Infoturve on telekommunikatsioonist eraldunud iseseisvaks majandusharuks, millel on oma spetsiifika ja oma varustus. Kuid on vähetuntud seadmete klass, mis asub telekommunikatsiooni ja infobezi ristmikul - võrgupakettide vahendajad (Network Packet Broker), on need ka koormuse tasakaalustajad, spetsialiseeritud / jälgimislülitid, liikluse koondajad, turvaedastusplatvorm, võrgu nähtavus ja nii edasi. Ja meie, Venemaa selliste seadmete arendaja ja tootja, tahame teile neist tõesti rohkem rääkida.
Ulatus ja lahendatavad ülesanded
Võrgupakettide maaklerid on spetsiaalsed seadmed, mis on leidnud kõige suurema kasutuse infoturbesüsteemides. Sellisena on seadmeklass suhteliselt uus ja tavalises võrguinfrastruktuuris vähe võrreldes kommutaatorite, ruuterite jms. Seda tüüpi seadmete väljatöötamise teerajajaks oli Ameerika ettevõte Gigamon. Hetkel on sellel turul tegijaid oluliselt rohkem (sh sarnased lahendused tuntud testsüsteemide tootjalt – IXIA), kuid selliste seadmete olemasolust teab veel vaid kitsas ring professionaale. Nagu eespool märgitud, pole isegi terminoloogia puhul ühemõttelist kindlust: nimetused ulatuvad "võrgu läbipaistvussüsteemidest" kuni lihtsate "tasakaalustajateni".
Võrgupakettide maaklerite väljatöötamisel seisime silmitsi tõsiasjaga, et lisaks funktsionaalsuse arendamise suundade analüüsimisele ja katsetamisele laborites / katsetsoonides on vaja potentsiaalsetele tarbijatele samaaegselt selgitada selle seadmeklassi olemasolu. , kuna kõik ei tea sellest.
Isegi 15-20 aastat tagasi oli võrgus vähe liiklust ja need olid enamasti ebaolulised andmed. Aga praktiliselt kordub : Interneti-ühenduse kiirus suureneb igal aastal 50%. Pidevalt kasvab ka liikluse maht (graafik näitab Cisco 2017. aasta prognoosi, allikas Cisco Visual Networking Index: Forecast and Trends, 2017–2022):
Koos kiirusega suureneb teabe (see on nii ärisaladus kui ka kurikuulsad isikuandmed) ringluse tähtsus ja infrastruktuuri üldine jõudlus.
Sellest lähtuvalt on tekkinud infoturbe tööstus. Tööstus on sellele reageerinud terve hulga liiklusanalüüsi (DPI) seadmetega, alates DDOS-i rünnakute ennetussüsteemidest kuni infoturbe sündmuste haldamise süsteemideni, sealhulgas IDS, IPS, DLP, NBA, SIEM, Antimailware ja nii edasi. Tavaliselt on kõik need tööriistad tarkvara, mis installitakse serveriplatvormile. Lisaks on iga programm (analüüsitööriist) installitud oma serveriplatvormile: tarkvaratootjad on erinevad ja L7 analüüsimiseks on vaja palju arvutusressursse.
Infoturbesüsteemi ehitamisel on vaja lahendada mitmeid põhiülesandeid:
- kuidas liiklust infrastruktuurist analüüsisüsteemidesse üle kanda? (kaasaegses infrastruktuuris algselt selleks välja töötatud SPAN-pordid ei ole piisavad ei koguse ega jõudluse poolest)
- kuidas jaotada liiklust erinevate analüüsisüsteemide vahel?
- kuidas süsteeme skaleerida, kui analüsaatori ühe eksemplari jõudlus ei ole piisav kogu sinna siseneva liikluse töötlemiseks?
- kuidas jälgida 40G/100G liideseid (ja lähiajal ka 200G/400G), kuna analüüsivahendid toetavad hetkel ainult 1G/10G/25G liideseid?
Ja järgmised seotud ülesanded:
- kuidas minimeerida ebasobivat liiklust, mis ei vaja töötlemist, kuid jõuab analüüsivahenditeni ja kulutab nende ressursse?
- kuidas töödelda kapseldatud pakette ja riistvarateenuse märgistega pakette, mille analüüsiks ettevalmistamine osutub kas ressursimahukaks või üldse realiseerimatuks?
- kuidas jätta analüüsist välja osa liiklusest, mis ei ole turvapoliitikaga reguleeritud (näiteks pea liiklus).
Nagu kõik teavad, loob nõudlus pakkumise, vastuseks nendele vajadustele hakkasid arenema võrgupakettide vahendajad.
Võrgupakettide vahendajate üldine kirjeldus
Võrgupakettide maaklerid töötavad paketi tasemel ja selles sarnanevad nad tavaliste lülititega. Peamine erinevus kommutaatoritest seisneb selles, et võrgupaketi vahendajate liikluse jaotamise ja koondamise reeglid on täielikult määratud seadetega. Võrgupakettide maakleritel puuduvad standardid edastamistabelite (MAC-tabelite) koostamiseks ja protokollide vahetamiseks teiste kommutaatoritega (näiteks STP) ning seetõttu on võimalike seadistuste valik ja arusaadavad väljad neis palju laiemad. Maakler saab väljundkoormuse tasakaalustamise funktsiooniga liiklust ühtlaselt jaotada ühest või mitmest sisendpordist teatud väljundportide hulka. Saate määrata reeglid liikluse kopeerimiseks, filtreerimiseks, klassifitseerimiseks, dubleerimiseks ja muutmiseks. Neid reegleid saab rakendada nii võrgupaketimaakleri sisendportide erinevatele rühmadele kui ka järjestikku üksteise järel seadmes endas. Paketimaakleri oluliseks eeliseks on võime töödelda liiklust täisvoolukiirusel ja säilitada seansside terviklikkus (liikluse tasakaalustamisel mitme sama tüüpi DPI süsteemiga).
Seansside terviklikkuse säilitamine on kõigi transpordikihi (TCP / UDP / SCTP) seansi pakettide ülekandmine ühte porti. See on oluline, kuna DPI-süsteemid (tavaliselt paketimaakleri väljundpordiga ühendatud serveris töötav tarkvara) analüüsivad liikluse sisu rakenduse tasemel ja kõik ühe rakenduse poolt saadetud/vastuvõetud paketid peavad jõudma samasse eksemplari. analüsaator. Kui ühe seansi paketid lähevad kaduma või jagunevad erinevate DPI-seadmete vahel, siis on iga üksik DPI-seade olukorras, mis on analoogne mitte terve teksti, vaid üksikute sõnade lugemisega sellest. Ja tõenäoliselt ei saa tekst aru.
Seega, olles keskendunud infoturbesüsteemidele, on võrgupaketi vahendajatel funktsionaalsus, mis aitab ühendada DPI tarkvarasüsteeme kiirete telekommunikatsioonivõrkudega ja vähendada nende koormust: nad eelfiltreerivad, klassifitseerivad ja valmistavad ette liiklust, et lihtsustada järgnevat töötlemist.
Lisaks, kuna võrgupakettide maaklerid pakuvad laia valikut statistikat ja on sageli ühendatud võrgu erinevate punktidega, leiavad nad oma koha ka võrgutaristu enda terviseprobleemide diagnoosimisel.
Võrgupakettide vahendajate põhifunktsioonid
Nimetus "spetsiaalsed/jälgivad lülitid" tulenes põhieesmärgist: koguda liiklust infrastruktuurist (tavaliselt kasutades passiivseid optilisi TAP-kraane ja/või SPAN-porte) ja jagada see analüüsivahendite vahel. Liiklust peegeldatakse (dubleeritakse) erinevat tüüpi süsteemide vahel ja tasakaalustatakse sama tüüpi süsteemide vahel. Põhifunktsioonid hõlmavad tavaliselt filtreerimist väljade järgi kuni L4-ni (MAC, IP, TCP / UDP port jne) ja mitme vähekoormatud kanali koondamist üheks (näiteks töötlemiseks ühes DPI-süsteemis).
See funktsioon pakub lahenduse põhiülesandele - DPI-süsteemide ühendamisele võrgu infrastruktuuriga. Erinevate tootjate maaklerid, piirdudes põhifunktsioonidega, pakuvad kuni 32 100G liidese töötlemist 1U kohta (rohkem liideseid ei mahu füüsiliselt 1U esipaneelile). Kuid need ei võimalda analüüsivahendite koormust vähendada ja keeruka infrastruktuuri jaoks ei suuda nad isegi pakkuda põhifunktsiooni nõudeid: mitme tunneli vahel jaotatud (või MPLS-i siltidega varustatud) seanss võib olla erinevatel juhtudel tasakaalustamata. analüsaator ja üldiselt langevad analüüsist välja.
Lisaks 40/100G liideste lisamisele ja sellest tulenevalt jõudluse parandamisele arenevad võrgupaketimaaklerid aktiivselt põhimõtteliselt uute funktsioonide pakkumise osas: alates pesastatud tunnelipäiste tasakaalustamisest kuni liikluse dekrüpteerimiseni. Kahjuks ei saa sellised mudelid kiidelda jõudlusega terabittides, kuid võimaldavad ehitada tõeliselt kvaliteetse ja tehniliselt "ilusa" infoturbesüsteemi, milles iga analüüsitööriist saab garanteeritult kätte ainult talle vajaliku teabe kõige sobivamal kujul. analüüsi jaoks.
Võrgupakettide vahendajate täiustatud funktsioonid
1. Eespool mainitud pesastatud päise tasakaalustamine tunneliliikluses.
Miks see oluline on? Mõelge kolmele aspektile, mis võivad koos või eraldi olla kriitilised:
- ühtlase tasakaalustamise tagamine väikese arvu tunnelite olemasolul. Juhul, kui infoturbesüsteemide ühenduspunktis on ainult 2 tunnelit, siis ei ole võimalik neid seanssi säilitades 3 serveriplatvormil välispäiste abil tasakaalust välja viia. Samal ajal edastatakse liiklus võrgus ebaühtlaselt ja iga tunneli suund eraldi töötlemisseadmesse nõuab viimase ülemäärast jõudlust;
- mitmesessiooniprotokollide (näiteks FTP ja VoIP) seansside ja voogude terviklikkuse tagamine, mille paketid sattusid erinevatesse tunnelitesse. Võrgu infrastruktuuri keerukus kasvab pidevalt: koondamine, virtualiseerimine, halduse lihtsustamine jne. Ühelt poolt tõstab see andmeedastuse usaldusväärsust, teisalt aga raskendab infoturbesüsteemide tööd. Isegi analüsaatorite piisava jõudlusega, et töödelda spetsiaalset kanalit koos tunnelitega, osutub probleem lahendamatuks, kuna osa kasutajaseansi pakette edastatakse teise kanali kaudu. Veelgi enam, kui nad siiski püüavad mõnes infrastruktuuris seansside terviklikkuse eest hoolitseda, võivad mitme seansi protokollid minna täiesti erinevalt;
- tasakaalustamine MPLS-i, VLAN-i, üksikute seadmete siltide jne olemasolul. Mitte päris tunnelid, kuid sellegipoolest saavad põhifunktsioonidega seadmed seda liiklust mõista mitte IP-na ja MAC-aadresside tasakaaluna, rikkudes taaskord tasakaalustamise või seansi terviklikkuse ühtsust.
Võrgupakettide maakler parsib välimisi päiseid ja järgib järjestikku viiteid kuni pesastatud IP-päiseni ja tasakaalustab juba sellel. Tänu sellele on vooge oluliselt rohkem (vastavalt saab tasakaalust välja viia ühtlasemalt ja suuremal hulgal platvormidel) ning DPI süsteem võtab vastu kõik seansipaketid ja kõik nendega seotud mitmeseansi protokollide seansid.
2. Liikluse muutmine.
Oma võimaluste poolest üks laiemaid funktsioone, alamfunktsioonide arv ja nende kasutamise võimalused on palju:
- kasuliku koormuse eemaldamine, sel juhul edastatakse parserile ainult pakettide päised. See on oluline analüüsitööriistade või liiklustüüpide puhul, mille puhul pakettide sisu ei mängi rolli või ei saa seda analüüsida. Näiteks krüpteeritud liikluse puhul võivad huvi pakkuda parameetrilised vahetusandmed (kes, kellega, millal ja kui palju), samas kui kasulik koormus on tegelikult prügi, mis hõivab analüsaatori kanali ja arvutusressursse. Variatsioonid on võimalikud, kui kasulik koormus katkestatakse alates etteantud nihkest – see annab analüüsivahenditele lisaruumi;
- tunnelite eemaldamine, nimelt tunneleid tähistavate ja tuvastavate päiste eemaldamine. Eesmärk on vähendada analüüsivahendite koormust ja tõsta nende efektiivsust. Tunneli eemaldamine võib põhineda fikseeritud nihke või dünaamilise päise analüüsil ja nihke määramisel iga paketi jaoks;
- mõne paketipäise eemaldamine: MPLS-sildid, VLAN, kolmanda osapoole seadmete konkreetsed väljad;
- osa päistest maskeerimine, näiteks IP-aadresside varjamine liikluse anonüümsuse tagamiseks;
- teenuseinfo lisamine paketti: ajatemplid, sisendport, liiklusklassi sildid jne.
3. Deduplikatsioon – analüüsivahenditele edastatud korduvate liikluspakettide puhastamine. Dubleerivad paketid tekivad kõige sagedamini infrastruktuuriga ühendamise iseärasuste tõttu - liiklus võib läbida mitu analüüsipunkti ja peegelduda neist igaühest. Esineb ka mittetäielike TCP-pakettide uuesti saatmist, aga kui neid on palju, siis need on pigem võrgu kvaliteedi jälgimise küsimused, mitte infoturbe osas selles.
4. Täiustatud filtreerimisfunktsioonid – alates konkreetsete väärtuste otsimisest antud nihkega kuni signatuurianalüüsini kogu paketi ulatuses.
5. NetFlow/IPFIX genereerimine – laia valiku statistika kogumine mööduva liikluse kohta ja selle ülekandmine analüüsivahenditesse.
6. SSL-liikluse dekrüpteerimine, töötab eeldusel, et sertifikaat ja võtmed laaditakse esmalt võrgupaketi vahendajasse. Sellegipoolest võimaldab see analüüsitööriistu oluliselt maha laadida.
Funktsioone, kasulikke ja turunduslikke, on palju rohkem, kuid peamised neist on võib-olla loetletud.
Tuvastamissüsteemide (sissetungimised, DDOS-i rünnakud) arendamine süsteemideks nende ennetamiseks, aga ka aktiivsete DPI-tööriistade kasutuselevõtt nõudis lülitusskeemi muutmist passiivsest (läbi TAP- või SPAN-portide) aktiivseks (“katkestuses”). ). See asjaolu suurendas nõudeid töökindlusele (kuna antud juhul põhjustab rike kogu võrgu häireid, mitte ainult infoturbe üle kontrolli kaotamist) ja viis optiliste sidurite asendamiseni optiliste möödaviikudega (et lahendada võrgu jõudluse sõltuvuse probleem süsteemide infoturbe toimimisest), kuid põhifunktsionaalsus ja nõuded sellele jäid samaks.
Oleme välja töötanud DS Integrity Network Packet Brokers 100G, 40G ja 10G liidestega alates disainist ja vooluringidest kuni manustatud tarkvarani. Lisaks on erinevalt teistest paketivahendajatest meie riistvaras pesastatud tunnelipäiste muutmise ja tasakaalustamise funktsioonid pordi täiskiirusel.
Allikas: www.habr.com