Sekirite enfòmasyon te separe de telekominikasyon yo nan yon endistri endepandan ak pwòp spesifik li yo ak ekipman pwòp li yo. Men, gen yon klas ti kras li te ye nan aparèy ki kanpe nan junction nan telecom ak infobez - rezo pake koutye (Rezo Pake Koutye), yo tou balanse chaj, switch espesyalize / siveyans, agregatè trafik, platfòm livrezon sekirite, Vizibilite rezo ak sou sa. Epi nou menm, kòm yon pwomotè Ris ak manifakti nan aparèy sa yo, reyèlman vle di ou plis sou yo.
Dimansyon ak travay yo dwe rezoud
Rezo pake koutye yo se aparèy espesyalize ki te jwenn pi gwo itilizasyon nan sistèm sekirite enfòmasyon. Kòm sa yo, klas la aparèy se relativman nouvo ak kèk nan enfrastrikti rezo komen konpare ak switch, routeurs, ak sou sa. Pyonye nan devlopman nan kalite aparèy sa a se te konpayi Ameriken Gigamon. Kounye a, gen siyifikativman plis jwè nan mache sa a (ki gen ladan solisyon ki sanble soti nan manifakti a byen li te ye nan sistèm tès - IXIA), men se sèlman yon sèk etwat nan pwofesyonèl toujou konnen sou egzistans lan nan aparèy sa yo. Jan nou note pi wo a, menm ak tèminoloji a pa gen okenn sètitid klè: non yo varye soti nan "sistèm transparans rezo" a senp "balanse".
Pandan w ap devlope koutye pake rezo a, nou te fè fas ak lefèt ke, anplis analize direksyon pou devlopman fonksyonalite ak tès nan laboratwa / zòn tès yo, li nesesè ansanm eksplike konsomatè potansyèl yo sou egzistans klas ekipman sa a. , paske se pa tout moun ki konnen sou li.
Menm 15-20 ane de sa, te gen ti trafik sou rezo a, epi li te sitou done ki pa enpòtan. Men pratikman repete : Vitès koneksyon entènèt ogmante pa 50% chak ane. Volim trafik la ap grandi tou piti piti (graf la montre previzyon 2017 Cisco, sous Cisco Visual Networking Index: Forecast and Trends, 2017–2022):
Ansanm ak vitès la, enpòtans ki genyen nan sikile enfòmasyon (sa a se tou de yon sekrè komèsyal ak done pèsonèl notwa) ak pèfòmans an jeneral nan enfrastrikti a ap ogmante.
An konsekans, endistri sekirite enfòmasyon an te parèt. Endistri a te reponn a sa a ak yon seri antye de aparèy analiz trafik (DPI), ki soti nan sistèm prevansyon atak DDOS ak sistèm jesyon evènman sekirite enfòmasyon, ki gen ladan IDS, IPS, DLP, NBA, SIEM, Antimailware ak sou sa. Tipikman, chak nan zouti sa yo se lojisyèl ki enstale sou yon platfòm sèvè. Anplis, chak pwogram (zouti analiz) enstale sou pwòp platfòm sèvè li yo: manifaktirè lojisyèl yo diferan, ak anpil resous enfòmatik yo mande pou analiz sou L7.
Lè w ap bati yon sistèm sekirite enfòmasyon, li nesesè pou rezoud yon kantite travay debaz:
- ki jan yo transfere trafik soti nan enfrastrikti nan sistèm analiz? (pò yo SPAN orijinal devlope pou sa a nan enfrastrikti modèn yo pa ase ni nan kantite oswa nan pèfòmans)
- ki jan yo distribye trafik ant diferan sistèm analiz?
- ki jan yo echèl sistèm lè pa gen ase pèfòmans nan yon egzanp nan analizè a pou trete volim nan tout trafik k ap antre nan li?
- ki jan yo kontwole 40G/100G interfaces (ak nan fiti prè tou 200G/400G), depi zouti analiz kounye a sèlman sipòte 1G/10G/25G interfaces?
Ak travay sa yo ki gen rapò:
- ki jan yo minimize trafik apwopriye ki pa bezwen trete, men vin nan zouti yo analiz ak konsome resous yo?
- ki jan yo trete pake ankapsule ak pake ki gen mak sèvis pyès ki nan konpitè, preparasyon an ki pou analiz vire soti yo dwe swa resous-entansif oswa irealizabl nan tout?
- ki jan yo eskli nan analiz la yon pati nan trafik la ki pa reglemante pa politik la sekirite (pa egzanp, trafik nan tèt la).
Kòm tout moun konnen, demann kreye rezèv, an repons a bezwen sa yo, koutye pake rezo yo te kòmanse devlope.
Deskripsyon jeneral nan rezo pake koutye
Koutye pake rezo travay nan nivo pake, ak nan sa a yo sanble ak switch òdinè. Diferans prensipal la soti nan switch se ke règ yo pou distribisyon ak agrégation nan trafik nan koutye pake rezo yo konplètman detèmine pa anviwònman yo. Koutye pake rezo pa gen estanda pou bati tab transmisyon (tablo MAC) ak pwotokòl echanj ak lòt switch (tankou STP), ak Se poutèt sa seri a nan anviwònman posib ak jaden konpreyansib nan yo se pi laj. Yon koutye ka distribye trafik respire soti nan youn oswa plis pò opinyon nan yon seri bay pò pwodiksyon ak yon karakteristik balanse chaj pwodiksyon. Ou ka mete règ pou kopye, filtre, klasifye, deduplication ak modifye trafik. Règ sa yo ka aplike nan diferan gwoup pò opinyon nan koutye a pake rezo, osi byen ke aplike sekans youn apre lòt nan aparèy nan tèt li. Yon avantaj enpòtan nan yon koutye pake se kapasite nan trete trafik nan vitès plen koule ak prezève entegrite nan sesyon yo (nan ka a nan balanse trafik nan plizyè sistèm DPI nan menm kalite a).
Prezève entegrite nan sesyon yo se transfere tout pake yo nan sesyon an nan kouch transpò a (TCP / UDP / SCTP) nan yon sèl pò. Sa a enpòtan paske sistèm DPI (anjeneral lojisyèl kap kouri sou yon sèvè ki konekte ak pò pwodiksyon yon koutye pake) analize kontni trafik la nan nivo aplikasyon an, epi tout pake ki voye/resevwa pa yon aplikasyon dwe rive nan menm egzanp lan. analizeur. Si pake yon sèl sesyon yo pèdi oswa distribye pami diferan aparèy DPI, Lè sa a, chak aparèy DPI endividyèl yo pral nan yon sitiyasyon ki sanble ak li pa yon tèks antye, men mo endividyèl ki soti nan li. Epi, gen plis chans, tèks la pa pral konprann.
Kidonk, yo te konsantre sou sistèm sekirite enfòmasyon, koutye pake rezo gen fonksyonalite ki ede konekte sistèm lojisyèl DPI ak rezo telekominikasyon gwo vitès epi redwi chaj la sou yo: yo pre-filtre, klasifye ak prepare trafik yo senplifye pwosesis ki vin apre.
Anplis de sa, depi koutye pake rezo bay yon pakèt estatistik epi yo souvan konekte nan divès pwen nan rezo a, yo menm tou yo jwenn plas yo nan dyagnostik pwoblèm sante nan enfrastrikti rezo a tèt li.
Fonksyon debaz nan rezo pake koutye
Non "dedye / siveyans switch" yo te soti nan objektif debaz la: kolekte trafik nan enfrastrikti a (anjeneral lè l sèvi avèk pasif tiyo optik TAP ak / oswa pò SPAN) epi distribye li nan mitan zouti analiz. Trafik se reflete (duplike) ant sistèm nan diferan kalite, ak balanse ant sistèm nan menm kalite. Fonksyon debaz yo anjeneral gen ladan filtraj pa jaden jiska L4 (MAC, IP, TCP / UDP pò, elatriye) ak agrégation nan plizyè chanèl alalejè chaje nan yon sèl (pa egzanp, pou pwosesis sou yon sistèm DPI).
Fonksyonalite sa a bay yon solisyon pou travay debaz la - konekte sistèm DPI ak enfrastrikti rezo a. Koutye ki soti nan plizyè manifakti, limite a sa sèlman fonksyonalite debaz, bay pwosesis jiska 32 100G interfaces pou chak 1U (plis interfaces pa anfòm fizikman sou panèl la devan 1U). Sepandan, yo pa pèmèt diminye chaj la sou zouti analiz, epi pou yon enfrastrikti konplèks yo pa menm pa ka bay kondisyon yo pou yon fonksyon debaz: yon sesyon distribye sou plizyè tinèl (oswa ekipe ak tags MPLS) ka dezekilib pou diferan ka yo. analizeur ak jeneralman tonbe soti nan analiz la.
Anplis ajoute koòdone 40/100G epi, kòm yon rezilta, amelyore pèfòmans, koutye pake rezo yo ap devlope aktivman an tèm de bay karakteristik fondamantalman nouvo: soti nan balanse sou tèt tinèl enbrike nan dechifre trafik. Malerezman, modèl sa yo pa ka fè grandizè pèfòmans nan terabit, men yo fè li posib yo bati yon sistèm sekirite enfòmasyon vrèman bon jan kalite ak teknikman "bèl" nan ki chak zouti analiz garanti yo resevwa sèlman enfòmasyon li bezwen nan fòm ki pi apwopriye. pou analiz.
Fonksyon avanse nan koutye pake rezo
1. Mansyone pi wo a enbrike header balanse nan trafik tinèl.
Poukisa li enpòtan? Konsidere 3 aspè ki ka kritik ansanm oswa separeman:
- asire balans inifòm nan prezans yon ti kantite tinèl. Nan evènman an ke gen sèlman 2 tinèl nan pwen an nan koneksyon nan sistèm sekirite enfòmasyon, Lè sa a, li pa pral posib yo dezekilib yo pa headers ekstèn sou tribin sèvè 3 pandan y ap kenbe sesyon an. An menm tan an, trafik nan rezo a transmèt yon fason inegal, ak direksyon chak tinèl nan yon etablisman pwosesis separe pral mande pou pèfòmans twòp nan lèt la;
- asire entegrite nan sesyon yo ak kouran nan pwotokòl multisession (pa egzanp, FTP ak VoIP), pake yo ki te fini nan tinèl diferan. Konpleksite nan enfrastrikti rezo a toujou ap ogmante: redondance, Virtualization, senplifikasyon nan administrasyon, ak sou sa. Sou yon bò, sa a ogmante fyab la an tèm de transmisyon done, nan lòt men an, li konplike travay la nan sistèm sekirite enfòmasyon. Menm ak pèfòmans ase nan analizeur yo trete yon chanèl dedye ak tinèl, pwoblèm nan vire soti yo pa ka rezoud, depi kèk nan pake sesyon itilizatè yo transmèt sou yon lòt chanèl. Anplis, si yo toujou eseye pran swen entegrite nan sesyon yo nan kèk enfrastrikti, Lè sa a, pwotokòl multisession ka ale konplètman diferan fason;
- balanse nan prezans MPLS, VLAN, tags ekipman endividyèl, elatriye. Pa reyèlman tinèl, men kanmenm, ekipman ak fonksyonalite debaz ka konprann trafik sa a pa kòm IP ak balans pa adrès MAC, yon lòt fwa ankò vyole inifòmite nan balanse oswa sesyon entegrite.
Koutye pake rezo a analize tèt ekstèn yo epi sekans swiv endikasyon yo jiska header IP nich la ak balans deja sou li. Kòm yon rezilta, gen siyifikativman plis kouran (respektivman, li ka dezekilib plis respire ak sou yon pi gwo kantite platfòm), ak sistèm DPI a resevwa tout pake sesyon ak tout sesyon ki asosye nan pwotokòl multisession.
2. Modifikasyon trafik.
Youn nan fonksyon ki pi laj an tèm de kapasite li yo, kantite subfonksyon ak opsyon pou itilize yo gen anpil:
- retire payload, nan ka sa a sèlman en-tête pake yo pase nan analizeur la. Sa a enpòtan pou zouti analiz oswa pou kalite trafik kote sa ki nan pake yo swa pa jwe yon wòl oswa yo pa kapab analize. Pou egzanp, pou trafik chiffres, done echanj parametrik (ki moun, ak ki moun, ki lè, ak konbyen) ka nan enterè, pandan y ap payload se aktyèlman fatra ki okipe kanal la ak resous enfòmatik nan analizè a. Varyasyon yo posib lè chaj la koupe kòmanse nan yon konpanse bay - sa a bay plis dimansyon pou zouti analiz;
- detunnel, sètadi retire tèt ki deziyen ak idantifye tinèl. Objektif la se diminye chaj la sou zouti analiz ak ogmante efikasite yo. Detunnel ka baze sou yon analiz fiks oswa yon analiz header dinamik ak detèminasyon konpanse pou chak pake;
- retire kèk headers pake: Tags MPLS, VLAN, jaden espesifik nan ekipman twazyèm pati;
- maske yon pati nan tèt yo, pou egzanp, mask adrès IP asire anonimizasyon trafik;
- ajoute enfòmasyon sèvis nan pake a: timestamps, pò opinyon, etikèt klas trafik, elatriye.
3. Deduplication – netwayaj pakè trafik repetitif transmèt nan zouti analiz. Pake kopi pi souvan rive akòz sengularite yo nan konekte nan enfrastrikti a - trafik ka pase nan plizyè pwen nan analiz epi yo dwe reflete nan chak nan yo. Genyen tou yon renvoi de pake TCP enkonplè, men si gen anpil nan yo, Lè sa a, sa yo se plis kesyon pou kontwole bon jan kalite a nan rezo a, epi yo pa pou sekirite enfòmasyon nan li.
4. Filtrage avanse fonctionnalités - soti nan rechèch pou valè espesifik nan yon konpanse bay analiz siyati nan tout pake a.
5. NetFlow/IPFIX jenerasyon – koleksyon yon pakèt estatistik sou trafik pase ak transfè li nan zouti analiz.
6. Dekripte trafik SSL, travay depi ke sètifika a ak kle yo premye chaje nan koutye a pake rezo. Men, sa a pèmèt ou siyifikativman dechaje zouti analiz yo.
Gen anpil plis fonksyon, itil ak maketing, men prensipal yo, petèt, yo nan lis la.
Devlopman nan sistèm deteksyon (entrizyon, atak DDOS) nan sistèm pou prevansyon yo, osi byen ke entwodiksyon de zouti DPI aktif, te mande yon chanjman nan konplo a chanje soti nan pasif (atravè pò TAP oswa SPAN) nan aktif ("nan kraze" ). Sikonstans sa a ogmante kondisyon yo pou fyab (paske yon echèk nan ka sa a mennen nan yon dezòd nan rezo a tout antye, epi yo pa sèlman nan yon pèt kontwòl sou sekirite enfòmasyon) ak mennen nan ranplasman nan koupleur optik ak kontourne optik (yo nan lòd yo rezoud pwoblèm nan nan depandans nan pèfòmans rezo a sou pèfòmans nan sekirite enfòmasyon sistèm), men fonksyonalite prensipal la ak kondisyon pou li rete menm jan an.
Nou te devlope DS Integrity Network Packet Brokers ak 100G, 40G ak 10G interfaces soti nan konsepsyon ak sikwi ak lojisyèl entegre. Anplis, kontrèman ak lòt koutye pake, modifikasyon ak fonksyon balanse pou headers tinèl enbrike yo aplike nan pyès ki nan konpitè nou an, nan vitès pò plen.
Sous: www.habr.com