Blogpost

Warum sollte man sein Flussnetz registrieren?

Erfahren Sie, wie Sie die Probleme von PCAP in komplexen Umgebungen mit hohem Gefälle überwinden können, und sehen Sie, wie effizient unsere Lösung n.Rewind für die Analyse von Flüssigkeitsströmen ist.

Florian Thebault
6. Oktober 2022
Teilen Sie
LinkedIn LogoX-Logo

PCAP oder es hat nicht stattgefunden

L'acte reflexe du cyber combattant.

PCAP (für Packet CAPture, das bekannteste Format für die Aufzeichnung von Daten im Netz) ist ein wichtiges Verfahren sowohl für Netzadministratoren als auch für Cybersicherheitsspezialisten.

Eine PCAP-Datei ist eine Registrierung in einem Zweifachformat (mit einem Overhead von ca. 20 bis 30 % im Vergleich zum Originalfluss). Sie bietet eine vollständige Sichtbarkeit der abgelaufenen Ereignisse. Sie ermöglicht es, vollständige Momentaufnahmen des Netzes zu erstellen und diese zu analysieren.

Das ist das Replay Ihres Netzwerks. Beleben Sie Ihre Lieblingsepisoden wie die DDOS-Episode oder die Ransomware-Episode oder auch den DHCP-Prozess. Hier stellt sich die Herausforderung Nr. 1: Wie kann man die Erfassung in der richtigen Zeit durchführen?

Un PCAP pour quoi faire ?

Tout ou presque.

Ein PCAP dient als Grundlage für die Analyse und Kontrolle des Zustands des Netzes (z. B. ICMP-Flood oder Verzögerung bei TCP-Sitzungen), aber auch für die Erkennung von Anomalien und bösartigen Aktivitäten. Das PCAP ermöglicht es, den Ursprung des Problems, das man im Netz identifizieren möchte, zu ermitteln.

Überwachung der Quelle oder des Ziels des Datenverkehrs, Identifizierung der Daten von "Anwendungen" und Geräten, Ermittlung des Ursprungs und der Ursachen von Funktionsstörungen (die auch Anzeichen für eine Gefährdung sein können), usw..

Insgesamt lassen sich 4 große Kategorien für die Verwendung von Paquets unterscheiden:

  • Identifizierung von Staupunkten: Durch die Erfassung ist es möglich, den Verkehr aller Paquets zu beobachten, was bei der Identifizierung von Staupunkten helfen kann.
  • Dépanner (oder Fehlersuche): Die Größe eines PCAP (d.h. die Tatsache, dass alle Felder vorhanden sind) ist die ideale Lösung (auch wenn sie sehr zeitaufwändig ist), um ein Problem und seine Ursache genau zu identifizieren.
  • Explorer: PCAP ist ein wesentliches Element der Forensik und oft unverzichtbar, um das Vorhandensein von Malware zu erkennen oder zu bestätigen, schädliche Verhaltensweisen zu erkennen und Sicherheitslücken zu schließen.
  • Behalten Sie einen Hinweis bei : Der PCAP ermöglicht es, ein kohärentes, vollständiges und verteilbares Ensemble eines Ereignisses im Netzwerk zu teilen.

Um nützlich zu sein, muss ein PCAP zum einen die Integrität des Ereignisses bewahren, zum anderen aber auch verwertbar bleiben (Zeit für die Erkundung/ Zeit für die Aufzeichnung), außerdem muss es groß und vollständig sein und Zeit für die Isolierung interessanter Elemente haben. Damit sind wir bei der Herausforderung Nr. 2 angelangt: Wie mache ich eine Aufnahme, die sichtbar ist?

Un PCAP c'est facile?

Enfantin.

Aber nur, wenn Sie sich in der Cloud oder in hybriden oder hochpreisigen Umgebungen befinden, unter dem Vorbehalt einer anspruchsvollen SLA oder unter dem Einfluss eines Anschlags.

Ein Analyst der Stufe 2 eines SOC trägt zur Beseitigung von Cyberangriffen bei, indem er Daten über die Mitarbeiter und das Netzwerk sammelt, um eine genauere Analyse durchzuführen, und geeignete Sicherheitsmaßnahmen gemäß dem Plan zur Reaktion auf Vorfälle festlegt. Die wichtigsten Schwierigkeiten, mit denen er konfrontiert wird, sind:

  • Fehlende oder unvollständige oder unvollständige Informationen über das, was vor und nach dem Cybervorfall geschehen ist
  • Selbst wenn forensische Daten zur Verfügung stehen, können sie sehr umfangreich, teuer in der Lagerung und extrem langwierig in der Erkundung und Analyse sein.
  • Es kann sich als schwierig erweisen, eine sinnvolle Erfassung durchzuführen und ein Gerät zur Analyse der Paquets an ein anderes weiterzugeben.

Vous l'aurez compris, challenge n°3 : comment faire une capture dans le feu de l'action ?

Die Größe, ist das in Ordnung?

Oui, oui! Mais l'usage aussi!

Wenn Sie eine Erfassung innerhalb des Netzwerks durchführen möchten, übersteigt die Größe der PCAP oft die Kapazitäten der für die Nutzung verwendeten Geräte. Darüber hinaus ist es schwierig, vollständige Gespräche (oder Sitzungen) zu erfassen, da Ihr Erfassungsgerät nicht ausreichend leistungsfähig ist. Aus diesem Grund empfehlen wir Ihnen, den Stream-to-Disk-Wert zu berücksichtigen, eine Kennzahl, die in Umgebungen, in denen die Datenübertragungsraten 10 Gbit/s überschreiten, besonders wichtig ist. Es kommt nicht selten vor, dass die Erfassungsgeräte bei hohen Datenübertragungsraten eine Leistung erbringen, die sie nur in einem Sekundenbereich halten können. Eine Einschränkung, die manche nicht für möglich halten und die als "Microburst" bezeichnet wird.

Umgekehrt ist die Sichtbarkeit stark eingeschränkt, wenn die Erfassung auf der Peripherie des Netzes erfolgt. Und wir können die Erkennung eines DDoS oder einer Malware einschätzen.

Das Zusammentreffen dieser Zwänge führte zu einem kurzen Zitat, das wir bei einigen unserer Interessenten häufig hören: "Ich muss zwei bis drei Stunden warten, um das zu bekommen, was ich suche", was die Notwendigkeit der "Rückbesinnung auf die Kleinsten", wie es unsere Experten ausdrücken, sehr gut unterstreicht.

Dieses aktuelle Problem wird sich in dem Maße wiederholen, in dem die Datenmengen der Unternehmensnetze zunehmen. Wireshark ist bereits nicht mehr in der Lage, Datenströme von 1Gbit/s ohne Verlust von Datenvolumen aufzuzeichnen. Einige FAI bieten jedoch bereits Kundenangebote mit 2,5 Gbit/s und andere mit 8 Gbit/s an (selbst wenn ihr Angebot mit 10 Gbit/s vermarktet wird). Die Datenzentren gehen von 40Gbit/s zu 100Gbit/s über, und es ist geplant, am Ende dieses Jahrzehnts 400Gbit/s zu erreichen. Die Erfassung von Paketen in diesen Umgebungen ist nur möglich, wenn man sich mit den aktuellen Geräten und Materialien zufrieden gibt.

Du coup, challenge n°4 : comment retrouver ses petits dans les gros PCAP?

Einführung von n.Rewind

Die intelligente Erfassung von Paquets

Wie bereits erwähnt, steht der Cyber-Bekämpfer vor 4 Herausforderungen, die seine Fähigkeit, eine nützliche Spur zu finden, einschränken:

  • challenge n°1 : comment faire la capture à temps.
  • challenge n°2 : comment faire une capture ciblée.
  • challenge n°3 : comment faire une capture dans le feu de l'action.
  • challenge n°4 : comment retrouver ses petits dans les gros PCAP.Ces challenges sont renforcés par l'évolution constante des réseaux (core to edge, edge to cloud, edge to edge), par l'hybridisation et l'accélération des débits. RIP tcpdump.

n.Rewind ist ein parametrisierbares Aufnahmeprogramm, das wir entwickelt haben, um auf die oben genannten Herausforderungen zu reagieren. Sie ermöglicht eine vollständige oder gefilterte, automatische Aufnahme mit einem Puffer, damit Sie sicher sein können, dass Sie den Anfang der Sendung nicht wiederholen müssen.

Um dies zu erreichen, haben wir uns von einem weißen Blatt getrennt und festgestellt, dass nur unsere Sonden-Technologie in der Lage ist, eine neue Antwort auf dieses aktuelle Problemfeld zu geben. L'application de notre technologie de sonde sur la capture nous a permis de :

  • Nutzen Sie einen Puffer (dessen Größe vom Arbeitsspeicher abhängt, den Sie zur Verfügung stellen), der es Ihnen ermöglicht, eine Aufzeichnung mit den "Netzmomenten" zu speichern, die der Enttarnung vorausgegangen sind, was für Cyber-Sicherheitsanalysten, die den Anschlagsweg oder die für eine Aktivität typischen Zeichen erfassen wollen, von großem Nutzen ist.
  • Effectuer des déclenchements automatiques sur filtres ou sur API.
  • Filtern am laufenden Band, d.h. im Herzen eines Netzwerks mit 100 Gbit/s. Mit einem Filtersystem, das wesentlich vollständiger und nützlicher ist als das 5-Tupel und das einige komplexe Protokollkomponenten wie Tunneling, mehrere VLANs, MPLS usw. berücksichtigt. Eine sehr wirksame Methode, um einen größeren PCAP zu erhalten, wenn man genau weiß, was man in den großen Mengen sucht. Genauso wie unsere vorherige Erfahrung, mehrere Stunden lang mit Wireshark Erfassungen auf mehreren 1G-Routen zu machen und anschließend mehrere Stunden lang zu sehen, was wir suchen, ist nicht unbedingt ein Vergnügen.
  • Filtrer en aval, was den gleichen Nutzen hat, aber von großem Interesse ist, wenn man nicht genau weiß, was man in seinem Fluss sucht. Der Vorteil unserer Lösung besteht darin, dass Sie sie mit einem Raspberry Pi für 1G oder einem Celeron für 10G nutzen können.
  • Erledigen Sie alle Aufgaben, auch die anspruchsvollsten, mit einer einfachen logischen Lösung. Dabei ist es wichtig, dass Sie die Lösung überall in Ihrer IT-Infrastruktur einsetzen können. In unserer bisherigen Laufbahn haben wir 3 Stunden in einem Rechenzentrum verbracht, um eine Vielzahl von Punkten zu erfassen, bevor wir denjenigen gefunden haben, der uns wirklich interessierte, Wir sind auf der Suche nach einer Lösung, die mit wenigen Klicks und Befehlen überall in unserer Infrastruktur aus der Ferne eingesetzt werden kann, ohne dass wir gezwungen sind, den Fluss umzuleiten oder TAPs zu installieren.

Es wurde entwickelt, um die Probleme der SOC-Analysten oder der CERT/CSIRT-Experten zu lösen. Die täglichen Analysen dieser Aufzeichnungen ermöglichen es, die Ereignisse in den Netzwerken anhand vollständiger und kodierter Spuren zu kontrollieren und detailliert zu untersuchen. So lässt sich ein transparentes und sicheres Netzwerk gewährleisten und die Risiken in privaten, öffentlichen oder hybriden Cloud-Umgebungen verringern.

Die von n.Rewind erstellten Aufzeichnungen sind dafür gedacht, die komplexesten Datenströme im Rechenzentrum zu erfassen und die höchsten Datenmengen zu überwachen. Sie tragen zur täglichen Verwaltung aller Arten von Netzwerken bei und ermöglichen es, Anomalien und Fehlfunktionen so schnell wie möglich zu erkennen.

Florian Thebault
6. Oktober 2022
Teilen Sie
LinkedIn LogoX-Logo

Möchten Sie
die vollständige Sichtbarkeit Ihres Netzwerks freigeben?

Kontaktieren Sie unsRéservez votre démo ->

Weitere Blogbeiträge

Zum Blog gehen

Einige unserer Einschränkungen mit DPDK

Oktober 11, 2022
Lesen Sie mehr ->

Die konzessionsfreie Überwachung des 100-Gbit/s-Flusses

Juni 17, 2021
Lesen Sie mehr ->

Cybersécurité, la bande passante ne signifie pas ce que vous pensez !

1. März 2024
Lesen Sie mehr ->
Sie haben sich erfolgreich für den Newsletter angemeldet.
Oups! Une erreur s'est produite, veuillez réessayer.
Wenn Sie sich für den Newsletter anmelden, erklären Sie sich damit einverstanden, die neuesten Nachrichten der NANO Corp. zu erhalten. Lire la Politique de confidentialité.
Plattform
Deep Network BeobachtungKI-gesteuerte intelligente AlarmeLive-ForensikIntégrationsRationalisierung SIEM/SOARErsetzung von IDSAbwehr von Bedrohungen OTVollständige Sichtbarkeit des NetzesAutomatisches Erfassen von Paquets
Ressourcen
BlogDokumentationCalculateur du coût des temps d'arrêtFiches-TechnikenPolitik der VertraulichkeitAllgemeine Benutzungsbedingungen
Das Unternehmen
À proposKarrierenWir nehmen Kontakt aufVeranstaltungenPresse
LinkedIn LogoX-LogoYoutube-Logo
Alle Rechte vorbehalten © 2024 NANO Corp.