CISCO NetFlow Analysisについて読んでいるときに、という用語を思いつきましたNAT Stitching。
Flow Stitching同じタイプのインバウンド接続とアウトバウンド接続に参加する方法を理解しています。
しかしNAT Stitching、以下のことを除いて、離散的なものを見つけることができません
NATスティッチング:ファイアウォールの内側からのNAT情報をファイアウォールの外側からの情報と統合して、ネットワーク内のどのIPとユーザーが特定のアクションを担当しているかを特定します。
それでは、それはどのように詳細に機能しますか?それはプロセス/プロトコルですか、それとも特定のタイプのNATですか?
回答:
NATを使用するフローは、2つの異なるフローのように見えることを覚えておく必要があります。フローpre-NATとフローpost-NATです。これは、NATがパケット内の1つ以上のアドレスを変更しているためです。これは、フローの歪んだビューを提示する可能性があります。
Ciscoが説明しているように、NATスティッチングは(見かけ上)個別のフローをスティッチして、単一のフロービューを提供します。
NATデバイスからNetFlowをエクスポートすると、NATの前後のフローが結合されます。
Cisco Pressの書籍、NetFlow for Cybersecurityでさらに詳しく説明しています。
LancopeのStealthWatchソリューションは、ネットワークアドレス変換(NAT)スティッチングと呼ばれる機能をサポートしています。NATスティッチングは、ネットワークデバイスからのデータを使用して、ファイアウォール(またはNATデバイス)の内側からのNAT情報をファイアウォールの外側(またはNATデバイス)からの情報と組み合わせて、特定のフローの一部であるIPアドレスとユーザーを識別します。StealthWatchソリューションの優れた機能は、「NetFlow重複排除」を実行できることです。この機能により、トラフィックの二重または三重のカウントを心配することなく、組織内に複数のNetFlowコレクターを展開できます。