Dobře fungující síť jako základ kybernetické bezpečnosti

Sdílet

 Autor: Gopas
Stabilní a bezpečná síť je základem pro efektivní obranu proti kybernetickým hrozbám. Potřebuje ji každá organizace, bez ohledu na velikost. Jak na bezvýpadkovou, výkonnou a bezpečnou síť?

Neexistuje jednoznačný standard, jak dosáhnout dobře fungující datové sítě. Přesto se dá říct, že se jedná o kombinaci vhodného návrhu architektury datové sítě z pohledu topologie, použité technologie a komunikačních protokolů. To vše s ohledem na rozsah, potřeby a členění organizace, ať už geografické nebo logické.

Při pohledu do praxe se často setkáváme s nedostatky, které lze poměrně snadno eliminovat, pokud je správně odhalena jejich příčina.

Časté příčiny nestability sítě a jejího zpomalení

Podívejme se na některé z častých zdrojů problému:

Chybná konfigurace Spanning Tree Protokolu (STP) a jeho variant Multiple Spanning Tree Protocol, Rapid Spanning Tree Protocol či Shortest Path Bridging způsobuje neočekávané výpadky a cyklické nedostupnosti zařízení v síti.

Následné projevy jsou různé – od cyklení dat v síti, kdy data jednoduše cyklí do vypršení TTL (Time To Live parametr paketu) a nedoručí se, případně se projeví zvýšeným počtem „Out of Order“ paketů, které cyklí v síti a nedoručí se ve správném pořadí.

Setkáte se i s opakovaným restartováním ethernetového kanálu mezi firewalem či routerem „Port Channel“ na L2 vrstvě (Ether/Port Channel) v rámci neúspěšné negociace STP protokolu. V takovém případě síť sice funguje, ale má opakované výpadky na páteřním prvku nebo v jednotlivých segmentech.

Mezi další projevy chybně konfigurovaného STP patří i zvýšený přenosový čas RTT spojení uvnitř sítě, úplné dočasné výpadky vnitřní sítě nebo zvýšená přítomnost negociačních paketů na úrovni Port Channel spojení L2 vrstvy.

Typický příklad identifikace výpadků komunikace na úrovni TCP/IP spojení

Typický příklad identifikace výpadků komunikace na úrovni TCP/IP spojení

Autor: Greycortex

Dalším zdrojem problémů je také nedoručení dat v podobě vysokého počtu retransmisí (vynuceného přeposílaných paketů – takzvané Retransmitted packets, Retransmissions) z důvodu problému na fyzické vrstvě L2. Častou příčinou bývá přepoj mezi 1GE a 10GE propojem segmentů, špatně stíněné kabely, problém v konektoru/síťové kartě, nebo špatný wifi signál. Dříve se mohlo jednat o zahlcený operační systém a jeho nevýkonný TCP/IP stack, ale tento problém už dnes aktuální není.

Třetí častá příčina výpadků na síti je chybná konfigurace systémů s vysokým objemem přenášených dat a dopadem na síti. Může jít o zálohy nebo kamerové systémy, kdy jsou data nechtěně nebo nevědomě distribuována přes celou sít a způsobují zahlcení různých síťových prvků. Tento stav má mnohdy přesah i do bezpečnosti z důvodu vzniků dočasných všesměrových přepínání dat v případě zahlcení síťového přepínače.

Detailnější informace a popis dalších příčin najdete na blogu GREYCORTEX.

Monitoring sítě jako prevence síťových problémů

Jak tyto problémy analyzovat? Řešením může být monitoring a analýza síťové komunikace analytickým nástrojem typu NDR (Network Detection And Response), například českým nástrojem GREYCORTEX Mendel.

Nástroj identifikuje jednotlivé projevy výpadků sítě a snížení kvality přenosových vlastností sítě. Následně můžete analyzovat a odhalit jednotlivé příčiny. Síťový monitoring identifikuje výpadky v síti, zpoždění sítě a aplikací, zvýšený počet nedoručených nebo přeposílaných paketů, identifikuje chybové stavy negociace STP protokolu. Ukáže datové toky a využití sítě včetně plné síťové topologie a její struktury. Díky těmto informacím identifikujete úzká hrdla komunikace a příčiny nechtěných problémů.

bitcoin_skoleni

Dále vám pomůže odhalením bezpečnostních nedostatků, určením identity a využití vzdálených přístupů, kontrolou dění v perimetru, přítomností malware v interní síti, a především identifikací aktivity útočníků v interní síti dříve, než dojde k závažným bezpečnostním kybernetickým incidentům. 

Chraňte svou síť pevnými základy

Dobře fungující síť je základem pro silnou kybernetickou bezpečnost. Investice do kvalitní síťové infrastruktury je základním prvkem její samotné ochrany, nástroj GREYCORTEX Mendel ji pak doplní o monitoring zařízení, komunikace a provozu, detekci anomálií a široké možnosti analýzy událostí.