ProHoster > Blog > Amministrazione > Soluzioni muderne per custruisce sistemi di sicurezza di l'infurmazioni - broker di pacchetti di rete (Network Packet Broker)

Soluzioni muderne per custruisce sistemi di sicurezza di l'infurmazioni - broker di pacchetti di rete (Network Packet Broker)

A sicurità di l'infurmazioni s'hè separata da e telecomunicazioni in una industria indipendente cù e so specifiche è u so propiu equipamentu. Ma ci hè una classa pocu cunnisciuta di dispusitivi chì si trova à l'intersezzione di e telecomunicazioni è a sicurità di l'infurmazioni - broker di pacchetti di rete (Network Packet Broker), cunnisciutu ancu cum'è equilibratori di carica, switches specializati / di monitoraghju, aggregatori di trafficu, piattaforma di consegna di sicurezza, visibilità di a rete, è cusì. È noi, cum'è un sviluppatore è u fabricatore russu di tali dispusitivi, vulemu veramente cuntà più nantu à elli.

Soluzioni muderne per custruisce sistemi di sicurezza di l'infurmazioni - broker di pacchetti di rete (Network Packet Broker)

Scopu è compiti da risolve

I brokers di pacchetti di rete sò dispusitivi specializati chì anu truvatu a più grande applicazione in i sistemi di sicurezza di l'infurmazioni. Comu tali, sta classa di dispusitivi hè relativamente nova è chjuca in l'infrastruttura di rete mainstream paragunata à i switches, routers, etc. U pioniere in u sviluppu di stu tipu di dispusitivu era a cumpagnia americana Gigamon. Attualmente, ci sò significativamente più attori in stu mercatu (cumpresu u famosu fabricatore di sistemi di teste, a cumpagnia IXIA, hà suluzioni simili), ma solu un circondu ristrettu di prufessiunali cunnosce sempre l'esistenza di tali dispusitivi. Comu nutatu sopra, ancu a terminologia ùn hè micca chjaru: i nomi varianu da "sistemi di trasparenza di a rete" à simpliciamente "equilibratori".

Durante u sviluppu di i brokers di pacchetti di rete, ci hè statu affruntatu cù u fattu chì, in più di analizà e direzzione per u sviluppu di funziunalità è teste in laboratori / zoni di teste, hè necessariu di spiegà simultaneamente à i cunsumatori potenziali l'esistenza di sta classa di equipaggiu, postu chì ùn tutti ùn sanu micca.

Solu 15-20 anni fà ci era pocu trafficu nantu à a reta, è era principalmente dati pocu impurtante. Ma a lege di Nielsen praticamente ripete A lege di Moore: A velocità di cunnessione Internet aumenta ogni annu da 50%. U voluminu di u trafficu hè ancu in crescita constantemente (u graficu mostra a previsione 2017 da Cisco, fonte Cisco Visual Networking Index: Forecast and Trends, 2017-2022):

Soluzioni muderne per custruisce sistemi di sicurezza di l'infurmazioni - broker di pacchetti di rete (Network Packet Broker)
Inseme cù a rapidità, l'impurtanza di a circulazione di l'infurmazioni (questu hè à tempu un sicretu cummerciale è i dati persunali notori) è u rendiment generale di l'infrastruttura aumenta.

In cunsiquenza, l'industria di a sicurità di l'infurmazioni emerge. L'industria hà rispostu à questu cù l'emergenza di una larga gamma di dispositivi di analisi di trafficu profondu (DPI): da i sistemi di prevenzione di attacchi DDOS à i sistemi di gestione di l'avvenimenti di sicurezza di l'infurmazioni, cumprese IDS, IPS, DLP, NBA, SIEM, Antimailware è cusì. Di genere, ognuna di sti strumenti hè un software installatu nantu à una piattaforma di servitore. Inoltre, ogni prugramma (strumentu di analisi) hè stallatu nantu à a so propria piattaforma di u servitore: i pruduttori di software sò diffirenti, è l'analisi nantu à L7 necessitanu assai risorse di l'informatica.

Quandu custruisce un sistema di sicurità di l'infurmazioni, hè necessariu di risolve una quantità di prublemi principali:

  • cumu trasfiriri u trafficu da l'infrastruttura à i sistemi di analisi? (I porti SPAN sviluppati originariamente per questu scopu in l'infrastruttura muderna ùn sò micca abbastanza in quantità o prestazioni)
  • cumu si distribuisce u trafficu trà i diversi sistemi di analisi?
  • cumu scala i sistemi quandu u rendiment di una istanza di l'analizzatore ùn hè micca abbastanza per processà tuttu u voluminu di trafficu chì entra in questu?
  • cumu monitorà l'interfacce 40G/100G (è in un futuru vicinu 200G/400G), postu chì i strumenti di analisi attualmente supportanu solu interfacce 1G/10G/25G?

È i seguenti compiti cunnessi:

  • Cumu pudemu minimizzà u trafficu untargeted chì ùn deve micca esse processatu, ma ghjunghje à l'arnesi di analisi è cunsuma e so risorse?
  • Cumu processà i pacchetti incapsulati è i pacchetti cù l'etichetta di serviziu di l'equipaggiu, a preparazione di quale per l'analisi risulta esse o risorsa intensiva o impussibile di implementà in tuttu?
  • cumu escludiri da l'analisi una parte di u trafficu chì ùn hè micca regulatu da a pulitica di sicurità (per esempiu, u trafficu di u manager).

Soluzioni muderne per custruisce sistemi di sicurezza di l'infurmazioni - broker di pacchetti di rete (Network Packet Broker)
Comu ognunu sapi, a dumanda crea l'offerta, è i brokers di pacchetti di rete cuminciaru à sviluppà in risposta à questi bisogni.

Descrizzione generale di i broker di pacchetti di rete

I brokers di pacchetti di rete operanu à u livellu di pacchetti, è in questu modu sò simili à i switches regulari. A principal diferenza di i switches hè chì e regule per a distribuzione di u trafficu è l'agregazione in i brokers di pacchetti di rete sò cumpletamente determinate da i paràmetri. I brokers di pacchetti di rete ùn anu micca standard per a custruzzione di tabelle di spedizione (tavule MAC) è di scambià protokolli cù altri switches (cum'è STP), è per quessa a gamma di paràmetri pussibuli è campi intesu in elli hè assai più largu. U broker pò distribuisce uniformemente u trafficu da unu o più porti di input à una gamma specifica di porti di output cù una funzione di bilanciamentu di carica di output. Pudete stabilisce e regule per a copia, filtru, classificazione, deduplicazione è mudificazione di u trafficu. Sti règuli ponu esse appiicati à diversi gruppi di porti di input broker di pacchetti di rete, è ponu ancu esse appiicati sequentially unu dopu à l'altru in u dispusitivu stessu. Un vantaghju impurtante di un broker di pacchetti hè a capacità di processà u trafficu à u flussu sanu è mantene l'integrità di e sessioni (in u casu di equilibrà u trafficu à parechji sistemi DPI di u stessu tipu).

A mantenimentu di l'integrità di a sessione implica a trasmissione di tutti i pacchetti di sessione di a capa di trasportu (TCP / UDP / SCTP) à un portu. Questu hè impurtante perchè i sistemi DPI (tipicamente u software chì funziona in un servitore cunnessu à u portu di output di un broker di pacchetti) analizà u cuntenutu di u trafficu à u livellu di l'applicazione, è tutti i pacchetti mandati / ricevuti da una applicazione devenu ghjunghje à a stessa istanza di l'analizzatore. Se i pacchetti da a listessa sessione sò persi o distribuiti trà e diverse dispositi DPI, allora ogni dispusitivu DPI individuale si trova in una situazione simile à leghje micca u testu sanu, ma e parolle individuali da ellu. È, assai prubabile, u testu ùn serà micca capitu.

Cusì, essendu focu annantu à i sistemi di sicurezza di l'infurmazioni, i brokers di pacchetti di rete anu funziunalità chì aiutanu à cunnette i sistemi di software DPI à e rete di telecomunicazione d'alta velocità è riducenu a carica nantu à elli: realizanu filtrazione preliminare, classificazione è preparazione di u trafficu per simplificà u processu sussegwenti.

Inoltre, postu chì i brokers di pacchetti di rete producenu una larga gamma di statistiche è sò spessu cunnessi à parechji punti di a reta, trovanu ancu u so postu quandu diagnosticanu i prublemi cù u funziunamentu di l'infrastruttura di a rete stessa.

Funzioni basiche di i broker di pacchetti di rete

U nomu "interruttori specializati / di monitoraghju" hè natu da u scopu basicu: per cullà u trafficu da l'infrastruttura (di solitu utilizendu accoppiatori ottici passivi TAP è / o porti SPAN) è distribuisce trà e strumenti di analisi. U trafficu hè mirrored (duplicatu) trà sistemi di diversi tipi, è equilibratu trà sistemi di u listessu tipu. E funzioni di basa sò generalmente include filtrazione per campi finu à L4 (MAC, IP, portu TCP / UDP, etc.) è aggregazione di parechji canali ligeramente caricati in unu (per esempiu, per trasfurmà in un sistema DPI).

Questa funziunalità furnisce una suluzione à u compitu basicu di cunnette i sistemi DPI à l'infrastruttura di rete. I brokers di diversi fabricatori, limitati à e funziunalità di basa, furniscenu trasfurmazioni di finu à 32 interfacce 100G per 1U (più interfacce ùn si adattanu fisicamente à u pannellu frontale 1U). Tuttavia, ùn riducenu micca a carica nantu à l'arnesi di analisi, è per una infrastruttura cumplessa ùn ponu mancu furnisce i requisiti per una funzione basica: una sessione distribuita in parechji tunnel (o dotata di tag MPLS) pò esse sbilanciata trà e diverse istanze di l'analizzatore è in generale. caduta fora di l'analisi.

In più di aghjunghje interfacce 40/100G è, in u risultatu, aumentendu u rendiment, i broker di pacchetti di rete si sviluppanu attivamente in quantu à furnisce capacità fondamentalmente novi: da u bilanciamentu basatu in headers di tunnel nidificati à a decrittazione di u trafficu. Sfurtunatamente, tali mudelli ùn ponu micca vantassi di prestazioni in terabits, ma permettenu di custruisce un sistema di sicurità di l'infurmazioni veramente d'alta qualità è tecnicamente "bellu", in quale ogni strumentu d'analisi hè garantitu per riceve solu l'infurmazioni necessarii in a forma più adatta. per l'analisi.

Funzioni avanzate di broker di pacchetti di rete

Soluzioni muderne per custruisce sistemi di sicurezza di l'infurmazioni - broker di pacchetti di rete (Network Packet Broker)
1. Menzionatu sopra equilibriu basatu annantu à intestazioni nidificate in u trafficu tunnellatu.

Perchè hè impurtante? Cunsideremu 3 aspetti chì ponu esse critichi inseme o separatamente:

  • assicurendu un equilibriu uniforme in presenza di un picculu numeru di tunnel. Se ci sò solu tunnellati 2 à u puntu di cunnessione di i sistemi di sicurità di l'infurmazioni, allora ùn serà micca pussibule di sbilanciali secondu l'intestazione esterni nantu à e plataforme di u servitore 3 mentre priservà a sessione. À u listessu tempu, u trafficu in a reta hè trasmessu in modu irregulare, è dirigendu ogni tunelu à una facilità di trasfurmazioni separata necessitarà un rendimentu eccessivu di l'ultime;
  • assicurendu l'integrità di e sessioni è i flussi di protokolli multisession (per esempiu, FTP è VoIP), i pacchetti di quale anu finitu in diversi tunnel. A cumplessità di l'infrastruttura di rete hè in constantemente crescente: redundancy, virtualizazione, simplificazione di l'amministrazione, etc. Per una banda, questu aumenta l'affidabilità in termini di trasmissione di dati, da l'altra banda, complica l'operazione di i sistemi di sicurità di l'infurmazioni. Ancu s'è l'analizzatori anu un rendimentu sufficiente per processà un canale dedicatu cù tunnelli, u prublema hè insolubile, postu chì alcuni di i pacchetti di sessione d'utilizatori sò trasmessi nantu à un altru canale. Inoltre, mentre chì certi infrastrutture sempre pruvate à piglià a cura di l'integrità di e sessioni, i protokolli multisessione ponu piglià strade completamente diverse;
  • equilibriu in presenza di MPLS, VLAN, tag di l'equipaggiu individuali, etc. Ùn sò micca esattamente tunnelli, ma in ogni modu, l'equipaggiu cù funziunalità basica pò capisce stu trafficu cum'è qualcosa di altru ch'è IP è equilibrà basatu annantu à l'indirizzi MAC, una volta di più viola l'uniformità di equilibriu o l'integrità di sessioni.

U broker di pacchetti di rete analizza intestazioni esterne è seguita in sequenza i puntatori finu à l'intestazione IP nidificata è equilibra nantu à questu. In u risultatu, ci sò significativamente più flussi (in cunsiquenza, pò esse sbilanciatu più uniformemente è nantu à un numeru più grande di piattaforme), è u sistema DPI riceve tutti i pacchetti di sessione è tutte e sessioni associate di protokolli multisession.

2. Mudificazione di u trafficu.
Una di e funzioni più largu in quantu à e so capacità, ci sò parechje subfunzioni è opzioni per a so applicazione:

  • sguassà u payload, in questu casu solu l'intestazione di i pacchetti sò trasmessi à l'uttellu di analisi. Questu hè pertinente per i strumenti di analisi o per i tipi di trafficu in quale u cuntenutu di i pacchetti ùn importa micca o ùn pò micca esse analizatu. Per esempiu, per u trafficu criptu di dati di scambiu parametricu (chì, cù quale, quandu è quantu) pò esse d'interessu, ma u payload hè veramente basura chì occupa u canali è i risorse di l'informatica di l'analizzatore. E variazioni sò pussibuli quandu a carica utile hè tagliata partendu da un offset determinatu - questu furnisce un scopu supplementu per l'arnesi di analisi;
  • detunneling, vale à dì a rimuzione di intestazioni chì denotano è identificanu i tunnel. U scopu hè di riduce a carica nantu à i strumenti di analisi è aumentà a so efficienza. U detunneling pò esse basatu annantu à un offset fissu o cù l'analisi dinamica di l'intestazione è a determinazione di offset per ogni pacchettu;
  • caccià una parte di l'intestazione di u pacchettu: tag MPLS, VLAN, campi specifichi di l'equipaggiu di terzu;
  • masking part of the headers, per esempiu, masking IP address per assicurà l'anonimizazione di u trafficu;
  • aghjunghjendu infurmazione di serviziu à u pacchettu: timestamp, portu di input, etichetta di classi di trafficu, etc.

3. Deduplicazione - pulizia di pacchetti di trafficu duplicati trasmessi à strumenti di analisi. I pacchetti duplicati sò più spessu per via di a natura di a cunnessione à l'infrastruttura - u trafficu pò passà per parechji punti di analisi è esse riflessu da ognuna di elli. Rienviu di pacchetti TCP falluti hè ancu cumunu, ma s'ellu ci sò assai di elli, allora questi sò più prubabile prublemi ligati à u monitoraghju di a qualità di a reta, invece di a sicurità di l'infurmazioni in questu.

4. Funzioni di filtrazione avanzata - da a ricerca di valori specifichi à un offset datu à l'analisi di a firma di tuttu u pacchettu.

5. Generazione NetFlow/IPFIX - cullizzioni di una larga gamma di statistiche nantu à u trafficu di passaghju è u so trasferimentu à strumenti di analisi.

6. Decryption di u trafficu SSL, funziona sempre chì u certificatu è e chjave sò prima caricati in u broker di pacchetti di rete. Tuttavia, questu permette di allevà significativamente i strumenti di analisi.

Ci hè parechje più funzioni, utili è di marketing, ma i principali sò prubabilmente listati.

U sviluppu di sistemi di rilevazione (intrusioni, attacchi DDOS) in sistemi per impediscenu, è ancu l'intruduzioni di strumenti DPI attivi, necessitava un cambiamentu in u schema di commutazione da passiva (via porti TAP o SPAN) à attivu ("in u gap". "). Questa circustanza hà aumentatu i bisogni di affidabilità (poi u fallimentu in questu casu porta à a disrupzione di tutta a reta, è micca solu à a perdita di cuntrollu di a sicurità di l'infurmazioni) è hà purtatu à a sostituzione di accoppiatori ottici cù bypass otticu (per risolve u prublema di a dependenza di l'operabilità di a rete nantu à l'operabilità di a sicurità di l'infurmazioni di i sistemi), ma a funziunalità principale è i requisiti per questu fermanu u listessu.

Avemu sviluppatu DS Integrity Network Packet Brokers cù interfacce 100G, 40G è 10G da u disignu è u circuitu à u firmware. Inoltre, à u cuntrariu di l'altri brokers di pacchetti, e funzioni di mudificazione è di equilibriu di l'intestazione di tunnel nidificati sò implementate in hardware, à a velocità di u portu pienu.

Soluzioni muderne per custruisce sistemi di sicurezza di l'infurmazioni - broker di pacchetti di rete (Network Packet Broker)

Source: www.habr.com

Add a comment