Informa sekureco apartiĝis de telekomunikado en sendependan industrion kun siaj propraj specifaĵoj kaj sia propra ekipaĵo. Sed ekzistas malmulte konata klaso de aparatoj, kiu staras ĉe la intersekciĝo de telekomunikado kaj informa sekureco - retpakaj makleristoj (Network Packet Broker), ankaŭ konata kiel ŝarĝbalanciloj, specialigitaj/monitoraj ŝaltiloj, trafikagregantoj, Sekureca Livera Platformo, Reta Videbleco, ktp. Kaj ni, kiel rusa programisto kaj fabrikanto de tiaj aparatoj, tre ŝatus rakonti al vi pli pri ili.
Amplekso kaj solvendaj taskoj
Retaj pakaj makleristoj estas specialigitaj aparatoj, kiuj trovis la plej grandan aplikon en informaj sekurecaj sistemoj. Kiel tia, ĉi tiu klaso de aparatoj estas relative nova kaj malgranda en la ĉefa reto-infrastrukturo kompare kun ŝaltiloj, enkursigiloj ktp. La pioniro en la disvolviĝo de ĉi tiu tipo de aparato estis la usona kompanio Gigamon. Nuntempe, estas signife pli da ludantoj en ĉi tiu merkato (inkluzive de la konata fabrikanto de testaj sistemoj, la kompanio IXIA, havas similajn solvojn), sed nur mallarĝa rondo de profesiuloj ankoraŭ scias pri la ekzisto de tiaj aparatoj. Kiel notite supre, eĉ la terminologio ne estas klara: nomoj intervalas de "retaj travideblaj sistemoj" ĝis simple "balanciloj".
Dum disvolvado de retaj pakaj makleristoj, ni alfrontis la fakton, ke, krom analizi direktojn por disvolviĝo de funkcieco kaj testado en laboratorioj/testzonoj, necesas samtempe klarigi al eblaj konsumantoj pri la ekzisto de ĉi tiu klaso de ekipaĵoj, ĉar ne ĉiuj scias pri ĝi.
Nur antaŭ 15-20 jaroj estis malmulte da trafiko en la reto, kaj ĝi estis plejparte negrava datumo. Sed praktike ripetas : Interreta konekto-rapido pliiĝas ĉiujare je 50%. La volumo de trafiko ankaŭ kreskas konstante (la grafikaĵo montras la prognozon de 2017 de Cisco, fonto Cisco Visual Networking Index: Prognozo kaj Tendencoj, 2017–2022):
Kune kun la rapideco, la graveco de cirkulado de informoj (ĉi tio estas kaj komerca sekreto kaj la famaj personaj datumoj) kaj la ĝenerala rendimento de la infrastrukturo pliiĝas.
Sekve, la informsekureca industrio aperis. La industrio respondis al ĉi tio per la apero de tuta gamo de aparatoj pri profunda trafika analizo (DPI): de DDOS-atakaj preventaj sistemoj ĝis informaj sekurecaj evento-administradsistemoj, inkluzive de IDS, IPS, DLP, NBA, SIEM, Antimailware ktp. Tipe, ĉiu el ĉi tiuj iloj estas programaro instalita sur servila platformo. Krome, ĉiu programo (analiza ilo) estas instalita sur sia propra servila platformo: softvarproduktantoj estas malsamaj, kaj analizo sur L7 postulas multajn komputikajn rimedojn.
Konstruante informan sekurecsistemon, necesas solvi kelkajn ĉefajn problemojn:
- kiel transdoni trafikon de infrastrukturo al analizsistemoj? (SPAN-havenoj origine evoluigitaj tiucele en moderna infrastrukturo ne sufiĉas nek en kvanto aŭ efikeco)
- kiel distribui trafikon inter malsamaj analizsistemoj?
- kiel skali sistemojn kiam la agado de unu analizilo-instanco ne sufiĉas por prilabori la tutan volumon de trafiko eniranta ĝin?
- kiel monitori 40G/100G-interfacojn (kaj en proksima estonteco 200G/400G), ĉar analiziloj nuntempe nur subtenas 1G/10G/25G-interfacojn?
Kaj la sekvaj rilataj taskoj:
- Kiel ni povas minimumigi necelatan trafikon, kiu ne bezonas esti prilaborita, sed atingas la analizajn ilojn kaj konsumas iliajn rimedojn?
- Kiel prilabori enkapsuligitajn pakaĵojn kaj pakaĵetojn kun servaj etikedoj de ekipaĵo, kies preparado por analizo rezultas aŭ rimedo-intensa aŭ tute neeble efektivigi?
- kiel ekskludi de la analizo iujn el la trafiko, kiu ne estas reguligita de la sekureca politiko (ekzemple, la trafiko de la administranto).
Kiel ĉiuj scias, postulo kreas provizon, kaj retaj pakaj makleristoj komencis disvolviĝi responde al ĉi tiuj bezonoj.
Ĝenerala priskribo de retpakaj makleristoj
Retaj pakaĵmakleristoj funkcias ĉe la pakaĵnivelo, kaj tiamaniere ili similas al regulaj ŝaltiloj. La ĉefa diferenco de ŝaltiloj estas, ke la reguloj por trafikdistribuo kaj agregado en retaj pakaj makleristoj estas tute determinitaj de la agordoj. Retaj pakaj makleristoj ne havas normojn por konstrui plusendajn tabelojn (MAC-tabeloj) kaj interŝanĝi protokolojn kun aliaj ŝaltiloj (kiel STP), kaj tial la gamo de eblaj agordoj kaj komprenitaj kampoj en ili estas multe pli larĝa. La makleristo povas egale distribui trafikon de unu aŭ pluraj enirhavenoj al specifita gamo de produktaĵhavenoj kun eligo-ŝarĝa ekvilibra trajto. Vi povas agordi regulojn por kopiado, filtrado, klasifiko, dedupliko kaj trafika modifo. Tiuj reguloj povas esti aplikitaj al malsamaj grupoj de retpakaj makleristo-enighavenoj, kaj ankaŭ povas esti aplikitaj sinsekve unu post alia en la aparato mem. Grava avantaĝo de pakaĵmakleristo estas la kapablo prilabori trafikon je plena flukvanto kaj konservi la integrecon de sesioj (kaze de balancado de trafiko al pluraj DPI-sistemoj de la sama tipo).
Konservi seanintegrecon implikas transdoni ĉiujn transporttavolajn sesiopakaĵojn (TCP/UDP/SCTP) al unu haveno. Tio estas grava ĉar DPI-sistemoj (tipe softvaro funkcianta per servilo ligita al la produktaĵhaveno de pakaĵmakleristo) analizas trafikenhavon sur la aplikiĝnivelo, kaj ĉiuj pakaĵetoj senditaj/ricevitaj per unu aplikiĝo devas alveni ĉe la sama analizilkazaĵo. Se pakoj de la sama sesio estas perditaj aŭ distribuitaj inter malsamaj DPI-aparatoj, tiam ĉiu individua DPI-aparato trovos sin en situacio simila al legi ne la tutan tekston, sed individuajn vortojn el ĝi. Kaj, plej verŝajne, la teksto ne estos komprenata.
Tiel, estante koncentritaj al informaj sekurecaj sistemoj, retaj pakaj makleristoj havas funkciojn, kiuj helpas ligi DPI-softvarajn sistemojn al altrapidaj telekomunikaj retoj kaj redukti la ŝarĝon sur ili: ili efektivigas preparan filtradon, klasifikon kaj preparadon de trafiko por simpligi postan prilaboradon.
Krome, ĉar retaj pakaj makleristoj produktas ampleksan gamon de statistikoj kaj ofte estas konektitaj al diversaj punktoj en la reto, ili ankaŭ trovas sian lokon kiam diagnozas problemojn kun la rendimento de la reto-infrastrukturo mem.
Bazaj funkcioj de retpakaj makleristoj
La nomo "specialigitaj/monitoraj ŝaltiloj" ekestis de la baza celo: kolekti trafikon de la infrastrukturo (kutime uzante pasivajn optikaj kupliloj TAP kaj/aŭ SPAN-havenoj) kaj distribui ĝin inter analiziloj. Trafiko estas spegulita (duobligata) inter sistemoj de malsamaj tipoj, kaj ekvilibra inter sistemoj de la sama tipo. Bazaj funkcioj kutime inkluzivas filtradon per kampoj ĝis L4 (MAC, IP, TCP/UDP-haveno, ktp.) kaj agregadon de pluraj malpeze ŝarĝitaj kanaloj en unu (ekzemple, por prilaborado sur unu DPI-sistemo).
Ĉi tiu funkcio provizas solvon al la baza tasko konekti DPI-sistemojn al la reto-infrastrukturo. Makleristoj de diversaj fabrikistoj, limigitaj al baza funkcieco, disponigas prilaboradon de ĝis 32 100G-interfacoj per 1U (pli da interfacoj ne fizike konvenas sur la 1U-frontpanelo). Tamen, ili ne reduktas la ŝarĝon sur analiziloj, kaj por kompleksa infrastrukturo ili eĉ ne povas disponigi la postulojn por baza funkcio: sesio distribuita tra pluraj tuneloj (aŭ ekipita per MPLS-etikedoj) povas iĝi malekvilibra inter malsamaj analizilkazoj kaj ĝenerale. fali el analizo.
Krom aldonado de 40/100G-interfacoj kaj, kiel rezulto, pliigo de rendimento, retaj pakaĵmakleristoj aktive evoluas laŭ disponigado de fundamente novaj kapabloj: de ekvilibro bazita sur nestitaj tunelaj kaplinioj ĝis trafika deĉifrado. Bedaŭrinde, tiaj modeloj ne povas fanfaroni pri agado en terabitoj, sed ili permesas konstrui vere altkvalitan kaj teknike "belan" informsekurecan sistemon, en kiu ĉiu analiza ilo garantias ricevi nur la informojn, kiujn ĝi bezonas en la plej taŭga formo. por analizo.
Altnivelaj Retaj Pakaj Broker Trajtoj
1. Menciite supre ekvilibro bazita sur nestitaj kaplinioj en tunelita trafiko.
Kial ĝi estas grava? Ni konsideru 3 aspektojn, kiuj povas esti kritikaj kune aŭ aparte:
- certigante unuforman ekvilibron en la ĉeesto de malgranda nombro da tuneloj. Se estas nur 2 tuneloj ĉe la ligpunkto de informaj sekurecaj sistemoj, tiam ne eblos malekvilibrigi ilin laŭ eksteraj kaplinioj sur 3 servilaj platformoj konservante la seancon. Samtempe, trafiko en la reto estas transdonita malegale, kaj direkti ĉiun tunelon al aparta pretiginstalaĵo postulos troan agadon de ĉi-lasta;
- certigante la integrecon de sesioj kaj fluoj de multisesiaj protokoloj (ekzemple, FTP kaj VoIP), kies pakoj finiĝis en malsamaj tuneloj. La komplekseco de reto-infrastrukturo konstante pliiĝas: redundo, virtualigo, simpligo de administrado ktp. Unuflanke, tio pliigas fidindecon rilate al transdono de datumoj, aliflanke, ĝi malfaciligas la funkciadon de informaj sekurecaj sistemoj. Eĉ se la analiziloj havas sufiĉan efikecon por prilabori dediĉitan kanalon kun tuneloj, la problemo montriĝas nesolvebla, ĉar kelkaj el la uzantsesipakoj estas elsenditaj tra alia kanalo. Krome, dum kelkaj infrastrukturoj ankoraŭ provas prizorgi la integrecon de sesioj, plursesiaj protokoloj povas preni tute malsamajn vojojn;
- ekvilibro en la ĉeesto de MPLS, VLAN, individuaj ekipaĵetikedoj, ktp. Ne ĝuste tuneloj, sed tamen, ekipaĵo kun baza funkcieco povas kompreni ĉi tiun trafikon kiel io alia ol IP kaj ekvilibrigi ĝin surbaze de MAC-adresoj, denove malobservante la unuformecon de ekvilibro aŭ la integrecon de sesioj.
La retpaka makleristo analizas eksterajn titolojn kaj sinsekve sekvas la montrilojn ĝis la nestita IP-kapo kaj balanciĝas sur ĝi. Kiel rezulto, estas signife pli da fluoj (laŭ tio, ĝi povas esti malekvilibra pli egale kaj sur pli granda nombro da platformoj), kaj la DPI-sistemo ricevas ĉiujn sesiajn pakaĵojn kaj ĉiujn rilatajn sesiojn de multisesiaj protokoloj.
2. Trafika modifo.
Unu el la plej larĝaj funkcioj laŭ siaj kapabloj, ekzistas multaj subfunkcioj kaj opcioj por ilia apliko:
- forigante utilan ŝarĝon, ĉi-kaze nur pakaĵkapoj estas transdonitaj al la analizilo. Ĉi tio gravas por analiziloj aŭ por specoj de trafiko, en kiuj la enhavo de la pakaĵetoj aŭ ne gravas aŭ ne povas esti analizita. Ekzemple, por ĉifrita trafiko parametrikaj interŝanĝodatenoj (kiu, kun kiu, kiam kaj kiom) povas esti de intereso, sed utila ŝarĝo estas fakte rubo kiu okupas la kanalon kaj komputikresursojn de la analizilo. Varioj estas eblaj kiam la utila ŝarĝo estas tajlita komencante de antaŭfiksita ofseto - tio disponigas kroman amplekson por analiziloj;
- detunnelado, nome la forigo de kaplinioj indikantaj kaj identigantaj tunelojn. La celo estas redukti la ŝarĝon de analizaj iloj kaj pliigi ilian efikecon. Detunnelado povas esti bazita sur fiksa ofseto aŭ kun dinamika titola analizo kaj ofsetdeterminado por ĉiu pakaĵeto;
- forigante parton de la pakaĵkapoj: MPLS-etikedoj, VLAN, specifaj kampoj de triaj ekipaĵoj;
- maskante parton de la kaplinioj, ekzemple, maskante IP-adresojn por certigi trafikan anonimigon;
- aldonante servajn informojn al la pakaĵeto: tempomarko, eniga haveno, trafikklasa etikedo, ktp.
3. Maldupliko - purigado de duplikataj trafikpakaĵoj transdonitaj al analiziloj. Duoblaj pakoj plej ofte aperas pro la naturo de la konekto al la infrastrukturo - trafiko povas trapasi plurajn analizpunktojn kaj speguliĝi de ĉiu el ili. Resendado de malsukcesaj TCP-pakoj ankaŭ estas ofta, sed se estas multaj, tiam ĉi tiuj estas pli verŝajnaj aferoj rilataj al monitorado de la kvalito de la reto, prefere ol informa sekureco en ĝi.
4. Altnivelaj filtraj funkcioj - de serĉado de specifaj valoroj ĉe donita ofseto ĝis subskriba analizo de la tuta pako.
5. NetFlow/IPFIX-generacio – kolekto de larĝa gamo de statistikoj pri preterpasa trafiko kaj ĝia translokigo al analizaj iloj.
6. Malĉifrado de SSL-trafiko, funkcias kondiĉe ke la atestilo kaj ŝlosiloj unue estas ŝarĝitaj en la retan pakaĵmakleriston. Tamen, ĉi tio ebligas al vi signife malpezigi la analizajn ilojn.
Estas multaj pli da funkcioj, utilaj kaj merkataj, sed la ĉefaj estas probable listigitaj.
La evoluo de detektsistemoj (entrudiĝoj, DDOS-atakoj) en sistemojn por malhelpi ilin, same kiel la enkonduko de aktivaj DPI-iloj, postulis ŝanĝon en la ŝanĝskemo de pasiva (per TAP aŭ SPAN-havenoj) al aktiva ("en la interspaco". "). Ĉi tiu cirkonstanco pliigis la postulojn por fidindeco (ĉar malsukceso en ĉi tiu kazo kondukas al interrompo de la tuta reto, kaj ne nur al la perdo de kontrolo pri informa sekureco) kaj kondukis al la anstataŭigo de optikaj kluĉiloj kun optika pretervojo (por solvi la problemon de la dependeco de retfunkciebleco de la operableco de sistemaj informa sekureco), sed la ĉefa funkcieco kaj postuloj por ĝi restas la samaj.
Ni evoluigis DS Integrity Network Packet Brokers kun 100G, 40G kaj 10G interfacoj de dezajno kaj cirkvitodezajno ĝis firmvaro. Plie, male al aliaj pakaĵmakleristoj, la modifaj kaj ekvilibraj funkcioj de nestitaj tunelaj kaplinioj estas efektivigitaj en aparataro, ĉe plena havenrapideco.
fonto: www.habr.com