Vantaggi e svantaggi di analisi di rete passiva


  Share  
|

L'approccio passivo analisi della rete ha diversi vantaggi:

• L'analizzatore non interagisce con la rete per scoprire gli host e le loro vulnerabilità connessi.

• solo l'interfaccia attraverso cui l'utente accede al software per ottenere report è attivo.

• Poco a che non siano richieste prove per essere certi non vi è alcun impatto negativo sulla rete o host. Poiché la tecnologia è completamente passivo, la verifica è poco richiesta. Anche se il dispositivo non riesce fisicamente, non è messo in linea, dove avrebbe dovuto gestire i bit sul filo.

• A volte, il dispositivo può essere installato in tandem con uno esistente IDS. Ciò semplifica enormemente l'implementazione senza alcuna modifica allo switch di rete.

• Il processo di scoperta avviene continuamente. Nuovi ospiti si rivelano non appena sono connessi alla rete e iniziare a comunicare. In contrasto con l'attivo di scansione e gli agenti, le vulnerabilità non può essere conosciuta fino al prossimo ciclo di scansione.

• host nascosti può essere scoperto che non ascoltano per sondare il traffico attivo sulla rete. Invece, questi host comunicare solo avviando una conversazione sulla rete, e può quindi essere rilevate solo passivamente.

Dal momento che i protocolli di routing e altre informazioni di rete sono visibili anche a un analizzatore di traffico, ma può anche essere in grado di mappare la topologia della rete e utilizzare queste informazioni per creare un quadro della superficie di attacco di una rete più complessa. Questo tipo di informazioni possono essere ottenute anche autenticato scansioni attiva e fornendo i dati di configurazione di strumenti specializzati. Ci sono anche alcuni svantaggi interessanti di questa tecnologia:

• Il dispositivo deve essere installato in genere l'interruttore che porta il traffico da monitorare. Il monitoraggio remoto di una rete spesso non è pratico su una connessione WAN occupato. In questo modo limitare il numero di posizioni che possono essere scansionate. Se l'organizzazione richiede un monitoraggio su larga scala geografica, questo non può essere la giusta tecnologia.

• Il meccanismo che le copie passare il traffico verso il dispositivo fisico può causare il carico della CPU supplementare sullo switch. Carico aggiuntivo che può ridurre le prestazioni di routing, controllo accessi, CPU o altre operazioni ad alta intensità.

• Non vi è una visibilità ridotta di vulnerabilità. Molte delle vulnerabilità che possono essere rilevati con un agente host o attiva, la scansione di rete autenticato non possono essere rilevati analizzando il traffico di rete.

Nel complesso, l'analisi passiva non può vedere come molte vulnerabilità su sistemi, ma devono funzionare 24 ore al giorno e fornire informazioni sulla topologia di rete che sarebbe altrimenti non disponibile. Modifiche per l'ambiente della rete e gli host sarebbe rilevata prima utilizzando il metodo di analisi passiva se queste vulnerabilità sono uno Footprint Network.

un articolo presentato da Paula Oberman

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions