Az információbiztonság a telekommunikációtól független iparággá vált, saját sajátosságokkal és saját berendezéssel. De van egy kevéssé ismert eszközosztály, amely a távközlés és az infobez találkozásánál áll - hálózati csomagközvetítők (Network Packet Broker), ezek terheléselosztók, speciális / megfigyelő kapcsolók, forgalom aggregátorok, biztonsági kézbesítési platform, hálózati láthatóság és így tovább. És mi, mint az ilyen eszközök orosz fejlesztője és gyártója, szeretnénk többet mondani róluk.
Terjedelem és megoldandó feladatok
A hálózati csomagközvetítők olyan speciális eszközök, amelyek az információbiztonsági rendszerekben találták a legnagyobb felhasználást. Mint ilyen, az eszközosztály viszonylag új, és kevés a közös hálózati infrastruktúrában a kapcsolókhoz, útválasztókhoz és így tovább. Az ilyen típusú készülékek fejlesztésének úttörője az amerikai Gigamon cég volt. Jelenleg lényegesen több szereplő van ezen a piacon (köztük a tesztrendszereket jól ismert gyártó - IXIA - hasonló megoldásai), de még mindig csak a szakemberek szűk köre tud ilyen eszközök létezéséről. Amint azt fentebb megjegyeztük, még a terminológia ellenére sincs egyértelmű bizonyosság: a nevek a "hálózati átláthatósági rendszerektől" az egyszerű "kiegyensúlyozókig" terjednek.
A hálózati csomagközvetítők fejlesztése során szembesültünk azzal a ténnyel, hogy a funkcionalitás fejlesztési irányok elemzése és a laboratóriumi/tesztzónák tesztelése mellett egyidejűleg el kell magyarázni a potenciális fogyasztóknak az ilyen típusú berendezések létezését. , hiszen nem mindenki tud róla.
Még 15-20 évvel ezelőtt is kevés volt a forgalom a hálózaton, és ez többnyire lényegtelen adat volt. De gyakorlatilag ismétlődik : Az internetkapcsolat sebessége évente 50%-kal nő. A forgalom mennyisége is folyamatosan növekszik (a grafikon a Cisco 2017-es előrejelzését mutatja, forrás: Cisco Visual Networking Index: Forecast and Trends, 2017–2022):
A gyorsaság mellett az információáramlás jelentősége (ez egyrészt üzleti titok, másrészt hírhedt személyes adat) és az infrastruktúra általános teljesítménye növekszik.
Ennek megfelelően kialakult az információbiztonsági ipar. Az iparág erre a forgalomelemző (DPI) eszközök egész sorával válaszolt, a DDOS támadásmegelőzési rendszerektől az információbiztonsági eseménykezelő rendszerekig, beleértve az IDS-t, IPS-t, DLP-t, NBA-t, SIEM-et, Antimailware-t és így tovább. Általában ezen eszközök mindegyike egy szerverplatformra telepített szoftver. Sőt, minden program (elemző eszköz) a saját szerverplatformjára van telepítve: a szoftvergyártók különbözőek, és az L7-es elemzéshez sok számítási erőforrásra van szükség.
Az információbiztonsági rendszer felépítése során számos alapvető feladatot kell megoldani:
- hogyan lehet átvinni a forgalmat az infrastruktúráról az elemző rendszerekre? (az eredetileg erre kifejlesztett SPAN portok a modern infrastruktúrában sem mennyiségben, sem teljesítményben nem elegendőek)
- hogyan lehet elosztani a forgalmat a különböző elemző rendszerek között?
- hogyan lehet méretezni a rendszereket, ha az elemző egy példányának nincs elegendő teljesítménye a belépő forgalom teljes mennyiségének feldolgozásához?
- hogyan kell figyelni a 40G/100G interfészt (és a közeljövőben a 200G/400G-t is), mivel az elemző eszközök jelenleg csak az 1G/10G/25G interfészt támogatják?
És a következő kapcsolódó feladatok:
- hogyan lehet minimalizálni a nem megfelelő forgalmat, amelyet nem kell feldolgozni, de eljut az elemző eszközökhöz és felemészti azok erőforrásait?
- hogyan lehet feldolgozni a tokozott és hardveres szolgáltatásjelzéssel ellátott csomagokat, amelyek elemzésre való előkészítése vagy erőforrásigényes, vagy egyáltalán nem megvalósítható?
- hogyan lehet kizárni az elemzésből a forgalom azon részét, amelyet a biztonsági politika nem szabályoz (például a fej forgalma).
Mint mindenki tudja, a kereslet kínálatot teremt, ezekre az igényekre válaszul a hálózati csomagközvetítők fejlődésnek indultak.
A hálózati csomagközvetítők általános leírása
A hálózati csomagközvetítők csomagszinten működnek, és ebben hasonlítanak a hagyományos kapcsolókhoz. A fő különbség a kapcsolókhoz képest az, hogy a hálózati csomagközvetítőkben a forgalom elosztásának és összesítésének szabályait teljes mértékben a beállítások határozzák meg. A hálózati csomagközvetítők nem rendelkeznek szabványokkal a továbbítási táblák (MAC táblák) felépítésére és a protokollok cseréjére más kapcsolókkal (például STP), ezért a bennük lévő lehetséges beállítások és érthető mezők köre sokkal szélesebb. Egy közvetítő egyenletesen oszthatja el a forgalmat egy vagy több bemeneti portról a kimeneti portok adott tartományára egy kimeneti terheléselosztási funkcióval. Szabályokat állíthat be a forgalom másolására, szűrésére, osztályozására, duplikálásának megszüntetésére és módosítására. Ezeket a szabályokat a hálózati csomagközvetítő bemeneti portjainak különböző csoportjaira lehet alkalmazni, valamint egymás után, magában az eszközben is. A csomagközvetítő fontos előnye, hogy képes a forgalmat teljes áramlási sebességgel feldolgozni és megőrizni a munkamenetek integritását (ha a forgalmat több azonos típusú DPI rendszerre osztják ki).
A munkamenetek integritásának megőrzése az, hogy a szállítási réteg (TCP / UDP / SCTP) munkamenetének összes csomagját egy portra továbbítsák. Ez azért fontos, mert a DPI-rendszerek (általában egy csomagközvetítő kimeneti portjához csatlakoztatott szerveren futó szoftverek) az alkalmazás szintjén elemzik a forgalom tartalmát, és az egy alkalmazás által küldött/fogadott összes csomagnak ugyanahhoz a példányához kell érkeznie. elemző . Ha egy munkamenet csomagjai elvesznek vagy szétoszlanak a különböző DPI-eszközök között, akkor minden egyes DPI-eszköz olyan helyzetbe kerül, mintha nem egy teljes szöveget, hanem egyes szavakat olvasna ki belőle. És valószínűleg a szöveg nem érthető.
Így az információbiztonsági rendszerekre összpontosítva a hálózati csomagközvetítők olyan funkcionalitással rendelkeznek, amely segíti a DPI szoftverrendszereket a nagy sebességű távközlési hálózatokhoz csatlakoztatni és csökkenteni a rájuk nehezedő terhelést: előszűrik, osztályozzák és előkészítik a forgalmat a későbbi feldolgozás egyszerűsítése érdekében.
Ezen túlmenően, mivel a hálózati csomagközvetítők a statisztikák széles skáláját nyújtják, és gyakran a hálózat különböző pontjaihoz kapcsolódnak, megtalálják a helyüket magának a hálózati infrastruktúrának az egészségügyi problémáinak diagnosztizálásában is.
A hálózati csomagközvetítők alapvető funkciói
A "dedikált/figyelő kapcsolók" elnevezés az alapvető célból származik: az infrastruktúra forgalmának összegyűjtése (általában passzív optikai TAP leágazások és/vagy SPAN portok segítségével) és elosztása az elemző eszközök között. A forgalom tükröződik (duplikálódik) a különböző típusú rendszerek között, és egyensúlyban van az azonos típusú rendszerek között. Az alapfunkciók általában tartalmazzák a mezők szerinti szűrést L4-ig (MAC, IP, TCP / UDP port stb.) és több enyhén terhelt csatorna egybegyűjtését (például egy DPI rendszeren történő feldolgozáshoz).
Ez a funkcionalitás megoldást nyújt az alapvető feladatra - a DPI-rendszerek hálózati infrastruktúrához való csatlakoztatására. A különféle gyártóktól származó brókerek, az alapfunkciókra korlátozva, akár 32 100G interfész feldolgozását biztosítják 1U-nként (több interfész fizikailag nem fér el az 1U előlapon). Nem teszik lehetővé azonban az elemzőeszközök terhelésének csökkentését, és egy összetett infrastruktúra esetében még egy alapfunkció követelményeit sem tudják biztosítani: a több alagútra elosztott (vagy MPLS címkékkel ellátott) munkamenet kiegyensúlyozatlan lehet a különböző példányok számára. és általában kiesik az elemzésből.
A 40/100G interfészek hozzáadásával és ennek eredményeként a teljesítmény javításával a hálózati csomagközvetítők aktívan fejlődnek, és alapvetően új funkciókat kínálnak: a beágyazott alagútfejléceken való egyensúlyozástól a forgalom dekódolásáig. Sajnos az ilyen modellek nem büszkélkedhetnek terabites teljesítménnyel, de lehetővé teszik egy igazán minőségi és technikailag „szép” információbiztonsági rendszer felépítését, amelyben minden elemzőeszköz garantáltan csak a számára szükséges információkat kapja meg a legmegfelelőbb formában. elemzéshez.
A hálózati csomagközvetítők fejlett funkciói
1. Fent emlitett beágyazott fejléc kiegyensúlyozása alagútban.
Miért fontos? Tekintsünk három szempontot, amelyek együtt vagy külön-külön is kritikusak lehetnek:
- egyenletes egyensúlyozás biztosítása kis számú alagutak jelenlétében. Abban az esetben, ha az információbiztonsági rendszerek csatlakozási pontján csak 2 alagút található, akkor a munkamenet fenntartása mellett 3 szerverplatformon nem lehet ezeket külső fejlécekkel kiegyenlíteni. Ugyanakkor a hálózat forgalmát egyenetlenül továbbítják, és az egyes alagutak iránya egy külön feldolgozó létesítmény felé az utóbbi túlzott teljesítményét követeli meg;
- a többmenetes protokollok (például FTP és VoIP) munkameneteinek és adatfolyamainak integritásának biztosítása, amelyek csomagjai különböző alagutakba kerültek. A hálózati infrastruktúra összetettsége folyamatosan növekszik: redundancia, virtualizáció, az adminisztráció egyszerűsítése stb. Ez egyrészt növeli az adatátviteli megbízhatóságot, másrészt megnehezíti az információbiztonsági rendszerek munkáját. A probléma még akkor is megoldhatatlannak bizonyul, ha az analizátorok elegendő teljesítményt nyújtanak egy dedikált csatorna alagutakkal történő feldolgozásához, mivel a felhasználói munkamenet-csomagok egy része egy másik csatornán keresztül kerül továbbításra. Sőt, ha egyes infrastruktúrákban továbbra is megpróbálnak gondoskodni a munkamenetek integritásáról, akkor a többmenetes protokollok egészen más utakon járhatnak;
- kiegyensúlyozás MPLS, VLAN, egyedi berendezéscímkék stb. jelenlétében. Nem igazán alagutak, de ennek ellenére az alapfunkciókkal rendelkező berendezések ezt a forgalmat nem IP-ként és MAC-címek egyensúlyként tudják felfogni, ami ismét megsérti a kiegyenlítés vagy a munkamenet integritásának egységességét.
A hálózati csomagközvetítő elemzi a külső fejléceket, és sorban követi a mutatókat a beágyazott IP-fejlécig, és már azon egyensúlyoz. Emiatt lényegesen több a stream (illetve egyenletesebben és több platformon is kiegyensúlyozható), a DPI rendszer megkapja az összes munkamenet-csomagot és a többmenetes protokollok összes kapcsolódó szekcióját.
2. Forgalommódosítás.
Lehetőségeit tekintve az egyik legszélesebb funkció, az alfunkciók száma és felhasználási lehetőségei sokak:
- a hasznos terhelés eltávolítása, ebben az esetben csak a csomagfejlécek kerülnek átadásra az elemzőnek. Ez olyan elemző eszközökre vagy forgalomtípusokra vonatkozik, amelyekben a csomagok tartalma vagy nem játszik szerepet, vagy nem elemezhető. Például a titkosított forgalom esetében érdekes lehet a parametrikus adatcsere (ki, kivel, mikor és mennyit), míg a hasznos teher valójában szemét, amely az analizátor csatornáját és számítási erőforrásait foglalja el. Változások lehetségesek, ha a hasznos terhet egy adott eltolástól kezdve levágják - ez további teret biztosít az elemzési eszközök számára;
- alagúttalanítás, nevezetesen az alagutakat kijelölő és azonosító fejlécek eltávolítása. A cél az elemző eszközök terhelésének csökkentése és hatékonyságuk növelése. Az alagútbontás alapozható egy rögzített eltoláson vagy dinamikus fejléc elemzésen és eltolás meghatározásán minden egyes csomag esetében;
- egyes csomagfejlécek eltávolítása: MPLS címkék, VLAN, harmadik féltől származó berendezések meghatározott mezői;
- a fejlécek egy részének maszkolása, például az IP-címek maszkolása a forgalom anonimizálása érdekében;
- szolgáltatási információk hozzáadása a csomaghoz: időbélyegek, bemeneti port, forgalmi osztályok címkéi stb.
3. Deduplikáció – az elemző eszközökhöz továbbított ismétlődő forgalmi csomagok tisztítása. A duplikált csomagok leggyakrabban az infrastruktúrához való csatlakozás sajátosságai miatt fordulnak elő - a forgalom több elemzési ponton haladhat át, és mindegyikről tükröződik. Hiányos TCP csomagok újraküldése is előfordul, de ha sok van belőlük, akkor ezek inkább a hálózat minőségének figyelésére vonatkoznak, és nem az információbiztonságra.
4. Speciális szűrési funkciók – a konkrét értékek keresésétől egy adott eltolásnál az aláírás elemzéséig a teljes csomagban.
5. NetFlow/IPFIX generálás – az áthaladó forgalomra vonatkozó statisztikák széles körének gyűjtése és annak elemzési eszközökbe történő átvitele.
6. Az SSL forgalom visszafejtése, akkor működik, ha a tanúsítványt és a kulcsokat először betöltik a hálózati csomagközvetítőbe. Ennek ellenére ez lehetővé teszi az elemző eszközök jelentős kiürítését.
Sokkal több funkció van, hasznos és marketing, de a főbbek talán felsorolva vannak.
Az észlelő rendszerek (behatolások, DDOS támadások) rendszerekké történő fejlesztése ezek megelőzésére, valamint az aktív DPI-eszközök bevezetése megkívánta a kapcsolási sémának a passzívról (TAP vagy SPAN porton keresztül) az aktív („szakadásban”) átállítását. ). Ez a körülmény megnövelte a megbízhatósággal szemben támasztott követelményeket (mert egy meghibásodás ebben az esetben a teljes hálózat megszakadásához vezet, és nem csak az információbiztonság feletti kontroll elvesztéséhez), és az optikai csatolók optikai bypassokra cseréjéhez vezetett (a megoldani a hálózat teljesítményének a rendszerek információbiztonsági teljesítményétől való függésének problémáját), de a fő funkcionalitás és a vele szemben támasztott követelmények változatlanok maradtak.
DS Integrity Network Packet Brokereket fejlesztettünk ki 100G, 40G és 10G interfésszel a tervezéstől és az áramkörtől a beágyazott szoftverekig. Sőt, a többi csomagközvetítőtől eltérően a beágyazott alagútfejlécek módosítási és kiegyensúlyozási funkcióit a mi hardverünkben, teljes portsebességgel implementáljuk.
Forrás: will.com