နိဒါန်း
Network Traffic Collection နှင့် Analysis သည် ပထမဆုံးလက်သုံးကွန်ရက်အသုံးပြုသူအပြုအမူအညွှန်းများနှင့် ကန့်သတ်ချက်များကိုရယူရန် အထိရောက်ဆုံးနည်းလမ်းဖြစ်သည်။ ဒေတာစင်တာ Q လည်ပတ်မှုနှင့် ပြုပြင်ထိန်းသိမ်းမှု စဉ်ဆက်မပြတ် တိုးတက်ကောင်းမွန်လာမှုနှင့်အတူ၊ ကွန်ရက်အသွားအလာ စုဆောင်းမှုနှင့် ခွဲခြမ်းစိတ်ဖြာမှုသည် ဒေတာစင်တာ အခြေခံအဆောက်အအုံ၏ မရှိမဖြစ်အစိတ်အပိုင်းတစ်ခု ဖြစ်လာခဲ့သည်။ လက်ရှိစက်မှုလုပ်ငန်းအသုံးပြုမှုမှ၊ ကွန်ရက်အသွားအလာစုဆောင်းခြင်းကို အများအားဖြင့် ယာဉ်ကြောပိတ်ဆို့မှုမှန်ကို ရှောင်ကွင်းပံ့ပိုးပေးသည့် ကွန်ရက်ကိရိယာများဖြင့် နားလည်သဘောပေါက်ကြသည်။ ယာဉ်အသွားအလာ စုဆောင်းခြင်းအား ကျယ်ကျယ်ပြန့်ပြန့် လွှမ်းခြုံနိုင်သော၊ ကျိုးကြောင်းဆီလျော်ပြီး ထိရောက်သော ယာဉ်အသွားအလာ စုဆောင်းမှုကွန်ရက်ကို ထူထောင်ရန် လိုအပ်သည်၊ ထိုကဲ့သို့ ယာဉ်အသွားအလာ စုဆောင်းမှုသည် ကွန်ရက်နှင့် လုပ်ငန်းစွမ်းဆောင်ရည် ညွှန်းကိန်းများကို အကောင်းဆုံးဖြစ်အောင် ကူညီပေးနိုင်ပြီး ကျရှုံးမှု ဖြစ်နိုင်ခြေကို လျှော့ချနိုင်သည်။
ယာဉ်အသွားအလာ စုဆောင်းခြင်းကွန်ရက်ကို ယာဉ်အသွားအလာ စုဆောင်းခြင်းကိရိယာများဖြင့် ဖွဲ့စည်းထားသည့် သီးခြားကွန်ရက်တစ်ခုအဖြစ် မှတ်ယူနိုင်ပြီး ထုတ်လုပ်မှုကွန်ရက်နှင့် အပြိုင် ဖြန့်ကျက်ချထားပါသည်။ ၎င်းသည် ကွန်ရက်စက်ပစ္စည်းတစ်ခုစီ၏ ပုံအသွားအလာကို စုဆောင်းပြီး ဒေသဆိုင်ရာနှင့် ဗိသုကာအဆင့်များအလိုက် ပုံအသွားအလာများကို စုစည်းပေးသည်။ အခြေအနေအလိုက် စစ်ထုတ်ခြင်း အလွှာ 2-4 အတွက် ဒေတာ၏ လိုင်းအမြန်နှုန်းကို သိရှိရန်၊ ပွားနေသော ပက်ကေ့ခ်ျများကို ဖယ်ရှားခြင်း၊ ပက်ကတ်များကို ဖြတ်တောက်ခြင်းနှင့် အခြားအဆင့်မြင့် လုပ်ဆောင်မှုဆိုင်ရာ လုပ်ဆောင်ချက်များကို သိရှိရန် ၎င်းသည် အသွားအလာ စစ်ထုတ်သည့် လဲလှယ်နှိုးဆော်ချက်ကို အသုံးပြုကာ အသွားအလာတစ်ခုစီသို့ ဒေတာကို ပေးပို့သည်။ ခွဲခြမ်းစိတ်ဖြာမှုစနစ်။ အသွားအလာ စုစည်းမှုကွန်ရက်သည် စနစ်တစ်ခုစီ၏ ဒေတာလိုအပ်ချက်များနှင့်အညီ စက်ပစ္စည်းတစ်ခုစီသို့ တိကျသောဒေတာကို ပေးပို့နိုင်ပြီး သမားရိုးကျကြေးမုံဒေတာကို စစ်ထုတ်ပြီး ပေးပို့၍မရသော ပြဿနာကို ဖြေရှင်းပေးနိုင်ပါသည်။ တစ်ချိန်တည်းမှာပင်၊ traffic collection network ၏ traffic filtering and exchange engine သည် နှောင့်နှေးနှေးကွေးပြီး မြန်နှုန်းမြင့် ဒေတာများကို စစ်ထုတ်ခြင်းနှင့် ထပ်ဆင့်ပေးပို့ခြင်းတို့ကို သဘောပေါက်ပြီး traffic collection network မှ စုဆောင်းထားသော data များ၏ အရည်အသွေးကို သေချာစေပြီး ဒေတာအခြေခံကောင်းကို ပံ့ပိုးပေးပါသည်။ နောက်ဆက်တွဲ traffic analysis ပစ္စည်းတွေ။
မူရင်းလင့်ခ်အပေါ် သက်ရောက်မှုကို လျှော့ချရန်အတွက်၊ မူရင်းအသွားအလာ၏ မိတ္တူကို အလင်းတန်းခွဲခြင်း၊ SPAN သို့မဟုတ် TAP ဖြင့် ရယူလေ့ရှိပါသည်။
Passive Network ကို နှိပ်ပါ (Optical Splitter)
အသွားအလာမိတ္တူရရှိရန် အလင်းပိုင်းခြားခြင်းကို အသုံးပြုသည့်နည်းလမ်းသည် light splitter ကိရိယာ၏အကူအညီ လိုအပ်သည်။ light splitter သည် လိုအပ်သော အချိုးအစားနှင့်အညီ optical signal ၏ ပါဝါပြင်းထန်မှုကို ပြန်လည်ဖြန့်ဝေပေးနိုင်သည့် passive optical device တစ်ခုဖြစ်သည်။ splitter သည် အလင်းအား 1 မှ 2,1 မှ 4 နှင့် 1 သို့ ချန်နယ်များစွာသို့ ပိုင်းခြားနိုင်သည်။ မူရင်းလင့်ခ်အပေါ် သက်ရောက်မှုကို လျှော့ချရန်အတွက် ဒေတာစင်တာသည် အများအားဖြင့် 80:20၊ 70:30 ၏ optical signal ကို မူလလင့်သို့ ပြန်ပို့သည့် 70,80 အချိုးအစားကို လက်ခံပါသည်။ လက်ရှိတွင်၊ optical splitters များကို network performance analysis (NPM/APM)၊ audit system၊ user behavior analysis၊ network intrusion detection နှင့် အခြားအခြေအနေများတွင် တွင်ကျယ်စွာအသုံးပြုပါသည်။
အားသာချက်များ
1. မြင့်မားသောယုံကြည်စိတ်ချရ, passive optical ကိရိယာ;
2. switch port ကိုသိမ်းပိုက်မထားဘူး, လွတ်လပ်သောပစ္စည်းကိရိယာများ, နောက်ဆက်တွဲကောင်းသောချဲ့ထွင်နိုင်ပါတယ်;
3. switch configuration ကို မွမ်းမံရန် မလိုအပ်ပါ၊ အခြားသော စက်ပစ္စည်းများအပေါ် သက်ရောက်မှုမရှိပါ။
4. ယာဉ်အသွားအလာ အပြည့်အစုံ စုစည်းမှု၊ အမှားအယွင်း ပက်ကေ့ခ်ျများ အပါအဝင် switch packet filtering မရှိပါ။
အားနည်းချက်များ-
1. ရိုးရှင်းသော ကွန်ရက်ဖြတ်တောက်မှု၊ ကျောရိုးလင့်ခ်ဖိုင်ဘာပလပ်နှင့် အလင်းခွဲကိရိယာသို့ ခေါ်ဆိုမှုတို့ လိုအပ်သည်၊ အချို့သော ကျောရိုးလင့်ခ်များ၏ အလင်းအားကို လျှော့ချပေးလိမ့်မည်။
SPAN(Port Mirror)
SPAN သည် switch ကိုယ်တိုင်နှင့်အတူပါလာသောအင်္ဂါရပ်တစ်ခုဖြစ်သောကြောင့်၎င်းကို switch တွင် configure လုပ်ရန်လိုအပ်သည်။ သို့သော်၊ ဤလုပ်ဆောင်ချက်သည် ခလုတ်၏ စွမ်းဆောင်ရည်ကို ထိခိုက်စေပြီး ဒေတာပိုလျှံနေချိန်တွင် ပက်ကက်ဆုံးရှုံးမှုကို ဖြစ်စေသည်။
အားသာချက်များ
1. အပိုပစ္စည်းများထည့်ရန် မလိုအပ်ပါ၊ သက်ဆိုင်ရာ ပုံတူပွားခြင်း အထွက်ပေါက်ကို တိုးမြှင့်ရန် ခလုတ်ကို စီစဉ်သတ်မှတ်ပါ။
အားနည်းချက်များ-
1. switch port ကို သိမ်းပိုက်ပါ။
2. ပြင်ပကုမ္ပဏီထုတ်လုပ်သူများနှင့် ပူးတွဲညှိနှိုင်းမှုပါ၀င်သည့် ခလုတ်များကို ပြင်ဆင်သတ်မှတ်ရန် လိုအပ်ပြီး ကွန်ရက်ချို့ယွင်းမှုဖြစ်နိုင်ခြေကို တိုးစေပါသည်။
3. Mirror traffic replication သည် port နှင့် switch စွမ်းဆောင်ရည်အပေါ် သက်ရောက်မှုရှိပါသည်။
အသုံးပြုနေသော ကွန်ရက် နှိပ်ခြင်း (TAP စုစည်းမှု)
Network TAP သည် port mirroring ကိုဖွင့်ပေးပြီး စောင့်ကြည့်ရေးကိရိယာအမျိုးမျိုးမှအသုံးပြုရန်အတွက် traffic မိတ္တူကိုဖန်တီးပေးသည့် ပြင်ပကွန်ရက်စက်ပစ္စည်းတစ်ခုဖြစ်သည်။ ဤစက်ပစ္စည်းများကို စောင့်ကြည့်လေ့လာရန် လိုအပ်သော ကွန်ရက်လမ်းကြောင်းရှိ နေရာတွင် မိတ်ဆက်ထားပြီး ဒေတာ IP ပက်ကေ့ခ်ျများကို ကူးယူကာ ကွန်ရက်စောင့်ကြည့်ရေးကိရိယာသို့ ပို့ပေးပါသည်။ ကွန်ရက် TAP စက်ပစ္စည်းအတွက် ဝင်ခွင့်အမှတ်၏ ရွေးချယ်မှုသည် ကွန်ရက်အသွားအလာ၏ အာရုံစူးစိုက်မှုအပေါ် မူတည်သည် -data စုဆောင်းခြင်းဆိုင်ရာ အကြောင်းရင်းများ၊ ခွဲခြမ်းစိတ်ဖြာမှုနှင့် နှောင့်နှေးမှုများကို ပုံမှန်စောင့်ကြည့်ခြင်း၊ ကျူးကျော်ဝင်ရောက်မှုကို ထောက်လှမ်းခြင်းစသည်ဖြင့် ကွန်ရက် TAP စက်ပစ္စည်းများသည် 1G နှုန်းအထိ ဒေတာစီးကြောင်းများကို 1G နှုန်းအထိ စုဆောင်းနိုင်ပြီး ကြေးမုံပြင်နိုင်ပါ။ 100G
ဤစက်ပစ္စည်းများသည် ဒေတာလမ်းကြောင်းအသွားအလာနှုန်းကို မခွဲခြားဘဲ ပက်ကတ်စီးဆင်းမှုကို မွမ်းမံပြင်ဆင်သည့် ကွန်ရက် TAP ကိရိယာမပါဘဲ မည်သည့်နည်းဖြင့်မဆို ဝင်ရောက်ကြည့်ရှုသည်။ ဆိုလိုသည်မှာ ကွန်ရက်အသွားအလာကို လုံခြုံရေးနှင့် ခွဲခြမ်းစိတ်ဖြာမှုကိရိယာများသို့ လမ်းကြောင်းလွှဲသည့်အခါ ဒေတာ၏သမာဓိကို ထိန်းသိမ်းထားရန်အတွက် မရှိမဖြစ်လိုအပ်သော စောင့်ကြည့်စစ်ဆေးခြင်းနှင့် port mirroring လုပ်ခြင်းတို့ကို မလုပ်ဆောင်နိုင်ပါ။
ကွန်ရက်အရံကိရိယာများသည် ယာဉ်အသွားအလာမိတ္တူများကို စောင့်ကြည့်နေစေရန် ကွန်ရက် TAP ကိရိယာများကို လေ့လာသူများအဖြစ် လုပ်ဆောင်နိုင်စေရန် သေချာစေသည်။ သင့်ဒေတာမိတ္တူကို ချိတ်ဆက်ထားသည့် မည်သည့်စက်ပစ္စည်းများသို့မဆို ပေးပို့ခြင်းဖြင့်၊ သင်သည် ကွန်ရက်အမှတ်တွင် အပြည့်အဝမြင်နိုင်စွမ်းကို ရရှိမည်ဖြစ်သည်။ ကွန်ရက် TAP စက် သို့မဟုတ် စောင့်ကြည့်ကိရိယာ ပျက်ကွက်ပါက၊ လည်ပတ်မှုစနစ်သည် ဘေးကင်းပြီး ရရှိနိုင်ကြောင်း သေချာစေရန် လမ်းကြောင်းအသွားအလာ ထိခိုက်မည်မဟုတ်ကြောင်း သင်သိပါသည်။
တစ်ချိန်တည်းမှာပင်၊ ၎င်းသည် ကွန်ရက် TAP စက်များ၏ အလုံးစုံပစ်မှတ်ဖြစ်လာသည်။ ပက်ကေ့ခ်ျများသို့ ဝင်ရောက်ခွင့်ကို ကွန်ရက်အတွင်း အသွားအလာ အနှောင့်အယှက်မရှိဘဲ အမြဲတမ်း ပံ့ပိုးပေးနိုင်ပြီး ဤမြင်နိုင်မှု ဖြေရှင်းနည်းများသည် ပိုမိုအဆင့်မြင့်သော ကိစ္စများကို ကိုင်တွယ်ဖြေရှင်းနိုင်ပါသည်။ နောက်မျိုးဆက် firewalls မှ data ယိုစိမ့်ခြင်းမှ ကာကွယ်ခြင်း၊ အပလီကေးရှင်း စွမ်းဆောင်ရည် စောင့်ကြည့်ခြင်း၊ SIEM၊ ဒစ်ဂျစ်တယ် မှုခင်းဆေးပညာ၊ IPS၊ IDS နှင့် အခြားအရာများ အပါအဝင် ကိရိယာများ၏ လိုအပ်ချက်များ၊ ကွန်ရက် TAP စက်ပစ္စည်းများကို ပြောင်းလဲတိုးတက်စေရန် တွန်းအားပေးပါသည်။
ယာဉ်ကြောအသွားအလာ၏ မိတ္တူအပြည့်အစုံကို ပံ့ပိုးပေးသည့်အပြင် ရရှိနိုင်မှုကို ထိန်းသိမ်းထားသည့်အပြင်၊ TAP စက်များသည် အောက်ပါတို့ကို ပံ့ပိုးပေးနိုင်ပါသည်။
1. Network Monitoring Performance ကို အမြင့်ဆုံးဖြစ်စေရန် Packets များကို စစ်ထုတ်ပါ။
Network TAP စက်သည် တစ်ချိန်ချိန်တွင် ပက်ကတ်တစ်ခု၏ 100% မိတ္တူကို ဖန်တီးနိုင်သောကြောင့် စောင့်ကြည့်စစ်ဆေးခြင်းနှင့် လုံခြုံရေးကိရိယာတိုင်းသည် အရာအားလုံးကို မြင်ရန် လိုအပ်သည်ဟု မဆိုလိုပါ။ ကွန်ရက်စောင့်ကြည့်ခြင်းနှင့် လုံခြုံရေးကိရိယာများအားလုံးကို အချိန်နှင့်တပြေးညီ လွှင့်ထုတ်ခြင်းသည် အစီအစဥ်အလွန်အကျွံပြုလုပ်ခြင်းသာဖြစ်ပြီး လုပ်ငန်းစဉ်အတွင်းရှိ ကိရိယာများ၏စွမ်းဆောင်ရည်နှင့် ကွန်ရက်ကို ထိခိုက်စေသည်။
မှန်ကန်သော Network TAP ကိရိယာကို နေရာချထားခြင်းသည် စောင့်ကြည့်ရေးကိရိယာသို့ လမ်းကြောင်းပြောင်းသွားသည့်အခါ ပက်ကေ့ခ်ျများကို စစ်ထုတ်နိုင်ပြီး မှန်ကန်သောဒေတာကို မှန်ကန်သောကိရိယာသို့ ဖြန့်ဝေပေးနိုင်သည်။ ထိုကဲ့သို့သော ကိရိယာများ၏ ဥပမာများတွင် ကျူးကျော်ဝင်ရောက်မှု ထောက်လှမ်းခြင်းစနစ် (IDS)၊ ဒေတာဆုံးရှုံးမှု ကာကွယ်ခြင်း (DLP)၊ လုံခြုံရေး အချက်အလက်နှင့် ဖြစ်ရပ်စီမံခန့်ခွဲမှု (SIEM)၊ မှုခင်းဆေးပညာ ခွဲခြမ်းစိတ်ဖြာမှု နှင့် အခြားများစွာ ပါဝင်ပါသည်။
2. ထိရောက်သောကွန်ရက်ချိတ်ဆက်မှုအတွက် စုစည်းထားသောလင့်ခ်များ
ကွန်ရက်စောင့်ကြည့်ခြင်းနှင့် လုံခြုံရေးလိုအပ်ချက်များ တိုးလာသည်နှင့်အမျှ၊ ကွန်ရက်အင်ဂျင်နီယာများသည် အလုပ်များပိုမိုပြီးမြောက်စေရန် လက်ရှိ IT ဘတ်ဂျက်များကို အသုံးပြုရန် နည်းလမ်းများကို ရှာဖွေရမည်ဖြစ်သည်။ သို့သော် တစ်ချိန်ချိန်တွင်၊ သင်သည် stack ထဲသို့ စက်ပစ္စည်းအသစ်များကို ဆက်ထည့်၍ သင့်ကွန်ရက်၏ ရှုပ်ထွေးမှုကို တိုးလာစေနိုင်မည်မဟုတ်ပေ။ စောင့်ကြည့်စစ်ဆေးခြင်းနှင့် လုံခြုံရေးကိရိယာများကို အမြင့်ဆုံးအသုံးပြုရန် အရေးကြီးပါသည်။
ကွန်ရက် TAP စက်များသည် ကွန်ရက်အသွားအလာများစွာကို ချိတ်ဆက်ထားသည့် ကိရိယာများထံသို့ ပို့တ်တစ်ခုမှ တစ်ဆင့် ပေးပို့ရန်၊ အရှေ့ဘက်နှင့် အနောက်ဘက်သို့ ပေါင်းစည်းခြင်းဖြင့် ကူညီပေးနိုင်သည်။ ဤနည်းဖြင့် မြင်နိုင်မှုကိရိယာများကို ဖြန့်ကျက်အသုံးပြုခြင်းသည် စောင့်ကြည့်ရေးကိရိယာများ လိုအပ်သည့်အရေအတွက်ကို လျှော့ချပေးမည်ဖြစ်သည်။ East-West ဒေတာလမ်းကြောင်းသည် ဒေတာစင်တာများနှင့် ဒေတာစင်တာများကြားတွင် ဆက်လက်ကြီးထွားလာသည်နှင့်အမျှ ဒေတာအမြောက်အမြားတစ်လျှောက် အတိုင်းအတာပမာဏစီးဆင်းမှုအားလုံးကို မြင်နိုင်စွမ်းရှိစေရန် ကွန်ရက် TAP စက်များအတွက် လိုအပ်ချက်သည် မရှိမဖြစ်လိုအပ်ပါသည်။
သင်စိတ်ဝင်စားနိုင်သော ဆက်စပ်ဆောင်းပါး၊ ဤနေရာတွင် ဝင်ရောက်ကြည့်ရှုပါ။Network Traffic ကို ဘယ်လိုဖမ်းမလဲ။ Network Tap vs Port Mirror
တင်ချိန်- အောက်တိုဘာ ၂၄-၂၀၂၄
