Зачем нужен этот функционал?
Но решать, что удалить, а что оставить, как всегда, вам.
Как известно, у модели OSI 7 уровней, и каждый из них привносит в пакет свой дополнительный объем. В самом простом случае, на который рассчитаны все анализаторы сетевого трафика, пакет содержит MAC-адреса отправителя и получателя, затем идут IP-адреса. В то же время, по зеркалируемым линкам влета в ЦОД и уровня распределения может идти 802.1q-тегированный трафик либо MPLS с метками. Оба этих вида заголовка помещаются между заголовками канального и сетевого уровней. На моей практике случалось, что анализирующие устройства либо просто не понимали их и игнорировали (лучший случай), либо начинали неверно интерпретировать информацию более высокого уровня (худший случай, когда зашитые алгоритмы для увеличения пропускной способности устройства при вычислениях используют побитовое смещение относительно начала пакета).
То есть, если у нас явным образом не стоит задача определения номера VLAN/VXLAN, метки MPLS, GTP и т.п., можно удалить их с помощью пакетного брокера.
Если для расследования инцидентов ИБ в вашей компании:
- важна информация, начиная с уровня 2,
- анализируется весь трафик, вплоть до каждой подсети/VLAN,
- копируемый трафик подается на SPAN-агрегатор/брокер,
то функция удаления заголовков не настолько важна, как дедупликация пакетов.
Но если на системы агрегации TAP/SPAN зеркалируется трафик с аплинков в ядро сети или ЦОД, либо сервисного уровня (в зависимости от архитектуры), где используется 802.1q/MPLS, возможность удаления лишних заголовков (Protocol Stripping) пакетным брокером поможет оптимизировать ресурсы систем ИБ:
- качественно - за счет выравнивания структуры пакетов;
- количественно - за счет уменьшения объема каждого пакета при удалении лишних заголовков нижнего уровня.
Приблизительный перечень заголовков, которые можно выбрать для удаления на пакетных брокерах, показан ниже.
Но решать, что удалить, а что оставить, как всегда, вам.
Комментариев нет:
Отправить комментарий