Informationssikkerhed er adskilt fra telekommunikation til en uafhængig industri med sine egne detaljer og sit eget udstyr. Men der er en lidet kendt klasse af enheder, der står i krydset mellem telekommunikation og infobez - netværkspakkemæglere (Network Packet Broker), de er også load balancers, specialiserede / overvågningsswitches, trafikaggregatorer, Security Delivery Platform, Network Synlighed og så videre. Og vi, som en russisk udvikler og producent af sådanne enheder, vil virkelig gerne fortælle dig mere om dem.
Omfang og opgaver, der skal løses
Netværkspakkemæglere er specialiserede enheder, der har fundet den største brug i informationssikkerhedssystemer. Som sådan er enhedsklassen relativt ny og få i almindelig netværksinfrastruktur sammenlignet med switches, routere og så videre. Pioneren i udviklingen af denne type enhed var det amerikanske firma Gigamon. I øjeblikket er der betydeligt flere spillere på dette marked (herunder lignende løsninger fra den velkendte producent af testsystemer - IXIA), men kun en snæver kreds af fagfolk ved stadig om eksistensen af sådanne enheder. Som nævnt ovenfor, selv med terminologien er der ingen entydig sikkerhed: navnene spænder fra "netværksgennemsigtighedssystemer" til simple "balancers".
Mens vi udviklede netværkspakkemæglere, blev vi konfronteret med det faktum, at det udover at analysere anvisningerne for udvikling af funktionalitet og test i laboratorier / testzoner, er nødvendigt samtidig at forklare potentielle forbrugere om eksistensen af denne klasse udstyr , da ikke alle ved om det.
Selv for 15-20 år siden var der lidt trafik på netværket, og det var for det meste ligegyldige data. Men praktisk talt gentages : Internetforbindelseshastigheden øges med 50 % årligt. Mængden af trafik vokser også støt (grafen viser 2017-prognosen fra Cisco, kilden Cisco Visual Networking Index: Forecast and Trends, 2017–2022):
Sammen med hastigheden øges vigtigheden af at cirkulere information (dette er både en forretningshemmelighed og berygtede personlige data) og den overordnede ydeevne af infrastrukturen.
Derfor er informationssikkerhedsindustrien dukket op. Industrien har reageret på dette med en lang række af trafikanalyse (DPI) enheder, fra DDOS-angrebsforebyggelsessystemer til informationssikkerhedshændelsesstyringssystemer, herunder IDS, IPS, DLP, NBA, SIEM, Antimailware og så videre. Typisk er hvert af disse værktøjer software, der er installeret på en serverplatform. Desuden er hvert program (analyseværktøj) installeret på sin egen serverplatform: softwareproducenter er forskellige, og der kræves mange computerressourcer til analyse på L7.
Når man bygger et informationssikkerhedssystem, er det nødvendigt at løse en række grundlæggende opgaver:
- hvordan overfører man trafik fra infrastruktur til analysesystemer? (SPAN-portene, der oprindeligt er udviklet til dette i moderne infrastruktur, er hverken nok i mængde eller ydeevne)
- hvordan fordeles trafik mellem forskellige analysesystemer?
- hvordan skalerer man systemer, når der ikke er nok ydeevne af en forekomst af analysatoren til at behandle hele mængden af trafik, der kommer ind i den?
- hvordan overvåger man 40G/100G-grænseflader (og i den nærmeste fremtid også 200G/400G), da analyseværktøjer i øjeblikket kun understøtter 1G/10G/25G-grænseflader?
Og følgende relaterede opgaver:
- hvordan minimerer man uhensigtsmæssig trafik, der ikke skal behandles, men kommer til analyseværktøjerne og bruger deres ressourcer?
- hvordan håndterer man indkapslede pakker og pakker med hardwareservicemærker, hvis forberedelse til analyse viser sig at være enten ressourcekrævende eller overhovedet ikke realiserbar?
- hvordan man fra analysen udelukker en del af trafikken, der ikke er reguleret af sikkerhedspolitikken (for eksempel trafik af hovedet).
Som alle ved, skaber efterspørgsel udbud, som svar på disse behov begyndte netværkspakkemæglere at udvikle sig.
Generel beskrivelse af Network Packet Brokers
Netværkspakkemæglere arbejder på pakkeniveau, og i dette ligner de almindelige switches. Den væsentligste forskel fra switches er, at reglerne for distribution og aggregering af trafik i netværkspakkemæglere er fuldstændigt bestemt af indstillingerne. Netværkspakkemæglere har ikke standarder for at bygge videresendelsestabeller (MAC-tabeller) og udveksle protokoller med andre switches (såsom STP), og derfor er udvalget af mulige indstillinger og forståelige felter i dem meget bredere. En mægler kan jævnt fordele trafik fra en eller flere input-porte til et givet udvalg af output-porte med en output-belastningsbalanceringsfunktion. Du kan angive regler for kopiering, filtrering, klassificering, deduplikering og ændring af trafik. Disse regler kan anvendes på forskellige grupper af inputporte i netværkspakkemægleren, såvel som de kan anvendes sekventielt efter hinanden i selve enheden. En vigtig fordel ved en pakkemægler er evnen til at behandle trafik ved fuld flowhastighed og bevare integriteten af sessioner (i tilfælde af balancering af trafik til flere DPI-systemer af samme type).
Bevarelse af integriteten af sessionerne er at overføre alle pakker af sessionen af transportlaget (TCP / UDP / SCTP) til én port. Dette er vigtigt, fordi DPI-systemer (normalt software, der kører på en server, der er forbundet til outputporten på en pakkemægler) analyserer indholdet af trafik på applikationsniveau, og alle pakker, der sendes/modtages af én applikation, skal ankomme til den samme forekomst af analysator. Hvis pakkerne fra en session går tabt eller fordelt mellem forskellige DPI-enheder, vil hver enkelt DPI-enhed være i en situation, der svarer til, at man ikke læser en hel tekst, men individuelle ord fra den. Og højst sandsynligt vil teksten ikke forstå.
Med fokus på informationssikkerhedssystemer har netværkspakkemæglere funktionalitet, der hjælper med at forbinde DPI-softwaresystemer til højhastigheds-telekommunikationsnetværk og reducere belastningen på dem: de forfiltrerer, klassificerer og forbereder trafik for at forenkle efterfølgende behandling.
Da netværkspakkemæglere desuden leverer en bred vifte af statistikker og ofte er forbundet til forskellige punkter i netværket, finder de også deres plads i diagnosticering af sundhedsproblemer i selve netværksinfrastrukturen.
Grundlæggende funktioner i Network Packet Brokers
Navnet "dedikerede/overvågningsswitche" opstod fra det grundlæggende formål: at indsamle trafik fra infrastrukturen (normalt ved hjælp af passive optiske TAP-haner og/eller SPAN-porte) og distribuere den blandt analyseværktøjer. Trafikken spejles (duplikeres) mellem systemer af forskellige typer og balanceres mellem systemer af samme type. De grundlæggende funktioner omfatter normalt filtrering efter felter op til L4 (MAC, IP, TCP / UDP-port osv.) og aggregering af flere let belastede kanaler til én (for eksempel til behandling på ét DPI-system).
Denne funktionalitet giver en løsning på den grundlæggende opgave - at forbinde DPI-systemer til netværksinfrastrukturen. Mæglere fra forskellige producenter, begrænset til grundlæggende funktionalitet, leverer behandling af op til 32 100G-grænseflader pr. 1U (flere grænseflader passer ikke fysisk på 1U-frontpanelet). De tillader dog ikke at reducere belastningen på analyseværktøjer, og for en kompleks infrastruktur kan de ikke engang stille kravene til en grundlæggende funktion: en session fordelt over flere tunneler (eller udstyret med MPLS-tags) kan være ubalanceret for forskellige forekomster af analysator og falder generelt ud af analysen.
Ud over at tilføje 40/100G-grænseflader og som følge heraf forbedre ydeevnen, udvikler netværkspakkemæglere sig aktivt med hensyn til at levere fundamentalt nye funktioner: fra balancering på indlejrede tunneloverskrifter til trafikdekryptering. Sådanne modeller kan desværre ikke prale af ydeevne i terabit, men de gør det muligt at bygge et virkelig højkvalitets og teknisk "smukt" informationssikkerhedssystem, hvor hvert analyseværktøj med garanti kun modtager den information, det har brug for i den form, der er bedst egnet. til analyse.
Avancerede funktioner for netværkspakkemæglere
1. Nævnt ovenfor indlejret header-balancering i tunneltrafik.
Hvorfor er det vigtigt? Overvej 3 aspekter, der kan være kritiske sammen eller hver for sig:
- sikre ensartet balancering i nærværelse af et lille antal tunneler. I tilfælde af, at der kun er 2 tunneler ved tilslutningspunktet for informationssikkerhedssystemer, vil det ikke være muligt at ubalancere dem med eksterne headere på 3 serverplatforme, mens sessionen opretholdes. Samtidig transmitteres trafikken i netværket ujævnt, og retningen af hver tunnel til en separat behandlingsfacilitet vil kræve overdreven ydeevne af sidstnævnte;
- sikring af integriteten af sessioner og strømme af multisessionsprotokoller (for eksempel FTP og VoIP), hvis pakker endte i forskellige tunneler. Netværksinfrastrukturens kompleksitet er konstant stigende: redundans, virtualisering, forenkling af administrationen og så videre. På den ene side øger det pålideligheden i forhold til datatransmission, på den anden side komplicerer det arbejdet med informationssikkerhedssystemer. Selv med tilstrækkelig ydeevne af analysatorerne til at behandle en dedikeret kanal med tunneler, viser problemet sig at være uløseligt, da nogle af brugersessionspakkerne transmitteres over en anden kanal. Desuden, hvis de stadig forsøger at tage sig af integriteten af sessioner i nogle infrastrukturer, så kan multisessionsprotokoller gå helt andre veje;
- balancering ved tilstedeværelse af MPLS, VLAN, individuelle udstyrsmærker mv. Ikke rigtig tunneler, men ikke desto mindre kan udstyr med grundlæggende funktionalitet forstå denne trafik ikke som IP og balance ved MAC-adresser, hvilket igen krænker ensartetheden af balancering eller sessionsintegritet.
Netværkspakkemægleren analyserer de ydre overskrifter og følger sekventielt pointerne op til den indlejrede IP-header og balancerer allerede på den. Som følge heraf er der væsentligt flere streams (hhv. det kan være ubalanceret mere jævnt og på et større antal platforme), og DPI-systemet modtager alle sessionspakker og alle tilhørende sessioner af multisessionsprotokoller.
2. Trafikændring.
En af de bredeste funktioner med hensyn til dens muligheder, antallet af underfunktioner og muligheder for deres brug er mange:
- fjerner nyttelast, i hvilket tilfælde kun pakkeheadere sendes til parseren. Dette er relevant for analyseværktøjer eller for trafiktyper, hvor indholdet af pakkerne enten ikke spiller en rolle eller ikke kan analyseres. For eksempel, for krypteret trafik, kan parametrisk udveksling af data (hvem, med hvem, hvornår og hvor meget) være af interesse, mens nyttelast faktisk er skrald, der optager analysatorens kanal og computerressourcer. Variationer er mulige, når nyttelasten er afskåret fra en given offset - dette giver yderligere mulighed for analyseværktøjer;
- detunneling, nemlig fjernelse af headere, der udpeger og identificerer tunneler. Målet er at reducere belastningen på analyseværktøjer og øge deres effektivitet. Detunneling kan være baseret på en fast offset eller med dynamisk header-analyse og offset-bestemmelse på pakkebasis;
- fjernelse af nogle pakkeoverskrifter: MPLS-tags, VLAN, specifikke områder af tredjepartsudstyr;
- maskering af en del af overskrifterne, for eksempel maskering af IP-adresser for at sikre trafikanonymisering;
- tilføje serviceoplysninger til pakken: tidsstempler, inputport, trafikklasseetiketter osv.
3. Deduplikation – rensning af gentagne trafikpakker, der overføres til analyseværktøjer. Duplikerede pakker opstår oftest på grund af de særlige forhold ved at oprette forbindelse til infrastrukturen - trafik kan passere gennem flere analysepunkter og spejles fra hver af dem. Der sker også en genafsendelse af ufuldstændige TCP-pakker, men hvis der er mange af dem, så er det flere spørgsmål til overvågning af netværkets kvalitet og ikke til informationssikkerhed i det.
4. Avancerede filtreringsfunktioner – fra søgning efter specifikke værdier ved en given offset til signaturanalyse gennem hele pakken.
5. NetFlow/IPFIX-generering – Indsamling af en lang række statistikker om forbipasserende trafik og overførsel heraf til analyseværktøjer.
6. Dekryptering af SSL-trafik, fungerer, forudsat at certifikatet og nøglerne først indlæses i netværkspakkemægleren. Ikke desto mindre giver dette dig mulighed for betydeligt at tømme analyseværktøjerne.
Der er mange flere funktioner, nyttige og marketing, men de vigtigste er måske listet.
Udviklingen af detektionssystemer (indtrængning, DDOS-angreb) til systemer til forebyggelse heraf, såvel som introduktionen af aktive DPI-værktøjer, krævede en ændring i koblingsskemaet fra passiv (gennem TAP- eller SPAN-porte) til aktive ("i pause" ). Denne omstændighed øgede kravene til pålidelighed (fordi en fejl i dette tilfælde fører til en afbrydelse af hele netværket og ikke kun til tab af kontrol over informationssikkerheden) og førte til udskiftning af optiske koblere med optiske bypass (for at løse problemet med afhængigheden af netværkets ydeevne af ydeevnen af systeminformationssikkerhed), men hovedfunktionaliteten og kravene til det forblev de samme.
Vi har udviklet DS Integrity Network Packet Brokers med 100G, 40G og 10G interfaces fra design og kredsløb til indlejret software. Desuden, i modsætning til andre pakkemæglere, er modifikations- og balanceringsfunktionerne for indlejrede tunnelheadere implementeret i vores hardware ved fuld porthastighed.
Kilde: www.habr.com