portas

Uso de torneiras e portas de escala em aplicativos de inteligência cibernética

A guerra cibernética infelizmente não é mais encontrada apenas na ficção especulativa; está conosco hoje. Os ataques de negação de serviço distribuídos (DDoS) foram lançados contra os Estados Unidos, Coréia do Sul, Quirguistão, Estônia e Geórgia nos últimos anos, e os sistemas de computadores militares e governamentais em todo o mundo são atacados diariamente por intrusos informatica. Alguns ataques provêm de estados-nação, mas outros são perpetrados por grupos criminosos transnacionais e não alinhados. Aqueles que se inclinam a infligir danos às nações e aos cidadãos não só usam as redes como um vetor de ataque, mas também para organizar, recrutar e divulgar suas crenças e atividades.

Do outro lado da cerca estão os bons, os membros da comunidade de inteligência cibernética que visam entender e rastrear os terroristas e, em última instância, impedir seus planos. Devido ao uso generalizado das redes por organizações radicais e criminosas no mundo moderno, pode-se aprender muito sobre os terroristas examinando o uso deles na World Wide Web e como a internet é usada como um vetor para atacar público e privado sistemas. Este campo de estudo é chamado de “informática terrorista”, que é definido como “a aplicação de metodologias avançadas e técnicas de análise e fusão de informação para adquirir, integrar, processar, analisar e gerenciar a diversidade de informações relacionadas ao terrorismo para nacionais / internacionais e aplicações relacionadas à segurança interna “(Hsinchun Chen et al., eds., Terrorism Informatics. New York: Springer, 2008, p. xv).

O terrorismo informático analisa informações de fontes de dados em repouso, como blogs, redes sociais e bancos de dados. Para outros tipos de análises, é necessário examinar dados em movimento, ou seja, informações à medida que viaja em uma rede. O acesso a dados em movimento geralmente é obtido por meio de espionagem no tráfego de rede usando portas Span em switches. Este artigo foca especificamente as implicações do uso de Portos de extensão em aplicativos de monitoramento de combate ao terrorismo. Isso mostra que as portas Span são particularmente inadequadas para este uso. Observe também que as vulnerabilidades de segurança das portas Span em aplicativos de combate ao terrorismo aplicam-se igualmente quando as portas Span são usadas para outras necessidades de monitoramento, como monitoramento de desempenho ou conformidade.

Introdução
As portas Span ou mirror são uma maneira conveniente e barata de acessar o tráfego através de um switch de rede. Os switches que suportam as portas Span – tipicamente switches high-end – podem ser configurados para refletir o tráfego das portas ou VLANs selecionadas para a porta Span, onde as ferramentas de monitoramento podem ser anexadas. À primeira vista, parece que uma porta Span pode ser uma boa maneira de conectar um sistema de detecção de intrusão (IDS), um gravador forense ou outro dispositivo de monitoramento de segurança.
Infelizmente, os portos Span têm várias características que podem ser problemáticas e arriscadas em uma aplicação antiterrorista. Essas características incluem:

A possibilidade de descartar pacotes
A necessidade de reconfiguração de interruptores
A vulnerabilidade das portas Span para atacar
O fato de que as portas Span não são mecanismos passivos
Essas questões são elaboradas nas seções a seguir.

Problema # 1: pacotes descartados
A primeira questão com os portos Span em um aplicativo antiterrorista é que a visibilidade do tráfego de rede é menos do que perfeita. No monitoramento antiterrorista, um requisito fundamental é que o dispositivo de segurança deve poder ver cada pacote no fio. Um IDS não pode detectar um vírus se não ver os pacotes que o transportam. As portas de extensão não podem atender a este requisito porque eles soltam pacotes. Spanning é a tarefa de prioridade mais baixa do switch, e o tráfego Span é a primeira coisa a seguir quando o switch fica ocupado. Na verdade, é permitido que qualquer porta de um switch seja solto, pois os protocolos de rede são especificamente projetados para serem robustos, apesar dos pacotes descartados, que são inevitáveis ​​em uma rede. Mas não é aceitável em um aplicativo de monitoramento antiterrorista.

Diferentes switches podem ser mais ou menos propensos a soltar os pacotes Span, dependendo da arquitetura interna, que varia de switch para switch. No entanto, é improvável que o desempenho da porta Span seja avaliado como um critério importante quando a engrenagem de comutação foi selecionada. Como profissional antiterrorista, você provavelmente não quer que sua estratégia de segurança seja dependente de uma política de compras que você não controle.

No entanto, suponha que você tenha switches com o melhor desempenho de Spanning possível. Os pacotes descartados podem ainda ser um problema, dependendo da quantidade de tráfego que você precisa enviar através da porta Span. Se você precisar ver todo o tráfego em um link de 1 Gigabit full-duplex, uma porta de 1 Gigabit Span não fará o trabalho. O tráfego de link duplex completo excede a capacidade da porta SPAN de 1 Gigabit quando a utilização do link ultrapassa 50% nas duas direções. Para ver todo o tráfego, você precisa dedicar uma porta de 10 Gigabit para Spanning, e agora a porta Span não parece tão barata quanto mais.

Leave a Reply

Your email address will not be published. Required fields are marked *