Netzwerk-Discovery

Monitoring durch Netzwerk-Basisdienste

10. März 2021, 07:00 Uhr   |  Felix Blank/am


Fortsetzung des Artikels von Teil 1 .

Automatisierung

Dieser Zugang macht eine automatische Kategorisierung, Sortierung und Klassifizierung der IP-Adressen der Endgeräte möglich. Weitere Gerätedaten und Schnittstellendaten der Netzwerkinfrastruktur sowie VMware-ESXi-Daten lassen sich mit Techniken wie SNMP, Port-Scans, intelligentem IPv4, Subnetz-Pingsweeps sowie vollständigen Pingsweeps, Net-BIOS-Scans, automatischer ARP-Aktualisierung vor dem Switch-Port-Abruf und der Switch-Port-Datenerfassung ordnungsgemäß sammeln. Mit Hilfe von einfachen Tools, wie beispielsweise von Infoblox, kann all dies automatisiert geschehen. Bei der Masse an Geräten und Namensauflösungen im Netzwerk ist dies gerade in Zeiten des Fachkräftemangels eine ressourcenschonende Möglichkeit, schnell eine Antwort auf die Frage zu erhalten,  wer wo im Netzwerk ist.
Die Informationen lassen sich dabei in Echtzeit zum Beispiel auf den Access Point oder die Lokation herunterbrechen. Damit verschafft eine solche Datenbank Entlastung bei Aufgaben wie Inventarisierung, Fehlerbehebung und Wartung.

Noch einen Schritt weiter geht die Automatisierung mit Hilfe von hinterlegten Best Practices und Standards. Sie erkennen Veränderungen im Netzwerk und analysieren diese automatisch, um Abweichungen von der korrekten Konfiguration und Schwachstellen für die Stabilität des Netzwerks zu identifizieren. Dank Network Discovery können Netzwerkadministratoren genau sehen, wer sich im Netzwerk tummelt. Diese Informationen sind auch im Falle von Cyberattacken nützlich. Die Überwachung von IP-Adressen und Kommunikation, die mit diesen stattfindet, ist für die Sicherheit von großer Bedeutung. Die Herkunft und Reputation von IP-Adressen kann Hinweise auf außergewöhnliche Aktivitäten im Netzwerk liefern. Stellt ein IT-Administrator beispielsweise fest, dass der größte Teil des Netzwerkverkehrs bei einem verteilten Denial-of-Service-Angriff aus einer bestimmten geografischen Region stammt, kann vorübergehend die Implementierung einer Access Control List erfolgen, um den kompletten Netzwerkverkehr aus diesem Gebiet zu blocken. Sperrt man den Netzwerkverkehr von bekannten bösartigen IP-Adressen, kann das Risiko von Sicherheitsverletzungen wie Malware sinken.

405_LL03_Infoblox_Bild2
© Bild: Infoblox

Bild 2. Einblicke in das Netzwerk: Netzwerkinfrastrukturdaten auf der Registerkarte „Geräte“.

Dem DNS kommt in Sachen Netzwerküberwachung und Sicherheit eine besondere Rolle zu. Grundsätzlich löst es IP-Adressen in Domain-Namen auf oder umgekehrt. Dabei ist es zwar nicht in der Lage, jedes Paket des Netzwerk-Traffics zu überwachen, doch in Zeiten von 5G ist dies aufgrund der Datenmengen ohnehin fast unmöglich. Dennoch verrät der Schatten des gesamten DNS-Verkehrs eine Menge. Der vollständige DNS-Verkehr liefert wichtige Kompromittierungsindikatoren, wie die Abbildung von Command-and-Control-Kommunikation. Ergänzt um DNS-Security kann das DNS damit ein starker Kontrollpunkt sein, um relevante Sicherheitsvorfälle und gefährliche Transaktionen herauszufiltern.

DNS-Threat-Intelligence kann darüber hinaus mit anderen Open-Source-Tools und weiteren Threat Intelligence Feeds sowie Analytics-Systemen wie EDR (Endpoint Detection and Response) und SIEM (Security-Information- und Event-Management) integriert sein. Somit kann es ein ganzheitliches und situationsorientiertes Bild der Sicherheitslage liefern. Beispielsweise kann so ein Client, der in keiner bisherigen Analyse aufgefallen ist, sichtbar sein, weil er in regelmäßigen Abständen Kontakt mit einer schädlichen Domain aufzubauen versucht. Durch diesen Einblick lässt sich der Client schnell identifizieren, und durch ein sauber eingepflegtes Gerät ersetzen. Es gilt: Die Zahl der Cyberattacken nimmt zu, die Netzwerke werden immer komplexer und die Übertragungsraten steigen. Diese Entwicklungen führen zu einem Punkt, an dem selbst die besten Netzwerk- und Securityteams dem Workload nicht ohne automatisierte Hilfe Stand halten.

Netzwerkbasisdienste sind in jedem Netzwerk vorhanden und können schon heute dazu dienen, diese Herausforderung anzugehen – deshalb sollten man sie auch im Bereich Monitoring gewinnbringend einsetzen. Das Augenmerk sollte dafür auf dem IP-Address-Management und dem DNS liegen. So erhalten Netzwerk-Manager granulare Einblicke, welche Geräte sich im Netz befinden und was sie dort tun.

Felix Blank ist Senior Manager Solutions Architects bei Infoblox.

Seite 2 von 2

1. Monitoring durch Netzwerk-Basisdienste
2. Automatisierung

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Infoblox

Monitoring