راه حل های مدرن برای ساخت سیستم های امنیت اطلاعات - کارگزاران بسته شبکه (Network Packet Broker)

امنیت اطلاعات از مخابرات به یک صنعت مستقل با مشخصات و تجهیزات خاص خود جدا شده است. اما یک کلاس کمتر شناخته شده از دستگاه ها وجود دارد که در محل اتصال مخابرات و infobez قرار دارند - کارگزاران بسته های شبکه (Network Packet Broker)، آنها همچنین متعادل کننده بار، سوئیچ های تخصصی / نظارتی، جمع کننده ترافیک، پلت فرم تحویل امنیت، دید شبکه و غیره هستند. و ما به عنوان یک توسعه دهنده و سازنده روسی چنین دستگاه هایی، واقعاً می خواهیم در مورد آنها بیشتر به شما بگوییم.

محدوده و وظایفی که باید حل شوند

کارگزاران بسته های شبکه دستگاه های تخصصی هستند که بیشترین کاربرد را در سیستم های امنیت اطلاعات پیدا کرده اند. به این ترتیب، کلاس دستگاه نسبتاً جدید است و در زیرساخت مشترک شبکه در مقایسه با سوئیچ‌ها، روترها و غیره کم است. پیشگام در توسعه این نوع دستگاه، شرکت آمریکایی Gigamon بود. در حال حاضر، به طور قابل توجهی بازیکنان بیشتری در این بازار وجود دارد (از جمله راه حل های مشابه از سازنده معروف سیستم های آزمایشی - IXIA)، اما فقط یک دایره باریک از متخصصان هنوز از وجود چنین دستگاه هایی اطلاع دارند. همانطور که در بالا ذکر شد، حتی با وجود اصطلاحات، هیچ قطعیت واضحی وجود ندارد: نام‌ها از «سیستم‌های شفافیت شبکه» تا «تعادل‌کننده» ساده متغیر است.

در حین توسعه کارگزاران بسته شبکه، با این واقعیت مواجه شدیم که علاوه بر تجزیه و تحلیل دستورالعمل های توسعه عملکرد و آزمایش در آزمایشگاه ها / مناطق آزمایش، لازم است به طور همزمان به مصرف کنندگان بالقوه در مورد وجود این کلاس از تجهیزات توضیح دهیم. ، زیرا همه در مورد آن نمی دانند.

حتی 15-20 سال پیش، ترافیک کمی در شبکه وجود داشت و عمدتاً داده های بی اهمیت بود. ولی قانون نیلسن عملا تکرار می شود قانون مور: سرعت اتصال به اینترنت سالانه 50 درصد افزایش می یابد. حجم ترافیک نیز به طور پیوسته در حال رشد است (نمودار پیش بینی سال 2017 سیسکو، منبع شاخص شبکه بصری سیسکو: پیش بینی و روند، 2017-2022 را نشان می دهد):

همراه با سرعت، اهمیت گردش اطلاعات (این هم یک راز تجاری و هم داده های شخصی بدنام است) و عملکرد کلی زیرساخت در حال افزایش است.

بر این اساس صنعت امنیت اطلاعات پدید آمده است. صنعت با طیف وسیعی از دستگاه‌های تحلیل ترافیک (DPI)، از سیستم‌های پیشگیری از حمله DDOS گرفته تا سیستم‌های مدیریت رویداد امنیت اطلاعات، از جمله IDS، IPS، DLP، NBA، SIEM، Antimailware و غیره به این موضوع پاسخ داده است. به طور معمول، هر یک از این ابزارها نرم افزارهایی هستند که بر روی پلتفرم سرور نصب می شوند. علاوه بر این، هر برنامه (ابزار تجزیه و تحلیل) بر روی پلت فرم سرور خود نصب می شود: تولید کنندگان نرم افزار متفاوت هستند و منابع محاسباتی زیادی برای تجزیه و تحلیل در L7 مورد نیاز است.

هنگام ساخت یک سیستم امنیت اطلاعات، لازم است تعدادی از وظایف اساسی را حل کنید:

• چگونه می توان ترافیک را از زیرساخت به سیستم های تجزیه و تحلیل منتقل کرد؟ (درگاه‌های SPAN که ابتدا برای این کار در زیرساخت‌های مدرن ایجاد شده‌اند، از نظر کمیت و عملکرد کافی نیستند)
• چگونه ترافیک را بین سیستم های تحلیل مختلف توزیع کنیم؟
• چگونه می توان سیستم ها را در زمانی که عملکرد کافی یک نمونه از آنالیزور برای پردازش کل حجم ترافیک ورودی به آن وجود ندارد، مقیاس بندی کرد؟
• چگونه می توان رابط های 40G/100G (و در آینده نزدیک نیز 200G/400G) را نظارت کرد، زیرا ابزارهای تجزیه و تحلیل در حال حاضر فقط از رابط های 1G/10G/25G پشتیبانی می کنند؟

و وظایف مرتبط زیر:

• چگونه می توان ترافیک نامناسبی را که نیازی به پردازش ندارد، اما به ابزارهای تجزیه و تحلیل می رسد و منابع آنها را مصرف می کند، به حداقل رساند؟
• چگونه می توان بسته ها و بسته های محصور شده با علائم خدمات سخت افزاری را مدیریت کرد، که آماده سازی آنها برای تجزیه و تحلیل معلوم می شود که یا منابع فشرده یا غیرقابل تحقق است؟
• چگونه می توان بخشی از ترافیک را که توسط سیاست امنیتی تنظیم نشده است (به عنوان مثال، ترافیک سر) از تجزیه و تحلیل حذف کرد.

همانطور که همه می دانند، تقاضا باعث ایجاد عرضه می شود، در پاسخ به این نیازها، کارگزاران بسته شبکه شروع به توسعه کردند.

شرح کلی کارگزاران بسته شبکه

کارگزاران بسته شبکه در سطح بسته کار می کنند و از این نظر شبیه سوئیچ های معمولی هستند. تفاوت اصلی با سوئیچ ها این است که قوانین توزیع و تجمیع ترافیک در بروکرهای بسته شبکه کاملاً توسط تنظیمات تعیین می شود. کارگزاران بسته های شبکه استانداردهایی برای ساخت جداول فوروارد (جدول MAC) و پروتکل های مبادله با سوییچ های دیگر (مانند STP) ندارند و بنابراین دامنه تنظیمات ممکن و فیلدهای قابل درک در آنها بسیار گسترده تر است. یک کارگزار می تواند به طور مساوی ترافیک را از یک یا چند پورت ورودی به محدوده مشخصی از پورت های خروجی با ویژگی متعادل کننده بار خروجی توزیع کند. می توانید قوانینی را برای کپی کردن، فیلتر کردن، طبقه بندی، کپی برداری و اصلاح ترافیک تعیین کنید. این قوانین را می توان برای گروه های مختلف پورت های ورودی کارگزار بسته شبکه اعمال کرد و همچنین به صورت متوالی یکی پس از دیگری در خود دستگاه اعمال شد. یک مزیت مهم کارگزار بسته، توانایی پردازش ترافیک با نرخ جریان کامل و حفظ یکپارچگی جلسات (در مورد متعادل کردن ترافیک به چندین سیستم DPI از یک نوع) است.

حفظ یکپارچگی جلسات، انتقال تمام بسته های جلسه لایه انتقال (TCP / UDP / SCTP) به یک پورت است. این مهم است زیرا سیستم‌های DPI (معمولاً نرم‌افزاری که روی سرور متصل به پورت خروجی یک کارگزار بسته اجرا می‌شود) محتوای ترافیک را در سطح برنامه تجزیه و تحلیل می‌کنند و همه بسته‌های ارسال/دریافت شده توسط یک برنامه باید در همان نمونه از آنالیزور . اگر بسته های یک جلسه از بین برود یا بین دستگاه های مختلف DPI توزیع شود، آنگاه هر دستگاه DPI مجزا در موقعیتی مشابه با خواندن نه یک متن کامل، بلکه کلمات جداگانه از آن خواهد بود. و به احتمال زیاد متن متوجه نخواهد شد.

بنابراین، با تمرکز بر سیستم‌های امنیت اطلاعات، کارگزاران بسته‌های شبکه دارای عملکردی هستند که به اتصال سیستم‌های نرم‌افزار DPI به شبکه‌های مخابراتی پرسرعت و کاهش بار روی آنها کمک می‌کند: آنها ترافیک را از قبل فیلتر، طبقه‌بندی و آماده می‌کنند تا پردازش بعدی را ساده‌تر کنند.

علاوه بر این، از آنجایی که کارگزاران بسته های شبکه طیف گسترده ای از آمار را ارائه می دهند و اغلب به نقاط مختلف شبکه متصل هستند، در تشخیص مشکلات سلامت زیرساخت شبکه نیز جایگاه خود را پیدا می کنند.

توابع اساسی کارگزاران بسته شبکه

نام «سوئیچ‌های اختصاصی/مانیتورینگ» از هدف اصلی ناشی می‌شود: جمع‌آوری ترافیک از زیرساخت (معمولاً با استفاده از شیرهای TAP نوری غیرفعال و/یا پورت‌های SPAN) و توزیع آن بین ابزارهای تحلیل. ترافیک بین سیستم‌های انواع مختلف منعکس شده (کپی شده) و بین سیستم‌های هم نوع متعادل می‌شود. توابع اصلی معمولاً شامل فیلتر کردن فیلدهای تا L4 (MAC، IP، TCP/UDP پورت، و غیره) و تجمیع چندین کانال با بارگذاری کم در یک کانال (مثلاً برای پردازش در یک سیستم DPI) است.

این عملکرد یک راه حل برای کار اصلی - اتصال سیستم های DPI به زیرساخت شبکه ارائه می دهد. کارگزاران تولیدکنندگان مختلف، محدود به عملکردهای اولیه، پردازش حداکثر 32 رابط 100G را در هر 1U ارائه می دهند (اینترفیس های بیشتر به صورت فیزیکی در پانل جلویی 1U قرار نمی گیرند). با این حال، آنها اجازه کاهش بار بر روی ابزارهای تجزیه و تحلیل را نمی دهند و برای یک زیرساخت پیچیده حتی نمی توانند الزامات یک عملکرد اساسی را فراهم کنند: یک جلسه توزیع شده در چندین تونل (یا مجهز به برچسب MPLS) می تواند برای نمونه های مختلف نامتعادل باشد. تجزیه و تحلیل و به طور کلی از تجزیه و تحلیل خارج می شود.

علاوه بر افزودن رابط‌های 40/100G و در نتیجه بهبود عملکرد، کارگزاران بسته‌های شبکه به طور فعال از نظر ارائه ویژگی‌های اساسی جدید توسعه می‌یابند: از تعادل در سرصفحه‌های تونل تو در تو تا رمزگشایی ترافیک. متأسفانه، چنین مدل هایی نمی توانند عملکرد خود را در ترابیت به رخ بکشند، اما ساخت یک سیستم امنیت اطلاعات واقعا با کیفیت و از نظر فنی "زیبا" را امکان پذیر می کنند که در آن هر ابزار تجزیه و تحلیل تضمین می شود که فقط اطلاعات مورد نیاز خود را به بهترین شکل دریافت کند. برای تجزیه و تحلیل

توابع پیشرفته کارگزاران بسته شبکه

1. در بالا ذکر شد توازن هدر تو در تو در ترافیک تونلی.

چرا مهم است؟ 3 جنبه را در نظر بگیرید که می توانند با هم یا جداگانه حیاتی باشند:

• تضمین تعادل یکنواخت در حضور تعداد کمی تونل. در صورتی که در محل اتصال سیستم های امنیت اطلاعات تنها 2 تونل وجود داشته باشد، با حفظ جلسه، امکان عدم تعادل آنها توسط هدرهای خارجی در 3 بستر سرور وجود نخواهد داشت. در عین حال، ترافیک در شبکه به طور ناهموار منتقل می شود و جهت هر تونل به یک مرکز پردازش جداگانه نیاز به عملکرد بیش از حد دومی دارد.
• اطمینان از یکپارچگی جلسات و جریان های پروتکل های چند جلسه ای (به عنوان مثال، FTP و VoIP)، که بسته های آن به تونل های مختلف ختم می شوند. پیچیدگی زیرساخت شبکه به طور مداوم در حال افزایش است: افزونگی، مجازی سازی، ساده سازی مدیریت و غیره. این امر از یک طرف باعث افزایش قابلیت اطمینان از نظر انتقال داده ها می شود و از طرف دیگر کار سیستم های امنیت اطلاعات را پیچیده می کند. حتی با عملکرد کافی آنالایزرها برای پردازش یک کانال اختصاصی با تونل، مشکل غیرقابل حل است، زیرا برخی از بسته های جلسه کاربر از طریق کانال دیگری منتقل می شوند. علاوه بر این، اگر آنها همچنان سعی می کنند از یکپارچگی جلسات در برخی زیرساخت ها مراقبت کنند، پروتکل های چند جلسه ای می توانند راه های کاملاً متفاوتی داشته باشند.
• تعادل در حضور MPLS، VLAN، برچسب های تجهیزات فردی و غیره. واقعاً تونل نیست، اما با این وجود، تجهیزات با عملکرد اولیه می توانند این ترافیک را نه به عنوان IP و تعادل توسط آدرس های MAC درک کنند، که یک بار دیگر یکنواختی تعادل یا یکپارچگی جلسه را نقض می کند.

کارگزار بسته شبکه هدرهای بیرونی را تجزیه می کند و به ترتیب نشانگرها را تا سرآیند IP تو در تو دنبال می کند و از قبل روی آن تعادل برقرار می کند. در نتیجه، جریان‌ها به‌طور قابل‌توجهی بیشتر است (به ترتیب، می‌توان آن را به طور یکنواخت‌تر و در تعداد بیشتری از پلتفرم‌ها نامتعادل کرد)، و سیستم DPI تمام بسته‌های جلسه و تمام جلسات مرتبط پروتکل‌های چند جلسه‌ای را دریافت می‌کند.

2. اصلاح ترافیک.
یکی از گسترده ترین توابع از نظر قابلیت های آن، تعداد زیر تابع ها و گزینه های استفاده از آنها بسیار است:

• حذف payload که در این صورت فقط سرصفحه های بسته به تجزیه کننده ارسال می شود. این برای ابزارهای تجزیه و تحلیل یا برای انواع ترافیکی که در آن محتویات بسته ها یا نقشی ندارند یا قابل تجزیه و تحلیل نیستند، مرتبط است. به عنوان مثال، برای ترافیک رمزگذاری شده، داده های تبادل پارامتری (چه کسی، با چه کسی، چه زمانی و چقدر) ممکن است مورد توجه باشد، در حالی که بار بار در واقع زباله است که کانال و منابع محاسباتی تحلیلگر را اشغال می کند. تغییرات زمانی امکان پذیر است که بار محموله با شروع یک افست معین قطع شود - این زمینه اضافی را برای ابزارهای تجزیه و تحلیل فراهم می کند.
• تونل زدایی، یعنی حذف هدرهایی که تونل ها را مشخص و شناسایی می کنند. هدف کاهش بار بر روی ابزارهای تحلیل و افزایش کارایی آنهاست. تونل زدایی می تواند بر اساس یک افست ثابت، یا با تجزیه و تحلیل هدر پویا و تعیین افست بر اساس هر بسته باشد.
• حذف برخی از هدرهای بسته: برچسب های MPLS، VLAN، زمینه های خاص تجهیزات شخص ثالث.
• پوشاندن بخشی از هدرها، به عنوان مثال، پوشاندن آدرس های IP برای اطمینان از ناشناس بودن ترافیک.
• افزودن اطلاعات سرویس به بسته: مُهرهای زمانی، پورت ورودی، برچسب‌های کلاس ترافیک و غیره.

3. کپی برداری - پاکسازی بسته های ترافیکی تکراری که به ابزارهای تجزیه و تحلیل منتقل می شوند. بسته های تکراری اغلب به دلیل ویژگی های اتصال به زیرساخت رخ می دهد - ترافیک می تواند از چندین نقطه تجزیه و تحلیل عبور کند و از هر یک از آنها منعکس شود. همچنین ارسال مجدد بسته های TCP ناقص وجود دارد، اما اگر تعداد زیادی از آنها وجود داشته باشد، اینها سوالات بیشتری برای نظارت بر کیفیت شبکه هستند و نه برای امنیت اطلاعات در آن.

4. ویژگی های فیلتر پیشرفته - از جستجوی مقادیر خاص در یک افست داده شده تا تجزیه و تحلیل امضا در کل بسته.

5. نسل NetFlow/IPFIX - مجموعه ای از طیف گسترده ای از آمار در مورد ترافیک عبوری و انتقال آن به ابزارهای تجزیه و تحلیل.

6. رمزگشایی ترافیک SSL، به شرطی کار می کند که گواهینامه و کلیدها ابتدا در کارگزار بسته شبکه بارگذاری شوند. با این وجود، این به شما امکان می دهد تا ابزارهای تجزیه و تحلیل را به طور قابل توجهی تخلیه کنید.

توابع بسیار بیشتر، مفید و بازاریابی وجود دارد، اما شاید اصلی ترین آنها ذکر شده باشد.

توسعه سیستم‌های تشخیص (تجاوز، حملات DDOS) به سیستم‌ها برای پیشگیری از آنها، و همچنین معرفی ابزارهای فعال DPI، نیاز به تغییر در طرح سوئیچینگ از غیرفعال (از طریق پورت‌های TAP یا SPAN) به فعال ("در حالت شکست") داشت. ). این شرایط الزامات قابلیت اطمینان را افزایش داد (زیرا خرابی در این مورد منجر به اختلال در کل شبکه و نه تنها از دست دادن کنترل بر امنیت اطلاعات می شود) و منجر به جایگزینی کوپلرهای نوری با بای پس های نوری شد (به منظور مشکل وابستگی عملکرد شبکه به عملکرد امنیت اطلاعات سیستم ها را حل کند)، اما عملکرد اصلی و الزامات آن ثابت باقی ماند.

ما DS Integrity Network Packet Brokers را با رابط های 100G، 40G و 10G از طراحی و مدار گرفته تا نرم افزارهای جاسازی شده توسعه داده ایم. علاوه بر این، برخلاف دیگر کارگزاران بسته، توابع اصلاح و متعادل‌سازی هدرهای تونل تودرتو در سخت‌افزار ما با سرعت کامل پورت پیاده‌سازی می‌شوند.

منبع: www.habr.com