A seguridade da información separou das telecomunicacións nunha industria independente coas súas propias especificidades e os seus propios equipos. Pero hai unha clase de dispositivos pouco coñecida que está na unión de telecomunicacións e infobez: corredores de paquetes de rede (Network Packet Broker), tamén son equilibradores de carga, interruptores especializados / de monitorización, agregadores de tráfico, plataforma de entrega de seguridade, visibilidade de rede, etc. E nós, como desenvolvedor e fabricante ruso deste tipo de dispositivos, queremos dicirche máis sobre eles.
Alcance e tarefas a resolver
Os intermediarios de paquetes de rede son dispositivos especializados que atoparon o maior uso nos sistemas de seguridade da información. Como tal, a clase de dispositivo é relativamente nova e pouca infraestrutura de rede común en comparación cos conmutadores, enrutadores, etc. A pioneira no desenvolvemento deste tipo de aparellos foi a empresa estadounidense Gigamon. Actualmente, hai moito máis xogadores neste mercado (incluídas solucións similares do coñecido fabricante de sistemas de proba - IXIA), pero só un estreito círculo de profesionais aínda sabe sobre a existencia destes dispositivos. Como se indicou anteriormente, aínda coa terminoloxía non hai unha certeza inequívoca: os nomes van desde "sistemas de transparencia de rede" ata simples "equilibradores".
Durante o desenvolvemento de intermediarios de paquetes de rede, enfrontámonos ao feito de que, ademais de analizar as instrucións para o desenvolvemento de funcionalidades e probas en laboratorios/zonas de proba, é necesario explicar simultaneamente aos potenciais consumidores a existencia desta clase de equipos. , xa que non todos o saben.
Incluso hai 15-20 anos, había pouco tráfico na rede, e eran principalmente datos sen importancia. Pero practicamente se repite : A velocidade da conexión a Internet aumenta nun 50% anual. O volume de tráfico tamén está crecendo de forma constante (o gráfico mostra a previsión de 2017 de Cisco, fonte Cisco Visual Networking Index: Forecast and Trends, 2017–2022):
Xunto coa velocidade, a importancia de circular información (este é tanto un segredo comercial como datos persoais notorios) e o rendemento xeral da infraestrutura están en aumento.
En consecuencia, xurdiu a industria da seguridade da información. A industria respondeu a isto con toda unha gama de dispositivos de análise de tráfico (DPI), desde sistemas de prevención de ataques DDOS ata sistemas de xestión de eventos de seguridade da información, incluíndo IDS, IPS, DLP, NBA, SIEM, Antimailware, etc. Normalmente, cada unha destas ferramentas é un software que se instala nunha plataforma de servidor. Ademais, cada programa (ferramenta de análise) está instalado na súa propia plataforma de servidor: os fabricantes de software son diferentes e son necesarios moitos recursos informáticos para a análise en L7.
Ao construír un sistema de seguridade da información, é necesario resolver unha serie de tarefas básicas:
- como transferir o tráfico da infraestrutura aos sistemas de análise? (os portos SPAN desenvolvidos orixinalmente para iso en infraestruturas modernas non son suficientes nin en cantidade nin en rendemento)
- como distribuír o tráfico entre diferentes sistemas de análise?
- como escalar os sistemas cando non hai un rendemento suficiente dunha instancia do analizador para procesar todo o volume de tráfico que entra nel?
- como supervisar interfaces 40G/100G (e nun futuro próximo tamén 200G/400G), xa que actualmente as ferramentas de análise só admiten interfaces 1G/10G/25G?
E as seguintes tarefas relacionadas:
- como minimizar o tráfico inadecuado que non necesita ser procesado, pero chega ás ferramentas de análise e consume os seus recursos?
- como tratar os paquetes encapsulados e os paquetes con marcas de servizo de hardware, cuxa preparación para a análise resulta ser moi intensiva en recursos ou irrealizable?
- como excluír da análise parte do tráfico que non está regulada pola política de seguridade (por exemplo, o tráfico da cabeza).
Como todos saben, a demanda crea oferta, en resposta a estas necesidades, comezaron a desenvolverse intermediarios de paquetes de rede.
Descrición xeral dos corredores de paquetes de rede
Os corredores de paquetes de rede traballan a nivel de paquetes, e neste son similares aos interruptores comúns. A principal diferenza dos interruptores é que as regras de distribución e agregación de tráfico nos corredores de paquetes de rede están completamente determinadas pola configuración. Os corredores de paquetes de rede non teñen estándares para construír táboas de reenvío (táboas MAC) e intercambiar protocolos con outros switches (como STP), polo que o abano de posibles opcións e campos comprensibles neles é moito máis amplo. Un corredor pode distribuír uniformemente o tráfico dun ou máis portos de entrada a un determinado rango de portos de saída cunha función de equilibrio de carga de saída. Podes establecer regras para copiar, filtrar, clasificar, deduplicar e modificar o tráfico. Estas regras pódense aplicar a diferentes grupos de portos de entrada do intermediario de paquetes de rede, así como aplicarse secuencialmente un despois do outro no propio dispositivo. Unha vantaxe importante dun intermediario de paquetes é a capacidade de procesar o tráfico a toda velocidade e preservar a integridade das sesións (no caso de equilibrar o tráfico a varios sistemas DPI do mesmo tipo).
Preservar a integridade das sesións é transferir todos os paquetes da sesión da capa de transporte (TCP/UDP/SCTP) a un porto. Isto é importante porque os sistemas DPI (normalmente software que se executa nun servidor conectado ao porto de saída dun intermediario de paquetes) analizan o contido do tráfico a nivel de aplicación, e todos os paquetes enviados/recibidos por unha aplicación deben chegar á mesma instancia do analizador. Se os paquetes dunha sesión se perden ou se distribúen entre diferentes dispositivos DPI, cada dispositivo DPI individual estará nunha situación análoga á lectura non dun texto completo, senón de palabras individuais. E, moi probablemente, o texto non vai entender.
Así, ao estar centrados nos sistemas de seguridade da información, os intermediarios de paquetes de rede teñen unha funcionalidade que axuda a conectar os sistemas de software DPI a redes de telecomunicacións de alta velocidade e a reducir a carga sobre elas: filtran previamente, clasifican e preparan o tráfico para simplificar o procesamento posterior.
Ademais, dado que os corredores de paquetes de rede proporcionan unha ampla gama de estatísticas e adoitan estar conectados a varios puntos da rede, tamén atopan o seu lugar no diagnóstico de problemas de saúde da propia infraestrutura de rede.
Funcións básicas de Network Packet Brokers
O nome "conmutadores dedicados/de monitoreo" xurdiu da finalidade básica: recoller o tráfico da infraestrutura (normalmente utilizando toques ópticos TAP e/ou portos SPAN pasivos) e distribuílo entre ferramentas de análise. O tráfico é espello (duplicado) entre sistemas de diferentes tipos, e equilibrado entre sistemas do mesmo tipo. As funcións básicas adoitan incluír o filtrado por campos ata L4 (MAC, IP, porto TCP/UDP, etc.) e a agregación de varias canles pouco cargadas nunha soa (por exemplo, para procesar nun sistema DPI).
Esta funcionalidade ofrece unha solución para a tarefa básica: conectar sistemas DPI á infraestrutura de rede. Os corredores de varios fabricantes, limitados á funcionalidade básica, proporcionan procesamento de ata 32 interfaces 100G por 1U (máis interfaces non encaixan fisicamente no panel frontal de 1U). Non obstante, non permiten reducir a carga das ferramentas de análise e, para unha infraestrutura complexa, nin sequera poden proporcionar os requisitos para unha función básica: unha sesión distribuída en varios túneles (ou equipada con etiquetas MPLS) pode desequilibrarse para diferentes instancias do analizador e xeralmente caen fóra da análise.
Ademais de engadir interfaces 40/100G e, como resultado, mellorar o rendemento, os corredores de paquetes de rede están a desenvolverse activamente en canto a proporcionar funcións fundamentalmente novas: desde o equilibrio en cabeceiras de túneles anidados ata o descifrado do tráfico. Desafortunadamente, este tipo de modelos non poden presumir dun rendemento en terabits, pero permiten construír un sistema de seguridade da información de gran calidade e tecnicamente "bonito" no que se garante que cada ferramenta de análise recibe só a información que precisa na forma máis adecuada. para análise.
Características avanzadas de Network Packet Brokers
1. Mencionado anteriormente balance de cabeceiras anidadas no tráfico en túnel.
Por que é importante? Considere 3 aspectos que poden ser críticos xuntos ou por separado:
- garantindo un equilibrio uniforme ante a presenza dun número reducido de túneles. No caso de que só existan 2 túneles no punto de conexión dos sistemas de seguridade da información, entón non será posible desequilibralos mediante cabeceiras externas en 3 plataformas de servidor mantendo a sesión. Ao mesmo tempo, o tráfico na rede transmítese de forma desigual, e a dirección de cada túnel a unha instalación de procesamento separada requirirá un rendemento excesivo desta última;
- garantindo a integridade das sesións e fluxos de protocolos multisesións (por exemplo, FTP e VoIP), cuxos paquetes acabaron en diferentes túneles. A complexidade da infraestrutura de rede está en constante aumento: redundancia, virtualización, simplificación da administración, etc. Por unha banda, isto aumenta a fiabilidade en canto á transmisión de datos, por outro, dificulta o traballo dos sistemas de seguridade da información. Mesmo cun rendemento suficiente dos analizadores para procesar unha canle dedicada con túneles, o problema resulta irresoluble, xa que algúns dos paquetes de sesión do usuario transmítense por outra canle. Ademais, se aínda intentan coidar a integridade das sesións nalgunhas infraestruturas, entón os protocolos de multisesión poden ir por camiños completamente diferentes;
- equilibrio en presenza de MPLS, VLAN, etiquetas individuais de equipos, etc. Non realmente túneles, pero con todo, equipos con funcionalidades básicas poden entender este tráfico non como IP e equilibrar por enderezos MAC, violando unha vez máis a uniformidade do equilibrio ou a integridade da sesión.
O intermediario de paquetes de rede analiza as cabeceiras externas e segue secuencialmente os punteiros ata a cabeceira IP aniñada e equilibra xa nela. Como resultado, hai moito máis fluxos (respectivamente, pódese desequilibrar de forma máis uniforme e nun maior número de plataformas), e o sistema DPI recibe todos os paquetes de sesión e todas as sesións asociadas dos protocolos de multisesión.
2. Modificación do tráfico.
Unha das funcións máis amplas en canto ás súas capacidades, o número de subfuncións e opcións para o seu uso son moitas:
- eliminando a carga útil, nese caso só se pasan as cabeceiras dos paquetes ao analizador. Isto é relevante para ferramentas de análise ou para tipos de tráfico nos que o contido dos paquetes non xoga ou non se pode analizar. Por exemplo, para o tráfico cifrado, os datos de intercambio paramétrico (quen, con quen, cando e canto) poden ser de interese, mentres que a carga útil é en realidade un lixo que ocupa a canle e os recursos informáticos do analizador. Son posibles variacións cando a carga útil se corta a partir dun determinado desplazamento; isto proporciona un espazo adicional para as ferramentas de análise;
- destúneles, é dicir, a eliminación de cabeceiras que designan e identifican os túneles. O obxectivo é reducir a carga das ferramentas de análise e aumentar a súa eficiencia. A eliminación de túneles pódese basear nunha análise de cabeceira fixa ou dinámica e determinación de compensación para cada paquete;
- eliminación dalgúns encabezados de paquetes: etiquetas MPLS, VLAN, campos específicos de equipos de terceiros;
- enmascarar parte das cabeceiras, por exemplo, enmascarar enderezos IP para garantir a anonimización do tráfico;
- engadindo información de servizo ao paquete: marcas de tempo, porto de entrada, etiquetas de clase de tráfico, etc.
3. Desduplicación – limpeza de paquetes de tráfico repetitivos transmitidos a ferramentas de análise. Os paquetes duplicados ocorren con máis frecuencia debido ás peculiaridades da conexión á infraestrutura: o tráfico pode pasar por varios puntos de análise e reflectirse desde cada un deles. Tamén hai un reenvío de paquetes TCP incompletos, pero se hai moitos, entón estas son máis preguntas para controlar a calidade da rede, e non para a seguridade da información nela.
4. Funcións de filtrado avanzadas - desde a busca de valores específicos nun desplazamento determinado ata a análise de sinaturas en todo o paquete.
5. Xeración NetFlow/IPFIX – recollida dunha ampla gama de estatísticas sobre o tráfico de paso e a súa transferencia a ferramentas de análise.
6. Descifrado do tráfico SSL, funciona sempre que o certificado e as claves se carguen primeiro no intermediario de paquetes de rede. Non obstante, isto permítelle descargar significativamente as ferramentas de análise.
Hai moitas máis funcións, útiles e de mercadotecnia, pero as principais, quizais, están listadas.
O desenvolvemento de sistemas de detección (intrusións, ataques DDOS) nos sistemas para a súa prevención, así como a introdución de ferramentas DPI activas, requiriu un cambio no esquema de conmutación de pasivo (a través de portos TAP ou SPAN) a activo (“en break” ). Esta circunstancia aumentou os requisitos de fiabilidade (porque un fallo neste caso leva a unha interrupción de toda a rede, e non só a perda de control sobre a seguridade da información) e levou á substitución dos acopladores ópticos por bypass ópticos (co fin de resolver o problema da dependencia do rendemento da rede do rendemento da seguridade da información dos sistemas), pero a principal funcionalidade e requisitos para ela seguían sendo os mesmos.
Desenvolvemos DS Integrity Network Packet Brokers con interfaces 100G, 40G e 10G desde deseño e circuítos ata software integrado. Ademais, a diferenza doutros corredores de paquetes, as funcións de modificación e equilibrio para as cabeceiras de túneles anidadas están implementadas no noso hardware, a toda velocidade do porto.
Fonte: www.habr.com