Vor-und Nachteile der passiven Netzwerk-Analyse
Der passive Netzwerk-Analyse-Ansatz hat mehrere Vorteile: • Der Analysator nicht mit dem Netzwerk zu interagieren, um Hosts zu entdecken und die damit verbundenen Sicherheitslücken. • Nur die Schnittstelle, über die der Benutzer auf die Software von Berichten erhalten, aktiv ist. • Wenig bis gar keine Tests erforderlich sicher zu sein, gibt es keine negativen Auswirkungen auf das Netzwerk oder Hosts. Da die Technologie ist völlig passiv, wenig Überprüfung erforderlich. Auch wenn das Gerät tatsächlich ausfällt, ist es nicht gebracht Inline wo es wäre, um die Bits auf den Draht zu behandeln. • Manchmal kann das Gerät in Kombination mit einer bestehenden IDS installiert werden. Dies vereinfacht die Implementierung ohne Änderungen an der Netzwerk-Switch. • Die Entdeckung Prozess erfolgt kontinuierlich. Neue Rechner werden so schnell offenbart, wie sie mit dem Netzwerk verbunden sind und in Kommunikation treten. Im Gegensatz zu den aktiven Scan-und Agenten können Schwachstellen nicht bis zum nächsten Scan-Zyklus bekannt sein. • Hidden Gastgeber entdeckt werden können, die nicht hören für aktive Sondierung Verkehr auf dem Netz. Stattdessen beherbergt die beiden nur durch die Einleitung Gespräch über das Netzwerk kommunizieren können und daher nur passiv erkannt werden. Da Routing-Protokolle und andere Netzwerk-Informationen sind auch sichtbar für die Traffic-Analyzer, kann es auch in der Lage, die Topologie des Netzwerks und diese Informationen benutzen, um ein Bild von der Angriffsfläche ein komplexeres Netzwerk zu schaffen. Diese Art von Informationen können auch per authentifiziert aktive Scans gewonnen werden und durch die Bereitstellung Konfigurationsdaten an spezielle Werkzeuge. Es gibt auch einige interessante Nachteile dieser Technologie: • Das Gerät muss in der Regel auf den Schalter, dass der Verkehr trägt installiert werden, die überwacht werden soll. Fernüberwachung von einem Netzwerk ist oft nicht praktisch über ein stark belastetes WAN-Verbindung. Dadurch wird die Anzahl der Standorte, die gescannt werden. Wenn Ihre Organisation Monitoring erfordert, auf einer breiten geografischen Ausdehnung, darf dies nicht auf die richtige Technologie. • Der Mechanismus, der Kopien Schalter Verkehr auf das physische Gerät können zusätzliche CPU-Last auf den Schalter führen. Diese zusätzliche Belastung kann die Leistung von Routing unteren, Zugangskontrolle oder andere CPU-intensive Operationen. • Es gibt nur begrenzte Einsicht in Schwachstellen. Viele der Schwachstellen, die mit einem Host-Anbieters oder aktive entdeckt werden können, authentifiziert Scannen des Netzwerks kann nicht durch die Analyse von Netzwerkverkehr erkannt werden. Insgesamt können passive Analyse nicht so viele Schwachstellen auf Systemen zu sehen, aber sie haben einen 24 Stunden am Tag und bieten Netzwerk-Topologie Informationen, die sonst nicht verfügbar wäre. Änderungen an der Umwelt auf das Netzwerk und Hosts würde erkannt werden zuerst mit der passiven Analyse-Methode, wenn die Schwachstellen eines Netzwerks Platzbedarf haben. Ein Artikel eingereicht von Paula Oberman
|
|||||
|