Інфармацыйная бяспека аддзялілася ад тэлекамунікацый у самастойную галіну са сваёй спецыфікай і сваім абсталяваннем. Але ёсць малавядомы клас прылад, які стаіць на стыку тэлекома і інфабезу - брокеры сеткавых пакетаў (Network Packet Broker), яны ж балансавальнікі нагрузкі, спецыялізаваныя/маніторынгавыя камутатары, агрэгатары трафіку, Security Delivery Platform, Network Visibility і гэтак далей. І нам, як расійскаму распрацоўніку і вытворцу такіх прылад, вельмі хочацца расказаць пра іх падрабязней.
Вобласць ужывання і развязальныя задачы
Брокеры сеткавых пакетаў - спецыялізаваныя прылады, якія знайшлі найбольшую прымяненне ў сістэмах інфармацыйнай бяспекі. Як такі клас прылад адносна новы і малалікі ў агульнапрынятай сеткавай інфраструктуры ў параўнанні з камутатарамі, маршрутызатарамі і г.д. Піянерам у распрацоўцы дадзенага тыпу прылад была амерыканская кампанія Gigamon. У цяперашні час гульцоў на гэтым рынку стала значна больш (у тым ліку падобныя рашэнні ёсць у вядомага вытворцы тэставых комплексаў – кампаніі IXIA), але аб існаванні такіх прылад па-ранейшаму ведае толькі вузкае кола прафесіяналаў. Як было адзначана вышэй, нават з тэрміналогіяй няма адназначнай дакладнасці: назвы вар'іруюцца ад "сістэмы забеспячэння празрыстасці сеткі" да простага "балансеры".
Распрацоўваючы брокеры сеткавых пакетаў, мы сутыкнуліся з тым, што, акрамя аналізу напрамкаў развіцця функцыяналу і выпрабаванняў у лабараторыях / тэст-зонах, неабходна паралельна тлумачыць патэнцыйным спажыўцам аб існаванні такога класа абсталявання, паколькі не ўсе ведаюць аб ім.
Яшчэ 15-20 гадоў таму трафіку ў сетцы было мала, і гэта былі пераважна малаважныя дадзеныя. Але практычна паўтарае : хуткасць інтэрнэт-злучэння павялічваецца штогод на 50%. Аб'ём трафіку таксама няўхільна расце (на графіцы прадстаўлены прагноз 2017 года ад кампаніі Cisco, крыніца Cisco Visual Networking Index: Forecast and Trends, 2017-2022):
Разам з хуткасцю ўзрастае важнасць цыркулявалай інфармацыі (гэта і камерцыйная таямніца, і праславутыя персанальныя дадзеныя) і ў цэлым працаздольнасць інфраструктуры.
Адпаведна, з'явілася і галіна інфармацыйнай бяспекі. Прамысловасць адгукнулася на гэта з'яўленнем цэлага спектру прылад глыбокага аналізу трафіку (DPI): ад сістэм прадухілення DDOS-нападаў да сістэм кіравання падзеямі інфармацыйнай бяспекі, уключаючы IDS, IPS, DLP, NBA, SIEM, Antimailware і гэтак далей. Звычайна кожны з гэтых сродкаў - гэта праграмнае забеспячэнне, якое ўсталёўваецца на серверную платформу. Прычым кожная праграма (сродак аналізу) усталёўваецца на сваю серверную платформу: вытворцы ПА розныя, ды і вылічальных рэсурсаў для аналізу на L7 патрабуецца шмат.
Пры пабудове сістэмы інфармацыйнай бяспекі патрабуецца вырашыць шэраг асноўных задач:
- якім чынам перадаваць трафік з інфраструктуры на сістэмы аналізу? (першапачаткова распрацаваных для гэтага SPAN-партоў у сучаснай інфраструктуры нядосыць ні па колькасці, ні па прадукцыйнасці)
- якім чынам размяркоўваць трафік паміж рознымі сістэмамі аналізу?
- якім чынам маштабаваць сістэмы пры недахопе прадукцыйнасці аднаго асобніка аналізатара для апрацоўкі ўсяго аб'ёму трафіку, які паступае ў яго?
- якім чынам маніторыць інтэрфейсы 40G/100G (а ў недалёкай будучыні і 200G/400G), бо сродкі аналізу ў наш час падтрымліваюць толькі інтэрфейсы 1G/10G/25G?
І наступныя спадарожныя задачы:
- якім чынам мінімізаваць нямэтавы трафік, які не мае патрэбы ў апрацоўцы, але трапляе на сродкі аналізу і расходуе іх рэсурсы?
- якім чынам апрацоўваць інкапсуляваць пакеты і пакеты са службовымі пазнакамі абсталявання, падрыхтоўка якіх для аналізу аказваецца або рэсурсаёмістай, або нерэалізуемай зусім?
- якім чынам выключыць з аналізу частку трафіку, які не трапляе пад рэгуляванне палітыкай бяспекі (напрыклад, трафік кіраўніка).
Як усім вядома, попыт нараджае прапанову, у адказ на гэтыя патрэбы і пачалі развівацца брокеры сеткавых пакетаў.
Агульнае апісанне брокераў сеткавых пакетаў
Брокеры сеткавых пакетаў працуюць на ўзроўні пакетаў, і ў гэтым яны падобныя на звычайныя камутатары. Галоўнае адрозненне ад камутатараў складаецца ў тым, што правілы размеркавання і агрэгацыі трафіку ў брокерах сеткавых пакетаў цалкам вызначаюцца наладамі. У брокерах сеткавых пакетаў няма стандартаў пабудовы табліц перасылкі (MAC-табліц) і пратаколаў абмену з іншымі камутатарамі (тыпу STP), а таму дыяпазон магчымых налад і якія разумеюцца палёў у іх значна шырэй. Брокер можа раўнамерна размеркаваць трафік з аднаго або некалькіх уваходных партоў на зададзены дыяпазон выходных партоў з функцыяй раўнамернай нагрузкі па выхадзе. Можна задаць правілы на капіраванне, фільтраванне, класіфікацыю, дэдуплікацыю і мадыфікацыю трафіку. Дадзеныя правілы можна ўжываць да розных груп уваходных партоў брокера сеткавых пакетаў, а таксама ўжываць паслядоўна сябар за сябрам у самой прыладзе. Важнай добрай якасцю пакетнага брокера з'яўляецца магчымасць апрацоўкі трафіку на поўнай хуткасці струменя і захаванне цэласнасці сесій (у выпадку балансавання трафіку на некалькі аднатыпных сістэм DPI).
Захаванне цэласнасці сесій заключаецца ў перадачы ўсіх пакетаў сесіі транспартнага ўзроўню (TCP/UDP/SCTP) у адзін порт. Гэта важна, бо сістэмы DPI (звычайна гэтае праграмнае забеспячэнне, запушчанае на серверы, падлучаным да выходнага порта пакетнага брокера) аналізуюць змесціва трафіку на ўзроўні прыкладанняў, і ўсе пакеты, якія адпраўляюцца/прыманыя адным прыкладаннем, павінны паступаць на адзін і той жа асобнік аналізатара . Калі пакеты адной сесіі губляюцца або размяркоўваюцца паміж рознымі прыладамі DPI, тая кожная асобная прылада DPI апынецца ў сітуацыі, аналагічнай чытанню не суцэльнага тэксту, а асобных слоў з яго. І, хутчэй за ўсё, тэкст не зразумее.
Такім чынам, быўшы арыентаванымі на сістэмы інфармацыйнай бяспекі, брокеры сеткавых пакетаў маюць функцыянал, які дапамагае падлучыць да высакахуткасных тэлекамунікацыйных сетак праграмныя комплексы DPI і зменшыць нагрузку на іх: ажыццяўляюць папярэднюю фільтраванне, класіфікацыю і падрыхтоўку трафіку для спрашчэння наступнай апрацоўкі.
Акрамя таго, паколькі брокеры сеткавых пакетаў выдаюць шырокі пералік статыстыкі і часта аказваюцца падлучаныя да розных кропак сеткі, то і пры дыягностыцы праблем працаздольнасці самай сеткавай інфраструктуры яны таксама знаходзяць сваё месца.
Базавыя функцыі брокераў сеткавых пакетаў
Назва "спецыялізаваныя / маніторынгавыя камутатары" ўзнікла ад базавага прызначэння: сабраць трафік з інфраструктуры (звычайна пры дапамозе пасіўных аптычных адгаворвальнікаў TAP і / або SPAN-партоў) і размеркаваць паміж сродкамі аналізу. Паміж рознатыпнымі сістэмамі трафік люструецца (дублюецца), паміж аднатыпнымі - балансуецца. У базавыя ж функцыі звычайна ўваходзяць фільтраванне па палях да L4 (MAC, IP, TCP/UDP-порт і г.д.) і агрэгацыя некалькіх слабанагружаных каналаў у адзін (напрыклад, для апрацоўкі на адной сістэме DPI).
Гэты функцыянал забяспечвае рашэнне базавай задачы – падлучэнне сістэм DPI да сеткавай інфраструктуры. Брокеры розных вытворцаў, якія абмяжоўваюцца базавым функцыяналам, забяспечваюць апрацоўку да 32 інтэрфейсаў 100G на 1U (больш інтэрфейсаў фізічна не змяшчаецца на пярэднюю панэль 1U). Аднак яны не дазваляюць зменшыць нагрузку на сродкі аналізу, а для складанай інфраструктуры не могуць забяспечыць нават патрабаванні да базавай функцыі: сесія, размеркаваная па некалькіх тунэлям (ці забяспечаная MPLS-пазнакамі) можа разбалансавацца на розныя асобнікі аналізатара і ў цэлым выпасці з аналізу.
Апроч дадання інтэрфейсаў 40/100G і, як следства, падвышэнні прадукцыйнасці, брокеры сеткавых пакетаў актыўна развіваюцца ў часткі падавання прынцыпова новых магчымасцяў: ад балансавання па ўкладзеных загалоўках тунэляў да дэшыфрацыі трафіку. Нажаль, такія мадэлі не могуць пахваліцца прадукцыйнасцю ў тэрабіты, затое дазваляюць пабудаваць насамрэч якасную і тэхнічна «прыгожую» сістэму інфармацыйнай бяспекі, у якой кожны сродак аналізу гарантавана атрымлівае толькі неабходную яму інфармацыю ў найболей падыходным для аналізу выглядзе.
Пашыраныя функцыі брокераў сеткавых пакетаў
1. згаданая вышэй балансіроўка па ўкладзеным загалоўкам у тунэляваным трафіку.
Чаму гэта важна? Разгледзім 3 аспекты, якія могуць быць крытычныя разам ці па асобнасці:
- забеспячэнне раўнамернасці балансавання пры наяўнасці невялікай колькасці тунэляў. У тым выпадку, калі ў кропцы падлучэння сістэм інфармацыйнай бяспекі ўсяго 2 тунэля, тое разбалансаваць іх па вонкавых загалоўках на 3 серверныя платформы з захаваннем сесіі не атрымаецца. Пры гэтым трафік у сетцы перадаецца нераўнамерна, а кірунак кожнага тунэля ў асобны сродак апрацоўкі запатрабуе залішняй прадукцыйнасці апошняга;
- забеспячэнне цэласнасці сесій і патокаў мультысесійных пратаколаў (напрыклад, FTP і VoIP), пакеты якіх апынуліся ў розных тунэлях. Складанасць сеткавай інфраструктуры ўвесь час узрастае: рэзерваванне, віртуалізацыя, спрашчэнне адміністравання і гэтак далей. З аднаго боку, гэта падвышае надзейнасць з пункта гледжання перадачы дадзеных, з іншай, абцяжарвае працу сістэм інфармацыйнай бяспекі. Нават пры дастатковай прадукцыйнасці аналізатараў для апрацоўкі вылучанага канала з тунэлямі, праблема апыняецца невырашальнай, бо частка пакетаў карыстацкай сесіі перадаецца па іншым канале. Прычым калі аб цэласнасці сесій у некаторых інфраструктурах яшчэ імкнуцца клапаціцца, то мультысесійныя пратаколы могуць ісці зусім рознымі шляхамі;
- балансіроўка пры наяўнасці MPLS, VLAN, індывідуальных пазнак абсталявання і г.д. Не зусім тунэлі, але тым не менш абсталяванне з базавым функцыяналам можа разумець дадзены трафік не як IP і балансаваць па MAC-адрасах, у чарговы раз парушаючы раўнамернасць балансавання ці цэласнасць сесій.
Брокер сеткавых пакетаў разбірае вонкавыя загалоўкі і паслядоўна праходзіць па паказальніках да самага ўкладзенага IP-загалоўка і балансуе ўжо па ім. Як вынік - патокаў становіцца істотна больш (адпаведна можна разбалансаваць раўнамерней і на большую колькасць платформ), і сістэма DPI атрымлівае ўсе пакеты сесіі і ўсе звязаныя сесіі мультысесійных пратаколаў.
2. Мадыфікацыя трафіку.
Адна з самых шырокіх па сваіх магчымасцях функцый, колькасць падфункцый і варыянтаў іх ужывання мноства:
- выдаленне payload, у такім разе на сродак аналізу перадаюцца толькі загалоўкі пакетаў. Гэта актуальна для сродкаў аналізу або для тыпаў трафіку, у якіх змесціва пакетаў ці не гуляе ролі, ці не паддаецца аналізу. Напрыклад, для шыфраванага трафіку могуць быць цікавыя параметрычныя дадзеныя абмену (хто, з кім, калі і колькі), а payload фактычна з'яўляецца смеццем, які займае канал і вылічальныя рэсурсы аналізатара. Магчымыя варыяцыі, калі payload абразаецца, пачынальна з зададзенага зрушэння - гэта дае дадатковы прастор сродкам аналізу;
- дэтунэляванне, а менавіта выдаленне загалоўкаў, якія абазначаюць і ідэнтыфікуюць тунэлі. Мэта - зніжэнне нагрузкі на сродкі аналізу і павышэнне іх эфектыўнасці. Дэтунэляванне можа ажыццяўляцца зыходзячы з фіксаванага зрушэння або з дынамічным аналізам загалоўкаў і вызначэннем зрушэння для кожнага пакета;
- выдаленне часткі загалоўкаў пакетаў: MPLS-пазнак, VLAN, спецыфічных палёў іншага абсталявання;
- маскіраванне часткі загалоўкаў, напрыклад, маскіраванне IP-адрасоў для забеспячэння ананімізацыі трафіку;
- даданне ў пакет службовай інфармацыі: пазнакі часу, уваходнага порта, пазнакі класа трафіку і г.д.
3. Дэдуплікацыя - ачыстка ад паўтаральных пакетаў трафіку, які перадаецца на сродкі аналізу. Паўтаральныя пакеты часцей за ўсё ўзнікаюць з-за асаблівасцяў падлучэння да інфраструктуры - трафік можа праходзіць праз некалькі кропак аналізу і люстэркавацца з кожнай з іх. Таксама сустракаецца паўторная адпраўка якія не дайшлі TCP-пакетаў, але калі іх шмат, тое гэта хутчэй пытанні да маніторынгу якасці сеткі, а не да інфармацыйнай бяспекі ў ёй.
4. Пашыраныя функцыі фільтрацыі – ад пошуку канкрэтных значэнняў па зададзеным зрушэнні да сігнатурнага аналізу па ўсім пакеце.
5. Генерацыя NetFlow/IPFIX – збор шырокага пераліку статыстыкі па трафіку, які праходзіць, і яго перадача на сродкі аналізу.
6. Дэшыфрацыя SSL-трафіку, працуе пры ўмове папярэдняй загрузкі сертыфіката і ключоў у брокер сеткавых пакетаў. Тым не менш гэта дазваляе істотна разгрузіць сродкі аналізу.
Ёсць яшчэ мноства функцый, карысных і маркетынгавых, але асноўныя, мабыць, пералічаны.
Развіццё сістэм выяўлення (уварванняў, DDOS-нападаў) у сістэмы іх прадухілення, а таксама ўкараненне актыўных сродкаў DPI запатрабавала змена схемы ўключэння з пасіўнай (праз TAP або SPAN-парты) на актыўную ("у разрыў"). Дадзеная акалічнасць падвысіла патрабаванні да надзейнасці (бо выйсце з ладу ў такім выпадку прыводзіць да парушэння працаздольнасці ўсёй сеткі, а не толькі да страты кантролю над інфармацыйнай бяспекай) і прывяло да замены аптычных адгаворвальнікаў на аптычныя bypass (каб вырашыць праблему залежнасці працаздольнасці сеткі ад працаздольнасці сістэм інфармацыйнай бяспекі), але асноўны функцыянал і патрабаванні да яго засталіся ранейшымі.
Мы распрацавалі Брокеры сеткавых пакетаў DS Integrity з інтэрфейсамі 100G, 40G і 10G ад канструкцыі і схематэхнікі да ўбудаванага праграмнага забеспячэння. Прычым у адрозненне ад іншых пакетных брокераў функцыі мадыфікацыі і балансавання па ўкладзеных загалоўках тунэляў у нас рэалізуюцца апаратна, на поўнай хуткасці партоў.
Крыніца: habr.com