суббота, 6 августа 2022 г.

PT Network Attack Discovery лучше всего подключать через физический TAP или virtual TAP в VmWare и KVM

Когда вы делаете пилот или внедрение Positive Technologies Network Attack Discoveryто нужно передать копию трафика в это многофункциональное устройство сетевой безопасности для анализа движками DPI, IDS, ML, TI, NTA и последующего анализа и отправки файлов из трафика в песочницу и антивирус, чтобы обнаружить направленные на вас атаки и взломанные хосты.

Если это физическая сеть, то варианты подключения

- зеркальный или SPAN порт свитча или роутера

- RSPAN/ERSPAN - тоже зеркальный порт, но трафик передается аж с других свитчей через выделенный VLAN для Remote SPAN или вообще через GRE для ERSPAN.

Если это среда виртуализации, то варианты получения трафика из гипервизора:

- promiscous mode порт в distributed switch на котором подключается виртуальный NAD и все мы понимаем, что виртуальная машина все-таки работает медленнее, чем внешний аппаратный PT NAD

- SPAN порт на свитче, на котором работают различные сервера с виртуализацией, и тогда мы не видим внутренний трафик внутри гипервизора каждой системы виртуализации, но зато мы видим трафик идущий внутри VXLAN или GENEVE

- ERSPAN, то есть также мы инкапсулируем внутри гипервизора наш трафик внутрь туннеля GRE и отдаем в NAD снаружи сервера

- Virtual TAP или vTAP - программный продукт, который забирает трафик из виртуализации/гипервизора и отдает на внешний аппаратный NAD


Аппаратный TAP это устройство с тремя портами: два порта это вход и выход какого-то канала, и третий порт это копия трафика, которую отдаем на NAD. Нужно понимать, что в случае с оптикой каждый порт - это по сути два кабеля внутри. 


Случай с vTAP описан хорошо у этого производителя profitap.com/vtap/ Это программная реализация, позволяющая забрать трафик из сервера виртуализации и отдать наружу, как показано на картинке. Российский производитель VASexperts говорят тоже делает такой софт 



Основные сложности подключения SPAN  в том, что сетевые администраторы обоснованно боятся за производительность своих устройств: делать копию трафика это всегда накладно и админы часто саботируют данное подключение. То есть безопасники тратят время на их убеждение. В общем это становится вопросом политическим иногда. Админы даже иногда сознаются, что боятся, что их самих начнут контролировать таким образом. Плюс потом еще мы почему-то траблшутим работу этих двух команд на роутере для настройки, хотя казалось бы чего проще:

monitor session 1 source interface gi0/1
monitor session 1 destination interface gi0/2


Свитчи и роутеры дают процессу создания копии трафика самый низкий приоритет. То есть, если свитч или роутер загрузился какой-то более важной задачей, то трафик в SPAN порт просто не будет скопирован, данные потеряются. А мы ведь разбираем трафик приложений движком DPI и разбираем протоколы по 1200 полям и еще и собираем из пакетов файлы из трафика для проверки по хешам или для отправки в песочницу по ICAP. Например, если по NFS или SMB идет файл и мы теряем один пакет, то файл уже нельзя собрать полностью и отправить для анализа в песочницу без этого пакета. А там мог идти криптолокер Wannacy...

Идеальным решением для пилотов и внедрений являются TAP и vTAP, поскольку они не теряют пакеты и отдают весь трафик полностью. Минусом для работы сети является то, что они включаются в разрыв, и сеть должна "мигнуть" один раз при их подключении. Что в общем не страшно, если используется High Availability внутри сети.
Ну и фактом является, что TAP устройства надо купить.

Еще одним устройством полезным является сетевой брокер: он может не просто забирать трафик из сети, не трогая психику сетевых админов, а еще проводить с трафиком действия: балансировать, дублировать, дедуплицировать и так далее

Подробнее про то, как пользовать NAD, посмотрите в сборнике информации https://telegra.ph/Materialy-po-produktu-PT-NAD-07-08

Любой вопрос по PT NAD вы можете задать в чате Телеграмм https://t.me/PTNADChat