Savremena rešenja za izgradnju sistema informacione bezbednosti - brokeri mrežnih paketa (Network Packet Broker)

Informaciona sigurnost se od telekomunikacija izdvojila u samostalnu industriju sa svojim specifičnostima i vlastitom opremom. Ali postoji malo poznata klasa uređaja koja stoji na spoju telekoma i infobeza - brokeri mrežnih paketa (Network Packet Broker), oni su takođe balanseri opterećenja, specijalizovani / nadzorni prekidači, agregatori saobraćaja, platforma za isporuku sigurnosti, vidljivost mreže i tako dalje. A mi, kao ruski programeri i proizvođači takvih uređaja, zaista želimo da vam kažemo više o njima.

Obim i zadaci koje treba riješiti

Brokeri mrežnih paketa su specijalizovani uređaji koji su našli najveću primenu u sistemima bezbednosti informacija. Kao takva, klasa uređaja je relativno nova i malobrojna u uobičajenoj mrežnoj infrastrukturi u poređenju sa prekidačima, ruterima i tako dalje. Pionir u razvoju ove vrste uređaja bila je američka kompanija Gigamon. Trenutno je na ovom tržištu znatno više igrača (uključujući slična rješenja poznatog proizvođača testnih sistema - IXIA), ali samo uski krug profesionalaca još uvijek zna za postojanje ovakvih uređaja. Kao što je gore navedeno, čak ni sa terminologijom nema nedvosmislene sigurnosti: nazivi se kreću od "sistema transparentnosti mreže" do jednostavnih "balansera".

Prilikom razvoja mrežnih paketnih brokera, suočili smo se s činjenicom da je, osim analize pravaca razvoja funkcionalnosti i testiranja u laboratorijama/testnim zonama, potrebno istovremeno objasniti potencijalnim potrošačima postojanje ove klase opreme. , pošto ne znaju svi za to.

Čak i prije 15-20 godina na mreži je bilo malo prometa, i to su uglavnom bili nevažni podaci. Ali Nielsenov zakon praktično ponavlja Mooreov zakon: Brzina internetske veze raste za 50% godišnje. Obim saobraćaja takođe stalno raste (grafikon prikazuje prognozu Cisco-a za 2017, izvor Cisco Visual Networking Index: Prognoza i trendovi, 2017–2022):

Uporedo sa brzinom, povećava se i značaj kruženja informacija (ovo je i poslovna tajna i ozloglašeni lični podaci) i ukupne performanse infrastrukture.

Shodno tome, pojavila se industrija informacione sigurnosti. Industrija je na ovo odgovorila čitavim nizom uređaja za analizu saobraćaja (DPI), od sistema za prevenciju DDOS napada do sistema za upravljanje događajima bezbednosti informacija, uključujući IDS, IPS, DLP, NBA, SIEM, Antimailware i tako dalje. Obično je svaki od ovih alata softver koji je instaliran na serverskoj platformi. Štaviše, svaki program (alat za analizu) je instaliran na vlastitoj serverskoj platformi: proizvođači softvera su različiti, a za analizu na L7 potrebno je mnogo računarskih resursa.

Prilikom izgradnje sistema informacione sigurnosti potrebno je riješiti niz osnovnih zadataka:

• kako prenijeti promet sa infrastrukture na sisteme analize? (SPAN portovi koji su prvobitno razvijeni za ovo u modernoj infrastrukturi nisu dovoljni ni po količini ni po performansama)
• kako distribuirati promet između različitih sistema analize?
• kako skalirati sisteme kada nema dovoljno performansi jedne instance analizatora za obradu cjelokupnog obima saobraćaja koji ulazi u njega?
• kako pratiti 40G/100G interfejse (a u bliskoj budućnosti i 200G/400G), pošto alati za analizu trenutno podržavaju samo 1G/10G/25G interfejse?

I slijedeći povezani zadaci:

• kako minimizirati neprikladan promet koji ne treba obraditi, ali dolazi do alata za analizu i troši njihove resurse?
• kako obraditi inkapsulirane pakete i pakete sa hardverskim servisnim oznakama, čija se priprema za analizu ispostavi da je ili zahtjevna za resurse ili je uopće neostvariva?
• kako iz analize isključiti dio saobraćaja koji nije regulisan sigurnosnom politikom (npr. saobraćaj glave).

Kao što svi znaju, potražnja stvara ponudu, kao odgovor na ove potrebe, počeli su se razvijati brokeri mrežnih paketa.

Opšti opis brokera mrežnih paketa

Brokeri mrežnih paketa rade na nivou paketa, i po tome su slični običnim svičevima. Glavna razlika od svičeva je u tome što su pravila za distribuciju i agregaciju prometa u brokerima mrežnih paketa u potpunosti određena postavkama. Brokeri mrežnih paketa nemaju standarde za pravljenje tabela prosljeđivanja (MAC tablica) i protokola za razmjenu sa drugim prekidačima (kao što je STP), te je stoga raspon mogućih postavki i razumljivih polja u njima mnogo širi. Broker može ravnomjerno raspodijeliti promet sa jednog ili više ulaznih portova na zadani raspon izlaznih portova sa funkcijom balansiranja izlaznog opterećenja. Možete postaviti pravila za kopiranje, filtriranje, klasifikaciju, uklanjanje duplikata i modificiranje prometa. Ova pravila se mogu primeniti na različite grupe ulaznih portova brokera mrežnih paketa, kao i da se primenjuju uzastopno jedno za drugim u samom uređaju. Važna prednost paketnog brokera je mogućnost obrade saobraćaja punom brzinom protoka i očuvanja integriteta sesija (u slučaju balansiranja saobraćaja na nekoliko DPI sistema istog tipa).

Očuvanje integriteta sesija je prenošenje svih paketa sesije transportnog sloja (TCP/UDP/SCTP) na jedan port. Ovo je važno jer DPI sistemi (obično softver koji radi na serveru koji je povezan sa izlaznim portom posrednika za pakete) analiziraju sadržaj saobraćaja na nivou aplikacije, a svi paketi koje šalje/primi jedna aplikacija moraju stići na istu instancu analizator . Ako se paketi jedne sesije izgube ili distribuiraju između različitih DPI uređaja, tada će svaki pojedinačni DPI uređaj biti u situaciji analognoj čitanju ne cijelog teksta, već pojedinačnih riječi iz njega. I, najvjerovatnije, tekst neće razumjeti.

Stoga, budući da su fokusirani na sisteme informacione sigurnosti, brokeri mrežnih paketa imaju funkcionalnost koja pomaže u povezivanju DPI softverskih sistema sa telekomunikacionim mrežama velike brzine i smanjuje opterećenje na njima: oni prethodno filtriraju, klasifikuju i pripremaju saobraćaj kako bi pojednostavili naknadnu obradu.

Osim toga, budući da brokeri mrežnih paketa pružaju širok spektar statističkih podataka i često su povezani na različite tačke u mreži, oni također nalaze svoje mjesto u dijagnosticiranju zdravstvenih problema same mrežne infrastrukture.

Osnovne funkcije brokera mrežnih paketa

Naziv "dedicated/monitoring switches" proizašao je iz osnovne svrhe: prikupljanja saobraćaja iz infrastrukture (obično korištenjem pasivnih optičkih TAP slavina i/ili SPAN portova) i distribucije između alata za analizu. Saobraćaj se preslikava (duplira) između sistema različitih tipova i balansira između sistema istog tipa. Osnovne funkcije obično uključuju filtriranje po poljima do L4 (MAC, IP, TCP/UDP port, itd.) i agregaciju nekoliko slabo opterećenih kanala u jedan (na primjer, za obradu na jednom DPI sistemu).

Ova funkcionalnost pruža rješenje osnovnog zadatka - povezivanje DPI sistema na mrežnu infrastrukturu. Brokeri različitih proizvođača, ograničeni na osnovnu funkcionalnost, obezbeđuju obradu do 32 100G interfejsa po 1U (više interfejsa fizički ne staje na 1U prednji panel). Međutim, oni ne dozvoljavaju smanjenje opterećenja alata za analizu, a za složenu infrastrukturu ne mogu čak ni osigurati zahtjeve za osnovnu funkciju: sesija distribuirana na nekoliko tunela (ili opremljena MPLS oznakama) može biti neuravnotežena za različite instance analizator i generalno ispadaju iz analize.

Pored dodavanja 40/100G interfejsa i, kao rezultat, poboljšanja performansi, brokeri mrežnih paketa se aktivno razvijaju u smislu pružanja fundamentalno novih karakteristika: od balansiranja na ugnežđenim zaglavljima tunela do dešifrovanja saobraćaja. Nažalost, takvi se modeli ne mogu pohvaliti performansama u terabitima, ali omogućavaju izgradnju zaista kvalitetnog i tehnički “lijepog” sustava sigurnosti informacija u kojem je zajamčeno da će svaki alat za analizu dobiti samo informacije koje su mu potrebne u najprikladnijem obliku. za analizu.

Napredne funkcije brokera mrežnih paketa

1. Spomenuto iznad balansiranje ugniježđenog zaglavlja u tunelskom prometu.

Zašto je to važno? Razmotrite 3 aspekta koji mogu biti kritični zajedno ili odvojeno:

• osiguranje ravnomjernog balansiranja u prisustvu malog broja tunela. U slučaju da postoje samo 2 tunela na tački povezivanja sistema informacione bezbednosti, tada ih neće biti moguće debalansirati eksternim zaglavljima na 3 serverske platforme uz održavanje sesije. Istovremeno, promet u mreži se prenosi neravnomjerno, a usmjeravanje svakog tunela ka posebnom objektu za obradu zahtijevat će pretjerane performanse potonjeg;
• osiguravanje integriteta sesija i tokova višesesijskih protokola (na primjer, FTP i VoIP), čiji su paketi završavali u različitim tunelima. Složenost mrežne infrastrukture se stalno povećava: redundantnost, virtuelizacija, pojednostavljenje administracije itd. S jedne strane, to povećava pouzdanost u pogledu prenosa podataka, as druge strane otežava rad sistema informacione sigurnosti. Čak i sa dovoljnim performansama analizatora za obradu namenskog kanala sa tunelima, problem se ispostavlja nerešivim, pošto se neki od paketa korisničke sesije prenose preko drugog kanala. Štaviše, ako i dalje pokušavaju da vode računa o integritetu sesija u nekim infrastrukturama, onda protokoli za više sesija mogu ići na potpuno različite načine;
• balansiranje u prisustvu MPLS, VLAN-a, individualnih oznaka opreme itd. Nisu baš tuneli, ali ipak oprema sa osnovnom funkcionalnošću može shvatiti ovaj promet ne kao IP i balans po MAC adresama, još jednom narušavajući uniformnost balansiranja ili integritet sesije.

Broker mrežnih paketa analizira vanjska zaglavlja i uzastopno prati pokazivače do ugniježđenog IP zaglavlja i već na njemu balansira. Kao rezultat toga, ima znatno više tokova (odnosno, može se ravnomjernije izbalansirati i na većem broju platformi), a DPI sistem prima sve pakete sesije i sve pridružene sesije multisesijskih protokola.

2. Izmjena saobraćaja.
Jedna od najširih funkcija u smislu svojih mogućnosti, broj podfunkcija i opcija za njihovu upotrebu je mnogo:

• uklanjanje korisnog opterećenja, u kom slučaju se parseru prosljeđuju samo zaglavlja paketa. Ovo je relevantno za alate za analizu ili za tipove saobraćaja u kojima sadržaj paketa ili ne igra ulogu ili se ne može analizirati. Na primjer, za šifrirani promet, podaci o parametarskoj razmjeni (ko, s kim, kada i koliko) mogu biti od interesa, dok je teret zapravo smeće koje zauzima kanal i računske resurse analizatora. Varijacije su moguće kada je korisni teret odsečen počevši od datog pomaka – ovo pruža dodatni prostor za alate za analizu;
• detuneliranje, odnosno uklanjanje zaglavlja koji označavaju i identifikuju tunele. Cilj je smanjiti opterećenje alata za analizu i povećati njihovu efikasnost. Detuneliranje se može zasnivati ​​na fiksnoj analizi pomaka ili dinamičkoj analizi zaglavlja i određivanju pomaka za svaki paket;
• uklanjanje nekih zaglavlja paketa: MPLS oznake, VLAN, specifična polja opreme treće strane;
• maskiranje dijela zaglavlja, na primjer, maskiranje IP adresa kako bi se osigurala anonimizacija prometa;
• dodavanje servisnih informacija u paket: vremenske oznake, ulazni port, oznake klase saobraćaja, itd.

3. Deduplikacija – čišćenje ponavljajućih saobraćajnih paketa koji se prenose na alate za analizu. Duplicirani paketi najčešće nastaju zbog posebnosti povezivanja na infrastrukturu - saobraćaj može proći kroz nekoliko tačaka analize i preslikati se iz svake od njih. Dolazi i do ponovnog slanja nepotpunih TCP paketa, ali ako ih ima puno, onda su to više pitanja za praćenje kvaliteta mreže, a ne za sigurnost informacija u njoj.

4. Napredne funkcije filtriranja – od traženja određenih vrijednosti na datom pomaku do analize potpisa u cijelom paketu.

5. NetFlow/IPFIX generacija – prikupljanje širokog spektra statističkih podataka o prolaznom saobraćaju i njegovo prenošenje u alate za analizu.

6. Dešifriranje SSL saobraćaja, radi pod uslovom da se sertifikat i ključevi prvo učitaju u broker mrežnih paketa. Ipak, ovo vam omogućava da značajno rasteretite alate za analizu.

Postoji još mnogo funkcija, korisnih i marketinških, ali glavne su, možda, navedene.

Razvoj sistema za detekciju (upada, DDOS napadi) u sisteme za njihovu prevenciju, kao i uvođenje aktivnih DPI alata, zahtijevali su promjenu sheme prebacivanja s pasivne (preko TAP ili SPAN portova) na aktivnu („u prekidu“). ). Ova okolnost je povećala zahtjeve za pouzdanošću (jer kvar u ovom slučaju dovodi do prekida cijele mreže, a ne samo gubitka kontrole nad sigurnošću informacija) i dovela do zamjene optičkih spojnica optičkim premosnicama (kako bi se rešiti problem zavisnosti performansi mreže od performansi informacione bezbednosti sistema), ali su glavna funkcionalnost i zahtevi za nju ostali isti.

Razvili smo DS Integrity Network Packet Brokers sa 100G, 40G i 10G interfejsima od dizajna i kola do ugrađenog softvera. Štaviše, za razliku od drugih posrednika paketa, funkcije modifikacije i balansiranja za ugniježđena zaglavlja tunela implementirane su u naš hardver, pri punoj brzini porta.

izvor: www.habr.com