VTAP
Forensische Analyse des Netzwerkverkehrs mit VTAP
Definition
Virtual Test Access Point oder kurz VTAP ist eine Funktion der Oracle Cloud Infrastructure. Dieses Feature stellt Funktionen für die Paketerfassung des Netzwerkdatenverkehrs bereit, damit Daten für die Netzwerkanalyse gesammelt werden können.
Durch VTAP wird ein OCI-nativer Service für sowohl die Netzwerkerfassung als auch für die Analyse geboten. So kann die VTAP-Funktionalität auch als Traffic Mirroring bezeichnet werden. So ist es möglich, Netzwerkzugriffe aus verschiedensten Quellen im OCI-Netzwerk zu spiegeln und an das Zielüberwachungsgerät übermitteln zu lassen. VTAP kann sowohl IPv4 als auch IPv6 aus den folgenden Quellen spiegeln:
- Ein Exadata-VM-Cluster
- Einzelne Instanzen
- Ein Anwendungs-Load Balancer-as-a-Service (LBaaS)
- Ein Database-as-a-Service (DBaaS)
Als Ziel kann beispielsweise ein Network Load Balancer genutzt werden. Dieser muss dann ein Nicht-Proxy Load Balancer sein.
Architektur
In der folgenden Abbildung ist zu erkennen, dass VTAP für OCI und Wireshark den Netzwerkdatenverkehr an den verschiedensten Punkten in der OCI überwacht. So können Lösungen zur Fehlerbehebung von Problemen, die mit dem Netzwerk zu tun haben, erkannt und anschließend behoben und implementiert werden.
In dieser Grafik haben die VTAPs die Aufgabe LBaaS in einem öffentlichen Subnetz, VNICs von den Anwendungsservern, einen Exadata CLuster in einem privaten Subnetz sowie DBaaS Systeme, die ebenfalls in einem privaten Subnetz sind zu erfassen.
Die gesammelten Daten werden an einen Network Load Balancer weitergeleitet und dort kann anschließend per Wireshark auf die Daten zugegriffen werden. Dabei können die bekannten Filter gesetzt werden, um Faktoren wie Verkehrsrichtung oder auch die IP-Adressen zu filtern. Dies hilft unter anderem bei Fehlerbehebung, Sicherheitsanalyse und Datenüberwachung.
Auswertung
Die Ausgabe des VTAPs kann ebenfalls an Forensik Tools geleitet werden, um den Netzwerkverkehr forensisch zu untersuchen bzw. dass später geprüft werden kann, ob es anormales Verhalten gibt, um Eindringlinge oder auch Sicherheitsverletzungen.
Der ganze Spaß ist gebührenfrei in der OCI. Jedoch fallen erhöhte Gebühren an, da sich der Datenverkehr auf der VNIC erhöht.
Es ist wichtig zu beachten, dass VTAP allein nicht ausreicht, um eine umfassende forensische Analyse durchzuführen. Zusätzlich sollte es als Teil eines breiteren Ansatzes zur Netzwerksicherheit und forensischen Untersuchung betrachtet werden. Außerdem ist es wichtig, die geltenden Gesetze und Richtlinien in Bezug auf die Überwachung und Analyse des Netzwerkverkehrs zu beachten.
Quellen:
https://docs.oracle.com/de/solutions/oci-network-vtap-wireshark/index.html#GUID-3196621D-12EB-470A-982C-4F7F6F3723EC https://docs.oracle.com/de/solutions/vtap-forensic-analysis/index.html#GUID-7556CBD3-C583-4765-AAF1-D35C420A6F28 https://blogs.oracle.com/cloud-infrastructure/post/announcing-vtap-for-oracle-cloud-infrastructure