ProHoster > Blog > Verwaltung > Moderne Lösungen zum Aufbau von Informationssicherheitssystemen – Netzwerkpaket-Broker (Network Packet Broker)

Moderne Lösungen zum Aufbau von Informationssicherheitssystemen – Netzwerkpaket-Broker (Network Packet Broker)

Die Informationssicherheit hat sich von der Telekommunikation zu einer eigenständigen Branche mit eigenen Besonderheiten und eigener Ausstattung abgespalten. Aber es gibt eine wenig bekannte Geräteklasse, die an der Schnittstelle zwischen Telekommunikation und InfoBez steht – Netzwerk-Paket-Broker (Network Packet Broker), sie sind auch Load Balancer, spezialisierte/Überwachungs-Switches, Verkehrsaggregatoren, Security Delivery Platform, Network Visibility und so weiter. Und wir als russischer Entwickler und Hersteller solcher Geräte möchten Ihnen unbedingt mehr darüber erzählen.

Moderne Lösungen zum Aufbau von Informationssicherheitssystemen – Netzwerkpaket-Broker (Network Packet Broker)

Umfang und zu lösende Aufgaben

Netzwerkpaket-Broker sind spezialisierte Geräte, die in Informationssicherheitssystemen am häufigsten eingesetzt werden. Daher ist die Geräteklasse relativ neu und kommt im Vergleich zu Switches, Routern usw. nur selten in der gängigen Netzwerkinfrastruktur vor. Der Pionier bei der Entwicklung dieses Gerätetyps war das amerikanische Unternehmen Gigamon. Derzeit gibt es auf diesem Markt deutlich mehr Player (darunter ähnliche Lösungen des bekannten Herstellers von Testsystemen – IXIA), aber nur ein enger Kreis von Fachleuten weiß noch von der Existenz solcher Geräte. Wie oben erwähnt, gibt es auch bei der Terminologie keine eindeutige Sicherheit: Die Namen reichen von „Netzwerktransparenzsystemen“ bis hin zu einfachen „Balancern“.

Bei der Entwicklung von Netzwerk-Paket-Brokern waren wir mit der Tatsache konfrontiert, dass es neben der Analyse der Richtungen für die Entwicklung von Funktionalität und Tests in Laboren/Testzonen auch notwendig ist, potenziellen Verbrauchern gleichzeitig die Existenz dieser Geräteklasse zu erklären , da nicht jeder davon weiß.

Noch vor 15 bis 20 Jahren gab es im Netzwerk wenig Verkehr und es handelte sich überwiegend um unwichtige Daten. Aber Nielsens Gesetz wiederholt sich praktisch Moores Gesetz: Die Geschwindigkeit der Internetverbindung steigt jährlich um 50 %. Auch das Verkehrsaufkommen nimmt stetig zu (die Grafik zeigt die Prognose 2017 von Cisco, Quelle Cisco Visual Networking Index: Forecast and Trends, 2017–2022):

Moderne Lösungen zum Aufbau von Informationssicherheitssystemen – Netzwerkpaket-Broker (Network Packet Broker)
Mit der Geschwindigkeit nehmen auch die Bedeutung der Verbreitung von Informationen (dies sind sowohl Geschäftsgeheimnisse als auch berüchtigte personenbezogene Daten) und die Gesamtleistung der Infrastruktur zu.

Dementsprechend ist die Informationssicherheitsbranche entstanden. Die Branche hat darauf mit einer ganzen Reihe von Geräten zur Verkehrsanalyse (DPI) reagiert, von Systemen zur Verhinderung von DDOS-Angriffen bis hin zu Systemen zur Verwaltung von Informationssicherheitsereignissen, einschließlich IDS, IPS, DLP, NBA, SIEM, Antimailware und so weiter. Normalerweise handelt es sich bei jedem dieser Tools um Software, die auf einer Serverplattform installiert wird. Darüber hinaus ist jedes Programm (Analysetool) auf einer eigenen Serverplattform installiert: Softwarehersteller sind unterschiedlich und für die Analyse auf L7 sind viele Rechenressourcen erforderlich.

Beim Aufbau eines Informationssicherheitssystems müssen eine Reihe grundlegender Aufgaben gelöst werden:

  • Wie überträgt man Datenverkehr von der Infrastruktur auf Analysesysteme? (Die ursprünglich dafür entwickelten SPAN-Ports in der modernen Infrastruktur reichen weder in der Menge noch in der Leistung aus)
  • Wie verteilt man den Datenverkehr zwischen verschiedenen Analysesystemen?
  • Wie können Systeme skaliert werden, wenn die Leistung einer Instanz des Analysators nicht ausreicht, um das gesamte eingehende Datenvolumen zu verarbeiten?
  • Wie überwacht man 40G/100G-Schnittstellen (und in naher Zukunft auch 200G/400G), da Analysetools derzeit nur 1G/10G/25G-Schnittstellen unterstützen?

Und die folgenden damit verbundenen Aufgaben:

  • Wie kann unangemessener Datenverkehr minimiert werden, der nicht verarbeitet werden muss, aber zu den Analysetools gelangt und deren Ressourcen verbraucht?
  • Wie verarbeitet man gekapselte Pakete und Pakete mit Hardware-Service-Marken, deren Vorbereitung zur Analyse entweder ressourcenintensiv oder gar nicht realisierbar ist?
  • So schließen Sie einen Teil des Datenverkehrs, der nicht durch die Sicherheitsrichtlinie geregelt ist (z. B. Head-Traffic), von der Analyse aus.

Moderne Lösungen zum Aufbau von Informationssicherheitssystemen – Netzwerkpaket-Broker (Network Packet Broker)
Wie jeder weiß, schafft die Nachfrage das Angebot. Als Reaktion auf diese Bedürfnisse begannen sich Netzwerk-Paket-Broker zu entwickeln.

Allgemeine Beschreibung von Netzwerkpaket-Brokern

Netzwerkpaket-Broker arbeiten auf Paketebene und ähneln darin gewöhnlichen Switches. Der Hauptunterschied zu Switches besteht darin, dass die Regeln für die Verteilung und Aggregation des Datenverkehrs bei Netzwerkpaket-Brokern vollständig durch die Einstellungen bestimmt werden. Netzwerkpaket-Broker verfügen nicht über Standards für die Erstellung von Weiterleitungstabellen (MAC-Tabellen) und den Austausch von Protokollen mit anderen Switches (z. B. STP), weshalb der Bereich möglicher Einstellungen und verständlicher Felder darin viel größer ist. Mit einer Ausgabelastausgleichsfunktion kann ein Broker den Datenverkehr von einem oder mehreren Eingangsports gleichmäßig auf einen bestimmten Bereich von Ausgangsports verteilen. Sie können Regeln zum Kopieren, Filtern, Klassifizieren, Deduplizieren und Ändern von Datenverkehr festlegen. Diese Regeln können auf verschiedene Gruppen von Eingangsports des Netzwerkpaketbrokers angewendet werden, aber auch sequentiell nacheinander im Gerät selbst angewendet werden. Ein wichtiger Vorteil eines Paketbrokers ist die Fähigkeit, den Datenverkehr mit voller Flussrate zu verarbeiten und die Integrität der Sitzungen zu wahren (im Falle der Verteilung des Datenverkehrs auf mehrere DPI-Systeme desselben Typs).

Die Wahrung der Integrität der Sitzungen besteht darin, alle Pakete der Sitzung der Transportschicht (TCP/UDP/SCTP) an einen Port zu übertragen. Dies ist wichtig, da DPI-Systeme (normalerweise Software, die auf einem Server ausgeführt wird, der mit dem Ausgangsport eines Paketbrokers verbunden ist) den Inhalt des Datenverkehrs auf Anwendungsebene analysieren und alle von einer Anwendung gesendeten/empfangenen Pakete bei derselben Instanz des Pakets ankommen müssen Analysator. Wenn die Pakete einer Sitzung verloren gehen oder auf verschiedene DPI-Geräte verteilt werden, befindet sich jedes einzelne DPI-Gerät in einer Situation, die dem Lesen nicht eines gesamten Textes, sondern einzelner Wörter daraus entspricht. Und höchstwahrscheinlich wird der Text nicht verstanden.

Da sie sich auf Informationssicherheitssysteme konzentrieren, verfügen Netzwerkpaket-Broker über Funktionen, die dabei helfen, DPI-Softwaresysteme mit Hochgeschwindigkeits-Telekommunikationsnetzen zu verbinden und deren Belastung zu verringern: Sie filtern, klassifizieren und bereiten den Datenverkehr vor, um die spätere Verarbeitung zu vereinfachen.

Da Netzwerk-Paketvermittler darüber hinaus ein breites Spektrum an Statistiken bereitstellen und oft mit verschiedenen Punkten im Netzwerk verbunden sind, finden sie auch bei der Diagnose von Gesundheitsproblemen der Netzwerkinfrastruktur selbst ihren Platz.

Grundfunktionen von Netzwerkpaketbrokern

Der Name „dedizierte/Überwachungs-Switches“ entstand aus dem Grundzweck: Datenverkehr von der Infrastruktur zu sammeln (normalerweise unter Verwendung passiver optischer TAP-Taps und/oder SPAN-Ports) und ihn auf Analysetools zu verteilen. Der Datenverkehr wird zwischen Systemen unterschiedlichen Typs gespiegelt (dupliziert) und zwischen Systemen desselben Typs ausgeglichen. Zu den Grundfunktionen gehören in der Regel die Filterung nach Feldern bis L4 (MAC, IP, TCP/UDP-Port etc.) und die Zusammenfassung mehrerer leicht belasteter Kanäle zu einem (z. B. zur Verarbeitung auf einem DPI-System).

Diese Funktionalität bietet eine Lösung für die grundlegende Aufgabe – die Anbindung von DPI-Systemen an die Netzwerkinfrastruktur. Broker verschiedener Hersteller bieten, beschränkt auf die Grundfunktionalität, die Verarbeitung von bis zu 32 100G-Schnittstellen pro 1U (mehr Schnittstellen passen physisch nicht auf die 1U-Frontplatte). Sie ermöglichen jedoch keine Reduzierung der Belastung von Analysetools und können für eine komplexe Infrastruktur nicht einmal die Anforderungen für eine Grundfunktion erfüllen: Eine über mehrere Tunnel verteilte (oder mit MPLS-Tags ausgestattete) Sitzung kann für verschiedene Instanzen des Netzwerks unausgeglichen sein Analysator und fallen in der Regel aus der Analyse heraus.

Neben dem Hinzufügen von 40/100G-Schnittstellen und der damit verbundenen Leistungsverbesserung entwickeln Netzwerkpaket-Broker aktiv die Bereitstellung grundlegend neuer Funktionen: vom Ausgleich über verschachtelte Tunnel-Header bis zur Verkehrsentschlüsselung. Leider können sich solche Modelle nicht mit einer Terabit-Leistung rühmen, aber sie ermöglichen den Aufbau eines wirklich hochwertigen und technisch „schönen“ Informationssicherheitssystems, bei dem jedes Analysetool garantiert nur die benötigten Informationen in der am besten geeigneten Form erhält zur Analyse.

Erweiterte Funktionen von Netzwerkpaketbrokern

Moderne Lösungen zum Aufbau von Informationssicherheitssystemen – Netzwerkpaket-Broker (Network Packet Broker)
1. Oben erwähnt Balancing verschachtelter Header im getunnelten Datenverkehr.

Warum ist es wichtig? Betrachten Sie drei Aspekte, die zusammen oder einzeln von entscheidender Bedeutung sein können:

  • Gewährleistung eines gleichmäßigen Ausgleichs bei wenigen Tunneln. Für den Fall, dass am Verbindungspunkt von Informationssicherheitssystemen nur 2 Tunnel vorhanden sind, ist es nicht möglich, diese durch externe Header auf 3 Serverplattformen aus dem Gleichgewicht zu bringen und gleichzeitig die Sitzung aufrechtzuerhalten. Gleichzeitig wird der Datenverkehr im Netzwerk ungleichmäßig übertragen und die Weiterleitung jedes Tunnels zu einer separaten Verarbeitungseinrichtung erfordert von dieser eine übermäßige Leistung;
  • Gewährleistung der Integrität von Sitzungen und Streams von Multisession-Protokollen (z. B. FTP und VoIP), deren Pakete in verschiedenen Tunneln landeten. Die Komplexität der Netzwerkinfrastruktur nimmt ständig zu: Redundanz, Virtualisierung, Vereinfachung der Administration und so weiter. Dies erhöht einerseits die Zuverlässigkeit der Datenübertragung, erschwert andererseits die Arbeit von Informationssicherheitssystemen. Auch wenn die Leistung der Analysatoren ausreicht, um einen dedizierten Kanal mit Tunneln zu verarbeiten, erweist sich das Problem als unlösbar, da einige der Benutzersitzungspakete über einen anderen Kanal übertragen werden. Darüber hinaus können Multisession-Protokolle völlig andere Wege gehen, wenn sie in einigen Infrastrukturen immer noch versuchen, die Integrität von Sitzungen zu gewährleisten.
  • Balancing bei Vorhandensein von MPLS, VLAN, einzelnen Geräte-Tags usw. Nicht wirklich Tunnel, aber dennoch können Geräte mit grundlegender Funktionalität diesen Datenverkehr nicht als IP verstehen und ihn anhand von MAC-Adressen ausgleichen, was wiederum gegen die Einheitlichkeit des Ausgleichs oder die Sitzungsintegrität verstößt.

Der Netzwerkpaket-Broker analysiert die äußeren Header und folgt den Zeigern sequentiell bis zum verschachtelten IP-Header und gleicht bereits darauf ab. Dadurch gibt es deutlich mehr Streams (bzw. es kann gleichmäßiger und auf einer größeren Anzahl von Plattformen unausgeglichen werden) und das DPI-System empfängt alle Sitzungspakete und alle zugehörigen Sitzungen von Multisession-Protokollen.

2. Verkehrsänderung.
Eine der umfangreichsten Funktionen im Hinblick auf ihre Fähigkeiten, die Anzahl der Unterfunktionen und Optionen für deren Verwendung ist vielfältig:

  • Entfernen der Nutzlast. In diesem Fall werden nur Paket-Header an den Parser übergeben. Dies ist relevant für Analysetools oder für Verkehrsarten, bei denen der Inhalt der Pakete entweder keine Rolle spielt oder nicht analysiert werden kann. Für verschlüsselten Datenverkehr können beispielsweise parametrische Austauschdaten (wer, mit wem, wann und wie viel) von Interesse sein, während es sich bei der Nutzlast tatsächlich um Müll handelt, der den Kanal und die Rechenressourcen des Analysators belegt. Variationen sind möglich, wenn die Nutzlast ab einem bestimmten Offset abgeschnitten wird – dies bietet zusätzlichen Spielraum für Analysetools;
  • Detunneling, nämlich das Entfernen von Headern, die Tunnel kennzeichnen und identifizieren. Ziel ist es, Analysetools zu entlasten und deren Effizienz zu steigern. Detunneling kann auf einer festen Offset- oder dynamischen Header-Analyse und Offset-Bestimmung für jedes Paket basieren;
  • Entfernung einiger Paket-Header: MPLS-Tags, VLAN, bestimmte Felder von Geräten von Drittanbietern;
  • Maskierung eines Teils der Header, z. B. Maskierung von IP-Adressen, um die Anonymisierung des Datenverkehrs sicherzustellen;
  • Hinzufügen von Dienstinformationen zum Paket: Zeitstempel, Eingabeport, Verkehrsklassenbezeichnungen usw.

3. Deduplizierung – Bereinigung sich wiederholender Verkehrspakete, die an Analysetools übertragen werden. Doppelte Pakete treten am häufigsten aufgrund der Besonderheiten der Verbindung zur Infrastruktur auf – der Datenverkehr kann mehrere Analysepunkte durchlaufen und von jedem von ihnen gespiegelt werden. Es gibt auch ein erneutes Senden unvollständiger TCP-Pakete, aber wenn es viele davon gibt, dann sind dies eher Fragen zur Überwachung der Qualität des Netzwerks und nicht zur Informationssicherheit darin.

4. Erweiterte Filterfunktionen – von der Suche nach bestimmten Werten bei einem bestimmten Offset bis zur Signaturanalyse im gesamten Paket.

5. NetFlow/IPFIX-Generierung – Sammlung vielfältiger Statistiken zum vorbeifahrenden Verkehr und deren Übertragung auf Analysetools.

6. Entschlüsselung des SSL-Verkehrs, Funktioniert unter der Voraussetzung, dass das Zertifikat und die Schlüssel zunächst in den Netzwerkpaketbroker geladen werden. Dennoch können Sie dadurch die Analysetools deutlich entlasten.

Es gibt noch viele weitere nützliche und Marketingfunktionen, aber die wichtigsten sind vielleicht aufgeführt.

Die Entwicklung von Erkennungssystemen (Einbrüche, DDOS-Angriffe) zu Systemen zu deren Verhinderung sowie die Einführung aktiver DPI-Tools erforderten eine Änderung des Umschaltschemas von passiv (über TAP- oder SPAN-Ports) zu aktiv („in Pause“). ). Dieser Umstand erhöhte die Anforderungen an die Zuverlässigkeit (denn ein Ausfall führt in diesem Fall zu einer Störung des gesamten Netzwerks und nicht nur zum Verlust der Kontrolle über die Informationssicherheit) und führte zum Ersatz optischer Koppler durch optische Bypässe (um Lösung des Problems der Abhängigkeit der Netzwerkleistung von der Leistung der Systeme Informationssicherheit), aber die Hauptfunktionalität und Anforderungen dafür blieben gleich.

Wir haben DS Integrity Network Packet Broker mit 100G-, 40G- und 10G-Schnittstellen entwickelt, vom Design über die Schaltung bis hin zur eingebetteten Software. Darüber hinaus sind im Gegensatz zu anderen Paketbrokern die Änderungs- und Ausgleichsfunktionen für verschachtelte Tunnelheader in unserer Hardware bei voller Portgeschwindigkeit implementiert.

Moderne Lösungen zum Aufbau von Informationssicherheitssystemen – Netzwerkpaket-Broker (Network Packet Broker)

Source: habr.com

Kommentar hinzufügen