پنج کاربرد NetFlow در امنیت شبکه

این مورد را ارزیابی کنید
(1 رای)

کاربردهای زیادی برای NetFlow وجود دارد اما یکی از مهمترین کاربردهای آن که اغلب نیز نادیده گرفته می‌شود، امنیتی است که NetFlow و IPFIX فراهم می‌آورند. در ادامه پنج مورد از کاربردهای NetFlow برای امنیت شبکه که بر اساس بازخوردهای جمع آوری شده از صدها مشتری در طول 10 سال بدست آمده، به ترتیب اولویت ذکر شده است.

 

5 – پاسخگویی به رخداد و کاهش MTTK

دیتای فلو بصورت 24 ساعته از کلیه فعالیت های شبکه، گزارش ارائه می‌دهد؛ بدین معنا که یک نظارت بی وقفه و مداوم بر کلیه رخدادهایی که در چارچوب شبکه رخ می‌دهد، وجود دارد. پروتکل NetFlow همانند یک سیستم CCTV برای سازمان شما عمل کرده و داده های کم حجمی را ارائه می‌کند که می‌توانید هفته ها این داده ها را بدون پرداخت هزینه ذخیره نمایید. هنگامیکه یک رخداد بوجود می آید، اطلاعات مورد نیاز برای تشخیص علت اصلی رخداد و برطرف ساختن آن در فلو ها قرار دارد. این به معنای کاهش MTTK (میانگین زمان مورد نیاز جهت شناسایی) بوده و برای کاهش عوامل نقض کننده امنیت بسیار ارزشمند است.

4- ارائه دانش عمیق موقعیتی

از بعد تاکتیکی، داده های فلو تصویری از آنچه که در حال حاضر در شبکه شما اتفاق می افتد و سایر سیستم ها در تلاش برای ارائه آن هستند، را نشان می‌دهد. در حالیکه IDS ها و سایر سیستم های امنیتی تنها زمانی که موردی به طور فعال شناسایی شود، اعلام اخطار می‌کنند. فلومون بطور مداوم به جمع آوری اطلاعات و آنچه که در شبکه اتفاق می‌ افتد، می پردازد و سریعا موارد مشکوک را اطلاع رسانی می کند. وجود یک داشبورد نظارتی برای مرکز عملیات شبکه NOC یا SOC می تواند جهت شناسایی سریعتر کمک شایانی نماید.

3- قابلیت مشاهده شبکه داخلی

ایده نظارت بر شبکه داخلی تا حدودی جدید است. با ظهور سیاست های BYOD، دستگاه های MiFi و کارکنانی که در چندین قسمت کار می‌کنند، امنیت شبکه داخلی نسبت به گذشته کمتر شده است. بسیاری از مشتریان این موضوع را درک کرده و بدنبال روش هایی جهت کنترل بهتر الگوهای ترافیکی در مرکز شبکه و دسترسی به لایه ها هستند. هنگامیکه که ما در بحث مانیتورینگ امنیت شبکه درباره عباراتی همچون "edge" و "access" و "core" صحبت می‌کنیم، بدنیال ارائه مفهوم زیر هستیم:

لایه های شبکه در و اهمیت مانیتورینگ آنها از طریق (دیتای فلو و یا نرم افزار فلومون)

اینترنت و Firewall های شبکه، Proxy server ها، راه‌حل های DLP و سایر تکنولوژی ها بیانگر مفهوم "edge" هستند. روترهای مرکزی (Core routers) و سوییچ هایی مانند Cisco’s Catalyst 6500 و Nexus 7000 مفهوم عبارت "core" را نشان می‌دهند. لایه Access نیز بخشی است که کلیه عملیات ها در آنجا قرار دارد. اين همان جايي است كه BYOD (Bring Your Own Device) بيشترين اثر را داشته و با وجود آنكه ارزيابي امنيت شبكه در اين مكان بسيار دشوار است، اما با اين حال مهمترين مكاني است كه بايد در شبكه بر روي آن نظارت صورت گيرد. دستگاه هايي همچون تلفن هاي هوشمند، لپ تاپ ها، سرورها و زيرساخت هاي مجازي در اين قسمت قرار دارند.

2- كاهش هزينه مانيتورينگ امنيت شبكه

فقط با وارد کردن چند دستور کوتاه در روتر های شبکه خود، نظارت کاملی بر روی ان داشته باشید. هرچه شركت و يا سازمان شما بزرگتر باشد، مطمئنا NetFlow ارزش بيشتري خواهد داشت. بهتر است بجاي استفاده از صدها IDS يا دستگاه هاي packet-sniffing كه یکی از راههای مانیتورینگ شبکه مي‌باشد، NetFlow را بر روي روترهاي هر يك از Remote Site ها فعال كرده و نظارت کاملی بر شبکه خود داشته باشید.

مانيتورينگ امنيتي مبتني بر NetFlow مي تواند منجر به كاهش نرخ 1 الي 15 درصدي هزينه ها در مقايسه با تكنولویي هاي سنتي مانيتورينگ مبتني بر packet شود.

1- تشخيص حملات بدون نشانه

بدون شك مهمترين عامل گرايش به امنيت مبتني بر فلو آن است كه تحليل آن بر اساس الگوريتم ها بوده و نه بر اساس تطبيق علائم و نشانه ها، چنين مزيتي Flowmon را قادر مي‌سازد تا حملات را قبل از مشاهده هرگونه علامتي، تشخيص دهد. تشخيص سريع حملاتي كه ساير تكنولوژي ها اغلب متوجه آن نمي‌شوند آن هم در شرايطي كه تهديدات APTها، تروجان هاي موبايل، botnets و غيره در حال افزايش است.

متخصصان امنيت بدنبال روش هاي جديد تشخيص حملات و مقابله با آنها هستند. قابليت هاي امنيتي فلومون يك روش جديد جهت تشخيص حمله ها و مقابله با آنها مي‌باشد.

آنالیز ترافیک شبکه با راه کار فلومون

فلومون یک راه کار جامع آنالیز ترافیک شبکه مبتنی بر پروتکل های Netflow و IPFIX است. این راه کار جزئیات داده های تبادل شده در شبکه را آشکار می سازد و در کنار ابزار های پیشرفته تحلیل ترافیک شبکه می توان به آسانی اطلاعات مفیدی مانند کدام افراد در چه زمانی ، چه نوع داده ای را با چه حجمی به چه مقاصدی برای چه مدت و هر چند وقت یکبار ارسال و یا دریافت کرده اند را مشاهده نمود. این راه کار به آسانی در قالب یک دستگاه مجازی مبتنی بر ESX قابل نصب و راه اندازی است.

خواندن 504 دفعه