NetFlow is een kosteneffectieve meet- en verkeersanalysetechniek die men kan inzetten om inzage en grip te krijgen op netwerkverkeerstromen binnen de IT infrastructuur van organisaties. Als men een vergelijk maakt met het Nederlandse wegennet dan is deze techniek eenvoudiger te begrijpen want er zijn veel overeenkomsten.
Boardroom Bug
De boardroom bug is een speciale vorm van Data Leakage. Vroeger ging dit middels het gebruik van radioverbindingen (de zogeheten BUG).
Opmerking: Het gebruik van bijzondere radioverbindingen is weer terug als aanvulling op de moderne afluistertechnieken
Social Engineering Bedrijfsgeheimen
Social Engineering Bedrijfsgeheimen is soms kinderlijk en verrassend eenvoudig.
Middels social engineering is het soms super eenvoudig om bedrijfsgeheimen te ontfutselen. Dit werd gedaan door Kevin Mitnick waarbij Motorola de source code naar hem stuurde zonder verdere vragen.
Wiki: Social engineering of social hacking, is een techniek waarbij een (computer) kraker een aanval op (computer)systemen tracht te ondernemen door de zwakste schakel in de (computer)beveiliging, namelijk de mens, te kraken. De aanval is gericht op het verkrijgen van vertrouwelijke of geheime informatie, waarmee de hacker dichter bij het aan te vallen object kan komen. De beroemdste kraker die van deze techniek gebruikmaakte, is Kevin Mitnick. Hij heeft zijn ervaringen verwoord in het boek The Art of Deception.
Opmerking: De definitie wiki iets aangepast (de data hoeft niet per se gericht te zijn op een computersysteem maar algemener: een systeem, persoon of organisatie. Het hoeft ook geen computerkraker te zijn, social engineering kan worden toegepast zonder dat een computer ter sprake komt of betrokken is.
DNS data leakage detection
DNS data leakage detection, een bijzondere variant. Het lekken van data gaat niet altijd via de moderne weg van een firewall en Internet. Oude technieken worden gebruikt om data via andere wegen weg sluizen.
NetFlow implementatie mogelijkheden
Afhankelijk van de ICT omgeving (verwachte groei, uitbreidingen, bestaande netwerk monitoring tools, eisen en wensen) zijn er vier mogelijkheden voor een NetFlow implementatie met Scrutinizer
NetFlow Collector en Reporter (Scrutinizer)
NetFlow Collector en Reporter: Als er NetFlow exporterende apparaten zijn, dan is een goede NetFlow collector en reporter gewenst. Plixer levert hiervoor Scrutinizer in de vorm van een Virtual Appliance of Hardware Appliance met verschillende mogelijkheden om te dimensioneren (tot 10K flows, tot 40K flows, 100K flows en distributed voor meer dan 100K flows).
Aanvullingen
NetFlow Probe: Op plekken waar geen NetFlow export aanwezig is, kan een NetFlow Probe worden geplaatst. Deze probe exporteert NetFlow (IPFIX) die door Scrutinizer kan worden verwerkt.
Naast de standaard NetFlow Probe zijn er ook nog twee bijzondere probes die gericht zijn op beveiliging en applicatie performance management.
Security: De voordeur is dicht maar de achterdeur staat open
Veiligheid is vaak een gevoel (alsmede vertrouwen) en meestal zijn we verbaasd als er iets onverwachts gebeurd.
U kent het thuis wel, de voordeur zit op slot maar de achterdeur of raampjes staan niet op slot of zelfs gewoon open. Ook de brievenbus is vaak gewoon een gat in de deur. Dit vergelijk kunnen we ook maken met de informatiebeveiliging van een organisatie waarbij de centrale firewall dienst doet als voordeur.
NetFlow is een van de drie sleutels tot inzage in IT-infrastructuren
Kort en krachtig: Er zijn slechts drie algemene en gestandaardiseerde informatiebronnen (*1) voor inzage in netwerk performance en de beveiliging van IT-infrastructuren. Deze kunnen worden gezien als de drie musketiers. Dit zijn:
- SNMP
- NetFlow
- Syslog
Dieper in uw netwerk kijken
Iedereen die bekend is met netwerk en systeem monitoring tools op basis van SNMP weet dat er beperkingen zijn met dit type monitoring als dit wordt toegepast op netwerk switches, routers en firewalls. Dit is de slechts de eerste stap voor monitoring en bewaking van IT infrastructuren.
Toepassing van NetFlow kan worden gezien als een microscoop voor uw netwerk waarbij alle verkeersstromen in kaart worden gebracht. Men ziet direct welke verkeerstromen bijdragen tot een performanceprobleem. Ook kan men verkeerstromen zien die behoren tot de categorie “ongewenst”. Dit zijn o.a. virussen, wormen, trojans, malware die in de infrastructuur is verscholen en die niet wordt opgemerkt door de eenvoudige NetFlow analyzers.
Netflow monitoring op een Appliance of Windows platform?
De betere Netflow leveranciers bieden vaak een “Windows oplossing als instap” of zij bieden een instap mogelijkheid met een virtuele appliance. Netflow heeft namelijk het probleem dat veel data moet worden opgeslagen. Als dit allemaal op een Windows server moet plaatsvinden en de data moet worden opgeslagen in een database, dan komen er verschillende problemen.
Dit zijn onder andere:
- Beperkingen van Windows (o.a. snelheid).
- Patches en veiligheid.
- Database beheer en licentie (vaak een MS SQL licentie).
- Snelle harddisks.
- Beheerafhankelijkheden (o.a. Windows, Database, Storage).
Voor die omgevingen waarbij de beschikbaarheid van flow data en de rapportages kritischer zijn wordt vaak gekozen voor een Virtuele Appliance of een echte Appliance.