Просматриваю на досуге презентации с конференции "Сетевая безопасность", и не могу не обратить внимание на некоторые моменты. Скрины одной из през показывают эволюцию контроля трафика и условную классификацию по уровням продвинутости. Но есть нюанс.
Контроль трафика восток-запад (внутри одного сегмента) не даст полной видимости взаимодействия между всеми хостами в одном VLAN без дополнительных телодвижений, не описанных в презентации. Только между разными VLAN в пределах одного VRF. Даже если снимать и копию трафика, и телеметрию.
Вспомним, почему.
1. Копия трафика снимается с коммутаторов, которые настроены как STP root и secondary root для VLAN, в котором живут хосты. То есть, внутри одного VLAN будет фиксироваться взаимодействие, только если хосты подключены к разным коммутаторам доступа, и трафик между ними вынужден проходить через STP root.
2. Телеметрия (NetFlow) снимается с L3-интерфейсов маршрутизаторов, на которых терминируются вышеописанные VLAN. Топологически к ним подключаются коммутаторы STP root. То есть, там же, где и п. 1.
Получается, взаимодействие двух хостов в одной подсети, подключенных к одному коммутатору доступа, не будет видно, если не снимать трафик именно на нем.
Какими технологиями можно запретить взаимодействие в одном VLAN (команды и терминология Cisco, приземляйте на свое оборудование самостоятельно):
- switchport protected - запретит взаимодействие внутри одного VLAN на одном коммутаторе; хосты из того же VLAN на другом будут видны, но трафик пройдет через STP root и будет зафиксирован
- private VLAN (isolated порты) - запрет распространяется на весь VLAN разных коммутаторов, но и настройки более комплексные
- микросегментация через overlay networks
Относительно использования возможностей NDR - тоже потребуется дополнительная интеграция с активным сетевым оборудованием:
- FW/NGFW
- AntiDDoS
- отправка TCP RST для обрыва сессии
- правила автоматизированного реагирования через SOAR
Учтите, когда будете использовать решения IDS/IPS/NTA/NAD/NDR, чтобы не возникало завышенных ожиданий.
Контроль трафика восток-запад (внутри одного сегмента) не даст полной видимости взаимодействия между всеми хостами в одном VLAN без дополнительных телодвижений, не описанных в презентации. Только между разными VLAN в пределах одного VRF. Даже если снимать и копию трафика, и телеметрию.
Вспомним, почему.
1. Копия трафика снимается с коммутаторов, которые настроены как STP root и secondary root для VLAN, в котором живут хосты. То есть, внутри одного VLAN будет фиксироваться взаимодействие, только если хосты подключены к разным коммутаторам доступа, и трафик между ними вынужден проходить через STP root.
2. Телеметрия (NetFlow) снимается с L3-интерфейсов маршрутизаторов, на которых терминируются вышеописанные VLAN. Топологически к ним подключаются коммутаторы STP root. То есть, там же, где и п. 1.
Получается, взаимодействие двух хостов в одной подсети, подключенных к одному коммутатору доступа, не будет видно, если не снимать трафик именно на нем.
Какими технологиями можно запретить взаимодействие в одном VLAN (команды и терминология Cisco, приземляйте на свое оборудование самостоятельно):
- switchport protected - запретит взаимодействие внутри одного VLAN на одном коммутаторе; хосты из того же VLAN на другом будут видны, но трафик пройдет через STP root и будет зафиксирован
- private VLAN (isolated порты) - запрет распространяется на весь VLAN разных коммутаторов, но и настройки более комплексные
- микросегментация через overlay networks
Относительно использования возможностей NDR - тоже потребуется дополнительная интеграция с активным сетевым оборудованием:
- FW/NGFW
- AntiDDoS
- отправка TCP RST для обрыва сессии
- правила автоматизированного реагирования через SOAR
Учтите, когда будете использовать решения IDS/IPS/NTA/NAD/NDR, чтобы не возникало завышенных ожиданий.
tgoop.com/cybersecdugin/308
Create:
Last Update:
Last Update:
Просматриваю на досуге презентации с конференции "Сетевая безопасность", и не могу не обратить внимание на некоторые моменты. Скрины одной из през показывают эволюцию контроля трафика и условную классификацию по уровням продвинутости. Но есть нюанс.
Контроль трафика восток-запад (внутри одного сегмента) не даст полной видимости взаимодействия между всеми хостами в одном VLAN без дополнительных телодвижений, не описанных в презентации. Только между разными VLAN в пределах одного VRF. Даже если снимать и копию трафика, и телеметрию.
Вспомним, почему.
1. Копия трафика снимается с коммутаторов, которые настроены как STP root и secondary root для VLAN, в котором живут хосты. То есть, внутри одного VLAN будет фиксироваться взаимодействие, только если хосты подключены к разным коммутаторам доступа, и трафик между ними вынужден проходить через STP root.
2. Телеметрия (NetFlow) снимается с L3-интерфейсов маршрутизаторов, на которых терминируются вышеописанные VLAN. Топологически к ним подключаются коммутаторы STP root. То есть, там же, где и п. 1.
Получается, взаимодействие двух хостов в одной подсети, подключенных к одному коммутатору доступа, не будет видно, если не снимать трафик именно на нем.
Какими технологиями можно запретить взаимодействие в одном VLAN (команды и терминология Cisco, приземляйте на свое оборудование самостоятельно):
- switchport protected - запретит взаимодействие внутри одного VLAN на одном коммутаторе; хосты из того же VLAN на другом будут видны, но трафик пройдет через STP root и будет зафиксирован
- private VLAN (isolated порты) - запрет распространяется на весь VLAN разных коммутаторов, но и настройки более комплексные
- микросегментация через overlay networks
Относительно использования возможностей NDR - тоже потребуется дополнительная интеграция с активным сетевым оборудованием:
- FW/NGFW
- AntiDDoS
- отправка TCP RST для обрыва сессии
- правила автоматизированного реагирования через SOAR
Учтите, когда будете использовать решения IDS/IPS/NTA/NAD/NDR, чтобы не возникало завышенных ожиданий.
Контроль трафика восток-запад (внутри одного сегмента) не даст полной видимости взаимодействия между всеми хостами в одном VLAN без дополнительных телодвижений, не описанных в презентации. Только между разными VLAN в пределах одного VRF. Даже если снимать и копию трафика, и телеметрию.
Вспомним, почему.
1. Копия трафика снимается с коммутаторов, которые настроены как STP root и secondary root для VLAN, в котором живут хосты. То есть, внутри одного VLAN будет фиксироваться взаимодействие, только если хосты подключены к разным коммутаторам доступа, и трафик между ними вынужден проходить через STP root.
2. Телеметрия (NetFlow) снимается с L3-интерфейсов маршрутизаторов, на которых терминируются вышеописанные VLAN. Топологически к ним подключаются коммутаторы STP root. То есть, там же, где и п. 1.
Получается, взаимодействие двух хостов в одной подсети, подключенных к одному коммутатору доступа, не будет видно, если не снимать трафик именно на нем.
Какими технологиями можно запретить взаимодействие в одном VLAN (команды и терминология Cisco, приземляйте на свое оборудование самостоятельно):
- switchport protected - запретит взаимодействие внутри одного VLAN на одном коммутаторе; хосты из того же VLAN на другом будут видны, но трафик пройдет через STP root и будет зафиксирован
- private VLAN (isolated порты) - запрет распространяется на весь VLAN разных коммутаторов, но и настройки более комплексные
- микросегментация через overlay networks
Относительно использования возможностей NDR - тоже потребуется дополнительная интеграция с активным сетевым оборудованием:
- FW/NGFW
- AntiDDoS
- отправка TCP RST для обрыва сессии
- правила автоматизированного реагирования через SOAR
Учтите, когда будете использовать решения IDS/IPS/NTA/NAD/NDR, чтобы не возникало завышенных ожиданий.
BY Кибербез Андрея Дугина
Share with your friend now:
tgoop.com/cybersecdugin/308