İnformasiya təhlükəsizliyi telekommunikasiyadan özünəməxsus xüsusiyyətləri və öz avadanlığı olan müstəqil sənayeyə çevrilmişdir. Ancaq telekommunikasiya və infobezin qovşağında dayanan az tanınan cihazlar sinfi var - şəbəkə paket brokerləri (Şəbəkə Paket Brokeri), onlar həmçinin yük balanslaşdırıcıları, ixtisaslaşmış / monitorinq açarları, trafik toplayıcıları, Təhlükəsizlik Çatdırılma Platforması, Şəbəkə Görünüşü və s. Və biz, bu cür cihazların bir rus tərtibatçısı və istehsalçısı olaraq, həqiqətən sizə onlar haqqında daha çox məlumat vermək istəyirik.
Həll edilməli olan sahə və vəzifələr
Şəbəkə paket brokerləri informasiya təhlükəsizliyi sistemlərində ən çox istifadəni tapmış ixtisaslaşmış cihazlardır. Beləliklə, cihaz sinfi nisbətən yenidir və ümumi şəbəkə infrastrukturunda açarlar, marşrutlaşdırıcılar və s. ilə müqayisədə azdır. Bu tip cihazların hazırlanmasında qabaqcıl Amerika şirkəti Gigamon olmuşdur. Hal-hazırda, bu bazarda əhəmiyyətli dərəcədə daha çox oyunçu var (tanınmış test sistemləri istehsalçısı - IXIA-nın oxşar həlləri də daxil olmaqla), lakin bu cür cihazların mövcudluğu barədə hələ də peşəkarların dar bir dairəsi bilir. Yuxarıda qeyd edildiyi kimi, hətta terminologiya ilə də birmənalı əminlik yoxdur: adlar "şəbəkə şəffaflığı sistemləri"ndən sadə "balanslaşdırıcılara" qədər dəyişir.
Şəbəkə paket brokerlərini inkişaf etdirərkən, funksionallığın inkişafı və laboratoriyalarda / sınaq zonalarında sınaqların istiqamətlərini təhlil etməklə yanaşı, eyni zamanda potensial istehlakçılara bu sinif avadanlıqların mövcudluğunu izah etmək lazım olduğu ilə qarşılaşdıq. , çünki hər kəs bu barədə bilmir.
Hətta 15-20 il əvvəl şəbəkədə trafik az idi və bu, əsasən əhəmiyyətsiz məlumatlar idi. Amma praktiki olaraq təkrar edir : İnternetə qoşulma sürəti hər il 50% artır. Trafikin həcmi də durmadan artır (qrafik Cisco-dan 2017-ci il proqnozunu göstərir, mənbə Cisco Visual Networking Index: Forecast and Trends, 2017–2022):
Sürətlə yanaşı, məlumatların dövriyyəsinin əhəmiyyəti (bu həm kommersiya sirri, həm də bədnam şəxsi məlumatlardır) və infrastrukturun ümumi göstəriciləri artır.
Müvafiq olaraq, informasiya təhlükəsizliyi sənayesi yaranmışdır. Sənaye buna DDOS hücumlarının qarşısının alınması sistemlərindən tutmuş, IDS, IPS, DLP, NBA, SIEM, Antimailware və s. Tipik olaraq, bu alətlərin hər biri server platformasında quraşdırılmış proqram təminatıdır. Üstəlik, hər bir proqram (analiz aləti) öz server platformasında quraşdırılır: proqram istehsalçıları fərqlidir və L7-də təhlil üçün çoxlu hesablama resursları tələb olunur.
İnformasiya təhlükəsizliyi sistemini qurarkən bir sıra əsas vəzifələri həll etmək lazımdır:
- trafiki infrastrukturdan analiz sistemlərinə necə ötürmək olar? (əvvəlcə müasir infrastrukturda bunun üçün hazırlanmış SPAN portları nə kəmiyyət, nə də performans baxımından kifayət deyil)
- müxtəlif analiz sistemləri arasında trafiki necə paylamaq olar?
- Analizatorun bir nümunəsinin ona daxil olan bütün trafik həcmini emal etmək üçün kifayət qədər performansı olmadıqda sistemləri necə ölçmək olar?
- 40G/100G interfeyslərini (və yaxın gələcəkdə də 200G/400G) necə izləmək olar, çünki analiz alətləri hazırda yalnız 1G/10G/25G interfeyslərini dəstəkləyir?
Və aşağıdakı əlaqəli vəzifələr:
- emal edilməsinə ehtiyac olmayan, lakin analiz alətlərinə daxil olan və onların resurslarını istehlak edən uyğunsuz trafiki necə minimuma endirmək olar?
- Təhlil üçün hazırlanması ya resurs tələb edən və ya ümumiyyətlə həyata keçirilə bilməyən avadanlıq xidmət nişanları olan kapsullaşdırılmış paketləri və paketləri necə emal etmək olar?
- təhlükəsizlik siyasəti ilə tənzimlənməyən trafik hissəsini təhlildən necə çıxarmaq olar (məsələn, başın hərəkəti).
Hər kəsin bildiyi kimi, tələb təklif yaradır, bu ehtiyaclara cavab olaraq şəbəkə paket brokerləri inkişaf etməyə başladı.
Şəbəkə Paket Brokerlərinin Ümumi Təsviri
Şəbəkə paket brokerləri paket səviyyəsində işləyirlər və bu baxımdan adi kommutatorlara bənzəyirlər. Kommutatorlardan əsas fərq ondan ibarətdir ki, şəbəkə paket brokerlərində trafikin paylanması və yığılması qaydaları tamamilə parametrlərlə müəyyən edilir. Şəbəkə paket brokerlərində yönləndirmə cədvəllərinin (MAC cədvəlləri) qurulması və protokolların digər açarlarla (məsələn, STP) mübadiləsi standartları yoxdur və buna görə də onlarda mümkün parametrlərin və başa düşülən sahələrin diapazonu daha genişdir. Broker çıxış yükünün balanslaşdırılması funksiyası ilə bir və ya bir neçə giriş portundan verilən çıxış portlarına trafiki bərabər şəkildə paylaya bilər. Trafikin surətini çıxarmaq, filtrləmək, təsnif etmək, təkmilləşdirmək və dəyişdirmək üçün qaydalar təyin edə bilərsiniz. Bu qaydalar şəbəkə paketi brokerinin müxtəlif giriş port qruplarına tətbiq oluna bilər, həmçinin cihazın özündə ardıcıl olaraq bir-birinin ardınca tətbiq oluna bilər. Paket brokerinin mühüm üstünlüyü, trafiki tam axın sürətində emal etmək və seansların bütövlüyünü qorumaq qabiliyyətidir (eyni tipli bir neçə DPI sisteminə trafikin balanslaşdırılması halında).
Sessiyaların bütövlüyünü qorumaq, nəqliyyat qatının (TCP / UDP / SCTP) sessiyasının bütün paketlərini bir porta köçürməkdir. Bu vacibdir, çünki DPI sistemləri (adətən paket brokerinin çıxış portuna qoşulmuş serverdə işləyən proqram təminatı) tətbiq səviyyəsində trafikin məzmununu təhlil edir və bir proqram tərəfindən göndərilən/qəbul edilən bütün paketlər eyni analizator instansiyasına getməlidir. . Bir sessiyanın paketləri itirilərsə və ya müxtəlif DPI cihazları arasında paylanırsa, onda hər bir fərdi DPI cihazı tam mətni deyil, ondan ayrı-ayrı sözləri oxumağa bənzər bir vəziyyətdə olacaq. Və çox güman ki, mətn başa düşməyəcək.
Beləliklə, informasiya təhlükəsizliyi sistemlərinə diqqət yetirərək, şəbəkə paket brokerləri DPI proqram sistemlərini yüksəksürətli telekommunikasiya şəbəkələrinə qoşmağa və onlara düşən yükü azaltmağa kömək edən funksionallığa malikdirlər: onlar sonrakı emalın sadələşdirilməsi üçün trafiki əvvəlcədən filtrləyir, təsnifləşdirir və hazırlayır.
Bundan əlavə, şəbəkə paket brokerləri geniş statistik məlumat təqdim etdiklərindən və tez-tez şəbəkənin müxtəlif nöqtələrinə qoşulduqlarından, şəbəkə infrastrukturunun özünün sağlamlıq problemlərinin diaqnostikasında da öz yerlərini tapırlar.
Şəbəkə Paket Brokerlərinin Əsas Funksiyaları
"Xüsusi / monitorinq açarları" adı əsas məqsəddən yaranmışdır: infrastrukturdan trafik toplamaq (adətən passiv optik TAP kranlarından və/və ya SPAN portlarından istifadə etməklə) və onu analiz alətləri arasında paylamaq. Trafik müxtəlif tipli sistemlər arasında əks olunur (təkrarlanır) və eyni tipli sistemlər arasında balanslaşdırılır. Əsas funksiyalara adətən L4 (MAC, IP, TCP / UDP portu və s.) qədər sahələr üzrə filtrləmə və bir neçə yüngül yüklənmiş kanalın birinə (məsələn, bir DPI sistemində emal üçün) yığılması daxildir.
Bu funksionallıq əsas vəzifənin həllini təmin edir - DPI sistemlərini şəbəkə infrastrukturuna qoşmaq. Əsas funksionallıqla məhdudlaşan müxtəlif istehsalçıların brokerləri 32U üçün 100 1G interfeysin işlənməsini təmin edir (daha çox interfeys fiziki olaraq 1U ön panelinə uyğun gəlmir). Bununla belə, onlar analiz alətlərinə yükü azaltmağa imkan vermirlər və mürəkkəb infrastruktur üçün onlar hətta əsas funksiya üçün tələbləri təmin edə bilmirlər: bir neçə tunel üzərində paylanmış seans (və ya MPLS etiketləri ilə təchiz edilmiş) müxtəlif vəziyyətlər üçün balanssız ola bilər. analizator və ümumiyyətlə analizdən çıxır.
40/100G interfeysləri əlavə etməklə və nəticədə performansı yaxşılaşdırmaqla yanaşı, şəbəkə paketi brokerləri prinsipial olaraq yeni funksiyaların təmin edilməsi baxımından aktiv şəkildə inkişaf edir: iç içə keçən tunel başlıqlarında balanslaşdırmadan tutmuş trafikin şifrəsinin açılmasına qədər. Təəssüf ki, bu cür modellər terabitlərdəki performansı ilə öyünə bilməz, lakin onlar həqiqətən yüksək keyfiyyətli və texniki cəhətdən "gözəl" informasiya təhlükəsizliyi sistemi qurmağa imkan verir ki, burada hər bir analiz vasitəsi yalnız ehtiyac duyduğu məlumatları ən uyğun formada almağa zəmanət verir. təhlil üçün.
Şəbəkə paket brokerlərinin təkmil funksiyaları
1. Yuxarıda göstərilib tunelli trafikdə iç içə başlıq balansı.
Niyə vacibdir? Birlikdə və ya ayrı-ayrılıqda kritik ola biləcək 3 aspekti nəzərdən keçirin:
- az sayda tunelin mövcudluğunda vahid balansın təmin edilməsi. İnformasiya təhlükəsizliyi sistemlərinin qoşulma nöqtəsində cəmi 2 tunel olduğu halda, sessiyanı davam etdirərkən onları 3 server platformasında xarici başlıqlarla balanslaşdırmaq mümkün olmayacaq. Eyni zamanda, şəbəkədə trafik qeyri-bərabər ötürülür və hər bir tunelin ayrı bir emal müəssisəsinə istiqaməti sonuncunun həddindən artıq işləməsini tələb edəcəkdir;
- paketləri müxtəlif tunellərdə bitən çoxsessiyalı protokolların (məsələn, FTP və VoIP) sessiyalarının və axınlarının bütövlüyünü təmin etmək. Şəbəkə infrastrukturunun mürəkkəbliyi durmadan artır: artıqlıq, virtuallaşdırma, idarəetmənin sadələşdirilməsi və s. Bu, bir tərəfdən məlumatların ötürülməsi baxımından etibarlılığı artırır, digər tərəfdən isə informasiya təhlükəsizliyi sistemlərinin işini çətinləşdirir. Tunellərlə xüsusi kanalı emal etmək üçün analizatorların kifayət qədər performansı olsa belə, problem həll edilə bilməz, çünki istifadəçi sessiya paketlərinin bir hissəsi başqa bir kanal üzərindən ötürülür. Üstəlik, əgər onlar hələ də bəzi infrastrukturlarda sessiyaların bütövlüyünə diqqət yetirməyə çalışırlarsa, o zaman çoxsessiyalı protokollar tamamilə fərqli yollarla gedə bilər;
- MPLS, VLAN, fərdi avadanlıq etiketləri və s. iştirakı ilə balanslaşdırma. Həqiqətən tunellər deyil, lakin buna baxmayaraq, əsas funksionallığı olan avadanlıq bu trafiki IP kimi deyil və MAC ünvanları ilə balanslaşdıraraq, balanslaşdırmanın vahidliyini və ya sessiyanın bütövlüyünü bir daha pozaraq başa düşə bilər.
Şəbəkə paketi brokeri xarici başlıqları təhlil edir və ardıcıl olaraq iç içə qoyulmuş IP başlığına qədər göstəriciləri izləyir və artıq onun üzərində balans saxlayır. Nəticədə, əhəmiyyətli dərəcədə daha çox axın var (müvafiq olaraq, o, daha bərabər və daha çox sayda platformada balanslaşdırıla bilər) və DPI sistemi bütün sessiya paketlərini və multisessiya protokollarının bütün əlaqəli sessiyalarını qəbul edir.
2. Trafik modifikasiyası.
İmkanları baxımından ən geniş funksiyalardan biri, alt funksiyaların sayı və onlardan istifadə variantları çoxdur:
- faydalı yükün çıxarılması, bu halda yalnız paket başlıqları təhlilçiyə ötürülür. Bu, analiz alətləri və ya paketlərin məzmununun rol oynamadığı və ya təhlil edilə bilməyən trafik növləri üçün uyğundur. Məsələn, şifrələnmiş trafik üçün parametrik mübadilə məlumatları (kim, kiminlə, nə vaxt və nə qədər) maraq doğura bilər, faydalı yük isə əslində analizatorun kanalını və hesablama resurslarını tutan zibildir. Verilmiş ofsetdən başlayaraq faydalı yük kəsildikdə dəyişikliklər mümkündür - bu, analiz alətləri üçün əlavə imkanlar təmin edir;
- tunellərin təmizlənməsi, yəni tunelləri təyin edən və müəyyən edən başlıqların çıxarılması. Məqsəd analiz alətlərinə yükü azaltmaq və onların səmərəliliyini artırmaqdır. Detunneling sabit ofset və ya dinamik başlıq təhlilinə və hər bir paket üçün ofsetin təyininə əsaslana bilər;
- bəzi paket başlıqlarının çıxarılması: MPLS teqləri, VLAN, üçüncü tərəf avadanlıqlarının xüsusi sahələri;
- başlıqların bir hissəsini maskalamaq, məsələn, trafikin anonimləşdirilməsini təmin etmək üçün IP ünvanlarının maskalanması;
- paketə xidmət məlumatının əlavə edilməsi: vaxt ştampları, giriş portu, trafik sinfi etiketləri və s.
3. Təkrarlanma – analiz alətlərinə ötürülən təkrarlanan trafik paketlərinin təmizlənməsi. Dublikat paketlər ən çox infrastruktura qoşulma xüsusiyyətlərinə görə baş verir - trafik bir neçə analiz nöqtəsindən keçə və onların hər birindən əks oluna bilər. Natamam TCP paketlərinin yenidən göndərilməsi də var, lakin onların çoxluğu varsa, bunlar şəbəkənin keyfiyyətinin monitorinqi üçün daha çox suallardır, nəinki informasiya təhlükəsizliyi üçün.
4. Qabaqcıl filtrləmə xüsusiyyətləri - müəyyən bir ofsetdə xüsusi dəyərləri axtarmaqdan bütün paket boyunca imza təhlilinə qədər.
5. NetFlow/IPFIX nəsli – keçən trafik və onun təhlil alətlərinə ötürülməsi ilə bağlı geniş statistik məlumatların toplanması.
6. SSL trafikinin şifrəsinin açılması, sertifikat və açarların əvvəlcə şəbəkə paketi brokerinə yüklənməsi şərti ilə işləyir. Buna baxmayaraq, bu, analiz alətlərini əhəmiyyətli dərəcədə boşaltmağa imkan verir.
Faydalı və marketinq baxımından daha çox funksiyalar var, lakin əsas olanlar, bəlkə də, sadalanır.
Aşkarlama sistemlərinin (intrusionlar, DDOS hücumları) onların qarşısının alınması üçün sistemlərə inkişafı, eləcə də aktiv DPI alətlərinin tətbiqi keçid sxeminin passivdən (TAP və ya SPAN portları vasitəsilə) aktivə (“fasilə”) dəyişdirilməsini tələb edirdi. ). Bu vəziyyət etibarlılığa olan tələbləri artırdı (çünki bu vəziyyətdə nasazlıq bütün şəbəkənin pozulmasına səbəb olur, nəinki informasiya təhlükəsizliyinə nəzarətin itirilməsinə səbəb olur) və optik bağlayıcıların optik bypasslarla əvəz edilməsinə səbəb oldu (məqsədi ilə şəbəkənin performansının sistemlərin məlumat təhlükəsizliyinin performansından asılılığı problemini həll edin), lakin əsas funksionallıq və ona olan tələblər eyni qaldı.
Biz dizayn və sxemlərdən tutmuş quraşdırılmış proqram təminatına qədər 100G, 40G və 10G interfeysləri olan DS Integrity Network Paket Brokerlərini inkişaf etdirmişik. Üstəlik, digər paket brokerlərindən fərqli olaraq, daxili tunel başlıqları üçün modifikasiya və balanslaşdırma funksiyaları aparatımızda tam port sürətində həyata keçirilir.
Mənbə: www.habr.com