Analisi forense del traffico di rete con VTAP

Virtual Test Access Point (VTAP) è una funzione Oracle Cloud Infrastructure (OCI) che fornisce l'acquisizione dei pacchetti del traffico di rete e raccoglie i dati necessari per un'analisi sofisticata della rete.

L'acquisizione del pacchetto si è evoluta nel tempo. In teoria, è la pratica di catturare il traffico di rete per la revisione e l'analisi. In pratica, ciò significa acquisire tutti i dati possibili in uscita e in entrata per qualsiasi area che mostra attività sospette.

VTAP fornisce un servizio nativo OCI per l'acquisizione e l'analisi complete della rete. In OCI, il VTAP di origine acquisisce il traffico in base a un filtro di acquisizione, lo incapsula con il protocollo VXLAN e lo esegue il mirroring sulla destinazione designata. È possibile monitorare e analizzare il traffico in mirroring in tempo reale con strumenti standard di analisi del traffico oppure memorizzare il traffico per un'analisi forense più completa in un secondo momento.

Architettura

Questa architettura utilizza il protocollo VTAP per acquisire il traffico di rete per la VNIC della virtual machine e per l'Autonomous Data Warehouse. I dati VTAP passano al load balancer di rete e vengono instradati all'istanza di computazione VTAP Traffic Data.

Il diagramma riportato di seguito mostra questa architettura di riferimento.

Descrizione dell'immagine vtap-forensic-analysis.png

vtap-forensic-analysis-oracle.zip

VTAP può eseguire il mirroring del traffico dalle seguenti origini:

• Una singola VNIC dell'istanza di computazione in una subnet
• Un load balancer as a Service (LBaaS)
• Un database OCI
• Un cluster VM exadata
• Un Autonomous Data Warehouse tramite un endpoint privato

In questa architettura stiamo mirroring del traffico dalla VNIC del server Web e da Autonomous Data Warehouse. VTAP acquisisce tutti i pacchetti che passano attraverso la VNIC.

Il traffico VTAP acquisisce il flusso al load balancer di rete, che lo dirige a un'istanza di computazione. Un listener, ad esempio uno strumento di analisi forense della rete, raccoglie il flusso e consente di analizzare i dati e ricostruire le interazioni client/server, anche se utilizzato in una topologia in cluster. Ciò offre ai team di analisi forensi una maggiore quantità di dati con un'impostazione quasi istantanea, nonché accesso e analisi in tempo reale.

Inoltre, potrai inviare i dati acquisiti allo storage degli oggetti OCI tramite Storage Gateway. Storage Gateway imposta quindi criteri appropriati per il ciclo di vita e l'accesso ai dati, assicurando che nessun dato venga modificato, perso o danneggiato.

Lo storage degli oggetti OCI soddisfa i requisiti normativi e legali per la conservazione dei record a lungo termine, sia in termini di elevata durabilità che di alta disponibilità. Puoi anche assicurarti che nessun dato venga manipolato durante il processo forense abilitando criteri come il blocco degli oggetti e i tipi di oggetti e bucket immutabili. Puoi utilizzare lo storage di file OCI standard per accedere agli oggetti con altri strumenti che richiedono layout di file system gerarchici più tradizionali.

Questa architettura di riferimento contiene i componenti riportati di seguito.

• Area

  Un'area Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e le grandi distanze possono separarle (tra paesi o addirittura continenti).

• Domini di disponibilità

  I domini di disponibilità sono data center indipendenti e autonomi all'interno di un'area geografica. Le risorse fisiche presenti in ogni dominio di disponibilità sono isolate dalle risorse presenti negli altri domini di disponibilità, garantendo quindi la tolleranza agli errori. I domini di disponibilità non condividono l'infrastruttura, ad esempio alimentazione o raffreddamento, o la rete interna del dominio di disponibilità. È pertanto improbabile che l'eventuale guasto di un dominio di disponibilità influenzi gli altri domini di disponibilità nell'area.

• Domini di errore

  Un dominio di errore è un raggruppamento di hardware e infrastruttura all'interno di un dominio di disponibilità. Ogni dominio di disponibilità dispone di tre domini di errore, dotati di alimentazione e hardware indipendenti. Quando si distribuiscono le risorse su più domini di errore, le applicazioni possono tollerare l'errore fisico del server, la manutenzione del sistema e gli errori di alimentazione all'interno di un dominio di errore.

• Rete cloud virtuale (VCN) e subnet

  Una VCN è una rete personalizzabile definita dal software che si imposta in un'area Oracle Cloud Infrastructure. Analogamente alle reti di data center tradizionali, i VCN offrono un controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. Puoi suddividere una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è composta da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. Puoi modificare la dimensione di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

• Servizio di bilanciamento del carico di rete flessibile (load balancer di rete)

  Il load balancer di rete offre distribuzione automatica del traffico da un unico punto di accesso a più server backend della tua rete cloud virtuale (VCN). Opera a livello di connessione e carica le connessioni client in entrata verso server backend in buono stato basati sui dati Layer 3/Layer 4 (protocollo IP).

• Gateway Internet

  Il gateway Internet consente il traffico tra le subnet pubbliche in una VCN e la rete Internet pubblica.

• Gateway NAT (Network Address Translation)

  Un gateway NAT consente alle risorse private in una VCN di accedere agli host su Internet, senza esporre tali risorse alle connessioni Internet in entrata.

• Autonomous Data Warehouse

  Oracle Autonomous Data Warehouse è un servizio di database a gestione autonoma, protezione automatica e funzionalità di autoriparazione ottimizzato per i carichi di lavoro di data warehouse. Non è necessario configurare o gestire hardware o installare software. Oracle Cloud Infrastructure gestisce la creazione del database, nonché il backup, l'applicazione di patch, l'aggiornamento e il tuning del database.

• Storage degli oggetti

  Lo storage degli oggetti ti consente di accedere rapidamente a grandi quantità di dati strutturati e non strutturati di qualsiasi tipo di contenuto, inclusi i backup del database, i dati analitici e i contenuti avanzati quali immagini e video. Puoi memorizzare e recuperare i dati in tutta sicurezza direttamente da Internet o dall'interno della piattaforma cloud. Puoi ridimensionare lo storage in modo trasparente senza subire cali di prestazioni o affidabilità dei servizi. Puoi utilizzare lo storage standard per lo storage "hot" a cui hai bisogno per accedere in modo rapido, immediato e frequente. Utilizzare lo storage di archivio per lo storage in grassetto conservato per lunghi periodi di tempo e accesso raramente eseguito.

• Lista di sicurezza

  Per ogni subnet, puoi creare regole di sicurezza che specifichino l'origine, la destinazione e il tipo di traffico che devono essere consentiti verso e dall'esterno.

• Tabella di instradamento

  Le tabelle di instradamento virtuale contengono regole per instradare il traffico dalle subnet alle destinazioni esterne a una VCN, in genere attraverso i gateway.

Suggerimenti

Utilizzare i suggerimenti riportati di seguito come punto di partenza per impostare e utilizzare VTAP per l'analisi forense della rete virtuale.I requisiti potrebbero essere diversi dall'architettura descritta qui.

• Priorità del traffico

  Abilitare la modalità di priorità VTAP. Ciò garantisce la parità di priorità del traffico monitorato e del traffico VTAP mirroring. Quando si abilita questa modalità, il traffico in mirroring può provocare la perdita di parte del traffico monitorato ogni volta che l'origine è congestionata. Se viene rilevata questa perdita di pacchetto, è possibile disabilitare la modalità di priorità o aggiornare le forme di origine in modo che includano più larghezza di banda.

• Forensi e audit

  Configurare lo storage degli oggetti per garantire che i dati possano essere controllati in modo affidabile. Le migliori prassi includono i log di audit e l'utilizzo di somme md5 per verificare che i dati non siano stati manomessi.

Considerazioni

Quando si abilita la raccolta dei dati VTAP nella rete, prendere in considerazione queste opzioni di impostazione.

• Disponibilità VTAP

  La funzione VTAP viene implementata a livello globale, ma potrebbe non essere immediatamente disponibile in tutte le aree geografiche. Si consiglia di confermare che è disponibile per la propria area prima di pianificarne l'utilizzo.

• Costo

  Non sono previsti costi per VTAP. Tuttavia, VTAP aumenta il traffico sulla VNIC, che comporta un addebito. È possibile ridurre le risorse necessarie applicando un filtro di acquisizione VTAP specifico per l'applicazione che si sta analizzando, ad esempio HTTP/80 o HTTPS/443.

Scopri di più

Ulteriori informazioni sull'analisi VTAP e forense.

Esaminare le seguenti risorse aggiuntive:

• Annuncio di VTAP per Oracle Cloud Infrastructure
• Riferimento ai punti di accesso ai test virtuali
• Framework basato sulle migliori prassi per Oracle Cloud Infrastructure
• Risoluzione dei problemi di rete con il servizio Punti di accesso al test virtuale su OCI

Conferme

• Autore: Michael Rutledge
• Contributore: chiping Hwang