Ingress vs egress : sembra esserci un dibattito senza fine su questi termini. Sono un po' arcaici e il loro significato sembra essere diverso nelle diverse situazioni.
Oggi faremo del nostro meglio per cercare di far luce su questo mistero. Tuttavia, non vogliamo entrare in un dibattito filosofico. Il nostro unico obiettivo è fare del nostro meglio per spiegare questi termini e come vengono generalmente utilizzati nel contesto del networking. Ma anche questo, come stai per vedere, può tendere ad essere piuttosto confuso.
Ingresso contro uscita
- Inizieremo definendo questi due termini, prima linguisticamente e poi nel contesto specifico delle reti di computer.
- Spiegheremo poi come il loro significato può variare in base al proprio punto di vista o in base allo scopo che stiamo contemplando. Lo stesso traffico in uscita in una situazione può diventare traffico in ingresso in un'altra.
- Successivamente, parleremo del monitoraggio del traffico in entrata e in uscita e introdurremo alcuni dei migliori strumenti che puoi utilizzare a tale scopo. Ma aspetta! C'è più.
- Discuteremo anche dell'uscita nel contesto specifico della sicurezza dei dati e introdurremo un paio di best practice per proteggerti dall'uscita dei dati.
- E, mantenendo le nostre buone abitudini, esamineremo alcuni dei migliori strumenti SIEM che puoi utilizzare per rilevare l'uscita di dati indesiderata.
Definizione di ingresso e uscita
Linguisticamente parlando, definire una di queste parole non potrebbe essere più facile (gioco di parole). Vediamo cosa dice in proposito il dizionario Merriam-Webster.
- Semplicemente e chiaramente (quasi noiosamente) definisce l'ingresso come " l'atto di entrare" . Abbastanza semplice, no?
- E l'uscita non è molto più complicata in quanto la stessa fonte la definisce come “ l'azione di andare o uscire” .
Anche qui, una definizione piuttosto semplice. Se ti interessa controllare altre fonti, troverai un consenso definito. L'ingresso sta entrando mentre l'uscita sta uscendo.
Nel contesto del traffico di rete
Ma questo post sul blog non riguarda la linguistica, riguarda l'amministrazione della rete. E questo è dove l'ingresso e l'uscita possono diventare un po' più confusi. È sempre lo stesso, però, e ha a che fare con i dati che entrano e escono da una rete, un dispositivo o un'interfaccia. Finora niente di complicato. Dove diventa difficile, però, è quando le persone non sono d'accordo su cosa è dentro e cosa è fuori. Vedete, a volte i dettagli di uno sono i lati negativi di un altro.
Dipende tutto dal tuo punto di vista
L'ingresso o l'uscita, quando si fa riferimento al traffico di rete, ha a che fare con il modo in cui vedi le cose, dipende dal tuo punto di vista. Nella maggior parte delle altre situazioni, dentro è dentro e fuori è fuori; non c'è niente di confuso in questo. Questo, tuttavia, non è tanto il caso delle reti. Proviamo a chiarirlo usando alcuni esempi concreti.
Il nostro primo esempio è quello di un gateway Internet. Potrebbe essere un router, un server proxy o un firewall, non importa. È il dispositivo che si trova tra la tua rete locale e Internet. In questo caso, penso che tutti sarebbero d'accordo sul fatto che Internet sia considerato l'esterno e la rete locale, l'interno.
Quindi, il traffico proveniente da Internet ALLA rete locale sarebbe traffico in entrata e il traffico DALLA rete locale A Internet sarebbe traffico in uscita. Finora, è ancora semplice.
Ma se guardi le cose dal punto di vista dell'interfaccia di rete, le cose cambiano. Nell'esempio precedente, se si osserva il traffico sull'interfaccia LAN, il traffico diretto a Internet è ora traffico in ingresso mentre entra nel gateway. Allo stesso modo, il traffico diretto alla rete locale non è traffico in uscita poiché esce dal gateway.
Per riassumere, differenziare il traffico in entrata e in uscita richiede che siamo tutti d'accordo su ciò di cui stiamo parlando.
Come abbiamo visto, il traffico in entrata in un contesto può essere traffico in uscita in un altro . Il nostro miglior suggerimento sarebbe di evitare di usare questi termini del tutto o di indicare chiaramente il loro contesto di utilizzo ogni volta che li usi. In questo modo eviterete qualsiasi confusione.
Monitoraggio del traffico in entrata e in uscita
Ora che abbiamo acquisito familiarità con la terminologia, diamo un'occhiata al monitoraggio del traffico in ingresso e in uscita.
In genere, questo viene fatto utilizzando un software speciale chiamato monitoraggio della rete o strumenti di monitoraggio della larghezza di banda. Questi strumenti utilizzano il protocollo SNMP (Simple Network Management Protocol) per leggere i contatori dell'interfaccia dalle apparecchiature connesse alla rete. Questi contatori calcolano semplicemente il numero di byte in entrata e in uscita da ciascuna interfaccia di rete.
Tieni presente che gli strumenti di monitoraggio utilizzano raramente l'ingresso e l'uscita e di solito fanno riferimento al traffico in entrata e in uscita da un'interfaccia. Sta a te, se lo desideri, determinare quale sia il traffico in entrata e quale sia il traffico in uscita, sempre a seconda del contesto specifico.
Alcuni strumenti che consigliamo
Sono disponibili molti strumenti di monitoraggio della larghezza di banda o della rete. Probabilmente troppi e scegliere il migliore, o anche solo uno buono, può essere una sfida. Abbiamo provato molti degli strumenti disponibili e abbiamo creato questo elenco di alcuni dei migliori strumenti di monitoraggio della larghezza di banda che puoi trovare.
1. Monitoraggio delle prestazioni della rete SolarWinds (PROVA GRATUITA)
SolarWinds è uno dei migliori produttori di strumenti di amministrazione di rete. Il prodotto di punta dell'azienda si chiama SolarWinds Network Performance Monitor o NPM . È una soluzione di monitoraggio della rete molto completa che dispone di un'interfaccia utente grafica intuitiva che gli amministratori possono utilizzare per monitorare i dispositivi e configurare lo strumento.
Il sistema utilizza SNMP per interrogare i dispositivi e visualizzare l'utilizzo delle loro interfacce, nonché altre utili metriche su un dashboard grafico.
Oltre a questa dashboard, è possibile generare vari report integrati su richiesta o in base a un'esecuzione pianificata. E se i report integrati non ti forniscono le informazioni di cui hai bisogno, possono essere personalizzati a piacimento.
Il pacchetto include anche alcuni strumenti utili come la capacità di visualizzare una resa visiva della patch critica tra due punti qualsiasi della rete. Questo strumento è altamente scalabile e si adatta a qualsiasi rete, dalle reti più piccole a quelle di grandi dimensioni, con migliaia di dispositivi distribuiti su più siti.
Il sistema di avviso di SolarWinds Network Performance Monitor è un altro luogo in cui il prodotto brilla. Come i suoi report, è personalizzabile se necessario, ma può anche essere utilizzato immediatamente con una configurazione minima. Il motore di avviso è abbastanza intelligente da non inviare notifiche per eventi "non importanti" nel cuore della notte o da inviare centinaia di notifiche per altrettanti dispositivi che non rispondono quando il problema principale è un router inattivo o uno switch di rete a monte.
Il prezzo per SolarWinds Network Performance Monitor parte da poco meno di $ 3000 e aumenta in base al numero di dispositivi da monitorare.
La struttura dei prezzi è in realtà piuttosto complessa e dovresti contattare il team di vendita di SolarWinds per un preventivo dettagliato.
Se si preferisce provare il prodotto prima di acquistarlo, è disponibile una versione di prova gratuita di 30 giorni per il download dal sito Web di SolarWinds.
2. ManageEngine OpManager
ManageEngine è un altro noto editore di strumenti di gestione della rete.
Il ManageEngine OpManager è una soluzione completa di gestione che consente di gestire praticamente qualsiasi operazione di monitoraggio si può buttare a questo.
Lo strumento funziona su Windows o Linux ed è ricco di fantastiche funzionalità. Tra le altre, c'è una funzione di rilevamento automatico che può mappare la tua rete, offrendoti una dashboard personalizzata in modo univoco.
Il ManageEngine OpManager cruscotto s' è super facile da usare e navigare , grazie alla sua funzionalità di drill-down. E se ti piacciono le app mobili, ci sono app per tablet e smartphone che ti consentono di accedere allo strumento da qualsiasi luogo. Questo è un prodotto nel complesso molto raffinato e professionale.
Gli avvisi sono altrettanto validi in OpManager come lo sono tutti gli altri suoi componenti. È disponibile una serie completa di avvisi basati sulla soglia che aiuteranno a rilevare, identificare e risolvere i problemi di rete. È possibile impostare più soglie con notifiche diverse per tutte le metriche delle prestazioni di rete.
Se vuoi provare il prodotto prima di acquistarlo, è disponibile una versione gratuita. Sebbene sia una versione veramente gratuita piuttosto che una versione di prova a tempo limitato, presenta alcune limitazioni, ad esempio la possibilità di monitorare non più di dieci dispositivi.
Questo è insufficiente per tutte le reti tranne che per la più piccola. Per reti più grandi, puoi scegliere tra i piani Essential o Enterprise . Il primo ti consentirà di monitorare fino a 1.000 nodi mentre l'altro arriva fino a 10.000.
Le informazioni sui prezzi sono disponibili contattando le vendite di ManageEngine .
3. Monitor di rete PRTG
Il PRTG Network Monitor , che chiameremo semplicemente PRTG , è un altro ottimo sistema di monitoraggio. Il suo editore afferma che questo strumento può monitorare tutti i sistemi, i dispositivi, il traffico e le applicazioni della tua infrastruttura IT. È un pacchetto all-inclusive che non si basa su moduli esterni o componenti aggiuntivi che devono essere scaricati e installati. A causa della sua natura integrata, è più veloce e più facile da installare rispetto alla maggior parte degli altri strumenti di monitoraggio della rete. Puoi scegliere tra alcune interfacce utente diverse come una console aziendale Windows, un'interfaccia web basata su Ajax e app mobili per Android e iOS.
Il Network Monitor PRTG è diverso dalla maggior parte degli altri strumenti di monitoraggio, in quanto si basa-sensore. Varie funzioni di monitoraggio possono essere aggiunte allo strumento semplicemente configurando sensori aggiuntivi. Sono come i plugin tranne per il fatto che non sono moduli esterni ma sono invece inclusi nel prodotto. PRTG include oltre 200 di questi sensori che coprono diverse esigenze di monitoraggio. Per le metriche delle prestazioni di rete, il sensore QoS e il sensore PING avanzato consentono di monitorare la latenza e il jitter, mentre il sensore SNMP standard consente di monitorare il throughput.
La struttura dei prezzi di PRTG è piuttosto semplice. C'è una versione gratuita che è completa ma limiterà la tua capacità di monitoraggio a 100 sensori. C'è anche una versione di prova di 30 giorni che è illimitata ma tornerà alla versione gratuita una volta terminato il periodo di prova. Se desideri continuare a monitorare più di 100 sensori oltre il periodo di prova, dovrai acquistare una licenza. Il loro prezzo varia in base al numero di sensori da $ 1 600 per 500 sensori a $ 14 500 per sensori illimitati. Ogni parametro monitorato conta come un sensore. Ad esempio, il monitoraggio della larghezza di banda su ciascuna porta di uno switch a 48 porte conterà come 48 sensori.
Uscita nel contesto della sicurezza
C'è un altro uso del termine uscita tra gli amministratori di rete e di sistema che è specifico per il contesto della sicurezza dei dati. Si riferisce ai dati che escono dalla rete locale di un'organizzazione. I messaggi di posta elettronica in uscita, i caricamenti nel cloud o i file che vengono spostati su un dispositivo di archiviazione esterno sono semplici esempi di uscita di dati. È una parte normale dell'attività di rete, ma può rappresentare una minaccia per le organizzazioni quando i dati sensibili vengono divulgati a destinatari non autorizzati, inconsapevolmente o intenzionalmente.
Minacce che coinvolgono l'uscita di dati
Le informazioni sensibili, proprietarie o facilmente monetizzabili sono spesso prese di mira da criminali informatici di ogni tipo. Il rilascio di informazioni sensibili o proprietarie al pubblico o ad organizzazioni concorrenti è una vera preoccupazione per le imprese, i governi e le organizzazioni di ogni tipo. Gli attori delle minacce possono tentare di rubare dati sensibili attraverso gli stessi metodi che molti dipendenti usano ogni giorno, come e-mail, USB o upload su cloud.
Best practice per prevenire l'uscita indesiderata di dati
C'è molto che puoi fare per proteggere la tua organizzazione dall'uscita di dati non autorizzati, ma alcuni di questi sono particolarmente importanti. Diamo un'occhiata a due degli elementi essenziali che devi fare.
Creare un criterio di applicazione del traffico dati e di utilizzo accettabile
Includi le parti interessate per definire la tua politica di utilizzo accettabile. La politica dovrebbe essere molto accurata e proteggere le risorse della tua azienda. Potrebbe, ad esempio, includere un elenco di servizi accessibili a Internet approvati e linee guida per l'accesso e la gestione dei dati sensibili. E non dimenticare che una cosa è creare tali criteri, ma devi anche comunicarli agli utenti e assicurarti che li capiscano.
Implementa le regole del firewall per bloccare l'uscita verso destinazioni dannose o non autorizzate
Un firewall di rete è solo una delle numerose linee di difesa contro le minacce. È un buon punto di partenza in cui è possibile garantire che l'uscita dei dati non avvenga senza un'autorizzazione esplicita.
SIEM – Per aiutare a prevenire l'uscita di dati
Qualunque cosa tu faccia, il monitoraggio rimane uno dei modi migliori per proteggersi dall'uscita di dati. Ogni volta che si verifica una perdita di dati, è necessario saperlo subito in modo da poter agire di conseguenza. È qui che gli strumenti di Security Information and Event Management (SIEM) possono essere d'aiuto.
Concretamente, un sistema SIEM non fornisce alcuna protezione rigida. Il suo scopo principale è semplificare la vita degli amministratori di rete e di sicurezza come te. Ciò che realmente fa un tipico sistema SIEM è raccogliere informazioni da vari sistemi di protezione e rilevamento, correlare tutte queste informazioni assemblando eventi correlati e reagire a eventi significativi in vari modi. La maggior parte delle volte, gli strumenti SIEM includono anche qualche forma di reportistica e/o dashboard.
Alcuni dei migliori strumenti SIEM
Per darti un'idea di ciò che è disponibile e per aiutarti a scegliere lo strumento SIEM giusto per le tue esigenze, abbiamo assemblato questo elenco di alcuni dei migliori strumenti SIEM.
1. SolarWinds Security Event Manager (PROVA GRATUITA)
Lo stesso SolarWinds che ci ha portato il Network Monitor recensito sopra ha anche un'offerta per le informazioni sulla sicurezza e la gestione degli eventi. In effetti, è uno dei migliori strumenti SIEM disponibili. Potrebbe non essere completo come alcuni altri strumenti, ma quello che fa, lo fa molto bene e ha tutte le funzionalità richieste. Lo strumento si chiama SolarWinds Security Event Manager ( SEM ). È meglio descritto come un sistema SIEM entry-level, ma è probabilmente uno dei sistemi entry-level più competitivi sul mercato. Il SolarWinds SEM ha tutto ciò che ci si può aspettare da un sistema SIEM, tra cui un'eccellente gestione dei registri e funzionalità di correlazione che possono aiutare a rilevare l'uscita di dati non autorizzati e un impressionante motore di reporting.
PROVA GRATUITA: SolarWinds Security Event Manager
Link ufficiale per il download: https://www.solarwinds.com/security-event-manager/registration
Per quanto riguarda le funzionalità di risposta agli eventi dello strumento, come previsto da SolarWinds , non lasciano nulla a desiderare. Il dettagliato sistema di risposta in tempo reale reagirà attivamente a ogni minaccia. E poiché si basa sul comportamento piuttosto che su una firma, sei protetto da minacce sconosciute o future. La dashboard dello strumento è forse una delle sue migliori risorse. Con un design semplice, non avrai problemi a identificare rapidamente le anomalie. A partire da circa $ 4 500, lo strumento è più che conveniente. E se vuoi provarlo prima, è disponibile per il download una versione di prova gratuita di 30 giorni completamente funzionale.
Link ufficiale per il download: https://www.solarwinds.com/security-event-manager/registration
2. Sicurezza aziendale Splunk
Probabilmente uno dei sistemi SIEM più popolari, Splunk Enterprise Security, o semplicemente Splunk ES , come viene spesso chiamato, è famoso per le sue capacità analitiche. Splunk ES monitora i dati del tuo sistema in tempo reale, cercando vulnerabilità e segni di attività anomala. Il sistema utilizza Splunk ‘s propria Adaptive Framework Response ( ARF ) che si integra con attrezzature da più di 55 fornitori di sicurezza. L' ARFesegue una risposta automatizzata, consentendoti di prendere rapidamente il sopravvento. Aggiungete a ciò un'interfaccia utente semplice e ordinata e avrete una soluzione vincente. Altre caratteristiche interessanti includono la funzione "Notables" che mostra avvisi personalizzabili dall'utente e "Asset Investigator" per segnalare attività dannose e prevenire ulteriori problemi.
Splunk ES è un prodotto di livello aziendale e, come tale, viene fornito con un cartellino del prezzo di dimensioni aziendali. Sfortunatamente, non puoi ottenere molte informazioni sui prezzi dal sito Web di Splunk e dovrai contattare il reparto vendite per ottenere un preventivo. Nonostante il suo prezzo, questo è un ottimo prodotto e potresti voler contattare Splunk per approfittare di una prova gratuita disponibile.
3. NetWitness
Negli ultimi anni, NetWitness si è concentrata sui prodotti che supportano " consapevolezza situazionale della rete profonda e in tempo reale e risposta agile della rete ". Dopo essere stata acquistata da EMC che si è poi fusa con Dell , il business Netwitness fa ora parte della filiale RSA della società. E questa è una buona notizia in quanto RSA ha un'eccellente reputazione in materia di sicurezza.
NetWitness è l'ideale per le organizzazioni che cercano una soluzione di analisi di rete completa. Lo strumento incorpora informazioni sulla tua attività che aiutano a dare la priorità agli avvisi. Secondo RSA , il sistema " raccoglie dati su più punti di acquisizione, piattaforme di elaborazione e fonti di intelligence sulle minacce rispetto ad altre soluzioni SIEM ". C'è anche il rilevamento avanzato delle minacce che combina analisi comportamentali, tecniche di data science e intelligence sulle minacce. Infine, il sistema di risposta avanzato vanta capacità di orchestrazione e automazione per aiutare a eliminare le minacce prima che abbiano un impatto sulla tua attività.
Uno dei principali svantaggi di NetWitness è che non è il più semplice da configurare e utilizzare. Tuttavia, è disponibile un'ampia documentazione che può aiutare nell'impostazione e nell'utilizzo del prodotto. Questo è un altro prodotto di livello aziendale e, come spesso accade con tali prodotti, dovrai contattare le vendite per ottenere informazioni sui prezzi.