Ingress против Egress - в чем разница

Ingress vs egress : похоже, по поводу этих терминов ведутся нескончаемые споры. Они довольно архаичны, и их значение в разных ситуациях может быть разным.

Сегодня мы постараемся пролить свет на эту загадку. Однако мы не хотим ввязываться в философские дебаты. Наша единственная цель - сделать все возможное, чтобы объяснить эти термины и то, как они обычно используются в контексте сетей. Но даже это, как вы скоро увидите, может сбивать с толку.

Вход против выхода

• Мы начнем с определения этих двух терминов сначала лингвистически, а затем в конкретном контексте компьютерных сетей.
• Затем мы объясним, как их значение может варьироваться в зависимости от точки зрения, в зависимости от области, которую мы рассматриваем. Один и тот же исходящий трафик в одной ситуации может стать входящим трафиком в другой.
• Далее мы поговорим о мониторинге входящего и исходящего трафика и представим некоторые из лучших инструментов, которые вы можете использовать для этой цели. Но ждать! Есть больше.
• Мы также обсудим исходящие данные в конкретном контексте безопасности данных и представим несколько передовых методов защиты от исходящих данных.
• И, сохраняя наши хорошие привычки, мы рассмотрим некоторые из лучших инструментов SIEM, которые вы можете использовать для обнаружения нежелательного выхода данных.

Определение входа и выхода

С лингвистической точки зрения, определение любого из этих слов вряд ли может быть проще (каламбур). Давайте посмотрим, что об этом говорится в словаре Мерриама-Вебстера.

• Он просто и ясно (почти скучно) определяет проникновение как « акт проникновения» . Достаточно просто, не так ли?
• И выход не намного сложнее, поскольку тот же источник определяет его как « действие выхода или выхода» .

Здесь снова довольно простое определение. Если вы захотите проверить другие источники, вы найдете определенный консенсус. Вход входит, а выход выходит.

В контексте сетевого трафика

Но это сообщение в блоге не о лингвистике, а об администрировании сети. И здесь вход и выход могут немного запутать. Тем не менее, это все то же самое, и это связано с вводом и выходом данных из сети, устройства или интерфейса. Пока ничего сложного. Однако возникают сложности, когда люди не соглашаются в том, что входит, а что нет. Видите ли, иногда достоинства одного из них являются недостатками другого.

Все зависит от вашей точки зрения

Входящий или исходящий, когда речь идет о сетевом трафике, имеет отношение к тому, как вы видите вещи, это зависит от вашей точки зрения. В большинстве других ситуаций вход есть, а выход нет; в этом нет ничего запутанного. Однако в случае сетей дело обстоит не так. Попробуем пояснить это на нескольких конкретных примерах.

Наш первый пример - это Интернет-шлюз. Это может быть маршрутизатор, прокси-сервер или брандмауэр, это не имеет значения. Это устройство, которое находится между вашей локальной сетью и Интернетом. В этом случае, я думаю, все согласятся, что Интернет считается внешним, а локальная сеть - внутренним.

Таким образом, трафик, поступающий ИЗ Интернета В локальную сеть, будет входящим трафиком, а трафик ИЗ локальной сети В Интернет будет исходящим трафиком. Пока все просто.

Но если вы посмотрите на вещи с точки зрения сетевого интерфейса, все станет иначе. В предыдущем примере, если вы посмотрите на трафик на интерфейсе LAN, трафик, идущий в Интернет, теперь является входящим трафиком, когда он входит в шлюз. Точно так же трафик, идущий в локальную сеть, не является исходящим трафиком, поскольку он выходит из шлюза.

Подводя итог, можно сказать, что различение входящего и исходящего трафика требует, чтобы мы все пришли к согласию в том, о чем мы говорим.

Как мы видели, входящий трафик в одном контексте может быть исходящим трафиком в другом . Нашим лучшим предложением было бы либо вообще избегать использования этих терминов, либо четко указывать контекст их использования каждый раз, когда вы их используете. Так вы избежите путаницы.

Мониторинг исходящего и входящего трафика

Теперь, когда мы знакомы с терминологией, давайте посмотрим на мониторинг входящего и исходящего трафика.

Как правило, это делается с помощью специального программного обеспечения, называемого инструментами мониторинга сети или полосы пропускания. Эти инструменты используют простой протокол управления сетью (SNMP) для считывания счетчиков интерфейсов с подключенного к сети оборудования. Эти счетчики просто подсчитывают количество байтов на входе и выходе каждого сетевого интерфейса.

Обратите внимание, что инструменты мониторинга редко используют входящий и исходящий трафик и обычно относятся к входящему и исходящему трафику интерфейса. При желании вам решать, какой трафик является входящим, а какой - исходящим, опять же, в зависимости от конкретного контекста.

Несколько инструментов, которые мы бы порекомендовали

Доступно множество инструментов для мониторинга пропускной способности или сети. Вероятно, слишком много, и выбор лучшего - или даже просто хорошего - может стать проблемой. Мы перепробовали множество доступных инструментов и составили список из нескольких самых лучших инструментов для мониторинга пропускной способности, которые вы можете найти.

1. Монитор производительности сети SolarWinds (БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД)

SolarWinds - один из лучших производителей инструментов сетевого администрирования. Флагманский продукт компании называется SolarWinds Network Performance Monitor или NPM . Это очень полное решение для мониторинга сети с удобным графическим пользовательским интерфейсом, который администраторы могут использовать для мониторинга устройств и настройки инструмента.

Система использует SNMP для запроса устройств и отображения использования их интерфейсов, а также других полезных показателей на графической панели управления.

В дополнение к этой панели мониторинга можно создавать различные встроенные отчеты либо по запросу, либо на основе запланированного выполнения. А если встроенные отчеты не содержат нужной информации, их можно настроить по своему желанию.

Пакет также включает в себя несколько полезных инструментов, таких как возможность визуального отображения критического исправления между любыми двумя точками сети. Этот инструмент обладает высокой масштабируемостью и подходит для любой сети, от самых маленьких до больших, с тысячами устройств, разбросанных по нескольким сайтам.

• БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД : SolarWinds Network Performance Monitor
• Официальная ссылка для скачивания: https://www.solarwinds.com/network-performance-monitor/registration

Система оповещения SolarWinds Network Performance Monitor - еще одна отличительная черта продукта. Что касается отчетов, его можно настроить при необходимости, но его также можно использовать прямо из коробки с минимальной настройкой. Механизм оповещения достаточно умен, чтобы не отправлять уведомления о «неважных» событиях посреди ночи или отправлять сотни уведомлений для такого же количества неотвечающих устройств, когда основной проблемой является нисходящий маршрутизатор или сетевой коммутатор в восходящем направлении.

Цена на SolarWinds Network Performance Monitor начинается с отметки чуть менее 3000 долларов и увеличивается в зависимости от количества устройств, которые необходимо контролировать.

Структура ценообразования на самом деле довольно сложна, и вам следует связаться с отделом продаж SolarWinds для получения подробного предложения.

Если вы предпочитаете опробовать продукт перед его покупкой, бесплатную 30-дневную пробную версию можно загрузить с веб-сайта SolarWinds.

2. ManageEngine OpManager

ManageEngine - еще один известный издатель инструментов управления сетью.

ManageEngine OpManager представляет собой комплексное решение для управления , который будет обрабатывать почти любые задачи мониторинга вы можете бросить на нее.

Инструмент работает как в Windows, так и в Linux, и в нем есть множество отличных функций. Среди прочего, есть функция автоматического обнаружения, которая может отображать вашу сеть, предоставляя вам уникально настраиваемую панель управления.

ManageEngine OpManager «s приборная панель является очень простой в использовании и навигации , благодаря своей детализацией функциональность. А если вам нравятся мобильные приложения, есть приложения для планшетов и смартфонов, позволяющие получить доступ к инструменту из любого места. Это в целом очень отполированный и профессиональный продукт.

Оповещения в OpManager так же хороши, как и все другие его компоненты. Существует полный набор предупреждений на основе пороговых значений, которые помогут обнаруживать, идентифицировать и устранять проблемы с сетью. Для всех показателей производительности сети можно установить несколько пороговых значений с разными уведомлениями.

Если вы хотите опробовать продукт перед покупкой, доступна бесплатная версия. Хотя это действительно бесплатная версия, а не ограниченная по времени пробная версия, у нее есть некоторые ограничения, например, вы можете контролировать не более десяти устройств.

Этого недостаточно для всех сетей, кроме самых маленьких. Для более крупных сетей вы можете выбрать между планами Essential или Enterprise . Первый позволит вам контролировать до 1000 узлов, а другой - до 10000.

• БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД : ManageEngine OpManager
• Официальная ссылка для скачивания : https://www.manageengine.com/network-monitoring-msp/download.html

Информацию о ценах можно получить, связавшись с отделом продаж ManageEngine .

3. PRTG Network Monitor.

Network Monitor PRTG , который мы будем просто называть PRTG , является еще одной большой системы мониторинга. Его издатель утверждает, что этот инструмент может отслеживать все системы, устройства, трафик и приложения вашей ИТ-инфраструктуры. Это комплексный пакет, который не зависит от внешних модулей или надстроек, которые необходимо загрузить и установить. Благодаря своей интегрированной природе, его установить быстрее и проще, чем большинство других инструментов сетевого мониторинга. Вы можете выбирать между несколькими различными пользовательскими интерфейсами, такими как корпоративная консоль Windows, веб-интерфейс на основе Ajax и мобильные приложения для Android и iOS.

Network Monitor PRTG отличается от большинства других инструментов мониторинга в том , что она на основе датчиков. К инструменту можно добавить различные функции мониторинга, просто настроив дополнительные датчики. Они похожи на плагины, за исключением того, что они не являются внешними модулями, а включены в продукт. PRTG включает в себя более 200 таких датчиков, которые удовлетворяют различные потребности в мониторинге. Для показателей производительности сети датчик QoS и расширенный датчик PING позволяют отслеживать задержку и джиттер, а стандартный датчик SNMP позволяет отслеживать пропускную способность.

PRTG структура ценообразования довольно проста. Существует бесплатная полнофункциональная версия, которая ограничивает ваши возможности мониторинга до 100 датчиков. Существует также 30-дневная пробная версия, которая не ограничена, но вернется к бесплатной версии после окончания пробного периода. Если вы хотите контролировать более 100 датчиков после окончания пробного периода, вам необходимо приобрести лицензию. Их цена варьируется в зависимости от количества датчиков от 1600 долларов за 500 датчиков до 14 500 долларов за неограниченное количество датчиков. Каждый контролируемый параметр считается одним датчиком. Например, мониторинг полосы пропускания на каждом порту коммутатора с 48 портами будет считаться 48 датчиками.

Выход в контексте безопасности

Существует еще одно использование термина «выход» сетевыми и системными администраторами, которое зависит от контекста безопасности данных. Это относится к данным, покидающим локальную сеть организации. Исходящие сообщения электронной почты, загрузка в облако или перемещение файлов во внешнее хранилище - простые примеры исходящих данных. Это нормальная часть сетевой активности, но она может представлять угрозу для организаций, когда конфиденциальные данные просачиваются неавторизованным получателям, неосознанно или злонамеренно.

Угрозы, связанные с выходом данных

Конфиденциальная, служебная или легко монетизируемая информация часто становится целью киберпреступников любого типа. Предоставление конфиденциальной или служебной информации общественности или конкурирующим организациям является реальной проблемой для предприятий, правительств и организаций всех видов. Злоумышленники могут попытаться украсть конфиденциальные данные с помощью тех же методов, которые многие сотрудники используют каждый день, например с помощью электронной почты, USB-накопителя или загрузки в облако.

Лучшие практики для предотвращения нежелательного выхода данных

Вы можете многое сделать для защиты своей организации от несанкционированного доступа к данным, но некоторые из них особенно важны. Давайте посмотрим на две основные вещи, которые вы должны сделать.

Создание политики обеспечения допустимого использования и исходящего трафика данных

Включите заинтересованных лиц, чтобы определить вашу политику допустимого использования. Политика должна быть очень тщательной и защищать ресурсы вашей компании. Он мог бы, например, включать список одобренных доступных через Интернет услуг и руководящих принципов для доступа и обработки конфиденциальных данных. И не забывайте, что создание таких политик - одно дело, но вам также необходимо сообщить о них пользователям и убедиться, что они их понимают.

Внедрите правила брандмауэра, чтобы заблокировать выход в злонамеренные или неавторизованные места назначения.

Сетевой брандмауэр - это лишь одна из нескольких линий защиты от угроз. Это хорошая отправная точка, где вы можете убедиться, что исходящие данные не происходят без явного разрешения.

SIEM - для предотвращения утечки данных

Независимо от того, что вы делаете, мониторинг остается одним из лучших способов защиты от утечки данных. Всякий раз, когда происходит утечка данных, вы хотите знать об этом сразу, чтобы вы могли принять меры. Здесь могут помочь инструменты управления информацией и событиями безопасности (SIEM).

Конкретно, SIEM-система не обеспечивает никакой жесткой защиты. Его основная цель - облегчить жизнь администраторам сети и безопасности, подобным вам. На самом деле типичная SIEM-система собирает информацию от различных систем защиты и обнаружения, коррелирует всю эту информацию, собирая связанные события, и по-разному реагирует на значимые события. В большинстве случаев инструменты SIEM также включают в себя ту или иную форму отчетов и / или информационных панелей.

Некоторые из лучших инструментов SIEM

Чтобы дать вам представление о том, что доступно, и помочь вам выбрать подходящий инструмент SIEM для ваших нужд, мы составили этот список некоторых из лучших инструментов SIEM.

1. Менеджер событий безопасности SolarWinds (БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД)

Тот же SolarWinds, который представил нам рассмотренный выше сетевой монитор, также предлагает предложения для управления информацией о безопасности и событиями. Фактически, это один из лучших доступных инструментов SIEM. Он может быть не таким полнофункциональным, как некоторые другие инструменты, но то, что он делает, работает очень хорошо и имеет все необходимые функции. Инструмент называется SolarWinds Security Event Manager ( SEM ). Лучше всего ее описать как SIEM-систему начального уровня, но, вероятно, это одна из самых конкурентоспособных систем начального уровня на рынке. SolarWinds СЭМ имеет все, что вы можете ожидать от системы SIEM, в том числе отличные функции управления журналами и корреляции, которые могут помочь обнаружить несанкционированный выход данных, и впечатляющий механизм отчетности.

БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД: SolarWinds Security Event Manager

Официальная ссылка для скачивания: https://www.solarwinds.com/security-event-manager/registration

Что касается функций реагирования на события в инструменте, как и ожидалось от SolarWinds , они не оставляют желать ничего лучшего. Подробная система реагирования в режиме реального времени будет активно реагировать на каждую угрозу. А поскольку он основан на поведении, а не на сигнатуре, вы защищены от неизвестных или будущих угроз. Панель инструментов инструмента, возможно, является одним из его лучших активов. Благодаря простому дизайну у вас не будет проблем с быстрым обнаружением аномалий. Инструмент более чем доступен по цене от 4 500 долларов. А если вы хотите сначала попробовать, доступна для загрузки бесплатная полнофункциональная 30-дневная пробная версия.

Официальная ссылка для скачивания: https://www.solarwinds.com/security-event-manager/registration

2. Безопасность предприятия Splunk

Возможно, одна из самых популярных SIEM-систем, Splunk Enterprise Security - или просто Splunk ES , как ее часто называют - известна своими аналитическими возможностями. Splunk ES отслеживает данные вашей системы в режиме реального времени, выявляя уязвимости и признаки аномальной активности. Система использует собственную платформу Adaptive Response Framework ( ARF ) Splunk, которая интегрируется с оборудованием более чем 55 производителей систем безопасности. ARFвыполняет автоматический ответ, позволяя быстро получить преимущество. Добавьте к этому простой и лаконичный пользовательский интерфейс, и вы получите выигрышное решение. Другие интересные функции включают функцию «Notables», которая показывает настраиваемые пользователем предупреждения, и «Asset Investigator» для выявления вредоносных действий и предотвращения дальнейших проблем.

Splunk ES - это продукт корпоративного уровня, поэтому его цена соответствует корпоративному уровню. К сожалению, вы не можете получить подробную информацию о ценах на веб-сайте Splunk , и вам нужно будет связаться с отделом продаж, чтобы получить расценки. Несмотря на свою цену, это отличный продукт, и вы можете связаться со Splunk, чтобы воспользоваться доступной бесплатной пробной версией.

3. NetWitness

В последние несколько лет NetWitness сосредоточилась на продуктах, поддерживающих « глубокую ситуационную осведомленность в сети в реальном времени и быстрое сетевое реагирование ». После покупки компанией EMC, которая затем объединилась с Dell , бизнес Netwitness теперь является частью RSA- отделения корпорации. И это хорошие новости, так как RSA имеет отличную репутацию в сфере безопасности.

NetWitness идеально подходит для организаций, которым требуется комплексное решение для сетевой аналитики. Инструмент включает информацию о вашем бизнесе, которая помогает расставлять приоритеты для предупреждений. Согласно RSA , система « собирает данные по большему количеству точек захвата, вычислительных платформ и источников информации об угрозах, чем другие решения SIEM ». Существует также расширенное обнаружение угроз, которое сочетает в себе поведенческий анализ, методы анализа данных и анализ угроз. И, наконец, расширенная система реагирования может похвастаться возможностями оркестровки и автоматизации, которые помогают устранять угрозы до того, как они повлияют на ваш бизнес.

Одним из основных недостатков NetWitness является то, что его не так просто настроить и использовать. Однако имеется обширная документация, которая может помочь вам в настройке и использовании продукта. Это еще один продукт корпоративного уровня, и, как это часто бывает с такими продуктами, вам необходимо связаться с отделом продаж, чтобы получить информацию о ценах.