Преимущества и недостатки пассивного анализа сетей
Пассивный подход анализа сети имеет ряд преимуществ: • анализатор не взаимодействовать с сетью, чтобы обнаружить хостов и связанные с ними уязвимости. • Только интерфейса, через который пользователь получает доступ к программным обеспечением для получения отчетов является активным. • Маленький, чтобы тестирование не требуется определенное нет негативного воздействия на сеть или хостов. Поскольку технология является полностью пассивным, требуется немного проверки. Даже если физическое устройство не удалось, она не помещается Inline, где было бы справиться с битами по проводам. • Иногда, устройство может быть установлено в сочетании с существующими IDS. Это значительно упрощает реализацию без каких-либо изменений в сетевой выключатель. • Открытие процесс происходит непрерывно. Новые хозяева показали, как только они подключены к сети и начать общение. В отличие от активного сканирования и агентов, уязвимости не могут быть известны до следующего сканирования цикла. • Скрытые хостов может быть обнаружено, что не слушайте для активных зондирующих трафика в сети. Вместо этого, эти хосты только общаться, начав разговор в сети, и поэтому могут быть обнаружены только пассивно. Поскольку протоколы маршрутизации и другой информации, сети также видна анализатор трафика, она может также иметь возможность карта топологии сети и использовать эту информацию для создания картины атак более сложные сети. Такого рода информация может быть получена путем сканирования активных проверку подлинности и предоставления данных конфигурации для специальных инструментов. Существуют также некоторые интересные недостатки этой технологии: • Устройство правило, должен быть установлен переключатель, который несет в себе трафика, который будет контролироваться. Удаленный мониторинг сети часто не практические над оживленной связи WAN. Это позволит ограничить число мест, которые могут быть отсканированы. Если ваша организация требует проведения мониторинга на широком географическом масштабе, это не может быть правильным технологиям. • Механизм, который копирует переключение трафика на физическое устройство может вызвать дополнительную нагрузку на процессор коммутатора. Эта дополнительная нагрузка может привести к снижению производительности маршрутизации, контроля доступа, или другими CPU-интенсивных операций. • Существует ограниченная видимость в уязвимостей. Многие из уязвимостей, которые могут быть обнаружены с агентом хоста или активным, заверенные сканирование сети не могут быть обнаружены путем анализа сетевого трафика. Целом пассивный анализ не может видеть как много уязвимостей системы, но они работают 24 часа в сутки и обеспечивает топологию сети информацию, которая в противном случае будут недоступны. Изменения в окружающей среде в сети и хостов будет обнаружен первый помощью пассивного метода анализа, если эти уязвимости сети след. статьи, представленный Паула Оберман
|
|||||
|