Mae diogelwch gwybodaeth wedi gwahanu oddi wrth delathrebu i fod yn ddiwydiant annibynnol gyda'i fanylion ei hun a'i offer ei hun. Ond mae yna ddosbarth anhysbys o ddyfeisiau sy'n sefyll ar gyffordd telathrebu ac infobez - broceriaid pecynnau rhwydwaith (Brocer Pecyn Rhwydwaith), maent hefyd yn gydbwyswyr llwyth, switshis arbenigol / monitro, agregwyr traffig, Llwyfan Cyflenwi Diogelwch, Gwelededd Rhwydwaith ac yn y blaen. Ac rydym ni, fel datblygwr Rwsia a gwneuthurwr dyfeisiau o'r fath, wir eisiau dweud mwy wrthych amdanynt.
Cwmpas a thasgau i'w datrys
Mae broceriaid pecynnau rhwydwaith yn ddyfeisiadau arbenigol sydd wedi dod o hyd i'r defnydd mwyaf mewn systemau diogelwch gwybodaeth. O'r herwydd, mae'r dosbarth dyfais yn gymharol newydd ac ychydig o seilwaith rhwydwaith cyffredin o'i gymharu â switshis, llwybryddion, ac ati. Yr arloeswr yn natblygiad y math hwn o ddyfais oedd y cwmni Americanaidd Gigamon. Ar hyn o bryd, mae llawer mwy o chwaraewyr yn y farchnad hon (gan gynnwys atebion tebyg gan y gwneuthurwr adnabyddus o systemau prawf - IXIA), ond dim ond cylch cul o weithwyr proffesiynol sy'n dal i wybod am fodolaeth dyfeisiau o'r fath. Fel y nodwyd uchod, hyd yn oed gyda'r derminoleg nid oes unrhyw sicrwydd diamwys: mae'r enwau'n amrywio o "systemau tryloywder rhwydwaith" i "gydbwyswyr" syml.
Wrth ddatblygu broceriaid pecynnau rhwydwaith, roeddem yn wynebu'r ffaith, yn ogystal â dadansoddi'r cyfarwyddiadau ar gyfer datblygu ymarferoldeb a phrofion mewn labordai / parthau prawf, bod angen esbonio ar yr un pryd i ddarpar ddefnyddwyr am fodolaeth y dosbarth hwn o offer. , gan nad yw pawb yn gwybod amdano.
Hyd yn oed 15-20 mlynedd yn ôl, nid oedd llawer o draffig ar y rhwydwaith, ac roedd yn ddata dibwys ar y cyfan. Ond yn ailadrodd yn ymarferol : Mae cyflymder cysylltiad rhyngrwyd yn cynyddu 50% bob blwyddyn. Mae maint y traffig hefyd yn tyfu'n raddol (mae'r graff yn dangos rhagolwg 2017 gan Cisco, ffynhonnell Cisco Visual Networking Index: Forecast and Tueddiadau, 2017-2022):
Ynghyd â chyflymder, mae pwysigrwydd cylchredeg gwybodaeth (mae hyn yn gyfrinach fasnachol ac yn ddata personol drwg-enwog) a pherfformiad cyffredinol y seilwaith yn cynyddu.
Yn unol â hynny, mae'r diwydiant diogelwch gwybodaeth wedi dod i'r amlwg. Mae'r diwydiant wedi ymateb i hyn gydag ystod gyfan o ddyfeisiau dadansoddi traffig (DPI), o systemau atal ymosodiadau DDOS i systemau rheoli digwyddiadau diogelwch gwybodaeth, gan gynnwys IDS, IPS, DLP, NBA, SIEM, Antimailware ac yn y blaen. Yn nodweddiadol, mae pob un o'r offer hyn yn feddalwedd sy'n cael ei osod ar lwyfan gweinydd. Ar ben hynny, mae pob rhaglen (offeryn dadansoddi) wedi'i osod ar ei lwyfan gweinydd ei hun: mae gweithgynhyrchwyr meddalwedd yn wahanol, ac mae angen llawer o adnoddau cyfrifiadurol ar gyfer dadansoddi L7.
Wrth adeiladu system diogelwch gwybodaeth, mae angen datrys nifer o dasgau sylfaenol:
- sut i drosglwyddo traffig o seilwaith i systemau dadansoddi? (nid yw'r porthladdoedd SPAN a ddatblygwyd yn wreiddiol ar gyfer hyn mewn seilwaith modern yn ddigon o ran maint nac o ran perfformiad)
- sut i ddosbarthu traffig rhwng systemau dadansoddi gwahanol?
- sut i raddio systemau pan nad oes digon o berfformiad un enghraifft o'r dadansoddwr i brosesu'r holl draffig sy'n dod i mewn iddo?
- sut i fonitro rhyngwynebau 40G/100G (ac yn y dyfodol agos hefyd 200G/400G), gan mai dim ond rhyngwynebau 1G/10G/25G y mae offer dadansoddi yn eu cefnogi ar hyn o bryd?
A'r tasgau cysylltiedig canlynol:
- sut i leihau traffig amhriodol nad oes angen ei brosesu, ond sy'n cyrraedd yr offer dadansoddi ac yn defnyddio eu hadnoddau?
- sut i brosesu pecynnau a phecynnau wedi'u hamgáu gyda marciau gwasanaeth caledwedd, y mae eu paratoi ar gyfer dadansoddiad yn troi allan i fod naill ai'n ddwys o ran adnoddau neu'n amhosibl eu gwireddu o gwbl?
- sut i eithrio o'r dadansoddiad rhan o'r traffig nad yw'n cael ei reoleiddio gan y polisi diogelwch (er enghraifft, traffig y pen).
Fel y gŵyr pawb, mae galw yn creu cyflenwad, mewn ymateb i'r anghenion hyn, dechreuodd broceriaid pecynnau rhwydwaith ddatblygu.
Disgrifiad Cyffredinol o Broceriaid Pecyn Rhwydwaith
Mae broceriaid pecynnau rhwydwaith yn gweithio ar lefel y pecyn, ac yn hyn maent yn debyg i switshis cyffredin. Y prif wahaniaeth o switshis yw bod y rheolau ar gyfer dosbarthu a chyfuno traffig mewn broceriaid pecynnau rhwydwaith yn cael eu pennu'n llwyr gan y gosodiadau. Nid oes gan froceriaid pecynnau rhwydwaith safonau ar gyfer adeiladu tablau anfon ymlaen (tablau MAC) a phrotocolau cyfnewid gyda switshis eraill (fel STP), ac felly mae'r ystod o leoliadau posibl a meysydd dealladwy ynddynt yn llawer ehangach. Gall brocer ddosbarthu traffig yn gyfartal o un neu fwy o borthladdoedd mewnbwn i ystod benodol o borthladdoedd allbwn gyda nodwedd cydbwyso llwyth allbwn. Gallwch osod rheolau ar gyfer copïo, hidlo, dosbarthu, dad-ddyblygu ac addasu traffig. Gellir cymhwyso'r rheolau hyn i wahanol grwpiau o borthladdoedd mewnbwn y brocer pecyn rhwydwaith, yn ogystal â'u cymhwyso'n ddilyniannol un ar ôl y llall yn y ddyfais ei hun. Mantais bwysig brocer pecynnau yw'r gallu i brosesu traffig ar gyfradd llif llawn a chadw cyfanrwydd y sesiynau (yn achos cydbwyso traffig â sawl system DPI o'r un math).
Cadw uniondeb y sesiynau yw trosglwyddo holl becynnau sesiwn yr haen gludo (TCP / CDU / SCTP) i un porthladd. Mae hyn yn bwysig oherwydd bod systemau DPI (fel arfer meddalwedd sy'n rhedeg ar weinydd sydd wedi'i gysylltu â phorth allbwn brocer pecynnau) yn dadansoddi cynnwys traffig ar lefel y cais, a rhaid i bob pecyn a anfonir / a dderbynnir gan un cais gyrraedd yr un achos o'r dadansoddwr. Os bydd pecynnau un sesiwn yn cael eu colli neu eu dosbarthu ymhlith gwahanol ddyfeisiadau DPI, yna bydd pob dyfais DPI unigol mewn sefyllfa sy'n cyfateb i ddarllen nid testun cyfan, ond geiriau unigol ohono. Ac, yn fwyaf tebygol, ni fydd y testun yn deall.
Felly, gan ganolbwyntio ar systemau diogelwch gwybodaeth, mae gan froceriaid pecynnau rhwydwaith ymarferoldeb sy'n helpu i gysylltu systemau meddalwedd DPI â rhwydweithiau telathrebu cyflym a lleihau'r llwyth arnynt: maent yn rhag-hidlo, dosbarthu a pharatoi traffig i symleiddio prosesu dilynol.
Yn ogystal, gan fod broceriaid pecynnau rhwydwaith yn darparu ystod eang o ystadegau ac yn aml yn gysylltiedig â phwyntiau amrywiol yn y rhwydwaith, maent hefyd yn canfod eu lle wrth wneud diagnosis o broblemau iechyd seilwaith y rhwydwaith ei hun.
Swyddogaethau Sylfaenol Broceriaid Pecyn Rhwydwaith
Cododd yr enw "switsys pwrpasol / monitro" o'r pwrpas sylfaenol: casglu traffig o'r seilwaith (gan ddefnyddio tapiau TAP optegol goddefol a / neu borthladdoedd SPAN fel arfer) a'i ddosbarthu ymhlith offer dadansoddi. Caiff traffig ei adlewyrchu (ei ddyblygu) rhwng systemau o wahanol fathau, a'i gydbwyso rhwng systemau o'r un math. Mae'r swyddogaethau sylfaenol fel arfer yn cynnwys hidlo fesul maes hyd at L4 (MAC, IP, porthladd TCP / CDU, ac ati) a chydgrynhoi sawl sianel wedi'u llwytho'n ysgafn i mewn i un (er enghraifft, ar gyfer prosesu ar un system DPI).
Mae'r swyddogaeth hon yn darparu ateb i'r dasg sylfaenol - cysylltu systemau DPI â seilwaith y rhwydwaith. Mae broceriaid o wahanol wneuthurwyr, sy'n gyfyngedig i ymarferoldeb sylfaenol, yn darparu prosesu hyd at 32 o ryngwynebau 100G fesul 1U (nid yw mwy o ryngwynebau yn ffitio'n gorfforol ar y panel blaen 1U). Fodd bynnag, nid ydynt yn caniatáu lleihau'r llwyth ar offer dadansoddi, ac ar gyfer seilwaith cymhleth ni allant hyd yn oed ddarparu'r gofynion ar gyfer swyddogaeth sylfaenol: gall sesiwn a ddosberthir dros sawl twnnel (neu sydd â thagiau MPLS) fod yn anghytbwys ar gyfer gwahanol achosion o'r dadansoddwr ac yn gyffredinol yn disgyn allan o'r dadansoddiad.
Yn ogystal ag ychwanegu rhyngwynebau 40/100G ac, o ganlyniad, gwella perfformiad, mae broceriaid pecynnau rhwydwaith yn datblygu'n weithredol o ran darparu nodweddion sylfaenol newydd: o gydbwyso penawdau twnnel nythu i ddadgryptio traffig. Yn anffodus, ni all modelau o'r fath ymffrostio mewn perfformiad mewn terabits, ond maent yn ei gwneud hi'n bosibl adeiladu system diogelwch gwybodaeth “hardd” o ansawdd uchel iawn lle mae pob offeryn dadansoddi yn sicr o dderbyn dim ond y wybodaeth sydd ei hangen arno yn y ffurf fwyaf addas. ar gyfer dadansoddi.
Swyddogaethau uwch broceriaid pecynnau rhwydwaith
1. Soniwyd uchod cydbwyso pennawd nythu mewn traffig twnelu.
Pam ei fod yn bwysig? Ystyriwch 3 agwedd a all fod yn hollbwysig gyda’i gilydd neu ar wahân:
- sicrhau cydbwysedd unffurf ym mhresenoldeb nifer fach o dwneli. Os mai dim ond 2 dwnnel sydd ar bwynt cysylltu systemau diogelwch gwybodaeth, yna ni fydd yn bosibl eu hanghydbwyso gan benawdau allanol ar 3 platfform gweinydd wrth gynnal y sesiwn. Ar yr un pryd, mae traffig yn y rhwydwaith yn cael ei drosglwyddo'n anwastad, a bydd cyfeiriad pob twnnel i gyfleuster prosesu ar wahân yn gofyn am berfformiad gormodol yr olaf;
- sicrhau cywirdeb sesiynau a ffrydiau o brotocolau aml-sesiwn (er enghraifft, FTP a VoIP), y daeth pecynnau o'r rhain i ben mewn twneli gwahanol. Mae cymhlethdod y seilwaith rhwydwaith yn cynyddu'n gyson: diswyddo, rhithwiroli, symleiddio gweinyddiaeth, ac ati. Ar y naill law, mae hyn yn cynyddu dibynadwyedd o ran trosglwyddo data, ar y llaw arall, mae'n cymhlethu gwaith systemau diogelwch gwybodaeth. Hyd yn oed gyda pherfformiad digonol y dadansoddwyr i brosesu sianel bwrpasol gyda thwneli, mae'r broblem yn troi allan i fod yn un na ellir ei datrys, gan fod rhai o'r pecynnau sesiwn defnyddwyr yn cael eu trosglwyddo dros sianel arall. Ar ben hynny, os ydynt yn dal i geisio gofalu am gyfanrwydd sesiynau mewn rhai seilweithiau, yna gall protocolau aml-sesiwn fynd yn hollol wahanol;
- cydbwyso ym mhresenoldeb MPLS, VLAN, tagiau offer unigol, ac ati. Ddim yn twneli mewn gwirionedd, ond serch hynny, gall offer ag ymarferoldeb sylfaenol ddeall y traffig hwn nid fel IP a chydbwysedd gan gyfeiriadau MAC, unwaith eto yn torri ar unffurfiaeth cydbwyso neu gyfanrwydd sesiwn.
Mae'r brocer pecynnau rhwydwaith yn dosrannu'r penawdau allanol ac yn dilyn yr awgrymiadau hyd at y pennawd IP nythu ac yn cydbwyso sydd arno eisoes. O ganlyniad, mae llawer mwy o ffrydiau (yn y drefn honno, gall fod yn anghytbwys yn fwy cyfartal ac ar nifer fwy o lwyfannau), ac mae'r system DPI yn derbyn yr holl becynnau sesiwn a'r holl sesiynau cysylltiedig o brotocolau aml-sesiwn.
2. Addasu traffig.
Un o'r swyddogaethau ehangaf o ran ei alluoedd, mae nifer yr is-swyddogaethau a'r opsiynau ar gyfer eu defnyddio yn llawer:
- cael gwared ar lwyth tâl, ac os felly dim ond penawdau pecynnau sy'n cael eu trosglwyddo i'r parser. Mae hyn yn berthnasol ar gyfer offer dadansoddi neu ar gyfer mathau o draffig lle nad yw cynnwys y pecynnau naill ai'n chwarae rôl neu na ellir eu dadansoddi. Er enghraifft, ar gyfer traffig wedi'i amgryptio, gall data cyfnewid parametrig (pwy, gyda phwy, pryd, a faint) fod o ddiddordeb, tra bod llwyth tâl mewn gwirionedd yn garbage sy'n meddiannu adnoddau sianel ac adnoddau cyfrifiadurol y dadansoddwr. Mae amrywiadau yn bosibl pan fydd y llwyth tâl yn cael ei dorri i ffwrdd gan ddechrau o wrthbwyso penodol - mae hyn yn rhoi cwmpas ychwanegol ar gyfer offer dadansoddi;
- detwneling, sef cael gwared ar benawdau sy'n dynodi ac yn nodi twneli. Y nod yw lleihau'r llwyth ar offer dadansoddi a chynyddu eu heffeithlonrwydd. Gall detwneling fod yn seiliedig ar wrthbwyso sefydlog neu ddadansoddiad pennawd deinamig a phenderfyniad gwrthbwyso ar gyfer pob pecyn;
- tynnu rhai penawdau pecyn: tagiau MPLS, VLAN, meysydd penodol o offer trydydd parti;
- cuddio rhan o'r penawdau, er enghraifft, cuddio cyfeiriadau IP i sicrhau bod traffig yn ddienw;
- ychwanegu gwybodaeth gwasanaeth at y pecyn: stampiau amser, porthladd mewnbwn, labeli dosbarth traffig, ac ati.
3. Datblygiad – glanhau pecynnau traffig ailadroddus a drosglwyddir i offer dadansoddi. Mae pecynnau dyblyg yn digwydd amlaf oherwydd hynodrwydd cysylltu â'r seilwaith - gall traffig fynd trwy sawl pwynt dadansoddi a chael ei adlewyrchu o bob un ohonynt. Mae yna hefyd ail-anfon o becynnau TCP anghyflawn, ond os oes llawer ohonynt, yna mae'r rhain yn fwy o gwestiynau ar gyfer monitro ansawdd y rhwydwaith, ac nid ar gyfer diogelwch gwybodaeth ynddo.
4. nodweddion hidlo uwch – o chwilio am werthoedd penodol ar wrthbwyso penodol i ddadansoddi llofnod drwy gydol y pecyn cyfan.
5. Cynhyrchu NetFlow/IPFIX – casglu ystod eang o ystadegau ar draffig sy'n mynd heibio a'i drosglwyddo i offer dadansoddi.
6. Dadgryptio traffig SSL, gwaith ar yr amod bod y dystysgrif a'r allweddi yn cael eu llwytho i mewn i'r brocer pecynnau rhwydwaith yn gyntaf. Serch hynny, mae hyn yn caniatáu ichi ddadlwytho'r offer dadansoddi yn sylweddol.
Mae llawer mwy o swyddogaethau, defnyddiol a marchnata, ond mae'r prif rai, efallai, wedi'u rhestru.
Roedd datblygu systemau canfod (ymwthiadau, ymosodiadau DDOS) yn systemau ar gyfer eu hatal, yn ogystal â chyflwyno offer DPI gweithredol, yn gofyn am newid yn y cynllun newid o oddefol (trwy borthladdoedd TAP neu SPAN) i weithgar ("mewn egwyl" ). Cynyddodd yr amgylchiad hwn y gofynion ar gyfer dibynadwyedd (oherwydd bod methiant yn yr achos hwn yn arwain at amhariad ar y rhwydwaith cyfan, ac nid yn unig at golli rheolaeth dros ddiogelwch gwybodaeth) ac wedi arwain at ddisodli cyplyddion optegol gyda ffyrdd osgoi optegol (er mwyn datrys y broblem o ddibyniaeth perfformiad y rhwydwaith ar berfformiad diogelwch gwybodaeth systemau), ond arhosodd y prif swyddogaeth a gofynion ar ei gyfer yr un fath.
Rydym wedi datblygu Broceriaid Pecyn Rhwydwaith Uniondeb DS gyda rhyngwynebau 100G, 40G a 10G o ddylunio a chylchedwaith i feddalwedd wedi'i fewnosod. Ar ben hynny, yn wahanol i froceriaid pecynnau eraill, mae'r swyddogaethau addasu a chydbwyso ar gyfer penawdau twnnel nythu yn cael eu gweithredu yn ein caledwedd, ar gyflymder porthladd llawn.
Ffynhonnell: hab.com