Informazioaren segurtasuna telekomunikazioetatik bereizi da bere berezitasun eta ekipamendu propio dituen industria independente batean. Baina bada gutxi ezagutzen den gailu mota bat, telekomunikazioen eta infobezen arteko elkargunean dagoena - sareko paketeen artekariak (Network Packet Broker), karga-orekatzaileak, etengailu espezializatuak / monitorizatzaileak, trafiko-agregatzaileak, segurtasuna emateko plataforma, sarearen ikusgarritasuna eta abar dira. Eta guk, errusiar garatzaile eta gailuen fabrikatzaile gisa, benetan horiei buruz gehiago esan nahi dizugu.
Ebatzi beharreko esparrua eta zereginak
Sareko pakete-artekariak informazio-segurtasun sistemetan erabilera handiena aurkitu duten gailu espezializatuak dira. Hori dela eta, gailuen klasea nahiko berria da eta sare-azpiegitura arruntean gutxi dago etengailu, bideratzaile eta abarrekin alderatuta. Gailu mota hau garatzen aitzindaria Gigamon enpresa estatubatuarra izan zen. Gaur egun, merkatu honetan askoz ere jokalari gehiago daude (proba sistemen fabrikatzaile ezagun baten antzeko soluzioak barne - IXIA), baina profesionalen zirkulu estu batek bakarrik daki oraindik gailu horien existentzia. Goian esan bezala, terminologiarekin ere ez dago ziurtasun argirik: izenak "sarearen gardentasun-sistema"tik "orekatzaile" soiletara doaz.
Sareko pakete-artekariak garatzen ari ginen bitartean, laborategietan / proba-eremuetan funtzionalitateak eta probak garatzeko jarraibideak aztertzeaz gain, beharrezkoa da kontsumitzaile potentzialari ekipamendu-klase honen existentziari buruz aldi berean azaltzea. , denek ez baitute horren berri.
Duela 15-20 urte ere, trafiko gutxi zegoen sarean, eta gehienetan garrantzirik gabeko datuak ziren. Baina ia errepikatzen du : Internet konexioaren abiadura % 50 handitzen da urtero. Trafiko bolumena ere etengabe hazten ari da (grafikoak Ciscoren 2017ko aurreikuspena erakusten du, iturri Cisco Visual Networking Index: Forecast and Trends, 2017β2022):
Abiadurarekin batera, informazioa zirkulatzearen garrantzia (sekretu komertziala eta datu pertsonal ezagunak dira) eta azpiegituren errendimendu orokorra areagotzen ari dira.
Horren arabera, informazioaren segurtasunaren industria sortu da. Industriak horri erantzun dio trafikoa aztertzeko (DPI) gailu sorta oso batekin, DDOS erasoen prebentzio sistemetatik hasi eta informazioaren segurtasuneko gertaeren kudeaketa sistemetaraino, IDS, IPS, DLP, NBA, SIEM, Antimailware eta abar barne. Normalean, tresna horietako bakoitza zerbitzari-plataforma batean instalatutako softwarea da. Gainera, programa bakoitza (analisi-tresna) bere zerbitzari-plataforman instalatuta dago: software-ekoizleak desberdinak dira, eta informatika-baliabide asko behar dira L7-n aztertzeko.
Informazioaren segurtasun sistema eraikitzerakoan, oinarrizko zeregin batzuk ebaztea beharrezkoa da:
- nola transferitu trafikoa azpiegituratik analisi sistemetara? (Jatorrian horretarako garatu diren SPAN portuak azpiegitura modernoetan ez dira nahikoak ez kantitatean ez errendimenduan)
- nola banatu trafikoa analisi-sistema ezberdinen artean?
- nola eskalatu sistemak analizatzailearen instantzia baten errendimendu nahikorik ez dagoenean bertara sartzen den trafiko-bolumen osoa prozesatzeko?
- nola monitorizatu 40G/100G interfazeak (eta etorkizun hurbilean 200G/400G ere), gaur egun analisi-tresnek 1G/10G/25G interfazeak soilik onartzen dituztelako?
Eta lotutako zeregin hauek:
- nola gutxitu prozesatu behar ez den trafiko desegokia, baina analisi-tresnetara iritsi eta baliabideak kontsumitzen dituena?
- nola prozesatu kapsulatutako paketeak eta hardware-zerbitzu-markak dituzten paketeak, zeinak analisirako prestatzea baliabide asko edo gauzatu ezina dela?
- nola baztertu analisitik segurtasun politikak arautzen ez duen trafikoaren zatia (adibidez, buruaren trafikoa).
Denek dakienez, eskariak eskaintza sortzen du, behar horiei erantzunez, sareko paketeen artekariak garatzen hasi ziren.
Sareko Pakete Artekarien Deskribapen Orokorra
Sareko pakete-artekariek pakete mailan lan egiten dute, eta honetan etengailu arrunten antzekoak dira. Etengailuekiko desberdintasun nagusia sareko pakete-artekarien trafikoa banatzeko eta batzeko arauak ezarpenek erabat zehazten dituztela da. Sareko pakete-artekariek ez dute birbidaltze-taulak (MAC taulak) eraikitzeko eta beste etengailu batzuekin (adibidez, STP) protokoloak trukatzeko estandarrik, eta, beraz, horien ezarpen posibleen eta eremu ulergarrien sorta askoz zabalagoa da. Agente batek sarrerako ataka batetik edo gehiagotik irteerako ataka jakin batera banatu dezake trafikoa berdintasunez, irteerako karga orekatzeko funtzio batekin. Trafikoa kopiatzeko, iragazteko, sailkatzeko, desbikoizteko eta aldatzeko arauak ezar ditzakezu. Arau hauek sare-pakete-artekariaren sarrera-portuen talde ezberdinetan aplika daitezke, baita sekuentzialki bata bestearen atzetik aplikatu ere gailuan bertan. Pakete-artekari baten abantaila garrantzitsu bat trafikoa fluxu osoan prozesatzeko eta saioen osotasuna zaintzeko gaitasuna da (mota bereko hainbat DPI sistemaren trafikoa orekatzeko kasuan).
Saioen osotasuna zaintzea garraio-geruzaren saioko pakete guztiak (TCP / UDP / SCTP) ataka batera transferitzea da. Hau garrantzitsua da DPI sistemek (normalean pakete-artekari baten irteerako atakara konektatutako zerbitzari batean exekutatzen den softwarea) trafikoaren edukia aztertzen baitute aplikazio mailan, eta aplikazio batek bidalitako/jasotako pakete guztiak instantzia berean iritsi behar direlako. analizatzailea . Saio bateko paketeak DPI gailu desberdinen artean galtzen badira edo banatzen badira, orduan DPI gailu bakoitza testu osoa ez, hitz banaka irakurtzearen antzeko egoeran egongo da. Eta, ziurrenik, testuak ez du ulertuko.
Horrela, informazio-segurtasun sistemetan zentratuta egonik, sare-pakete-artekariek DPI software-sistemak abiadura handiko telekomunikazio-sareetara konektatzen eta horien gaineko karga murrizten laguntzen duten funtzionaltasuna dute: trafikoa aurrez iragazten, sailkatu eta prestatzen dute, ondorengo prozesamendua errazteko.
Horrez gain, sare-paketeen artekariek estatistika ugari eskaintzen dituztenez eta askotan sareko hainbat puntutara konektatuta daudenez, sare-azpiegituraren beraren osasun-arazoak diagnostikatzeko ere euren lekua aurkitzen dute.
Network Packet Broker-en oinarrizko funtzioak
"Dedikazio/monitorizazio etengailu" izena oinarrizko helburutik sortu zen: azpiegiturako trafikoa biltzea (normalean TAP ukitu optiko pasiboak eta/edo SPAN atakak erabiliz) eta analisi tresnen artean banatzea. Trafikoa ispilu (bikoiztua) da mota ezberdinetako sistemen artean, eta orekatua mota bereko sistemen artean. Oinarrizko funtzioen artean, normalean, L4ra arteko eremuen arabera iragaztea (MAC, IP, TCP / UDP ataka, etab.) eta arin kargatutako hainbat kanal bakarrean batzea (adibidez, DPI sistema batean prozesatzeko).
Funtzionalitate honek oinarrizko zereginari irtenbidea ematen dio: DPI sistemak sare azpiegiturara konektatzea. Hainbat fabrikatzailetako artekariek, oinarrizko funtzionaltasunera mugatuta, 32U bakoitzeko 100 1G interfaze prozesatzen dituzte (interfaze gehiago ez dira fisikoki sartzen 1U aurreko panelean). Hala ere, ez dute onartzen analisi-tresnen karga murrizten, eta azpiegitura konplexu baterako ezin dituzte oinarrizko funtzio baterako eskakizunak ere eman: hainbat tuneletan banatutako saio bat (edo MPLS etiketaz hornitua) desorekatua izan daiteke kasu desberdinetarako. analizatzailea eta, oro har, analisitik kanpo geratzen dira.
40/100G interfazeak gehitzeaz gain, eta, ondorioz, errendimendua hobetzeaz gain, sare-paketeen artekariak aktiboki garatzen ari dira funtsean funtzio berriak eskaintzeari dagokionez: habiaraturiko tunel-goiburuetan orekatik hasi eta trafikoa deszifratzeraino. Zoritxarrez, horrelako ereduek ezin dute terabitetako errendimenduaz harrotu, baina kalitate handiko eta teknikoki "ederra" den informazioaren segurtasun-sistema eraikitzea ahalbidetzen dute, zeinetan analisi-tresna bakoitzak behar duen informazioa behar duen forma egokienan jasotzea bermatuta dagoen. analisirako.
Sareko pakete-artekarien funtzio aurreratuak
1. Goian aipatua habiaratutako goiburuen oreka tuneldun trafikoan.
Zergatik da garrantzitsua? Kontuan hartu elkarrekin edo bereizita kritikoak izan daitezkeen 3 alderdi:
- tunel kopuru txiki baten aurrean oreka uniformea ββbermatuz. Informazioaren segurtasun-sistemen konexio puntuan 2 tunel baino ez badaude, ezin izango da desorekatu kanpoko goiburuen bidez 3 zerbitzari-plataformetan saioa mantendu bitartean. Aldi berean, sareko trafikoa modu irregularrean transmititzen da, eta tunel bakoitzaren noranzkoak prozesatzeko instalazio bereizi baterako noranzkoak azken honen gehiegizko errendimendua eskatuko du;
- saio anitzeko protokoloen (adibidez, FTP eta VoIP) saioen eta korronteen (adibidez, FTP eta VoIP) osotasuna bermatuz, eta horien paketeak tunel ezberdinetan amaitzen ziren. Sare-azpiegituren konplexutasuna etengabe handitzen ari da: erredundantzia, birtualizazioa, administrazioaren sinplifikazioa, etab. Batetik, horrek datuen transmisioari dagokionez fidagarritasuna areagotzen du, bestetik, informazioaren segurtasun sistemen lana zailtzen du. Tunelekin kanal dedikatu bat prozesatzeko analizatzaileen errendimendu nahikoa bada ere, arazoa konpontzezina da, erabiltzaileen saio-pakete batzuk beste kanal batetik transmititzen baitira. Gainera, oraindik azpiegitura batzuetan saioen osotasuna zaintzen saiatzen badira, saio anitzeko protokoloak guztiz bestelakoak izan daitezke;
- orekatzea MPLS, VLAN, ekipamendu indibidualaren etiketak, etab. Ez da benetan tunelak, baina, hala ere, oinarrizko funtzionalitateak dituzten ekipoek trafiko hori ez IP eta oreka gisa uler dezakete MAC helbideen arabera, berriro ere orekatzearen edo saioen osotasunaren uniformetasuna urratuz.
Sare-pakete-artekariak kanpoko goiburuak analizatzen ditu eta sekuentzialki erakusleak jarraitzen ditu habiaraturiko IP goibururaino eta dagoeneko bertan orekatzen ditu. Ondorioz, korronte nabarmen gehiago daude (hurrenez hurren, modu orekatuagoan eta plataforma kopuru handiagoan desorekatu daiteke), eta DPI sistemak saio-pakete guztiak eta saio anitzeko protokoloen lotutako saio guztiak jasotzen ditu.
2. Trafiko aldaketa.
Funtzio zabalenetako bat bere gaitasunei dagokienez, azpifuntzioen kopurua eta erabiltzeko aukerak asko dira:
- karga kenduz, kasu horretan, paketeen goiburuak soilik pasatzen zaizkio analizatzaileari. Hau garrantzitsua da analisi-tresnetarako edo paketeen edukiak paperik ez duten edo aztertu ezin diren trafiko-motetarako. Esaterako, enkriptatutako trafikorako, truke parametrikoko datuak (nori, norekin, noiz eta zenbat) interesgarriak izan daitezke, karga karga benetan analizatzailearen kanala eta baliabide informatikoak okupatzen dituen zaborra den bitartean. Aldaerak posible dira karga karga mozten denean desplazamendu jakin batetik hasita - honek analisi-tresnetarako esparru gehigarria eskaintzen du;
- destunelatzea, hots, tunelak izendatu eta identifikatzen dituzten goiburuak kentzea. Helburua da analisi tresnen karga murriztea eta haien eraginkortasuna areagotzea. Detunnelizazioa desplazamendu finko batean oinarritu daiteke, edo goiburuko analisi dinamikoarekin eta pakete bakoitzeko desplazamendu-determinazioarekin;
- paketeen goiburu batzuk kentzea: MPLS etiketak, VLAN, hirugarrenen ekipoen eremu zehatzak;
- goiburuen zati bat ezkutatzea, adibidez, IP helbideak ezkutatzea trafikoaren anonimotasuna bermatzeko;
- paketeari zerbitzu-informazioa gehitzea: denbora-zigiluak, sarrerako ataka, trafiko-klaseen etiketak, etab.
3. Desduplikatzea β analisi-tresnetara transmititutako trafiko-pakete errepikakorrak garbitzea. Pakete bikoiztuak azpiegiturara konektatzearen berezitasunengatik gertatzen dira gehienetan - trafikoa analisi-puntu batzuetatik igaro daiteke eta horietako bakoitzetik islatu daiteke. TCP pakete osatugabeak ere bidaltzen dira, baina asko baldin badira, galdera gehiago dira sarearen kalitatea kontrolatzeko, eta ez bertan dagoen informazioaren segurtasunerako.
4. Iragazte-eginbide aurreratuak - Desplazamendu jakin batean balio zehatzak bilatzetik pakete osoan zehar sinaduraren azterketara arte.
5. NetFlow/IPFIX sorrera β Trafiko igarotzeari buruzko estatistika sorta zabala biltzea eta analisi-tresnetara transferitzea.
6. SSL trafikoa deszifratzea, funtzionatzen du, baldin eta ziurtagiria eta gakoak lehenik sareko pakete-artekarian kargatzen badira. Hala ere, honek analisi-tresnak nabarmen deskargatzeko aukera ematen du.
Askoz funtzio gehiago daude, erabilgarriak eta marketinak, baina nagusiak, agian, zerrendatuta daude.
Haien prebentziorako sistemetan detekzio-sistemak (intrusioak, DDOS erasoak) garatzeak, baita DPI tresna aktiboen sarrerak ere, aldatzeko eskema pasibotik (TAP edo SPAN ataken bidez) aktibora ("pausoan") aldatzea eskatzen zuen. ). Zirkunstantzia horrek fidagarritasun-eskakizunak areagotu zituen (kasu honetan hutsegite batek sare osoa eten egiten duelako, eta ez soilik informazioaren segurtasunaren gaineko kontrola galtzea) eta akoplagailu optikoak saihesbide optikoekin ordezkatzea ekarri zuen (ahal izateko. sarearen errendimenduak sistemen informazio-segurtasunaren errendimenduaren menpekotasunaren arazoa konpontzea), baina funtzionaltasun eta eskakizun nagusiak berdin jarraitzen zuten.
DS Integrity Network Packet Brokers 100G, 40G eta 10G interfazeekin garatu ditugu diseinutik eta zirkuituetatik software txertaturaino. Gainera, beste pakete-artekariek ez bezala, tunel habiaratuen goiburuen aldatze- eta oreka-funtzioak gure hardwarean ezartzen dira, ataka-abiadura osoan.
Iturria: www.habr.com