La sécurité de l'information s'est séparée des télécommunications en une industrie indépendante avec ses propres spécificités et ses propres équipements. Mais il existe une classe d'appareils peu connue qui se situe à la jonction des télécommunications et d'infobez - courtiers de paquets réseau (Network Packet Broker), ce sont également des équilibreurs de charge, des commutateurs spécialisés / de surveillance, des agrégateurs de trafic, une plate-forme de livraison de sécurité, une visibilité réseau, etc. Et nous, en tant que développeur et fabricant russe de tels appareils, voulons vraiment vous en dire plus à leur sujet.
Portée et tâches à résoudre
Les courtiers de paquets réseau sont des dispositifs spécialisés qui ont trouvé la plus grande utilisation dans les systèmes de sécurité de l'information. En tant que telle, la classe d'appareils est relativement nouvelle et peu présente dans l'infrastructure réseau commune par rapport aux commutateurs, routeurs, etc. Le pionnier dans le développement de ce type d'appareil a été la société américaine Gigamon. Actuellement, il y a beaucoup plus d'acteurs sur ce marché (y compris des solutions similaires du célèbre fabricant de systèmes de test - IXIA), mais seul un cercle restreint de professionnels connaît encore l'existence de tels dispositifs. Comme indiqué ci-dessus, même avec la terminologie, il n'y a pas de certitude sans ambiguïté : les noms vont de "systèmes de transparence de réseau" à de simples "équilibreurs".
Lors du développement des courtiers de paquets réseau, nous avons été confrontés au fait qu'en plus d'analyser les orientations pour le développement des fonctionnalités et les tests dans les laboratoires / zones de test, il est nécessaire d'expliquer simultanément aux consommateurs potentiels l'existence de cette classe d'équipements , puisque tout le monde ne le sait pas.
Même il y a 15-20 ans, il y avait peu de trafic sur le réseau, et il s'agissait surtout de données sans importance. Mais répète pratiquement : La vitesse de connexion Internet augmente de 50 % par an. Le volume de trafic est également en croissance constante (le graphique montre les prévisions 2017 de Cisco, source Cisco Visual Networking Index : Forecast and Trends, 2017–2022) :
Parallèlement à la rapidité, l'importance de la circulation de l'information (il s'agit à la fois d'un secret de fabrication et de données personnelles notoires) et la performance globale de l'infrastructure augmentent.
En conséquence, l'industrie de la sécurité de l'information a émergé. L'industrie a répondu à cela avec toute une gamme de dispositifs d'analyse du trafic (DPI), des systèmes de prévention des attaques DDOS aux systèmes de gestion des événements de sécurité de l'information, y compris IDS, IPS, DLP, NBA, SIEM, Antimailware, etc. Généralement, chacun de ces outils est un logiciel installé sur une plate-forme serveur. De plus, chaque programme (outil d'analyse) est installé sur sa propre plate-forme serveur : les fabricants de logiciels sont différents, et beaucoup de ressources informatiques sont nécessaires pour l'analyse sur L7.
Lors de la construction d'un système de sécurité de l'information, il est nécessaire de résoudre un certain nombre de tâches de base :
- comment transférer le trafic de l'infrastructure vers les systèmes d'analyse ? (les ports SPAN développés à l'origine pour cela dans les infrastructures modernes ne suffisent ni en quantité ni en performances)
- comment répartir le trafic entre différents systèmes d'analyse ?
- comment faire évoluer les systèmes lorsque les performances d'une instance de l'analyseur ne sont pas suffisantes pour traiter l'intégralité du volume de trafic qui y entre ?
- comment surveiller les interfaces 40G/100G (et dans un avenir proche également 200G/400G), puisque les outils d'analyse ne supportent actuellement que les interfaces 1G/10G/25G ?
Et les tâches connexes suivantes :
- comment minimiser le trafic inapproprié qui n'a pas besoin d'être traité, mais qui parvient aux outils d'analyse et consomme leurs ressources ?
- comment traiter les paquets encapsulés et les paquets avec des marques de service matérielles, dont la préparation pour l'analyse s'avère soit gourmande en ressources, soit irréalisable du tout ?
- comment exclure de l'analyse une partie du trafic qui n'est pas réglementée par la politique de sécurité (par exemple, le trafic de la tête).
Comme chacun le sait, la demande crée l'offre, en réponse à ces besoins, les courtiers de paquets réseau ont commencé à se développer.
Description générale des courtiers de paquets réseau
Les courtiers de paquets réseau fonctionnent au niveau des paquets et, en cela, ils sont similaires aux commutateurs ordinaires. La principale différence avec les commutateurs est que les règles de distribution et d'agrégation du trafic dans les courtiers de paquets réseau sont entièrement déterminées par les paramètres. Les courtiers de paquets réseau n'ont pas de normes pour créer des tables de transfert (tables MAC) et des protocoles d'échange avec d'autres commutateurs (tels que STP), et par conséquent, la gamme de paramètres possibles et de champs compréhensibles est beaucoup plus large. Un courtier peut répartir uniformément le trafic d'un ou plusieurs ports d'entrée vers une plage donnée de ports de sortie avec une fonction d'équilibrage de charge en sortie. Vous pouvez définir des règles pour copier, filtrer, classer, dédupliquer et modifier le trafic. Ces règles peuvent être appliquées à différents groupes de ports d'entrée du courtier de paquets réseau, ainsi qu'appliquées séquentiellement les unes après les autres dans le dispositif lui-même. Un avantage important d'un courtier de paquets est la capacité de traiter le trafic à plein débit et de préserver l'intégrité des sessions (dans le cas de l'équilibrage du trafic vers plusieurs systèmes DPI du même type).
Préserver l'intégrité des sessions consiste à transférer tous les paquets de la session de la couche transport (TCP/UDP/SCTP) vers un seul port. Ceci est important car les systèmes DPI (généralement des logiciels exécutés sur un serveur connecté au port de sortie d'un courtier de paquets) analysent le contenu du trafic au niveau de l'application, et tous les paquets envoyés/reçus par une application doivent arriver à la même instance du analyseur. Si les paquets d'une session sont perdus ou répartis entre différents dispositifs DPI, alors chaque dispositif DPI individuel sera dans une situation analogue à la lecture non pas d'un texte entier, mais de mots individuels à partir de celui-ci. Et, très probablement, le texte ne comprendra pas.
Ainsi, étant concentrés sur les systèmes de sécurité de l'information, les courtiers de paquets réseau disposent d'une fonctionnalité qui permet de connecter les systèmes logiciels DPI aux réseaux de télécommunication à haut débit et d'en réduire la charge : ils préfiltrent, classent et préparent le trafic pour simplifier le traitement ultérieur.
De plus, étant donné que les courtiers de paquets réseau fournissent un large éventail de statistiques et sont souvent connectés à divers points du réseau, ils trouvent également leur place dans le diagnostic des problèmes de santé de l'infrastructure réseau elle-même.
Fonctions de base des courtiers de paquets réseau
Le nom "commutateurs dédiés/de surveillance" est né de l'objectif fondamental : collecter le trafic de l'infrastructure (généralement à l'aide de prises TAP optiques passives et/ou de ports SPAN) et le répartir entre les outils d'analyse. Le trafic est mis en miroir (dupliqué) entre les systèmes de types différents et équilibré entre les systèmes du même type. Les fonctions de base incluent généralement le filtrage par champs jusqu'à L4 (MAC, IP, port TCP/UDP, etc.) et l'agrégation de plusieurs canaux peu chargés en un seul (par exemple, pour le traitement sur un système DPI).
Cette fonctionnalité fournit une solution à la tâche de base - connecter les systèmes DPI à l'infrastructure réseau. Les courtiers de divers fabricants, limités aux fonctionnalités de base, fournissent le traitement de jusqu'à 32 interfaces 100G par 1U (plus d'interfaces ne tiennent pas physiquement sur le panneau avant 1U). Cependant, ils ne permettent pas de réduire la charge des outils d'analyse, et pour une infrastructure complexe ils ne peuvent même pas répondre aux besoins d'une fonction de base : une session répartie sur plusieurs tunnels (ou équipées de balises MPLS) peut être déséquilibrée pour différentes instances du l'analyseur et tombent généralement hors de l'analyse.
En plus d'ajouter des interfaces 40/100G et, par conséquent, d'améliorer les performances, les courtiers de paquets réseau se développent activement en termes de fonctionnalités fondamentalement nouvelles : de l'équilibrage sur les en-têtes de tunnel imbriqués au déchiffrement du trafic. Malheureusement, de tels modèles ne peuvent pas se vanter de performances en térabits, mais ils permettent de construire un système de sécurité de l'information vraiment de haute qualité et techniquement "beau" dans lequel chaque outil d'analyse est garanti de ne recevoir que les informations dont il a besoin sous la forme la plus appropriée. pour analyse.
Fonctions avancées des courtiers de paquets réseau
1. Mentionné ci-dessus équilibrage des en-têtes imbriqués dans le trafic tunnelisé.
Pourquoi c'est important? Considérez 3 aspects qui peuvent être critiques ensemble ou séparément :
- assurer un équilibrage uniforme en présence d'un petit nombre de tunnels. Dans le cas où il n'y aurait que 2 tunnels au point de connexion des systèmes de sécurité de l'information, alors il ne sera pas possible de les déséquilibrer par des en-têtes externes sur 3 plateformes serveurs tout en maintenant la session. Dans le même temps, le trafic dans le réseau est transmis de manière inégale et la direction de chaque tunnel vers une installation de traitement distincte nécessitera des performances excessives de cette dernière;
- assurer l'intégrité des sessions et des flux des protocoles multisessions (par exemple, FTP et VoIP), dont les paquets aboutissent dans des tunnels différents. La complexité de l'infrastructure réseau ne cesse de croître : redondance, virtualisation, simplification de l'administration, etc. D'une part, cela augmente la fiabilité en termes de transmission de données, d'autre part, cela complique le travail des systèmes de sécurité de l'information. Même avec des performances suffisantes des analyseurs pour traiter un canal dédié avec des tunnels, le problème s'avère insoluble, car une partie des paquets de session utilisateur sont transmis sur un autre canal. De plus, s'ils essaient toujours de prendre soin de l'intégrité des sessions dans certaines infrastructures, alors les protocoles multisessions peuvent prendre des chemins complètement différents ;
- équilibrage en présence de MPLS, VLAN, balises d'équipement individuelles, etc. Ce ne sont pas vraiment des tunnels, mais néanmoins, les équipements dotés de fonctionnalités de base peuvent comprendre ce trafic non comme IP et s'équilibrer par adresses MAC, violant une fois de plus l'uniformité de l'équilibrage ou l'intégrité de la session.
Le courtier de paquets réseau analyse les en-têtes externes et suit séquentiellement les pointeurs jusqu'à l'en-tête IP imbriqué et équilibre déjà sur celui-ci. En conséquence, il y a beaucoup plus de flux (respectivement, il peut être déséquilibré plus uniformément et sur un plus grand nombre de plates-formes), et le système DPI reçoit tous les paquets de session et toutes les sessions associées des protocoles multisession.
2. Modification du trafic.
L'une des fonctions les plus larges en termes de capacités, le nombre de sous-fonctions et les options pour leur utilisation sont nombreuses :
- suppression de la charge utile, auquel cas seuls les en-têtes de paquet sont transmis à l'analyseur. Ceci est pertinent pour les outils d'analyse ou pour les types de trafic dans lesquels le contenu des paquets ne joue pas de rôle ou ne peut pas être analysé. Par exemple, pour le trafic chiffré, les données d'échange paramétriques (qui, avec qui, quand et combien) peuvent être intéressantes, alors que la charge utile est en fait un déchet qui occupe le canal et les ressources informatiques de l'analyseur. Des variations sont possibles lorsque la charge utile est coupée à partir d'un décalage donné - cela offre une portée supplémentaire pour les outils d'analyse ;
- détunneling, à savoir la suppression des en-têtes qui désignent et identifient les tunnels. L'objectif est de réduire la charge des outils d'analyse et d'augmenter leur efficacité. Le détunneling peut être basé sur un décalage fixe ou une analyse d'en-tête dynamique et une détermination de décalage pour chaque paquet ;
- suppression de certains en-têtes de paquets : balises MPLS, VLAN, champs spécifiques des équipements tiers ;
- masquage d'une partie des en-têtes, par exemple, masquage des adresses IP pour assurer l'anonymisation du trafic ;
- ajouter des informations de service au paquet : horodatages, port d'entrée, étiquettes de classe de trafic, etc.
3. Déduplication – nettoyage des paquets de trafic répétitifs transmis aux outils d'analyse. Les paquets en double se produisent le plus souvent en raison des particularités de la connexion à l'infrastructure - le trafic peut passer par plusieurs points d'analyse et être mis en miroir à partir de chacun d'eux. Il y a aussi un renvoi de paquets TCP incomplets, mais s'il y en a beaucoup, alors ce sont plus des questions pour surveiller la qualité du réseau, et non pour la sécurité des informations qu'il contient.
4. Fonctions de filtrage avancées - de la recherche de valeurs spécifiques à un décalage donné à l'analyse de signature dans l'ensemble du package.
5. Génération NetFlow/IPFIX – la collecte d'un large éventail de statistiques sur le trafic de passage et son transfert vers des outils d'analyse.
6. Décryptage du trafic SSL, fonctionne à condition que le certificat et les clés soient d'abord chargés dans le courtier de paquets réseau. Néanmoins, cela permet de décharger considérablement les outils d'analyse.
Il existe de nombreuses autres fonctions, utiles et marketing, mais les principales sont peut-être répertoriées.
Le développement de systèmes de détection (intrusions, attaques DDOS) dans les systèmes pour leur prévention, ainsi que l'introduction d'outils DPI actifs, ont nécessité une modification du schéma de commutation de passif (via les ports TAP ou SPAN) à actif ("en pause" ). Cette circonstance a accru les exigences de fiabilité (car une panne entraîne dans ce cas une perturbation de l'ensemble du réseau, et pas seulement une perte de contrôle sur la sécurité de l'information) et a conduit au remplacement des coupleurs optiques par des by-pass optiques (afin de résoudre le problème de la dépendance des performances du réseau aux performances de la sécurité de l'information des systèmes), mais les principales fonctionnalités et exigences sont restées les mêmes.
Nous avons développé DS Integrity Network Packet Brokers avec des interfaces 100G, 40G et 10G, de la conception et des circuits au logiciel embarqué. De plus, contrairement aux autres courtiers de paquets, les fonctions de modification et d'équilibrage des en-têtes de tunnel imbriqués sont implémentées dans notre matériel, à pleine vitesse de port.
Source: habr.com