ProHoster > Blog > διαχείριση > Σύγχρονες λύσεις για την κατασκευή συστημάτων ασφάλειας πληροφοριών - διαμεσολαβητές πακέτων δικτύου (Network Packet Broker)

Σύγχρονες λύσεις για την κατασκευή συστημάτων ασφάλειας πληροφοριών - διαμεσολαβητές πακέτων δικτύου (Network Packet Broker)

Η ασφάλεια των πληροφοριών έχει διαχωριστεί από τις τηλεπικοινωνίες σε μια ανεξάρτητη βιομηχανία με τις δικές της ιδιαιτερότητες και τον δικό της εξοπλισμό. Αλλά υπάρχει μια ελάχιστα γνωστή κατηγορία συσκευών που βρίσκεται στη διασταύρωση τηλεπικοινωνιών και infobez - μεσίτες πακέτων δικτύου (Network Packet Broker), είναι επίσης εξισορροπητές φορτίου, εξειδικευμένοι διακόπτες / παρακολούθησης, συγκεντρωτές κυκλοφορίας, πλατφόρμα παράδοσης ασφαλείας, ορατότητα δικτύου και ούτω καθεξής. Και εμείς, ως Ρώσος προγραμματιστής και κατασκευαστής τέτοιων συσκευών, θέλουμε πραγματικά να σας πούμε περισσότερα για αυτές.

Σύγχρονες λύσεις για την κατασκευή συστημάτων ασφάλειας πληροφοριών - διαμεσολαβητές πακέτων δικτύου (Network Packet Broker)

Πεδίο εφαρμογής και εργασίες προς επίλυση

Οι μεσίτες πακέτων δικτύου είναι εξειδικευμένες συσκευές που έχουν βρει τη μεγαλύτερη χρήση σε συστήματα ασφάλειας πληροφοριών. Ως εκ τούτου, η κατηγορία συσκευών είναι σχετικά νέα και λίγες σε κοινή υποδομή δικτύου σε σύγκριση με διακόπτες, δρομολογητές κ.λπ. Πρωτοπόρος στην ανάπτυξη αυτού του τύπου συσκευής ήταν η αμερικανική εταιρεία Gigamon. Επί του παρόντος, υπάρχουν πολύ περισσότεροι παίκτες σε αυτήν την αγορά (συμπεριλαμβανομένων παρόμοιων λύσεων από τον γνωστό κατασκευαστή συστημάτων δοκιμών - IXIA), αλλά μόνο ένας στενός κύκλος επαγγελματιών εξακολουθεί να γνωρίζει την ύπαρξη τέτοιων συσκευών. Όπως σημειώθηκε παραπάνω, ακόμη και με την ορολογία δεν υπάρχει σαφής βεβαιότητα: τα ονόματα κυμαίνονται από "συστήματα διαφάνειας δικτύου" έως απλούς "εξισορροπητές".

Κατά την ανάπτυξη διαμεσολαβητών πακέτων δικτύου, βρεθήκαμε αντιμέτωποι με το γεγονός ότι, εκτός από την ανάλυση των κατευθύνσεων για την ανάπτυξη λειτουργικότητας και δοκιμών σε εργαστήρια / ζώνες δοκιμών, είναι απαραίτητο να εξηγήσουμε ταυτόχρονα στους δυνητικούς καταναλωτές την ύπαρξη αυτής της κατηγορίας εξοπλισμού , αφού δεν το γνωρίζουν όλοι.

Ακόμη και πριν από 15-20 χρόνια, υπήρχε λίγη κίνηση στο δίκτυο και ήταν ως επί το πλείστον ασήμαντα δεδομένα. Αλλά ο νόμος του Nielsen πρακτικά επαναλαμβάνεται Ο νόμος του Μουρ: Η ταχύτητα σύνδεσης στο Διαδίκτυο αυξάνεται κατά 50% ετησίως. Ο όγκος της επισκεψιμότητας αυξάνεται επίσης σταθερά (το γράφημα δείχνει την πρόβλεψη για το 2017 από τη Cisco, πηγή Cisco Visual Networking Index: Forecast and Trends, 2017–2022):

Σύγχρονες λύσεις για την κατασκευή συστημάτων ασφάλειας πληροφοριών - διαμεσολαβητές πακέτων δικτύου (Network Packet Broker)
Μαζί με την ταχύτητα, αυξάνεται η σημασία της κυκλοφορίας πληροφοριών (αυτό είναι και εμπορικό μυστικό και διαβόητα προσωπικά δεδομένα) και η συνολική απόδοση της υποδομής.

Αντίστοιχα, αναδύθηκε η βιομηχανία ασφάλειας πληροφοριών. Η βιομηχανία έχει ανταποκριθεί σε αυτό με μια ολόκληρη σειρά συσκευών ανάλυσης κυκλοφορίας (DPI), από συστήματα πρόληψης επιθέσεων DDOS έως συστήματα διαχείρισης συμβάντων ασφάλειας πληροφοριών, συμπεριλαμβανομένων IDS, IPS, DLP, NBA, SIEM, Antimailware και ούτω καθεξής. Συνήθως, καθένα από αυτά τα εργαλεία είναι λογισμικό που είναι εγκατεστημένο σε μια πλατφόρμα διακομιστή. Επιπλέον, κάθε πρόγραμμα (εργαλείο ανάλυσης) εγκαθίσταται στη δική του πλατφόρμα διακομιστή: οι κατασκευαστές λογισμικού είναι διαφορετικοί και απαιτούνται πολλοί υπολογιστικοί πόροι για την ανάλυση στο L7.

Κατά την κατασκευή ενός συστήματος ασφάλειας πληροφοριών, είναι απαραίτητο να επιλυθούν ορισμένες βασικές εργασίες:

  • πώς να μεταφέρετε την κίνηση από την υποδομή στα συστήματα ανάλυσης; (οι θύρες SPAN που αναπτύχθηκαν αρχικά για αυτό στη σύγχρονη υποδομή δεν επαρκούν ούτε σε ποσότητα ούτε σε απόδοση)
  • πώς να κατανείμετε την κίνηση μεταξύ διαφορετικών συστημάτων ανάλυσης;
  • πώς να κλιμακώσουμε τα συστήματα όταν δεν υπάρχει αρκετή απόδοση μιας παρουσίας του αναλυτή για να επεξεργαστεί ολόκληρο τον όγκο της κίνησης που εισέρχεται σε αυτόν;
  • πώς να παρακολουθείτε τις διεπαφές 40G/100G (και στο εγγύς μέλλον επίσης 200G/400G), δεδομένου ότι τα εργαλεία ανάλυσης προς το παρόν υποστηρίζουν μόνο διασυνδέσεις 1G/10G/25G;

Και οι ακόλουθες σχετικές εργασίες:

  • πώς να ελαχιστοποιήσετε την ακατάλληλη επισκεψιμότητα που δεν χρειάζεται επεξεργασία, αλλά φτάνει στα εργαλεία ανάλυσης και καταναλώνει τους πόρους τους;
  • πώς να επεξεργαστούμε ενθυλακωμένα πακέτα και πακέτα με σήματα υπηρεσίας υλικού, η προετοιμασία των οποίων για ανάλυση αποδεικνύεται είτε εντατική σε πόρους είτε δεν μπορεί να πραγματοποιηθεί καθόλου;
  • πώς να εξαιρέσετε από την ανάλυση μέρος της κυκλοφορίας που δεν ρυθμίζεται από την πολιτική ασφαλείας (για παράδειγμα, κυκλοφορία του κεφαλιού).

Σύγχρονες λύσεις για την κατασκευή συστημάτων ασφάλειας πληροφοριών - διαμεσολαβητές πακέτων δικτύου (Network Packet Broker)
Όπως όλοι γνωρίζουν, η ζήτηση δημιουργεί προσφορά, ως απάντηση σε αυτές τις ανάγκες, άρχισαν να αναπτύσσονται μεσίτες πακέτων δικτύου.

Γενική Περιγραφή Διαμεσολαβητών Πακέτων Δικτύου

Οι μεσίτες πακέτων δικτύου εργάζονται σε επίπεδο πακέτων και σε αυτό είναι παρόμοιοι με τους συνηθισμένους μεταγωγείς. Η κύρια διαφορά από τους μεταγωγείς είναι ότι οι κανόνες για τη διανομή και τη συγκέντρωση της κίνησης στους μεσίτες πακέτων δικτύου καθορίζονται πλήρως από τις ρυθμίσεις. Οι μεσίτες πακέτων δικτύου δεν διαθέτουν πρότυπα για τη δημιουργία πινάκων προώθησης (πίνακες MAC) και πρωτοκόλλων ανταλλαγής με άλλους μεταγωγείς (όπως το STP), και επομένως το εύρος των πιθανών ρυθμίσεων και των κατανοητών πεδίων σε αυτούς είναι πολύ ευρύτερο. Ένας μεσίτης μπορεί να κατανείμει ομοιόμορφα την κίνηση από μία ή περισσότερες θύρες εισόδου σε ένα δεδομένο εύρος θυρών εξόδου με δυνατότητα εξισορρόπησης φορτίου εξόδου. Μπορείτε να ορίσετε κανόνες για την αντιγραφή, το φιλτράρισμα, την ταξινόμηση, την κατάργηση των αντιγράφων και την τροποποίηση της κυκλοφορίας. Αυτοί οι κανόνες μπορούν να εφαρμοστούν σε διαφορετικές ομάδες θυρών εισόδου του μεσίτη πακέτων δικτύου, καθώς και να εφαρμοστούν διαδοχικά ο ένας μετά τον άλλο στην ίδια τη συσκευή. Ένα σημαντικό πλεονέκτημα ενός μεσίτη πακέτων είναι η δυνατότητα επεξεργασίας της κυκλοφορίας με πλήρη ταχύτητα ροής και διατήρησης της ακεραιότητας των περιόδων σύνδεσης (στην περίπτωση εξισορρόπησης της κίνησης σε πολλά συστήματα DPI του ίδιου τύπου).

Η διατήρηση της ακεραιότητας των συνεδριών είναι η μεταφορά όλων των πακέτων της συνόδου του επιπέδου μεταφοράς (TCP / UDP / SCTP) σε μια θύρα. Αυτό είναι σημαντικό επειδή τα συστήματα DPI (συνήθως λογισμικό που εκτελείται σε διακομιστή συνδεδεμένο στη θύρα εξόδου ενός μεσίτη πακέτων) αναλύουν το περιεχόμενο της κίνησης σε επίπεδο εφαρμογής και όλα τα πακέτα που αποστέλλονται/λαμβάνονται από μία εφαρμογή πρέπει να φθάνουν στην ίδια παρουσία του αναλυτής. Εάν τα πακέτα μιας περιόδου λειτουργίας χαθούν ή διανεμηθούν μεταξύ διαφορετικών συσκευών DPI, τότε κάθε μεμονωμένη συσκευή DPI θα βρίσκεται σε κατάσταση ανάλογη με την ανάγνωση όχι ολόκληρου κειμένου, αλλά μεμονωμένων λέξεων από αυτό. Και, πιθανότατα, το κείμενο δεν θα καταλάβει.

Έτσι, εστιάζοντας στα συστήματα ασφάλειας πληροφοριών, οι μεσίτες πακέτων δικτύου έχουν λειτουργικότητα που βοηθά στη σύνδεση συστημάτων λογισμικού DPI με δίκτυα τηλεπικοινωνιών υψηλής ταχύτητας και μειώνει το φόρτο σε αυτά: προφιλτράρουν, ταξινομούν και προετοιμάζουν την κίνηση για να απλοποιήσουν την επακόλουθη επεξεργασία.

Επιπλέον, δεδομένου ότι οι μεσίτες πακέτων δικτύου παρέχουν ένα ευρύ φάσμα στατιστικών στοιχείων και συχνά συνδέονται με διάφορα σημεία του δικτύου, βρίσκουν επίσης τη θέση τους στη διάγνωση προβλημάτων υγείας της ίδιας της δικτυακής υποδομής.

Βασικές Λειτουργίες Διαμεσολαβητών Πακέτων Δικτύου

Η ονομασία "αποκλειστικοί διακόπτες/διακόπτες παρακολούθησης" προέκυψε από τον βασικό σκοπό: τη συλλογή κίνησης από την υποδομή (συνήθως χρησιμοποιώντας παθητικές οπτικές βρύσες TAP ή/και θύρες SPAN) και τη διανομή της μεταξύ των εργαλείων ανάλυσης. Η κυκλοφορία αντικατοπτρίζεται (αντιγράφεται) μεταξύ συστημάτων διαφορετικών τύπων και εξισορροπείται μεταξύ συστημάτων του ίδιου τύπου. Οι βασικές λειτουργίες συνήθως περιλαμβάνουν φιλτράρισμα κατά πεδία έως και L4 (θύρα MAC, IP, TCP / UDP, κ.λπ.) και συνάθροιση πολλών ελαφρώς φορτωμένων καναλιών σε ένα (για παράδειγμα, για επεξεργασία σε ένα σύστημα DPI).

Αυτή η λειτουργία παρέχει μια λύση στη βασική εργασία - σύνδεση συστημάτων DPI με την υποδομή δικτύου. Μεσίτες από διάφορους κατασκευαστές, που περιορίζονται στη βασική λειτουργικότητα, παρέχουν επεξεργασία έως και 32 διεπαφών 100G ανά 1U (περισσότερες διεπαφές δεν ταιριάζουν φυσικά στον μπροστινό πίνακα 1U). Ωστόσο, δεν επιτρέπουν τη μείωση του φόρτου των εργαλείων ανάλυσης και για μια σύνθετη υποδομή δεν μπορούν καν να παρέχουν τις απαιτήσεις για μια βασική λειτουργία: μια συνεδρία που κατανέμεται σε πολλές σήραγγες (ή είναι εξοπλισμένη με ετικέτες MPLS) μπορεί να είναι μη ισορροπημένη για διαφορετικές περιπτώσεις αναλυτής και γενικά πέφτουν έξω από την ανάλυση.

Εκτός από την προσθήκη διεπαφών 40/100G και, ως εκ τούτου, τη βελτίωση της απόδοσης, οι μεσίτες πακέτων δικτύου αναπτύσσονται ενεργά όσον αφορά την παροχή θεμελιωδώς νέων χαρακτηριστικών: από την εξισορρόπηση σε ένθετες κεφαλίδες σήραγγας έως την αποκρυπτογράφηση κίνησης. Δυστυχώς, τέτοια μοντέλα δεν μπορούν να καυχηθούν για απόδοση σε terabit, αλλά καθιστούν δυνατή την κατασκευή ενός πραγματικά υψηλής ποιότητας και τεχνικά «όμορφου» συστήματος ασφάλειας πληροφοριών στο οποίο κάθε εργαλείο ανάλυσης είναι εγγυημένο ότι θα λαμβάνει μόνο τις πληροφορίες που χρειάζεται στην πιο κατάλληλη μορφή για ανάλυση.

Προηγμένες λειτουργίες διαμεσολαβητών πακέτων δικτύου

Σύγχρονες λύσεις για την κατασκευή συστημάτων ασφάλειας πληροφοριών - διαμεσολαβητές πακέτων δικτύου (Network Packet Broker)
1. Αναφέρθηκε παραπάνω ένθετη εξισορρόπηση κεφαλίδας σε κυκλοφορία με σήραγγα.

Γιατί είναι σημαντικό? Εξετάστε 3 πτυχές που μπορεί να είναι κρίσιμες μαζί ή χωριστά:

  • εξασφάλιση ομοιόμορφης εξισορρόπησης παρουσία μικρού αριθμού σηράγγων. Σε περίπτωση που υπάρχουν μόνο 2 σήραγγες στο σημείο σύνδεσης των συστημάτων ασφάλειας πληροφοριών, τότε δεν θα είναι δυνατή η ανισορροπία τους από εξωτερικές κεφαλίδες σε 3 πλατφόρμες διακομιστή ενώ διατηρείται η συνεδρία. Ταυτόχρονα, η κίνηση στο δίκτυο μεταδίδεται άνισα και η κατεύθυνση κάθε σήραγγας σε ξεχωριστή εγκατάσταση επεξεργασίας θα απαιτεί υπερβολική απόδοση της τελευταίας.
  • διασφάλιση της ακεραιότητας των περιόδων σύνδεσης και των ροών πρωτοκόλλων πολλαπλών συνεδριών (για παράδειγμα, FTP και VoIP), τα πακέτα των οποίων κατέληγαν σε διαφορετικά τούνελ. Η πολυπλοκότητα της δικτυακής υποδομής αυξάνεται συνεχώς: πλεονασμός, εικονικοποίηση, απλοποίηση διαχείρισης κ.λπ. Αυτό, αφενός, αυξάνει την αξιοπιστία όσον αφορά τη μετάδοση δεδομένων, αφετέρου, περιπλέκει το έργο των συστημάτων ασφάλειας πληροφοριών. Ακόμη και με επαρκή απόδοση των αναλυτών για την επεξεργασία ενός αποκλειστικού καναλιού με σήραγγες, το πρόβλημα αποδεικνύεται άλυτο, καθώς ορισμένα από τα πακέτα συνεδρίας χρήστη μεταδίδονται σε άλλο κανάλι. Επιπλέον, εάν εξακολουθούν να προσπαθούν να φροντίσουν για την ακεραιότητα των περιόδων σύνδεσης σε ορισμένες υποδομές, τότε τα πρωτόκολλα πολλαπλών συνεδριών μπορούν να έχουν τελείως διαφορετικούς τρόπους.
  • εξισορρόπηση παρουσία MPLS, VLAN, μεμονωμένων ετικετών εξοπλισμού κ.λπ. Δεν είναι πραγματικά σήραγγες, αλλά παρόλα αυτά, ο εξοπλισμός με βασική λειτουργικότητα μπορεί να κατανοήσει αυτήν την κίνηση όχι ως IP και να εξισορροπήσει από διευθύνσεις MAC, παραβιάζοντας για άλλη μια φορά την ομοιομορφία της εξισορρόπησης ή την ακεραιότητα της περιόδου λειτουργίας.

Ο μεσίτης πακέτων δικτύου αναλύει τις εξωτερικές κεφαλίδες και ακολουθεί διαδοχικά τους δείκτες μέχρι την ένθετη κεφαλίδα IP και ισορροπεί ήδη σε αυτήν. Ως αποτέλεσμα, υπάρχουν σημαντικά περισσότερες ροές (αντίστοιχα, μπορεί να είναι μη ισορροπημένη πιο ομοιόμορφα και σε μεγαλύτερο αριθμό πλατφορμών) και το σύστημα DPI λαμβάνει όλα τα πακέτα συνεδρίας και όλες τις σχετικές συνεδρίες πρωτοκόλλων πολλαπλών συνεδριών.

2. Τροποποίηση κυκλοφορίας.
Μία από τις ευρύτερες λειτουργίες όσον αφορά τις δυνατότητές της, ο αριθμός των υπολειτουργιών και οι επιλογές για τη χρήση τους είναι πολλές:

  • κατάργηση ωφέλιμου φορτίου, οπότε μόνο οι κεφαλίδες πακέτων διαβιβάζονται στον αναλυτή. Αυτό είναι σχετικό για εργαλεία ανάλυσης ή για τύπους κίνησης στους οποίους τα περιεχόμενα των πακέτων είτε δεν παίζουν ρόλο είτε δεν μπορούν να αναλυθούν. Για παράδειγμα, για την κρυπτογραφημένη κίνηση, τα δεδομένα παραμετρικής ανταλλαγής (ποιος, με ποιον, πότε και πόσο) μπορεί να ενδιαφέρουν, ενώ το ωφέλιμο φορτίο είναι στην πραγματικότητα σκουπίδια που καταλαμβάνουν το κανάλι και τους υπολογιστικούς πόρους του αναλυτή. Παραλλαγές είναι δυνατές όταν το ωφέλιμο φορτίο αποκόπτεται ξεκινώντας από μια δεδομένη μετατόπιση - αυτό παρέχει πρόσθετο πεδίο για εργαλεία ανάλυσης.
  • η αποσύνταξη, δηλαδή η αφαίρεση κεφαλίδων που προσδιορίζουν και προσδιορίζουν σήραγγες. Ο στόχος είναι να μειωθεί ο φόρτος των εργαλείων ανάλυσης και να αυξηθεί η αποτελεσματικότητά τους. Η αποσυνήλωση μπορεί να βασίζεται σε μια σταθερή μετατόπιση ή με δυναμική ανάλυση κεφαλίδας και προσδιορισμό μετατόπισης σε βάση ανά πακέτο.
  • αφαίρεση ορισμένων κεφαλίδων πακέτων: ετικέτες MPLS, VLAN, συγκεκριμένα πεδία εξοπλισμού τρίτων.
  • απόκρυψη μέρους των κεφαλίδων, για παράδειγμα, απόκρυψη διευθύνσεων IP για να διασφαλιστεί η ανωνυμοποίηση της κυκλοφορίας.
  • προσθήκη πληροφοριών υπηρεσίας στο πακέτο: χρονικές σημάνσεις, θύρα εισόδου, ετικέτες κατηγορίας κυκλοφορίας κ.λπ.

3. Αποδιπλασιασμός – καθαρισμός επαναλαμβανόμενων πακέτων κυκλοφορίας που μεταδίδονται σε εργαλεία ανάλυσης. Τα διπλά πακέτα εμφανίζονται συχνότερα λόγω των ιδιαιτεροτήτων της σύνδεσης με την υποδομή - η κίνηση μπορεί να περάσει από πολλά σημεία ανάλυσης και να αντικατοπτριστεί από καθένα από αυτά. Υπάρχει επίσης μια εκ νέου αποστολή ημιτελών πακέτων TCP, αλλά αν υπάρχουν πολλά από αυτά, τότε αυτά είναι περισσότερα ερωτήματα για την παρακολούθηση της ποιότητας του δικτύου και όχι για την ασφάλεια πληροφοριών σε αυτό.

4. Προηγμένες δυνατότητες φιλτραρίσματος – από την αναζήτηση συγκεκριμένων τιμών σε μια δεδομένη μετατόπιση έως την ανάλυση υπογραφής σε ολόκληρο το πακέτο.

5. Παραγωγή NetFlow/IPFIX – συλλογή ενός ευρέος φάσματος στατιστικών στοιχείων σχετικά με τη μεταβατική κίνηση και τη μεταφορά της σε εργαλεία ανάλυσης.

6. Αποκρυπτογράφηση της κίνησης SSL, λειτουργεί υπό την προϋπόθεση ότι το πιστοποιητικό και τα κλειδιά φορτώνονται πρώτα στον μεσίτη πακέτων δικτύου. Ωστόσο, αυτό σας επιτρέπει να ξεφορτώσετε σημαντικά τα εργαλεία ανάλυσης.

Υπάρχουν πολλές περισσότερες λειτουργίες, χρήσιμες και μάρκετινγκ, αλλά οι κύριες, ίσως, παρατίθενται.

Η ανάπτυξη συστημάτων ανίχνευσης (εισβολές, επιθέσεις DDOS) σε συστήματα για την πρόληψή τους, καθώς και η εισαγωγή ενεργών εργαλείων DPI, απαιτούσαν αλλαγή του σχήματος μεταγωγής από παθητικό (μέσω θυρών TAP ή SPAN) σε ενεργό («in break») ). Αυτή η περίσταση αύξησε τις απαιτήσεις για αξιοπιστία (διότι μια αστοχία στην περίπτωση αυτή οδηγεί σε διακοπή ολόκληρου του δικτύου και όχι μόνο σε απώλεια ελέγχου της ασφάλειας πληροφοριών) και οδήγησε στην αντικατάσταση των οπτικών συζεύξεων με οπτικές παρακάμψεις (προκειμένου να λύσει το πρόβλημα της εξάρτησης της απόδοσης του δικτύου από την απόδοση της ασφάλειας πληροφοριών συστημάτων), αλλά η κύρια λειτουργικότητα και οι απαιτήσεις για αυτό παρέμειναν οι ίδιες.

Έχουμε αναπτύξει DS Integrity Network Packet Brokers με διεπαφές 100G, 40G και 10G από το σχεδιασμό και τα κυκλώματα έως το ενσωματωμένο λογισμικό. Επιπλέον, σε αντίθεση με άλλους μεσίτες πακέτων, οι λειτουργίες τροποποίησης και εξισορρόπησης για ένθετες κεφαλίδες σήραγγας υλοποιούνται στο υλικό μας, σε πλήρη ταχύτητα θύρας.

Σύγχρονες λύσεις για την κατασκευή συστημάτων ασφάλειας πληροφοριών - διαμεσολαβητές πακέτων δικτύου (Network Packet Broker)

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο