ProHoster > Blog > uprava > Suvremena rješenja za izgradnju sustava informacijske sigurnosti - mrežni paket brokeri (Network Packet Broker)

Suvremena rješenja za izgradnju sustava informacijske sigurnosti - mrežni paket brokeri (Network Packet Broker)

Informacijska sigurnost odvojila se od telekomunikacija u samostalnu industriju sa svojim specifičnostima i vlastitom opremom. Ali postoji malo poznata klasa uređaja koja stoji na spoju telekoma i infobeza - brokeri mrežnih paketa (Network Packet Broker), oni su također balanseri opterećenja, specijalizirani/nadzorni preklopnici, agregatori prometa, sigurnosna platforma za dostavu, mrežna vidljivost i tako dalje. A mi, kao ruski programer i proizvođač takvih uređaja, stvarno vam želimo reći više o njima.

Suvremena rješenja za izgradnju sustava informacijske sigurnosti - mrežni paket brokeri (Network Packet Broker)

Opseg i zadaci koje treba riješiti

Mrežni paket brokeri su specijalizirani uređaji koji su najveću primjenu našli u sustavima informacijske sigurnosti. Kao takva, klasa uređaja relativno je nova i malobrojna u zajedničkoj mrežnoj infrastrukturi u usporedbi s preklopnicima, usmjerivačima i tako dalje. Pionir u razvoju ove vrste uređaja bila je američka tvrtka Gigamon. Trenutačno je na ovom tržištu znatno više igrača (uključujući i slična rješenja poznatog proizvođača ispitnih sustava - IXIA), no za postojanje ovakvih uređaja još uvijek zna samo uski krug stručnjaka. Kao što je gore navedeno, čak ni s terminologijom nema nedvosmislene sigurnosti: nazivi se kreću od "sustava transparentnosti mreže" do jednostavnih "balansera".

Pri razvoju mrežnih paket brokera suočili smo se s činjenicom da je, osim analize pravaca razvoja funkcionalnosti i testiranja u laboratorijima/testnim zonama, potrebno potencijalnim potrošačima istovremeno objasniti postojanje ove klase opreme. , budući da ne znaju svi za to.

Još prije 15-20 godina na mreži je bilo malo prometa, a radilo se uglavnom o nevažnim podacima. Ali Nielsenov zakon praktički ponavlja Mooreov zakon: Brzina internetske veze povećava se za 50% godišnje. Volumen prometa također stalno raste (graf prikazuje prognozu za 2017. od Cisca, izvor Cisco Visual Networking Index: Prognoza i trendovi, 2017. – 2022.):

Suvremena rješenja za izgradnju sustava informacijske sigurnosti - mrežni paket brokeri (Network Packet Broker)
Zajedno s brzinom, raste važnost cirkuliranja informacija (ovo je i poslovna tajna i notorni osobni podaci) i ukupne performanse infrastrukture.

Sukladno tome, pojavila se industrija informacijske sigurnosti. Industrija je na to odgovorila s čitavim nizom uređaja za analizu prometa (DPI), od sustava za prevenciju DDOS napada do sustava za upravljanje događajima u informacijskoj sigurnosti, uključujući IDS, IPS, DLP, NBA, SIEM, Antimailware i tako dalje. Tipično, svaki od ovih alata je softver koji je instaliran na poslužiteljskoj platformi. Štoviše, svaki program (alat za analizu) instaliran je na vlastitu poslužiteljsku platformu: proizvođači softvera su različiti, a za analizu na L7 potrebno je mnogo računalnih resursa.

Prilikom izgradnje sustava informacijske sigurnosti potrebno je riješiti niz osnovnih zadataka:

  • kako prenijeti promet s infrastrukture na sustave analize? (SPAN priključci izvorno razvijeni za to u modernoj infrastrukturi nisu dovoljni ni u količini ni u izvedbi)
  • kako distribuirati promet između različitih sustava za analizu?
  • kako skalirati sustave kada nema dovoljno performansi jedne instance analizatora za obradu cijelog volumena prometa koji ulazi u njega?
  • kako nadzirati 40G/100G sučelja (au bliskoj budućnosti i 200G/400G), budući da alati za analizu trenutno podržavaju samo 1G/10G/25G sučelja?

I sljedeći povezani zadaci:

  • kako minimizirati neprikladni promet koji ne treba obraditi, ali dolazi do alata za analizu i troši njihove resurse?
  • kako postupati s enkapsuliranim paketima i paketima s hardverskim servisnim oznakama čija se priprema za analizu pokaže ili zahtjevnom ili uopće neizvodljivom?
  • kako iz analize isključiti dio prometa koji nije reguliran sigurnosnom politikom (npr. promet glave).

Suvremena rješenja za izgradnju sustava informacijske sigurnosti - mrežni paket brokeri (Network Packet Broker)
Kao što svi znaju, potražnja stvara ponudu, kao odgovor na te potrebe počeli su se razvijati brokeri mrežnih paketa.

Opći opis brokera mrežnih paketa

Mrežni paket brokeri rade na razini paketa i po tome su slični običnim preklopnicima. Glavna razlika u odnosu na preklopnike je u tome što su pravila za distribuciju i agregaciju prometa u brokerima mrežnih paketa u potpunosti određena postavkama. Mrežni paket brokeri nemaju standarde za izgradnju tablica prosljeđivanja (MAC tablica) i protokola za razmjenu s drugim preklopnicima (kao što je STP), pa je stoga raspon mogućih postavki i razumljivih polja u njima znatno širi. Broker može ravnomjerno distribuirati promet s jednog ili više ulaznih priključaka na zadani raspon izlaznih priključaka sa značajkom balansiranja izlaznog opterećenja. Možete postaviti pravila za kopiranje, filtriranje, klasificiranje, dedupliciranje i modificiranje prometa. Ova se pravila mogu primijeniti na različite skupine ulaznih portova brokera mrežnih paketa, kao i primijeniti sekvencijalno jedno za drugim u samom uređaju. Važna prednost paket brokera je mogućnost obrade prometa punom brzinom protoka i očuvanja integriteta sesija (u slučaju balansiranja prometa na nekoliko DPI sustava iste vrste).

Očuvanje integriteta sesija je prijenos svih paketa sesije transportnog sloja (TCP / UDP / SCTP) na jedan port. Ovo je važno jer DPI sustavi (obično softver koji radi na poslužitelju spojenom na izlazni port brokera paketa) analiziraju sadržaj prometa na razini aplikacije, a svi paketi koje šalje/primi jedna aplikacija moraju stići na istu instancu analizator . Ako su paketi jedne sesije izgubljeni ili raspoređeni između različitih DPI uređaja, tada će svaki pojedinačni DPI uređaj biti u situaciji koja je analogna čitanju ne cijelog teksta, već pojedinačnih riječi iz njega. I, najvjerojatnije, tekst neće razumjeti.

Stoga, budući da su usredotočeni na sustave informacijske sigurnosti, brokeri mrežnih paketa imaju funkcionalnost koja pomaže u povezivanju DPI softverskih sustava s brzim telekomunikacijskim mrežama i smanjenju opterećenja na njima: oni unaprijed filtriraju, klasificiraju i pripremaju promet kako bi pojednostavili kasniju obradu.

Osim toga, budući da brokeri mrežnih paketa pružaju širok raspon statistika i često su povezani s različitim točkama u mreži, oni također nalaze svoje mjesto u dijagnosticiranju zdravstvenih problema same mrežne infrastrukture.

Osnovne funkcije brokera mrežnih paketa

Naziv "dedicated/monitoring switches" proizašao je iz osnovne svrhe: prikupljanje prometa iz infrastrukture (obično korištenjem pasivnih optičkih TAP priključaka i/ili SPAN priključaka) i njegova distribucija između alata za analizu. Promet se zrcali (duplicira) između sustava različitih tipova i balansira između sustava istog tipa. Osnovne funkcije obično uključuju filtriranje po poljima do L4 (MAC, IP, TCP/UDP port, itd.) i agregaciju nekoliko malo opterećenih kanala u jedan (npr. za obradu na jednom DPI sustavu).

Ova funkcionalnost pruža rješenje osnovnog zadatka - povezivanje DPI sustava s mrežnom infrastrukturom. Brokeri raznih proizvođača, ograničeni na osnovnu funkcionalnost, pružaju obradu do 32 100G sučelja po 1U (više sučelja fizički ne stane na 1U prednju ploču). Međutim, oni ne dopuštaju smanjenje opterećenja alata za analizu, a za složenu infrastrukturu ne mogu čak ni osigurati zahtjeve za osnovnu funkciju: sesija raspoređena u nekoliko tunela (ili opremljena MPLS oznakama) može biti neuravnotežena za različite instance analizator i općenito ispadaju iz analize.

Uz dodavanje 40/100G sučelja i, kao rezultat toga, poboljšanje performansi, brokeri mrežnih paketa aktivno se razvijaju u smislu pružanja fundamentalno novih značajki: od balansiranja na ugniježđenim zaglavljima tunela do dešifriranja prometa. Nažalost, takvi se modeli ne mogu pohvaliti performansama u terabitima, ali omogućuju izgradnju stvarno kvalitetnog i tehnički "lijepog" sustava informacijske sigurnosti u kojem će svaki alat za analizu zajamčeno primati samo one informacije koje su mu potrebne u obliku koji mu najviše odgovara. za analizu.

Napredne funkcije brokera mrežnih paketa

Suvremena rješenja za izgradnju sustava informacijske sigurnosti - mrežni paket brokeri (Network Packet Broker)
1. Spomenuto gore uravnoteženje ugniježđenog zaglavlja u tuneliranom prometu.

Zašto je to važno? Razmotrite 3 aspekta koji mogu biti kritični zajedno ili odvojeno:

  • osiguranje ravnomjernog balansiranja u prisustvu malog broja tunela. U slučaju da postoje samo 2 tunela na mjestu spajanja sustava informacijske sigurnosti, tada ih neće biti moguće debalansirati vanjskim zaglavljima na 3 poslužiteljske platforme uz održavanje sesije. Istodobno, promet u mreži prenosi se neravnomjerno, a smjer svakog tunela prema zasebnom objektu za obradu zahtijevat će pretjeranu izvedbu potonjeg;
  • osiguravanje cjelovitosti sesija i tokova višesesijskih protokola (primjerice, FTP i VoIP), čiji su paketi završili u različitim tunelima. Složenost mrežne infrastrukture stalno raste: redundancija, virtualizacija, pojednostavljenje administracije i tako dalje. S jedne strane, to povećava pouzdanost u smislu prijenosa podataka, s druge strane, komplicira rad sustava informacijske sigurnosti. Čak i uz dovoljnu izvedbu analizatora za obradu namjenskog kanala s tunelima, ispada da je problem nerješiv, budući da se neki paketi korisničkih sesija prenose preko drugog kanala. Štoviše, ako se i dalje pokušavaju pobrinuti za integritet sesija u nekim infrastrukturama, onda protokoli za više sesija mogu ići potpuno drugačijim putem;
  • balansiranje u prisutnosti MPLS-a, VLAN-a, pojedinačnih oznaka opreme itd. Ne baš tuneli, ali svejedno, oprema s osnovnom funkcionalnošću može razumjeti ovaj promet ne kao IP i ravnotežu po MAC adresama, ponovno narušavajući uniformnost balansiranja ili integritet sesije.

Broker mrežnih paketa raščlanjuje vanjska zaglavlja i uzastopno prati pokazivače do ugniježđenog IP zaglavlja i balansira već na njemu. Kao rezultat toga, postoji znatno više streamova (odnosno, može se ravnomjernije neuravnotežiti i na većem broju platformi), a DPI sustav prima sve pakete sesija i sve pridružene sesije multisession protokola.

2. Promjena prometa.
Jedna od najširih funkcija u pogledu svojih mogućnosti, broj podfunkcija i opcija za njihovu upotrebu je mnogo:

  • uklanjanje korisnog tereta, u kojem se slučaju parseru prosljeđuju samo zaglavlja paketa. Ovo je relevantno za alate za analizu ili za vrste prometa u kojima sadržaj paketa ili ne igra ulogu ili se ne može analizirati. Na primjer, za šifrirani promet mogu biti interesantni parametarski podaci o razmjeni (tko, s kim, kada i koliko), dok je payload zapravo smeće koje zauzima kanal i računalne resurse analizatora. Varijacije su moguće kada se korisni teret odsiječe počevši od zadanog pomaka - to daje dodatni prostor za alate za analizu;
  • detuneliranje, odnosno uklanjanje zaglavlja koja označavaju i identificiraju tunele. Cilj je smanjiti opterećenje alata za analizu i povećati njihovu učinkovitost. Detuneliranje se može temeljiti na fiksnom pomaku ili s dinamičkom analizom zaglavlja i određivanjem pomaka na bazi po paketu;
  • uklanjanje nekih zaglavlja paketa: MPLS oznake, VLAN, određena polja opreme treće strane;
  • maskiranje dijela zaglavlja, na primjer, maskiranje IP adresa kako bi se osigurala anonimizacija prometa;
  • dodavanje servisnih informacija u paket: vremenske oznake, ulazni port, oznake klase prometa itd.

3. Deduplikacija – čišćenje ponavljajućih paketa prometa koji se prenose alatima za analizu. Dvostruki paketi najčešće se javljaju zbog osobitosti povezivanja s infrastrukturom - promet može proći kroz nekoliko točaka analize i zrcaliti se iz svake od njih. Postoji i ponovno slanje nepotpunih TCP paketa, ali ako ih je puno, onda su to više pitanja za nadzor kvalitete mreže, a ne za informacijsku sigurnost u njoj.

4. Napredne značajke filtriranja – od traženja specifičnih vrijednosti na danom pomaku do analize potpisa u cijelom paketu.

5. NetFlow/IPFIX generacija – prikupljanje širokog raspona statistika o prometu u prolazu i njihov prijenos u alate za analizu.

6. Dešifriranje SSL prometa, radi pod uvjetom da se certifikat i ključevi prvo učitaju u broker mrežnih paketa. Ipak, to vam omogućuje da značajno rasteretite alate za analizu.

Postoji mnogo više funkcija, korisnih i marketinških, ali glavne su možda navedene.

Razvoj sustava detekcije (upada, DDOS napada) u sustave za njihovu prevenciju, kao i uvođenje aktivnih DPI alata, zahtijevali su promjenu sheme prebacivanja iz pasivne (preko TAP ili SPAN portova) u aktivnu (“u pauzi”). ). Ova okolnost povećala je zahtjeve za pouzdanošću (jer kvar u ovom slučaju dovodi do poremećaja cijele mreže, a ne samo do gubitka kontrole nad informacijskom sigurnošću) i dovela je do zamjene optičkih spojnica optičkim premosnicama (kako bi se riješiti problem ovisnosti performansi mreže o performansama informacijske sigurnosti sustava), ali glavna funkcionalnost i zahtjevi za nju ostali su isti.

Razvili smo DS Integrity Network Packet Brokers sa 100G, 40G i 10G sučeljima od dizajna i sklopova do ugrađenog softvera. Štoviše, za razliku od drugih brokera paketa, funkcije modifikacije i balansiranja za ugniježđena zaglavlja tunela implementirane su u naš hardver, pri punoj brzini priključka.

Suvremena rješenja za izgradnju sustava informacijske sigurnosti - mrežni paket brokeri (Network Packet Broker)

Izvor: www.habr.com

Dodajte komentar