Tietoturvallisuus on eronnut tietoliikenteestä itsenäiseksi toimialaksi, jolla on omat erityispiirteensä ja omat laitteistonsa. Mutta on vähän tunnettu laiteluokka, joka seisoo televiestinnän ja infobezin risteyksessä - verkkopakettien välittäjät (Network Packet Broker), ne ovat myös kuormituksen tasapainottajia, erikoistuneita / valvontakytkimiä, liikenteen kerääjiä, tietoturvan toimitusalustaa, verkon näkyvyyttä ja niin edelleen. Ja me venäläisenä tällaisten laitteiden kehittäjänä ja valmistajana haluamme todella kertoa sinulle lisää niistä.
Laajuus ja ratkaistavat tehtävät
Verkkopakettien välittäjät ovat erikoislaitteita, jotka ovat löytäneet eniten käyttöä tietoturvajärjestelmissä. Sellaisenaan laiteluokka on suhteellisen uusi ja harvinainen yleisessä verkkoinfrastruktuurissa verrattuna kytkimiin, reitittimiin ja niin edelleen. Tämäntyyppisten laitteiden kehityksen edelläkävijä oli amerikkalainen yritys Gigamon. Tällä hetkellä näillä markkinoilla on huomattavasti enemmän toimijoita (mukaan lukien samankaltaiset ratkaisut tunnetulta testijärjestelmien valmistajalta - IXIA), mutta vain kapea joukko ammattilaisia tietää edelleen tällaisten laitteiden olemassaolosta. Kuten edellä todettiin, edes terminologialla ei ole yksiselitteistä varmuutta: nimet vaihtelevat "verkon läpinäkyvyysjärjestelmistä" yksinkertaisiin "tasapainottajiin".
Verkkopakettien välittäjiä kehitettäessä kohtasimme sen tosiasian, että toiminnallisuuden kehittämissuuntien analysoinnin ja laboratorioiden/testivyöhykkeiden testauksen lisäksi on tarpeen samanaikaisesti selittää mahdollisille kuluttajille tämän laiteluokan olemassaolosta. , koska kaikki eivät tiedä siitä.
Vielä 15-20 vuotta sitten verkossa oli vähän liikennettä, ja se oli enimmäkseen merkityksetöntä dataa. Mutta käytännössä toistaa : Internet-yhteyden nopeus kasvaa 50 % vuosittain. Liikenteen määrä on myös tasaisessa kasvussa (kaaviossa näkyy Ciscon vuoden 2017 ennuste, lähde Cisco Visual Networking Index: Forecast and Trends, 2017–2022):
Nopeuden myötä tiedon kiertämisen merkitys (tämä on sekä liikesalaisuus että pahamaineinen henkilötieto) ja infrastruktuurin yleinen suorituskyky kasvavat.
Vastaavasti tietoturvateollisuus on noussut esiin. Teollisuus on vastannut tähän lukuisilla DPI-laitteilla DDOS-hyökkäysten ehkäisyjärjestelmistä tietoturvatapahtumien hallintajärjestelmiin, mukaan lukien IDS, IPS, DLP, NBA, SIEM, Antimailware ja niin edelleen. Tyypillisesti jokainen näistä työkaluista on ohjelmisto, joka asennetaan palvelinalustalle. Lisäksi jokainen ohjelma (analyysityökalu) asennetaan omalle palvelinalustaan: ohjelmistovalmistajat ovat erilaisia ja L7:n analysointi vaatii paljon laskentaresursseja.
Tietoturvajärjestelmää rakennettaessa on tarpeen ratkaista useita perustehtäviä:
- kuinka siirtää liikennettä infrastruktuurista analyysijärjestelmiin? (Alunperin tähän nykyaikaiseen infrastruktuuriin kehitetyt SPAN-portit eivät riitä määrältään tai suorituskyvyltään)
- kuinka jakaa liikennettä eri analyysijärjestelmien välillä?
- kuinka skaalata järjestelmiä, kun analysaattorin yhden esiintymän suorituskyky ei riitä käsittelemään koko siihen tulevan liikenteen määrää?
- miten valvotaan 40G/100G-liitäntöjä (ja lähitulevaisuudessa myös 200G/400G), koska analyysityökalut tukevat tällä hetkellä vain 1G/10G/25G-liitäntöjä?
Ja seuraavat asiaan liittyvät tehtävät:
- kuinka minimoida sopimaton liikenne, jota ei tarvitse käsitellä, mutta joka pääsee analyysityökaluihin ja kuluttaa niiden resursseja?
- miten prosessoidaan kapseloituja paketteja ja paketteja, joissa on laitteistopalvelumerkit, joiden valmistelu analysointiin osoittautuu joko resurssivaltaiseksi tai toteutumattomaksi?
- kuinka sulkea pois analyysistä osa liikenteestä, jota turvallisuuspolitiikka ei sääntele (esimerkiksi pään liikenne).
Kuten kaikki tietävät, kysyntä luo tarjontaa, vastauksena näihin tarpeisiin verkkopakettien välittäjät alkoivat kehittyä.
Verkkopakettivälittäjien yleinen kuvaus
Verkkopakettien välittäjät toimivat pakettitasolla ja ovat tässä samanlaisia kuin tavalliset kytkimet. Suurin ero kytkimiin on se, että verkkopakettien välittäjien liikenteen jakelun ja yhdistämisen säännöt määräytyvät täysin asetuksista. Verkkopakettien välittäjillä ei ole standardeja edelleenlähetystaulukoiden (MAC-taulukoiden) rakentamiseen ja protokollien vaihtoon muiden kytkimien kanssa (esim. STP), joten mahdollisten asetusten ja ymmärrettävien kenttien valikoima niissä on paljon laajempi. Välittäjä voi jakaa tasaisesti liikenteen yhdestä tai useammasta tuloportista tietylle lähtöportille lähtökuormituksen tasapainotusominaisuuden avulla. Voit asettaa sääntöjä liikenteen kopioimiseen, suodattamiseen, luokitteluun, kopioiden poistamiseen ja muokkaamiseen. Näitä sääntöjä voidaan soveltaa verkkopaketin välittäjän eri tuloporttien ryhmiin sekä soveltaa peräkkäin peräkkäin itse laitteessa. Pakettivälittäjän tärkeä etu on kyky käsitellä liikennettä täydellä virtausnopeudella ja säilyttää istuntojen eheys (jos liikenne tasapainotetaan useisiin samantyyppisiin DPI-järjestelmiin).
Istuntojen eheyden säilyttäminen on siirtää kaikki siirtokerroksen (TCP / UDP / SCTP) istunnon paketit yhteen porttiin. Tämä on tärkeää, koska DPI-järjestelmät (yleensä pakettivälittäjän lähtöporttiin kytketyllä palvelimella toimivat ohjelmistot) analysoivat liikenteen sisällön sovellustasolla ja kaikkien yhden sovelluksen lähettämien/vastaanotettujen pakettien tulee saapua samaan sovelluksen esiintymään. analysaattori. Jos yhden istunnon paketit katoavat tai jakautuvat eri DPI-laitteiden kesken, jokainen yksittäinen DPI-laite on tilanteessa, joka on analoginen kuin koko tekstin, vaan yksittäisten sanojen lukeminen siitä. Ja mitä todennäköisimmin teksti ei ymmärrä.
Tietoturvajärjestelmiin keskittyneillä verkkopakettien välittäjillä on siis toimintoja, jotka auttavat yhdistämään DPI-ohjelmistojärjestelmät nopeisiin tietoliikenneverkkoihin ja vähentämään niiden kuormitusta: ne esisuodattavat, luokittelevat ja valmistelevat liikennettä myöhemmän käsittelyn yksinkertaistamiseksi.
Lisäksi, koska verkkopakettien välittäjät tarjoavat laajan valikoiman tilastoja ja ovat usein yhteydessä verkon eri kohtiin, he löytävät paikkansa myös itse verkkoinfrastruktuurin terveysongelmien diagnosoinnissa.
Verkkopakettivälittäjien perustoiminnot
Nimi "omistetut/valvontakytkimet" syntyi perustarkoituksesta: kerätä liikennettä infrastruktuurista (yleensä käyttämällä passiivisia optisia TAP-tappeja ja/tai SPAN-portteja) ja jakaa se analyysityökalujen kesken. Liikenne peilataan (kaksoistetaan) erityyppisten järjestelmien välillä ja tasapainotetaan samantyyppisten järjestelmien välillä. Perustoiminnot sisältävät yleensä suodatuksen kenttien mukaan L4:ään saakka (MAC, IP, TCP / UDP-portti jne.) ja useiden kevyesti ladattujen kanavien yhdistämisen yhdeksi (esimerkiksi käsittelyä varten yhdessä DPI-järjestelmässä).
Tämä toiminto tarjoaa ratkaisun perustehtävään - DPI-järjestelmien liittämiseen verkkoinfrastruktuuriin. Eri valmistajien välittäjät, jotka on rajoitettu perustoimintoihin, tarjoavat jopa 32 100G-rajapinnan käsittelyä 1U:ta kohden (enemmän rajapintoja ei mahdu fyysisesti 1U:n etupaneeliin). Ne eivät kuitenkaan mahdollista analyysityökalujen kuormituksen vähentämistä, eivätkä monimutkaisen infrastruktuurin osalta pysty edes tarjoamaan vaatimuksia perustoiminnolle: useille tunneleille jaettu istunto (tai MPLS-tunnisteilla varustettu) voi olla epätasapainossa eri instansseja varten. analysaattori ja yleensä putoavat analyysistä.
Sen lisäksi, että verkkopakettien välittäjät ovat lisänneet 40/100G-rajapintoja ja parantaneet suorituskykyä, ne kehittävät aktiivisesti tarjoamaan täysin uusia ominaisuuksia: sisäkkäisten tunneliotsikoiden tasapainottamisesta liikenteen salauksen purkamiseen. Valitettavasti tällaiset mallit eivät voi ylpeillä suorituskyvyllä terabiteinä, mutta ne mahdollistavat todella laadukkaan ja teknisesti "kauniin" tietoturvajärjestelmän rakentamisen, jossa jokainen analyysityökalu saa taatusti vain tarvitsemansa tiedot sopivimmassa muodossa. analyysiä varten.
Verkkopakettien välittäjien edistyneet toiminnot
1. Mainittu yllä sisäkkäisten otsikoiden tasapainotus tunneloidussa liikenteessä.
Miksi se on tärkeää? Harkitse kolmea näkökohtaa, jotka voivat olla kriittisiä yhdessä tai erikseen:
- tasaisen tasapainotuksen varmistaminen, kun tunneleita on vähän. Siinä tapauksessa, että tietoturvajärjestelmien liitoskohdassa on vain 2 tunnelia, niitä ei ole mahdollista epätasapainottaa ulkoisilla otsikoilla kolmella palvelinalustalla istunnon ylläpidon aikana. Samanaikaisesti verkon liikenne välittyy epätasaisesti ja kunkin tunnelin suunta erilliseen käsittelylaitokseen vaatii jälkimmäisen liiallista suorituskykyä;
- varmistaa istuntojen ja monisessioprotokollien (esim. FTP ja VoIP), joiden paketit päätyivät eri tunneleihin, eheys. Verkkoinfrastruktuurin monimutkaisuus lisääntyy jatkuvasti: redundanssi, virtualisointi, hallinnon yksinkertaistaminen ja niin edelleen. Tämä toisaalta lisää tiedonsiirron luotettavuutta, toisaalta vaikeuttaa tietoturvajärjestelmien työtä. Jopa analysaattoreiden riittävällä suorituskyvyllä prosessoimaan omistettu kanava tunneleineen, ongelma osoittautuu ratkaisemattomaksi, koska osa käyttäjän istunnon paketeista lähetetään toisen kanavan kautta. Lisäksi, jos he silti yrittävät huolehtia istuntojen eheydestä joissakin infrastruktuureissa, moniistuntoprotokollat voivat toimia täysin eri tavoin;
- tasapainottaminen MPLS:n, VLAN:n, yksittäisten laitetunnisteiden jne. läsnä ollessa. Ei varsinaisesti tunneleita, mutta perustoiminnoilla varustetut laitteet eivät kuitenkaan pysty ymmärtämään tätä liikennettä IP:nä ja MAC-osoitteiden tasapainona, mikä taas rikkoo tasapainotuksen tai istunnon eheyden yhtenäisyyttä.
Verkkopakettien välittäjä jäsentää ulommat otsikot ja seuraa osoittimia peräkkäin sisäkkäiseen IP-otsikkoon asti ja tasapainottaa jo sen päällä. Tämän seurauksena virtoja on huomattavasti enemmän (vastaavasti se voi olla epätasapainossa tasaisemmin ja suuremmalla määrällä alustoja), ja DPI-järjestelmä vastaanottaa kaikki istuntopaketit ja kaikki niihin liittyvät moniistuntoprotokollien istunnot.
2. Liikenteen muutos.
Yksi laajimmista toiminnoista sen ominaisuuksien suhteen, alitoimintojen lukumäärä ja niiden käyttömahdollisuudet ovat monet:
- hyötykuorman poistaminen, jolloin jäsentäjälle välitetään vain pakettien otsikot. Tämä koskee analyysityökaluja tai liikennetyyppejä, joissa pakettien sisällöllä joko ei ole merkitystä tai niitä ei voida analysoida. Esimerkiksi salatussa liikenteessä parametrinen vaihtodata (kuka, kenen kanssa, milloin ja kuinka paljon) voi olla kiinnostavaa, kun taas hyötykuorma on itse asiassa roskaa, joka vie analysaattorin kanavan ja laskentaresurssit. Vaihtelut ovat mahdollisia, kun hyötykuorma katkaistaan annetusta poikkeamasta alkaen - tämä antaa lisätilaa analyysityökaluille;
- tunnelien purkaminen, nimittäin tunneleita osoittavien ja tunnistavien otsikoiden poistaminen. Tavoitteena on vähentää analyysityökalujen kuormitusta ja lisätä niiden tehokkuutta. Tunnelman purkaminen voi perustua kiinteään siirtymään tai dynaamiseen otsikkoanalyysiin ja siirtymän määrittämiseen jokaiselle paketille;
- joidenkin pakettiotsikoiden poistaminen: MPLS-tunnisteet, VLAN, kolmannen osapuolen laitteiden tietyt kentät;
- peittää osan otsikoista, esimerkiksi peittämällä IP-osoitteet liikenteen anonymisoinnin varmistamiseksi;
- palvelutietojen lisääminen pakettiin: aikaleimat, tuloportti, liikenneluokkatunnisteet jne.
3. Päällekkäisyyden poistaminen – analysointityökaluihin siirrettyjen toistuvien liikennepakettien puhdistus. Useimmiten päällekkäiset paketit johtuvat infrastruktuuriin yhdistämisen erityispiirteistä - liikenne voi kulkea useiden analyysipisteiden läpi ja peilautua niistä jokaisesta. Myös epätäydellisten TCP-pakettien uudelleenlähetys tapahtuu, mutta jos niitä on paljon, niin nämä ovat enemmän kysymyksiä verkon laadun valvontaan, ei tietoturvaan siinä.
4. Kehittyneet suodatusominaisuudet – tiettyjen arvojen etsimisestä tietyllä offsetilla allekirjoitusanalyysiin koko paketissa.
5. NetFlow/IPFIX-sukupolvi – laajan valikoiman tilastojen kerääminen ohikulkevasta liikenteestä ja sen siirtäminen analyysityökaluihin.
6. SSL-liikenteen salauksen purku, toimii edellyttäen, että varmenne ja avaimet ladataan ensin verkkopaketin välittäjälle. Tästä huolimatta voit purkaa analyysityökaluja merkittävästi.
On monia muita toimintoja, hyödyllisiä ja markkinointia, mutta tärkeimmät on ehkä lueteltu.
Havaintojärjestelmien (tunkeutumiset, DDOS-hyökkäykset) kehittäminen järjestelmiin niiden estämiseksi sekä aktiivisten DPI-työkalujen käyttöönotto vaati vaihtomallin muuttamista passiivisesta (TAP- tai SPAN-porttien kautta) aktiiviseksi ("katkon aikana"). ). Tämä seikka lisäsi luotettavuusvaatimuksia (koska vika tässä tapauksessa johtaa koko verkon häiriöihin, ei vain tietoturvan hallinnan menettämiseen) ja johti optisten kytkimien korvaamiseen optisilla ohituksilla (jotta ratkaista ongelman verkon suorituskyvyn riippuvuudesta järjestelmien tietoturvan suorituskyvystä), mutta sen päätoiminnallisuus ja vaatimukset säilyivät ennallaan.
Olemme kehittäneet DS Integrity Network Packet Brokers 100G-, 40G- ja 10G-liitännöillä suunnittelusta ja piireistä sulautettuihin ohjelmistoihin. Lisäksi, toisin kuin muut pakettivälittäjät, sisäkkäisten tunneliotsikoiden muokkaus- ja tasapainotustoiminnot toteutetaan laitteistossamme täydellä portin nopeudella.
Lähde: will.com