सूचना सुरक्षा प्रणालियों के निर्माण के लिए आधुनिक समाधान - नेटवर्क पैकेट ब्रोकर्स (नेटवर्क पैकेट ब्रोकर)

सूचना सुरक्षा अपनी विशिष्टताओं और अपने स्वयं के उपकरणों के साथ एक स्वतंत्र उद्योग में दूरसंचार से अलग हो गई है। लेकिन उपकरणों का एक अल्पज्ञात वर्ग है जो टेलीकॉम और इन्फोबेज़ के जंक्शन पर खड़ा है - नेटवर्क पैकेट दलाल (नेटवर्क पैकेट ब्रोकर), वे लोड बैलेंसर्स, विशेष / मॉनिटरिंग स्विच, ट्रैफिक एग्रीगेटर्स, सिक्योरिटी डिलीवरी प्लेटफॉर्म, नेटवर्क विजिबिलिटी आदि भी हैं। और हम, एक रूसी डेवलपर और ऐसे उपकरणों के निर्माता के रूप में, वास्तव में आपको उनके बारे में और बताना चाहते हैं।

दायरा और हल किए जाने वाले कार्य

नेटवर्क पैकेट ब्रोकर विशेष उपकरण हैं जिनका सूचना सुरक्षा प्रणालियों में सबसे बड़ा उपयोग पाया गया है। जैसे, स्विच, राउटर और इसी तरह की तुलना में डिवाइस क्लास अपेक्षाकृत नया और सामान्य नेटवर्क इंफ्रास्ट्रक्चर में कुछ है। इस प्रकार के उपकरण के विकास में अग्रणी अमेरिकी कंपनी गिगामोन थी। वर्तमान में, इस बाजार में काफी अधिक खिलाड़ी हैं (परीक्षण प्रणालियों के प्रसिद्ध निर्माता - IXIA के समान समाधान सहित), लेकिन पेशेवरों का केवल एक संकीर्ण चक्र अभी भी ऐसे उपकरणों के अस्तित्व के बारे में जानता है। जैसा कि ऊपर उल्लेख किया गया है, शब्दावली के साथ भी कोई स्पष्ट निश्चितता नहीं है: नाम "नेटवर्क पारदर्शिता प्रणाली" से लेकर सरल "बैलेंसर" तक हैं।

नेटवर्क पैकेट दलालों को विकसित करते समय, हमें इस तथ्य का सामना करना पड़ा कि प्रयोगशालाओं / परीक्षण क्षेत्रों में कार्यक्षमता के विकास और परीक्षण के लिए दिशाओं का विश्लेषण करने के अलावा, इस वर्ग के उपकरणों के अस्तित्व के बारे में संभावित उपभोक्ताओं को एक साथ समझाना आवश्यक है। , क्योंकि हर कोई इसके बारे में नहीं जानता।

15-20 साल पहले भी, नेटवर्क पर बहुत कम ट्रैफिक था, और यह ज्यादातर महत्वहीन डेटा था। लेकिन नीलसन का नियम व्यावहारिक रूप से दोहराता है मूर की विधि: इंटरनेट कनेक्शन की गति सालाना 50% बढ़ जाती है। ट्रैफ़िक की मात्रा भी लगातार बढ़ रही है (ग्राफ़ सिस्को से 2017 का पूर्वानुमान दिखाता है, स्रोत सिस्को विज़ुअल नेटवर्किंग इंडेक्स: पूर्वानुमान और रुझान, 2017-2022):

गति के साथ-साथ सूचना प्रसारित करने का महत्व (यह एक व्यापार रहस्य और कुख्यात व्यक्तिगत डेटा दोनों है) और बुनियादी ढांचे का समग्र प्रदर्शन बढ़ रहा है।

तदनुसार, सूचना सुरक्षा उद्योग उभरा है। उद्योग ने डीडीओएस अटैक प्रिवेंशन सिस्टम से लेकर आईडीएस, आईपीएस, डीएलपी, एनबीए, एसआईईएम, एंटीमेलवेयर आदि सहित सूचना सुरक्षा इवेंट मैनेजमेंट सिस्टम तक ट्रैफिक एनालिसिस (डीपीआई) उपकरणों की एक पूरी श्रृंखला के साथ इसका जवाब दिया है। विशिष्ट रूप से, इनमें से प्रत्येक उपकरण सॉफ़्टवेयर है जो एक सर्वर प्लेटफ़ॉर्म पर स्थापित होता है। इसके अलावा, प्रत्येक प्रोग्राम (विश्लेषण उपकरण) अपने स्वयं के सर्वर प्लेटफॉर्म पर स्थापित होता है: सॉफ्टवेयर निर्माता अलग होते हैं, और L7 पर विश्लेषण के लिए बहुत सारे कंप्यूटिंग संसाधनों की आवश्यकता होती है।

सूचना सुरक्षा प्रणाली का निर्माण करते समय, कई बुनियादी कार्यों को हल करना आवश्यक है:

• इंफ्रास्ट्रक्चर से एनालिसिस सिस्टम में ट्रैफिक कैसे ट्रांसफर करें? (आधुनिक बुनियादी ढांचे में इसके लिए मूल रूप से विकसित किए गए स्पैन पोर्ट न तो मात्रा में और न ही प्रदर्शन में पर्याप्त हैं)
• विभिन्न विश्लेषण प्रणालियों के बीच ट्रैफ़िक कैसे वितरित करें?
• जब सिस्टम में प्रवेश करने वाले ट्रैफ़िक की पूरी मात्रा को संसाधित करने के लिए विश्लेषक के एक उदाहरण का पर्याप्त प्रदर्शन नहीं होता है तो सिस्टम को कैसे स्केल करें?
• 40G/100G इंटरफेस (और निकट भविष्य में भी 200G/400G) की निगरानी कैसे करें, क्योंकि विश्लेषण उपकरण वर्तमान में केवल 1G/10G/25G इंटरफेस का समर्थन करते हैं?

और निम्नलिखित संबंधित कार्य:

• अनुपयुक्त ट्रैफ़िक को कैसे कम करें जिसे संसाधित करने की आवश्यकता नहीं है, लेकिन विश्लेषण टूल तक जाता है और उनके संसाधनों का उपभोग करता है?
• एनकैप्सुलेटेड पैकेट और हार्डवेयर सर्विस मार्क वाले पैकेट को कैसे संभालना है, जिसकी तैयारी विश्लेषण के लिए या तो संसाधन-गहन या अवास्तविक हो जाती है?
• सुरक्षा नीति (उदाहरण के लिए, सिर का ट्रैफ़िक) द्वारा नियंत्रित नहीं किए गए ट्रैफ़िक के विश्लेषण भाग से कैसे बाहर रखा जाए।

जैसा कि सभी जानते हैं, मांग आपूर्ति बनाती है, इन जरूरतों के जवाब में, नेटवर्क पैकेट दलालों का विकास शुरू हुआ।

नेटवर्क पैकेट ब्रोकर्स का सामान्य विवरण

नेटवर्क पैकेट ब्रोकर पैकेट स्तर पर काम करते हैं, और इसमें वे साधारण स्विच के समान होते हैं। स्विच से मुख्य अंतर यह है कि नेटवर्क पैकेट दलालों में यातायात के वितरण और एकत्रीकरण के नियम पूरी तरह से सेटिंग्स द्वारा निर्धारित किए जाते हैं। नेटवर्क पैकेट ब्रोकरों के पास फ़ॉरवर्डिंग टेबल (मैक टेबल) बनाने और अन्य स्विच (जैसे एसटीपी) के साथ प्रोटोकॉल का आदान-प्रदान करने के लिए मानक नहीं हैं, और इसलिए उनमें संभावित सेटिंग्स और समझने योग्य फ़ील्ड की सीमा बहुत व्यापक है। एक ब्रोकर समान रूप से आउटपुट लोड संतुलन सुविधा के साथ एक या अधिक इनपुट पोर्ट से ट्रैफ़िक को आउटपुट पोर्ट की दी गई श्रेणी में वितरित कर सकता है। आप ट्रैफ़िक को कॉपी करने, फ़िल्टर करने, वर्गीकृत करने, डुप्लीकेट बनाने और संशोधित करने के लिए नियम निर्धारित कर सकते हैं। इन नियमों को नेटवर्क पैकेट ब्रोकर के इनपुट पोर्ट के विभिन्न समूहों पर लागू किया जा सकता है, साथ ही डिवाइस में ही एक के बाद एक क्रमिक रूप से लागू किया जा सकता है। पैकेट ब्रोकर का एक महत्वपूर्ण लाभ पूर्ण प्रवाह दर पर यातायात को संसाधित करने और सत्रों की अखंडता को बनाए रखने की क्षमता है (एक ही प्रकार के कई डीपीआई सिस्टमों के यातायात को संतुलित करने के मामले में)।

सत्र की अखंडता को संरक्षित करना परिवहन परत (टीसीपी / यूडीपी / एससीटीपी) के सत्र के सभी पैकेटों को एक बंदरगाह में स्थानांतरित करना है। यह महत्वपूर्ण है क्योंकि DPI सिस्टम (आमतौर पर एक पैकेट ब्रोकर के आउटपुट पोर्ट से जुड़े सर्वर पर चलने वाला सॉफ्टवेयर) एप्लिकेशन स्तर पर ट्रैफ़िक की सामग्री का विश्लेषण करता है, और एक एप्लिकेशन द्वारा भेजे गए / प्राप्त किए गए सभी पैकेट एक ही उदाहरण पर आने चाहिए। विश्लेषक। यदि एक सत्र के पैकेट खो जाते हैं या विभिन्न डीपीआई उपकरणों के बीच वितरित हो जाते हैं, तो प्रत्येक व्यक्तिगत डीपीआई डिवाइस एक ऐसी स्थिति में होगा जो पूरे पाठ को पढ़ने के लिए नहीं, बल्कि उससे अलग-अलग शब्दों को पढ़ने के अनुरूप होगा। और, सबसे अधिक संभावना है, पाठ समझ में नहीं आएगा।

इस प्रकार, सूचना सुरक्षा प्रणालियों पर केंद्रित होने के कारण, नेटवर्क पैकेट ब्रोकरों की कार्यक्षमता है जो डीपीआई सॉफ्टवेयर सिस्टम को हाई-स्पीड दूरसंचार नेटवर्क से जोड़ने में मदद करती है और उन पर लोड कम करती है: वे बाद के प्रसंस्करण को सरल बनाने के लिए यातायात को पूर्व-फ़िल्टर, वर्गीकृत और तैयार करते हैं।

इसके अलावा, चूंकि नेटवर्क पैकेट ब्रोकर आंकड़ों की एक विस्तृत श्रृंखला प्रदान करते हैं और अक्सर नेटवर्क में विभिन्न बिंदुओं से जुड़े होते हैं, इसलिए वे नेटवर्क के बुनियादी ढांचे की स्वास्थ्य समस्याओं के निदान में भी अपना स्थान पाते हैं।

नेटवर्क पैकेट ब्रोकर्स के मूल कार्य

मूल उद्देश्य से "समर्पित/निगरानी स्विच" नाम उत्पन्न हुआ: बुनियादी ढांचे से यातायात एकत्र करने के लिए (आमतौर पर निष्क्रिय ऑप्टिकल टीएपी टैप और / या स्पैन बंदरगाहों का उपयोग करके) और इसे विश्लेषण उपकरणों के बीच वितरित करना। ट्रैफ़िक को विभिन्न प्रकार की प्रणालियों के बीच प्रतिबिम्बित (डुप्लिकेट) किया जाता है, और एक ही प्रकार की प्रणालियों के बीच संतुलित किया जाता है। बुनियादी कार्यों में आमतौर पर L4 (MAC, IP, TCP / UDP पोर्ट, आदि) तक के क्षेत्रों द्वारा फ़िल्टरिंग और एक में कई हल्के लोड किए गए चैनलों का एकत्रीकरण (उदाहरण के लिए, एक DPI सिस्टम पर प्रसंस्करण के लिए) शामिल है।

यह कार्यक्षमता मूल कार्य का समाधान प्रदान करती है - डीपीआई सिस्टम को नेटवर्क इंफ्रास्ट्रक्चर से जोड़ना। विभिन्न निर्माताओं के दलाल, बुनियादी कार्यक्षमता तक सीमित, प्रति 32U 100 1G इंटरफेस तक की प्रोसेसिंग प्रदान करते हैं (1U फ्रंट पैनल पर अधिक इंटरफेस भौतिक रूप से फिट नहीं होते हैं)। हालांकि, वे विश्लेषण उपकरणों पर भार को कम करने की अनुमति नहीं देते हैं, और एक जटिल बुनियादी ढांचे के लिए वे एक बुनियादी कार्य के लिए आवश्यकताओं को भी प्रदान नहीं कर सकते हैं: कई सुरंगों (या एमपीएलएस टैग से लैस) में वितरित एक सत्र के विभिन्न उदाहरणों के लिए असंतुलित हो सकता है। विश्लेषक और आम तौर पर विश्लेषण से बाहर हो जाते हैं।

40/100G इंटरफेस को जोड़ने के अलावा, प्रदर्शन में सुधार के परिणामस्वरूप, नेटवर्क पैकेट ब्रोकर मौलिक रूप से नई सुविधाएँ प्रदान करने के मामले में सक्रिय रूप से विकसित हो रहे हैं: नेस्टेड टनल हेडर पर संतुलन से लेकर ट्रैफ़िक डिक्रिप्शन तक। दुर्भाग्य से, ऐसे मॉडल टेराबिट्स में प्रदर्शन का दावा नहीं कर सकते हैं, लेकिन वे वास्तव में उच्च-गुणवत्ता और तकनीकी रूप से "सुंदर" सूचना सुरक्षा प्रणाली का निर्माण करना संभव बनाते हैं, जिसमें प्रत्येक विश्लेषण उपकरण को केवल सबसे उपयुक्त रूप में आवश्यक जानकारी प्राप्त करने की गारंटी दी जाती है। विश्लेषण के लिए।

नेटवर्क पैकेट ब्रोकर्स के उन्नत कार्य

1. उपर्युक्त टनल वाले ट्रैफिक में नेस्टेड हैडर संतुलन।

यह महत्वपूर्ण क्यों है? 3 पहलुओं पर विचार करें जो एक साथ या अलग-अलग महत्वपूर्ण हो सकते हैं:

• कम संख्या में सुरंगों की उपस्थिति में समान संतुलन सुनिश्चित करना। इस घटना में कि सूचना सुरक्षा प्रणालियों के कनेक्शन बिंदु पर केवल 2 सुरंगें हैं, तो सत्र को बनाए रखते हुए 3 सर्वर प्लेटफॉर्म पर बाहरी हेडर द्वारा उन्हें असंतुलित करना संभव नहीं होगा। उसी समय, नेटवर्क में ट्रैफ़िक असमान रूप से प्रसारित होता है, और प्रत्येक सुरंग की एक अलग प्रसंस्करण सुविधा की दिशा में बाद के अत्यधिक प्रदर्शन की आवश्यकता होगी;
• मल्टीसेशन प्रोटोकॉल (उदाहरण के लिए, एफ़टीपी और वीओआईपी) के सत्रों और धाराओं की अखंडता सुनिश्चित करना, जिसके पैकेट विभिन्न सुरंगों में समाप्त हो गए। नेटवर्क के बुनियादी ढांचे की जटिलता लगातार बढ़ रही है: अतिरेक, वर्चुअलाइजेशन, प्रशासन का सरलीकरण, और इसी तरह। एक ओर, यह डेटा ट्रांसमिशन के मामले में विश्वसनीयता बढ़ाता है, दूसरी ओर, यह सूचना सुरक्षा प्रणालियों के काम को जटिल बनाता है। सुरंगों के साथ एक समर्पित चैनल को संसाधित करने के लिए विश्लेषणकर्ताओं के पर्याप्त प्रदर्शन के साथ भी, समस्या असाध्य हो जाती है, क्योंकि कुछ उपयोगकर्ता सत्र पैकेट दूसरे चैनल पर प्रसारित होते हैं। इसके अलावा, अगर वे अभी भी कुछ बुनियादी ढांचे में सत्रों की अखंडता का ख्याल रखने की कोशिश करते हैं, तो बहु-सत्र प्रोटोकॉल पूरी तरह से अलग तरीके से जा सकते हैं;
• एमपीएलएस, वीएलएएन, व्यक्तिगत उपकरण टैग आदि की उपस्थिति में संतुलन। वास्तव में सुरंगें नहीं हैं, लेकिन फिर भी, बुनियादी कार्यक्षमता वाले उपकरण इस ट्रैफ़िक को आईपी के रूप में नहीं और मैक पतों द्वारा संतुलन के रूप में समझ सकते हैं, एक बार फिर संतुलन या सत्र अखंडता की एकरूपता का उल्लंघन करते हैं।

नेटवर्क पैकेट ब्रोकर बाहरी हेडर को पार्स करता है और क्रमिक रूप से नेस्टेड आईपी हेडर तक पॉइंटर्स का अनुसरण करता है और उस पर पहले से ही बैलेंस करता है। नतीजतन, काफी अधिक धाराएं हैं (क्रमशः, इसे और अधिक समान रूप से और बड़ी संख्या में प्लेटफार्मों पर असंतुलित किया जा सकता है), और डीपीआई सिस्टम सभी सत्र पैकेट और मल्टीसेशन प्रोटोकॉल के सभी संबद्ध सत्र प्राप्त करता है।

2. यातायात संशोधन।
इसकी क्षमताओं के संदर्भ में सबसे व्यापक कार्यों में से एक, उप-कार्यों की संख्या और उनके उपयोग के विकल्प कई हैं:

• पेलोड को हटाना, जिस स्थिति में पार्सर को केवल पैकेट हेडर पास किए जाते हैं। यह विश्लेषण उपकरणों या ट्रैफ़िक प्रकारों के लिए प्रासंगिक है जिसमें पैकेट की सामग्री या तो कोई भूमिका नहीं निभाती है या उसका विश्लेषण नहीं किया जा सकता है। उदाहरण के लिए, एन्क्रिप्टेड ट्रैफ़िक के लिए, पैरामीट्रिक एक्सचेंज डेटा (कौन, किसके साथ, कब और कितना) रुचि का हो सकता है, जबकि पेलोड वास्तव में कचरा है जो चैनल और विश्लेषक के कंप्यूटिंग संसाधनों पर कब्जा कर लेता है। विविधता तब संभव है जब किसी दिए गए ऑफ़सेट से शुरू करके पेलोड काट दिया जाता है - यह विश्लेषण उपकरणों के लिए अतिरिक्त गुंजाइश प्रदान करता है;
• detunneling, अर्थात् सुरंगों को नामित और पहचानने वाले शीर्षलेखों को हटाना। लक्ष्य विश्लेषण उपकरणों पर भार कम करना और उनकी दक्षता बढ़ाना है। Detunneling एक निश्चित ऑफ़सेट या डायनेमिक हेडर विश्लेषण और प्रत्येक पैकेट के लिए ऑफ़सेट निर्धारण पर आधारित हो सकता है;
• कुछ पैकेट हेडर हटाना: एमपीएलएस टैग, वीएलएएन, तीसरे पक्ष के उपकरण के विशिष्ट क्षेत्र;
• हेडर के हिस्से को मास्क करना, उदाहरण के लिए, ट्रैफ़िक गुमनामी सुनिश्चित करने के लिए आईपी एड्रेस को मास्क करना;
• पैकेट में सेवा की जानकारी जोड़ना: टाइमस्टैम्प, इनपुट पोर्ट, ट्रैफिक क्लास लेबल आदि।

3. डुप्लीकेशन - विश्लेषण उपकरणों को प्रेषित दोहराए जाने वाले ट्रैफ़िक पैकेटों की सफाई। डुप्लिकेट पैकेट अक्सर बुनियादी ढांचे से जुड़ने की ख़ासियत के कारण होते हैं - ट्रैफ़िक विश्लेषण के कई बिंदुओं से गुज़र सकता है और उनमें से प्रत्येक से प्रतिबिंबित हो सकता है। अधूरे टीसीपी पैकेटों का पुनर्वितरण भी है, लेकिन अगर उनमें से बहुत सारे हैं, तो ये नेटवर्क की गुणवत्ता की निगरानी के लिए अधिक प्रश्न हैं, न कि इसमें सूचना सुरक्षा के लिए।

4. उन्नत फ़िल्टरिंग सुविधाएँ - किसी दिए गए ऑफसेट पर विशिष्ट मूल्यों की खोज से लेकर पूरे पैकेज में हस्ताक्षर विश्लेषण तक।

5. नेटफ्लो/आईपीफिक्स जेनरेशन - ट्रैफ़िक पास करने और विश्लेषण टूल में इसके स्थानांतरण पर विस्तृत आँकड़ों का संग्रह।

6. एसएसएल ट्रैफिक का डिक्रिप्शन, वर्क्स प्रदान करता है कि प्रमाणपत्र और चाबियां पहले नेटवर्क पैकेट ब्रोकर में लोड की जाती हैं। फिर भी, यह आपको विश्लेषण टूल को महत्वपूर्ण रूप से अनलोड करने की अनुमति देता है।

और भी कई कार्य हैं, उपयोगी और विपणन, लेकिन मुख्य, शायद सूचीबद्ध हैं।

उनकी रोकथाम के लिए सिस्टम में डिटेक्शन सिस्टम (घुसपैठ, डीडीओएस हमलों) के विकास के साथ-साथ सक्रिय डीपीआई उपकरणों की शुरूआत के लिए स्विचिंग स्कीम को निष्क्रिय (टीएपी या स्पैन पोर्ट के माध्यम से) से सक्रिय ("ब्रेक में") में बदलाव की आवश्यकता होती है। ). इस परिस्थिति ने विश्वसनीयता के लिए आवश्यकताओं को बढ़ा दिया (क्योंकि इस मामले में विफलता पूरे नेटवर्क के विघटन की ओर ले जाती है, और न केवल सूचना सुरक्षा पर नियंत्रण का नुकसान होता है) और ऑप्टिकल कप्लर्स को ऑप्टिकल बायपास के साथ बदलने के लिए (क्रम में) सिस्टम सूचना सुरक्षा के प्रदर्शन पर नेटवर्क के प्रदर्शन की निर्भरता की समस्या को हल करें), लेकिन इसके लिए मुख्य कार्यक्षमता और आवश्यकताएं समान रहीं।

हमने डीएस इंटीग्रिटी नेटवर्क पैकेट ब्रोकर्स को 100जी, 40जी और 10जी इंटरफेस के साथ डिजाइन और सर्किटरी से लेकर एम्बेडेड सॉफ्टवेयर तक विकसित किया है। इसके अलावा, अन्य पैकेट ब्रोकरों के विपरीत, नेस्टेड टनल हेडर के लिए संशोधन और संतुलन कार्य हमारे हार्डवेयर में पूर्ण पोर्ट गति पर कार्यान्वित किए जाते हैं।

स्रोत: www.habr.com