НАЗАД

Построение системы информационной безопасности

Данная статья (ряд статей) носит оценочный и демонстрационный характер.
В данной статье приведены решения, которые позволяют реализовать построение системы информационной безопасности.
В качестве примера используется модель банка, для которой создается система информационной безопасности.
Настоящая статья подготовлена на основании общедоступных маркетинговых и технических материалов, находящихся в открытом доступе.
Все рисунки и cтатьи могут распространяться свободно и безвозмездно.


Часть 8. Управляем потоками зеркалированного трафика. Оборудование компании Gigamon

Для установки оборудования, обеспечивающего мониторинг сетевой активности, пересылки документов по электронной почте, мониторинг WEB трафика пользователей и других задач по наблюдению за сетью и каким-либо трафиком, необходимы порты «зеркалирования» трафика на коммутаторах или «SPAN» порты, в соответствии с терминологией Cisco. Обычно в организации проблематично найти свободный «SPAN» порт или перенаправить трафик на «SPAN» порт. Это обычно связано с отсутствием портов физически, высокой загруженностью коммутаторов, с которых необходимо снимать трафик. Также возможны случаи, когда трафик, который необходимо контролировать, расщеплен на несколько каналом и нет ни одного коммутатора, через который проходил бы весь трафик и его возможно было бы перенаправлять на системы мониторинга. Конечно, в последнем случае, можно было бы использовать RSPAN, но это опять лишняя нагрузка на коммутаторы и существующие каналы.
Решение есть, и это решение – оборудование компании Gigamon.
Оборудование компании Gigamon GigaVUE 2404 предназначено для объединения нескольких потоков данных, полученных с SPAN (mirror mode) портов в один поток и подача объединенного потока на сервера перехвата Infowatch или DSS Protector. На рисунке ниже показана схема работы оборудования Gigamon GigaVUE 2404 для нашего моделируемого банка для обеспечения трафиком системы DLP Infowatch и Websense.
Пунктирными линиями со стрелками показано объединение трафика от разных источников.

При объединении двух поток SPAN (mirror mode) трафика происходит объединение в поток с удалением дублирующей информацией.



Николай Ткаченко, 2015 г.