在 2022 年的今日,可以說幾乎每個人每天都以某種形式上網。從關鍵的業務功能到社交媒體、再到影音串流媒體,世界之間的聯繫越來越緊密,所有這些活動都可被拆解為流經整個國家電信網路的原始數據。普遍認為駭客和網路犯罪分子不斷試圖竊取這些數據,並對重要的日常活動進行破壞,甚至造成全國性大規模的攻擊,這些都並非遙不可及。
事實上,網路攻擊正變得越來越複雜,並且不斷以全球的 ISP 和區域電信網路為目標。這些網路通常與政府機構到關鍵基礎設施的運作息息相關。在網路方面,負責保護其公民的政府國防組織被迫在消費者隱私與國家安全之間取得平衡。在這方面,網際網路連線記錄 (ICR) 已成為政府安全團隊,提供適當網路防禦所需的網路可視化的重要工具。
2016 年調查權法案
網際網路連線紀錄一詞因 2016 年在英國通過的《調查權力法》而聲名狼藉。 該法案提供了一個新的框架來管理執法機構以及安全和情報機構對調查權的使用和監督。 具體而言,該法案通過允許保存詳細說明所有國內網路活動的記錄 (ICR),擴大了英國情報機構和警察的監視權力。
與此同時,公眾越來越擔心這些網際網路連線紀錄究竟在私下做了什麼。大量數據保留的人員、內容、時間、地點和原因一直不清楚,收集這些數據的測試試驗進展緩慢且保密。
什麼是網際網路連線記錄?
2016 年法案中創造的名詞 - 網際網路連線紀錄 (ICR) 是數據流 Data Flow 的詳細訊息,而不是用戶完整的瀏覽歷史記錄。它是 Metadata 元數據; 它提供了網路線上通訊更深層次的細節。 以下是一些可以收集並歸類為 ICR 的元數據範例。
- NetFlow – NetFlow 是由 Cisco 所建立的網路協議。它已被用作網路流量分析器,以確定流量在網路上的來源、目的地、流量和路徑。這些數據有助於網路監控、規劃和取證。
- IPFIX – Internet 通訊協議網路流導出 (IPFIX) 是 NetFlow 的第 9 版。 IPFIX 協議使用與 NetFlow 非常相似的過程來導出網路流量數據,但是 IPFIX 的設計具有額外的可擴充性,被認為是該協議的升級版本。
- Zeek – Zeek 以前稱為 Bro,是一種被動式的、開放原始碼的網路流量分析工具,被許多網路營運業者使用。它分析網路流量數據封包並創建 “Zeek 日誌”,可用於檢測網路中的惡意活動。
這些都是匯總 IP 網路 Flow Data 的元數據形式。IP 網路 Flow Data 由構成網路連線對話的一組封包組成。 當封包在路由器或交換機內轉發時,會檢查一組屬性,包括來源位址 IP 、目的地位址 IP 、來源 Port 、目的地 Port 、第 3 層協議類型、服務類別和路由器或交換機介面。所有這些資訊連同時間戳記,和基於流量的統計訊息都包含在基本的 Internet 連接記錄中。
網際網路連線紀錄 ICR 的歷史
雖然這個詞可能比較新鮮,但 Internet 連線記錄的概念則不然。要了解 ICR,了解 NetFlow 及其對 ICR 的影響很有用。
NetFlow 於 1995 年由 Cisco 開發。 它迅速在網路安全社區中流行起來,其實用性最終改變了安全團隊緩解威脅的方式。NetFlow 最初是為 Cisco 路由器開發的一種封包交換技術,後來演變為一種用於監控網路效能和流量的工具。
在 NetFlow 之前,簡單網路管理協議 (SNMP) 是網路監控的標準協議。顧名思義,SNMP 的使用曾經是,並且仍然是一種簡單而有效的監控技術,但 NetFlow 的誕生可進行更詳細和深入的流量分析。
Cisco 定期更新 NetFlow,其 NetFlow v5 是使用最廣泛的協議之一,更新的 IPFIX 協議 (v9) 是網際網路工程任務組 (IETF) 標準,為內容豐富的元數據打開了大門。隨著 NetFlow/IPFIX 的發展,元數據和強化的元數據(包含每個網路流 Flow Data 的更深層信息)的使用已成為網路安全和網路威脅搜尋應用中越來越重要的部分。網際網路連線記錄更為網路防禦團隊提供了識別入侵威脅指標所需的可視化,以及對異常網路活動發出警報的能力。
NetQuest 感測器生成 ICR 網際網路連線記錄
NetQuest 的網路流量感測器 (SNS) 可以生成電信規模的網際網路連線記錄,優化政府國防和電信安全應用所需的可視化。NetQuest 的 SNS 感測器可在高密度 100G 和 10G 網路鏈路上生成非取樣(1:1 取樣比例)IPFIX ICR 元數據,提供對網路流 IP Flow 的 100% 可視化。除了標準的 NetFlow 記錄外,SNS 還提供內容強化的的元數據 Enriched Metadata,包括第 7 層應用層分類和 DNS、TLS、SSL、SSH、QUIC、HTTP、BGP 和其他協議的特定協議元數據。
SNS 還提供特殊的 ICR 可視化能力,用於加密流量分析,可將即時網路流與入侵威脅指標 (IoC) 相匹配。這包括生成 JA3 Fingerprint、公開暴露的 TLS Hankshake 資訊以及現代威脅搜尋策略中使用的其他資訊。
在國家等級的範圍生成網際網路連線記錄對於政府國防機構和電信安全團隊來說是一項具有挑戰性的任務。NetQuest 的 SNS 流量感測器在僅佔用 1RU 的空間中,可處理 TeraBit 等級的流量以生成 ICR。歡迎與 NetQuest 聯繫安排展示!
Source: https://netquestcorp.com/internet-connection-records/ (The Reason Internet Connection Records are Valuable to Governments)
Photo Credit: Photo by Brett Sayles