Читаючи про аналіз CISCO NetFlow, я придумав термін під назвою NAT Stitching.
Я розумію, Flow Stitchingякі з'єднують однотипні вхідні та вихідні з'єднання.
Але не можу знайти нічого дискретного, NAT Stitchingокрім наступного,
Зшивання NAT: Уніфікуйте інформацію NAT зсередини між брандмауером та інформацією зовнішнього брандмауера, щоб визначити, які IP-адреси та користувачі всередині мережі відповідають за конкретну дію
То як це детально працює? Це процес / протокол або певний тип NAT?
Відповіді:
Ви повинні пам’ятати, що потік, що використовує NAT, буде мати вигляд двох різних потоків: потоку попереднього NAT і потоку після NAT. Це відбувається тому, що NAT змінює одну або кілька адрес у пакетах. Це може представляти спотворене уявлення про ваші потоки.
Як пояснює Cisco, зшивання NAT зшиватиме (мабуть) окремі потоки, щоб отримати вигляд єдиного потоку:
Експорт NetFlow з NAT-пристроїв зшиватиме як поточні, так і попередні потоки NAT разом.
Книга преси Cisco NetFlow для кібербезпеки детальніше:
Рішення StealthWatch від Lancope підтримує функцію під назвою зшивання трансляції мережевих адрес (NAT). Зшивання NAT використовує дані мережевих пристроїв для об'єднання інформації NAT зсередини брандмауера (або NAT-пристрою) з інформацією зовнішнього брандмауера (або NAT-пристрою), щоб визначити, які IP-адреси та користувачі є частиною певного потоку. Відмінною особливістю рішення StealthWatch є його здатність виконувати "дедуплікацію NetFlow". Ця функція дозволяє розгорнути декілька колекторів NetFlow у вашій організації, не турбуючись про подвійний чи потрійний підрахунок трафіку.