ProHoster > Blog > administración > Soluciones modernas para la construcción de sistemas de seguridad de la información: corredores de paquetes de red (Network Packet Broker)

Soluciones modernas para la construcción de sistemas de seguridad de la información: corredores de paquetes de red (Network Packet Broker)

La seguridad de la información se ha separado de las telecomunicaciones en una industria independiente con sus propios detalles y su propio equipo. Pero hay una clase de dispositivos poco conocida que se encuentra en el cruce de telecomunicaciones e infobez: intermediarios de paquetes de red (Network Packet Broker), también son balanceadores de carga, switches especializados/de monitoreo, agregadores de tráfico, Security Delivery Platform, Network Visibility, etc. Y nosotros, como desarrolladores y fabricantes rusos de tales dispositivos, realmente queremos contarles más sobre ellos.

Soluciones modernas para la construcción de sistemas de seguridad de la información: corredores de paquetes de red (Network Packet Broker)

Alcance y tareas a resolver

Los corredores de paquetes de red son dispositivos especializados que han encontrado el mayor uso en los sistemas de seguridad de la información. Como tal, la clase de dispositivo es relativamente nueva y tiene poca infraestructura de red común en comparación con conmutadores, enrutadores, etc. La pionera en el desarrollo de este tipo de dispositivos fue la empresa estadounidense Gigamon. Actualmente, hay muchos más jugadores en este mercado (incluidas soluciones similares del conocido fabricante de sistemas de prueba, IXIA), pero solo un círculo reducido de profesionales aún conoce la existencia de dichos dispositivos. Como se señaló anteriormente, incluso con la terminología no existe una certeza inequívoca: los nombres van desde "sistemas de transparencia de red" hasta simples "equilibradores".

Al desarrollar corredores de paquetes de red, nos enfrentamos al hecho de que, además de analizar las direcciones para el desarrollo de la funcionalidad y las pruebas en laboratorios/zonas de prueba, es necesario explicar simultáneamente a los consumidores potenciales sobre la existencia de esta clase de equipos. , ya que no todo el mundo lo sabe.

Incluso hace 15 o 20 años, había poco tráfico en la red y en su mayoría eran datos sin importancia. Pero ley de Nielsen prácticamente repite ley de moore: La velocidad de la conexión a Internet aumenta un 50% anual. El volumen de tráfico también crece constantemente (el gráfico muestra el pronóstico de 2017 de Cisco, fuente Índice de redes visuales de Cisco: Pronóstico y tendencias, 2017–2022):

Soluciones modernas para la construcción de sistemas de seguridad de la información: corredores de paquetes de red (Network Packet Broker)
Junto con la velocidad, la importancia de la circulación de la información (esto es tanto un secreto comercial como datos personales notorios) y el rendimiento general de la infraestructura están aumentando.

En consecuencia, ha surgido la industria de la seguridad de la información. La industria ha respondido a esto con una amplia gama de dispositivos de análisis de tráfico (DPI), desde sistemas de prevención de ataques DDOS hasta sistemas de gestión de eventos de seguridad de la información, incluidos IDS, IPS, DLP, NBA, SIEM, Antimailware, etc. Por lo general, cada una de estas herramientas es un software que se instala en una plataforma de servidor. Además, cada programa (herramienta de análisis) se instala en su propia plataforma de servidor: los fabricantes de software son diferentes y se requieren muchos recursos informáticos para el análisis en L7.

Al construir un sistema de seguridad de la información, es necesario resolver una serie de tareas básicas:

  • ¿Cómo transferir el tráfico de la infraestructura a los sistemas de análisis? (los puertos SPAN desarrollados originalmente para esto en la infraestructura moderna no son suficientes ni en cantidad ni en rendimiento)
  • ¿Cómo distribuir el tráfico entre diferentes sistemas de análisis?
  • ¿Cómo escalar los sistemas cuando no hay suficiente rendimiento de una instancia del analizador para procesar todo el volumen de tráfico que ingresa?
  • ¿Cómo monitorear interfaces 40G/100G (y en un futuro cercano también 200G/400G), ya que las herramientas de análisis actualmente solo admiten interfaces 1G/10G/25G?

Y las siguientes tareas relacionadas:

  • ¿Cómo minimizar el tráfico inapropiado que no necesita ser procesado, pero llega a las herramientas de análisis y consume sus recursos?
  • ¿Cómo procesar paquetes encapsulados y paquetes con marcas de servicio de hardware, cuya preparación para el análisis resulta ser intensiva en recursos o irrealizable en absoluto?
  • cómo excluir del análisis parte del tráfico que no está regulado por la política de seguridad (por ejemplo, tráfico de la cabecera).

Soluciones modernas para la construcción de sistemas de seguridad de la información: corredores de paquetes de red (Network Packet Broker)
Como todos saben, la demanda crea oferta, en respuesta a estas necesidades, los corredores de paquetes de red comenzaron a desarrollarse.

Descripción general de Network Packet Brokers

Los intermediarios de paquetes de red funcionan a nivel de paquetes y, en esto, son similares a los conmutadores ordinarios. La principal diferencia con los conmutadores es que las reglas para la distribución y agregación del tráfico en los intermediarios de paquetes de red están completamente determinadas por la configuración. Los intermediarios de paquetes de red no tienen estándares para construir tablas de reenvío (tablas MAC) y protocolos de intercambio con otros conmutadores (como STP) y, por lo tanto, el rango de configuraciones posibles y campos comprensibles en ellos es mucho más amplio. Un corredor puede distribuir uniformemente el tráfico desde uno o más puertos de entrada a un rango determinado de puertos de salida con una función de equilibrio de carga de salida. Puede establecer reglas para copiar, filtrar, clasificar, deduplicar y modificar el tráfico. Estas reglas pueden aplicarse a diferentes grupos de puertos de entrada del intermediario de paquetes de red, así como aplicarse secuencialmente uno tras otro en el propio dispositivo. Una ventaja importante de un intermediario de paquetes es la capacidad de procesar el tráfico a la máxima velocidad de flujo y preservar la integridad de las sesiones (en el caso de equilibrar el tráfico a varios sistemas DPI del mismo tipo).

Preservar la integridad de las sesiones es transferir todos los paquetes de la sesión de la capa de transporte (TCP/UDP/SCTP) a un puerto. Esto es importante porque los sistemas DPI (por lo general, software que se ejecuta en un servidor conectado al puerto de salida de un intermediario de paquetes) analizan el contenido del tráfico a nivel de la aplicación y todos los paquetes enviados/recibidos por una aplicación deben llegar a la misma instancia de la aplicación. analizador Si los paquetes de una sesión se pierden o se distribuyen entre diferentes dispositivos DPI, entonces cada dispositivo DPI individual estará en una situación análoga a leer no un texto completo, sino palabras individuales de él. Y, lo más probable, el texto no lo entenderá.

Así, al estar enfocados en los sistemas de seguridad de la información, los brokers de paquetes de red cuentan con una funcionalidad que ayuda a conectar los sistemas de software DPI a las redes de telecomunicaciones de alta velocidad y reducir la carga sobre las mismas: prefiltran, clasifican y preparan el tráfico para simplificar el procesamiento posterior.

Además, dado que los corredores de paquetes de red brindan una amplia gama de estadísticas y, a menudo, están conectados a varios puntos de la red, también encuentran su lugar en el diagnóstico de problemas de salud de la infraestructura de la red en sí.

Funciones básicas de los agentes de paquetes de red

El nombre "conmutadores de monitoreo/dedicados" surgió del propósito básico: recolectar tráfico de la infraestructura (usualmente usando derivaciones TAP ópticas pasivas y/o puertos SPAN) y distribuirlo entre las herramientas de análisis. El tráfico se refleja (duplica) entre sistemas de diferentes tipos y se equilibra entre sistemas del mismo tipo. Las funciones básicas suelen incluir el filtrado por campos hasta L4 (MAC, IP, puerto TCP/UDP, etc.) y la agregación de varios canales ligeramente cargados en uno (por ejemplo, para procesar en un sistema DPI).

Esta funcionalidad brinda una solución a la tarea básica: conectar los sistemas DPI a la infraestructura de la red. Los corredores de varios fabricantes, limitados a la funcionalidad básica, brindan procesamiento de hasta 32 interfaces 100G por 1U (más interfaces no caben físicamente en el panel frontal de 1U). Sin embargo, no permiten reducir la carga de las herramientas de análisis, y para una infraestructura compleja ni siquiera pueden proporcionar los requisitos para una función básica: una sesión distribuida en varios túneles (o equipada con etiquetas MPLS) puede desequilibrarse para diferentes instancias de la analizador y, por lo general, quedan fuera del análisis.

Además de agregar interfaces 40/100G y, como resultado, mejorar el rendimiento, los intermediarios de paquetes de red se están desarrollando activamente en términos de brindar funciones fundamentalmente nuevas: desde balanceo en encabezados de túneles anidados hasta descifrado de tráfico. Desafortunadamente, tales modelos no pueden presumir de rendimiento en terabits, pero permiten construir un sistema de seguridad de la información de muy alta calidad y técnicamente "hermoso" en el que se garantiza que cada herramienta de análisis reciba solo la información que necesita en la forma más adecuada. para analizar.

Funciones avanzadas de los intermediarios de paquetes de red

Soluciones modernas para la construcción de sistemas de seguridad de la información: corredores de paquetes de red (Network Packet Broker)
1. Mencionado anteriormente Equilibrio de encabezados anidados en tráfico tunelizado.

¿Por qué es importante? Considere 3 aspectos que pueden ser críticos juntos o por separado:

  • asegurando un equilibrio uniforme en presencia de un pequeño número de túneles. En el caso de que solo existan 2 túneles en el punto de conexión de los sistemas de seguridad de la información, entonces no será posible desequilibrarlos por cabeceras externas en 3 plataformas de servidores mientras se mantiene la sesión. Al mismo tiempo, el tráfico en la red se transmite de manera desigual, y la dirección de cada túnel a una instalación de procesamiento separada requerirá un rendimiento excesivo de esta última;
  • asegurando la integridad de las sesiones y flujos de protocolos multisesión (por ejemplo, FTP y VoIP), cuyos paquetes terminaron en diferentes túneles. La complejidad de la infraestructura de red aumenta constantemente: redundancia, virtualización, simplificación de la administración, etc. Por un lado, esto aumenta la fiabilidad en términos de transmisión de datos, por otro lado, complica el trabajo de los sistemas de seguridad de la información. Incluso con un rendimiento suficiente de los analizadores para procesar un canal dedicado con túneles, el problema resulta irresoluble, ya que algunos de los paquetes de sesión de usuario se transmiten por otro canal. Además, si aún intentan cuidar la integridad de las sesiones en algunas infraestructuras, los protocolos multisesión pueden tomar caminos completamente diferentes;
  • equilibrio en presencia de MPLS, VLAN, etiquetas de equipos individuales, etc. Realmente no son túneles, pero sin embargo, equipos con funcionalidad básica pueden entender este tráfico no como IP y balancear por direcciones MAC, violando una vez más la uniformidad de balanceo o integridad de sesión.

El intermediario de paquetes de red analiza los encabezados externos y sigue secuencialmente los punteros hasta el encabezado IP anidado y los saldos que ya están en él. Como resultado, hay significativamente más flujos (respectivamente, se puede desequilibrar de manera más uniforme y en una mayor cantidad de plataformas), y el sistema DPI recibe todos los paquetes de sesión y todas las sesiones asociadas de protocolos multisesión.

2. Modificación del tráfico.
Una de las funciones más amplias en términos de sus capacidades, la cantidad de subfunciones y opciones para su uso son muchas:

  • eliminando la carga útil, en cuyo caso solo se pasan al analizador los encabezados de los paquetes. Esto es relevante para las herramientas de análisis o para los tipos de tráfico en los que el contenido de los paquetes no juega ningún papel o no puede analizarse. Por ejemplo, para el tráfico encriptado, los datos de intercambio paramétrico (quién, con quién, cuándo y cuánto) pueden ser de interés, mientras que la carga útil es en realidad basura que ocupa el canal y los recursos informáticos del analizador. Las variaciones son posibles cuando la carga útil se corta a partir de un desplazamiento determinado; esto proporciona un alcance adicional para las herramientas de análisis;
  • eliminación de túneles, es decir, la eliminación de encabezados que designan e identifican túneles. El objetivo es reducir la carga de las herramientas de análisis y aumentar su eficiencia. La eliminación de túneles se puede basar en un desplazamiento fijo o en un análisis de encabezado dinámico y en la determinación del desplazamiento para cada paquete;
  • eliminación de algunos encabezados de paquetes: etiquetas MPLS, VLAN, campos específicos de equipos de terceros;
  • enmascarar parte de los encabezados, por ejemplo, enmascarar direcciones IP para garantizar la anonimización del tráfico;
  • agregar información de servicio al paquete: marcas de tiempo, puerto de entrada, etiquetas de clase de tráfico, etc.

3. Deduplicación – limpieza de paquetes de tráfico repetitivos transmitidos a herramientas de análisis. Los paquetes duplicados ocurren con mayor frecuencia debido a las peculiaridades de conectarse a la infraestructura: el tráfico puede pasar a través de varios puntos de análisis y reflejarse desde cada uno de ellos. También hay un reenvío de paquetes TCP incompletos, pero si hay muchos, entonces estas son más preguntas para monitorear la calidad de la red y no para la seguridad de la información en ella.

4. Funciones de filtrado avanzadas – desde la búsqueda de valores específicos en un desplazamiento dado hasta el análisis de firmas en todo el paquete.

5. Generación NetFlow/IPFIX – recopilación de una amplia gama de estadísticas sobre el tráfico que pasa y su transferencia a herramientas de análisis.

6. Descifrado del tráfico SSL, funciona si el certificado y las claves se cargan primero en el intermediario de paquetes de red. Sin embargo, esto le permite descargar significativamente las herramientas de análisis.

Hay muchas más funciones, útiles y de marketing, pero quizás se enumeran las principales.

El desarrollo de sistemas de detección (intrusiones, ataques DDOS) en los sistemas para su prevención, así como la introducción de herramientas DPI activas, requería un cambio en el esquema de conmutación de pasivo (a través de puertos TAP o SPAN) a activo (“en pausa” ). Esta circunstancia aumentó los requisitos de confiabilidad (porque una falla en este caso conduce a una interrupción de toda la red, y no solo a una pérdida de control sobre la seguridad de la información) y llevó a la sustitución de acopladores ópticos por bypasses ópticos (con el fin de resolver el problema de la dependencia del rendimiento de la red en el rendimiento de la seguridad de la información de los sistemas), pero la funcionalidad principal y los requisitos para ello siguieron siendo los mismos.

Hemos desarrollado DS Integrity Network Packet Brokers con interfaces 100G, 40G y 10G desde el diseño y los circuitos hasta el software integrado. Además, a diferencia de otros intermediarios de paquetes, las funciones de modificación y equilibrio para los encabezados de túneles anidados se implementan en nuestro hardware, a la máxima velocidad del puerto.

Soluciones modernas para la construcción de sistemas de seguridad de la información: corredores de paquetes de red (Network Packet Broker)

Fuente: habr.com

Añadir un comentario