Análise forense do tráfego de rede com VTAP

O VTAP (Virtual Test Access Point) é um recurso do Oracle Cloud Infrastructure (OCI) que fornece captura de pacote do tráfego de rede e coleta os dados necessários para uma análise de rede sofisticada.

A captura de pacotes evoluiu com o tempo. Como teoria, é a prática de capturar tráfego de rede para revisão e análise. Em termos práticos, isso significa capturar todas as rotas de saída e entrada de dados possíveis para qualquer área que mostre atividade suspeita.

O VTAP fornece um serviço nativo da OCI para captura e análise completas da rede. No OCI, o VTAP de origem captura o tráfego com base em um filtro de captura, o encapsula com o protocolo VXLAN e o espelha com o destino designado. Você pode monitorar e analisar o tráfego espelhado em tempo real com ferramentas de análise de tráfego padrão ou pode armazenar o tráfego para uma análise forense mais abrangente em uma data posterior.

Arquitetura

Esta arquitetura usa VTAP para capturar o tráfego de rede para a VNIC de máquina virtual e o Autonomous Data Warehouse. Os dados VTAP fluem para o balanceador de carga de rede e são roteados para a instância de computação VTAP Traffic Data.

O diagrama a seguir ilustra essa arquitetura de referência.

Descrição da ilustração vtap-forensic-analysis.png

vtap-análise forense-oracle.zip

O VTAP pode espelhar o tráfego das seguintes origens:

• Uma única VNIC de instância de computação em uma sub-rede
• Um balanceador de carga como serviço (LBaaS)
• Um banco de dados OCI
• Um cluster de VMs do exadata
• Um Autonomous Data Warehouse, por meio de um ponto final privado

Nesta arquitetura, estamos espelhando o tráfego da VNIC do servidor Web e do Autonomous Data Warehouse. O VTAP captura todos os pacotes que passam pela VNIC.

O tráfego VTAP captura o fluxo para o balanceador de carga de rede, que o direciona para uma instância de computação. Um listener, como uma ferramenta forense de rede, seleciona o fluxo e permite analisar os dados e reconstruir interações cliente/servidor, mesmo quando empregado em uma topologia clusterizada. Isso dá às equipes de análise forense uma maior amplitude de dados com configuração quase instantânea, bem como acesso e análise em tempo real.

Na sua ferramenta forense, você também pode enviar os dados capturados para o OCI Object Storage por meio do Storage Gateway. O Storage Gateway então define políticas apropriadas de ciclo de vida e acesso aos dados, garantindo que nenhum dado seja modificado, perdido ou corrompido.

O OCI Object Storage atende aos requisitos regulatórios e legais para retenção de registros em longo prazo, em termos de alta durabilidade e alta disponibilidade. Você também pode garantir que nenhum dado seja manipulado durante o processo forense, ativando políticas como bloqueio de objetos e tipos de objetos imutáveis e de buckets. Você pode usar o OCI File Storage padrão para acessar os objetos com outras ferramentas que exigem layouts de sistema de arquivos hierárquicos mais tradicionais.

Essa arquitetura de referência contém os seguintes componentes.

• Região

  Uma região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, denominados domínios de disponibilidade. As regiões são independentes das outras regiões, e grandes distâncias podem se separar (em países ou até mesmo continentes).

• Domínios de disponibilidade

  Os domínios de disponibilidade são data centers independentes e independentes dentro de uma região. Os recursos físicos de cada domínio de disponibilidade são isolados dos recursos de outros domínios de disponibilidade, que oferecem tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura como energia ou resfriamento ou rede interna. Portanto, é pouco provável que uma falha em um domínio de disponibilidade afete os outros domínios

• Domínios de falha

  Domínio de falha é um agrupamento de hardware e infraestrutura dentro de um domínio de disponibilidade. Cada domínio de disponibilidade tem três domínios de falha com energia e hardware independentes. Quando você distribui recursos entre diversos domínios de falha, seus aplicativos podem tolerar falha física do servidor, manutenção do sistema e falhas de alimentação dentro de um domínio de falha.

• Rede virtual na nuvem (VCN) e sub-redes

  Uma VCN é uma rede personalizável definida por software que você configura em uma região do Oracle Cloud Infrastructure. Como as redes de data center tradicionais, as VCNs dão a você total controle sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você pode alterar após criar a VCN. Você pode segmentar uma VCN em sub-redes, que podem ter escopo em uma região ou em um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contínuo de endereços que não se sobrepõem com as outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.

• Serviço de Balanceamento de Carga da Rede Flexível (Balanceador de Carga da Rede)

  O Balanceador de Carga de Rede fornece distribuição automatizada de tráfego de um ponto de entrada para vários servidores de backend na sua VCN (rede virtual na nuvem). Ele opera no nível de conexão e balanceia cargas de conexões do cliente de entrada para servidores de backend íntegros com base nos dados da Camada 3/Camada 4 (protocolo IP).

• Gateway de internet

  O gateway de internet permite o tráfego entre as sub-redes públicas em uma VCN e a internet pública.

• Gateway NAT (Network address translation)

  Um gateway NAT permite que recursos privados em uma VCN acessem hosts na internet, sem expor esses recursos a conexões provenientes da internet.

• Autonomous Data Warehouse

  O Oracle Autonomous Data Warehouse é um serviço de banco de dados independente, com autoproteção e autorreparo otimizado para cargas de trabalho de data warehousing. Não é necessário configurar ou gerenciar nenhum hardware ou instalar qualquer software. O Oracle Cloud Infrastructure controla a criação do banco de dados, bem como o backup, a aplicação de patches, o upgrade e o ajuste do banco de dados.

• Object Storage

  O armazenamento de objetos fornece acesso rápido a grandes volumes de dados estruturados e não estruturados de qualquer tipo de conteúdo, incluindo backups de bancos de dados, dados analíticos e conteúdo avançado, como imagens e vídeos. Você pode armazenar e, em seguida, recuperar dados diretamente da internet ou de dentro da plataforma de nuvem. Você pode escalar o armazenamento de forma integrada sem experimentar qualquer degradação no desempenho ou na confiabilidade do serviço. Use o armazenamento padrão para armazenamento "quente" que você precisa acessar de forma rápida, imediata e frequente. Use o armazenamento de arquivos compactados para armazenamento "frio" que você mantém por longos períodos de tempo e raramente acessa.

• Lista de segurança

  Para cada sub-rede, você pode criar regras de segurança que especifiquem a origem, o destino e o tipo de tráfego que deve ser permitido dentro e fora da sub-rede.

• Tabela de roteamento

  As tabelas de roteamento virtual contêm regras para rotear o tráfego de sub-redes para destinos fora de uma VCN, geralmente por meio de gateways.

Recomendações

Use as recomendações a seguir como ponto de partida para configurar e usar o VTAP para uma análise forense da sua rede virtual.Seus requisitos podem ser diferentes da arquitetura descrita aqui.

• Prioridade de tráfego

  Ative o modo de prioridade VTAP. Isso garante que o tráfego monitorado e o tráfego espelhado VTAP tenham prioridade igual. Quando você ativa esse modo, o tráfego espelhado pode fazer com que parte do tráfego monitorado seja eliminado sempre que a origem estiver congestionada. Se essa perda de pacote for detectada, você poderá desativar o modo de prioridade ou atualizar as formas de origem para acomodar mais largura de banda.

• Análise forense e auditoria

  Configure seu armazenamento de objetos para garantir que seus dados possam ser auditados de forma confiável. As melhores práticas incluem logs de auditoria e o uso de somas md5 para confirmar que seus dados não foram adulterados.

Considerações

Ao ativar a coleta de dados VTAP em sua rede, considere essas opções de configuração.

• Disponibilidade VTAP

  O recurso VTAP está sendo implantado globalmente, mas pode não estar imediatamente disponível em todas as regiões geográficas. Recomendamos que você confirme se ela está disponível para sua região antes de planejá-la.

• Custo

  Não há cobrança pelo VTAP. No entanto, o VTAP aumenta o tráfego na VNIC, o que incorrerá em um encargo. Você pode reduzir os recursos necessários aplicando um filtro de captura do VTAP específico do aplicativo que está analisando, como HTTP/80 ou HTTPS/443.

Saiba Mais

Saiba mais sobre o VTAP e a análise forense.

Analise esses recursos adicionais:

• Anúncio do VTAP para o Oracle Cloud Infrastructure
• Referência dos Pontos de Acesso ao Teste Virtual
• Estrutura de práticas recomendadas para o Oracle Cloud Infrastructure
• Solucionar problemas de rede com o serviço Virtual Test Access Points no OCI

Confirmações

• Autor: Michael Rutledge
• Colaborador: Chiping Hwang