Съвременни решения за изграждане на системи за информационна сигурност - мрежови пакетни брокери (Network Packet Broker)

Информационната сигурност се отдели от телекомуникациите в самостоятелна индустрия със своя специфика и собствено оборудване. Но има малко известен клас устройства, който стои на кръстовището на телекомуникациите и infobez - брокери на мрежови пакети (Network Packet Broker), те също са балансьори на натоварването, специализирани/наблюдаващи комутатори, агрегатори на трафик, платформа за доставка на сигурност, видимост на мрежата и т.н. И ние, като руски разработчик и производител на такива устройства, наистина искаме да ви разкажем повече за тях.

Обхват и задачи за решаване

Брокерите на мрежови пакети са специализирани устройства, които са намерили най-голямо приложение в системите за информационна сигурност. Като такъв, класът устройства е сравнително нов и малко в общата мрежова инфраструктура в сравнение с комутаторите, рутерите и т.н. Пионер в разработването на този тип устройства е американската компания Gigamon. В момента има значително повече играчи на този пазар (включително подобни решения на известния производител на тестови системи - IXIA), но само тесен кръг от професионалисти все още знае за съществуването на такива устройства. Както беше отбелязано по-горе, дори и с терминологията няма недвусмислена сигурност: имената варират от „системи за прозрачност на мрежата“ до прости „балансиращи“.

Докато разработвахме брокери на мрежови пакети, се сблъскахме с факта, че в допълнение към анализа на посоките за развитие на функционалността и тестването в лаборатории / тестови зони, е необходимо едновременно да обясним на потенциалните потребители за съществуването на този клас оборудване , тъй като не всеки знае за това.

Дори преди 15-20 години имаше малък трафик в мрежата и това бяха предимно маловажни данни. Но Закон на Нилсен практически се повтаря Законът на Мур: Скоростта на интернет връзката се увеличава с 50% годишно. Обемът на трафика също непрекъснато нараства (графиката показва прогнозата за 2017 г. от Cisco, източник Cisco Visual Networking Index: Forecast and Trends, 2017–2022):

Успоредно със скоростта нараства значението на циркулиращата информация (това е както търговска тайна, така и прословутите лични данни) и цялостната производителност на инфраструктурата.

Съответно се появи индустрията за информационна сигурност. Индустрията отговори на това с цял набор от устройства за анализ на трафика (DPI), от системи за предотвратяване на DDOS атаки до системи за управление на събития за информационна сигурност, включително IDS, IPS, DLP, NBA, SIEM, Antimailware и т.н. Обикновено всеки от тези инструменти е софтуер, който е инсталиран на сървърна платформа. Освен това всяка програма (инструмент за анализ) е инсталирана на собствена сървърна платформа: производителите на софтуер са различни и за анализ на L7 са необходими много изчислителни ресурси.

При изграждането на система за информационна сигурност е необходимо да се решат редица основни задачи:

• как да прехвърля трафик от инфраструктура към системи за анализ? (първоначално разработените за това SPAN портове в съвременната инфраструктура не са достатъчни нито като количество, нито като производителност)
• как да разпределя трафика между различни системи за анализ?
• как да мащабирате системи, когато няма достатъчно производителност на един екземпляр на анализатора, за да обработи целия обем трафик, влизащ в него?
• как да наблюдавате 40G/100G интерфейси (и в близко бъдеще също 200G/400G), тъй като инструментите за анализ в момента поддържат само 1G/10G/25G интерфейси?

И следните свързани задачи:

• как да минимизираме неподходящия трафик, който не трябва да се обработва, но стига до инструментите за анализ и консумира техните ресурси?
• как да обработваме капсулирани пакети и пакети с хардуерни сервизни знаци, чиято подготовка за анализ се оказва или ресурсоемка, или изобщо неизпълнима?
• как да изключите от анализа част от трафика, който не е регулиран от политиката за сигурност (например трафик на главата).

Както всеки знае, търсенето създава предлагане, в отговор на тези нужди започнаха да се развиват мрежови брокери на пакети.

Общо описание на брокерите на мрежови пакети

Мрежовите пакетни брокери работят на пакетно ниво и в това са подобни на обикновените комутатори. Основната разлика от комутаторите е, че правилата за разпределение и агрегиране на трафика в мрежовите пакетни брокери се определят изцяло от настройките. Брокерите на мрежови пакети нямат стандарти за изграждане на таблици за препращане (MAC таблици) и протоколи за обмен с други комутатори (като STP), поради което диапазонът от възможни настройки и разбираеми полета в тях е много по-широк. Брокерът може равномерно да разпредели трафика от един или повече входни портове към даден диапазон от изходни портове с функция за балансиране на изходното натоварване. Можете да зададете правила за копиране, филтриране, класифициране, дедупликация и модифициране на трафика. Тези правила могат да се прилагат към различни групи входни портове на мрежовия брокер на пакети, както и да се прилагат последователно едно след друго в самото устройство. Важно предимство на пакетния брокер е способността да обработва трафик при пълна скорост на потока и да запазва целостта на сесиите (в случай на балансиране на трафик към няколко DPI системи от един и същи тип).

Запазването на целостта на сесиите е да се прехвърлят всички пакети от сесията на транспортния слой (TCP / UDP / SCTP) към един порт. Това е важно, защото DPI системите (обикновено софтуер, работещ на сървър, свързан към изходния порт на пакетен брокер) анализират съдържанието на трафика на ниво приложение и всички пакети, изпратени/получени от едно приложение, трябва да пристигнат в едно и също копие на анализатор . Ако пакетите от една сесия се загубят или разпределят между различни DPI устройства, тогава всяко отделно DPI устройство ще бъде в ситуация, аналогична на четене не на цял текст, а на отделни думи от него. И най-вероятно текстът няма да бъде разбран.

По този начин, фокусирани върху системите за информационна сигурност, брокерите на мрежови пакети имат функционалност, която помага за свързването на DPI софтуерни системи към високоскоростни телекомуникационни мрежи и намаляване на натоварването върху тях: те предварително филтрират, класифицират и подготвят трафика, за да опростят последващата обработка.

В допълнение, тъй като брокерите на мрежови пакети предоставят широк набор от статистически данни и често са свързани с различни точки в мрежата, те също намират своето място при диагностицирането на здравословни проблеми на самата мрежова инфраструктура.

Основни функции на мрежовите пакетни брокери

Името „специализирани/мониторингови комутатори“ произтича от основната цел: събиране на трафик от инфраструктурата (обикновено чрез използване на пасивни оптични кранове TAP и/или SPAN портове) и разпределянето му между инструментите за анализ. Трафикът се отразява (дублира) между системи от различни типове и се балансира между системи от един и същи тип. Основните функции обикновено включват филтриране по полета до L4 (MAC, IP, TCP / UDP порт и т.н.) и агрегиране на няколко леко натоварени канала в един (например за обработка на една DPI система).

Тази функционалност предоставя решение на основната задача - свързване на DPI системи към мрежовата инфраструктура. Брокери от различни производители, ограничени до основна функционалност, осигуряват обработка на до 32 100G интерфейса на 1U (повече интерфейси не се побират физически на предния панел 1U). Те обаче не позволяват намаляване на натоварването на инструментите за анализ и за сложна инфраструктура те дори не могат да осигурят изискванията за основна функция: сесия, разпределена в няколко тунела (или оборудвана с MPLS тагове), може да бъде небалансирана за различни екземпляри на анализатор и като цяло отпадат от анализа.

В допълнение към добавянето на 40/100G интерфейси и в резултат на това подобряването на производителността, брокерите на мрежови пакети активно се развиват по отношение на предоставянето на фундаментално нови функции: от балансиране на вложени заглавки на тунели до декриптиране на трафика. За съжаление, такива модели не могат да се похвалят с производителност в терабити, но те позволяват да се изгради наистина висококачествена и технически „красива“ система за информационна сигурност, в която всеки инструмент за анализ гарантира, че получава само необходимата информация в най-подходящата форма за анализ.

Разширени функции на брокерите на мрежови пакети

1. споменати по-горе балансиране на вложен хедър в тунелен трафик.

Защо е важно? Обмислете 3 аспекта, които могат да бъдат критични заедно или поотделно:

• осигуряване на равномерно балансиране при наличие на малък брой тунели. В случай, че има само 2 тунела в точката на свързване на системите за информационна сигурност, тогава няма да е възможно да ги дебалансирате чрез външни хедъри на 3 сървърни платформи, докато поддържате сесията. В същото време трафикът в мрежата се предава неравномерно и посоката на всеки тунел към отделно съоръжение за обработка ще изисква прекомерна производителност на последното;
• осигуряване на целостта на сесии и потоци на многосесийни протоколи (например FTP и VoIP), чиито пакети се озоваха в различни тунели. Сложността на мрежовата инфраструктура непрекъснато се увеличава: резервиране, виртуализация, опростяване на администрирането и т.н. От една страна, това повишава надеждността по отношение на предаването на данни, от друга страна, усложнява работата на системите за информационна сигурност. Дори при достатъчна производителност на анализаторите за обработка на специален канал с тунели, проблемът се оказва неразрешим, тъй като някои от пакетите на потребителската сесия се предават по друг канал. Освен това, ако те все още се опитват да се грижат за целостта на сесиите в някои инфраструктури, тогава многосесийните протоколи могат да вървят по съвсем различни начини;
• балансиране при наличие на MPLS, VLAN, индивидуални етикети на оборудването и др. Не наистина тунели, но въпреки това оборудването с основна функционалност може да разбере този трафик не като IP и да балансира по MAC адреси, като отново нарушава еднаквостта на балансирането или целостта на сесията.

Брокерът на мрежови пакети анализира външните заглавки и последователно следва указателите до вложената IP заглавка и балансира вече върху него. В резултат на това има значително повече потоци (съответно може да се дисбалансира по-равномерно и на по-голям брой платформи), а DPI системата получава всички сесийни пакети и всички свързани сесии на мултисесийни протоколи.

2. Модификация на трафика.
Една от най-широките функции по отношение на възможностите си, броят на подфункциите и опциите за тяхното използване са много:

• премахване на полезен товар, в който случай само заглавките на пакетите се предават на анализатора. Това е от значение за инструментите за анализ или за типове трафик, при които съдържанието на пакетите или не играе роля, или не може да бъде анализирано. Например, за криптиран трафик данните за параметричен обмен (кой, с кого, кога и колко) могат да представляват интерес, докато полезният товар всъщност е боклук, който заема канала и изчислителните ресурси на анализатора. Вариации са възможни, когато полезният товар е отрязан, започвайки от дадено отместване - това осигурява допълнителен обхват за инструменти за анализ;
• детунелиране, а именно премахване на заглавки, които обозначават и идентифицират тунели. Целта е да се намали натоварването на инструментите за анализ и да се повиши тяхната ефективност. Детунелирането може да се базира на фиксирано отместване или динамичен анализ на заглавката и определяне на отместването за всеки пакет;
• премахване на някои заглавки на пакети: MPLS тагове, VLAN, специфични полета на оборудване на трети страни;
• маскиране на част от заглавките, например маскиране на IP адреси, за да се осигури анонимизация на трафика;
• добавяне на служебна информация към пакета: времеви отпечатъци, входен порт, етикети за клас трафик и др.

3. Дедупликация – почистване на повтарящи се пакети с трафик, предавани към инструментите за анализ. Дублиращи се пакети най-често възникват поради особеностите на свързване към инфраструктурата - трафикът може да премине през няколко точки на анализ и да бъде огледален от всяка от тях. Има и повторно изпращане на непълни TCP пакети, но ако има много от тях, това са повече въпроси за наблюдение на качеството на мрежата, а не за информационна сигурност в нея.

4. Разширени функции за филтриране – от търсене на конкретни стойности при дадено отместване до анализ на подписа в целия пакет.

5. Генериране на NetFlow/IPFIX – събиране на широк набор от статистически данни за преминаващия трафик и прехвърлянето му към инструменти за анализ.

6. Дешифриране на SSL трафик, работи при условие, че сертификатът и ключовете първо са заредени в мрежовия брокер на пакети. Въпреки това, това ви позволява значително да разтоварите инструментите за анализ.

Има много повече функции, полезни и маркетингови, но основните, може би, са изброени.

Развитието на системи за откриване (прониквания, DDOS атаки) в системи за тяхното предотвратяване, както и въвеждането на активни DPI инструменти изисква промяна в схемата за превключване от пасивна (чрез TAP или SPAN портове) към активна („в пауза“ ). Това обстоятелство увеличи изискванията за надеждност (тъй като повредата в този случай води до прекъсване на цялата мрежа, а не само до загуба на контрол върху информационната сигурност) и доведе до замяната на оптичните съединители с оптични байпаси (за да се решаване на проблема със зависимостта на производителността на мрежата от производителността на информационната сигурност на системите), но основната функционалност и изискванията към нея остават същите.

Ние разработихме DS Integrity Network Packet Brokers със 100G, 40G и 10G интерфейси от дизайн и схеми до вграден софтуер. Освен това, за разлика от други брокери на пакети, функциите за модифициране и балансиране за вложени заглавки на тунели са внедрени в нашия хардуер при пълна скорост на порта.

Източник: www.habr.com