انفصل أمن المعلومات عن الاتصالات السلكية واللاسلكية إلى صناعة مستقلة بخصوصياتها ومعداتها الخاصة. ولكن هناك فئة غير معروفة من الأجهزة التي تقف عند تقاطع الاتصالات و infobez - وسطاء حزم الشبكة (Network Packet Broker) ، فهي أيضًا موازنات تحميل ، ومفاتيح تبديل متخصصة / مراقبة ، ومجمعات حركة المرور ، ومنصة تسليم الأمان ، ورؤية الشبكة ، وما إلى ذلك. ونحن ، بصفتنا مطورًا ومصنعًا روسيًا لمثل هذه الأجهزة ، نريد حقًا إخبارك بالمزيد عنها.
النطاق والمهام المطلوب حلها
وسطاء حزم الشبكة عبارة عن أجهزة متخصصة وجدت أكبر استخدام في أنظمة أمن المعلومات. على هذا النحو ، تعد فئة الجهاز جديدة نسبيًا وقليلة في البنية التحتية للشبكة العامة مقارنة بالمفاتيح وأجهزة التوجيه وما إلى ذلك. وكانت شركة Gigamon الأمريكية الرائدة في تطوير هذا النوع من الأجهزة. يوجد حاليًا عدد أكبر من اللاعبين في هذا السوق (بما في ذلك الحلول المماثلة من الشركة المصنعة المعروفة لأنظمة الاختبار - IXIA) ، ولكن فقط دائرة ضيقة من المحترفين لا تزال تعرف بوجود مثل هذه الأجهزة. كما لوحظ أعلاه ، حتى مع وجود المصطلحات لا يوجد يقين لا لبس فيه: تتراوح الأسماء من "أنظمة شفافية الشبكة" إلى "الموازنات" البسيطة.
أثناء تطوير وسطاء حزم الشبكة ، واجهنا حقيقة أنه بالإضافة إلى تحليل الاتجاهات لتطوير الوظائف والاختبار في المختبرات / مناطق الاختبار ، من الضروري أن نشرح للمستهلكين المحتملين في وقت واحد حول وجود هذه الفئة من المعدات ، حيث لا يعرف الجميع عنها.
حتى قبل 15-20 عامًا ، كان هناك القليل من حركة المرور على الشبكة ، وكانت في الغالب بيانات غير مهمة. لكن يكرر عمليا : سرعة الاتصال بالإنترنت تزداد بنسبة 50٪ سنويًا. يتزايد حجم حركة المرور بشكل مطرد أيضًا (يوضح الرسم البياني توقعات عام 2017 من Cisco ، مصدر Cisco Visual Networking Index: Forecast and Trends ، 2017-2022):
إلى جانب السرعة ، تزداد أهمية تداول المعلومات (هذا سر تجاري وبيانات شخصية سيئة السمعة) والأداء العام للبنية التحتية.
تبعا لذلك ، ظهرت صناعة أمن المعلومات. استجابت الصناعة لهذا من خلال مجموعة كاملة من أجهزة تحليل حركة المرور (DPI) ، من أنظمة منع هجمات DDOS إلى أنظمة إدارة أحداث أمن المعلومات ، بما في ذلك IDS و IPS و DLP و NBA و SIEM و Antimailware وما إلى ذلك. عادةً ما تكون كل أداة من هذه الأدوات عبارة عن برنامج يتم تثبيته على نظام أساسي للخادم. علاوة على ذلك ، يتم تثبيت كل برنامج (أداة تحليل) على منصة الخادم الخاصة به: تختلف الشركات المصنعة للبرامج ، وهناك حاجة إلى الكثير من موارد الحوسبة للتحليل على L7.
عند بناء نظام لأمن المعلومات ، من الضروري حل عدد من المهام الأساسية:
- كيف تنقل حركة المرور من البنية التحتية إلى أنظمة التحليل؟ (منافذ SPAN التي تم تطويرها في الأصل لهذا الغرض في البنية التحتية الحديثة ليست كافية سواء من حيث الكمية أو في الأداء)
- كيفية توزيع حركة المرور بين أنظمة التحليل المختلفة؟
- كيفية قياس الأنظمة عندما لا يكون هناك أداء كافٍ لمثيل واحد من المحلل لمعالجة الحجم الكامل لحركة المرور التي تدخله؟
- كيفية مراقبة واجهات 40G / 100G (وفي المستقبل القريب أيضًا 200G / 400G) ، نظرًا لأن أدوات التحليل تدعم حاليًا واجهات 1G / 10G / 25G فقط؟
والمهام التالية ذات الصلة:
- كيف تقلل من حركة المرور غير الملائمة التي لا تحتاج إلى معالجة ولكنها تصل إلى أدوات التحليل وتستهلك مواردها؟
- كيفية التعامل مع الحزم والحزم المغلفة بعلامات خدمة الأجهزة ، والتي تبين أن إعدادها للتحليل إما كثيف الموارد أو غير قابل للتحقيق على الإطلاق؟
- كيفية استبعاد جزء من حركة المرور التي لا تنظمها سياسة الأمان (على سبيل المثال ، حركة المرور الرئيسية) من التحليل.
كما يعلم الجميع ، فإن الطلب يخلق العرض ، استجابة لهذه الاحتياجات ، بدأ وسطاء حزم الشبكة في التطور.
الوصف العام لوسطاء حزم الشبكات
يعمل وسطاء حزم الشبكة على مستوى الحزمة ، وهم في هذا مشابهون للمفاتيح العادية. يتمثل الاختلاف الرئيسي عن المحولات في أن قواعد توزيع وتجميع حركة المرور في وسطاء حزم الشبكة يتم تحديدها بالكامل من خلال الإعدادات. لا يمتلك وسطاء حزم الشبكة معايير لبناء جداول إعادة التوجيه (جداول MAC) وبروتوكولات التبادل مع محولات أخرى (مثل STP) ، وبالتالي فإن نطاق الإعدادات الممكنة والحقول المفهومة فيها أوسع بكثير. يمكن للوسيط توزيع حركة المرور بالتساوي من واحد أو أكثر من منافذ الإدخال إلى نطاق معين من منافذ الإخراج مع ميزة موازنة حمل الإخراج. يمكنك تعيين قواعد لنسخ حركة المرور وتصفيتها وتصنيفها وإلغاء تكرارها وتعديلها. يمكن تطبيق هذه القواعد على مجموعات مختلفة من منافذ الإدخال لوسيط حزم الشبكة ، بالإضافة إلى تطبيقها بشكل تسلسلي واحدًا تلو الآخر في الجهاز نفسه. من المزايا المهمة لوسيط الحزم القدرة على معالجة حركة المرور بمعدل تدفق كامل والحفاظ على سلامة الجلسات (في حالة موازنة حركة المرور إلى عدة أنظمة DPI من نفس النوع).
الحفاظ على سلامة الجلسات هو نقل جميع حزم جلسة طبقة النقل (TCP / UDP / SCTP) إلى منفذ واحد. هذا مهم لأن أنظمة DPI (عادةً ما تكون البرامج التي تعمل على خادم متصل بمنفذ إخراج وسيط الحزم) تحلل محتوى حركة المرور على مستوى التطبيق ، ويجب أن تصل جميع الحزم المرسلة / المستلمة بواسطة تطبيق واحد إلى نفس مثيل محلل. إذا فقدت حزم جلسة واحدة أو تم توزيعها بين أجهزة DPI مختلفة ، فسيكون كل جهاز DPI فردي في وضع مشابه لقراءة ليس نصًا كاملاً ، بل كلمات فردية منه. وعلى الأرجح لن يفهم النص.
وبالتالي ، نظرًا للتركيز على أنظمة أمن المعلومات ، فإن وسطاء حزم الشبكات لديهم وظائف تساعد على توصيل أنظمة برمجيات DPI بشبكات اتصالات عالية السرعة وتقليل الحمل عليها: يقومون بتصفية حركة المرور مسبقًا وتصنيفها وإعدادها لتبسيط المعالجة اللاحقة.
بالإضافة إلى ذلك ، نظرًا لأن وسطاء حزم الشبكة يقدمون مجموعة واسعة من الإحصائيات وغالبًا ما يكونون مرتبطين بنقاط مختلفة في الشبكة ، فإنهم يجدون أيضًا مكانهم في تشخيص المشكلات الصحية للبنية التحتية للشبكة نفسها.
الوظائف الأساسية لوسطاء حزم الشبكة
نشأ اسم "المفاتيح المخصصة / المراقبة" من الغرض الأساسي: تجميع حركة المرور من البنية التحتية (عادةً باستخدام صنابير TAP البصرية السلبية و / أو منافذ SPAN) وتوزيعها بين أدوات التحليل. حركة المرور معكوسة (مكررة) بين أنظمة من أنواع مختلفة ومتوازنة بين أنظمة من نفس النوع. تتضمن الوظائف الأساسية عادةً التصفية حسب الحقول حتى L4 (MAC ، IP ، منفذ TCP / UDP ، إلخ) وتجميع عدة قنوات محملة بشكل خفيف في واحدة (على سبيل المثال ، للمعالجة على نظام DPI واحد).
توفر هذه الوظيفة حلاً للمهمة الأساسية - توصيل أنظمة DPI بالبنية التحتية للشبكة. يوفر الوسطاء من مختلف الشركات المصنعة ، المقتصرين على الوظائف الأساسية ، معالجة تصل إلى 32 واجهة 100 جيجا لكل وحدة واحدة (المزيد من الواجهات لا تتناسب فعليًا مع اللوحة الأمامية 1U). ومع ذلك ، فهي لا تسمح بتقليل الحمل على أدوات التحليل ، وبالنسبة للبنية التحتية المعقدة ، لا يمكنهم حتى توفير متطلبات الوظيفة الأساسية: يمكن أن تكون الجلسة الموزعة عبر عدة أنفاق (أو مجهزة بعلامات MPLS) غير متوازنة لحالات مختلفة من محلل وتسقط عمومًا من التحليل.
بالإضافة إلى إضافة واجهات 40 / 100G ، ونتيجة لذلك ، تحسين الأداء ، يتطور وسطاء حزم الشبكة بنشاط من حيث توفير ميزات جديدة بشكل أساسي: من الموازنة على رؤوس الأنفاق المتداخلة إلى فك تشفير حركة المرور. لسوء الحظ ، لا يمكن لمثل هذه النماذج التباهي بالأداء في تيرابت ، لكنها تجعل من الممكن بناء نظام أمان معلومات عالي الجودة و "جميل" تقنيًا ، حيث تضمن كل أداة تحليل تلقي المعلومات التي تحتاجها بالشكل الأنسب. للتحليل.
الوظائف المتقدمة لوسطاء حزم الشبكة
1. المذكور أعلاه موازنة رأس متداخلة في حركة المرور النفقية.
لماذا هو مهم؟ ضع في اعتبارك 3 جوانب يمكن أن تكون مهمة معًا أو منفصلة:
- ضمان توازن موحد في وجود عدد قليل من الأنفاق. في حالة وجود نفقين فقط عند نقطة اتصال أنظمة أمن المعلومات ، فلن يكون من الممكن عدم توازنها بواسطة رؤوس خارجية على 2 منصات خادم مع الحفاظ على الجلسة. في الوقت نفسه ، تنتقل حركة المرور في الشبكة بشكل غير متساو ، وسيتطلب اتجاه كل نفق إلى منشأة معالجة منفصلة أداءً مفرطًا لهذا الأخير ؛
- ضمان سلامة الجلسات وتدفقات بروتوكولات الجلسات المتعددة (على سبيل المثال ، FTP و VoIP) ، والتي انتهى بها المطاف في أنفاق مختلفة. يزداد تعقيد البنية التحتية للشبكة باستمرار: التكرار ، والمحاكاة الافتراضية ، وتبسيط الإدارة ، وما إلى ذلك. من ناحية ، يزيد هذا من الموثوقية فيما يتعلق بنقل البيانات ، ومن ناحية أخرى ، فإنه يعقد عمل أنظمة أمن المعلومات. حتى مع الأداء الكافي للمحللين لمعالجة قناة مخصصة مع الأنفاق ، يتبين أن المشكلة غير قابلة للحل ، حيث يتم إرسال بعض حزم جلسة المستخدم عبر قناة أخرى. علاوة على ذلك ، إذا كانوا لا يزالون يحاولون الاهتمام بنزاهة الجلسات في بعض البنى التحتية ، فإن بروتوكولات الجلسات المتعددة يمكن أن تسير بطرق مختلفة تمامًا ؛
- الموازنة في وجود MPLS و VLAN وعلامات المعدات الفردية وما إلى ذلك. ليست أنفاقًا حقًا ، ولكن مع ذلك ، يمكن للمعدات ذات الوظائف الأساسية فهم حركة المرور هذه ليس على أنها IP والتوازن من خلال عناوين MAC ، مما ينتهك مرة أخرى توحيد التوازن أو تكامل الجلسة.
يوزع وسيط حزم الشبكة الرؤوس الخارجية ويتبع بشكل تسلسلي المؤشرات حتى رأس IP المتداخل والأرصدة الموجودة عليه بالفعل. نتيجة لذلك ، هناك تدفقات أكثر بكثير (على التوالي ، يمكن أن تكون غير متوازنة بشكل متساوٍ وعلى عدد أكبر من الأنظمة الأساسية) ، ويستقبل نظام DPI جميع حزم الجلسات وجميع الجلسات المرتبطة ببروتوكولات الجلسات المتعددة.
2. تعديل حركة المرور.
واحدة من أوسع الوظائف من حيث قدراتها ، وعدد الوظائف الفرعية وخيارات استخدامها كثيرة:
- إزالة الحمولة ، وفي هذه الحالة يتم تمرير رؤوس الحزمة فقط إلى المحلل اللغوي. هذا مناسب لأدوات التحليل أو لأنواع حركة المرور التي لا تلعب فيها محتويات الحزم دورًا أو لا يمكن تحليلها. على سبيل المثال ، بالنسبة لحركة المرور المشفرة ، قد تكون بيانات التبادل البارامترية (من ، ومع من ، ومتى ، ومقدارها) ذات أهمية ، في حين أن الحمولة النافعة هي في الواقع القمامة التي تشغل القناة وموارد الحوسبة للمحلل. تكون الاختلافات ممكنة عندما يتم قطع الحمولة بدءًا من تعويض معين - وهذا يوفر نطاقًا إضافيًا لأدوات التحليل ؛
- detunneling ، أي إزالة الرؤوس التي تحدد الأنفاق وتحددها. الهدف هو تقليل الحمل على أدوات التحليل وزيادة كفاءتها. يمكن أن يعتمد فك النفق على إزاحة ثابتة أو تحليل رأسي ديناميكي وتحديد الإزاحة لكل حزمة ؛
- إزالة بعض رؤوس الحزم: علامات MPLS ، VLAN ، حقول محددة لمعدات الطرف الثالث ؛
- إخفاء جزء من الرؤوس ، على سبيل المثال ، إخفاء عناوين IP لضمان إخفاء هوية حركة المرور ؛
- إضافة معلومات الخدمة إلى الحزمة: الطوابع الزمنية ، ومنفذ الإدخال ، وتسميات فئة حركة المرور ، إلخ.
3. إلغاء البيانات المكررة - تنظيف حزم المرور المتكررة المرسلة إلى أدوات التحليل. غالبًا ما تحدث الحزم المكررة بسبب خصائص الاتصال بالبنية التحتية - يمكن أن تمر حركة المرور عبر عدة نقاط تحليل ويمكن عكسها من كل منها. هناك أيضًا إعادة إرسال حزم TCP غير مكتملة ، ولكن إذا كان هناك الكثير منها ، فهذه أسئلة أخرى لمراقبة جودة الشبكة ، وليس لأمن المعلومات فيها.
4. ميزات التصفية المتقدمة - من البحث عن قيم محددة عند تعويض معين إلى تحليل التوقيع في جميع أنحاء الحزمة بأكملها.
5. جيل NetFlow / IPFIX - جمع مجموعة كبيرة من الإحصائيات حول حركة المرور وتحويلها إلى أدوات التحليل.
6. فك تشفير حركة مرور SSL ، يعمل بشرط تحميل الشهادة والمفاتيح أولاً في وسيط حزم الشبكة. ومع ذلك ، فإن هذا يسمح لك بتفريغ أدوات التحليل بشكل كبير.
هناك العديد من الوظائف المفيدة والتسويقية ، ولكن ربما يتم سرد الوظائف الرئيسية.
تطلب تطوير أنظمة الكشف (عمليات الاقتحام وهجمات DDOS) في أنظمة منعها ، بالإضافة إلى إدخال أدوات DPI النشطة ، تغييرًا في مخطط التبديل من المنفعل (عبر منافذ TAP أو SPAN) إلى الوضع النشط ("in break") ). زاد هذا الظرف من متطلبات الموثوقية (لأن الفشل في هذه الحالة يؤدي إلى تعطيل الشبكة بالكامل ، وليس فقط إلى فقدان السيطرة على أمن المعلومات) وأدى إلى استبدال المقرنات الضوئية بتجاوزات بصرية (من أجل حل مشكلة اعتماد أداء الشبكة على أداء أمن معلومات الأنظمة) ، لكن الوظيفة والمتطلبات الرئيسية لها ظلت كما هي.
لقد قمنا بتطوير وسطاء حزم شبكات DS Integrity مع واجهات 100G و 40G و 10G من التصميم والدوائر إلى البرامج المدمجة. علاوة على ذلك ، على عكس وسطاء الحزم الآخرين ، يتم تنفيذ وظائف التعديل والموازنة لرؤوس الأنفاق المتداخلة في أجهزتنا ، بسرعة المنفذ الكاملة.
المصدر: www.habr.com