Slinkin Technologies разработчик программного обеспечения в сфере анализа сетевого трафика. Мониторинг трафика в сети Интернет, IoT, промышленных и корпоративных сетях.

Slinkin Technologies

SL DC Engine - Dissection and Classification Engine

SL DC Engine

SL Sniifer - Независимый от типа сети сетевой монитор

SL Sniffer

DC Engine

Traffic Engine

DLog

Policy Hub

Packet Patcher

SL Shaper - Блокировка и балансировка сетевого трафика. Полностью совместим с DC Engine.

SL Shaper



![](/blog/why-is-inline-traffic-monitoring-important/images/webp/inline-cover.webp)

---

#### Оглавнение

- [Введение](#introduction)
- [Атака на узлы внутри сети](#endpoint-node-attack)
- [Аппаратные ограничения endpoint устройств](#endpoint-hardware-limitation)
- [Контроль агентов](#agent-control)
- [Программные ограничения endpoint устройств](#endpoint-software-limitation)
- [Заключение](#conclusion)

---

#### Введение {#introduction}

Статья описывает преимущества использования **DPI**, развёрнутого не на конечных устройствах. Важно заметить, что несмотря на название статьи, описанные ситуации также применимы к ассиметричной схеме включения и к схеме с зеркалированием трафика.

---

#### Атака на узлы внутри сети {#endpoint-node-attack}

В сфере информационной безопасности никого не удивляют ситуации, когда злоумышленник получает доступ к какому-либо устройству внутри сети. Подобные случаи могут дорого стоить компании. Более того, если атакующий продолжает вторжение и инфицирует другие устройства внутри сети, то это может привести к критическим последствиям.

Рекомендованная последовательность действий для такого сценария:

- **Обнаружить** вторжение
- **Изолировать** зараженный узел
- **Собрать** важные данные с инфицированного  устройства и удалить вредоносное ПО
- **Проанализировать** инцидент

**DPI** помогает обнаружить и предотвратить дальнейшее распространение заражения (или другой злонамеренной активности) внутри сети. Также **DPI** предоставляет журналы сетевой активности, которые имеют важное значение при анализе инцидента.

![](/blog/why-is-inline-traffic-monitoring-important/images/webp/endpoint-attack.webp)


Преимущества использования **DPI** внутри сети:

- Обнаружить подозрительную активность в одном сетевом журнале гораздо проще, чем анализировать множество журналов с разных устройств под управлением разных ОС.
- Если злоумышленник получает _root-овые права_, то у него есть возможность замести следы на инфицированном компьютере. Например, скрыть логи об активных соединениях и переданных данных, удалить записи из журналов о login сессиях и так далее.
- Если злоумышленник предпринимает попытки сканировать сеть или производит spoofing атаку, то такую активность можно своевременно заметить с помощью **DPI**. На конечных устройствах подобная активность может остаться незамеченной.

---

#### Аппаратные ограничения endpoint устройств {#endpoint-hardware-limitation}

В наши дни существует множество **IoT**-устройств которые расположены внутри локальных сетей. Главный их недостаток — это аппаратное обеспечение. Они созданы, чтобы выполнять одну конкретную задачу и не более. Это абсолютно другая история по сравнению с персональными компьютерами или ноутбуками. **IoT**-устройства, в большинстве случаев, не могут быть модернизированы.

![](/blog/why-is-inline-traffic-monitoring-important/images/webp/endpoint-hardware-limitation.webp)

Если **DPI** установлен внутри сети на отдельном узле и занимается анализом трафика, то необходимость в установке защитных программ на таких устройствах отпадает. **DPI** собирает данные о сетевой активности, и сетевые инженеры могут в любой момент к ним обратиться, отфильтровав информацию по интересующему устройству.

---

#### Контроль агентов {#agent-control}

Другой важный момент в сборе логов — это количество агентов. Если сеть достаточно большая и содержит устройства с разным аппаратным обеспечением под управлением разных ОС, то управлять ими становится довольно сложно. Гораздо легче собирать сетевые данные, когда количество агентов не превосходит нескольких инстансов.

![](/blog/why-is-inline-traffic-monitoring-important/webp/images/webp/agent-control.webp)


В подобных случаях **DPI** является более надёжным механизмом сбора логов для всей сети или по крайней мере для отдельных её кластеров. Такой подход значительно снизит количество затраченного времени на отладку сетевых решений, установленных на конечных устройствах.

---

#### Программные ограничения endpoint-устройств {#endpoint-software-limitation}

**IoT**-устройства функционируют во множестве современных компаний. Ими трудно управлять, не говоря уже о сложности установить что-либо на них (в некоторых ситуациях это просто невозможно). Как бы то ни было, эти устройства также нуждаются в защите, потому что, как и любое устройство внутри сети, они являются достижимыми и потенциально уязвимыми.

![](/blog/why-is-inline-traffic-monitoring-important/images/webp/endpoint-software-limitation.webp)

Для подобных случаев **DPI** решает проблему так же, как во всех вышеописанных случаях, посредством анализа трафика на отдельном сетевом узле.

---

#### Заключение {#conclusion}

Бесспорно, очень важно иметь на борту специализированное ПО для обеспечения информационной безопасности. Тем не менее гораздо лучше иметь решение класса **DPI** в вашей локальной сети в дополнение к другому инфобезному решению, так как совместно они дадут наилучший результат. **DPI** играет важную роль не только в сфере информационной безопасности. Он также собирает важную информацию о сетевой активности, которая может быть использована для отладки работы сети или построения отчётов о её загрузке.

---

ℹ️ Если вы нашли ошибку в статье, пожалуйста, сообщите нам - edit@slinkin.tech.


Почему важно мониторить трафик в разрыве? | Slinkin Tech.

Универсальные сетевые решения