孔明看訖,拍案叫苦曰:「是何人教主上如此下寨?可斬此人!」
──《三國演義》──
昨天探討兩個可能位置可能收集到的資料,今天繼續看其他的選項。同樣利用下圖範例公司網路環境,有防火牆,有Switch A的DMZ伺服器區域;有主要的switch B,有Switch E 的Server伺服器區域(裡面還有台ESXi主機)、Switch D的一般電腦主機區域、 Switch C可接筆電 的無線網路區域。昨天提到的防火牆前和Switch A的DMZ區,都無法監控到內網間流量,那麼今天就看看什麼地方可以看到內網間網路流量。
*範例公司網路環境示意圖
在B這地點進行網路安全監控,可以看到大量內網的流量:首先任何來自內網對外去Internet的流量,無論是E 的Server伺服器區域、D的一般電腦主機區域、C 的無線網路區都會通過B這一點;任何由內往向A的DMZ區網路流量也會通過B點;來自Internet或來自 A 的DMZ區向內的網路流量,無論是前往E 的Server伺服器區域、D的一般電腦主機區域、C 的無線網路區,也都會通過B點。
在B點進行網路安全監控大幅提升能見度Visibility,最重要的是能見到內網間彼此的網路流量:例如一台電腦主機從D區要存取E區的檔案伺服器,或者C區的筆電要存取E區的ERP伺服器,這些流量都會通過B點。這是在A點或防火牆外設置監控所看不到的。所以通常選購商用設備例如NIPS (Network Intrusion Prevention SYstem) 或其他需要監控網路流量的內容控制軟體(Content Filtering Software)都會設置在B點,很多購買前需要進行POC測試時也都會選在B點,因為能看到大量網路流量。
但是若在網路環境中有NAT﹝網絡地址轉換Network Address Translation),當網路流量離開D區時原始IP位址已經被轉換過了,到達B點已經不是原始IP位址,而我們需要知道原始IP位址,那該怎麼辦呢?
當我們直接在CDE三點進行網路安全監控,除了可見到原始IP位址,當網路流量只限於同網段,例如一台電腦甲和同在D區間的電腦乙,兩者經過D的網路流量,因為沒有網B點,所以就要在D直接進行監控。C、D同網段區域內的其他網路設備例如印表機或者小型NAS等等亦是同理。
就算是在E點進行監控,以範例公司網路示意圖來看,有分實體和虛擬伺服器,依照情況和環境不同想要監控也可能需要不同的設定。
明天繼續分析在虛擬環境下要怎麼進行。