Netværksovervågningsenheder

Indlæg af Hanne Mølgaard Plasc

  Netværksovervågningsenheder aflyt, afkod og fortolker trafik via et lokalt eller internetnetværk. Mens de fleste netværksovervågningsenheder er softwarebaserede, er der et par kommercielt tilgængelige hardwaretrafikindfangnings- og analysesystemer, kaldet IDS (Intrusion Detection Systems). Systemadministratorer og IT-sikkerhedspersonale anvender netværksovervågningsenheder for at sikre normal netværksbåndbredde, håndhæve passende brugspolitik og for at forhindre ondsindet trafik at komme ind i et virksomheds- eller statsnetværkssystem.

Pakksniffer

Pakksniffere er generelle værktøjer til aflytning og afkodning af netværkstrafik. Ved at arbejde på grænsefladeniveau kopierer disse software- eller hardwareenheder rå data fra netværksinfrastruktur til en maskinlæsbar fil kaldet en dumpfil til behandling og tolkning. Avancerede aflytningsværktøjer giver mulighed for at afkoda disse filer, filtrere ud uinteressant trafik og detaljerede statistiske netværkstjenester til administratorer at hente den bedst mulige information fra trafikken. Nogle af de mest almindelige pakkesniffere, der er i brug i dag, er Wireshark (til Windows, Mac og Linux), Tcpdump og Kismet.

Firewall

De fleste virksomheder, store organisationer og selv hjemme brugere er afhængige af firewalls for at forhindre uautoriseret eller ondsindet trafik fra at penetrere et netværk. Systemadministratorer overvåger firewalllogs for trafikomviklinger, så der kan oprettes nye firewallregler for at blokere bestemte trafikmønstre efter behov. Firewalls er påkrævet i de fleste amerikanske regeringssystemer og skal godkendes under FIPS-140-protokollen. Firewalls anbefales kraftigt til ethvert hjem- eller forretningsnetværk, fordi de ved korrekt konfiguration reducerer risikoen for hackeraktivitet på et netværk væsentligt.

Intrusion Detection System

Intrusion Detection Systems (IDS) er smarte kombinerede versioner af pakkesniffere og firewalls, der arbejder for automatisk at registrere ondsindet eller upassende netværkstrafik og blokere den uden brugerintervention. Pakkeanomalitetsdetekteringsalgoritmer bruger whitelister og blacklists til at tillade og blokere adgangen til bestemte netværksværter, mens statistiske oversigtsværktøjer analyserer og registrerer mønstre i trafik, der kan være skadelige for netværksaktivitet, f.eks. Angreb af tjenesten. Snort og Astaro Security Suite er de mest almindelige IDS-enheder, der er tilgængelige i dag.

Pakkeanalysatorer

Pakkeanalysatorer, specielle former for pakkesniffere, bruges til at samle nyttige data fra netværkstrafik. Informationsteknologipersonale bruger ofte pakkeanalysatorer til at finde uhensigtsmæssig trafik i et virksomhedsnetværk, som f.eks. En medarbejder, der spiller Internet-spil i arbejdstiden. Pakkeanalysatorer kigger på værtsnavnet eller Universal Resource Locator (URL) felterne i et DNS (Domain Name System) -pakke og IP (Internet Protocol) -adressen til andre pakker for at bestemme, hvilke websteder der skal besøges. Avancerede detektionssystemer inspicerer også pakkeindhold for at bestemme hvilken type data der transmitteres.