Avantages et inconvénients de l'analyse de réseau passif


  Share  
|

L'approche passive d'analyse de réseau présente plusieurs avantages:

• L'analyseur n'interagit pas avec le réseau pour découvrir les hôtes et leurs vulnérabilités connexes.

• Seule l'interface à travers laquelle l'utilisateur accède au logiciel pour obtenir des rapports est active.

• Peu ou aucun test n'est nécessaire pour être certain qu'il n'y a pas d'impact négatif sur le réseau ou des hôtes. Puisque la technologie est entièrement passif, la vérification peu est nécessaire. Même si l'appareil ne parvient pas physiquement, il n'est pas mis en ligne où il aurait à traiter les bits sur le fil.

• Parfois, le dispositif peut être installé en tandem avec un IDS existants. Cela simplifie grandement la mise en oeuvre sans aucune modification de l'interrupteur de réseau.

• Le processus de découverte s'effectue en continu. De nouveaux hôtes sont révélés dès qu'ils sont connectés au réseau et commencer à communiquer. Contrairement à l'analyse active et des agents, des vulnérabilités mai ne seront connus que le prochain cycle de balayage.

• ordinateurs cachés peuvent être découvertes qui ne l'écoute pas de sondage actif pour le trafic sur le réseau. Au lieu de cela, ces hôtes ne communiquent que par l'ouverture de conversation sur le réseau, et ne peut donc être détecté de manière passive.

Étant donné que les protocoles de routage et d'autres informations réseau sont également visibles à l'analyseur de trafic, elle mai aussi être capable de cartographier la topologie du réseau et d'utiliser cette information pour créer une image de la surface d'attaque d'un réseau plus complexe. Ce type d'information peut aussi être obtenue en scans authentifiés active et en fournissant des données de configuration d'outils spécialisés. Il ya aussi quelques inconvénients intéressant de cette technologie:

• Le dispositif doit généralement être installé sur l'interrupteur qui porte le trafic à surveiller. Surveillance à distance d'un réseau est souvent peu pratique à travers une connexion WAN occupé. Cela limitera le nombre d'emplacements qui peuvent être scannés. Si votre organisation nécessite une surveillance sur une échelle géographique large, ce mai pas être la bonne technologie.

• Le mécanisme qui copie leur trafic à un dispositif physique peut entraîner une charge supplémentaire sur le processeur du commutateur. Cette charge supplémentaire peut diminuer les performances de routage, contrôle d'accès, ou CPU autres opérations intensives.

• Il ya une visibilité limitée compte de la vulnérabilité. Bon nombre des vulnérabilités qui peuvent être détectés avec un agent d'accueil ou actifs, réseau authentifié scan ne peut être détectée en analysant le trafic réseau.

Globalement, l'analyse passive mai pas voir que de nombreuses vulnérabilités sur les systèmes, mais ils fonctionnent 24 heures par jour et fournir des informations sur la topologie de réseau qui leur seraient autrement inaccessibles. Modifications de l'environnement sur le réseau et les hôtes seraient détectés en utilisant d'abord la méthode d'analyse passive si ces vulnérabilités ont un encombrement du réseau.

un article présenté par Paula Oberman

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions