Ingress Vs Egress - Qual è la differenza

Ingress vs egress: sembra esserci un dibattito senza fine su questi termini. Sono un po 'arcaici e il loro significato sembra essere diverso in diverse situazioni.

Oggi faremo del nostro meglio per cercare di far luce su questo mistero. Tuttavia, non vogliamo entrare in un dibattito filosofico. Il nostro unico obiettivo è fare del nostro meglio per spiegare questi termini e come vengono generalmente utilizzati nel contesto del networking. Ma anche quello, come stai per vedere, può essere piuttosto confuso.

Inizieremo iniziando e faremo del nostro meglio per definire questi due termini, prima linguisticamente e poi nel contesto specifico delle reti di computer. Spiegheremo quindi in che modo il loro significato può variare in base al punto di vista di uno in base all'ambito che stiamo contemplando. Lo stesso traffico in uscita in una situazione può diventare traffico in entrata in un'altra. Successivamente, parleremo del monitoraggio del traffico in entrata e in uscita e presenteremo alcuni dei migliori strumenti che è possibile utilizzare a tale scopo. Ma aspetta! C'è più. Discuteremo anche dell'uscita nel contesto specifico della sicurezza dei dati e introdurremo un paio delle migliori pratiche per proteggerti dall'uscita dei dati. E, mantenendo le nostre buone abitudini, esamineremo alcuni dei migliori strumenti SIEM che è possibile utilizzare per rilevare l'uscita di dati indesiderati.

Definizione dell'ingresso e dell'uscita

Dal punto di vista linguistico, definire una di queste parole non potrebbe essere più semplice (gioco di parole). Vediamo cosa ha da dire il dizionario Merriam-Webster. Definisce semplicemente e in modo chiaro (quasi noioso) l'ingresso come "l'atto di entrare ". Abbastanza semplice, no? E l'uscita non è molto più complicata in quanto la stessa fonte lo definisce come "l'azione di andare o uscire ”. Anche in questo caso, una definizione piuttosto semplice. Se ti interessa controllare altre fonti, troverai un consenso definito. Ingress sta entrando mentre l'uscita sta uscendo.

Nel contesto del traffico di rete

Ma questo post sul blog non riguarda la linguistica, riguarda l'amministrazione della rete. E questo è dove l'ingresso e l'uscita possono diventare un po 'più confusi. Tuttavia, è sempre lo stesso e ha a che fare con l'ingresso e l'uscita di dati da una rete, un dispositivo o un'interfaccia. Finora niente di complicato. Dove diventa difficile, tuttavia, è quando le persone non sono d'accordo su cosa c'è dentro e cosa c'è fuori. Vedi, a volte gli interni di uno sono gli outs di un altro.

Tutto dipende dal tuo punto di vista

L'ingresso o l'uscita, quando si fa riferimento al traffico di rete, ha a che fare con il modo in cui vedi le cose, dipende dal tuo punto di vista. Nella maggior parte delle altre situazioni, dentro è dentro e fuori è fuori; non c'è nulla di confuso al riguardo. Questo, tuttavia, non è tanto il caso delle reti. Proviamo a chiarire che usando alcuni esempi concreti.

Il nostro primo esempio è quello di un gateway Internet. Potrebbe essere un router, un server proxy o un firewall, non importa. È il dispositivo che si trova tra la rete locale e Internet. In questo caso, penso che tutti sarebbero d'accordo sul fatto che Internet è considerato come l'esterno e la rete locale, l'interno. Quindi, il traffico proveniente da Internet verso la rete locale sarebbe traffico in ingresso e il traffico dalla rete locale a Internet sarebbe traffico in uscita. Finora è ancora semplice.

Ma se guardi le cose da un punto di vista dell'interfaccia di rete, le cose diventano diverse. Nell'esempio precedente, se si osserva il traffico sull'interfaccia LAN, il traffico diretto a Internet ora sta entrando nel traffico mentre entra nel gateway. Allo stesso modo, il traffico diretto verso la rete locale non è traffico in uscita in quanto esce dal gateway.

Per riassumere, differenziare il traffico in entrata e in uscita richiede che siamo tutti d'accordo su ciò di cui stiamo parlando. Come abbiamo visto, il traffico in ingresso in un contesto può essere traffico in uscita in un altro. Il nostro miglior suggerimento sarebbe di evitare di usare questi termini del tutto o di indicare chiaramente il loro contesto di utilizzo ogni volta che li usi. In questo modo, eviterai qualsiasi confusione.

Monitoraggio del traffico in uscita e in ingresso

Ora che abbiamo familiarità con la terminologia, diamo un'occhiata al monitoraggio del traffico in entrata e in uscita. In genere, questo viene fatto utilizzando un software speciale chiamato monitoraggio della rete o strumenti di monitoraggio della larghezza di banda. Questi strumenti utilizzano il protocollo SNMP (Simple Network Management Protocol) per leggere i contatori di interfaccia dalle apparecchiature connesse alla rete. Questi contatori calcolano semplicemente il numero di byte in entrata e in uscita da ciascuna interfaccia di rete. Si noti che gli strumenti di monitoraggio raramente utilizzano l'ingresso e l'uscita e di solito si riferiscono al traffico in entrata e in uscita da un'interfaccia. Spetta a te, se lo desideri, determinare quale sia l'ingresso e quale sia il traffico in uscita, sempre a seconda del contesto specifico.

Alcuni strumenti che consigliamo

Sono disponibili molti strumenti di monitoraggio della larghezza di banda o della rete. Probabilmente troppi e scegliere quello migliore — o anche solo uno buono — può essere una sfida. Abbiamo provato molti degli strumenti disponibili e abbiamo creato questo elenco di alcuni dei migliori strumenti di monitoraggio della larghezza di banda che puoi trovare.

SolarWinds è uno dei migliori produttori di strumenti di amministrazione di rete. Il prodotto di punta dell'azienda è chiamato SolarWinds Network Performance Monitor, o NPM. È una soluzione di monitoraggio della rete molto completa che presenta un'interfaccia utente grafica intuitiva che gli amministratori possono utilizzare per monitorare i dispositivi e configurare lo strumento.

Il sistema utilizza SNMP per eseguire query sui dispositivi e visualizzare l'utilizzo delle loro interfacce, nonché altre metriche utili su una dashboard grafica. Oltre a questa dashboard, è possibile generare vari report integrati su richiesta o in base a un'esecuzione pianificata. E se i rapporti integrati non ti forniscono le informazioni di cui hai bisogno, possono essere personalizzati a piacimento. Il pacchetto include anche alcuni strumenti utili come la possibilità di visualizzare una rappresentazione visiva della patch critica tra due punti qualsiasi della rete. Questo strumento è altamente scalabile e si adatta a qualsiasi rete dalle reti più piccole a quelle più grandi con migliaia di dispositivi distribuiti su più siti.

• PROVA GRATUITA: SolarWinds Network Performance Monitor
• Link per il download ufficiale: https://www.solarwinds.com/network-performance-monitor/registration

Il SolarWinds Network Performance MonitorIl sistema di allerta è un altro luogo in cui il prodotto brilla. Come i suoi rapporti, è personalizzabile se necessario, ma può anche essere utilizzato immediatamente con una configurazione minima. Il motore di allerta è abbastanza intelligente da non inviare notifiche per eventi "non importanti" nel cuore della notte o a inviare centinaia di notifiche per altrettanti dispositivi che non rispondono quando il problema principale è un router inattivo o uno switch di rete a monte.

Prezzi per il SolarWinds Network Performance Monitor inizia a poco meno di $ 3 000 e sale in base al numero di dispositivi da monitorare. La struttura dei prezzi è in realtà piuttosto complessa e si dovrebbe contattare il team di vendita di SolarWinds per un preventivo dettagliato. Se preferisci provare il prodotto prima di acquistarlo, è disponibile una versione di prova gratuita di 30 giorni per il download dal sito Web di SolarWinds.

2. ManageEngine OpManager

ManageEngine è un altro noto editore di strumenti di gestione della rete. Il ManageEngine OpManager è una soluzione di gestione completa che gestirà praticamente qualsiasi attività di monitoraggio che puoi svolgere. Lo strumento può essere eseguito su Windows o Linux ed è dotato di ottime funzionalità. Tra le altre cose, esiste una funzione di rilevamento automatico in grado di mappare la rete, offrendo una dashboard personalizzata in modo univoco.

Il ManageEngine OpManagerLa dashboard è semplicissima da usare e da navigare, grazie alla sua funzionalità di drill-down. E se ti piacciono le app mobili, ci sono app per tablet e smartphone che ti consentono di accedere allo strumento da qualsiasi luogo. Questo è un prodotto complessivamente molto lucido e professionale.

L'allerta è altrettanto efficace OpManager come tutti gli altri suoi componenti. Esiste una gamma completa di avvisi basati su soglia che aiuteranno a rilevare, identificare e risolvere i problemi di rete. È possibile impostare più soglie con diverse notifiche per tutte le metriche delle prestazioni della rete.

Se si desidera provare il prodotto prima dell'acquisto, è disponibile una versione gratuita. Sebbene sia una versione veramente gratuita piuttosto che una prova a tempo limitato, ha alcune limitazioni come consentire di monitorare non più di dieci dispositivi. Questo è insufficiente per tutti tranne che per le reti più piccole. Per reti più grandi, puoi scegliere tra Essenziale o il impresa piani. Il primo ti consentirà di monitorare fino a 1.000 nodi, mentre l'altro arriva a 10.000. Informazioni sui prezzi sono disponibili contattando ManageEngineLe vendite.

3. PRTG Network Monitor

Il PRTG Network Monitor, a cui faremo semplicemente riferimento PRTG, è un altro ottimo sistema di monitoraggio. Il suo editore afferma che questo strumento può monitorare tutti i sistemi, i dispositivi, il traffico e le applicazioni della tua infrastruttura IT. È un pacchetto all-inclusive che non si basa su moduli esterni o componenti aggiuntivi che devono essere scaricati e installati. A causa della sua natura integrata, è più veloce e più facile da installare rispetto alla maggior parte degli altri strumenti di monitoraggio della rete. Puoi scegliere tra alcune diverse interfacce utente come una console aziendale di Windows, un'interfaccia Web basata su Ajax e app mobili per Android e iOS.

Il PRTG Network Monitor è diverso dalla maggior parte degli altri strumenti di monitoraggio in quanto è basato su sensori. Varie funzioni di monitoraggio possono essere aggiunte allo strumento semplicemente configurando sensori aggiuntivi. Sono come plugin, tranne per il fatto che non sono moduli esterni ma sono invece inclusi nel prodotto. PRTG include oltre 200 di tali sensori che coprono diverse esigenze di monitoraggio. Per le metriche delle prestazioni di rete, il sensore QoS e il sensore PING avanzato consentono di monitorare la latenza e il jitter mentre il sensore SNMP standard consente di monitorare il throughput.

Il PRTG la struttura dei prezzi è piuttosto semplice. Esiste una versione gratuita che è full optional ma limiterà la tua capacità di monitoraggio a 100 sensori. Esiste anche una versione di prova di 30 giorni che è illimitata ma tornerà alla versione gratuita al termine del periodo di prova. Se desideri continuare a monitorare più di 100 sensori oltre il periodo di prova, dovrai acquistare una licenza. Il loro prezzo varia in base al numero di sensori da $ 1 600 per 500 sensori a $ 14 500 per sensori illimitati. Ogni parametro monitorato conta come un sensore. Ad esempio, il monitoraggio della larghezza di banda su ciascuna porta di uno switch a 48 porte conterà come 48 sensori.

Uscita nel contesto della sicurezza

Esiste un altro uso del termine uscita tra gli amministratori di rete e di sistema specifico per il contesto della sicurezza dei dati. Si riferisce ai dati che escono dalla rete locale di un'organizzazione. Messaggi di posta elettronica in uscita, caricamenti su cloud o file che vengono spostati su memoria esterna sono semplici esempi di uscita dei dati. È una parte normale dell'attività di rete, ma può rappresentare una minaccia per le organizzazioni quando i dati sensibili vengono divulgati a destinatari non autorizzati, inconsapevolmente o malevolmente.

Minacce che coinvolgono l'uscita dei dati

Le informazioni sensibili, proprietarie o facilmente monetizzabili sono spesso prese di mira da criminali informatici di ogni tipo. Il rilascio di informazioni riservate o proprietarie al pubblico o alle organizzazioni concorrenti è una vera preoccupazione per le imprese, i governi e le organizzazioni di ogni tipo. Gli attori delle minacce possono provare a rubare dati sensibili attraverso gli stessi metodi che molti dipendenti usano ogni giorno, come e-mail, USB o caricamenti nel cloud.

Best practice per la prevenzione dell'uscita di dati indesiderati

Puoi fare molto per proteggere la tua organizzazione dall'uscita di dati non autorizzati, ma alcuni di essi sono particolarmente importanti. Diamo un'occhiata a due degli elementi essenziali essenziali che devi fare.

Creare un uso accettabile e una politica di applicazione del traffico in uscita dai dati

Includi le parti interessate per definire la tua politica di utilizzo accettabile. La politica dovrebbe essere molto approfondita e proteggere le risorse della tua azienda. Ad esempio, potrebbe includere un elenco di servizi accessibili accessibili via Internet e linee guida per l'accesso e la gestione dei dati sensibili. E non dimenticare che è una cosa creare tali criteri, ma devi anche comunicarli agli utenti e assicurarti che li comprendano.

Implementare le regole del firewall per bloccare l'uscita verso destinazioni dannose o non autorizzate

Un firewall di rete è solo una delle numerose linee di difesa contro le minacce. È un buon punto di partenza in cui è possibile garantire che l'uscita dei dati non avvenga senza un'autorizzazione esplicita.

SIEM - Per aiutare a prevenire l'uscita dei dati

Indipendentemente da ciò che fai, il monitoraggio rimane uno dei modi migliori per proteggere dall'uscita dei dati. Ogni volta che si verificano perdite di dati, è necessario conoscerle immediatamente in modo da poter agire su di esse. È qui che gli strumenti di sicurezza delle informazioni e di gestione degli eventi (SIEM) possono aiutare.

Concretamente, un sistema SIEM non fornisce alcuna protezione rigida. Il suo scopo principale è semplificare la vita degli amministratori di rete e della sicurezza come te. Ciò che fa un tipico sistema SIEM è raccogliere informazioni da varie protezioni e rilevazioni sistemi, correlare tutte queste informazioni assemblando eventi correlati e reagire a eventi significativi in vari modi. Il più delle volte, gli strumenti SIEM includono anche una qualche forma di reporting e / o dashboard.

Alcuni dei migliori strumenti SIEM

Per darti un'idea di ciò che è disponibile e per aiutarti a scegliere lo strumento SIEM adatto alle tue esigenze, abbiamo raccolto questo elenco di alcuni dei migliori strumenti SIEM.

Lo stesso SolarWinds che ci ha portato il Network Monitor recensito sopra ha anche un'offerta per la sicurezza delle informazioni e la gestione degli eventi. In effetti, è uno dei migliori strumenti SIEM disponibili. Potrebbe non essere completo come alcuni altri strumenti, ma ciò che fa, lo fa molto bene e ha tutte le funzionalità richieste. Lo strumento si chiama Gestione eventi di sicurezza SolarWinds (SEM). È meglio descritto come un sistema SIEM entry-level ma è probabilmente uno dei sistemi entry-level più competitivi sul mercato. Il SolarWinds SEM ha tutto ciò che ci si può aspettare da un sistema SIEM, tra cui eccellenti funzioni di gestione dei log e di correlazione che possono aiutare a rilevare l'uscita di dati non autorizzati e un impressionante motore di reportistica.

PROVA GRATUITA:Gestione eventi di sicurezza SolarWinds

Link ufficiale per il download:https://www.solarwinds.com/security-event-manager/registration

Per quanto riguarda le funzionalità di risposta agli eventi dello strumento, come previsto da SolarWinds, non lasciano nulla a desiderare. Il sistema di risposta dettagliato in tempo reale reagirà attivamente a ogni minaccia. E poiché si basa sul comportamento piuttosto che su una firma, sei protetto da minacce sconosciute o future. La dashboard dello strumento è probabilmente una delle sue risorse migliori. Con un design semplice, non avrai problemi a identificare rapidamente le anomalie. A partire da circa $ 4 500, lo strumento è più che conveniente. E se vuoi provarlo prima, è disponibile per il download una versione di prova gratuita di 30 giorni completamente funzionale.

Link ufficiale per il download:https://www.solarwinds.com/security-event-manager/registration

2. Splunk Enterprise Security

Forse uno dei sistemi SIEM più popolari, Splunk Enterprise Security-O semplicemente Splunk ES, come viene spesso chiamato, è famoso per le sue capacità analitiche. Splunk ES monitora i dati del sistema in tempo reale, cercando vulnerabilità e segni di attività anomala. Il sistema utilizza SplunkProprio Framework di risposta adattiva (ARF) che si integra con le apparecchiature di oltre 55 fornitori di servizi di sicurezza. Il ARF esegue una risposta automatica, permettendoti di ottenere rapidamente il sopravvento. Aggiungete a ciò un'interfaccia utente semplice e ordinata e avrete una soluzione vincente. Altre caratteristiche interessanti includono la funzione "Notables" che mostra avvisi personalizzabili dall'utente e "Asset Investigator" per segnalare attività dannose e prevenire ulteriori problemi.

Splunk ES è un prodotto di livello enterprise e, come tale, viene fornito con un prezzo di dimensioni enterprise. Purtroppo non è possibile ottenere molte informazioni sui prezzi da SplunkSito web e dovrai contattare il reparto vendite per ottenere un preventivo. Nonostante il suo prezzo, questo è un ottimo prodotto e potresti voler contattare Splunk per usufruire di una prova gratuita disponibile.

3. NetWitness

Negli ultimi anni, NetWitness si è concentrato su prodotti che supportano "profonda consapevolezza della situazione della rete in tempo reale e risposta della rete agile”. Dopo essere stato acquistato da EMC che poi si sono fusi con conca, il NetWitness gli affari fanno ora parte del RSA filiale della società. E questa è una buona notizia come RSA ha un'ottima reputazione in termini di sicurezza.

NetWitness è ideale per le organizzazioni che cercano una soluzione completa di analisi della rete. Lo strumento incorpora informazioni sulla tua attività che aiutano a dare la priorità agli avvisi. Secondo RSA, il sistema "raccoglie dati attraverso più punti di acquisizione, piattaforme di elaborazione e fonti di intelligence delle minacce rispetto ad altre soluzioni SIEM”. C'è anche il rilevamento avanzato delle minacce che combina analisi comportamentale, tecniche di data science e intelligence sulle minacce. Infine, il sistema di risposta avanzato vanta funzionalità di orchestrazione e automazione che aiutano a eliminare le minacce prima che abbiano un impatto sul business.

Uno dei principali svantaggi di NetWitness è che non è il più facile da configurare e utilizzare. Tuttavia, è disponibile un'ampia documentazione che può essere d'aiuto nell'installazione e nell'uso del prodotto. Questo è un altro prodotto di livello aziendale e, come spesso accade con tali prodotti, dovrai contattare le vendite per ottenere informazioni sui prezzi.