Informační bezpečnost se vyčlenila z telekomunikací do samostatného odvětví se svými specifiky a vlastním vybavením. Existuje však málo známá třída zařízení, která stojí na křižovatce telekomunikací a infobez - zprostředkovatelé síťových paketů (Network Packet Broker), jsou to také nástroje pro vyrovnávání zatížení, specializované / monitorovací přepínače, agregátory provozu, platforma pro doručování zabezpečení, viditelnost sítě a tak dále. A my, jako ruský vývojář a výrobce takových zařízení, vám o nich opravdu chceme říct víc.
Rozsah a úkoly k řešení
Síťoví paketoví brokeři jsou specializovaná zařízení, která nalezla největší využití v systémech informační bezpečnosti. Jako taková je tato třída zařízení relativně nová a v běžné síťové infrastruktuře je ve srovnání s přepínači, směrovači a tak dále jen málo. Průkopníkem ve vývoji tohoto typu zařízení byla americká společnost Gigamon. V současné době je na tomto trhu podstatně více hráčů (včetně podobných řešení od známého výrobce testovacích systémů - IXIA), ale o existenci takových zařízení ví stále jen úzký okruh profesionálů. Jak bylo uvedeno výše, ani s terminologií neexistuje jednoznačná jistota: názvy sahají od „systémů transparentnosti sítě“ až po jednoduché „vyvažovače“.
Při vývoji síťových paketových brokerů jsme se potýkali se skutečností, že kromě analýzy směrů pro vývoj funkčnosti a testování v laboratořích / testovacích zónách je nutné zároveň potenciálním spotřebitelům vysvětlit existenci této třídy zařízení. , protože ne každý o tom ví.
Ještě před 15-20 lety byl na síti malý provoz a většinou se jednalo o nedůležitá data. Ale prakticky opakuje : Rychlost internetového připojení se každoročně zvyšuje o 50 %. Objem provozu také neustále roste (graf ukazuje prognózu společnosti Cisco pro rok 2017, zdroj Cisco Visual Networking Index: Forecast and Trends, 2017–2022):
Spolu s rychlostí roste význam oběhu informací (jedná se jak o obchodní tajemství, tak i notoricky známé osobní údaje) a celkový výkon infrastruktury.
V souladu s tím se objevil průmysl informační bezpečnosti. Průmysl na to zareagoval celou řadou zařízení pro analýzu provozu (DPI), od systémů prevence útoků DDOS po systémy pro správu událostí zabezpečení informací, včetně IDS, IPS, DLP, NBA, SIEM, Antimailware a tak dále. Každý z těchto nástrojů je obvykle software, který je nainstalován na serverové platformě. Navíc je každý program (analytický nástroj) nainstalován na své vlastní serverové platformě: výrobci softwaru jsou různí a pro analýzu na L7 je zapotřebí mnoho výpočetních zdrojů.
Při budování systému informační bezpečnosti je nutné vyřešit řadu základních úkolů:
- jak převést provoz z infrastruktury do analytických systémů? (Porty SPAN původně vyvinuté pro tento účel v moderní infrastruktuře nestačí ani kvantitativně, ani výkonnostně)
- jak distribuovat provoz mezi různé analytické systémy?
- jak škálovat systémy, když není dostatečný výkon jedné instance analyzátoru pro zpracování celého objemu provozu, který do ní vstupuje?
- jak monitorovat rozhraní 40G/100G (a v blízké budoucnosti i 200G/400G), protože analytické nástroje v současnosti podporují pouze rozhraní 1G/10G/25G?
A následující související úkoly:
- jak minimalizovat nevhodný provoz, který není třeba zpracovávat, ale dostává se k analytickým nástrojům a spotřebovává jejich zdroje?
- jak zacházet se zapouzdřenými pakety a pakety s hardwarovými servisními značkami, jejichž příprava pro analýzu se ukáže být náročná na zdroje nebo vůbec nerealizovatelná?
- jak z analýzy vyloučit část provozu, která není regulována bezpečnostní politikou (například provoz hlavy).
Jak každý ví, poptávka vytváří nabídku, v reakci na tyto potřeby se začali vyvíjet síťoví zprostředkovatelé paketů.
Obecný popis síťových zprostředkovatelů paketů
Síťoví paketoví brokeři pracují na úrovni paketů a v tom jsou podobní běžným switchům. Hlavní rozdíl od přepínačů je v tom, že pravidla pro distribuci a agregaci provozu v síťových paketových brokerech jsou zcela určena nastavením. Síťoví paketoví brokeři nemají standardy pro vytváření předávacích tabulek (MAC tabulek) a výměnných protokolů s jinými přepínači (např. STP), a proto je v nich škála možných nastavení a srozumitelných polí mnohem širší. Broker může rovnoměrně distribuovat provoz z jednoho nebo více vstupních portů do daného rozsahu výstupních portů pomocí funkce vyrovnávání výstupní zátěže. Můžete nastavit pravidla pro kopírování, filtrování, klasifikaci, deduplikaci a úpravu provozu. Tato pravidla lze aplikovat na různé skupiny vstupních portů zprostředkovatele síťových paketů a také je lze aplikovat postupně jeden po druhém v samotném zařízení. Důležitou výhodou paketového zprostředkovatele je schopnost zpracovávat provoz při plné rychlosti a zachovat integritu relací (v případě vyrovnávání provozu na několik DPI systémů stejného typu).
Zachování integrity relací spočívá v přenesení všech paketů relace transportní vrstvy (TCP / UDP / SCTP) na jeden port. To je důležité, protože systémy DPI (obvykle software běžící na serveru připojeném k výstupnímu portu zprostředkovatele paketů) analyzují obsah provozu na úrovni aplikace a všechny pakety odeslané/přijaté jednou aplikací musí dorazit do stejné instance serveru. analyzátor . Pokud jsou pakety jedné relace ztraceny nebo distribuovány mezi různá zařízení DPI, pak každé jednotlivé zařízení DPI bude v situaci analogické ke čtení ne celého textu, ale jednotlivých slov z něj. A text s největší pravděpodobností nebude rozumět.
Síťoví zprostředkovatelé paketů, kteří se zaměřují na systémy informační bezpečnosti, mají funkce, které pomáhají propojit softwarové systémy DPI s vysokorychlostními telekomunikačními sítěmi a snižují jejich zatížení: předfiltrují, klasifikují a připravují provoz, aby zjednodušili následné zpracování.
Navíc, jelikož síťoví paketoví brokeři poskytují širokou škálu statistik a jsou často připojeni k různým bodům v síti, nacházejí své místo i při diagnostice zdravotních problémů samotné síťové infrastruktury.
Základní funkce síťových zprostředkovatelů paketů
Název "dedikované/monitorovací přepínače" vznikl ze základního účelu: shromažďovat provoz z infrastruktury (obvykle pomocí pasivních optických odbočovačů TAP a/nebo SPAN portů) a distribuovat jej mezi analytické nástroje. Provoz je zrcadlen (duplikován) mezi systémy různých typů a vyvážen mezi systémy stejného typu. Mezi základní funkce obvykle patří filtrování podle polí do L4 (MAC, IP, TCP / UDP port atd.) a agregace několika málo zatížených kanálů do jednoho (např. pro zpracování na jednom DPI systému).
Tato funkcionalita poskytuje řešení základního úkolu – připojení DPI systémů k síťové infrastruktuře. Brokeři různých výrobců, omezeni na základní funkcionalitu, poskytují zpracování až 32 100G rozhraní na 1U (více rozhraní se na přední panel 1U fyzicky nevejde). Neumožňují však snížit zátěž analytických nástrojů a pro komplexní infrastrukturu nemohou zajistit ani požadavky na základní funkci: relace distribuovaná do několika tunelů (nebo vybavená MPLS tagy) může být nevyvážená pro různé instance analyzátor a obecně z analýzy vypadnou.
Kromě přidání rozhraní 40/100G a v důsledku toho zlepšení výkonu se síťoví zprostředkovatelé paketů aktivně rozvíjejí, pokud jde o poskytování zásadně nových funkcí: od vyvažování na vnořených hlavičkách tunelů po dešifrování provozu. Takové modely se bohužel nemohou pochlubit výkonem v terabitech, ale umožňují vybudovat skutečně kvalitní a technicky „krásný“ systém informační bezpečnosti, ve kterém každý analytický nástroj zaručeně obdrží pouze ty informace, které potřebuje, v té nejvhodnější podobě. pro analýzu.
Pokročilé funkce síťových paketových brokerů
1. Zmíněno výše vyvažování vnořených hlaviček v tunelovaném provozu.
Proč je to důležité? Zvažte 3 aspekty, které mohou být kritické společně nebo samostatně:
- zajištění rovnoměrného vyvážení v přítomnosti malého počtu tunelů. V případě, že jsou v místě připojení systémů informační bezpečnosti pouze 2 tunely, nebude možné je při zachování relace vyvážit externími hlavičkami na 3 serverových platformách. Současně je provoz v síti přenášen nerovnoměrně a nasměrování každého tunelu do samostatného zpracovatelského zařízení bude vyžadovat nadměrný výkon druhého;
- zajištění integrity relací a toků multisession protokolů (například FTP a VoIP), jejichž pakety končily v různých tunelech. Složitost síťové infrastruktury se neustále zvyšuje: redundance, virtualizace, zjednodušení administrace a tak dále. Na jednu stranu to zvyšuje spolehlivost z hlediska přenosu dat, na druhou stranu to komplikuje práci systémům informační bezpečnosti. I při dostatečném výkonu analyzátorů pro zpracování vyhrazeného kanálu s tunely se problém ukazuje jako neřešitelný, protože některé pakety uživatelské relace jsou přenášeny přes jiný kanál. Navíc, pokud se stále snaží starat o integritu relací v některých infrastrukturách, pak protokoly s více relacemi mohou jít úplně jinými cestami;
- vyvažování za přítomnosti MPLS, VLAN, jednotlivých značek zařízení atd. Ne ve skutečnosti tunely, ale přesto zařízení se základní funkčností může tento provoz chápat ne jako IP a vyvážení podle MAC adres, což opět porušuje jednotnost vyvažování nebo integrity relace.
Zprostředkovatel síťových paketů analyzuje vnější hlavičky a postupně sleduje ukazatele až k vnořené hlavičce IP a balancuje již na ní. Díky tomu je streamů podstatně více (respektive může být nevyváženější a na větším počtu platforem) a systém DPI přijímá všechny pakety relací a všechny přidružené relace multisession protokolů.
2. Úprava provozu.
Jedna z nejširších funkcí, pokud jde o její schopnosti, počet podfunkcí a možností jejich použití je mnoho:
- odstranění užitečného zatížení, v takovém případě jsou analyzátoru předány pouze hlavičky paketů. To je relevantní pro analytické nástroje nebo pro typy provozu, ve kterých obsah paketů buď nehraje roli, nebo jej nelze analyzovat. Například pro šifrovaný provoz mohou být zajímavá data o parametrické výměně (kdo, s kým, kdy a kolik), zatímco užitečné zatížení je ve skutečnosti odpad, který zabírá kanál a výpočetní zdroje analyzátoru. Variace jsou možné, když je užitečné zatížení odříznuto od daného offsetu – to poskytuje další prostor pro analytické nástroje;
- detunelování, jmenovitě odstranění hlaviček, které označují a identifikují tunely. Cílem je snížit zátěž analytických nástrojů a zvýšit jejich efektivitu. Detunelování může být založeno na pevném posunu nebo s dynamickou analýzou záhlaví a určením posunu na základě paketu;
- odstranění některých hlaviček paketů: MPLS tagy, VLAN, specifická pole zařízení třetích stran;
- maskování části hlaviček, například maskování IP adres pro zajištění anonymizace provozu;
- přidání informací o službě do paketu: časová razítka, vstupní port, štítky tříd provozu atd.
3. Deduplikace – čištění opakujících se provozních paketů přenášených do analytických nástrojů. Duplicitní pakety se nejčastěji vyskytují kvůli zvláštnostem připojení k infrastruktuře - provoz může procházet několika body analýzy a může být zrcadlen z každého z nich. Dochází i k přeposílání nekompletních TCP paketů, ale pokud je jich hodně, tak to jsou spíše otázky na sledování kvality sítě a ne na informační bezpečnost v ní.
4. Pokročilé funkce filtrování – od hledání konkrétních hodnot při daném offsetu až po analýzu signatur v celém balíčku.
5. Generování NetFlow/IPFIX – shromažďování široké škály statistik o průchodu provozu a jeho převod do analytických nástrojů.
6. Dešifrování provozu SSL, funguje za předpokladu, že certifikát a klíče jsou nejprve načteny do zprostředkovatele síťových paketů. To vám však umožňuje výrazně uvolnit analytické nástroje.
Existuje mnohem více funkcí, užitečných a marketingových, ale ty hlavní jsou možná uvedeny.
Vývoj detekčních systémů (narušení, DDOS útoky) na systémy pro jejich prevenci, stejně jako zavedení aktivních DPI nástrojů, si vyžádalo změnu schématu přepínání z pasivního (přes TAP nebo SPAN porty) na aktivní (“in break” ). Tato okolnost zvýšila požadavky na spolehlivost (protože výpadek v tomto případě vede k narušení celé sítě a nejen ke ztrátě kontroly nad informační bezpečností) a vedla k výměně optických vazebních členů za optické bypassy (za účelem vyřešit problém závislosti výkonu sítě na výkonu informační bezpečnosti systémů), ale hlavní funkčnost a požadavky na něj zůstaly stejné.
Vyvinuli jsme DS Integrity Network Packet Brokers s rozhraními 100G, 40G a 10G od návrhu a obvodů až po vestavěný software. Navíc, na rozdíl od jiných zprostředkovatelů paketů, jsou funkce modifikace a vyvažování pro vnořené hlavičky tunelů implementovány v našem hardwaru při plné rychlosti portu.
Zdroj: www.habr.com