5 ไอเดียการเก็บข้อมูลจากเครือข่ายเพื่อนำมาวิเคราะห์หรือตรวจสอบ

Rapid7 ได้นำเสนอ 5 ไอเดียในการเก็บข้อมูลเครือข่ายเพื่อนำออกมาวิเคราะห์ประสิทธิภาพในการใช้งาน ความมั่นคงปลอดภัย หรือ PoC อุปกรณ์ใหม่ๆ ที่สนใจนำมาทำโซลูชัน 

1.) SPAN / Mirror Port

วิธีการนี้เป็นฟังก์ชันทั่วไปของ Managed Switch ของอุปกรณ์ทั่วไป ที่เปิดให้เราใช้คำสั่งเพื่อทำสำเนาชุดข้อมูลจากทราฟฟิคของ VLAN หรือพอร์ตที่ต้องการไปยังปลายทางพอร์ตอื่นได้ ตามรูปประกอบด้านล่าง โดยหากต้องการข้อมูลที่ฉายภาพรวมได้ดีนั้น Core Switch คือเป้าหมายที่ดีในการนำข้อมูลออกมาวิเคราะห์ ข้อดีอีกอย่างคือวิธีการนี้จะได้สำเนาทราฟฟิคออกมาเท่านั้น จึงไม่ขัดขวางการทำงานปกติของ Switch

2.) Virtual Port Group

Hypervisor หลายเจ้าอนุญาตให้เราสามารถ Monitor Traffic ผ่านการเปิดโหมดพิเศษให้ NIC ที่เรียกว่า ‘Promiscuous’ ซึ่งจะทำให้อินเทอร์เฟสนั้นสามารถรับข้อมูลเครือข่ายได้ โดยเพียงแค่เราติดตั้ง VM ที่สามารถวิเคราะห์ข้อมูลเชื่อมต่อ Virtual Port นี้เข้าไปเท่านั้น ทั้งหมดนี้เป็นความสามารถเชิงซอฟต์แวร์ของ Hypervisor จึงทำได้ไม่ยากเลย 

3.) Mirror Port บน Virtual Switch

ชื่อก็บอกอยู่แล้วว่าเป็น Virtual นั้นหมายความถึงเป็นอีกหนึ่งความสามารถเชิงซอฟต์แวร์ของ Hypervisor เช่นบน vCenter ซึ่งก็คือทำ Mirror Port บน Virtual Distribute Switch ตัวหนึ่งเท่านั้นเอง โดยอันที่จริงแล้วหากไม่ทำแบบนี้ก็ต้องไปติดตั้ง Network Sensor หรือ Agent บนทุก Host แทนเพื่อเก็บข้อมูลที่ยุ่งยากกว่า 

4.) Network TAP และ Packet Broker

Network TAP เป็นอุปกรณ์ที่มี 3 ขาคือ input, output และ monitor โดยเพียงแค่นำไปวางขวางการไหลของทราฟฟิค ซึ่งโดยส่วนใหญ่นิยมนำไปวางขวางหลัง Switch กับ Firewall นอกจากนี้ยังต้องมี Downtime เพื่อติดตั้งอุปกรณ์ด้วย อย่างไรก็ดีผู้ใช้งานก็จะได้รับสำเนาของทราฟฟิคไปใช้ต่อได้

Network Packet Broker เป็นอุปกรณ์ Physical ที่คัดเลือกเนื้อข้อมูลแพ็กเก็ตจากอินเทอร์เฟสอีกทีหนึ่ง เช่น รับต่อมาจาก SPAN หรือ TAP โดยเน้นเพื่อทำเรื่องการวิเคราะห์เครือข่ายโดยเฉพาะ เพราะ Switch นั้นมีการจำกัดจำนวนการ SPAN ไว้ ด้วยเหตุนี้เองในองค์กรใหญ่ๆ อาจจะเพิ่ม Broker เข้ามาเพื่อใช้สำหรับทดสอบโซลูชันต่างๆ โดยไม่ง้อ Switch นัก

5.) Cloud-base virtual TAP

แม้ว่าองค์กรจะใช้ Public Cloud ก็ตามที แต่ส่วนใหญ่แล้วผู้ให้บริการ Cloud ต่างก็มีความสามารถ SPAN หรือ Mirror ให้เราได้ ในลักษณะเดียวกันกับข้อ 3 นั่นเอง โดยหากเป็นค่ายของ AWS จะชื่อ ‘VPC Traffic Mirroring’ 

ที่มาและเครดิตรูปภาพ :  https://blog.rapid7.com/2020/07/15/top-5-ways-to-get-a-network-traffic-source-on-your-network/