Tsaron bayanai ya rabu da sadarwa zuwa masana'antu mai zaman kanta tare da ƙayyadaddun kayan aikinta. Amma akwai ƙananan sanannun nau'ikan na'urori waɗanda ke tsaye a mahadar sadarwa da infobez - dillalan fakitin cibiyar sadarwa (Dillalan Fakitin Network), su ma masu daidaita ma'aunin nauyi ne, ƙwararrun masu sauyawa / saka idanu, masu tara zirga-zirga, Platform Isar da Tsaro, Ganuwa Network da sauransu. Kuma mu, a matsayin mai haɓakawa na Rasha da masana'antun irin waɗannan na'urori, da gaske muna son gaya muku ƙarin game da su.
Iyaka da ayyuka da za a warware
Dillalan fakitin hanyar sadarwa na'urori ne na musamman waɗanda suka sami mafi girman amfani a tsarin tsaro na bayanai. Don haka, ajin na'urar sabo ne kuma kaɗan ne a cikin hanyoyin sadarwar gama gari idan aka kwatanta da masu sauyawa, masu amfani da hanyar sadarwa, da sauransu. Majagaba a cikin samar da wannan nau'in na'ura shine kamfanin Gigamon na Amurka. A halin yanzu, akwai ƙarin 'yan wasa a cikin wannan kasuwa (ciki har da irin wannan mafita daga sanannun masana'antun gwajin tsarin - IXIA), amma har yanzu ƙwararrun ƙwararrun ƙwararrun ƙwararrun sun san wanzuwar irin waɗannan na'urori. Kamar yadda aka ambata a sama, ko da tare da kalmomi babu wani tabbataccen tabbaci: sunayen suna fitowa daga "tsarin nuna gaskiya na hanyar sadarwa" zuwa "masu daidaitawa".
Yayin haɓaka dillalan fakitin hanyar sadarwa, mun fuskanci gaskiyar cewa, ban da nazarin kwatance don haɓaka ayyuka da gwaji a cikin dakunan gwaje-gwaje / yankunan gwaji, ya zama dole a lokaci guda bayyana wa masu amfani da yuwuwar kasancewar wannan rukunin kayan aikin. , tunda ba kowa ya sani ba.
Ko da shekaru 15-20 da suka wuce, akwai ƙananan zirga-zirga a kan hanyar sadarwa, kuma yawancin bayanai ba su da mahimmanci. Amma a aikace yana maimaitawa : Gudun haɗin Intanet yana ƙaruwa da 50% kowace shekara. Har ila yau, yawan zirga-zirgar ababen hawa yana girma a hankali (jadawalin yana nuna hasashen 2017 daga Cisco, tushen Cisco Visual Networking Index: Hasashen da Trends, 2017-2022):
Tare da saurin gudu, mahimmancin watsa bayanai (wannan shine sirrin kasuwanci da sanannen bayanan sirri) da kuma aikin gaba ɗaya na kayan aikin yana ƙaruwa.
Don haka, masana'antar tsaron bayanai ta bulla. Masana'antu sun amsa wannan tare da dukkanin na'urorin nazarin zirga-zirga (DPI), daga tsarin rigakafin harin DDOS zuwa tsarin kula da abubuwan tsaro na tsaro, ciki har da IDS, IPS, DLP, NBA, SIEM, Antimailware da sauransu. Yawanci, kowane ɗayan waɗannan kayan aikin software ne wanda aka sanya akan dandalin sabar. Bugu da ƙari, kowane shirin (kayan aikin bincike) an shigar da shi a kan dandalin uwar garken kansa: masana'antun software sun bambanta, kuma ana buƙatar albarkatun ƙididdiga masu yawa don bincike akan L7.
Lokacin gina tsarin tsaro na bayanai, wajibi ne a warware wasu ayyuka na asali:
- yadda za a canja wurin zirga-zirga daga ababen more rayuwa zuwa tsarin bincike? (tashar jiragen ruwa na SPAN da aka samo asali don wannan a cikin abubuwan more rayuwa na zamani ba su isa ko dai a yawa ko a cikin aiki ba)
- yadda za a rarraba zirga-zirga tsakanin tsarin bincike daban-daban?
- yadda za a sikelin tsarin lokacin da babu isasshen aikin misali ɗaya na mai nazari don aiwatar da duk yawan zirga-zirgar zirga-zirgar da ke shigar da shi?
- yadda za a saka idanu 40G/100G musaya (kuma a nan gaba kadan kuma 200G/400G), tun da kayan aikin bincike a halin yanzu kawai goyon bayan 1G/10G/25G musaya?
Da kuma ayyuka masu alaƙa:
- yadda za a rage yawan zirga-zirgar da ba ta dace ba wanda baya buƙatar sarrafa shi, amma yana zuwa kayan aikin bincike kuma yana cinye albarkatun su?
- yadda ake aiwatar da fakiti da fakiti tare da alamun sabis na kayan masarufi, wanda shirye-shiryen don bincike ya zama ko dai yana da amfani ko kuma ba za a iya gane shi ba kwata-kwata?
- yadda za a ware daga sashin bincike na zirga-zirgar da ba a tsara shi ta hanyar manufofin tsaro (misali, zirga-zirgar kai).
Kamar yadda kowa ya sani, buƙatu yana haifar da wadata, don amsa waɗannan buƙatun, dillalan fakitin cibiyar sadarwa sun fara haɓaka.
Gabaɗaya Bayanin Dillalan Fakitin Sadarwar Sadarwa
Dillalan fakitin cibiyar sadarwa suna aiki a matakin fakiti, kuma a cikin wannan suna kama da masu sauyawa na yau da kullun. Babban bambanci daga masu sauyawa shine cewa ka'idodin rarrabawa da tarawar zirga-zirga a cikin dillalan fakitin cibiyar sadarwa an ƙaddara su gaba ɗaya ta saitunan. Dillalan fakitin hanyar sadarwa ba su da ma'auni don gina teburin turawa (Tables MAC) da musayar ka'idoji tare da sauran masu sauyawa (kamar STP), sabili da haka kewayon yuwuwar saiti da filayen da za a iya fahimta a cikinsu ya fi fadi. Dillali na iya rarraba zirga-zirga a ko'ina daga tashar shigar da ɗaya ko fiye zuwa kewayon da aka bayar na tashoshin fitarwa tare da fasalin daidaita kayan fitarwa. Kuna iya saita dokoki don kwafi, tacewa, rarrabuwa, ƙaddamarwa da gyara zirga-zirga. Ana iya amfani da waɗannan ƙa'idodin zuwa ƙungiyoyi daban-daban na tashar shigarwar dillalin fakitin cibiyar sadarwa, da kuma yin amfani da su bi da bi ɗaya bayan ɗaya a cikin na'urar kanta. Muhimmin fa'idar dillalin fakiti shine ikon aiwatar da zirga-zirgar zirga-zirga a cikin ƙimar ƙimar da kuma kiyaye amincin zaman (a yanayin daidaita zirga-zirga zuwa tsarin DPI da yawa iri ɗaya).
Tsare mutuncin zaman shine don canja wurin duk fakitin zaman na layin sufuri (TCP / UDP / SCTP) zuwa tashar jiragen ruwa guda ɗaya. Wannan yana da mahimmanci saboda tsarin DPI (yawanci software da ke gudana akan uwar garken da aka haɗa zuwa tashar fitarwa ta dillalin fakiti) suna nazarin abubuwan da ke cikin zirga-zirga a matakin aikace-aikacen, kuma duk fakitin da aka aika/ karɓa ta aikace-aikace ɗaya dole ne su zo a daidai wannan misalin na nazari . Idan fakitin zama ɗaya ya ɓace ko rarraba tsakanin na'urorin DPI daban-daban, to kowane ɗayan na'urar DPI za ta kasance cikin yanayi mai kama da karanta ba duka rubutu ba, amma kalmomi ɗaya daga ciki. Kuma, mafi mahimmanci, rubutun ba zai fahimta ba.
Don haka, ana mai da hankali kan tsarin tsaro na bayanai, dillalan fakitin cibiyar sadarwa suna da ayyuka waɗanda ke taimakawa haɗa tsarin software na DPI zuwa cibiyoyin sadarwar sadarwa masu sauri da rage nauyi akan su: suna riga-kafi, rarrabawa da shirya zirga-zirga don sauƙaƙe aiki na gaba.
Bugu da ƙari, tun da dillalan fakitin cibiyar sadarwa suna ba da ƙididdiga masu yawa kuma galibi ana haɗa su zuwa wurare daban-daban a cikin hanyar sadarwar, kuma suna samun matsayinsu wajen gano matsalolin lafiya na hanyoyin sadarwar kanta.
Asalin Ayyukan Dillalan Fakitin hanyar sadarwa
Sunan " sadaukarwa / saka idanu masu sauyawa" ya taso ne daga ainihin maƙasudin: don tattara zirga-zirga daga abubuwan more rayuwa (yawanci ta amfani da tashoshin TAP na gani da / ko tashoshin SPAN) da rarraba shi tsakanin kayan aikin bincike. Ana misalta zirga-zirgar ababen hawa (na kwafi) tsakanin tsarin nau'ikan nau'ikan nau'ikan nau'ikan nau'ikan nau'ikan nau'ikan nau'ikan nau'ikan nau'ikan nau'ikan nau'ikan nau'ikan nau'ikan nau'ikan nau'ikan nau'ikan nau'ikan nau'ikan nau'ikan zirga-zirgar ababen hawa, da daidaitawa tsakanin tsarin nau'ikan nau'ikan iri ɗaya. Ayyukan asali yawanci sun haɗa da tacewa ta filayen har zuwa L4 (MAC, IP, TCP / UDP tashar jiragen ruwa, da dai sauransu) da tara tashoshi masu sauƙi da yawa zuwa ɗaya (misali, don sarrafawa akan tsarin DPI ɗaya).
Wannan aikin yana ba da mafita ga ainihin aiki - haɗa tsarin DPI zuwa kayan aikin cibiyar sadarwa. Dillalai daga masana'antun daban-daban, iyakance ga ayyuka na asali, suna ba da aiki har zuwa 32 100G musaya ta 1U (ƙarin musaya ba su dace da jiki a gaban panel na 1U ba). Duk da haka, ba sa ƙyale rage nauyi akan kayan aikin bincike, kuma don hadaddun kayan aikin ba za su iya samar da buƙatun don aiki na asali ba: zaman da aka rarraba akan ramuka da yawa (ko sanye take da alamun MPLS) na iya zama rashin daidaituwa ga lokuta daban-daban na analyzer kuma gabaɗaya faɗuwa daga bincike.
Baya ga ƙara mu'amalar 40/100G kuma, a sakamakon haka, haɓaka aiki, dillalan fakitin cibiyar sadarwa suna haɓakawa sosai dangane da samar da sabbin abubuwa na asali: daga daidaitawa kan manyan kantunan ramin gida zuwa ɓarnar zirga-zirga. Abin takaici, irin waɗannan samfuran ba za su iya yin alfahari da yin aiki a cikin terabits ba, amma suna ba da damar gina ingantaccen ingantaccen tsarin tsaro na fasaha “kyakkyawan” tsarin tsaro na bayanai wanda kowane kayan aikin bincike yana da tabbacin samun bayanan da yake buƙata kawai a cikin hanyar da ta fi dacewa. domin bincike.
Ayyukan ci-gaba na dillalan fakitin cibiyar sadarwa
1. An ambata a sama ma'auni mai ma'ana a cikin cunkoson ababen hawa.
Me yasa yake da mahimmanci? Yi la'akari da abubuwa guda 3 waɗanda zasu iya zama mahimmanci tare ko dabam:
- tabbatar da daidaita daidaiton uniform a gaban ƴan ƙananan ramuka. A yayin da akwai kawai 2 tunnels a wurin haɗin tsarin tsaro na bayanai, to ba zai yiwu a daidaita su ta hanyar kai tsaye a kan dandamali na 3 na uwar garke yayin kiyaye zaman ba. A lokaci guda, zirga-zirgar zirga-zirgar ababen hawa a cikin hanyar sadarwa ana watsa shi ba daidai ba, kuma jagorar kowane rami zuwa wurin sarrafawa daban zai buƙaci wuce gona da iri na ƙarshen;
- tabbatar da amincin zaman da rafukan ka'idojin multisession (misali, FTP da VoIP), fakitin wanda ya ƙare a cikin rami daban-daban. Matsalolin hanyoyin sadarwa suna karuwa akai-akai: sakewa, haɓakawa, sauƙaƙe gudanarwa, da sauransu. A gefe guda, wannan yana ƙara aminci ta fuskar watsa bayanai, a gefe guda, yana dagula aikin tsarin tsaro na bayanai. Ko da tare da isasshen aikin masu nazari don aiwatar da tashar sadaukarwa tare da ramuka, matsalar ta zama ba za a iya warwarewa ba, tun da wasu fakitin zaman mai amfani ana watsa su akan wata tashar. Bugu da ƙari, idan har yanzu suna ƙoƙarin kula da amincin zaman a wasu abubuwan more rayuwa, to, ka'idojin multisession na iya tafiya gaba ɗaya ta hanyoyi daban-daban;
- daidaitawa a gaban MPLS, VLAN, alamun kayan aiki guda ɗaya, da sauransu. Ba ainihin ramuka ba, amma duk da haka, kayan aiki tare da ayyuka na asali na iya fahimtar wannan zirga-zirga ba azaman IP da ma'auni ta adiresoshin MAC ba, sake keta daidaituwar daidaituwa ko daidaiton zaman.
Dillalin fakitin hanyar sadarwa yana rarraba kan saman kai kuma yana bin masu nuni a bi-bi-bi-da-kulli har zuwa tushen IP na gida da ma'auni riga a kai. A sakamakon haka, akwai ƙarin rafuka masu mahimmanci (bi da bi, zai iya zama rashin daidaituwa fiye da daidai kuma a kan adadin dandamali mafi girma), kuma tsarin DPI yana karɓar duk fakitin zaman da duk abubuwan da suka shafi haɗin gwiwa na ka'idojin multisession.
2. Gyaran zirga-zirga.
Ɗaya daga cikin mafi faɗin ayyuka dangane da iyawarsa, adadin ƙananan ayyuka da zaɓuɓɓuka don amfani da su suna da yawa:
- cire lodin biyan kuɗi, wanda a cikin sa'o'i na fakiti kawai aka wuce zuwa parser. Wannan ya dace don kayan aikin bincike ko don nau'ikan zirga-zirga waɗanda abubuwan da ke cikin fakiti ko dai ba su taka rawa ba ko kuma ba za a iya tantance su ba. Misali, don ɓoyayyiyar zirga-zirgar ababen hawa, bayanan musanya na daidaitawa (wanda, tare da wane, lokacin, da nawa) na iya zama mai ban sha'awa, yayin da nauyin kaya shine ainihin datti da ke mamaye tashar da albarkatun lissafin mai tantancewa. Bambance-bambancen yana yiwuwa lokacin da aka yanke nauyin biyan kuɗi farawa daga abin da aka bayar - wannan yana ba da ƙarin damar yin amfani da kayan aikin bincike;
- detunneling, wato kau da headers cewa designate da gano tunnels. Manufar ita ce a rage nauyin kayan aikin bincike da kuma ƙara yawan aiki. Detunneling na iya dogara ne akan ƙayyadaddun biya ko bincike mai ƙarfi da ƙayyadaddun yanke hukunci ga kowane fakiti;
- cire wasu fakitin kanun labarai: alamun MPLS, VLAN, takamaiman filayen kayan aikin ɓangare na uku;
- rufe wani ɓangare na masu kai, misali, rufe adiresoshin IP don tabbatar da ɓarna zirga-zirga;
- ƙara bayanin sabis zuwa fakiti: tamburan lokaci, tashar shigar da bayanai, alamun ajin zirga-zirga, da sauransu.
3. Ragewa - tsaftacewa na fakitin zirga-zirgar ababen hawa da aka watsa zuwa kayan aikin bincike. Fakitin kwafi galibi suna faruwa ne saboda abubuwan haɗin kai zuwa abubuwan more rayuwa - zirga-zirga na iya wucewa ta wuraren bincike da yawa kuma ana misalta kowane ɗayansu. Har ila yau, akwai sake aikawa da fakitin TCP da ba su cika ba, amma idan akwai da yawa daga cikinsu, to waɗannan su ne ƙarin tambayoyi don kula da ingancin hanyar sadarwa, kuma ba don tsaro na bayanai a ciki ba.
4. Nagartaccen fasali na tacewa - daga neman takamaiman dabi'u a cikin abin da aka bayar don nazarin sa hannu a duk fakitin.
5. NetFlow / IPFIX tsara - tarin ƙididdiga masu yawa game da wucewar zirga-zirgar zirga-zirga da canja wurin zuwa kayan aikin bincike.
6. Decryption na zirga-zirgar SSL, yana aiki muddin an fara loda takaddun shaida da maɓallan a cikin dillalin fakitin cibiyar sadarwa. Duk da haka, wannan yana ba ku damar sauke kayan aikin bincike sosai.
Akwai ƙarin ayyuka da yawa, masu amfani da tallace-tallace, amma manyan, watakila, an jera su.
Haɓaka tsarin ganowa (kutsawa, hare-haren DDOS) a cikin tsarin don rigakafin su, da kuma ƙaddamar da kayan aikin DPI masu aiki, sun buƙaci canji a cikin tsarin sauyawa daga m (ta hanyar tashar TAP ko SPAN) zuwa aiki ("a cikin hutu" ). Wannan yanayin ya ƙara abubuwan da ake buƙata don dogaro (saboda gazawar a cikin wannan yanayin yana haifar da rugujewar hanyar sadarwa gaba ɗaya, kuma ba kawai ga asarar iko akan amincin bayanan ba) kuma ya haifar da maye gurbin na'urorin haɗin kai tare da hanyoyin gani (domin warware matsalar dogaro da ayyukan cibiyar sadarwa akan ayyukan tsaro bayanan tsarin), amma babban aiki da buƙatunsa sun kasance iri ɗaya.
Mun haɓaka DS Integrity Network Packet Dillalai tare da 100G, 40G da 10G musaya daga ƙira da kewayawa zuwa shigar software. Bugu da ƙari, ba kamar sauran dillalan fakiti ba, ana aiwatar da gyare-gyare da daidaita ayyuka don maƙallan ramin ramuka a cikin kayan aikin mu, cikin cikakken saurin tashar jiragen ruwa.
source: www.habr.com