Журнал "Information Security/ Информационная безопасность" #2, 2019

Миф 1. Flow-данные – выборочные и неточные Это утверждение действительно верно для стандартов sFlow или NetFlow Lite, поддерживаемых на устаревших устрой- ствах и используемых клиентами малого и среднего бизнеса. Все крупные постав- щики сетевого оборудования для пред- приятий предоставляют маршрутизаторы и коммутаторы, способные экспортиро- вать высокоточную статистику трафика. В последнее время общая доступность flow-данных резко возросла. Все крупные поставщики брандмауэров поддерживают экспорт flow-потоков, а платформы вир- туализации обеспечивают их видимость. Миф 2. Прозрачность Flow ограничена видимостью L3/L4 Это исходный дизайн. Flow-данные представляют собой единый поток паке- тов в сети с идентичным 5-ступенчатым идентификатором, состоящим из IP-адре- са источника, IP-адреса назначения, порта источника, порта назначения и протокола. На основании этого пакеты объединяются в записи потока, которые накапливают объем передаваемых данных, количество пакетов и другую информацию из сете- вого и транспортного уровня. Однако более пяти лет назад появилась концеп- ция потоковых данных, расширенная информацией из прикладного уровня. Эта концепция в последнее время широко применяется многими поставщиками. Таким образом, подробное представле- ние о протоколах приложений, таких как HTTP, DNS и DHCP, не является пробле- мой в наши дни. Фактически это перево- дит варианты устранения неполадок на совершенно другой уровень. Миф 3. Flow-данные не используют показатели сетевой эффективности До этого мы говорили о поиске неис- правностей. Другая часть головоломки – это мониторинг производительности сети. Он не обеспечивается исключи- тельно за счет захвата пакетов. Показа- тели производительности сети могут быть легко извлечены из пакетных дан- ных и экспортированы как часть стати- стики потока. Индикаторы производи- тельности, такие как RTT, SRT, jitter или количество повторных передач, про- зрачно доступны для всего сетевого трафика, независимо от протокола при- ложения. Учитывая его преимущества, такой подход был принят рядом крупных вендоров, которые предоставляют эти показатели как часть своего расширения AVC (видимость и контроль приложений) ART (время отклика приложений). Это означает, что вы можете измерить про- изводительность всех приложений, рабо- тающих в локальной среде, в частном облаке, а также в общедоступной облач- ной среде. Миф 4. Flow не является комплексным инструментом для мониторинга и диагностики эффективности сети Согласно Gartner, основной целью инструментов NPDM является предостав- ление показателей производительности путем использования полных пакетных данных и возможности исследовать про- блемы сети методом анализа полных трассировок пакетов. Но действительно ли нам нужно решение для захвата паке- тов? Нет. Расширенные flow-данные обес- печивают точную статистику трафика, видимость в L7 (протоколы приложений) и метрики производительности сети, что позволяет полностью использовать сце- нарии использования NPMD. На самом деле с ростом зашифрован- ного трафика, разнородных сред и с увеличением скорости сети неизбежно, что flow станет преобладающим подхо- дом в области NPMD. Увеличение про- пускной способности бросает значимый вызов устаревшим пакетным решениям. Давайте посмотрим на простой пример. Магистраль сети емкостью 10G потребует до 108 Тбайт хранилища данных для отслеживания всего сетевого трафика в течение 24 часов. Это огромный объем данных, которые необходимо собирать, хранить и анализировать, что делает весь процесс чрезвычайно дорогим. В действительности вам понадобится только часть их. Представим, что вам нужно устранить очень специфическую проблему с непод- держиваемым протоколом приложения, когда в flow-данных отсутствует види- мость. В таком случае нужен инструмент на основе захвата пакетов, верно? На самом деле, не совсем. Вместо того чтобы просто извлекать все метаданные из пакетов, вы даете задачу запустить захват пакетов. Эта задача будет ограничена во времени и строго сфоку- сирована на записи пакетов, имеющих отношение к вашему исследованию. Таким образом, выборочный захват пакетов по требованию легко обрабаты- вается даже в 10G-среде без необходи- мости в большой емкости хранилища. Flow-данные в динамике будущего Flow-данные – больше не игрушка, доступная только в нескольких случаях ограниченного использования. Техноло- гия расширенных flow-данных настолько созрела, что стала современным инстру- ментом, обеспечивающим достаточную степень детализации для решения сете- вых инцидентов, проблем конфигурации, планирования емкости и т.д. По сравне- нию с инструментами непрерывного захвата пакетов она дополнительно обладает непревзойденной масштаби- руемостью, гибкостью и простотой использования. В результате flow-данные экономят время, снижают MTTR и общую стоимость сетевых операций. Flow-дан- ные не ограничиваются работой сети, мониторингом производительности и устранением неполадок. Это основа для анализа поведения сети, способная обна- руживать и сообщать о показателях компрометации, удаленном движении, APT, сетевых атаках и т.д. Flow-данные проникают в корпора- тивную среду, и с непрерывным внед- рением облачных технологий, IoT, SDN и повсеместным ростом пропускной способности эта тенденция будет только продолжаться. l • 41 ЗАЩИТА СЕТЕЙ www.itsec.ru low-данные широко известны в ИT-сообществе на протяжении многих лет и используются, например, в таких случаях, как биллинг, планирование мощностей и защита от DDoS-атак, в основном в сегменте Telco. ИT-менеджеры и ИT-директора предприятий и организаций только недавно начали изучать их огромный потенциал. Тем не менее в сетевом сообществе все еще сохраняются мифы, препятствующие более быстрому внедрению flow-технологий. Давайте рассмотрим четыре основных. F Павел Минарик, CTO Flowmon Networks Ваше мнение и вопросы присылайте по адресу is@groteck.ru Четыре мифа о Netflow