Wie funktioniert NAT Stitching?

Beim Lesen über CISCO NetFlow Analysis kam ich auf einen Begriff namens NAT Stitching.

Ich verstehe, Flow Stitchingwelche die gleiche Art von eingehender und ausgehender Verbindung verbinden.

Aber ich kann nichts Diskretes finden, NAT Stitchingaußer das Folgende:

NAT-Stitching: Vereinheitlichen Sie die NAT-Informationen innerhalb der Firewall mit Informationen außerhalb der Firewall, um festzustellen, welche IPs und Benutzer im Netzwerk für eine bestimmte Aktion verantwortlich sind

Wie funktioniert es im Detail? Ist es ein Prozess / Protokoll oder eine bestimmte Art von NAT?

Sie müssen sich daran erinnern, dass ein Flow mit NAT wie zwei verschiedene Flows aussieht: ein Flow vor NAT und ein Flow nach NAT. Dies liegt daran, dass NAT eine oder mehrere der Adressen in den Paketen ändert. Dies kann eine verzerrte Ansicht Ihrer Flows darstellen.

Wie Cisco es erklärt, werden durch NAT-Stitching die (anscheinend) separaten Flows zusammengefügt, um Ihnen die Ansicht eines einzelnen Flows zu geben:

Durch das Exportieren von NetFlow von den NAT-Geräten werden sowohl Vor- als auch Nach-NAT-Flows zusammengefügt.

Das Cisco Press-Buch NetFlow for Cybersecurity geht detaillierter vor:

Die StealthWatch-Lösung von Lancope unterstützt eine Funktion namens NAT (Network Address Translation). Beim NAT-Stitching werden Daten von Netzwerkgeräten verwendet, um NAT-Informationen aus einer Firewall (oder einem NAT-Gerät) mit Informationen von außerhalb der Firewall (oder eines NAT-Geräts) zu kombinieren, um zu identifizieren, welche IP-Adressen und Benutzer Teil eines bestimmten Datenflusses sind. Ein großartiges Merkmal der StealthWatch-Lösung ist die Fähigkeit, eine „NetFlow-Deduplizierung“ durchzuführen. Mit dieser Funktion können Sie mehrere NetFlow-Kollektoren in Ihrem Unternehmen bereitstellen, ohne sich Gedanken über die doppelte oder dreifache Zählung des Datenverkehrs machen zu müssen.