Sie unsRéservez votre démo ->

Weitere Blogbeiträge

Zum Blog gehen

JO 2024: Cybersicherheit auf den ersten Plätzen

5. Mai 2023
Lesen Sie mehr ->

EDR: Im Schatten des Buzz

27. September 2022
Lesen Sie mehr ->

Einige unserer Einschränkungen mit DPDK

Oktober 11, 2022
Lesen Sie mehr ->
Sie haben sich erfolgreich für den Newsletter angemeldet.
Oups! Une erreur s'est produite, veuillez réessayer.
Wenn Sie sich für den Newsletter anmelden, erklären Sie sich damit einverstanden, die neuesten Nachrichten der NANO Corp. zu erhalten. Lire la Politique de confidentialité.
Plattform
Deep Network BeobachtungKI-gesteuerte intelligente AlarmeLive-ForensikIntégrationsRationalisierung SIEM/SOARErsetzung von IDSAbwehr von Bedrohungen OTVollständige Sichtbarkeit des NetzesAutomatisches Erfassen von Paquets
Ressourcen
BlogDokumentationCalculateur du coût des temps d'arrêtFiches-TechnikenPolitik der VertraulichkeitAllgemeine Benutzungsbedingungen
Das Unternehmen
À proposKarrierenWir nehmen Kontakt aufVeranstaltungenPresse
LinkedIn LogoX-LogoYoutube-Logo
Alle Rechte vorbehalten © 2024 NANO Corp.