Когда вы делаете пилот или внедрение Positive Technologies Network Attack Discovery, то нужно передать копию трафика в это многофункциональное устройство сетевой безопасности для анализа движками DPI, IDS, ML, TI, NTA и последующего анализа и отправки файлов из трафика в песочницу и антивирус, чтобы обнаружить направленные на вас атаки и взломанные хосты.
Если это физическая сеть, то варианты подключения
- зеркальный или SPAN порт свитча или роутера
- RSPAN/ERSPAN - тоже зеркальный порт, но трафик передается аж с других свитчей через выделенный VLAN для Remote SPAN или вообще через GRE для ERSPAN.
Если это среда виртуализации, то варианты получения трафика из гипервизора:
- promiscous mode порт в distributed switch на котором подключается виртуальный NAD и все мы понимаем, что виртуальная машина все-таки работает медленнее, чем внешний аппаратный PT NAD
- SPAN порт на свитче, на котором работают различные сервера с виртуализацией, и тогда мы не видим внутренний трафик внутри гипервизора каждой системы виртуализации, но зато мы видим трафик идущий внутри VXLAN или GENEVE
- ERSPAN, то есть также мы инкапсулируем внутри гипервизора наш трафик внутрь туннеля GRE и отдаем в NAD снаружи сервера
- Virtual TAP или vTAP - программный продукт, который забирает трафик из виртуализации/гипервизора и отдает на внешний аппаратный NAD
Аппаратный TAP это устройство с тремя портами: два порта это вход и выход какого-то канала, и третий порт это копия трафика, которую отдаем на NAD. Нужно понимать, что в случае с оптикой каждый порт - это по сути два кабеля внутри.
Случай с vTAP описан хорошо у этого производителя
profitap.com/vtap/ Это программная реализация, позволяющая забрать трафик из сервера виртуализации и отдать наружу, как показано на картинке. Российский производитель VASexperts говорят тоже делает такой софт
Основные сложности подключения SPAN в том, что сетевые администраторы обоснованно боятся за производительность своих устройств: делать копию трафика это всегда накладно и админы часто саботируют данное подключение. То есть безопасники тратят время на их убеждение. В общем это становится вопросом политическим иногда. Админы даже иногда сознаются, что боятся, что их самих начнут контролировать таким образом. Плюс потом еще мы почему-то траблшутим работу этих двух команд на роутере для настройки, хотя казалось бы чего проще:
monitor session 1 source interface gi0/1
monitor session 1 destination interface gi0/2Свитчи и роутеры дают процессу создания копии трафика самый низкий приоритет. То есть, если свитч или роутер загрузился какой-то более важной задачей, то трафик в SPAN порт просто не будет скопирован, данные потеряются. А мы ведь разбираем трафик приложений движком DPI и разбираем протоколы по 1200 полям и еще и собираем из пакетов файлы из трафика для проверки по хешам или для отправки в песочницу по ICAP. Например, если по NFS или SMB идет файл и мы теряем один пакет, то файл уже нельзя собрать полностью и отправить для анализа в песочницу без этого пакета. А там мог идти криптолокер Wannacy...
Идеальным решением для пилотов и внедрений являются TAP и vTAP, поскольку они не теряют пакеты и отдают весь трафик полностью. Минусом для работы сети является то, что они включаются в разрыв, и сеть должна "мигнуть" один раз при их подключении. Что в общем не страшно, если используется High Availability внутри сети.
Ну и фактом является, что TAP устройства надо купить.
Еще одним устройством полезным является сетевой брокер: он может не просто забирать трафик из сети, не трогая психику сетевых админов, а еще проводить с трафиком действия: балансировать, дублировать, дедуплицировать и так далее
Подробнее про то, как пользовать NAD, посмотрите в сборнике информации https://telegra.ph/Materialy-po-produktu-PT-NAD-07-08
Любой вопрос по PT NAD вы можете задать в чате Телеграмм https://t.me/PTNADChat