Ang kasiguruhan sa impormasyon nagbulag gikan sa telekomunikasyon ngadto sa usa ka independenteng industriya nga adunay kaugalingon nga mga detalye ug kaugalingon nga kagamitan. Apan adunay usa ka gamay nga nahibal-an nga klase sa mga aparato nga nagbarug sa junction sa telecom ug infobez - network packet brokers (Network Packet Broker), sila usab mga balanse sa pagkarga, mga espesyalista / pag-monitor nga switch, mga aggregator sa trapiko, Platform sa Paghatud sa Seguridad, Pagpakita sa Network ug uban pa. Ug kami, ingon usa ka developer sa Russia ug tiggama sa ingon nga mga aparato, gusto gyud nga isulti kanimo ang labi pa bahin niini.
Sakop ug mga buluhaton nga sulbaron
Ang mga network packet brokers mga espesyal nga aparato nga nakit-an ang labing kaayo nga paggamit sa mga sistema sa seguridad sa impormasyon. Ingon niana, ang klase sa aparato medyo bag-o ug gamay ra sa kasagaran nga imprastraktura sa network kung itandi sa mga switch, router, ug uban pa. Ang nagpayunir sa pag-uswag sa kini nga matang sa aparato mao ang kompanya nga Amerikano nga Gigamon. Sa pagkakaron, adunay daghang mga magdudula sa kini nga merkado (lakip ang parehas nga mga solusyon gikan sa bantog nga tiggama sa mga sistema sa pagsulay - IXIA), apan usa ra ka pig-ot nga lingin sa mga propesyonal ang nahibal-an pa bahin sa paglungtad sa ingon nga mga aparato. Sama sa nahisgutan sa ibabaw, bisan sa terminolohiya walaβy klaro nga kasiguruhan: ang mga ngalan gikan sa "mga sistema sa transparency sa network" hangtod sa yano nga "mga balanse".
Samtang nagpalambo sa mga network packet brokers, nag-atubang kami sa kamatuoran nga, dugang sa pag-analisar sa mga direksyon alang sa pagpalambo sa pag-andar ug pagsulay sa mga laboratoryo / test zone, gikinahanglan nga dungan nga ipasabut sa mga potensyal nga mga konsumedor bahin sa paglungtad sa kini nga klase sa kagamitan. , kay dili tanan nahibalo bahin niini.
Bisan 15-20 ka tuig na ang milabay, adunay gamay nga trapiko sa network, ug kini kasagaran dili importante nga datos. Apan halos gisubli : Ang katulin sa koneksyon sa internet motaas ug 50% kada tuig. Ang gidaghanon sa trapiko padayon usab nga nagtubo (ang graph nagpakita sa 2017 nga forecast gikan sa Cisco, tinubdan sa Cisco Visual Networking Index: Forecast and Trends, 2017β2022):
Kauban sa katulin, ang kamahinungdanon sa pagpalibot nga kasayuran (kini usa ka sekreto sa pamatigayon ug bantog nga personal nga datos) ug ang kinatibuk-ang pasundayag sa imprastraktura nagdugang.
Tungod niini, mitumaw ang industriya sa seguridad sa impormasyon. Gitubag kini sa industriya sa usa ka tibuok nga han-ay sa traffic analysis (DPI) nga mga himan, gikan sa DDOS attack prevention systems ngadto sa information security event management system, lakip ang IDS, IPS, DLP, NBA, SIEM, Antimailware ug uban pa. Kasagaran, ang matag usa niini nga mga himan mao ang software nga gi-install sa usa ka platform sa server. Dugang pa, ang matag programa (tool sa pag-analisa) gi-install sa kaugalingon nga platform sa server: lahi ang mga tiggama sa software, ug daghang mga kapanguhaan sa pag-compute ang gikinahanglan alang sa pag-analisar sa L7.
Kung nagtukod usa ka sistema sa seguridad sa kasayuran, kinahanglan nga masulbad ang daghang mga sukaranan nga buluhaton:
- unsaon pagbalhin sa trapiko gikan sa imprastraktura ngadto sa mga sistema sa pagtuki? (Ang mga pantalan sa SPAN nga orihinal nga gihimo alang niini sa modernong imprastraktura dili igo sa gidaghanon o sa pasundayag)
- unsaon pag-apod-apod sa trapiko tali sa lainlaing mga sistema sa pagtuki?
- Giunsa ang pagsukod sa mga sistema kung walaβy igo nga pasundayag sa usa ka pananglitan sa analisador aron maproseso ang tibuuk nga gidaghanon sa trapiko nga mosulod niini?
- sa unsa nga paagi sa pag-monitor sa 40G/100G interface (ug sa duol nga umaabot usab 200G/400G), tungod kay ang mga himan sa pagtuki sa pagkakaron nagsuporta lamang sa 1G/10G/25G interface?
Ug ang mosunod nga may kalabutan nga mga buluhaton:
- unsaon pagpakunhod sa dili angay nga trapiko nga dili kinahanglan nga iproseso, apan moadto sa mga himan sa pag-analisar ug mag-ut-ot sa ilang mga kahinguhaan?
- unsaon pagproseso sa mga encapsulated packet ug packet nga adunay mga marka sa serbisyo sa hardware, ang pag-andam niini alang sa pag-analisar nahimo nga usa ka resource-intensive o dili matuman?
- sa unsa nga paagi nga dili iapil gikan sa pagtuki bahin sa trapiko nga dili regulated sa palisiya sa seguridad (pananglitan, trapiko sa ulo).
Sama sa nahibal-an sa tanan, ang panginahanglan nagmugna og suplay, agig tubag niini nga mga panginahanglan, ang mga network packet brokers nagsugod sa pag-uswag.
Kinatibuk-ang Deskripsyon sa Network Packet Brokers
Ang mga network packet brokers nagtrabaho sa lebel sa packet, ug niini susama sila sa ordinaryong mga switch. Ang nag-unang kalainan gikan sa mga switch mao nga ang mga lagda alang sa pag-apod-apod ug paghugpong sa trapiko sa network packet brokers hingpit nga gitino sa mga setting. Ang mga network packet brokers walay mga sumbanan alang sa pagtukod sa mga forwarding table (MAC tables) ug exchange protocols sa ubang mga switch (sama sa STP), ug busa ang lain-laing mga posible nga mga setting ug masabtan nga mga natad niini mas lapad. Ang usa ka broker mahimong parehas nga mag-apod-apod sa trapiko gikan sa usa o daghang mga input port ngadto sa usa ka gihatag nga hanay sa mga output port nga adunay usa ka bahin sa pagbalanse sa load sa output. Mahimo nimong itakda ang mga lagda alang sa pagkopya, pagsala, pagklasipikar, pag-deduplicate ug pagbag-o sa trapiko. Kini nga mga lagda mahimong magamit sa lain-laing mga grupo sa mga input port sa network packet broker, ingon man usab sa sunod-sunod nga paggamit sa usag usa sa device mismo. Usa ka importante nga bentaha sa usa ka packet broker mao ang abilidad sa pagproseso sa trapiko sa bug-os nga dagan rate ug pagpreserbar sa integridad sa mga sesyon (sa kaso sa pagbalanse sa trapiko sa pipila ka DPI sistema sa sama nga matang).
Ang pagpreserbar sa integridad sa mga sesyon mao ang pagbalhin sa tanan nga mga pakete sa sesyon sa transport layer (TCP / UDP / SCTP) ngadto sa usa ka pantalan. Mahinungdanon kini tungod kay ang mga sistema sa DPI (kasagaran software nga nagdagan sa usa ka server nga konektado sa output port sa usa ka packet broker) nag-analisar sa sulud sa trapiko sa lebel sa aplikasyon, ug ang tanan nga mga pakete nga gipadala/nadawat sa usa ka aplikasyon kinahanglan moabut sa parehas nga higayon sa analisador. Kung ang mga pakete sa usa ka sesyon mawala o maapod-apod sa lainlaing mga aparato sa DPI, nan ang matag indibidwal nga aparato sa DPI maanaa sa usa ka kahimtang nga parehas sa pagbasa dili usa ka tibuuk nga teksto, apan indibidwal nga mga pulong gikan niini. Ug, lagmit, ang teksto dili masabtan.
Busa, nga naka-focus sa mga sistema sa seguridad sa impormasyon, ang network packet brokers adunay gamit nga makatabang sa pagkonektar sa DPI software systems ngadto sa high-speed nga mga network sa telekomunikasyon ug pagpakunhod sa load niini: sila nag-pre-filter, nagklasipikar ug nag-andam sa trapiko aron mapasimple ang sunod nga pagproseso.
Dugang pa, tungod kay ang mga network packet brokers naghatag usa ka halapad nga estadistika ug kanunay nga konektado sa lainlaing mga punto sa network, nakit-an usab nila ang ilang lugar sa pag-diagnose sa mga problema sa kahimsog sa imprastraktura sa network mismo.
Batakang Kalihokan sa Network Packet Brokers
Ang ngalan nga "dedicated/monitoring switch" mitumaw gikan sa batakang katuyoan: ang pagkolekta sa trapiko gikan sa imprastraktura (kasagaran naggamit ug passive optical TAP taps ug/o SPAN ports) ug iapod-apod kini sa mga himan sa pagtuki. Ang trapiko gisalamin (nadoble) tali sa mga sistema nga lainlain nga klase, ug balanse tali sa mga sistema sa parehas nga tipo. Ang sukaranan nga mga gimbuhaton kasagaran naglakip sa pagsala pinaagi sa mga uma hangtod sa L4 (MAC, IP, TCP / UDP port, ug uban pa) ug pagtipon sa daghang mga lightly loaded nga mga channel ngadto sa usa (pananglitan, alang sa pagproseso sa usa ka DPI system).
Kini nga pag-andar naghatag usa ka solusyon sa sukaranan nga buluhaton - pagkonektar sa mga sistema sa DPI sa imprastraktura sa network. Ang mga broker gikan sa lain-laing mga tiggama, limitado sa batakang pag-andar, naghatag og pagproseso sa hangtod sa 32 100G nga mga interface kada 1U (daghang mga interface ang dili pisikal nga mohaum sa 1U front panel). Bisan pa, wala nila tugoti ang pagkunhod sa karga sa mga himan sa pag-analisar, ug alang sa usa ka komplikado nga imprastraktura dili nila mahatag ang mga kinahanglanon alang sa usa ka sukaranan nga gimbuhaton: ang usa ka sesyon nga giapod-apod sa daghang mga tunnel (o adunay mga tag sa MPLS) mahimong dili balanse alang sa lainlaing mga higayon sa analisador ug sa kasagaran mahulog gikan sa pagtuki.
Dugang sa pagdugang sa 40/100G nga mga interface ug, isip resulta, pagpalambo sa performance, ang mga network packet brokers aktibong nag-uswag sa mga termino sa paghatag og mga bag-ong feature: gikan sa pagbalanse sa mga nested tunnel header ngadto sa traffic decryption. Ikasubo, ang ingon nga mga modelo dili makapanghambog sa pasundayag sa mga terabit, apan gihimo nila nga posible nga magtukod usa ka taas nga kalidad ug teknikal nga "matahum" nga sistema sa seguridad sa kasayuran diin ang matag himan sa pag-analisar gigarantiyahan nga makadawat lamang sa kasayuran nga gikinahanglan niini sa porma nga labing angay. alang sa pagtuki.
Advanced nga mga gimbuhaton sa network packet brokers
1. Gihisgotan sa taas nested header pagbalanse sa tunneled traffic.
Nganong importante kini? Tagda ang 3 ka aspeto nga mahimong kritikal nga magkauban o magkalainlain:
- pagsiguro sa uniporme nga pagbalanse sa presensya sa usa ka gamay nga gidaghanon sa mga tunnels. Sa panghitabo nga adunay 2 lang ka tunnel sa punto sa koneksyon sa mga sistema sa seguridad sa impormasyon, nan dili posible nga ma-unbalanse kini sa mga external header sa 3 nga mga platform sa server samtang gipadayon ang sesyon. Sa samang higayon, ang trapiko sa network gipasa nga dili patas, ug ang direksyon sa matag tunel ngadto sa usa ka linain nga pasilidad sa pagproseso magkinahanglan og sobra nga performance sa naulahi;
- pagsiguro sa integridad sa mga sesyon ug mga sapa sa multisession protocols (pananglitan, FTP ug VoIP), ang mga pakete nga natapos sa lain-laing mga tunnels. Ang pagkakomplikado sa imprastraktura sa network kanunay nga nag-uswag: redundancy, virtualization, pagpayano sa administrasyon, ug uban pa. Sa usa ka bahin, kini nagdugang sa pagkakasaligan sa mga termino sa pagpadala sa datos, sa pikas bahin, gikomplikado ang trabaho sa mga sistema sa seguridad sa impormasyon. Bisan sa igo nga pasundayag sa mga analista aron maproseso ang usa ka dedikado nga kanal nga adunay mga tunel, ang problema nahimo nga dili masulbad, tungod kay ang pipila sa mga pakete sa sesyon sa gumagamit gipasa sa lain nga channel. Dugang pa, kung maningkamot pa sila sa pag-atiman sa integridad sa mga sesyon sa pipila ka mga imprastraktura, nan ang mga protocol sa multisession mahimong magkalainlain nga mga paagi;
- pagbalanse sa presensya sa MPLS, VLAN, indibidwal nga mga tag sa kagamitan, ug uban pa. Dili tinuod nga tunnels, apan bisan pa niana, ang mga ekipo nga adunay sukaranan nga pagpaandar makasabut niini nga trapiko dili ingon nga IP ug balanse sa mga adres sa MAC, sa makausa pa naglapas sa pagkaparehas sa pagbalanse o integridad sa sesyon.
Ang network packet broker nag-parse sa mga outer header ug sunodsunod nga nagsunod sa mga pointer hangtod sa nested IP header ug nagbalanse na niini. Ingon nga resulta, adunay mas daghan nga mga sapa (sa matag usa, kini mahimong dili balanse nga mas parehas ug sa usa ka mas dako nga gidaghanon sa mga plataporma), ug ang DPI nga sistema makadawat sa tanang mga pakete sa sesyon ug sa tanang mga kaubang sesyon sa mga multisession protocol.
2. Pagbag-o sa trapiko.
Usa sa pinakalapad nga mga gimbuhaton sa mga termino sa mga kapabilidad niini, ang gidaghanon sa mga subfunction ug mga kapilian alang sa ilang paggamit daghan:
- pagtangtang sa payload, diin ang mga packet header ra ang gipasa sa parser. May kalabotan kini sa mga himan sa pagtuki o alang sa mga tipo sa trapiko diin ang mga sulud sa mga pakete walaβy papel o dili masusi. Pananglitan, alang sa encrypted nga trapiko, parametric exchange data (kinsa, uban kang kinsa, kanus-a, ug unsa ka daghan) ang mahimong interesado, samtang ang payload mao ang tinuod nga basura nga nag-okupar sa channel ug mga kapanguhaan sa pag-compute sa analyzer. Posible ang mga paglainlain kung ang payload maputol sugod sa gihatag nga offset - naghatag kini dugang nga kasangkaran sa mga himan sa pagtuki;
- detunneling, nga mao ang pagtangtang sa mga header nga nagtudlo ug nagpaila sa mga tunnel. Ang tumong mao ang pagpakunhod sa load sa mga himan sa pagtuki ug sa pagdugang sa ilang efficiency. Ang detunneling mahimong ibase sa usa ka fixed offset o dinamikong header analysis ug offset determination alang sa matag pakete;
- pagtangtang sa pipila ka mga packet header: MPLS tags, VLAN, piho nga field sa third-party equipment;
- pag-maskara sa bahin sa mga ulohan, pananglitan, pag-maskara sa mga adres sa IP aron maseguro nga dili mailhan ang trapiko;
- pagdugang sa impormasyon sa serbisyo sa pakete: mga timestamp, input port, mga label sa klase sa trapiko, ug uban pa.
3. Deduplikasyon β paglimpyo sa nagbalikbalik nga mga pakete sa trapiko nga gipasa sa mga himan sa pagtuki. Ang mga duplicate nga packet kasagarang mahitabo tungod sa mga peculiarities sa pagkonektar sa imprastraktura - ang trapiko mahimong moagi sa daghang mga punto sa pag-analisar ug ma-salamin gikan sa matag usa niini. Adunay usab usa ka resending sa dili kompleto nga TCP packets, apan kung adunay daghan niini, nan kini ang dugang nga mga pangutana alang sa pag-monitor sa kalidad sa network, ug dili alang sa seguridad sa impormasyon niini.
4. Advanced nga mga bahin sa pagsala - gikan sa pagpangita alang sa piho nga mga kantidad sa usa ka gihatag nga offset hangtod sa pag-analisar sa pirma sa tibuuk nga pakete.
5. NetFlow/IPFIX nga kaliwatan β koleksyon sa usa ka halapad nga mga estadistika sa pagpasa sa trapiko ug ang pagbalhin niini sa mga himan sa pagtuki.
6. Decryption sa SSL trapiko, nagtrabaho basta ang sertipiko ug mga yawe unang ikarga sa network packet broker. Bisan pa, gitugotan ka niini nga ma-unload ang mga himan sa pag-analisar.
Adunay daghan pa nga mga gimbuhaton, mapuslanon ug marketing, apan ang mga nag-unang, tingali, gilista.
Ang pagpalambo sa mga sistema sa detection (intrusions, DDOS attacks) ngadto sa mga sistema alang sa ilang pagpugong, ingon man ang pagpaila sa aktibong DPI nga mga himan, nagkinahanglan og kausaban sa switching scheme gikan sa passive (pinaagi sa TAP o SPAN ports) ngadto sa aktibo ("sa break" ). Kini nga kahimtang nagdugang sa mga kinahanglanon alang sa kasaligan (tungod kay ang usa ka kapakyasan sa kini nga kaso nagdala sa usa ka pagkaguba sa tibuuk nga network, ug dili lamang sa pagkawala sa kontrol sa kasiguruhan sa kasayuran) ug misangpot sa pag-ilis sa mga optical coupler nga adunay mga optical bypasses (aron pagsulbad sa problema sa pagsalig sa pasundayag sa network sa paghimo sa mga sistema sa seguridad sa impormasyon), apan ang nag-unang gamit ug mga kinahanglanon alang niini nagpabilin nga pareho.
Naugmad namo ang DS Integrity Network Packet Brokers nga adunay 100G, 40G ug 10G interface gikan sa disenyo ug circuitry ngadto sa embedded software. Dugang pa, dili sama sa ubang mga packet brokers, ang pagbag-o ug pagbalanse nga mga gimbuhaton alang sa mga nested tunnel header gipatuman sa among hardware, sa tibuuk nga tulin sa pantalan.
Source: www.habr.com