Análisis forense del tráfico de red con VTAP

El punto de acceso de prueba virtual (VTAP) es una función de Oracle Cloud Infrastructure (OCI) que proporciona la captura de paquetes del tráfico de red y recopila los datos necesarios para un análisis de red sofisticado.

La captura de paquetes ha evolucionado a lo largo del tiempo. Como teoría, es la práctica de capturar el tráfico de red para revisión y análisis. En la práctica, esto significa capturar todas las posibles rutas de entrada y salida de datos para cualquier área que muestre actividad sospechosa.

VTAP proporciona un servicio nativo de OCI para la captura y el análisis completos de la red. En OCI, el VTAP de origen captura el tráfico basado en un filtro de captura, lo encapsula con el protocolo VXLAN y lo duplica al destino designado. Puede supervisar y analizar el tráfico reflejado en tiempo real con herramientas de análisis de tráfico estándar, o bien puede almacenar el tráfico para un análisis forense más completo en una fecha posterior.

Arquitectura

Esta arquitectura utiliza VTAP para capturar el tráfico de red para la VNIC de máquina virtual y Autonomous Data Warehouse. Los datos del VTAP fluyen al equilibrador de carga de red y se enrutan a la instancia informática de datos de tráfico del VTAP.

El siguiente diagrama ilustra esta arquitectura de referencia.

Descripción de la ilustración vtap-forensic-analysis.png

vtap-forensic-analysis-oracle.zip

El VTAP puede reflejar el tráfico desde los siguientes orígenes:

• Una única VNIC de instancia informática en una subred
• Un equilibrador de carga como servicio (LBaaS)
• Una base de datos OCI
• Un cluster de VM de exadata
• Un Autonomous Data Warehouse, a través de un punto final privado

En esta arquitectura, estamos reflejando el tráfico de la VNIC del servidor web y de Autonomous Data Warehouse. El VTAP captura todos los paquetes que pasan por la VNIC.

El tráfico de VTAP captura el flujo al equilibrador de carga de red, que lo dirige a una instancia informática. Un listener, como una herramienta de análisis forense de red, selecciona el flujo y permite analizar los datos y reconstruir las interacciones de cliente/servidor, incluso cuando se utiliza en una topología de cluster. Esto proporciona a los equipos de análisis forenses una mayor variedad de datos con configuración casi instantánea, así como acceso y análisis en tiempo real.

Desde su herramienta forense, también puede enviar los datos capturados a OCI Object Storage a través del gateway de almacenamiento. A continuación, el gateway de almacenamiento define el ciclo de vida adecuado y las políticas de acceso a los datos, lo que garantiza que no se modifiquen, pierdan o dañen los datos.

OCI Object Storage cumple los requisitos normativos y legales para la retención de registros a largo plazo, tanto en términos de alta durabilidad como de alta disponibilidad. También puede asegurarse de que no se manipule ningún dato durante el proceso forense activando políticas como el bloqueo de objetos y los tipos de objetos y cubos inmutables. Puede utilizar OCI File Storage estándar para acceder a los objetos con otras herramientas que requieren diseños de sistemas de archivos jerárquicos más tradicionales.

Esta arquitectura de referencia contiene los siguientes componentes.

• Región

  Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y las grandes distancias pueden separarse (entre países e incluso continentes).

• Dominios de disponibilidad

  Los dominios de disponibilidad son centros de datos independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten una infraestructura tal como la alimentación, la refrigeración o la red interna del dominio de disponibilidad. Por tanto, es poco probable que un fallo en un dominio de disponibilidad afecte a los otros dominios de disponibilidad de la región.

• Dominios de errores

  Un dominio de errores es una agrupación de hardware e infraestructura dentro de un dominio de disponibilidad. Cada dominio de disponibilidad tiene tres dominios de errores con hardware y potencia independientes. Cuando distribuye recursos entre varios dominios de errores, sus aplicaciones pueden tolerar fallos en el servidor físico, el mantenimiento del sistema y los fallos de alimentación dentro de un dominio de errores.

• Red virtual en la nube (VCN) y subredes

  Una VCN es una red personalizable definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes de centros de datos tradicionales, las VCN le proporcionan un control total de su entorno de red. Una VCN puede tener varios bloques CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes que se pueden acotar a una región o a un dominio de disponibilidad. Cada subred consta de un rango contiguo de direcciones que no se solapan con las demás subredes de VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

• Servicio de equilibrio de carga de red flexible (equilibrador de carga de red)

  El equilibrador de carga de red proporciona una distribución automatizada de tráfico desde un punto de entrada hasta varios servidores backend de su red virtual en la nube (VCN). Funciona a nivel de conexión y equilibra la carga de conexiones de clientes entrantes a servidores de backend en buen estado basados en los datos de capa 3/capa 4 (protocolo IP).

• Gateway de internet

  El gateway de Internet permite el tráfico entre las subredes públicas de una VCN y la red pública de Internet.

• Gateway de traducción de direcciones de red (NAT)

  Un gateway de NAT permite que los recursos privados en una VCN accedan a los hosts en Internet, sin exponer dichos recursos a las conexiones de Internet entrantes.

• Autonomous Data Warehouse

  Oracle Autonomous Data Warehouse es un servicio de base de datos autogestionado, autoprotegido y autorreparable que se optimiza para cargas de trabajo de almacenamiento de datos. No es necesario configurar ni gestionar ningún hardware, o instalar cualquier software. Oracle Cloud Infrastructure gestiona la creación de la base de datos, así como la copia de seguridad, la aplicación de parches, la actualización y el ajuste de la base de datos.

• Object Storage

  El almacenamiento de objetos proporciona acceso rápido a grandes cantidades de datos estructurados y no estructurados de cualquier tipo de contenido, incluidas copias de seguridad de bases de datos, datos analíticos y contenido enriquecido, como imágenes y vídeos. Puede almacenar datos de forma segura y, a continuación, recuperarlos directamente desde Internet o desde la plataforma en la nube. Puede ampliar el almacenamiento sin problemas sin experimentar ninguna degradación del rendimiento o la fiabilidad del servicio. Utilice el almacenamiento estándar para el almacenamiento "en caliente" al que necesita acceder de forma rápida, inmediata y frecuente. Utilice el almacenamiento de archivos para el almacenamiento "en frío" que conserva durante largos períodos de tiempo y a los que rara vez se accede o que rara vez se accede.

• Lista de Seguridad

  Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se debe permitir dentro y fuera de la subred.

• Tabla de rutas

  Las tablas de rutas virtuales contienen reglas para enrutar el tráfico desde subredes a destinos fuera de una VCN, normalmente a través de gateways.

Recomendaciones

Utilice las siguientes recomendaciones como punto de partida para configurar y utilizar el VTAP para el análisis forense de la red virtual.Sus requisitos pueden ser diferentes de la arquitectura descrita aquí.

• Prioridad de tráfico

  Active el modo de prioridad de VTAP. Esto garantiza que el tráfico supervisado y el tráfico reflejado del VTAP tengan la misma prioridad. Al activar este modo, es posible que el tráfico reflejado provoque que parte del tráfico supervisado se borre cada vez que se congestione el origen. Si se detecta esta pérdida de paquetes, puede desactivar el modo de prioridad o actualizar las unidades de origen para acomodar más ancho de banda.

• Análisis forense y auditoría

  Configure el almacenamiento de objetos para garantizar que sus datos se puedan auditar de forma fiable. Entre las mejores prácticas se incluyen los logs de auditoría y el uso de sumas de md5 para validar que los datos no se han alterado.

Consideraciones

Al activar la recopilación de datos del VTAP en la red, tenga en cuenta estas opciones de configuración.

• Disponibilidad de VTAP

  La función VTAP se está implementando globalmente, pero puede que no esté disponible inmediatamente en todas las geografías. Le recomendamos que confirme que está disponible para su región antes de planificar su uso.

• Costo

  No hay ningún cargo para VTAP. Sin embargo, el VTAP aumenta el tráfico en la VNIC, lo que genera un cargo. Puede reducir los recursos necesarios aplicando un filtro de captura de VTAP específico de la aplicación que está analizando, como HTTP/80 o HTTPS/443.

Explorar más

Obtenga más información sobre VTAP y análisis forenses.

Revise estos recursos adicionales:

• Anuncio de VTAP para Oracle Cloud Infrastructure
• Referencia de puntos de acceso a pruebas virtuales
• Marco de mejores prácticas para Oracle Cloud Infrastructure
• Solucionar problemas de red con el servicio de puntos de acceso de prueba virtual en OCI

Confirmaciones

• Autor: Michael Rutledge
• Colaborador: Chiping Hwang