Inligtingsekerheid het van telekommunikasie geskei in 'n onafhanklike bedryf met sy eie besonderhede en sy eie toerusting. Maar daar is 'n min bekende klas toestelle wat by die aansluiting van telekommunikasie en infobez staan - netwerk pakkie makelaars (Network Packet Broker), hulle is ook lasbalanseerders, gespesialiseerde / moniteringskakelaars, verkeersaggregeerders, sekuriteitsleweringsplatform, netwerksigbaarheid en so aan. En ons, as 'n Russiese ontwikkelaar en vervaardiger van sulke toestelle, wil jou regtig meer daaroor vertel.
Omvang en take wat opgelos moet word
Netwerkpakketmakelaars is gespesialiseerde toestelle wat die grootste gebruik in inligtingsekuriteitstelsels gevind het. As sodanig is die toestelklas relatief nuut en min in algemene netwerkinfrastruktuur in vergelyking met skakelaars, routers, ensovoorts. Die pionier in die ontwikkeling van hierdie tipe toestel was die Amerikaanse maatskappy Gigamon. Tans is daar aansienlik meer spelers in hierdie mark (insluitend soortgelyke oplossings van die bekende vervaardiger van toetsstelsels - IXIA), maar slegs 'n nou kring van professionele mense weet nog van die bestaan van sulke toestelle. Soos hierbo genoem, is daar selfs met die terminologie geen ondubbelsinnige sekerheid nie: die name wissel van "netwerkdeursigtigheidstelsels" tot eenvoudige "balanseerders".
Terwyl ons netwerkpakketmakelaars ontwikkel het, het ons gekonfronteer met die feit dat, benewens die ontleding van die aanwysings vir die ontwikkeling van funksionaliteit en toetsing in laboratoriums / toetssones, dit nodig is om gelyktydig aan potensiële verbruikers te verduidelik oor die bestaan van hierdie klas toerusting , aangesien nie almal daarvan weet nie.
Selfs 15-20 jaar gelede was daar min verkeer op die netwerk, en dit was meestal onbelangrike data. Maar prakties herhaal : Internetverbindingspoed neem jaarliks met 50% toe. Die volume verkeer groei ook geleidelik (die grafiek toon die 2017-voorspelling van Cisco, bron Cisco Visual Networking Index: Forecast and Trends, 2017–2022):
Saam met die spoed neem die belangrikheid van die sirkulasie van inligting (dit is beide 'n handelsgeheim en berugte persoonlike data) en die algehele prestasie van die infrastruktuur toe.
Gevolglik het die inligtingsekuriteitsbedryf ontstaan. Die bedryf het hierop gereageer met 'n hele reeks verkeersanalise-toestelle (DPI), van DDOS-aanvalvoorkomingstelsels tot inligtingsekuriteit-gebeurtenisbestuurstelsels, insluitend IDS, IPS, DLP, NBA, SIEM, Antimailware ensovoorts. Tipies is elkeen van hierdie instrumente sagteware wat op 'n bedienerplatform geïnstalleer is. Boonop word elke program (analise-instrument) op sy eie bedienerplatform geïnstalleer: sagtewarevervaardigers verskil, en baie rekenaarhulpbronne word benodig vir ontleding op L7.
Wanneer 'n inligtingsekuriteitstelsel gebou word, is dit nodig om 'n aantal basiese take op te los:
- hoe om verkeer van infrastruktuur na analisestelsels oor te dra? (die SPAN-poorte wat oorspronklik hiervoor in moderne infrastruktuur ontwikkel is, is nie genoeg in hoeveelheid of in werkverrigting nie)
- hoe om verkeer tussen verskillende ontledingstelsels te versprei?
- hoe om stelsels te skaal as daar nie genoeg werkverrigting van een geval van die ontleder is om die hele volume verkeer wat dit binnekom, te verwerk nie?
- hoe om 40G/100G-koppelvlakke te monitor (en in die nabye toekoms ook 200G/400G), aangesien analise-instrumente tans net 1G/10G/25G-koppelvlakke ondersteun?
En die volgende verwante take:
- hoe om onvanpaste verkeer te verminder wat nie verwerk hoef te word nie, maar by die analise-instrumente uitkom en hul hulpbronne verbruik?
- hoe om ingekapselde pakkies en pakkies met hardeware diensmerke te verwerk, waarvan die voorbereiding vir ontleding óf hulpbronintensief óf enigsins onrealiseerbaar blyk te wees?
- hoe om deel van die verkeer wat nie deur die sekuriteitsbeleid gereguleer word nie (byvoorbeeld verkeer van die kop) uit die analise uit te sluit.
Soos almal weet, skep vraag aanbod, in reaksie op hierdie behoeftes het netwerkpakketmakelaars begin ontwikkel.
Algemene beskrywing van netwerkpakketmakelaars
Netwerkpakketmakelaars werk op pakketvlak, en hierin is hulle soortgelyk aan gewone skakelaars. Die belangrikste verskil van skakelaars is dat die reëls vir verspreiding en samevoeging van verkeer in netwerkpakketmakelaars heeltemal deur die instellings bepaal word. Netwerkpakketmakelaars het nie standaarde vir die bou van aanstuurtabelle (MAC-tabelle) en uitruilprotokolle met ander skakelaars (soos STP) nie, en daarom is die reeks moontlike instellings en verstaanbare velde daarin baie wyer. 'n Makelaar kan verkeer eweredig versprei vanaf een of meer insetpoorte na 'n gegewe reeks uitsetpoorte met 'n uitsetlasbalanseringsfunksie. Jy kan reëls stel vir kopiëring, filtering, klassifikasie, deduplisering en wysiging van verkeer. Hierdie reëls kan toegepas word op verskillende groepe invoerpoorte van die netwerkpakketmakelaar, sowel as opeenvolgend een na die ander in die toestel self toegepas word. 'n Belangrike voordeel van 'n pakkiemakelaar is die vermoë om verkeer teen volle vloeitempo te verwerk en die integriteit van sessies te bewaar (in die geval van balansering van verkeer na verskeie DPI-stelsels van dieselfde tipe).
Die behoud van die integriteit van die sessies is om al die pakkies van die sessie van die vervoerlaag (TCP / UDP / SCTP) na een poort oor te dra. Dit is belangrik omdat DPI-stelsels (gewoonlik sagteware loop op 'n bediener wat aan die uitsetpoort van 'n pakkiemakelaar gekoppel is) die inhoud van verkeer op die toepassingsvlak ontleed, en alle pakkies wat deur een toepassing gestuur/ontvang word, moet by dieselfde geval van die ontleder . As die pakkies van een sessie verlore gaan of tussen verskillende DPI-toestelle versprei word, sal elke individuele DPI-toestel in 'n situasie wees wat soortgelyk is aan die lees van nie 'n hele teks nie, maar individuele woorde daaruit. En, heel waarskynlik, sal die teks nie verstaan nie.
Dus, gefokus op inligtingsekuriteitstelsels, het netwerkpakketmakelaars funksionaliteit wat help om DPI-sagtewarestelsels aan hoëspoed-telekommunikasienetwerke te koppel en die las daarop te verminder: hulle vooraffiltreer, klassifiseer en berei verkeer voor om daaropvolgende verwerking te vereenvoudig.
Daarbenewens, aangesien netwerkpakkiemakelaars 'n wye reeks statistieke verskaf en dikwels aan verskeie punte in die netwerk gekoppel is, vind hulle ook hul plek in die diagnose van gesondheidsprobleme van die netwerkinfrastruktuur self.
Basiese funksies van netwerkpakketmakelaars
Die naam "toegewyde/moniteringskakelaars" het ontstaan uit die basiese doel: om verkeer vanaf die infrastruktuur te versamel (gewoonlik deur passiewe optiese TAP-krane en / of SPAN-poorte te gebruik) en dit onder analise-instrumente te versprei. Verkeer word weerspieël (gedupliseer) tussen stelsels van verskillende tipes, en gebalanseer tussen stelsels van dieselfde tipe. Die basiese funksies sluit gewoonlik filtering deur velde tot L4 in (MAC, IP, TCP / UDP-poort, ens.) en samevoeging van verskeie lig gelaaide kanale in een (byvoorbeeld vir verwerking op een DPI-stelsel).
Hierdie funksionaliteit bied 'n oplossing vir die basiese taak - om DPI-stelsels aan die netwerkinfrastruktuur te koppel. Makelaars van verskeie vervaardigers, beperk tot basiese funksionaliteit, verskaf verwerking van tot 32 100G-koppelvlakke per 1U (meer koppelvlakke pas nie fisies op die 1U-voorpaneel nie). Dit laat egter nie toe dat die las op analise-instrumente verminder word nie, en vir 'n komplekse infrastruktuur kan hulle nie eers die vereistes vir 'n basiese funksie voorsien nie: 'n sessie wat oor verskeie tonnels versprei is (of toegerus met MPLS-etikette) kan ongebalanseerd wees vir verskillende gevalle van die ontleder en val oor die algemeen uit die analise.
Benewens die byvoeging van 40/100G-koppelvlakke en, as gevolg daarvan, die verbetering van werkverrigting, ontwikkel netwerkpakketmakelaars aktief in terme van die verskaffing van fundamenteel nuwe kenmerke: van balansering op geneste tonnelopskrifte tot verkeersdekripsie. Ongelukkig kan sulke modelle nie met prestasie in terabit spog nie, maar dit maak dit moontlik om 'n werklik hoë gehalte en tegnies "pragtige" inligtingsekuriteitstelsel te bou waarin elke ontledingsinstrument gewaarborg word om net die inligting te ontvang wat dit benodig in die vorm wat die mees geskikte is. vir ontleding.
Gevorderde funksies van netwerkpakketmakelaars
1. Bogenoemde geneste kopbalbalansering in tonnelverkeer.
Hoekom is dit belangrik? Oorweeg 3 aspekte wat saam of afsonderlik krities kan wees:
- verseker uniforme balansering in die teenwoordigheid van 'n klein aantal tonnels. In die geval dat daar slegs 2 tonnels by die verbindingspunt van inligtingsekuriteitstelsels is, sal dit nie moontlik wees om hulle te ontbalanseer deur eksterne kopskrifte op 3 bedienerplatforms terwyl die sessie gehandhaaf word nie. Terselfdertyd word verkeer in die netwerk oneweredig oorgedra, en die rigting van elke tonnel na 'n aparte verwerkingsfasiliteit sal buitensporige prestasie van laasgenoemde vereis;
- verseker die integriteit van sessies en strome van multisessie-protokolle (byvoorbeeld FTP en VoIP), waarvan die pakkies in verskillende tonnels beland het. Die kompleksiteit van die netwerkinfrastruktuur neem voortdurend toe: oortolligheid, virtualisering, vereenvoudiging van administrasie, ensovoorts. Aan die een kant verhoog dit die betroubaarheid in terme van data-oordrag, aan die ander kant bemoeilik dit die werk van inligtingsekuriteitstelsels. Selfs met voldoende werkverrigting van die ontleders om 'n toegewyde kanaal met tonnels te verwerk, blyk die probleem onoplosbaar te wees, aangesien sommige van die gebruikersessiepakkies oor 'n ander kanaal versend word. Verder, as hulle steeds probeer om te sorg vir die integriteit van sessies in sommige infrastruktuur, dan kan multisessie protokolle heeltemal verskillende maniere loop;
- balansering in die teenwoordigheid van MPLS, VLAN, individuele toerustingetikette, ens. Nie regtig tonnels nie, maar nietemin, toerusting met basiese funksionaliteit kan hierdie verkeer nie as IP en balanseer deur MAC-adresse verstaan nie, wat weereens die eenvormigheid van balansering of sessie-integriteit skend.
Die netwerkpakketmakelaar ontleed die buitenste kopskrifte en volg die wysers opeenvolgend tot by die geneste IP-kopskrif en balanseer reeds daarop. As gevolg hiervan is daar aansienlik meer strome (onderskeidelik kan dit meer eweredig en op 'n groter aantal platforms ongebalanseerd wees), en die DPI-stelsel ontvang alle sessiepakkies en alle gepaardgaande sessies van multisessie-protokolle.
2. Verkeerswysiging.
Een van die wydste funksies in terme van sy vermoëns, die aantal subfunksies en opsies vir hul gebruik is baie:
- die verwydering van loonvrag, in welke geval slegs pakkieopskrifte na die ontleder oorgedra word. Dit is relevant vir ontledingsinstrumente of vir verkeerstipes waarin die inhoud van die pakkies óf nie 'n rol speel nie óf nie ontleed kan word nie. Byvoorbeeld, vir geënkripteerde verkeer kan parametriese uitruildata (wie, met wie, wanneer en hoeveel) van belang wees, terwyl loonvrag eintlik vullis is wat die kanaal en rekenaarhulpbronne van die ontleder beset. Variasies is moontlik wanneer die loonvrag afgesny word vanaf 'n gegewe offset - dit bied addisionele ruimte vir analise-instrumente;
- onttunnel, naamlik die verwydering van kopstukke wat tonnels aanwys en identifiseer. Die doel is om die las op analise-instrumente te verminder en hul doeltreffendheid te verhoog. Ontlonting kan gebaseer word op 'n vaste offset of dinamiese kop analise en offset bepaling vir elke pakkie;
- verwydering van sommige pakkieopskrifte: MPLS-etikette, VLAN, spesifieke velde van derdeparty-toerusting;
- maskering van deel van die opskrifte, byvoorbeeld, maskering van IP-adresse om verkeers-anonimisering te verseker;
- byvoeging van diensinligting by die pakkie: tydstempels, invoerpoort, verkeersklasetikette, ens.
3. Deduplisering – skoonmaak van herhalende verkeerspakkies wat na analise-instrumente oorgedra word. Duplikaatpakkette kom meestal voor as gevolg van die eienaardighede van verbinding met die infrastruktuur - verkeer kan deur verskeie ontledingspunte gaan en van elk van hulle weerspieël word. Daar is ook 'n herstuur van onvolledige TCP-pakkies, maar as daar baie van hulle is, dan is dit meer vrae vir die monitering van die kwaliteit van die netwerk, en nie vir inligtingsekuriteit daarin nie.
4. Gevorderde filterfunksies - van soek na spesifieke waardes teen 'n gegewe afset tot handtekeninganalise deur die hele pakket.
5. NetFlow/IPFIX generasie – versameling van 'n wye reeks statistieke oor verbygaande verkeer en die oordrag daarvan na analise-instrumente.
6. Dekripsie van SSL-verkeer, werk mits die sertifikaat en sleutels eers in die netwerkpakketmakelaar gelaai word. Nietemin laat dit jou toe om die analise-instrumente aansienlik af te laai.
Daar is baie meer funksies, nuttig en bemarking, maar die belangrikste is miskien gelys.
Die ontwikkeling van opsporingstelsels (indringings, DDOS-aanvalle) in stelsels vir die voorkoming daarvan, sowel as die bekendstelling van aktiewe DPI-gereedskap, het 'n verandering in die oorskakelingskema vereis van passief (deur TAP- of SPAN-poorte) na aktief ("in breek" ). Hierdie omstandigheid het die vereistes vir betroubaarheid verhoog (omdat 'n mislukking in hierdie geval lei tot 'n ontwrigting van die hele netwerk, en nie net tot 'n verlies aan beheer oor inligtingsekuriteit nie) en gelei het tot die vervanging van optiese koppelaars met optiese omleidings (ten einde los die probleem van die afhanklikheid van die netwerk se prestasie op die prestasie van stelselinligtingsekuriteit op), maar die hooffunksies en vereistes daarvoor het dieselfde gebly.
Ons het DS Integrity Network Packet Brokers ontwikkel met 100G, 40G en 10G koppelvlakke van ontwerp en stroombane tot ingebedde sagteware. Boonop, anders as ander pakkiemakelaars, word die modifikasie- en balanseringsfunksies vir geneste tonnelopskrifte in ons hardeware geïmplementeer, teen volle poortspoed.
Bron: will.com