Moderne oplossingen foar it bouwen fan systemen foar ynformaasjefeiligens - netwurkpakketmakelaars (Network Packet Broker)

Ynformaasje feiligens is skieden fan telekommunikaasje yn in ûnôfhinklike yndustry mei syn eigen spesifikaasjes en syn eigen apparatuer. Mar d'r is in bytsje bekende klasse fan apparaten dy't stiet op 'e krusing fan telekommunikaasje en ynformaasjefeiligens - netwurk pakket brokers (Network Packet Broker), ek wol bekend as load balancers, spesjalisearre/monitoring-skeakels, ferkearsaggregators, Security Delivery Platform, Network Visibility, ensfh. En wy, as in Russyske ûntwikkelder en fabrikant fan sokke apparaten, soe graach fertelle jo mear oer harren.

Omfang en op te lossen taken

Netwurkpakketmakelaars binne spesjalisearre apparaten dy't de grutste applikaasje hawwe fûn yn systemen foar ynformaasjefeiligens. As sadanich is dizze klasse fan apparaten relatyf nij en lyts yn 'e mainstream netwurkynfrastruktuer yn ferliking mei switches, routers, ensfh. De pionier yn 'e ûntwikkeling fan dit soarte fan apparaat wie it Amerikaanske bedriuw Gigamon. Op it stuit binne d'r folle mear spilers op dizze merk (ynklusyf de bekende fabrikant fan testsystemen, it bedriuw IXIA, hat ferlykbere oplossings), mar allinich in smelle sirkel fan professionals wit noch oer it bestean fan sokke apparaten. Lykas hjirboppe opmurken, is sels de terminology net dúdlik: nammen fariearje fan "netwurktransparânsjesystemen" oant gewoan "balancers."

By it ûntwikkeljen fan netwurkpakketmakelaars waarden wy konfrontearre mei it feit dat, neist it analysearjen fan oanwizings foar de ûntwikkeling fan funksjonaliteit en testen yn laboratoaria / testsônes, it needsaaklik is om tagelyk oan potensjele konsuminten út te lizzen oer it bestean fan dizze klasse fan apparatuer, om't net elkenien der fan wit.

Krekt 15-20 jier lyn wie d'r net folle ferkear op it netwurk, en it wie meast ûnbelangrike gegevens. Mar Nielsen syn wet praktysk werhellet Moore syn wet: Ynternetferbiningssnelheid nimt jierliks ​​ta mei 50%. It folume fan ferkear groeit ek stadichoan (de grafyk toant de prognose fan 2017 fan Cisco, boarne Cisco Visual Networking Index: Forecast and Trends, 2017–2022):

Tegearre mei de snelheid nimt it belang fan it sirkulearjen fan ynformaasje (dit is sawol in hannelsgeheim as de beruchte persoanlike gegevens) en de algemiene prestaasjes fan 'e ynfrastruktuer.

Dêrtroch ûntstie de yndustry foar ynformaasjefeiligens. De yndustry reagearre hjirop mei it ûntstean fan in hiele oanbod fan apparaten foar djippe ferkearsanalyse (DPI): fan DDOS-oanfalprevinsjesystemen oant ynformaasjefeiligens-evenemintbehearsystemen, ynklusyf IDS, IPS, DLP, NBA, SIEM, Antimailware ensafuorthinne. Typysk is elk fan dizze ark software ynstalleare op in serverplatfoarm. Boppedat, elk programma (analyze-ark) wurdt ynstallearre op syn eigen tsjinner platfoarm: software fabrikanten binne oars, en analyze op L7 fereasket in soad Computing boarnen.

By it bouwen fan in systeem foar ynformaasjefeiligens is it nedich om in oantal haadproblemen op te lossen:

• hoe kinne jo ferkear oerdrage fan ynfrastruktuer nei analysesystemen? (SPAN-havens dy't oarspronklik foar dit doel ûntwikkele binne yn moderne ynfrastruktuer binne net genôch yn kwantiteit of prestaasjes)
• hoe te fersprieden ferkear tusken ferskillende analyse systemen?
• hoe systemen te skaaljen as de prestaasjes fan ien analysator-eksimplaar net genôch is om it heule folume fan ferkear dat it ynkomt te ferwurkjen?
• hoe te kontrolearjen 40G / 100G Schnittstellen (en yn 'e heine takomst 200G / 400G), sûnt analyse ark stuit allinnich stipet 1G / 10G / 25G Schnittstellen?

En de folgjende relatearre taken:

• Hoe kinne wy ​​​​net-rjochte ferkear minimalisearje dat net hoecht te wurde ferwurke, mar nei de analyse-ark komt en har boarnen konsumearret?
• Hoe ynkapsele pakketten en pakketten te ferwurkjen mei servicetags fan apparatuer, wêrfan de tarieding foar analyse blykt te wêzen as boarne-yntinsyf of hielendal ûnmooglik om te realisearjen?
• hoe't jo guon fan 'e ferkear út' e analyze útslute dat net wurdt regele troch it feiligensbelied (bygelyks it ferkear fan 'e manager).

Lykas elkenien wit, skept fraach oanbod, en netwurkpakketmakkers begon te ûntwikkeljen yn antwurd op dizze behoeften.

Algemiene beskriuwing fan netwurk pakket brokers

Netwurkpakketmakelaars operearje op pakketnivo, en op dizze manier binne se fergelykber mei gewoane skeakels. It wichtichste ferskil fan skeakels is dat de regels foar ferkearferdieling en aggregaasje yn netwurkpakketmakkers folslein bepaald wurde troch de ynstellings. Netwurkpakketmakkers hawwe gjin noarmen foar it bouwen fan trochstjoertabellen (MAC-tabellen) en útwikselingsprotokollen mei oare skeakels (lykas STP), en dêrom is it oanbod fan mooglike ynstellings en begrepen fjilden dêryn folle breder. De makelder kin it ferkear lykwichtich fersprieden fan ien of mear ynputhavens nei in spesifisearre berik fan útfierpoarten mei in útfierlastbalânsfunksje. Jo kinne regels ynstelle foar kopiearjen, filterjen, klassifikaasje, deduplikaasje en ferkearmodifikaasje. Dizze regels kinne tapast wurde op ferskate groepen fan ynputhavens foar netwurkpakketmakelaars, en kinne ek opienfolgjend ien nei de oare tapast wurde yn it apparaat sels. In wichtich foardiel fan in pakketbroker is de mooglikheid om ferkear te ferwurkjen mei folsleine streamsnelheid en de yntegriteit fan sesjes te behâlden (yn it gefal fan balânsferkear nei ferskate DPI-systemen fan itselde type).

It behâld fan sesje-yntegriteit omfettet it ferstjoeren fan alle transportlaach-sesjepakketten (TCP / UDP / SCTP) nei ien haven. Dit is wichtich om't DPI-systemen (typysk software dy't rint op in tsjinner ferbûn mei de útfierpoarte fan in pakketmakelaar) ferkearsynhâld analysearje op it tapassingsnivo, en alle pakketten dy't ferstjoerd/ûntfongen binne troch ien applikaasje moatte oankomme op deselde analysator-eksimplaar. As pakketten fan deselde sesje ferlern binne of ferdield binne ûnder ferskate DPI-apparaten, dan sil elk yndividueel DPI-apparaat himsels yn in situaasje fine dy't fergelykber is mei it lêzen fan net de hiele tekst, mar yndividuele wurden derfan. En, nei alle gedachten, de tekst sil net wurde begrepen.

Sadwaande, rjochte op ynformaasjefeiligenssystemen, hawwe netwurkpakketmakelaars funksjonaliteit dy't helpt om DPI-softwaresystemen te ferbinen mei hegesnelheidstelekommunikaasjenetwurken en de lading op har te ferminderjen: se fiere foarriedige filtering, klassifikaasje en tarieding fan ferkear om de folgjende ferwurking te ferienfâldigjen.

Dêrnjonken, om't netwurkpakketmakkers in breed oanbod fan statistiken produsearje en faak ferbûn binne mei ferskate punten op it netwurk, fine se ek har plak by it diagnostearjen fan problemen mei de prestaasjes fan 'e netwurkynfrastruktuer sels.

Basisfunksjes fan netwurkpakketmakelaars

De namme "spesjalisearre / tafersjoch-skeakels" ûntstie út it basisdoel: om ferkear te sammeljen fan 'e ynfrastruktuer (meastentiids mei help fan passive optyske koppelers TAP- en / of SPAN-poarten) en fersprieden it ûnder analyse-ark. Ferkear wurdt spegele (duplisearre) tusken systemen fan ferskate soarten, en balansearre tusken systemen fan itselde type. Basisfunksjes befetsje meastal filterjen troch fjilden oant L4 (MAC, IP, TCP / UDP haven, ensfh) en aggregaasje fan ferskate licht laden kanalen yn ien (Bygelyks, foar ferwurking op ien DPI systeem).

Dizze funksjonaliteit jout in oplossing foar it basisprobleem fan it ferbinen fan DPI-systemen oan 'e netwurkynfrastruktuer. Brokers fan ferskate fabrikanten, beheind ta basisfunksjonaliteit, jouwe ferwurking fan maksimaal 32 100G-ynterfaces per 1U (mear ynterfaces passe net fysyk op it 1U-frontpaniel). Se ferminderje lykwols de lêst op analyse-ark net, en foar in komplekse ynfrastruktuer kinne se net iens de easken foar in basisfunksje leverje: in sesje ferdield oer ferskate tunnels (of foarsjoen fan MPLS-tags) kin ûnbalâns wurde tusken ferskate analysator-eksimplaren en oer it algemien falle út analyse.

Neist it tafoegjen fan 40/100G-ynterfaces en, as gefolch, tanimmende prestaasjes, ûntwikkelje netwurkpakketmakelaars aktyf yn termen fan it leverjen fan fûneminteel nije mooglikheden: fan balânsjen basearre op nestele tunnelkoppen oant ferkearsûntsifering. Spitigernôch kinne sokke modellen net opskeppe fan prestaasjes yn terabits, mar se kinne jo in echt heechweardich en technysk "moai" systeem foar ynformaasjefeiligens bouwe, wêryn elk analyse-ark garandearre wurdt om allinich de ynformaasje te ûntfangen dy't it nedich is yn 'e foarm dy't it meast geskikt is. foar analyze.

Avansearre Network Packet Broker Features

1. Sa as hjirboppe neamd balâns basearre op nestele kopteksten yn tunneled ferkear.

Wêrom is it wichtich? Litte wy 3 aspekten beskôgje dy't tegearre of apart kritysk kinne wêze:

• garandearjen fan unifoarm balâns yn 'e oanwêzigens fan in lyts oantal tunnels. As d'r mar 2 tunnels binne op it ferbiningspunt fan ynformaasjebefeiligingssystemen, dan sil it net mooglik wêze om se te unbalâns te meitsjen neffens eksterne kopteksten op 3 serverplatfoarms, wylst se de sesje behâlde. Tagelyk wurdt ferkear yn it netwurk ûnjildich oerdroegen, en it rjochtsjen fan elke tunnel nei in aparte ferwurkingsfoarsjenning sil oermjittige prestaasjes fan 'e lêste fereaskje;
• it garandearjen fan de yntegriteit fan sesjes en streamen fan multisession-protokollen (bygelyks FTP en VoIP), wêrfan de pakketten yn ferskate tunnels einigen. De kompleksiteit fan netwurkynfrastruktuer wurdt hieltyd grutter: redundânsje, virtualisaasje, ferienfâldiging fan administraasje, ensfh. Oan 'e iene kant fergruttet dit de betrouberens yn termen fan gegevensoerdracht, oan' e oare kant komplisearret it de wurking fan systemen foar ynformaasjefeiligens. Sels as de analysatoren genôch prestaasjes hawwe om in tawijd kanaal mei tunnels te ferwurkjen, blykt it probleem ûnoplosber te wêzen, om't guon fan 'e brûkerssesjepakketten oer in oar kanaal wurde oerdroegen. Boppedat, wylst guon ynfrastruktuer noch besykje te soargjen foar de yntegriteit fan sesjes, multisession protokollen kinne nimme folslein oare paden;
• balâns yn 'e oanwêzigens fan MPLS, VLAN, yndividuele apparatuer tags, ensfh. Net krekt tunnels, mar dochs, apparatuer mei basisfunksjonaliteit kin begripe dit ferkear as wat oars as IP en lykwicht basearre op MAC adressen, nochris yn striid mei de uniformiteit fan balâns of de yntegriteit fan sesjes.

De netwurkpakketmakelaar parseart eksterne kopteksten en folget sequentieel de oanwizers oant de nestele IP-koptekst en balansearret derop. As gefolch binne d'r signifikant mear streamen (neffens kin it unbalansearre wurde en op in grutter oantal platfoarms), en it DPI-systeem ûntfangt alle sesjepakketten en alle byhearrende sesjes fan multisessionprotokollen.

2. Ferkear modifikaasje.
Ien fan 'e breedste funksjes yn termen fan syn mooglikheden, d'r binne in protte subfunksjes en opsjes foar har tapassing:

• loadload wiskje, yn dit gefal wurde allinich pakketkoppen oerbrocht nei it analyseark. Dit is relevant foar analyse-ark of foar soarten ferkear wêryn't de ynhâld fan 'e pakketten gjin saak makket of kin net analysearre wurde. Bygelyks, foar fersifere ferkear parametric útwikseling gegevens (wa, mei wa, wannear en hoefolle) kin wêze fan belang, mar payload is eins garbage dat nimt it kanaal en computing boarnen fan de analyzer. Fariaasjes binne mooglik as de lading wurdt ôfsnien fanôf in opjûne offset - dit soarget foar ekstra romte foar analyse-ark;
• detunneling, nammentlik it fuortheljen fan kopteksten dy't tunnels oantsjutte en identifisearje. It doel is om de lêst op analyse-ark te ferminderjen en har effisjinsje te fergrutsjen. Detunneling kin basearre wurde op in fêste offset of mei dynamyske koptekstanalyse en offsetbepaling foar elk pakket;
• it fuortheljen fan in diel fan 'e pakketkoppen: MPLS-tags, VLAN, spesifike fjilden fan apparatuer fan tredden;
• maskering diel fan 'e kopteksten, bygelyks, maskering IP-adressen te garandearjen ferkear anonymization;
• it tafoegjen fan tsjinstynformaasje oan it pakket: tiidstempel, ynfierpoarte, label foar ferkearsklassen, ensfh.

3. Deduplikaasje - skjinmeitsjen fan dûbele ferkearspakketten oerdroegen oan analyse-ark. Dûbele pakketten ûntsteane meastentiids troch de aard fan 'e ferbining mei de ynfrastruktuer - ferkear kin troch ferskate analysepunten passe en wurde spegele fan elk fan har. It opnij ferstjoeren fan net-levere TCP-pakketten is ek gewoan, mar as d'r in protte binne, dan binne dit wierskynliker problemen yn ferbân mei it kontrolearjen fan de kwaliteit fan it netwurk, yn stee fan ynformaasjefeiligens dêryn.

4. Avansearre filterfunksjes - fan sykjen nei spesifike wearden by in opjûne offset oant hantekeninganalyse fan it heule pakket.

5. NetFlow / IPFIX generaasje - sammeljen fan in breed oanbod fan statistiken oer trochjaan ferkear en de oerdracht nei analyse-ark.

6. Dekodearring fan SSL ferkear, wurket op betingst dat it sertifikaat en kaaien earst wurde laden yn 'e netwurkpakketmakelaar. Dochs kinne jo de analyse-ark signifikant ûntlêste.

D'r binne folle mear funksjes, nuttich en marketing, mar de wichtichste binne wierskynlik neamd.

De ûntwikkeling fan deteksjesystemen (ynbraken, DDOS-oanfallen) yn systemen om se te foarkommen, lykas de ynfiering fan aktive DPI-ark, easke in feroaring yn it skeakelskema fan passyf (fia TAP- as SPAN-poarten) nei aktyf ("yn 'e gat" ”). Dizze omstannichheid fergrutte de easken foar betrouberens (sûnt mislearring yn dit gefal liedt ta fersteuring fan it hiele netwurk, en net allinich ta it ferlies fan kontrôle oer ynformaasjefeiligens) en late ta it ferfangen fan optyske koppelers mei optyske bypass (om it probleem op te lossen fan de ôfhinklikens fan netwurk operabiliteit op 'e operabiliteit fan systemen ynformaasje feiligens), mar de wichtichste funksjonaliteit en easken foar it bliuwe itselde.

Wy hawwe DS Integrity Network Packet Brokers ûntwikkele mei 100G, 40G en 10G ynterfaces fan ûntwerp en circuitûntwerp oant firmware. Boppedat, yn tsjinstelling ta oare pakketmakelaars, wurde de modifikaasje- en balânsjefunksjes fan nestele tunnelkoppen ymplementearre yn hardware, op folsleine poartesnelheid.

Boarne: www.habr.com