Analyse av nettverksutstyr: revisjon, trafikk og sikkerhet

Universelt eventyr » Informasjon » Analyse av nettverksutstyr: revisjon, trafikk og sikkerhet

Et selskaps nettverk har blitt nervesystemet til hele virksomhetenHvis den feiler, stopper produksjonen, tilgangen til kritiske applikasjoner kuttes, og risikoen for en alvorlig sikkerhetshendelse, som for eksempel følgende, øker betydelig: cyberangrep i SpaniaDet er ikke lenger nok å ha utstyret slått på og «surfe»; det er nødvendig å vite hva som egentlig skjer gjennom kablene og Wi-Fi-en, hvem som kobler seg til, hvordan infrastrukturen fungerer og hvilke dører som er åpne for potensielle angripere.

En god analyse av nettverksutstyr kombinerer revisjon, overvåking og sikkerhetsgjennomgang. for å svare på viktige spørsmål: Er nettverket riktig dimensjonert? Finnes det utdaterte enheter som reduserer ytelsen? Finnes det sikkerhetshull? datavirus Eller dårlig implementerte protokoller? Hvilken trafikk går inn og ut av Internett, og til hvilke destinasjoner? Gjennom denne artikkelen vil vi i detalj gå gjennom hvordan denne analysen går frem og hvilke verktøy og teknikker som brukes i både bedrifts- og industrimiljøer.

Hvorfor er det så viktig å analysere og revidere nettverket

Nettverksrevisjoner lar deg vite "helsestatusen" til infrastrukturen og forutse problemer før de forårsaker et omfattende strømbrudd eller et sikkerhetsbrudd. Disse analysene kan oppdage feilkonfigurasjoner, ytelsesflaskehalser, utstyr som ikke støttes, sårbarheter, interne og eksterne trusler, eller til og med misdannede rammer som kan destabilisere sluttsystemer.

I bedriftsnettverk er det vanlige fokuset på internettilgang.Fordi det vanligvis er den mest belastede og kritiske lenken i hele organisasjonen, kan dårlig båndbreddehåndtering eller et eksternt angrep føre til at hele arbeidsstyrken er uten tjeneste. I industrielle nettverk er imidlertid utfordringen annerledes: antallet proprietære eller dårlig dokumenterte protokoller nødvendiggjør ofte bruk av spesialiserte analysatorer som er i stand til å forstå hver ramme og validere implementeringen av den.

Utover å løse spesifikke problemerOrganisasjoner tyr til nettverksanalyse og -revisjon når de trenger å gjøre en oversikt over hva de faktisk har implementert, forberede seg på en større infrastrukturoppgradering, oppfylle regulatoriske krav (f.eks. PCI DSS i finanssektoren), eller rett og slett sørge for at nettverket forblir i samsvar med gjeldende forretningsbehov.

Disse revisjonene er ikke begrenset til sikkerhetDe gjennomgår også tilgjengelighet, ytelse, tjenestekvalitet, overvåkingsprosesser, tilgangskontroller og administrasjon, slik at en formell rapport kan utstedes med sårbarheter, risikoer og klare anbefalinger for ledelsen og det tekniske teamet.

Fullstendig revisjon av nettverk og IT-infrastruktur

Den første delen av analysen innebærer en grundig gjennomgang av hele IT-infrastrukturen.servere (inkludert hvordan sette opp en hjemmeserverDette inkluderer svitsjer, rutere, brannmurer, trådløse tilgangspunkter, strømforsyningssystemer, strukturert kabling, sluttenheter og, i industrielle miljøer, kontroll- og automatiseringsutstyr. Målet er å bekrefte at all maskinvare er riktig dokumentert, støttet av produsenten og i optimal driftstilstand.

I denne fasen blir det vanligvis utarbeidet en svært detaljert inventarliste. Denne databasen registrerer modeller, fastvareversjoner, enhetsfunksjoner, tilgjengelige grensesnitt, installerte moduler, kompatibilitet med administrasjonsprotokoller (SNMP, NetFlow, sFlow osv.) og milepældatoer i livssyklusen (slutt på salg, slutt på støtte, slutt på levetid). Dette arbeidet kan gjøres manuelt eller med spesifikke revisjonsverktøy som automatiserer mye av oppdagelsesprosessen.

Revisjoner av IT-infrastruktur stopper ikke bare ved det fysiske lageretDe evaluerer også hvor godt interne kontroller, nettverkssegregering, mekanismer for høy tilgjengelighet, konfigurasjonsstandardisering og IT-styring er utformet. Tanken er å bekrefte om beste praksis faktisk følges, eller om det har samlet seg opp «oppdateringer» over tid.

En godt planlagt infrastrukturvurdering bidrar til å dimensjonere og beskytte nettverket bedreDet forbedrer skalerbarheten, øker stabiliteten, reduserer nedetid og får mer ut av eksisterende teknologi. Dette inkluderer blant annet proaktiv og progressiv overvåking, forebyggende mekanismer for å oppnå høy tilgjengelighet, ressursoptimalisering og konsolidering, og større driftsmessig synlighet.

Parallelt fokuserer IT-sikringstjenester på å beskytte informasjon Stolt på de fem sikkerhetspilarene: integritet, tilgjengelighet, autentisering, konfidensialitet og uavviselighet. Dette involverer interne og eksterne infrastrukturrevisjoner, sertifiseringstjenester, analyse av forretningsrobusthet og gjennomgang av retningslinjer for personvern og databeskyttelse.

Server- og kommunikasjonsrommet: nettverkets fysiske hjerte

Server- og kommunikasjonsrommet huser de kritiske elementene i nettverketFysiske servere, perimeterbrannmurer, hovedrutere, kjernesvitsjer, patchpaneler og i mange tilfeller lagrings- og virtualiseringsutstyr. Enhver seriøs analyse av nettverksutstyr må vie dette området spesiell oppmerksomhet.

Fysiske aspekter er like viktige som logiske.Omgivelsestemperatur, renslighet og støvansamling på utstyret, riktig organisering av kabling i stativene, merking av porter og kabler, tilstrekkelig separasjon mellom strømforsyning og data, samt fysisk tilgang til rommet (kontroll av nøkler, kort, kameraer, inn- og utgangslogger) kontrolleres.

Ruteren som sørger for den primære internettforbindelsen fortjener en detaljert analyseDet bekreftes at forbindelsen som tilbys av leverandøren er stabil, sikker og har tilstrekkelig kapasitet, at maskinvaren har Gigabit Ethernet-porter eller høyere, at den støtter nødvendige overvåkingsprotokoller, og at retningslinjene for tjenestekvalitet og båndbreddekontroll er godt definert.

Tilstanden til kablene som går inn og ut av rommet kontrolleres også.sørge for at kategorien (5e, 6 eller høyere) er i samsvar med de nødvendige hastighetene, at termineringene på RJ45-paneler og -kontakter er korrekte, og at det ikke finnes skjøter eller "provisoriske" tilkoblinger som kan begrense overføringskapasiteten eller generere koblingsfeil.

Til slutt gjennomgås hjelpesystemer som UPS-er, klimaanlegg og sensorer.En UPS i riktig størrelse lar servere og kommunikasjonssystemer forbli aktive lenge nok til å utføre organiserte sikkerhetskopier og slå av utstyr uten risiko for dataødeleggelse. Kjøling og miljøovervåking er nøkkelen til å forlenge maskinvarens levetid og forhindre uventet nedetid.

Koblings-, tilgangs- og kablingsutstyr

Svitsjer er ansvarlige for å distribuere trafikk intelligent blant alle enheter som er koblet til via Ethernet. Under analysen vurderes det om svitsjekapasiteten, antall porter og hastigheten (Fast Ethernet, Gigabit, 10 GbE) er tilstrekkelig for nåværende og fremtidig belastning, og om foreldet elektronikk begrenser nettverkets generelle ytelse.

Det er relativt vanlig å finne gamle brytere. Disse enhetene, som ikke når 1000 Mbps, fungerer som flaskehalser på viktige punkter og hindrer kommunikasjonen mellom servere, lagring og arbeidsstasjoner. Deteksjon og utskifting av disse enhetene har en umiddelbar innvirkning på ytelsen som oppfattes av brukerne.

Trådløse tilgangspunkter (AP-er) er også en viktig del av analysen.Plasseringen deres kontrolleres for å sikre homogen dekning, det verifiseres at de er koblet til nettverkskontakter som kan støtte nødvendig båndbredde, at de har tilstrekkelig strøm (PoE når det er aktuelt) og at sikkerhetskonfigurasjonen deres (WPA2/WPA3, VLAN-er, klientisolering) er korrekt.

Typen og kvaliteten på strukturert kabling har stor innvirkning på ytelsenDet anbefales å bruke minst kategori 5e eller 6-kabling, eller høyere, i nye installasjoner for å pålitelig støtte gigabithastigheter eller til og med 10 gigabithastigheter over korte avstander. I tillegg til kategorien kontrolleres kontakter, veggplater, patchkabler og riktig plassering i kabelrenner og rør.

Tilkobling og elektrisk beskyttelse kontrolleres spesifikt på serverplasseringen.Tilgjengelig plassering, Gigabit- eller høyere tilkobling til nettverkskjernen, tilkobling til redundante UPS-er og tilstrekkelig kjøling for å forhindre overoppheting. Alle disse faktorene påvirker direkte stabiliteten til tjenestene som forbrukes av brukerne.

Analyse av tilkoblede enheter og nettverkssikkerhet

Et av hovedmålene med analyse av nettverksutstyr er å vite hvem som er tilkobletGjennom nettverksskanninger, SNMP-spørringer, gjennomgang av ARP- og MAC-tabeller og oppdagelsesverktøy identifiseres alle tilstedeværende enheter: PC-er, servere, skrivere, IP-kameraer, IoT-enheter, industrielt utstyr, mobiltelefoner osv., og det kontrolleres om de er autoriserte.

Det er viktig å kontrollere hvilke enheter som får tilgang til nettverket for å minimere risikoer.Eksistensen av «fantom»- eller uoppført utstyr er ofte inngangsporten til sikkerhetsbrudd. I industrielle nettverk kan maskinvareanalysatorer til og med validere at enheter implementerer protokoller som Modbus eller DNP3 på riktig måte, noe som forhindrer uventet oppførsel.

Gjennomgangen av nettverkssikkerhet omfatter flere lagDet logiske skjemaet analyseres (segmentering i VLAN-er, demilitariserte soner, gjestenettverk), brannmurpolicyer og tilgangskontrolllister gjennomgås, passord og autentiseringsmetoder revideres, og antimalware-løsninger, IDS/IPS og sikkerhetskopieringssystemer verifiseres.

På dette tidspunktet blir sårbarhetsvurdering viktig.Basert på inventaret og innsamlede data, forsøker revisorene å «angripe» nettverket først utenfra (simulere en ekstern angriper) og deretter innenfra (forutsatt at en intern enhet er kompromittert). Målet er å kjede sammen små svakheter til de oppnår tilgang på høyt nivå og demonstrerer den virkelige effekten.

Etter utnyttelse av sårbarheter utføres det alltid en manuell verifisering. å skille falske positive fra reelle problemer, identifisere systemiske årsaker og prioritere avbøtende tiltak. Funnene samles i en ledelsesrapport, ledsaget av tekniske og forretningsmessige anbefalinger: utskifting av foreldet utstyr, konfigurasjonsendringer, innstramming av retningslinjer, opplæring av ansatte osv.

Verktøy for nettverksanalyse: programvare og maskinvare

Det finnes to hovedfamilier av verktøy for å analysere nettverkstrafikk og utstyrsoppførsel.programvarebaserte løsninger, vanligvis generiske og i stand til å tolke bredt dokumenterte protokoller, og maskinvareløsninger, mer rettet mot spesifikke miljøer (spesielt industrielle) og med støtte for svært spesifikke protokoller.

De mest kjente programvarenettverksanalysatorene er Wireshark, TCPDump og Windump.Wireshark, for eksempel, fanger opp rammer i sanntid og lar deg dissekere dem lag for lag, og viser kilde- og destinasjonsadresser, porter, protokollflagg og applikasjonsinnhold. Det er nyttig både for å diagnostisere feil og for å studere om pakker oppfyller spesifikasjonene.

Innenfor nettverksinventar og kartlegging Verktøy som SolarWinds, Open-AudIT og NetformX brukes, og de er i stand til å oppdage enheter, generere topologidiagrammer, knytte relasjoner mellom enheter og lage omfattende rapporter. Andre løsninger som Nessus og Nipper fokuserer på sikkerhetsvurdering, gjennomgang av konfigurasjoner, forslag til beste praksis og oppdagelse av sårbarheter som... skjult cyberangrep i nettlesere.

For ytelsesevaluering og detaljert trafikkanalyseI tillegg til Wireshark brukes verktøy som iperf, ntop eller NetFlow/sFlow flytanalysesystemer, som bidrar til å forstå hvem som bruker mest båndbredde, hvilke applikasjoner som genererer mest trafikk og hvordan belastningen varierer over tid.

Maskinvareanalysatorer, svært vanlige i industrielle kontrollsystemerDe inkluderer vanligvis avanserte funksjoner som en fuzzer for testing av protokollimplementeringer, et oscilloskop for å sjekke signaler og frekvenser, og elektriske panelanalysatorer. Produkter som Achilles-, Netdecoder- eller Line Eye-enheter er spesielt utviklet for å fungere med Ethernet-, serielle (RS-232, RS-485), fiber- og andre mediegrensesnitt.

Metoder for å fange opp og analysere nettverkstrafikk

For at en programvareanalysator skal kunne studere nettverkstrafikkDet er nødvendig at de aktuelle rammene når utstyret der det er installert. Dette kan oppnås på flere måter: ved å koble til en gammel hub der all trafikk gjentas på tvers av alle porter, ved å konfigurere en speilet port (SPAN) på en svitsj, eller ved å bruke spesifikke maskinvareenheter som nettverks-TAP-er.

Å bruke en speilet port på en svitsj er det vanligste alternativet i moderne nettverkSvitsjen får beskjed om å kopiere all trafikk fra én eller flere porter eller VLAN-er til en angitt port som analysatoren er koblet til. Dette muliggjør nøyaktig overvåking av hva som passerer gjennom svitsjen, men det er viktig å merke seg at overdreven trafikk kan mette den speilede porten og forårsake tapte opptak.

Nettverks-TAP-er er enheter som er designet for å sette inn et "gjennomsiktig" observasjonspunkt. mellom to nettverkssegmenter. De replikerer trafikk til analysatoren uten å forstyrre kommunikasjonen, og støtter vanligvis forskjellige fysiske medier og hastigheter. I industrielle eller forretningskritiske miljøer, der svitsjekonfigurasjoner er uønskede, er de et høyt verdsatt alternativ.

Den store forskjellen mellom programvare- og maskinvareanalysatorer Førstnevnte fokuserer primært på overvåking og analyse av opptak (selv i etterkant), mens sistnevnte legger til aktive protokolltestingsfunksjoner, måling av fysisk signal og generering av syntetisk trafikk, noe som er viktig for å validere industrielt utstyr uten å være avhengig av offentlig produsentdokumentasjon.

Uansett må bruken av analysatorer planlegges. For å unngå å påvirke produksjonen: protokollimplementeringstester eller fuzzing-kampanjer bør kjøres i laboratoriemiljøer eller når hovedsystemet ikke er i bruk, da de genererer ugyldige pakker som kan føre til at nettverket eller kontrollerne blir ustabile.

Protokoller og teknikker for å oppdage utstyr og topologi

En viktig del av analyse av nettverksutstyr er å automatisk oppdage topologien og forholdet mellom enheter. Dette oppnås ved å kombinere ulike protokoller og teknikker, som lar administrasjonsverktøy hoppe fra enhet til enhet inntil hele nettverkskartet er tegnet.

SNMP er den mest utbredte protokollen for nettverksadministrasjonKompatible enheter (rutere, svitsjer, brannmurer, skrivere osv.) inkluderer en SNMP-agent som svarer på administratorforespørsler via UDP, og unngår dermed overheaden til en TCP-tilkobling. Administrert informasjon er organisert i objektidentifikatorer (OID-er) i MIB-databaser, som lagrer tellere, grensesnitttilstander, videresendingstabeller, blekknivåer, portstatistikk og mye mer.

LLDP-protokollen (Link Layer Discovery Protocol) gir enda en grunnleggende informasjonHver enhet som støtter den annonserer med jevne mellomrom data om seg selv (enhetstype, identifikator, port) til sine direkte naboer på lag 2. Disse naboene lagrer disse dataene i sine egne MIB-er, slik at administrasjonsverktøy kan lenke naboer sammen for å rekonstruere den fysiske topologien.

Selv enkle verktøy som ping er fortsatt nyttige for oppdagelse.Ved å sende ICMP-ekkoforespørsler og sjekke hvem som svarer, er det mulig å oppdage aktive enheter på et delnett. Denne teknikken er enkel, men når den kombineres med SNMP, ARP og andre metoder, bidrar den til å fullføre inventaret.

ARP-protokollen, som er ansvarlig for å knytte IP-adresser til MAC-adresserDette utnyttes også under revisjoner. Ved å spørre ARP-hurtigbufferen til rutere og svitsjer via SNMP, kan administrasjonsprogramvare bygge sin egen database med ruter, delnett og naboer på lag 2 og lag 3, og fortsette denne rekursive prosessen til alle kjente segmenter er dekket.

Analyse av nettverkstrafikk, NetFlow og avansert synlighet

I tillegg til å fange opp individuelle pakker, er mange organisasjoner avhengige av flytanalyse. for å få en samlet oversikt over trafikken. Teknologier som NetFlow (Cisco), sFlow, J-Flow eller IPFIX eksporterer sammendrag av nettverkssamtaler til en sentral samler, som lagrer og grafisk representerer dem.

Verktøy som NetFlow Analyzer er ansvarlige for å samle inn disse flytdataene.De korrelerer disse dataene og genererer rapporter med informasjon om hvem som bruker båndbredde, hvilke applikasjoner som genererer mest trafikk, hvilke porter og protokoller som brukes, og hvordan nettverksbruken har utviklet seg over ulike perioder. De lar deg se både sanntidsdata (granularitet på ett minutt) og historiske data for timer, dager, måneder eller kvartaler.

Disse trafikkanalysesystemene tilbyr vanligvis svært omfattende dashbordhvor du med et raskt blikk kan identifisere hvilket grensesnitt, program, bruker, vert eller samtale som bruker opp ressurser. Rapporter eksporteres vanligvis i CSV- eller PDF-format, noe som er spesielt nyttig for presentasjon til toppledelsen og for å begrunne investeringer eller endringer i policyer.

Et annet interessant poeng er evnen til å oppdage unormal atferd. gjennom selve trafikkstrømmene: uvanlige topper i trafikken til bestemte porter, mønstre som minner om tjenestenektangrep, strømmer med merkelige tjenestevilkår eller misdannede pakker. Ved å klassifisere disse hendelsene kan interne eller eksterne trusler identifiseres, noe som muliggjør rask respons.

Trafikkanalysatorer blir også et viktig rettsmedisinsk verktøy i tilfelle et mulig innbrudd. Ved å bevare detaljert informasjon om hva som har skjedd på nettverket, tillater de at hendelsen rekonstrueres: hvilket utstyr som var involvert, hvilke datamengder som ble exfiltrert, og på hvilke tidspunkter de mistenkelige tilgangene skjedde.

Slik strukturerer og utfører du en nettverksrevisjon trinn for trinn

Enhver robust nettverkssikkerhetsrevisjon eller -vurdering er avhengig av tre hovedfaserPlanlegging, utførelse og etterkontroll. Å hoppe over eller minimere planleggingsfasen ender vanligvis med frustrasjon og bortkastet tid, fordi tillatelser, data eller verktøy oppdages som mangler halvveis i prosjektet.

I planleggingsfasen er omfanget nøyaktig definert.hvilke enheter som er inkludert (vanligvis rutere, svitsjer, brannmurer og sikkerhetsutstyr, arbeidsstasjoner og applikasjonsservere utelates med mindre annet er angitt), hvilke mål som forfølges (lagerbeholdning, samsvar, feilsøking, ytelsesforbedring), hvilke forskrifter som gjelder og hvilke arbeidsvinduer som vil bli brukt.

Interessentenes engasjement er også sikretUten støtte fra ledelsen og det tekniske teamet er det så godt som umulig å utføre en fullstendig nettverksrevisjon, ettersom det krever tilgangsinformasjon (SNMP, Telnet, SSH), midlertidige konfigurasjonsendringer (som å aktivere SNMP eller SPAN), og til og med datamaskiner eller bærbare datamaskiner med tilstrekkelig kapasitet til å kjøre de nødvendige verktøyene.

Verktøyvalg er et annet viktig punkt i denne fasenFor små nettverk kan man velge en mer manuell tilnærming, der man kobler til enhet for enhet, men i mellomstore og store miljøer er det vanligvis viktig å bruke automatiske oppdagelsesløsninger, konfigurasjonsanalyse, sårbarhetsskannere og trafikkanalysatorer.

Når planen er utarbeidet, starter revisjonsarbeidet.Når legitimasjonen er klargjort og verktøyet er konfigurert (SNMP-fellesskapsstrenger, Telnet/SSH-brukernavn og -passord, IP-områder eller seed-enheter), starter oppdagelsesprosessen. Avhengig av nettverkets størrelse kan denne fasen vare fra noen få timer til flere dager.

Når datainnsamlingen er fullført, starter etterrevisjonsfasen.der alle resultater analyseres i dybden: rapporter genereres, risikoer identifiseres, sårbarheter prioriteres etter konsekvens, falske positiver skilles ut og klare anbefalinger utarbeides. En del av rapporten vil fokusere på forretningsspråk (kostnader ved et strømbrudd, juridiske risikoer, innvirkning på produktivitet), og en annen del vil være rent teknisk.

Detaljerte faser i nettverkssikkerhetsvurderinger

I grundigere sikkerhetsrevisjoner Spesialister deler vanligvis arbeidet inn i flere godt differensierte tekniske faser for å sikre at ingen vinkler blir liggende ukontrollert.

Den første fasen er fotavtrykksanalyse og informasjonsinnsamlingHer opprettes en fysisk og virtuell oversikt over nettverket: maskinvare, programvare, lisenser, domenenavn, IP-områder, publiserte tjenester, ruter, sikkerhetspolicyer, overvåkingsprosesser som allerede er i drift, osv. Målet er å ha en så komplett nettverksmodell og sikkerhetsprofil som mulig.

Den andre fasen fokuserer på analyse og evaluering av sårbarheter fra et eksternt perspektiv.Ved å dra nytte av den innsamlede informasjonen, er målet å trenge inn i nettverket ved å utnytte svakheter på lavnivå som til sammen kan gi tilgang til sensitiv informasjon eller kritiske systemer.

Den tredje fasen gjentar den samme strategien, men innenfra organisasjonen.Scenariet forutsetter at en angriper allerede har fått tilgang (for eksempel via en phishing-e-post eller en infisert USB-stasjon) og forsøker å eskalere privilegier og bevege seg sidelengs. Dette tester styrken til interne forsvar og systemsegmentering.

I den fjerde fasen blir hver utnyttede sårbarhet verifisert manuelt.Dette innebærer å gjennomgå konfigurasjoner, versjoner, oppdateringer og potensielle alternative angrepsvektorer. Denne verifiseringen forhindrer at ressurser investeres i å utbedre problemer som ikke kan utnyttes, eller som har minimal innvirkning på organisasjonens spesifikke kontekst.

Til slutt utføres en omfattende sårbarhetsanalyse. å identifisere mønstre og underliggende årsaker: designfeil, mangel på retningslinjer, mangel på opplæring, utstyr som ikke støttes, fravær av regelmessig testing osv. Derfra defineres prioriterte handlingsplaner, som IT-avdelingen må implementere i samarbeid med ledelsen.

Både nettverksrevisjoner og revisjoner av IT-infrastruktur er viktige for å sikre at selskapets datasystemer er robuste, kan brukes med trygghet og tilbyr høyest mulig nivå av personvern og beskyttelse mot stadig mer sofistikerte cybertrusler.

En grundig analyse av nettverksutstyr, kombinert med kontinuerlig overvåking, gode verktøy og regelmessige gjennomganger Det utgjør forskjellen mellom en organisasjon som reagerer på problemer når det er for sent, og en som oppdager feil, angrep og flaskehalser i tide, og unngår driftsavbrudd, datatap og straffer for manglende overholdelse av regelverk.