Giám sát lưu lượng mạng với Encrypted Traffic Analysis

Eta

Triển khai hệ thống giám sát mạng với tính năng Encrypted Traffic Analysis (giám sát lưu lượng mạng mã hóa – ETA) sẽ đem lại sự khác biệt to lớn cho hệ thống của bạn.

Trong thời đại ngày nay, nếu không thể điều tra và theo dõi các phiên kết nối bảo mật SSL/TLS, hệ thống của bạn sẽ gặp rắc rối lớn. ETA không chỉ giúp các hệ thống theo dõi các phiên kết nối mã hóa của người dùng mà còn giúp cho việc sử lý các vấn đề phát sinh cũng như các vấn đề lên quan đến băng thông sử dụng.

Hãy tưởng tượng bạn muốn biết ứng dụng, dịch vụ nào đang được sử dụng và chúng đóng góp vào việc tiêu thụ băng thông như thế nào. Chúng tôi sẽ xem xét trường hợp sử dụng này từ ba khía cạnh khác nhau bị giới hạn bởi khả năng của các hệ thống giám sát mạng. Chúng tôi sẽ trình bày tất cả các trường hợp có cùng thống kê lưu lượng mạng của một địa chỉ IP (người dùng) trong mạng. Để giữ cho số liệu thống kê và ví dụ về lưu lượng truy cập ngắn, chúng tôi luôn chỉ hiển thị 10 trang hàng đầu.

Mức độ hiển thị mạng cơ bản (L3 / L4)

Các công cụ chẩn đoán & giám sát hiệu suất mạng (NPMD) hoạt động với phép đo từ xa mạng được gọi là dữ liệu luồng. Bạn có thể coi dữ liệu luồng như một danh sách các cuộc gọi điện thoại. Bạn biết ai đang nói chuyện với ai, khi nào và trong bao lâu. Bạn không có quyền truy cập vào chính cuộc gọi hoặc siêu dữ liệu đại diện cho ít nhất chủ đề của cuộc gọi. Nó có ý nghĩa gì trong thực tế mạng? Bạn có thông tin L3 / L4 để đo từ xa mạng của bạn bao gồm địa chỉ IP, cổng, giao thức, dấu thời gian và lượng dữ liệu được truyền. Địa chỉ IP có thể được chuyển đổi thành tên miền để hiểu rõ hơn về mục đích của nó. Trong thời đại internet hiện đại, nơi nội dung được phân phối thông qua mạng CDN, địa chỉ IP lưu trữ nhiều miền khác nhau và từ chính địa chỉ IP hoặc tên miền, rất khó để hiểu được lưu lượng truy cập của người dùng. Vì vậy, những gì bạn nhận được là hình ảnh khá hạn chế về lưu lượng mạng và khả năng hiển thị của bạn kết thúc trên IP và lớp truyền tải.

Eta

Dù sao, chế độ xem này cung cấp khả năng hiển thị đủ để quan sát cấu trúc của lưu lượng, rất hữu ích trong trường hợp lập kế hoạch dung lượng (để xem những IP nào đang sử dụng băng thông). Tuy nhiên, việc khắc phục sự cố không dễ dàng như vậy nếu không xác định dịch vụ hoặc ứng dụng thực tế có liên quan và chúng ta cần tham khảo một số loại quản lý tài sản bên ngoài hoặc cơ sở kiến ​​thức.

Khả năng hiển thị mạng được phong phú với dữ liệu ứng dụng

Các hệ thống dựa trên dòng chảy hiện đại đào sâu hơn. Là một phần mở rộng của các bản ghi luồng cơ bản, chúng cung cấp trích xuất tùy chọn siêu dữ liệu ứng dụng cụ thể và báo cáo chúng thường ở định dạng IPFIX. Nếu chúng ta quay trở lại sự tương tự cuộc gọi điện thoại của chúng ta, nó giống như việc mở rộng danh sách theo các chủ đề của các cuộc gọi riêng lẻ. Trong trường hợp sử dụng sử dụng băng thông của chúng tôi, chúng tôi quan tâm đến những trang web nào đã được truy cập bởi một người dùng cụ thể. Các hệ thống giám sát lưu lượng mạng hiện đại có thể nhận ra các yêu cầu HTTP, trích xuất siêu dữ liệu như tên máy chủ HTTP và cung cấp chúng trong phân tích liền mạch cùng với thông tin L3 / L4 hiện có. Với các bản ghi dữ liệu luồng được phong phú hóa như vậy, chúng tôi có được một cái nhìn tổng thể hơn, bất kể đó là nội bộ hay một số SaaS. Vì vậy, chúng ta có thể quyết định xem lưu lượng truy cập có hợp pháp hay không, nếu cần thiết phải chặn nó hoặc hạn chế bằng cách nào đó.

Tuy nhiên, điều này chỉ khả dụng cho lưu lượng không được mã hóa. Trong các tình huống khi hầu hết lưu lượng truy cập đã được mã hóa (80% lưu lượng truy cập web theo Gartner), khả năng hiển thị như vậy sẽ không còn nữa. Vì vậy, một lần nữa những gì bạn gặp phải là một chế độ xem rất hạn chế chỉ cung cấp siêu dữ liệu từ lưu lượng truy cập không được mã hóa.

Eta Blog Flowmon 2

Tăng cường khả năng hiển thị mạng với Khả năng hiển thị SSL / TLS 

Các hệ thống dựa trên luồng tiên tiến nhất cung cấp khả năng trích xuất các siêu dữ liệu khác nhau từ lưu lượng được mã hóa mà không xâm phạm quyền riêng tư của người dùng bằng cách giải mã lưu lượng hoặc giới thiệu các kỹ thuật trung gian. Siêu dữ liệu bổ sung này lại được báo cáo dưới dạng bản ghi luồng mở rộng thường ở định dạng IPFIX. Tương tự cuộc gọi điện thoại của chúng tôi, điều đó có nghĩa là chúng tôi vẫn có các chủ đề cho các cuộc gọi riêng lẻ ngay cả khi bản thân cuộc trò chuyện được mã hóa. 

Lý do đằng sau điều này là các hệ thống giám sát có thể xác định và theo dõi khi các phiên được mã hóa đang được thiết lập và trích xuất siêu dữ liệu từ các phiên này trong khi vẫn không can thiệp vào chính nội dung. Vì vậy, ngay cả khi lưu lượng được mã hóa, chúng tôi vẫn có thể hiển thị các tên máy chủ HTTP tương ứng với chỉ báo tên máy chủ từ các chứng chỉ mã hóa. Giờ đây, chúng tôi có thể theo dõi tất cả lưu lượng trên cấp độ L3 / L4 (địa chỉ IP) được mở rộng bởi tên máy chủ lưu lượng truy cập được mã hóa cũng như văn bản thuần túy trong một lần xem.

Eta Blog Flowmon 3

Phân tích lưu lượng được mã hóa mở rộng mức độ hiển thị được hiển thị ở trên ngay cả với HTTPS. Mức độ hiển thị ứng dụng bổ sung cho phép người dùng có được cái nhìn tổng thể về lưu lượng mạng đủ để khắc phục sự cố đầy đủ về việc tiêu thụ băng thông không mong muốn, ngay cả khi các kết nối được mã hóa.

ETA còn nhiều hơn thế nữa để cung cấp

Chúng tôi đã minh họa tầm quan trọng của ETA đối với nhiệm vụ giám sát mạng rất cơ bản. Rõ ràng là để duy trì hiệu quả của các hoạt động mạng trong kỷ nguyên mã hóa, cần phải hiểu rõ về giao tiếp SSL / TLS. Khi ngày càng nhiều lưu lượng truy cập vào và ra được mã hóa, ETA đại diện cho một công nghệ rất nhẹ, thụ động và tiết kiệm chi phí để giữ cho hoạt động mạng của bạn hiệu quả như cách bạn sử dụng trong thế giới không được mã hóa.

Trên thực tế, công nghệ này có nhiều thứ hơn nữa để cung cấp. Quản trị viên trong môi trường mạng lớn có thể dễ dàng xác nhận việc tuân thủ các tiêu chuẩn mật mã. Vì vậy, báo cáo trên các máy chủ vẫn sử dụng các thuật toán mã hóa không được dùng nữa (và không an toàn) có thể là một nhiệm vụ tự động. Điều tương tự cũng áp dụng cho việc xác thực chứng chỉ hoặc lấy dấu vân tay khách hàng cá nhân đối với các kỹ thuật mã hóa mà họ nói với thế giới bên ngoài.

Eta Blog Flowmon 3

Tham khảo:

https://www.flowmon.com/en/blog/monitoring-with-or-without-encrypted-traffic

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *