ProHoster > Bloc > Administració > Solucions modernes per construir sistemes de seguretat de la informació: corredors de paquets de xarxa (Network Packet Broker)

Solucions modernes per construir sistemes de seguretat de la informació: corredors de paquets de xarxa (Network Packet Broker)

La seguretat de la informació s'ha separat de les telecomunicacions en una indústria independent amb les seves pròpies especificitats i els seus propis equips. Però hi ha una classe de dispositius poc coneguda que es troba a la intersecció de les telecomunicacions i la seguretat de la informació: corredors de paquets de xarxa (Network Packet Broker), també conegut com a equilibradors de càrrega, commutadors especialitzats/de vigilància, agregadors de trànsit, plataforma de lliurament de seguretat, visibilitat de xarxa, etc. I nosaltres, com a desenvolupador i fabricant rus d'aquests dispositius, ens agradaria molt dir-vos més sobre ells.

Solucions modernes per construir sistemes de seguretat de la informació: corredors de paquets de xarxa (Network Packet Broker)

Àmbit i tasques a resoldre

Els intermediaris de paquets de xarxa són dispositius especialitzats que han trobat la major aplicació en els sistemes de seguretat de la informació. Com a tal, aquesta classe de dispositius és relativament nova i petita a la infraestructura de xarxa principal en comparació amb commutadors, encaminadors, etc. La pionera en el desenvolupament d'aquest tipus de dispositius va ser l'empresa nord-americana Gigamon. Actualment, hi ha molt més jugadors en aquest mercat (inclòs el conegut fabricant de sistemes de prova, l'empresa IXIA, té solucions similars), però només un cercle reduït de professionals encara coneix l'existència d'aquests dispositius. Com s'ha assenyalat anteriorment, fins i tot la terminologia no és clara: els noms van des de "sistemes de transparència de xarxa" fins a simplement "equilibradors".

Mentre desenvolupem intermediaris de paquets de xarxa, ens hem trobat amb el fet que, a més d'analitzar les direccions per al desenvolupament de la funcionalitat i les proves en laboratoris/zones de prova, cal explicar simultàniament als consumidors potencials sobre l'existència d'aquesta classe d'equips, ja que no tothom ho sap.

Fa només 15-20 anys hi havia poc trànsit a la xarxa, i la majoria eren dades sense importància. Però llei de Nielsen pràcticament es repeteix llei de Moore: La velocitat de connexió a Internet augmenta anualment un 50%. El volum de trànsit també està creixent de manera constant (el gràfic mostra la previsió de 2017 de Cisco, font Cisco Visual Networking Index: Forecast and Trends, 2017–2022):

Solucions modernes per construir sistemes de seguretat de la informació: corredors de paquets de xarxa (Network Packet Broker)
Juntament amb la velocitat, augmenta la importància de la circulació de la informació (és tant un secret comercial com les dades personals notòries) i el rendiment global de la infraestructura.

En conseqüència, va sorgir la indústria de la seguretat de la informació. La indústria va respondre a això amb l'aparició de tot un ventall de dispositius d'anàlisi de trànsit profund (DPI): des de sistemes de prevenció d'atacs DDOS fins a sistemes de gestió d'esdeveniments de seguretat de la informació, com IDS, IPS, DLP, NBA, SIEM, Antimailware, etc. Normalment, cadascuna d'aquestes eines és programari instal·lat en una plataforma de servidor. A més, cada programa (eina d'anàlisi) s'instal·la a la seva pròpia plataforma de servidor: els fabricants de programari són diferents i l'anàlisi en L7 requereix molts recursos informàtics.

Quan es construeix un sistema de seguretat de la informació, cal resoldre una sèrie de problemes principals:

  • com transferir el trànsit de la infraestructura als sistemes d'anàlisi? (Els ports SPAN desenvolupats originalment per a aquest propòsit en una infraestructura moderna no són suficients ni en quantitat ni en rendiment)
  • com distribuir el trànsit entre diferents sistemes d'anàlisi?
  • com escalar els sistemes quan el rendiment d'una instància de l'analitzador no és suficient per processar tot el volum de trànsit que hi entra?
  • Com controlar les interfícies 40G/100G (i en un futur proper 200G/400G), ja que actualment les eines d'anàlisi només admeten interfícies 1G/10G/25G?

I les següents tasques relacionades:

  • Com podem minimitzar el trànsit no orientat que no s'ha de processar, però arriba a les eines d'anàlisi i consumeix els seus recursos?
  • Com processar paquets encapsulats i paquets amb etiquetes de servei d'equips, la preparació dels quals per a l'anàlisi resulta que requereix molts recursos o és impossible d'implementar?
  • com excloure de l'anàlisi part del trànsit que no està regulat per la política de seguretat (per exemple, el trànsit del gestor).

Solucions modernes per construir sistemes de seguretat de la informació: corredors de paquets de xarxa (Network Packet Broker)
Com tothom sap, la demanda crea oferta i els intermediaris de paquets de xarxa van començar a desenvolupar-se en resposta a aquestes necessitats.

Descripció general dels intermediaris de paquets de xarxa

Els intermediaris de paquets de xarxa operen a nivell de paquets i, d'aquesta manera, són similars als commutadors habituals. La diferència principal amb els commutadors és que les regles per a la distribució i l'agregació del trànsit als intermediaris de paquets de xarxa estan completament determinades per la configuració. Els intermediaris de paquets de xarxa no tenen estàndards per construir taules de reenviament (taules MAC) i protocols d'intercanvi amb altres commutadors (com ara STP) i, per tant, el ventall de configuracions possibles i de camps entesos en ells és molt més ampli. El corredor pot distribuir uniformement el trànsit des d'un o més ports d'entrada a un rang especificat de ports de sortida amb una funció d'equilibri de càrrega de sortida. Podeu establir regles per a la còpia, el filtratge, la classificació, la desduplicació i la modificació del trànsit. Aquestes regles es poden aplicar a diferents grups de ports d'entrada del corredor de paquets de xarxa, i també es poden aplicar seqüencialment un darrere l'altre al propi dispositiu. Un avantatge important d'un intermediari de paquets és la capacitat de processar el trànsit a la velocitat màxima i mantenir la integritat de les sessions (en el cas d'equilibrar el trànsit a diversos sistemes DPI del mateix tipus).

Mantenir la integritat de la sessió implica transmetre tots els paquets de sessió de la capa de transport (TCP/UDP/SCTP) a un port. Això és important perquè els sistemes DPI (normalment programari que s'executa en un servidor connectat al port de sortida d'un agent de paquets) analitzen el contingut del trànsit a nivell d'aplicació i tots els paquets enviats/rebuts per una aplicació han d'arribar a la mateixa instància de l'analitzador. Si es perden paquets de la mateixa sessió o es distribueixen entre diferents dispositius DPI, cada dispositiu DPI individual es trobarà en una situació semblant a la lectura no del text sencer, sinó de paraules individuals. I, molt probablement, el text no s'entendrà.

Així, enfocats als sistemes de seguretat de la informació, els intermediaris de paquets de xarxa disposen d'una funcionalitat que ajuda a connectar els sistemes de programari DPI a xarxes de telecomunicacions d'alta velocitat i a reduir-ne la càrrega: realitzen un filtrat preliminar, classificació i preparació del trànsit per simplificar el processament posterior.

A més, com que els intermediaris de paquets de xarxa produeixen una àmplia gamma d'estadístiques i sovint estan connectats a diversos punts de la xarxa, també troben el seu lloc quan diagnostiquen problemes amb el rendiment de la pròpia infraestructura de xarxa.

Funcions bàsiques dels intermediaris de paquets de xarxa

El nom "commutadors especialitzats/de monitoratge" va sorgir de la finalitat bàsica: recollir el trànsit de la infraestructura (normalment utilitzant acobladors òptics passius els ports TAP i/o SPAN) i distribuir-lo entre les eines d'anàlisi. El trànsit es reflecteix (duplica) entre sistemes de diferents tipus i s'equilibra entre sistemes del mateix tipus. Les funcions bàsiques solen incloure el filtratge per camps fins a L4 (MAC, IP, port TCP/UDP, etc.) i l'agregació de diversos canals lleugerament carregats en un sol (per exemple, per al processament en un sistema DPI).

Aquesta funcionalitat proporciona una solució al problema bàsic de connectar sistemes DPI a la infraestructura de xarxa. Els corredors de diversos fabricants, limitats a la funcionalitat bàsica, proporcionen processament de fins a 32 interfícies 100G per 1U (més interfícies no s'ajusten físicament al panell frontal d'1U). Tanmateix, no redueixen la càrrega de les eines d'anàlisi i, per a una infraestructura complexa, ni tan sols poden proporcionar els requisits d'una funció bàsica: una sessió distribuïda en diversos túnels (o equipada amb etiquetes MPLS) pot desequilibrar-se entre diferents instàncies de l'analitzador i, en general, caure de l'anàlisi.

A més d'afegir interfícies 40/100G i, com a resultat, augmentar el rendiment, els intermediaris de paquets de xarxa s'estan desenvolupant activament pel que fa a oferir capacitats fonamentalment noves: des de l'equilibri basat en capçaleres de túnels imbricats fins al desxifrat de trànsit. Malauradament, aquests models no poden presumir de rendiment en terabits, però permeten construir un sistema de seguretat de la informació d'alta qualitat i tècnicament "bell" en el qual es garanteix que cada eina d'anàlisi rebrà només la informació que necessita en la forma més adequada. per a l'anàlisi.

Funcions avançades de Network Packet Broker

Solucions modernes per construir sistemes de seguretat de la informació: corredors de paquets de xarxa (Network Packet Broker)
1. Esmentat més amunt equilibri basat en capçaleres imbricades al trànsit tunelitzat.

Per què és important? Considerem 3 aspectes que poden ser crítics junts o per separat:

  • assegurant un equilibri uniforme en presència d'un nombre reduït de túnels. Si només hi ha 2 túnels al punt de connexió dels sistemes de seguretat de la informació, no serà possible desequilibrar-los segons capçaleres externes a 3 plataformes de servidors conservant la sessió. Al mateix temps, el trànsit a la xarxa es transmet de manera desigual, i dirigir cada túnel a una instal·lació de processament independent requerirà un rendiment excessiu d'aquesta última;
  • assegurant la integritat de les sessions i els fluxos de protocols multisessió (per exemple, FTP i VoIP), els paquets dels quals van acabar en diferents túnels. La complexitat de la infraestructura de xarxa augmenta constantment: redundància, virtualització, simplificació de l'administració, etc. D'una banda, això augmenta la fiabilitat pel que fa a la transmissió de dades, de l'altra, complica el funcionament dels sistemes de seguretat de la informació. Fins i tot si els analitzadors tenen el rendiment suficient per processar un canal dedicat amb túnels, el problema resulta ser insoluble, ja que alguns dels paquets de sessió d'usuari es transmeten per un altre canal. A més, mentre algunes infraestructures encara intenten tenir cura de la integritat de les sessions, els protocols multisessió poden prendre camins completament diferents;
  • equilibri en presència de MPLS, VLAN, etiquetes d'equips individuals, etc. No precisament els túnels, però tanmateix, els equips amb funcionalitat bàsica poden entendre aquest trànsit com una altra cosa que la IP i equilibrar-lo en funció d'adreces MAC, vulnerant una vegada més la uniformitat de l'equilibri o la integritat de les sessions.

L'agent de paquets de xarxa analitza les capçaleres externes i segueix seqüencialment els punters fins a la capçalera IP imbricada i s'equilibra. Com a resultat, hi ha molt més fluxos (en conseqüència, es pot desequilibrar de manera més uniforme i en un nombre més gran de plataformes), i el sistema DPI rep tots els paquets de sessió i totes les sessions associades dels protocols multisessió.

2. Modificació del trànsit.
Una de les funcions més àmplies pel que fa a les seves capacitats, hi ha moltes subfuncions i opcions per a la seva aplicació:

  • eliminant la càrrega útil, en aquest cas només es transfereixen les capçaleres de paquets a l'eina d'anàlisi. Això és rellevant per a eines d'anàlisi o per tipus de trànsit en què el contingut dels paquets no importa o no es pot analitzar. Per exemple, per a l'intercanvi de dades de paramètrics de trànsit xifrat (qui, amb qui, quan i quant) poden ser d'interès, però la càrrega útil és en realitat escombraries que ocupa el canal i els recursos informàtics de l'analitzador. Les variacions són possibles quan la càrrega útil es retalla a partir d'un desplaçament determinat; això proporciona un àmbit addicional per a les eines d'anàlisi;
  • destúnel, és a dir, l'eliminació de capçaleres que denoten i identifiquen túnels. L'objectiu és reduir la càrrega de les eines d'anàlisi i augmentar-ne l'eficiència. El destúnel es pot basar en un desplaçament fix o amb una anàlisi de capçalera dinàmica i determinació del desplaçament per a cada paquet;
  • eliminació de part de les capçaleres de paquets: etiquetes MPLS, VLAN, camps específics d'equips de tercers;
  • emmascarar part de les capçaleres, per exemple, emmascarar adreces IP per garantir l'anonimat del trànsit;
  • afegir informació de servei al paquet: marca de temps, port d'entrada, etiqueta de classe de trànsit, etc.

3. Deduplicació – neteja de paquets de trànsit duplicats transmesos a eines d'anàlisi. Els paquets duplicats sorgeixen més sovint a causa de la naturalesa de la connexió a la infraestructura: el trànsit pot passar per diversos punts d'anàlisi i reflectir-se des de cadascun d'ells. També és habitual tornar a enviar paquets TCP no lliurats, però si n'hi ha molts, és més probable que es tracta de problemes relacionats amb la supervisió de la qualitat de la xarxa, en lloc de la seguretat de la informació.

4. Funcions de filtratge avançades - des de la cerca de valors específics en un desplaçament determinat fins a l'anàlisi de signatura de tot el paquet.

5. Generació NetFlow/IPFIX – recopilació d'una àmplia gamma d'estadístiques sobre trànsit de pas i la seva transferència a eines d'anàlisi.

6. Desxifrat del trànsit SSL, funciona sempre que el certificat i les claus es carreguin primer al corredor de paquets de xarxa. No obstant això, això us permet alleujar significativament les eines d'anàlisi.

Hi ha moltes més funcions, útils i de màrqueting, però probablement hi ha les principals.

El desenvolupament de sistemes de detecció (intrusions, atacs DDOS) en sistemes per prevenir-los, així com la introducció d'eines DPI actives, va requerir un canvi en l'esquema de commutació de passiu (mitjançant ports TAP o SPAN) a actiu ("en el buit). ”). Aquesta circumstància va augmentar els requisits de fiabilitat (ja que la fallada en aquest cas comporta una interrupció de tota la xarxa, i no només la pèrdua de control sobre la seguretat de la informació) i va comportar la substitució dels acobladors òptics per bypass òptic (per resoldre el problema de la dependència de l'operabilitat de la xarxa de l'operabilitat de la seguretat de la informació dels sistemes), però la funcionalitat i els requisits principals per a això segueixen sent els mateixos.

Hem desenvolupat DS Integrity Network Packet Brokers amb interfícies 100G, 40G i 10G des del disseny i disseny de circuits fins al firmware. A més, a diferència d'altres intermediaris de paquets, les funcions de modificació i equilibri de les capçaleres de túnel imbricades s'implementen al maquinari, a tota velocitat del port.

Solucions modernes per construir sistemes de seguretat de la informació: corredors de paquets de xarxa (Network Packet Broker)

Font: www.habr.com

Afegeix comentari