5 ไอเดียการเก็บข้อมูลจากเครือข่ายเพื่อนำมาวิเคราะห์หรือตรวจสอบ

Rapid7 ได้นำเสนอ 5 ไอเดียในการเก็บข้อมูลเครือข่ายเพื่อนำออกมาวิเคราะห์ประสิทธิภาพในการใช้งาน ความมั่นคงปลอดภัย หรือ PoC อุปกรณ์ใหม่ๆ ที่สนใจนำมาทำโซลูชัน 

1.) SPAN / Mirror Port

วิธีการนี้เป็นฟังก์ชันทั่วไปของ Managed Switch ของอุปกรณ์ทั่วไป ที่เปิดให้เราใช้คำสั่งเพื่อทำสำเนาชุดข้อมูลจากทราฟฟิคของ VLAN หรือพอร์ตที่ต้องการไปยังปลายทางพอร์ตอื่นได้ ตามรูปประกอบด้านล่าง โดยหากต้องการข้อมูลที่ฉายภาพรวมได้ดีนั้น Core Switch คือเป้าหมายที่ดีในการนำข้อมูลออกมาวิเคราะห์ ข้อดีอีกอย่างคือวิธีการนี้จะได้สำเนาทราฟฟิคออกมาเท่านั้น จึงไม่ขัดขวางการทำงานปกติของ Switch

2.) Virtual Port Group

Hypervisor หลายเจ้าอนุญาตให้เราสามารถ Monitor Traffic ผ่านการเปิดโหมดพิเศษให้ NIC ที่เรียกว่า ‘Promiscuous’ ซึ่งจะทำให้อินเทอร์เฟสนั้นสามารถรับข้อมูลเครือข่ายได้ โดยเพียงแค่เราติดตั้ง VM ที่สามารถวิเคราะห์ข้อมูลเชื่อมต่อ Virtual Port นี้เข้าไปเท่านั้น ทั้งหมดนี้เป็นความสามารถเชิงซอฟต์แวร์ของ Hypervisor จึงทำได้ไม่ยากเลย 

3.) Mirror Port บน Virtual Switch

ชื่อก็บอกอยู่แล้วว่าเป็น Virtual นั้นหมายความถึงเป็นอีกหนึ่งความสามารถเชิงซอฟต์แวร์ของ Hypervisor เช่นบน vCenter ซึ่งก็คือทำ Mirror Port บน Virtual Distribute Switch ตัวหนึ่งเท่านั้นเอง โดยอันที่จริงแล้วหากไม่ทำแบบนี้ก็ต้องไปติดตั้ง Network Sensor หรือ Agent บนทุก Host แทนเพื่อเก็บข้อมูลที่ยุ่งยากกว่า 

4.) Network TAP และ Packet Broker

Network TAP เป็นอุปกรณ์ที่มี 3 ขาคือ input, output และ monitor โดยเพียงแค่นำไปวางขวางการไหลของทราฟฟิค ซึ่งโดยส่วนใหญ่นิยมนำไปวางขวางหลัง Switch กับ Firewall นอกจากนี้ยังต้องมี Downtime เพื่อติดตั้งอุปกรณ์ด้วย อย่างไรก็ดีผู้ใช้งานก็จะได้รับสำเนาของทราฟฟิคไปใช้ต่อได้

Network Packet Broker เป็นอุปกรณ์ Physical ที่คัดเลือกเนื้อข้อมูลแพ็กเก็ตจากอินเทอร์เฟสอีกทีหนึ่ง เช่น รับต่อมาจาก SPAN หรือ TAP โดยเน้นเพื่อทำเรื่องการวิเคราะห์เครือข่ายโดยเฉพาะ เพราะ Switch นั้นมีการจำกัดจำนวนการ SPAN ไว้ ด้วยเหตุนี้เองในองค์กรใหญ่ๆ อาจจะเพิ่ม Broker เข้ามาเพื่อใช้สำหรับทดสอบโซลูชันต่างๆ โดยไม่ง้อ Switch นัก

5.) Cloud-base virtual TAP

แม้ว่าองค์กรจะใช้ Public Cloud ก็ตามที แต่ส่วนใหญ่แล้วผู้ให้บริการ Cloud ต่างก็มีความสามารถ SPAN หรือ Mirror ให้เราได้ ในลักษณะเดียวกันกับข้อ 3 นั่นเอง โดยหากเป็นค่ายของ AWS จะชื่อ ‘VPC Traffic Mirroring’ 

ที่มาและเครดิตรูปภาพ :  https://blog.rapid7.com/2020/07/15/top-5-ways-to-get-a-network-traffic-source-on-your-network/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก

“บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก” How Digital Transformation Enables CFOs to Achieve Organizational Agility and Resilience …

นักวิจัยสาธิตการแฮ็กเซิร์ฟเวอร์ Oracle เพื่อแสดงให้เห็นถึงช่องโหว่ที่ร้ายแรง

สืบเนื่องมาจากความล่าช้าในการแก้ไขข้อพร่องพกนานถึง 6 เดือน กับช่องโหว่ที่นักวิจัยเรียกว่า “mega 0-day” ช่องโหว่นี้สามารถถูกใช้ได้จากทางไกลโดยไม่ต้องผ่านการพิสูจน์ตัวตน ถูกค้นพบโดย Jang และ Peterjson นักวิจัยด้านความปลอดภัย พวกเขาตั้งชื่อมันว่า The Miracle …