{"id":37437,"date":"2019-10-31T22:17:38","date_gmt":"2019-10-31T19:17:38","guid":{"rendered":"https:\/\/prohoster.info\/blog\/flow-protokoly-kak-instrument-monitoringa-bezopasnosti-vnutrennej-seti\/"},"modified":"2019-10-31T22:17:38","modified_gmt":"2019-10-31T19:17:38","slug":"flow-protokoly-kak-instrument-monitoringa-bezopasnosti-vnutrennej-seti","status":"publish","type":"post","link":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/flow-protokoly-kak-instrument-monitoringa-bezopasnosti-vnutrennej-seti","title":{"rendered":"Flow-Protokolle als Werkzeug zur Sicherheit\u00fcberwachung des internen Netzwerks","gt_translate_keys":[{"key":"rendered","format":"text"}]},"content":{"rendered":"<p>Wenn es um die Sicherheits\u00fcberwachung interner Unternehmens- oder Beh\u00f6rdennetze geht, denken viele zun\u00e4chst an die Kontrolle von Datenlecks und die Implementierung von DLP-L\u00f6sungen. Wenn man jedoch die Frage pr\u00e4zisiert und fragt, wie man Angriffe im internen Netzwerk entdeckt, wird in der Regel auf Intrusion Detection Systeme (IDS) verwiesen. Was vor 10 bis 20 Jahren die einzige Option war, gilt heute als veraltet. Es gibt effizientere \u2013 und teilweise sogar die einzigen praktikablen \u2013 Methoden zur \u00dcberwachung interner Netzwerke: die Verwendung von Flow-Protokollen, die urspr\u00fcnglich zur Fehlerbehebung (Troubleshooting) konzipiert wurden, sich jedoch im Laufe der Zeit zu einem sehr interessanten Sicherheitsinstrument entwickelt haben. In diesem Artikel werden wir \u00fcber die verschiedenen Arten von Flow-Protokollen sprechen, die eine bessere Erkennung von Netzwerkangriffen erm\u00f6glichen, wo die \u00dcberwachung von Flows am besten implementiert werden sollte, welche Aspekte bei der Umsetzung dieser Strategie zu beachten sind und wie man all das auf heimischer Hardware umsetzen kann.<noindex><a rel=\"nofollow\" name=\"habracut\"><\/a><\/noindex><\/p>\n<p>Ich werde nicht auf die Frage eingehen: \u201eWarum ist die \u00dcberwachung der Sicherheit der internen Infrastruktur notwendig?\u201c Die Antwort darauf sollte klar sein. Aber falls Sie sich dennoch vergewissern m\u00f6chten, dass man heute nicht darauf verzichten kann, <noindex><a rel=\"nofollow\" href=\"https:\/\/gblogs.cisco.com\/ru\/17attackvectors\/\">sehen Sie sich<\/a><\/noindex> ein kurzes Video an, das zeigt, wie man auf 17 verschiedenen Wegen in ein durch eine Firewall gesch\u00fctztes Unternehmensnetz eindringen kann. Daher wollen wir annehmen, dass wir verstehen, dass eine interne \u00dcberwachung notwendig ist, und es bleibt nur noch zu kl\u00e4ren, wie man diese organisieren kann.<\/p>\n<p>Ich w\u00fcrde drei Schl\u00fcsselquellen f\u00fcr die \u00dcberwachung der Infrastruktur auf Netzwerkebene hervorheben:<\/p>\n<ul>\n<li>der \u201erohe\u201c Datenverkehr, den wir erfassen und zur Analyse an bestimmte Systeme weiterleiten,<\/li>\n<li>Ereignisse von Netzwerkger\u00e4ten, durch die der Datenverkehr flie\u00dft,<\/li>\n<li>Informationen \u00fcber den Datenverkehr, die \u00fcber eines der Flow-Protokolle erhalten werden.<\/li>\n<\/ul>\n<p><img decoding=\"async\" alt=\"Flow-Protokolle als Werkzeug zur Sicherheit\u00fcberwachung des internen Netzwerks\" src=\"\/wp-content\/uploads\/2019\/08\/09c7087593661d5b159ecc9e9ab39d16.png\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nDer Rohdatenverkehr ist bei Sicherheitsexperten die beliebteste Option, da er historisch gesehen die erste war. Traditionelle Intrusion Detection Systeme (das erste kommerzielle IDS war NetRanger von Wheel Group, das 1998 von Cisco \u00fcbernommen wurde) konzentrierten sich auf das Abfangen von Paketen (sp\u00e4ter auch von Sitzungen), in denen nach bestimmten Signaturen (\u201eentscheidende Regeln\u201c in der Terminologie des FSTEK) gesucht wurde, die auf Angriffe hinwiesen. Nat\u00fcrlich kann der Rohdatenverkehr nicht nur mit IDS analysiert werden, sondern auch mit anderen Mitteln (zum Beispiel Wireshark, tcpdump oder die Funktion NBAR2 im Cisco IOS), jedoch fehlt diesen h\u00e4ufig die Wissensbasis, die ein Informationssicherheitswerkzeug von einem herk\u00f6mmlichen IT-Tool unterscheidet.<\/p>\n<p>Angriffsdetektionssysteme stellen die \u00e4lteste und bekannteste Methode zur Erkennung von Netzwerkangriffen dar, die am Perimeter (unabh\u00e4ngig davon, ob es sich um Unternehmensnetzwerke, Rechenzentren oder Segmente handelt) recht gut funktioniert, jedoch in modernen, switchbasierten und softwaredefinierten Netzwerken an ihre Grenzen st\u00f6\u00dft. Bei einem Netzwerk, das auf herk\u00f6mmlichen Switches basiert, wird die Infrastruktur der Angriffsdetektoren so gro\u00df, dass Sie f\u00fcr jede Verbindung zu einem Knoten, den Sie \u00fcberwachen m\u00f6chten, einen Detektor ben\u00f6tigen. Jeder Hersteller wird Ihnen sicherlich gerne Hunderte und Tausende von Sensoren verkaufen, aber ich bezweifle, dass Ihr Budget solche Ausgaben tragen kann. Selbst bei Cisco (wir sind Entwickler von NGIPS) konnten wir dies nicht umsetzen, obwohl es schien, dass der Preis kein Hindernis darstellen sollte \u2013 schlie\u00dflich handelt es sich um unsere eigene L\u00f6sung. Zudem stellt sich die Frage, wie man in diesem Fall den Sensor anschlie\u00dft. Ist ein Bypass erforderlich? Was passiert, wenn der Sensor selbst ausf\u00e4llt? Ist es notwendig, ein Bypass-Modul im Sensor zu haben? Sollten wir Splitter (Taps) verwenden? All dies erh\u00f6ht die Kosten der L\u00f6sung und macht sie f\u00fcr Unternehmen jeder Gr\u00f6\u00dfe unerschwinglich.<\/p>\n<p><img decoding=\"async\" alt=\"Flow-Protokolle als Werkzeug zur Sicherheit\u00fcberwachung des internen Netzwerks\" src=\"\/wp-content\/uploads\/2019\/08\/4763c13237dbe9ffa38d62075939ffba.png\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nEs besteht die M\u00f6glichkeit, einen Sensor an einen SPAN\/RSPAN\/ERSPAN-Port anzuschlie\u00dfen und den Verkehr von den ben\u00f6tigten Ports des Switches dorthin zu lenken. Diese L\u00f6sung mildert teilweise das Problem, das im vorherigen Absatz beschrieben wurde, bringt jedoch ein anderes mit sich: Der SPAN-Port kann nicht den gesamten Verkehr aufnehmen, der ihm zugewiesen wird \u2013 seine Bandbreite reicht daf\u00fcr nicht aus. Es wird notwendig sein, Kompromisse einzugehen. Entweder m\u00fcssen einige Knoten ohne \u00dcberwachung bleiben (in diesem Fall sollten Sie zuvor deren Priorit\u00e4t festlegen), oder es wird nur ein bestimmter Verkehrstyp von einem Knoten umgeleitet. In jedem Fall besteht die M\u00f6glichkeit, dass wir einige Angriffe \u00fcbersehen. Dar\u00fcber hinaus kann der SPAN-Port f\u00fcr andere Zwecke belegt sein. Letztendlich m\u00fcssen wir die bestehende Netzwerkarchitektur \u00fcberdenken und eventuell \u00c4nderungen vornehmen, um die Maximalabdeckung Ihres Netzwerks mit der verf\u00fcgbaren Anzahl an Sensoren zu gew\u00e4hrleisten und dies mit der IT abzustimmen.<\/p>\n<p>Was ist, wenn Ihr Netzwerk asymmetrische Routen verwendet? Was ist, wenn Sie SDN implementiert haben oder planen, es zu implementieren? Was ist, wenn Sie virtualisierte Maschinen oder Container \u00fcberwachen m\u00fcssen, deren Verkehr die physische Switch \u00fcberhaupt nicht erreicht? Diese Fragen sind f\u00fcr Anbieter traditioneller IDS unangenehm, da sie nicht wissen, wie sie darauf antworten sollen. Vielleicht werden sie Ihnen einreden, dass all diese modernen Technologien nur Hype sind und Sie sie nicht ben\u00f6tigen. Vielleicht sagen sie, dass Sie klein anfangen sollten. Oder sie empfehlen Ihnen, eine leistungsstarke Maschine ins Netzwerk zu stellen und den gesamten Verkehr \u00fcber Lastverteiler dorthin zu leiten. Welches Angebot auch immer Sie erhalten, es ist wichtig, selbst zu verstehen, wie gut es zu Ihren Anforderungen passt. Nur dann k\u00f6nnen Sie eine fundierte Entscheidung \u00fcber den Ansatz zur \u00dcberwachung der IT-Sicherheit Ihrer Netzwerk-Infrastruktur treffen. Zum Thema Paketvorausschau m\u00f6chte ich sagen, dass diese Methode nach wie vor sehr beliebt und wichtig ist, ihr Hauptzweck jedoch die Kontrolle von Grenzen ist: die Grenze zwischen Ihrer Organisation und dem Internet, die Grenze zwischen dem Rechenzentrum und dem Rest des Netzwerks, die Grenze zwischen dem Betriebsf\u00fchrungssystem und dem Unternehmenssegment. In diesen Bereichen haben klassische IDS\/IPS nach wie vor ihre Berechtigung und erf\u00fcllen ihre Aufgaben gut.<\/p>\n<p><img decoding=\"async\" alt=\"Flow-Protokolle als Werkzeug zur Sicherheit\u00fcberwachung des internen Netzwerks\" src=\"\/wp-content\/uploads\/2019\/08\/7a5898e0aa9e3e9275dda3e2c7b75c5c.png\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nKommen wir zur zweiten Variante. Die Analyse von Ereignissen, die von Netzwerkteilen eingehen, kann ebenfalls zur Erkennung von Angriffen genutzt werden, jedoch nicht als prim\u00e4rer Mechanismus, da sie nur eine kleine Klasse von Eindringlingen erkennen kann. Au\u00dferdem ist sie reaktiv \u2014 ein Angriff muss zuerst stattfinden, bevor er von einem Netzwerkger\u00e4t erfasst wird, das dann irgendwie auf das Problem im Bereich der Informationssicherheit hinweist. Es gibt mehrere Methoden daf\u00fcr. Das kann syslog, RMON oder SNMP sein. Letztere beiden Protokolle werden im Kontext der Informationssicherheit nur verwendet, wenn wir eine DoS-Attacke auf die Netzwerkinfrastruktur selbst erkennen m\u00fcssen, da wir mit RMON und SNMP zum Beispiel die Auslastung des Prozessors oder seiner Schnittstellen \u00fcberwachen k\u00f6nnen. Dies ist eine der kosteng\u00fcnstigsten Methoden (da syslog oder SNMP \u00fcberall verf\u00fcgbar sind), aber sie ist auch die ineffektivste Methode zur \u00dcberwachung der Informationssicherheit in der internen Infrastruktur \u2014 viele Angriffe bleiben einfach unentdeckt. Selbstverst\u00e4ndlich sollten sie nicht ignoriert werden, und die Analyse des syslogs hilft Ihnen, rechtzeitig \u00c4nderungen in der Konfiguration des Ger\u00e4ts selbst oder dessen Kompromittierung zu erkennen, aber zur Erkennung von Angriffen auf das gesamte Netzwerk ist sie weniger geeignet.<\/p>\n<p>Die dritte Option ist die Analyse von Informationen \u00fcber den Datenverkehr, der durch ein Ger\u00e4t flie\u00dft, das einen der verschiedenen Flow-Protokolle unterst\u00fctzt. In diesem Fall besteht die Infrastruktur zur Verarbeitung von Flows unabh\u00e4ngig vom Protokoll aus drei Komponenten:<\/p>\n<ul>\n<li>Generierung oder Export von Flows. Diese Aufgabe wird in der Regel einem Router, Switch oder einem anderen Netzwerkger\u00e4t \u00fcbertragen, das, w\u00e4hrend es den Netzwerkverkehr durchl\u00e4sst, die Schl\u00fcsselparameter herausfiltert, die anschlie\u00dfend an das Sammlungmodul \u00fcbermittelt werden. Bei Cisco wird das NetFlow-Protokoll nicht nur auf Routern und Switches, einschlie\u00dflich virtueller und industrieller Ger\u00e4te, unterst\u00fctzt, sondern auch auf drahtlosen Controllern, Firewalls und sogar Servern.<\/li>\n<li>Sammlung von Flows. Da in modernen Netzwerken normalerweise mehr als ein Netzwerkger\u00e4t vorhanden ist, stellt sich die Aufgabe der Sammlung und Konsolidierung von Flows, die durch sogenannte Collector-Ger\u00e4te gel\u00f6st wird, welche die erhaltenen Flows verarbeiten und sie dann zur Analyse weitergeben.<\/li>\n<li>Flow-Analyse. Der Analyzer \u00fcbernimmt die zentrale intellektuelle Aufgabe und wendet verschiedene Algorithmen auf die Datenstr\u00f6me an, um entsprechende Schlussfolgerungen zu ziehen. Im Rahmen der IT-Funktion kann ein solcher Analyzer Engp\u00e4sse im Netzwerk identifizieren oder das Traffic-Lastprofil analysieren, um das Netzwerk weiter zu optimieren. F\u00fcr die Informationssicherheit kann dieser Analyzer Datenlecks, die Verbreitung von Malware oder DoS-Angriffe aufdecken. <\/li>\n<\/ul>\n<p>Es ist ein Missverst\u00e4ndnis zu glauben, dass eine dreischichtige Architektur zu kompliziert ist \u2013 alle anderen Varianten (au\u00dfer vielleicht Netzwerk\u00fcberwachungssysteme, die mit SNMP und RMON arbeiten) folgen ebenfalls diesem Prinzip. Wir verf\u00fcgen \u00fcber einen Datengenerator zur Analyse, der ein Netzwerkger\u00e4t oder einen separaten Sensor darstellt. Zus\u00e4tzlich haben wir ein System zur Erfassung von Alarmmeldungen und ein System zur Verwaltung der gesamten Monitoring-Infrastruktur. Die letzten beiden Komponenten k\u00f6nnen innerhalb eines einzelnen Knotens zusammengefasst werden, aber in gr\u00f6\u00dferen Netzwerken sind sie in der Regel auf mindestens zwei separate Ger\u00e4te verteilt, um Skalierbarkeit und Zuverl\u00e4ssigkeit zu gew\u00e4hrleisten.<\/p>\n<p><img decoding=\"async\" alt=\"Flow-Protokolle als Werkzeug zur Sicherheit\u00fcberwachung des internen Netzwerks\" src=\"\/wp-content\/uploads\/2019\/08\/65de74b0a7556606355f9b176ef7e19c.png\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nIm Gegensatz zur Paketanalyse, die sich auf die Untersuchung der Header und Datenk\u00f6rper jedes Pakets sowie der damit verbundenen Sitzungen st\u00fctzt, basiert die Flow-Analyse auf der Sammlung von Metadaten \u00fcber den Netzwerkverkehr. Wann, wie viel, von wo und wohin \u2013 das sind die Fragen, auf die die Analyse der Netztelemetrie mittels verschiedener Flow-Protokolle Antworten gibt. Urspr\u00fcnglich wurden sie zur Analyse von Statistiken und zur Identifizierung von IT-Problemen im Netzwerk verwendet, aber mit der Weiterentwicklung der Analysemethoden konnten sie auch f\u00fcr dieselbe Telemetrie zu Sicherheitszwecken eingesetzt werden. Hier ist es wichtig zu betonen, dass die Flow-Analyse die Paketaufnahme nicht ersetzt und nicht annulliert. Jeder dieser Methoden hat seine eigenen Anwendungsbereiche. Aber im Kontext dieses Artikels eignet sich die Flow-Analyse am besten f\u00fcr die \u00dcberwachung der internen Infrastruktur. Sie haben Netzwerkger\u00e4te (und es spielt keine Rolle, ob sie nach einem softwaredefinierten Paradigma oder nach statischen Regeln arbeiten), die von einem Angriff nicht umgangen werden k\u00f6nnen. Ein klassischer IDS-Sensor kann m\u00f6glicherweise umgangen werden, aber ein Netzwerkger\u00e4t, das ein Flow-Protokoll unterst\u00fctzt, nicht. Das ist der Vorteil dieser Methode. <\/p>\n<p>Andererseits, wenn Sie Beweismaterial f\u00fcr Strafverfolgungsbeh\u00f6rden oder Ihr eigenes Incident-Response-Team ben\u00f6tigen, kommen Sie nicht ohne Packet Capture aus \u2013 die Netzwerk-Telemetrie ist kein Traffic-Kopie, die zur Beweissammlung verwendet werden kann; sie ist notwendig f\u00fcr die schnelle Erkennung und Entscheidungsfindung im Bereich der Informationssicherheit. Andererseits k\u00f6nnen Sie mit der Analyse von Telemetrie nicht den gesamten Netzwerkverkehr \u201eaufzeichnen\u201c (f\u00fcr den Fall, dass Cisco und Rechenzentren involviert sind :-), sondern nur den, der an einem Angriff beteiligt ist. Telemetrie-Analysetools erg\u00e4nzen in dieser Hinsicht die traditionellen Packet-Capture-Mechanismen gut, indem sie der Mannschaft die selektive Erfassung und Speicherung erm\u00f6glichen. Andernfalls m\u00fcssten Sie eine enorme Speicherinfrastruktur bereitstellen.<\/p>\n<p>Stellen Sie sich ein Netzwerk vor, das mit einer Geschwindigkeit von 250 Mbit\/s arbeitet. Wenn Sie all diese Daten speichern m\u00f6chten, ben\u00f6tigen Sie 31 MB Speicher f\u00fcr eine Sekunde Daten\u00fcbertragung, 1,8 GB f\u00fcr eine Minute, 108 GB f\u00fcr eine Stunde und 2,6 TB f\u00fcr einen Tag. Um t\u00e4gliche Daten von einem Netzwerk mit einer Bandbreite von 10 Gbit\/s zu speichern, ben\u00f6tigen Sie 108 TB Speicher. Einige Aufsichtsbeh\u00f6rden verlangen schlie\u00dflich, dass Daten aus Sicherheitsgr\u00fcnden \u00fcber Jahre hinweg aufbewahrt werden... Die Aufzeichnung \"nach Bedarf\", die Ihnen durch die Analyse von Datenstr\u00f6men erm\u00f6glicht wird, hilft, diese Werte um ein Vielfaches zu reduzieren. \u00dcbrigens, wenn wir das Verh\u00e4ltnis des Volumens der aufgezeichneten Daten aus der Netzwerktelemetrie zur vollst\u00e4ndigen Datenerfassung betrachten, betr\u00e4gt dieses etwa 1 zu 500. F\u00fcr die oben genannten Werte w\u00fcrde die Speicherung der vollst\u00e4ndigen Aufschl\u00fcsselung des gesamten t\u00e4glichen Traffics 5 und 216 GB entsprechen (was sogar auf einem normalen USB-Stick gespeichert werden kann).<\/p>\n<p>Wenn es bei der Analyse roher Netzwerkdaten kaum Unterschiede zwischen den Erfassungsmethoden der Anbieter gibt, sieht die Lage bei der Analyse von Streams anders aus. Es gibt mehrere Varianten von Flow-Protokollen, \u00fcber deren Unterschiede man im Kontext der Sicherheit Bescheid wissen sollte. Das bekannteste Protokoll ist Netflow, das von Cisco entwickelt wurde. Es existieren mehrere Versionen dieses Protokolls, die sich hinsichtlich ihrer Funktionen und der Menge der aufgezeichneten Verkehrsinformationen unterscheiden. Die aktuelle Version ist die neunte (Netflow v9), auf deren Grundlage der Industriestandard Netflow v10, auch bekannt als IPFIX, entwickelt wurde. Heutzutage unterst\u00fctzen die meisten Netzwerk-Anbieter entweder Netflow oder IPFIX in ihrer Hardware. Es gibt jedoch auch verschiedene andere Varianten von Flow-Protokollen \u2013 sFlow, jFlow, cFlow, rFlow, NetStream usw., wobei sFlow am beliebtesten ist. Es wird am h\u00e4ufigsten von einheimischen Herstellern von Netzwerkhardware wegen der einfachen Implementierung unterst\u00fctzt. Was sind die wesentlichen Unterschiede zwischen Netflow, das de facto zum Standard geworden ist, und sFlow? Ich w\u00fcrde mehrere Hauptunterschiede herausstellen. Erstens hat Netflow anpassbare Benutzerfelder, im Gegensatz zu den festen Feldern in sFlow. Und zweitens \u2013 und das ist in unserem Fall am wichtigsten \u2013 sammelt sFlow die sogenannte samplierte Telemetrie, im Gegensatz zu der unsampierten Telemetrie bei Netflow und IPFIX. Wo liegen also die Unterschiede zwischen ihnen?<\/p>\n<p><img decoding=\"async\" alt=\"Flow-Protokolle als Werkzeug zur Sicherheit\u00fcberwachung des internen Netzwerks\" src=\"\/wp-content\/uploads\/2019\/08\/96782b57ccaddd731d5084c127076d49.png\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nStellen Sie sich vor, Sie m\u00f6chten das Buch \u201c<noindex><a rel=\"nofollow\" href=\"http:\/\/www.ciscopress.com\/store\/security-operations-center-building-operating-and-maintaining-9780134052014\">Security Operations Center: Building, Operating, and Maintaining your SOC<\/a><\/noindex>\u201d meiner Kollegen \u2014 Gary McIntyre, Joseph Muniz und Nadeem Alfarwan (\u00fcber den Link k\u00f6nnen Sie einen Teil des Buches herunterladen). Sie haben drei M\u00f6glichkeiten, Ihr Ziel zu erreichen: das Buch vollst\u00e4ndig zu lesen, es \u00fcberfliegend zu betrachten und dabei auf jeder 10. oder 20. Seite zu verweilen, oder zu versuchen, eine Zusammenfassung der wichtigsten Konzepte in einem Blog oder einem Service wie SmartReading zu finden. Unsamplierte Telemetrie bedeutet, jede \u201cSeite\u201d des Netzwerkverkehrs zu lesen, also die Metadaten jedes Pakets zu analysieren. Samplierte Telemetrie hingegen ist die selektive Untersuchung des Verkehrs in der Hoffnung, dass in den ausgew\u00e4hlten Proben das enthalten ist, was Sie ben\u00f6tigen. Je nach Kanalgeschwindigkeit wird die samplierte Telemetrie jede 64., 200., 500., 1000., 2000. oder sogar 10000. Probe zur Analyse abgeben.<\/p>\n<p><img decoding=\"async\" alt=\"Flow-Protokolle als Werkzeug zur Sicherheit\u00fcberwachung des internen Netzwerks\" src=\"\/wp-content\/uploads\/2019\/08\/28b798498a11a5e6f72ef847ea2dbaaa.png\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nIm Kontext der Sicherheits\u00fcberwachung bedeutet dies, dass die gesampelte Telemetrie gut geeignet ist, um DDoS-Angriffe, Scans und die Verbreitung von Malware zu erkennen. Jedoch kann sie atomare oder paket\u00fcbergreifende Angriffe, die nicht in das gesampelte Datenpaket zur Analyse aufgenommen werden, \u00fcbersehen. Solche M\u00e4ngel hat die unsamplete Telemetrie nicht, und ihrem Einsatz erm\u00f6glicht eine breitere Palette von erkennbaren Angriffen. Hier ist eine kleine Liste von Ereignissen, die mit Hilfe von Netzanalysetools zur Telemetriedatenanalyse erkannt werden k\u00f6nnen.<\/p>\n<p><img decoding=\"async\" alt=\"Flow-Protokolle als Werkzeug zur Sicherheit\u00fcberwachung des internen Netzwerks\" src=\"\/wp-content\/uploads\/2019\/08\/be3a11d4826978d9c882074f22ee97c1.png\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nNat\u00fcrlich wird Ihnen ein Open-Source-Netflow-Analyzer dies nicht erm\u00f6glichen, da dessen Hauptaufgabe darin besteht, Telemetrie zu sammeln und eine grundlegende Analyse aus Sicht der IT durchzuf\u00fchren. Um Bedrohungen im Bereich der Cybersicherheit basierend auf Flow-Daten zu erkennen, muss der Analyzer mit verschiedenen Engines und Algorithmen ausgestattet werden, die in der Lage sind, Probleme der Cybersicherheit durch Standard- oder benutzerdefinierte Netflow-Felder zu identifizieren und die Standarddaten mit externen Daten aus verschiedenen Threat Intelligence-Quellen anzureichern.<\/p>\n<p><img decoding=\"async\" alt=\"Flow-Protokolle als Werkzeug zur Sicherheit\u00fcberwachung des internen Netzwerks\" src=\"\/wp-content\/uploads\/2019\/08\/60e876dbfbdffd160e9899f87aa6303c.png\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nWenn Sie die Wahl haben, w\u00e4hlen Sie Netflow oder IPFIX. Selbst wenn Ihre Ger\u00e4te nur sFlow unterst\u00fctzen, wie bei einigen heimischen Herstellern, k\u00f6nnen Sie dennoch im Hinblick auf die Sicherheit davon profitieren. <\/p>\n<p><img decoding=\"async\" alt=\"Flow-Protokolle als Werkzeug zur Sicherheit\u00fcberwachung des internen Netzwerks\" src=\"\/wp-content\/uploads\/2019\/08\/ee75809ccde4f366ca5f5ead7beed58c.png\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nIm Sommer 2019 habe ich die M\u00f6glichkeiten russischer Hersteller von Netzwerktechnik untersucht. Alle, mit Ausnahme von NSG, Poligon und Kraftway, gaben an, sFlow zu unterst\u00fctzen (zumindest Zelax, Natex, Eltex, QTech, Rusteletech). <\/p>\n<p><img decoding=\"async\" alt=\"Flow-Protokolle als Werkzeug zur Sicherheit\u00fcberwachung des internen Netzwerks\" src=\"\/wp-content\/uploads\/2019\/08\/acd1ed477af59e1439d941374c596d16.png\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nDie n\u00e4chste Frage, die sich Ihnen stellen wird, ist, wo Sie die Flow-Unterst\u00fctzung f\u00fcr Sicherheitszwecke implementieren sollten. Tats\u00e4chlich ist die Frage nicht ganz korrekt formuliert. Bei modernem Equipment ist die Unterst\u00fctzung von Flow-Protokollen fast immer vorhanden. Daher w\u00fcrde ich die Frage anders formulieren \u2013 wo ist es am effizientesten, Telemetrie aus sicherheitstechnischer Sicht zu sammeln? Die Antwort ist recht offensichtlich: auf der Zugriffsebene, wo Sie 100 % des gesamten Verkehrs sehen, wo Sie detaillierte Informationen zu Hosts (MAC, VLAN, Schnittstellen-ID) erhalten und sogar P2P-Verkehr zwischen Hosts \u00fcberwachen k\u00f6nnen, was entscheidend f\u00fcr die Erkennung von Scanning und der Verbreitung von Malware ist. Auf der Kernel-Ebene k\u00f6nnen Sie einen Teil des Verkehrs einfach nicht sehen, und auf der Perimeter-Ebene sehen Sie bestenfalls ein Viertel Ihres gesamten Netzwerkverkehrs. Aber wenn aus irgendeinem Grund in Ihrem Netzwerk unbefugte Ger\u00e4te vorhanden sind, die es Angreifern erm\u00f6glichen, \"ein- und auszugehen\", ohne den Perimeter zu durchlaufen, wird die Analyse der Telemetrie von dort Ihnen nichts bringen. Daher wird empfohlen, die Telemetriesammlung genau auf der Zugriffsebene zu aktivieren. Dabei sollte beachtet werden, dass selbst wenn wir \u00fcber Virtualisierung oder Container sprechen, moderne virtuelle Switches oft auch Flow-Unterst\u00fctzung bieten, was eine \u00dcberwachung des Verkehrs dort erm\u00f6glicht.<\/p>\n<p>Aber da ich das Thema angesprochen habe, sollte ich auch die Frage beantworten: Was passiert, wenn die Hardware, egal ob physisch oder virtuell, die Flow-Protokolle nicht unterst\u00fctzt? Oder wenn deren Aktivierung untersagt ist (wie beispielsweise im Industriesektor zur Gew\u00e4hrleistung der Zuverl\u00e4ssigkeit)? Oder wenn die Aktivierung zu einer hohen CPU-Auslastung f\u00fchrt (was bei veralteter Hardware vorkommen kann)? Um dieses Problem zu l\u00f6sen, gibt es spezielle virtuelle Sensoren (Flow Sensoren), die im Grunde genommen gew\u00f6hnliche Splitter sind, die den Verkehr durchlassen und ihn in Form von Flows an das Sammelmodul weiterleiten. Allerdings bringt dies die Vielzahl von Problemen mit sich, die wir zuvor in Bezug auf die Paketaufnahme angesprochen haben. Es ist also wichtig, nicht nur die Vorteile der Technologie zur Flussanalyse zu verstehen, sondern auch ihre Einschr\u00e4nkungen.<\/p>\n<p>Ein weiterer Punkt, den es zu beachten gilt, wenn man \u00fcber Analysetools f\u00fcr Datenstr\u00f6me spricht. W\u00e4hrend wir bei gew\u00f6hnlichen Sicherheitsereignis-Generatoren die Metrik EPS (events per second, Ereignisse pro Sekunde) verwenden, ist diese Metrik f\u00fcr die Telemetrieanalyse nicht anwendbar; hier wird sie durch FPS (flows per second, Str\u00f6me pro Sekunde) ersetzt. Genau wie bei EPS kann man diesen Wert nicht im Voraus berechnen, jedoch kann man die ungef\u00e4hre Anzahl der Str\u00f6me, die ein bestimmtes Ger\u00e4t in Abh\u00e4ngigkeit von seiner Aufgabe erzeugt, sch\u00e4tzen. Im Internet finden Sie Tabellen mit ungef\u00e4hren Werten f\u00fcr verschiedene Arten von Unternehmensger\u00e4ten und Bedingungen, die Ihnen helfen werden, abzusch\u00e4tzen, welche Lizenzen f\u00fcr Ihre Analysetools ben\u00f6tigt werden und wie deren Architektur aussehen wird. Der Punkt ist, dass ein IDS-Sensor eine bestimmte Bandbreite hat, die er \u201eziehen\u201c kann, und auch der Stream-Collector hat seine eigenen Grenzen, die man verstehen muss. Daher gibt es in gro\u00dfen, geografisch verteilten Netzwerken in der Regel mehrere Collector-Instanzen. Als ich beschrieb, <noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/company\/cisco\/blog\/348532\/\">wie das Netzwerk innerhalb von Cisco \u00fcberwacht wird.<\/a><\/noindex>, Ich habe bereits die Zahl unserer Collector-Ger\u00e4te erw\u00e4hnt \u2013 es sind 21. Und das f\u00fcr ein Netzwerk, das sich \u00fcber f\u00fcnf Kontinente erstreckt und etwa eine halbe Million aktive Ger\u00e4te umfasst.<\/p>\n<p><img decoding=\"async\" alt=\"Flow-Protokolle als Werkzeug zur Sicherheit\u00fcberwachung des internen Netzwerks\" src=\"\/wp-content\/uploads\/2019\/08\/a5935ef7f7a3511cbf291fce59e96d71.png\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nAls \u00dcberwachungssystem f\u00fcr Netflow verwenden wir unsere eigene L\u00f6sung. <noindex><a rel=\"nofollow\" href=\"https:\/\/www.cisco.com\/c\/ru_ru\/products\/security\/stealthwatch\/index.html\">Cisco Stealthwatch<\/a><\/noindex>, das speziell auf Sicherheitsherausforderungen ausgerichtet ist. Es verf\u00fcgt \u00fcber zahlreiche integrierte Engines zur Erkennung von anomaler, verd\u00e4chtiger und offensichtlich sch\u00e4dlicher Aktivit\u00e4t, die es erm\u00f6glicht, eine Vielzahl unterschiedlicher Bedrohungen zu erkennen \u2013 von Krypto-Mining \u00fcber Datenlecks bis hin zu Malware-Verbreitung und Betrug. Wie die meisten Stealthwatch-Datenanalysatoren folgt auch dieses einem dreistufigen Schema (Generator \u2013 Collector \u2013 Analyzer), ist jedoch mit einer Reihe interessanter Funktionen ausgestattet, die im Kontext des behandelten Themas wichtig sind. Erstens integriert es sich mit L\u00f6sungen zum Paket-Sniffing (zum Beispiel dem Cisco Security Packet Analyzer), was es erm\u00f6glicht, ausgew\u00e4hlte Netzwerk-Sitzungen f\u00fcr eine tiefgehende Untersuchung und Analyse aufzuzeichnen. Zweitens haben wir speziell zur Erweiterung der Sicherheitsaufgaben ein eigenes Protokoll namens nvzFlow entwickelt, das die Aktivit\u00e4t von Anwendungen auf Endger\u00e4ten (Servern, Workstations usw.) in Telemetrie \u201c\u00fcbertr\u00e4gt\u201d und diese zur weiteren Analyse an den Collector sendet. W\u00e4hrend Stealthwatch in seiner urspr\u00fcnglichen Version mit jedem Flow-Protokoll (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) auf Netzwerkebene arbeitet, erm\u00f6glicht die Unterst\u00fctzung von nvzFlow die Datenkorrelation auch auf Knotenebene, wodurch die Effizienz des gesamten Systems gesteigert wird und mehr Angriffe sichtbar gemacht werden als mit herk\u00f6mmlichen Netzwerk-Flow-Analysewerkzeugen.<\/p>\n<p>Es ist klar, dass der Markt f\u00fcr NetFlow-Analyse-Systeme in Bezug auf Sicherheit nicht auf eine einzige L\u00f6sung von Cisco beschr\u00e4nkt ist. Sie k\u00f6nnen sowohl kommerzielle als auch kostenlose oder freemium-basierte L\u00f6sungen nutzen. Es w\u00e4re seltsam, wenn ich in einem Cisco-Blog Beispiele von Konkurrenzprodukten anf\u00fchre, daher m\u00f6chte ich ein paar Worte dar\u00fcber verlieren, wie Netzwerktelemtrie mit zwei beliebten, \u00e4hnlich benannten, jedoch unterschiedlichen Werkzeugen \u2013 SiLK und ELK \u2013 analysiert werden kann.<\/p>\n<p>SiLK ist ein Werkzeugset (System for Internet-Level Knowledge) zur Analyse von Datenverkehr, das vom US-amerikanischen CERT\/CC entwickelt wurde und im Kontext dieses Artikels NetFlow (Versionen 5 und 9, die popul\u00e4rsten) sowie IPFIX und sFlow unterst\u00fctzt. Mit verschiedenen Tools (rwfilter, rwcount, rwflowpack usw.) k\u00f6nnen diverse Operationen auf der Netzwerktelemtrie durchgef\u00fchrt werden, um Anzeichen unbefugter Aktivit\u00e4ten zu entdecken. Dennoch sollten einige wichtige Punkte erw\u00e4hnt werden. SiLK ist ein Befehlszeilenwerkzeug, und die Durchf\u00fchrung von Echtzeitanalysen erfordert st\u00e4ndig Eingaben wie (Erkennung von ICMP-Paketen \u00fcber 200 Bytes):<\/p>\n<p><code>rwfilter --flowtypes=all\/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15<\/code><\/p>\n<p>es ist nicht besonders praktisch. Sie k\u00f6nnen das grafische iSiLK-Interface nutzen, aber das wird Ihr Leben nicht wesentlich erleichtern, da es nur die Funktion der Visualisierung und nicht die Analyse ersetzt. Das ist der zweite Punkt. Im Gegensatz zu kommerziellen L\u00f6sungen, in die bereits eine umfangreiche analytische Basis, Algorithmen zur Anomalieerkennung und entsprechende Workflows integriert sind, m\u00fcssen Sie bei SiLK all dies selbst umsetzen, was andere Kompetenzen erfordert als die Nutzung eines bereits einsatzbereiten Tools. Das ist weder gut noch schlecht \u2013 es ist eine Eigenschaft nahezu jedes kostenlosen Werkzeugs, das davon ausgeht, dass Sie wissen, was zu tun ist, und es Ihnen lediglich dabei hilft. Kommerzielle Werkzeuge sind weniger von den F\u00e4higkeiten ihrer Nutzer abh\u00e4ngig, setzen jedoch ebenfalls voraus, dass die Analysten wenigstens die Grundlagen der Netzwerkermittlungen und -\u00fcberwachung verstehen. Aber zur\u00fcck zu SiLK. Der Arbeitsablauf eines Analysten damit sieht folgenderma\u00dfen aus:<\/p>\n<ul>\n<li>Hypothesenbildung. Wir m\u00fcssen verstehen, wonach wir innerhalb der Netzwerk-Telemetrie suchen werden und die einzigartigen Attribute kennen, anhand derer wir bestimmte Anomalien oder Bedrohungen identifizieren.<\/li>\n<li>Modellierung. Nachdem wir die Hypothese formuliert haben, setzen wir sie mit Python, Shell oder anderen nicht in SiLK enthaltenen Werkzeugen um.<\/li>\n<li>Testphase. Es ist Zeit, unsere Hypothese zu \u00fcberpr\u00fcfen, die mit Hilfe von SiLK-Tools, die mit 'rw', 'set' und 'bag' beginnen, best\u00e4tigt oder widerlegt wird.<\/li>\n<li>Analyse realer Daten. In der praktischen Anwendung von SiLK hilft es uns, etwas zu identifizieren, und der Analyst sollte auf die Fragen antworten: 'Haben wir gefunden, was wir erwartet haben?', 'Entspricht das unserer Hypothese?', 'Wie k\u00f6nnen wir die Anzahl der falsch positiven Ergebnisse reduzieren?', 'Wie k\u00f6nnen wir die Erkennungsrate verbessern?' usw.<\/li>\n<li>Verbesserung. Im finalen Schritt verbessern wir, was wir zuvor gemacht haben \u2013 wir erstellen Vorlagen, optimieren und verbessern den Code, \u00fcberarbeiten und pr\u00e4zisieren die Hypothese und mehr.<\/li>\n<\/ul>\n<p>Dieser Zyklus ist auch auf Cisco Stealthwatch anwendbar, wobei letzteres die f\u00fcnf Schritte maximal automatisiert, um die Anzahl der Analystenfehler zu reduzieren und die Erkennung von Vorf\u00e4llen zu beschleunigen. Zum Beispiel k\u00f6nnen Sie in SiLK Netzstatistiken mit externen Daten zu b\u00f6sartigen IPs mithilfe selbstgeschriebener Skripte anreichern, w\u00e4hrend Cisco Stealthwatch eine integrierte Funktion bietet, die sofort einen Alarm anzeigt, wenn im Netzwerkverkehr eine Interaktion mit IP-Adressen aus der schwarzen Liste auftritt.<\/p>\n<p>Wenn man h\u00f6her in der \u201ePreispyramide\u201c f\u00fcr Flow-Analyse-Software geht, folgt auf das v\u00f6llig kostenlose SiLK das bedingt kostenlose ELK, das aus drei Hauptkomponenten besteht \u2013 Elasticsearch (Indizierung, Suche und Analyse von Daten), Logstash (Dateninput\/-output) und Kibana (Visualisierung). Im Unterschied zu SiLK, wo alles selbst geschrieben werden muss, bietet ELK bereits viele fertige Bibliotheken\/Module (einige kostenpflichtig, andere kostenlos), die die Analyse von Netzwerktelemetrie automatisieren. Zum Beispiel erm\u00f6glicht der GeoIP-Filter in Logstash die Zuordnung beobachteter IP-Adressen zu deren geografischem Standort (bei Stealthwatch ist dies eine integrierte Funktion).<\/p>\n<p><img decoding=\"async\" alt=\"Flow-Protokolle als Werkzeug zur Sicherheit\u00fcberwachung des internen Netzwerks\" src=\"\/wp-content\/uploads\/2019\/08\/addd9d9656f64f81d86a0cce8ee0810b.png\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nBei ELK gibt es auch eine recht gro\u00dfe Community, die fehlende Komponenten f\u00fcr diese \u00dcberwachungs-L\u00f6sung erg\u00e4nzt. Um mit NetFlow, IPFIX und sFlow zu arbeiten, k\u00f6nnen Sie das Modul <noindex><a rel=\"nofollow\" href=\"https:\/\/github.com\/robcowart\/elastiflow\">elastiflow<\/a><\/noindex>, verwenden, falls Sie mit dem Logstash NetFlow-Modul, das nur NetFlow unterst\u00fctzt, unzufrieden sind.<\/p>\n<p>W\u00e4hrend die Flussdatensammlung und -analyse bei ELK schneller erfolgt, fehlt es gegenw\u00e4rtig an umfassenden integrierten Analysefunktionen zur Entdeckung von Anomalien und Bedrohungen in der Netzwerktelemetrie. Das bedeutet, dass Sie gem\u00e4\u00df dem zuvor beschriebenen Lebenszyklus Modelle f\u00fcr Verst\u00f6\u00dfe selbst erstellen m\u00fcssen, um diese dann im operativen System zu nutzen (eingebaute Modelle sind nicht vorhanden).<\/p>\n<p><img decoding=\"async\" alt=\"Flow-Protokolle als Werkzeug zur Sicherheit\u00fcberwachung des internen Netzwerks\" src=\"\/wp-content\/uploads\/2019\/08\/6d8368f4c130c3a5770890cb6c5fe5ab.png\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nEs gibt nat\u00fcrlich auch ausgefeiltere Erweiterungen f\u00fcr ELK, die bereits einige Modelle zur Erkennung von Anomalien in der Netzwerktelemetrie enthalten, aber solche Erweiterungen kosten Geld. Hier stellt sich die Frage, ob sich der Aufwand lohnt \u2014 ein \u00e4hnliches Modell selbst zu entwickeln, dessen Implementierung zu kaufen oder eine fertige L\u00f6sung aus der Kategorie Netzwerk-Traffic-Analyse zu erwerben.<\/p>\n<p><img decoding=\"async\" alt=\"Flow-Protokolle als Werkzeug zur Sicherheit\u00fcberwachung des internen Netzwerks\" src=\"\/wp-content\/uploads\/2019\/08\/d938ebb4271c4dfb73a1e4b6e94c91d6.png\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nIch m\u00f6chte \u00fcberhaupt nicht in die Debatte einsteigen, ob es besser ist, Geld auszugeben und eine fertige L\u00f6sung zur \u00dcberwachung von Anomalien und Bedrohungen in der Netztelemetrie zu kaufen (wie zum Beispiel Cisco Stealthwatch), oder ob man selbst Hand anlegt und selbstst\u00e4ndig L\u00f6sungen wie SiLK, ELK oder nfdump bzw. OSU Flow Tools anpasst (ich spreche von Letzteren aus der letzten Runde). <noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/company\/cisco\/blog\/348532\/\">erz\u00e4hlt<\/a><\/noindex> Jeder w\u00e4hlt f\u00fcr sich selbst und hat seine eigenen Gr\u00fcnde, eine der beiden Optionen zu bevorzugen. Ich wollte lediglich aufzeigen, dass Netztelemetrie ein \u00e4u\u00dferst wichtiges Werkzeug f\u00fcr die Sicherheit der internen Infrastruktur ist, und man sollte es nicht vernachl\u00e4ssigen, um nicht auf der Liste von Unternehmen zu landen, deren Namen in den Medien zusammen mit den Schlagworten \u201egehackt\u201c, \u201enicht konform mit Sicherheitsanforderungen\u201c, \u201esich keine Gedanken \u00fcber die Sicherheit ihrer Daten und der Daten ihrer Kunden machend\u201c erw\u00e4hnt wird.<\/p>\n<p><img decoding=\"async\" alt=\"Flow-Protokolle als Werkzeug zur Sicherheit\u00fcberwachung des internen Netzwerks\" src=\"\/wp-content\/uploads\/2019\/08\/de7df67df66b7abe89170c7f92fcefca.png\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nAbschlie\u00dfend m\u00f6chte ich einige wichtige Tipps auflisten, die man beim Aufbau der Sicherheits\u00fcberwachung der eigenen internen Infrastruktur beachten sollte:<\/p>\n<ol>\n<li>Begrenzen Sie sich nicht nur auf den Netzwerkperimeter! Nutzen Sie (und w\u00e4hlen Sie) Ihre Netzwerkinfrastruktur nicht nur zur \u00dcbertragung von Daten von Punkt A nach Punkt B, sondern auch zur Verbesserung der Cybersicherheit.<\/li>\n<li>Untersuchen Sie die bestehenden \u00dcberwachungsmechanismen der Informationssicherheit in Ihrer Netzwerktechnologie und setzen Sie diese ein.<\/li>\n<li>F\u00fcr die interne \u00dcberwachung bevorzugen Sie die Analyse von Telemetriedaten \u2013 sie erm\u00f6glicht es, 80-90% aller Sicherheitsvorf\u00e4lle im Netzwerk zu erkennen, ohne dabei auf die Erfassung von Netzwerkpaketen angewiesen zu sein, und spart Speicherplatz f\u00fcr alle Sicherheitsereignisse.<\/li>\n<li>F\u00fcr das Monitoring von Datenstr\u00f6men verwenden Sie NetFlow v9 oder IPFIX \u2013 diese bieten mehr Informationen im Kontext der Sicherheit und erm\u00f6glichen es, nicht nur IPv4, sondern auch IPv6, MPLS usw. zu \u00fcberwachen.<\/li>\n<li>Verwenden Sie einen nicht-sampelnden Flow-Protokoll \u2013 er liefert mehr Informationen zur Bedrohungserkennung. Beispiele hierf\u00fcr sind NetFlow oder IPFIX.<\/li>\n<li>\u00dcberpr\u00fcfen Sie die Auslastung Ihrer Netzwerktechnologie \u2013 m\u00f6glicherweise kann diese den zus\u00e4tzlichen Flow-Protokollverkehr nicht bew\u00e4ltigen. In diesem Fall sollten Sie die Verwendung von virtuellen Sensoren oder einer NetFlow-Generierungsappliance in Betracht ziehen.<\/li>\n<li>Implementieren Sie die Kontrolle zun\u00e4chst auf Zugriffsebene \u2013 dies erm\u00f6glicht es Ihnen, 100% des gesamten Datenverkehrs zu sehen.<\/li>\n<li>Wenn Sie keine andere Wahl haben und russische Netzwerkausr\u00fcstung verwenden, w\u00e4hlen Sie diejenige, die Flow-Protokolle unterst\u00fctzt oder \u00fcber SPAN\/RSPAN-Ports verf\u00fcgt.<\/li>\n<li>Kombinieren Sie Systeme zur Erkennung und Verhinderung von Eindringlingen\/Angriffen an den Grenzen mit Systemen zur Analyse von Datenstr\u00f6men im internen Netzwerk (einschlie\u00dflich in der Cloud).<\/li>\n<\/ol>\n<p><img decoding=\"async\" alt=\"Flow-Protokolle als Werkzeug zur Sicherheit\u00fcberwachung des internen Netzwerks\" src=\"\/wp-content\/uploads\/2019\/08\/c54e4b02a906f470bbfb617f48cdd216.png\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nWas den letzten Ratschlag betrifft, m\u00f6chte ich ein Bild zeigen, das ich bereits fr\u00fcher verwendet habe. Sie sehen, dass die Cisco-Sicherheitsdienste fr\u00fcher nahezu vollst\u00e4ndig ihr \u00dcberwachungssystem auf der Grundlage von Eindringungserkennungssystemen und signaturbasierten Methoden aufgebaut haben, w\u00e4hrend dies jetzt nur noch 20% der Vorf\u00e4lle ausmacht. Weitere 20% entfallen auf Systeme zur Analyse von Datenstr\u00f6men, was zeigt, dass diese L\u00f6sungen kein Luxus, sondern ein echtes Werkzeug f\u00fcr die Sicherheitsdienste moderner Unternehmen sind. Umso mehr, da Sie f\u00fcr deren Implementierung das Wichtigste haben \u2014 die Netzwerkinfrastruktur, in die Sie zus\u00e4tzlich investieren k\u00f6nnen, um auch Funktionen zur Sicherheits\u00fcberwachung zu integrieren.<\/p>\n<p><img decoding=\"async\" alt=\"Flow-Protokolle als Werkzeug zur Sicherheit\u00fcberwachung des internen Netzwerks\" src=\"\/wp-content\/uploads\/2019\/08\/2166f265222c43b0b2cbbcf4091c1f8c.png\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nIch habe bewusst das Thema der Reaktion auf erkannte Anomalien oder Bedrohungen im Datenverkehr nicht angesprochen, aber ich denke, es ist offensichtlich, dass die \u00dcberwachung nicht nur mit der Entdeckung einer Bedrohung enden sollte. Darauf sollte eine Reaktion folgen, idealerweise automatisch oder automatisiert. Aber das ist bereits das Thema eines separaten Artikels.<\/p>\n<p>Zus\u00e4tzliche Informationen:<\/p>\n<ul>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/www.cisco.com\/c\/en\/us\/products\/ios-nx-os-software\/ios-netflow\/index.html\">Beschreibung von Cisco IOS Netflow<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/community.cisco.com\/t5\/security-documents\/netflow-support-matrix\/ta-p\/3644638\">Netflow-Supportmatrix in verschiedenen Cisco-L\u00f6sungen<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/www.cisco.com\/c\/dam\/en\/us\/td\/docs\/security\/stealthwatch\/netflow\/Cisco_NetFlow_Configuration.pdf\">Leitfaden zur Konfiguration von Netflow auf verschiedenen Cisco-Plattformen<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/sflow.org\">sFlow-Community<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/www.ciscolive.com\/c\/dam\/r\/ciscolive\/us\/docs\/2015\/pdf\/LTRSEC-3336.pdf\">Laborarbeit zur Nutzung von Stealthwatch, SiLK und ELK zur Sicherheitsanalyse von Netflow<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/tools.netsa.cert.org\/silk\/\">SiLK-Website<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/tools.netsa.cert.org\/silk\/analysis-handbook.pdf\">Dreihundertseitiger Leitfaden zur Nutzung von SiLK mit vielen Beispielen<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/www.elastic.co\/guide\/en\/logstash\/current\/netflow-module.html\">Logstash Netflow Modul<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/blogs.cisco.com\/security\/step-by-step-setup-of-elk-for-netflow-analytics\">Schritt-f\u00fcr-Schritt-Anleitung von Cisco zur Analyse von Netflow in ELK<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/post\/307528\/\">Analyse von NetFlow v.9 Cisco ASA mit Logstash (ELK)<\/a><\/noindex><\/li>\n<li><noindex><a rel=\"nofollow\" href=\"https:\/\/www.cisco.com\/c\/ru_ru\/products\/security\/stealthwatch\/index.html\">Cisco Stealthwatch-L\u00f6sung<\/a><\/noindex><\/li>\n<\/ul>\n<p>PS: Wenn es f\u00fcr Sie einfacher ist, alles, was oben geschrieben wurde, akustisch zu erfassen, k\u00f6nnen Sie sich die einst\u00fcndige Pr\u00e4sentation ansehen, die der Grundlage dieser Notiz zugrunde liegt.<\/p>\n<p><center><div class=\"youtube-placeholder\" data-id=\"ncDRZsueETo\" onclick=\"loadVideo(this)\">\r\n        <img decoding=\"async\" src=\"https:\/\/img.youtube.com\/vi\/ncDRZsueETo\/hqdefault.jpg\" alt=\"Video abspielen\" loading=\"lazy\" width=\"480\" height=\"360\" style=\"width:100%;height:auto;\">\r\n        <div class=\"play-button\"><\/div>\r\n    <\/div><\/center><br \/>\n<br \/>Quelle: <a content=\"nofollow\" rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/company\/cisco\/blog\/464601\/\">habr.com<\/a><\/p>","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"excerpt":{"rendered":"<p>\u041a\u043e\u0433\u0434\u0430 \u0440\u0435\u0447\u044c \u0437\u0430\u0445\u043e\u0434\u0438\u0442 \u043e \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0435 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0435\u0439 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u043e\u0439 \u0438\u043b\u0438 \u0432\u0435\u0434\u043e\u043c\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0439 \u0441\u0435\u0442\u0438, \u0442\u043e \u0443 \u043c\u043d\u043e\u0433\u0438\u0445 \u0432\u043e\u0437\u043d\u0438\u043a\u0430\u0435\u0442 \u0430\u0441\u0441\u043e\u0446\u0438\u0430\u0446\u0438\u044f \u0441 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0435\u043c \u0443\u0442\u0435\u0447\u0435\u043a \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u0438 \u0432\u043d\u0435\u0434\u0440\u0435\u043d\u0438\u0435\u043c DLP-\u0440\u0435\u0448\u0435\u043d\u0438\u0439. \u0410 \u0435\u0441\u043b\u0438 \u043f\u043e\u043f\u0440\u043e\u0431\u043e\u0432\u0430\u0442\u044c \u0443\u0442\u043e\u0447\u043d\u0438\u0442\u044c \u0432\u043e\u043f\u0440\u043e\u0441 \u0438 \u0441\u043f\u0440\u043e\u0441\u0438\u0442\u044c, \u043a\u0430\u043a \u0432\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442\u0435 \u0430\u0442\u0430\u043a\u0438 \u0432\u043e \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0435\u0439 \u0441\u0435\u0442\u0438, \u0442\u043e \u043e\u0442\u0432\u0435\u0442\u043e\u043c \u0431\u0443\u0434\u0435\u0442, \u043a\u0430\u043a \u043f\u0440\u0430\u0432\u0438\u043b\u043e, \u0443\u043f\u043e\u043c\u0438\u043d\u0430\u043d\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0430\u0442\u0430\u043a (intrusion detection systems, IDS). \u0418 \u0442\u043e, \u0447\u0442\u043e \u0431\u044b\u043b\u043e \u0435\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u043c [&hellip;]<\/p>\n","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"author":1,"featured_media":28091,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[688],"tags":[],"class_list":["post-37437","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-administrirovanie"],"aioseo_notices":[],"aioseo_head":"\n\t\t<!-- All in One SEO 4.9.10 - aioseo.com -->\n\t<meta name=\"description\" content=\"\u041a\u043e\u0433\u0434\u0430 \u0440\u0435\u0447\u044c \u0437\u0430\u0445\u043e\u0434\u0438\u0442 \u043e \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0435 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0435\u0439 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u043e\u0439 \u0438\u043b\u0438 \u0432\u0435\u0434\u043e\u043c\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0439 \u0441\u0435\u0442\u0438, \u0442\u043e \u0443 \u043c\u043d\u043e\u0433\u0438\u0445 \u0432\u043e\u0437\u043d\u0438\u043a\u0430\u0435\u0442 \u0430\u0441\u0441\u043e\u0446\u0438\u0430\u0446\u0438\u044f \u0441 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0435\u043c \u0443\u0442\u0435\u0447\u0435\u043a \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u0438 \u0432\u043d\u0435\u0434\u0440\u0435\u043d\u0438\u0435\u043c DLP-\u0440\u0435\u0448\u0435\u043d\u0438\u0439. \u0410 \u0435\u0441\u043b\u0438 \u043f\u043e\u043f\u0440\u043e\u0431\u043e\u0432\u0430\u0442\u044c \u0443\u0442\u043e\u0447\u043d\u0438\u0442\u044c \u0432\u043e\u043f\u0440\u043e\u0441 \u0438 \u0441\u043f\u0440\u043e\u0441\u0438\u0442\u044c, \u043a\u0430\u043a \u0432\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442\u0435 \u0430\u0442\u0430\u043a\u0438 \u0432\u043e \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0435\u0439 \u0441\u0435\u0442\u0438, \u0442\u043e \u043e\u0442\u0432\u0435\u0442\u043e\u043c \u0431\u0443\u0434\u0435\u0442, \u043a\u0430\u043a \u043f\u0440\u0430\u0432\u0438\u043b\u043e, \u0443\u043f\u043e\u043c\u0438\u043d\u0430\u043d\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0430\u0442\u0430\u043a (intrusion detection systems, IDS). \u0418 \u0442\u043e, \u0447\u0442\u043e \u0431\u044b\u043b\u043e \u0435\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u043c\" \/>\n\t<meta name=\"robots\" content=\"max-image-preview:large\" \/>\n\t<meta name=\"author\" content=\"Yuri Gagarin\"\/>\n\t<link rel=\"canonical\" href=\"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/flow-protokoly-kak-instrument-monitoringa-bezopasnosti-vnutrennej-seti\" \/>\n\t<meta name=\"generator\" content=\"All in One SEO (AIOSEO) 4.9.10\" \/>\n\t\t<meta property=\"og:locale\" content=\"de_DE\" \/>\n\t\t<meta property=\"og:site_name\" content=\"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b\" \/>\n\t\t<meta property=\"og:type\" content=\"article\" \/>\n\t\t<meta property=\"og:title\" content=\"\ud83e\udd47Flow-\u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u044b \u043a\u0430\u043a \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0435\u0439 \u0441\u0435\u0442\u0438 | ProHoster\" \/>\n\t\t<meta property=\"og:description\" content=\"\u041a\u043e\u0433\u0434\u0430 \u0440\u0435\u0447\u044c \u0437\u0430\u0445\u043e\u0434\u0438\u0442 \u043e \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0435 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0435\u0439 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u043e\u0439 \u0438\u043b\u0438 \u0432\u0435\u0434\u043e\u043c\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0439 \u0441\u0435\u0442\u0438, \u0442\u043e \u0443 \u043c\u043d\u043e\u0433\u0438\u0445 \u0432\u043e\u0437\u043d\u0438\u043a\u0430\u0435\u0442 \u0430\u0441\u0441\u043e\u0446\u0438\u0430\u0446\u0438\u044f \u0441 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0435\u043c \u0443\u0442\u0435\u0447\u0435\u043a \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u0438 \u0432\u043d\u0435\u0434\u0440\u0435\u043d\u0438\u0435\u043c DLP-\u0440\u0435\u0448\u0435\u043d\u0438\u0439. \u0410 \u0435\u0441\u043b\u0438 \u043f\u043e\u043f\u0440\u043e\u0431\u043e\u0432\u0430\u0442\u044c \u0443\u0442\u043e\u0447\u043d\u0438\u0442\u044c \u0432\u043e\u043f\u0440\u043e\u0441 \u0438 \u0441\u043f\u0440\u043e\u0441\u0438\u0442\u044c, \u043a\u0430\u043a \u0432\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442\u0435 \u0430\u0442\u0430\u043a\u0438 \u0432\u043e \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0435\u0439 \u0441\u0435\u0442\u0438, \u0442\u043e \u043e\u0442\u0432\u0435\u0442\u043e\u043c \u0431\u0443\u0434\u0435\u0442, \u043a\u0430\u043a \u043f\u0440\u0430\u0432\u0438\u043b\u043e, \u0443\u043f\u043e\u043c\u0438\u043d\u0430\u043d\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0430\u0442\u0430\u043a (intrusion detection systems, IDS). \u0418 \u0442\u043e, \u0447\u0442\u043e \u0431\u044b\u043b\u043e \u0435\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u043c\" \/>\n\t\t<meta property=\"og:url\" content=\"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/flow-protokoly-kak-instrument-monitoringa-bezopasnosti-vnutrennej-seti\" \/>\n\t\t<meta property=\"og:image\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:secure_url\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:width\" content=\"350\" \/>\n\t\t<meta property=\"og:image:height\" content=\"350\" \/>\n\t\t<meta property=\"article:published_time\" content=\"2019-10-31T19:17:38+00:00\" \/>\n\t\t<meta property=\"article:modified_time\" content=\"2019-10-31T19:17:38+00:00\" \/>\n\t\t<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<!-- All in One SEO -->\n\n","aioseo_head_json":{"title":"\ud83e\udd47Flow-Protokolle als Werkzeug zur Sicherheits\u00fcberwachung interner Netzwerke | ProHoster","description":"Wenn es um die Sicherheits\u00fcberwachung interner Unternehmens- oder Verwaltungsnetze geht, haben viele sofort die Kontrolle \u00fcber Datenlecks und den Einsatz von DLP-L\u00f6sungen im Kopf. Doch wenn man die Frage pr\u00e4zisiert und fragt, wie Sie Angriffe im internen Netzwerk erkennen, lautet die Antwort in der Regel, dass auf Intrusion Detection Systeme (IDS) verwiesen wird. Und was einst das einzige...","canonical_url":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/flow-protokoly-kak-instrument-monitoringa-bezopasnosti-vnutrennej-seti","robots":"max-image-preview:large","keywords":"","webmasterTools":{"miscellaneous":""},"schema":null,"og:locale":"de_DE","og:site_name":"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b","og:type":"article","og:title":"\ud83e\udd47Flow-\u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u044b \u043a\u0430\u043a \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0430 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0435\u0439 \u0441\u0435\u0442\u0438 | ProHoster","og:description":"\u041a\u043e\u0433\u0434\u0430 \u0440\u0435\u0447\u044c \u0437\u0430\u0445\u043e\u0434\u0438\u0442 \u043e \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0435 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0435\u0439 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u043e\u0439 \u0438\u043b\u0438 \u0432\u0435\u0434\u043e\u043c\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0439 \u0441\u0435\u0442\u0438, \u0442\u043e \u0443 \u043c\u043d\u043e\u0433\u0438\u0445 \u0432\u043e\u0437\u043d\u0438\u043a\u0430\u0435\u0442 \u0430\u0441\u0441\u043e\u0446\u0438\u0430\u0446\u0438\u044f \u0441 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0435\u043c \u0443\u0442\u0435\u0447\u0435\u043a \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u0438 \u0432\u043d\u0435\u0434\u0440\u0435\u043d\u0438\u0435\u043c DLP-\u0440\u0435\u0448\u0435\u043d\u0438\u0439. \u0410 \u0435\u0441\u043b\u0438 \u043f\u043e\u043f\u0440\u043e\u0431\u043e\u0432\u0430\u0442\u044c \u0443\u0442\u043e\u0447\u043d\u0438\u0442\u044c \u0432\u043e\u043f\u0440\u043e\u0441 \u0438 \u0441\u043f\u0440\u043e\u0441\u0438\u0442\u044c, \u043a\u0430\u043a \u0432\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442\u0435 \u0430\u0442\u0430\u043a\u0438 \u0432\u043e \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0435\u0439 \u0441\u0435\u0442\u0438, \u0442\u043e \u043e\u0442\u0432\u0435\u0442\u043e\u043c \u0431\u0443\u0434\u0435\u0442, \u043a\u0430\u043a \u043f\u0440\u0430\u0432\u0438\u043b\u043e, \u0443\u043f\u043e\u043c\u0438\u043d\u0430\u043d\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0430\u0442\u0430\u043a (intrusion detection systems, IDS). \u0418 \u0442\u043e, \u0447\u0442\u043e \u0431\u044b\u043b\u043e \u0435\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u043c","og:url":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/flow-protokoly-kak-instrument-monitoringa-bezopasnosti-vnutrennej-seti","og:image":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:secure_url":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:width":350,"og:image:height":350,"article:published_time":"2019-10-31T19:17:38+00:00","article:modified_time":"2019-10-31T19:17:38+00:00","article:publisher":"https:\/\/www.facebook.com\/prohoster","article:author":"https:\/\/www.facebook.com\/prohoster"},"aioseo_meta_data":{"post_id":"37437","title":null,"description":null,"keywords":null,"keyphrases":null,"primary_term":null,"canonical_url":null,"og_title":null,"og_description":null,"og_object_type":"default","og_image_type":"default","og_image_url":null,"og_image_width":null,"og_image_height":null,"og_image_custom_url":null,"og_image_custom_fields":null,"og_video":null,"og_custom_url":null,"og_article_section":null,"og_article_tags":null,"twitter_use_og":false,"twitter_card":"default","twitter_image_type":"default","twitter_image_url":null,"twitter_image_custom_url":null,"twitter_image_custom_fields":null,"twitter_title":null,"twitter_description":null,"schema":{"blockGraphs":[],"customGraphs":[],"default":{"data":{"Article":[],"Course":[],"Dataset":[],"FAQPage":[],"Movie":[],"Person":[],"Product":[],"ProductReview":[],"Car":[],"Recipe":[],"Service":[],"SoftwareApplication":[],"WebPage":[]},"graphName":"","isEnabled":true},"graphs":[]},"schema_type":null,"schema_type_options":null,"pillar_content":false,"robots_default":true,"robots_noindex":false,"robots_noarchive":false,"robots_nosnippet":false,"robots_nofollow":false,"robots_noimageindex":false,"robots_noodp":false,"robots_notranslate":false,"robots_max_snippet":null,"robots_max_videopreview":null,"robots_max_imagepreview":"large","priority":null,"frequency":null,"local_seo":null,"seo_analyzer_scan_date":"2026-01-23 17:49:20","breadcrumb_settings":null,"limit_modified_date":false,"reviewed_by":null,"ai":null,"created":"2021-03-01 01:26:28","updated":"2026-01-23 17:49:20"},"gt_translate_keys":[{"key":"link","format":"url"}],"_links":{"self":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/37437","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/comments?post=37437"}],"version-history":[{"count":0,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/37437\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media\/28091"}],"wp:attachment":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media?parent=37437"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/categories?post=37437"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/tags?post=37437"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}