သင်၏ Network Traffic Capturing အတွက် Network Taps နှင့် Network Packet Brokers များကို အဘယ်ကြောင့် လိုအပ်သနည်း။ အပိုင်း (၂)

နိဒါန်း

Network Traffic Collection နှင့် Analysis သည် ပထမဆုံးလက်တွေ့ကွန်ရက်အသုံးပြုသူအပြုအမူအညွှန်းများနှင့် ကန့်သတ်ချက်များကိုရယူရန် အထိရောက်ဆုံးနည်းလမ်းဖြစ်သည်။ ဒေတာစင်တာ Q လည်ပတ်မှုနှင့် ပြုပြင်ထိန်းသိမ်းမှု စဉ်ဆက်မပြတ် တိုးတက်ကောင်းမွန်လာမှုနှင့်အတူ၊ ကွန်ရက်အသွားအလာ စုဆောင်းမှုနှင့် ခွဲခြမ်းစိတ်ဖြာမှုသည် ဒေတာစင်တာ အခြေခံအဆောက်အအုံ၏ မရှိမဖြစ်အစိတ်အပိုင်းတစ်ခု ဖြစ်လာခဲ့သည်။ လက်ရှိစက်မှုလုပ်ငန်းအသုံးပြုမှုမှ၊ ကွန်ရက်အသွားအလာစုဆောင်းခြင်းကို အများအားဖြင့် ယာဉ်ကြောပိတ်ဆို့မှုမှန်ကို ရှောင်ကွင်းပံ့ပိုးပေးသည့် ကွန်ရက်ကိရိယာများဖြင့် နားလည်သဘောပေါက်ကြသည်။ ယာဉ်အသွားအလာ စုဆောင်းခြင်းအား ကျယ်ကျယ်ပြန့်ပြန့် လွှမ်းခြုံနိုင်သော၊ ကျိုးကြောင်းဆီလျော်ပြီး ထိရောက်သော ယာဉ်အသွားအလာ စုဆောင်းမှုကွန်ရက်ကို ထူထောင်ရန် လိုအပ်သည်၊ ထိုကဲ့သို့ ယာဉ်အသွားအလာ စုဆောင်းမှုသည် ကွန်ရက်နှင့် လုပ်ငန်းစွမ်းဆောင်ရည် ညွှန်းကိန်းများကို အကောင်းဆုံးဖြစ်အောင် ကူညီပေးနိုင်ပြီး ကျရှုံးမှု ဖြစ်နိုင်ခြေကို လျှော့ချနိုင်သည်။

ယာဉ်အသွားအလာ စုဆောင်းခြင်းကွန်ရက်ကို ယာဉ်အသွားအလာ စုဆောင်းခြင်းကိရိယာများဖြင့် ဖွဲ့စည်းထားသည့် သီးခြားကွန်ရက်တစ်ခုအဖြစ် မှတ်ယူနိုင်ပြီး ထုတ်လုပ်မှုကွန်ရက်နှင့် အပြိုင် ဖြန့်ကျက်ချထားပါသည်။ ၎င်းသည် ကွန်ရက်စက်ပစ္စည်းတစ်ခုစီ၏ ပုံအသွားအလာကို စုဆောင်းပြီး ဒေသဆိုင်ရာနှင့် ဗိသုကာအဆင့်များအလိုက် ပုံအသွားအလာများကို စုစည်းပေးသည်။ အခြေအနေအလိုက် စစ်ထုတ်ခြင်း အလွှာ 2-4 အတွက် ဒေတာ၏ လိုင်းအမြန်နှုန်းကို သိရှိရန်၊ ပွားနေသော ပက်ကေ့ခ်ျများကို ဖယ်ရှားခြင်း၊ ပက်ကတ်များကို ဖြတ်တောက်ခြင်းနှင့် အခြားအဆင့်မြင့် လုပ်ဆောင်မှုဆိုင်ရာ လုပ်ဆောင်ချက်များကို သိရှိရန် ၎င်းသည် အသွားအလာ စစ်ထုတ်သည့် လဲလှယ်နှိုးဆော်ချက်ကို အသုံးပြုကာ အသွားအလာတစ်ခုစီသို့ ဒေတာကို ပေးပို့သည်။ ခွဲခြမ်းစိတ်ဖြာမှုစနစ်။ အသွားအလာ စုစည်းမှုကွန်ရက်သည် စနစ်တစ်ခုစီ၏ ဒေတာလိုအပ်ချက်များနှင့်အညီ စက်ပစ္စည်းတစ်ခုစီသို့ တိကျသောဒေတာကို ပေးပို့နိုင်ပြီး သမားရိုးကျကြေးမုံဒေတာကို စစ်ထုတ်ပြီး ပေးပို့၍မရသော ပြဿနာကို ဖြေရှင်းပေးနိုင်ပါသည်။ တစ်ချိန်တည်းမှာပင်၊ traffic collection network ၏ traffic filtering and exchange engine သည် နှောင့်နှေးနှေးကွေးပြီး မြန်နှုန်းမြင့် ဒေတာများကို စစ်ထုတ်ခြင်းနှင့် ထပ်ဆင့်ပေးပို့ခြင်းတို့ကို သဘောပေါက်ပြီး traffic collection network မှ စုဆောင်းထားသော data များ၏ အရည်အသွေးကို သေချာစေပြီး ဒေတာအခြေခံကောင်းကို ပံ့ပိုးပေးပါသည်။ နောက်ဆက်တွဲ traffic analysis ပစ္စည်းတွေ။

ယာဉ်အသွားအလာ စောင့်ကြည့်ရေးကိစ္စ

မူရင်းလင့်ခ်အပေါ် သက်ရောက်မှုကို လျှော့ချရန်အတွက်၊ မူရင်းအသွားအလာ၏ မိတ္တူကို အလင်းတန်းခွဲခြင်း၊ SPAN သို့မဟုတ် TAP ဖြင့် ရယူလေ့ရှိပါသည်။

Passive Network ကို နှိပ်ပါ (Optical Splitter)

အသွားအလာမိတ္တူရရှိရန် အလင်းပိုင်းခြားခြင်းကို အသုံးပြုသည့်နည်းလမ်းသည် light splitter ကိရိယာ၏အကူအညီ လိုအပ်သည်။ light splitter သည် လိုအပ်သော အချိုးအစားနှင့်အညီ optical signal ၏ ပါဝါပြင်းထန်မှုကို ပြန်လည်ဖြန့်ဝေပေးနိုင်သည့် passive optical device တစ်ခုဖြစ်သည်။ splitter သည် အလင်းအား 1 မှ 2,1 မှ 4 နှင့် 1 သို့ ချန်နယ်များစွာသို့ ပိုင်းခြားနိုင်သည်။ မူရင်းလင့်ခ်အပေါ် သက်ရောက်မှုကို လျှော့ချရန်အတွက် ဒေတာစင်တာသည် အများအားဖြင့် 80:20၊ 70:30 ၏ optical signal ကို မူလလင့်သို့ ပြန်ပို့သည့် 70,80 အချိုးအစားကို လက်ခံပါသည်။ လက်ရှိတွင်၊ optical splitters များကို network performance analysis (NPM/APM)၊ audit system၊ user behavior analysis၊ network intrusion detection နှင့် အခြားအခြေအနေများတွင် တွင်ကျယ်စွာအသုံးပြုပါသည်။

အိုင်ကွန်ကို ရိုက်ပါ။

အားသာချက်များ

1. မြင့်မားသောယုံကြည်စိတ်ချရ, passive optical ကိရိယာ;

2. switch port ကိုသိမ်းပိုက်မထားဘူး, လွတ်လပ်သောပစ္စည်းကိရိယာများ, နောက်ဆက်တွဲကောင်းသောချဲ့ထွင်နိုင်ပါတယ်;

3. switch configuration ကို မွမ်းမံရန် မလိုအပ်ပါ၊ အခြားသော စက်ပစ္စည်းများအပေါ် သက်ရောက်မှုမရှိပါ။

4. ယာဉ်အသွားအလာ အပြည့်အစုံ စုစည်းမှု၊ အမှားအယွင်း ပက်ကေ့ခ်ျများ အပါအဝင် switch packet filtering မရှိပါ။

အားနည်းချက်များ-

1. ရိုးရှင်းသော ကွန်ရက်ဖြတ်တောက်မှု၊ ကျောရိုးလင့်ခ်ဖိုင်ဘာပလပ်နှင့် အလင်းခွဲကိရိယာသို့ ခေါ်ဆိုမှုတို့ လိုအပ်သည်၊ အချို့သော ကျောရိုးလင့်ခ်များ၏ အလင်းအားကို လျှော့ချပေးလိမ့်မည်။

SPAN(Port Mirror)

SPAN သည် switch ကိုယ်တိုင်နှင့်အတူပါလာသောအင်္ဂါရပ်တစ်ခုဖြစ်သောကြောင့်၎င်းကို switch တွင် configure လုပ်ရန်လိုအပ်သည်။ သို့သော်၊ ဤလုပ်ဆောင်ချက်သည် ခလုတ်၏ စွမ်းဆောင်ရည်ကို ထိခိုက်စေပြီး ဒေတာပိုလျှံနေချိန်တွင် ပက်ကက်ဆုံးရှုံးမှုကို ဖြစ်စေသည်။

network switch port ပါဝင်တယ်။

အားသာချက်များ

1. အပိုပစ္စည်းများထည့်ရန် မလိုအပ်ပါ၊ သက်ဆိုင်ရာ ပုံတူပွားခြင်း အထွက်ပေါက်ကို တိုးမြှင့်ရန် ခလုတ်ကို စီစဉ်သတ်မှတ်ပါ။

အားနည်းချက်များ-

1. switch port ကို သိမ်းပိုက်ပါ။

2. ပြင်ပကုမ္ပဏီထုတ်လုပ်သူများနှင့် ပူးတွဲညှိနှိုင်းမှုပါ၀င်သည့် ခလုတ်များကို ပြင်ဆင်သတ်မှတ်ရန် လိုအပ်ပြီး ကွန်ရက်ချို့ယွင်းမှုဖြစ်နိုင်ခြေကို တိုးစေပါသည်။

3. Mirror traffic replication သည် port နှင့် switch စွမ်းဆောင်ရည်အပေါ် သက်ရောက်မှုရှိပါသည်။

အသုံးပြုနေသော ကွန်ရက် နှိပ်ခြင်း (TAP စုစည်းမှု)

Network TAP သည် port mirroring ကိုဖွင့်ပေးပြီး စောင့်ကြည့်ရေးကိရိယာအမျိုးမျိုးမှအသုံးပြုရန်အတွက် traffic မိတ္တူကိုဖန်တီးပေးသည့် ပြင်ပကွန်ရက်စက်ပစ္စည်းတစ်ခုဖြစ်သည်။ ဤစက်ပစ္စည်းများကို စောင့်ကြည့်လေ့လာရန် လိုအပ်သော ကွန်ရက်လမ်းကြောင်းရှိ နေရာတွင် မိတ်ဆက်ထားပြီး ဒေတာ IP ပက်ကေ့ခ်ျများကို ကူးယူကာ ကွန်ရက်စောင့်ကြည့်ရေးကိရိယာသို့ ပို့ပေးပါသည်။ ကွန်ရက် TAP စက်ပစ္စည်းအတွက် ဝင်ခွင့်အမှတ်၏ ရွေးချယ်မှုသည် ကွန်ရက်အသွားအလာ၏ အာရုံစူးစိုက်မှုအပေါ် မူတည်သည် -data စုဆောင်းခြင်းဆိုင်ရာ အကြောင်းရင်းများ၊ ခွဲခြမ်းစိတ်ဖြာမှုနှင့် နှောင့်နှေးမှုများကို ပုံမှန်စောင့်ကြည့်ခြင်း၊ ကျူးကျော်ဝင်ရောက်မှုကို ထောက်လှမ်းခြင်းစသည်ဖြင့် ကွန်ရက် TAP စက်ပစ္စည်းများသည် 1G နှုန်းအထိ ဒေတာစီးကြောင်းများကို 1G နှုန်းအထိ စုဆောင်းနိုင်ပြီး ကြေးမုံပြင်နိုင်ပါ။ 100G

ဤစက်ပစ္စည်းများသည် ဒေတာလမ်းကြောင်းအသွားအလာနှုန်းကို မခွဲခြားဘဲ ပက်ကတ်စီးဆင်းမှုကို မွမ်းမံပြင်ဆင်သည့် ကွန်ရက် TAP ကိရိယာမပါဘဲ မည်သည့်နည်းဖြင့်မဆို ဝင်ရောက်ကြည့်ရှုသည်။ ဆိုလိုသည်မှာ လုံခြုံရေးနှင့် ခွဲခြမ်းစိတ်ဖြာမှုကိရိယာများသို့ လမ်းကြောင်းပေးသည့်အခါ ဒေတာ၏သမာဓိကို ထိန်းသိမ်းထားရန်အတွက် မရှိမဖြစ်လိုအပ်သော ကွန်ရက်အသွားအလာကို စောင့်ကြည့်ခြင်းနှင့် port mirroring လုပ်ခြင်းတို့ကို မပြုလုပ်နိုင်ပါ။

ကွန်ရက်အရံကိရိယာများသည် ယာဉ်အသွားအလာမိတ္တူများကို စောင့်ကြည့်နေစေရန် ကွန်ရက် TAP ကိရိယာများကို လေ့လာသူများအဖြစ် လုပ်ဆောင်နိုင်စေရန် သေချာစေသည်။ သင့်ဒေတာမိတ္တူကို ချိတ်ဆက်ထားသည့် မည်သည့်စက်ပစ္စည်းများသို့မဆို ပေးပို့ခြင်းဖြင့်၊ သင်သည် ကွန်ရက်အမှတ်တွင် အပြည့်အဝမြင်နိုင်စွမ်းကို ရရှိမည်ဖြစ်သည်။ ကွန်ရက် TAP စက် သို့မဟုတ် စောင့်ကြည့်ကိရိယာ ပျက်ကွက်ပါက၊ လည်ပတ်မှုစနစ်သည် ဘေးကင်းပြီး ရရှိနိုင်ကြောင်း သေချာစေရန် လမ်းကြောင်းအသွားအလာ ထိခိုက်မည်မဟုတ်ကြောင်း သင်သိပါသည်။

တစ်ချိန်တည်းမှာပင်၊ ၎င်းသည် ကွန်ရက် TAP စက်များ၏ အလုံးစုံပစ်မှတ်ဖြစ်လာသည်။ ပက်ကေ့ခ်ျများသို့ ဝင်ရောက်ခွင့်ကို ကွန်ရက်အတွင်း အသွားအလာ အနှောင့်အယှက်မရှိဘဲ အမြဲတမ်း ပံ့ပိုးပေးနိုင်ပြီး ဤမြင်နိုင်မှု ဖြေရှင်းနည်းများသည် ပိုမိုအဆင့်မြင့်သော ကိစ္စများကို ကိုင်တွယ်ဖြေရှင်းနိုင်ပါသည်။ နောက်မျိုးဆက် firewalls မှ data ယိုစိမ့်ခြင်းမှ ကာကွယ်ခြင်း၊ အပလီကေးရှင်း စွမ်းဆောင်ရည် စောင့်ကြည့်ခြင်း၊ SIEM၊ ဒစ်ဂျစ်တယ် မှုခင်းဆေးပညာ၊ IPS၊ IDS နှင့် အခြားအရာများ အပါအဝင် ကိရိယာများ၏ လိုအပ်ချက်များ၊ ကွန်ရက် TAP စက်ပစ္စည်းများကို ပြောင်းလဲတိုးတက်စေရန် တွန်းအားပေးပါသည်။

ယာဉ်ကြောအသွားအလာ၏ မိတ္တူအပြည့်အစုံကို ပေးဆောင်ခြင်းနှင့် ရရှိနိုင်မှုကို ထိန်းသိမ်းခြင်းအပြင် TAP စက်များသည် အောက်ပါတို့ကို ပံ့ပိုးပေးနိုင်ပါသည်။

1. Network Monitoring Performance ကို အမြင့်ဆုံးဖြစ်စေရန် Packets များကို စစ်ထုတ်ပါ။

Network TAP စက်သည် တစ်ချိန်ချိန်တွင် ပက်ကတ်တစ်ခု၏ 100% မိတ္တူကို ဖန်တီးနိုင်သောကြောင့် စောင့်ကြည့်စစ်ဆေးခြင်းနှင့် လုံခြုံရေးကိရိယာတိုင်းသည် အရာအားလုံးကို မြင်ရန် လိုအပ်သည်ဟု မဆိုလိုပါ။ အချိန်နှင့်တပြေးညီ ကွန်ရက်စောင့်ကြည့်ခြင်းနှင့် လုံခြုံရေးကိရိယာများအားလုံးသို့ အသွားအလာကို လွှင့်ထုတ်ခြင်းသည် အစီအစဥ်များလွန်ကဲခြင်းအတွက်သာ ရလဒ်ဖြစ်ပြီး၊ ထို့ကြောင့် ကိရိယာများ၏ စွမ်းဆောင်ရည်နှင့် လုပ်ငန်းစဉ်အတွင်းရှိ ကွန်ရက်ကို ထိခိုက်စေသည်။

မှန်ကန်သော Network TAP စက်ပစ္စည်းကို နေရာချထားခြင်းသည် စောင့်ကြည့်ရေးကိရိယာသို့ လမ်းကြောင်းမှန်ပြောင်းသွားသည့်အခါ ပက်ကေ့ခ်ျများကို စစ်ထုတ်နိုင်ပြီး မှန်ကန်သောဒေတာကို မှန်ကန်သောကိရိယာသို့ ဖြန့်ဝေပေးနိုင်ပါသည်။ ထိုကဲ့သို့သော ကိရိယာများ၏ ဥပမာများတွင် ကျူးကျော်ဝင်ရောက်မှု ထောက်လှမ်းခြင်းစနစ် (IDS)၊ ဒေတာဆုံးရှုံးမှု ကာကွယ်ခြင်း (DLP)၊ လုံခြုံရေး အချက်အလက်နှင့် ဖြစ်ရပ်စီမံခန့်ခွဲမှု (SIEM)၊ မှုခင်းဆေးပညာ ခွဲခြမ်းစိတ်ဖြာမှု နှင့် အခြားများစွာ ပါဝင်ပါသည်။

2. ထိရောက်သောကွန်ရက်ချိတ်ဆက်မှုအတွက် စုစည်းထားသောလင့်ခ်များ

ကွန်ရက်စောင့်ကြည့်ခြင်းနှင့် လုံခြုံရေးလိုအပ်ချက်များ တိုးလာသည်နှင့်အမျှ၊ ကွန်ရက်အင်ဂျင်နီယာများသည် အလုပ်များပိုမိုပြီးမြောက်စေရန် လက်ရှိ IT ဘတ်ဂျက်များကို အသုံးပြုရန် နည်းလမ်းများကို ရှာဖွေရမည်ဖြစ်သည်။ သို့သော် တစ်ချိန်ချိန်တွင်၊ သင်သည် stack ထဲသို့ စက်ပစ္စည်းအသစ်များကို ဆက်ထည့်၍ သင့်ကွန်ရက်၏ ရှုပ်ထွေးမှုကို တိုးလာစေနိုင်မည်မဟုတ်ပေ။ စောင့်ကြည့်စစ်ဆေးခြင်းနှင့် လုံခြုံရေးကိရိယာများကို အမြင့်ဆုံးအသုံးပြုရန် အရေးကြီးပါသည်။

ကွန်ရက် TAP စက်များသည် ကွန်ရက်အသွားအလာများစွာကို ချိတ်ဆက်ထားသည့် ကိရိယာများထံသို့ ပို့တ်တစ်ခုမှ တစ်ဆင့် ပေးပို့ရန်၊ အရှေ့ဘက်နှင့် အနောက်ဘက်သို့ ပေါင်းစည်းခြင်းဖြင့် ကူညီပေးနိုင်သည်။ ဤနည်းဖြင့် မြင်နိုင်မှုကိရိယာများကို ဖြန့်ကျက်အသုံးပြုခြင်းသည် စောင့်ကြည့်ရေးကိရိယာများ လိုအပ်သည့်အရေအတွက်ကို လျှော့ချပေးမည်ဖြစ်သည်။ East-West ဒေတာလမ်းကြောင်းသည် ဒေတာစင်တာများနှင့် ဒေတာစင်တာများကြားတွင် ဆက်လက်ကြီးထွားလာသည်နှင့်အမျှ ဒေတာအမြောက်အမြားတစ်လျှောက် အတိုင်းအတာပမာဏစီးဆင်းမှုအားလုံးကို မြင်နိုင်စွမ်းရှိစေရန် ကွန်ရက် TAP စက်များအတွက် လိုအပ်ချက်သည် မရှိမဖြစ်လိုအပ်ပါသည်။

ML-NPB-5690 (၈)၊

သင်စိတ်ဝင်စားနိုင်သော ဆက်စပ်ဆောင်းပါး၊ ဤနေရာတွင် ဝင်ရောက်ကြည့်ရှုပါ။Network Traffic ကို ဘယ်လိုဖမ်းမလဲ။ Network Tap vs Port Mirror


တင်ချိန်- အောက်တိုဘာ ၂၄-၂၀၂၄