Տեղեկատվական անվտանգությունը հեռահաղորդակցությունից բաժանվել է անկախ արդյունաբերության՝ իր առանձնահատկություններով և իր սարքավորումներով: Բայց կա սարքերի քիչ հայտնի դաս, որը կանգնած է հեռահաղորդակցության և ինֆոբեզի հանգույցում. ցանցային փաթեթների բրոքերներ (Ցանցային փաթեթների բրոքեր), դրանք նաև բեռի հավասարակշռողներ են, մասնագիտացված / մոնիտորինգի անջատիչներ, երթևեկության ագրեգատորներ, անվտանգության առաքման հարթակ, ցանցի տեսանելիություն և այլն: Եվ մենք, որպես նման սարքերի ռուս մշակող և արտադրող, իսկապես ցանկանում ենք ձեզ ավելին պատմել դրանց մասին:
Ծավալը և առաջադրանքները, որոնք պետք է լուծվեն
Ցանցային փաթեթների բրոքերները մասնագիտացված սարքեր են, որոնք ամենամեծ կիրառությունն են գտել տեղեկատվական անվտանգության համակարգերում: Որպես այդպիսին, սարքի դասը համեմատաբար նոր է և քիչ ընդհանուր ցանցային ենթակառուցվածքում, համեմատած անջատիչների, երթուղիչների և այլնի հետ: Այս տեսակի սարքերի մշակման առաջամարտիկը ամերիկյան Gigamon ընկերությունն էր։ Ներկայումս այս շուկայում զգալիորեն ավելի շատ խաղացողներ կան (ներառյալ նմանատիպ լուծումները թեստային համակարգերի հայտնի արտադրողից՝ IXIA), բայց մասնագետների միայն նեղ շրջանակը դեռ գիտի նման սարքերի գոյության մասին: Ինչպես նշվեց վերևում, նույնիսկ տերմինաբանության դեպքում չկա միանշանակ որոշակիություն. անունները տատանվում են «ցանցային թափանցիկության համակարգերից» մինչև պարզ «հավասարակշռողներ»:
Ցանցային փաթեթների բրոքերներ մշակելիս մենք բախվեցինք այն փաստի հետ, որ բացի լաբորատորիաներում/փորձարկման գոտիներում ֆունկցիոնալության զարգացման և փորձարկման ուղղությունները վերլուծելուց, անհրաժեշտ է միաժամանակ բացատրել պոտենցիալ սպառողներին այս դասի սարքավորումների գոյության մասին: , քանի որ ոչ բոլորը գիտեն այդ մասին։
Նույնիսկ 15-20 տարի առաջ ցանցում քիչ տրաֆիկ կար, և դրանք հիմնականում անկարևոր տվյալներ էին։ Բայց գործնականում կրկնում է Ինտերնետ կապի արագությունը տարեկան ավելանում է 50%-ով: Երթևեկության ծավալը նույնպես կայուն աճում է (գրաֆիկը ցույց է տալիս Cisco-ի 2017 թվականի կանխատեսումը, աղբյուր Cisco Visual Networking Index. Forecast and Trends, 2017–2022):
Արագության հետ մեկտեղ մեծանում է տեղեկատվության շրջանառության կարևորությունը (սա և՛ առևտրային գաղտնիք է, և՛ տխրահռչակ անձնական տվյալներ) և ենթակառուցվածքի ընդհանուր արդյունավետությունը:
Համապատասխանաբար, առաջացել է տեղեկատվական անվտանգության ոլորտը։ Արդյունաբերությունը դրան արձագանքել է երթևեկության վերլուծության (DPI) սարքերի մի ամբողջ շարքով՝ սկսած DDOS հարձակումների կանխարգելման համակարգերից մինչև տեղեկատվական անվտանգության միջոցառումների կառավարման համակարգեր, ներառյալ IDS, IPS, DLP, NBA, SIEM, Antimailware և այլն: Սովորաբար, այս գործիքներից յուրաքանչյուրը ծրագրակազմ է, որը տեղադրված է սերվերի հարթակում: Ավելին, յուրաքանչյուր ծրագիր (վերլուծության գործիք) տեղադրված է իր սեփական սերվերի հարթակում. ծրագրային ապահովման արտադրողները տարբեր են, և L7-ում վերլուծության համար պահանջվում են շատ հաշվողական ռեսուրսներ:
Տեղեկատվական անվտանգության համակարգ կառուցելիս անհրաժեշտ է լուծել մի շարք հիմնական խնդիրներ.
- ինչպե՞ս տեղափոխել երթևեկությունը ենթակառուցվածքից վերլուծության համակարգեր: (Ժամանակակից ենթակառուցվածքում դրա համար ի սկզբանե մշակված SPAN նավահանգիստները բավարար չեն ոչ քանակով, ոչ էլ կատարողականով)
- Ինչպե՞ս բաշխել տրաֆիկը տարբեր վերլուծական համակարգերի միջև:
- Ինչպե՞ս մասշտաբավորել համակարգերը, երբ անալիզատորի մեկ օրինակի կատարումը բավարար չէ դրան մուտք գործող թրաֆիկի ողջ ծավալը մշակելու համար:
- Ինչպե՞ս վերահսկել 40G/100G միջերեսները (և մոտ ապագայում նաև 200G/400G), քանի որ վերլուծության գործիքները ներկայումս աջակցում են միայն 1G/10G/25G ինտերֆեյսներին:
Եվ հետևյալ առնչվող առաջադրանքները.
- Ինչպե՞ս նվազագույնի հասցնել անպատշաճ երթևեկությունը, որը մշակման կարիք չունի, բայց հասնում է վերլուծության գործիքներին և սպառում դրանց ռեսուրսները:
- ինչպե՞ս վարվել պարուրված փաթեթներով և ապարատային սպասարկման նշաններով փաթեթներով, որոնց վերլուծության պատրաստումը պարզվում է կամ ռեսուրսային կամ ընդհանրապես անիրագործելի է:
- ինչպես վերլուծությունից բացառել երթևեկության այն մասը, որը չի կարգավորվում անվտանգության քաղաքականությամբ (օրինակ՝ ղեկավարի երթևեկությունը):
Ինչպես բոլորը գիտեն, պահանջարկը ստեղծում է առաջարկ, ի պատասխան այս կարիքների, ցանցային փաթեթների բրոքերները սկսեցին զարգանալ:
Ցանցային փաթեթների բրոքերների ընդհանուր նկարագրությունը
Ցանցային փաթեթների բրոքերները աշխատում են փաթեթային մակարդակում, և այս առումով նրանք նման են սովորական անջատիչներին: Անջատիչներից հիմնական տարբերությունն այն է, որ ցանցային փաթեթների բրոքերներում տրաֆիկի բաշխման և համախմբման կանոնները լիովին որոշվում են պարամետրերով: Ցանցային փաթեթների բրոքերները չունեն փոխանցման աղյուսակներ (MAC աղյուսակներ) և այլ անջատիչների հետ (օրինակ՝ STP) պրոտոկոլների փոխանակման ստանդարտներ, և, հետևաբար, դրանցում հնարավոր պարամետրերի և հասկանալի դաշտերի շրջանակը շատ ավելի լայն է: Բրոքերը կարող է հավասարաչափ բաշխել տրաֆիկը մեկ կամ մի քանի մուտքային նավահանգիստներից մինչև ելքային նավահանգիստների որոշակի տիրույթ՝ ելքային բեռի հավասարակշռման հատկությամբ: Դուք կարող եք կանոններ սահմանել երթևեկությունը պատճենելու, զտելու, դասակարգելու, կրկնօրինակելու և փոփոխելու համար: Այս կանոնները կարող են կիրառվել ցանցային փաթեթային բրոքերի մուտքային նավահանգիստների տարբեր խմբերի վրա, ինչպես նաև կիրառվել հաջորդաբար մեկը մյուսի հետևից հենց սարքում: Փաթեթային բրոքերի կարևոր առավելությունն այն է, որ երթևեկությունը ամբողջ հոսքի արագությամբ մշակելու և նիստերի ամբողջականությունը պահպանելու ունակությունն է (միևնույն տիպի մի քանի DPI համակարգերի երթևեկությունը հավասարակշռելու դեպքում):
Նիստերի ամբողջականության պահպանումը տրանսպորտային շերտի նստաշրջանի բոլոր փաթեթները (TCP / UDP / SCTP) տեղափոխելն է մեկ նավահանգիստ: Սա կարևոր է, քանի որ DPI համակարգերը (սովորաբար ծրագրակազմ, որն աշխատում է փաթեթային բրոքերի ելքային պորտին միացված սերվերի վրա) վերլուծում է տրաֆիկի բովանդակությունը հավելվածի մակարդակով, և մեկ հավելվածի կողմից ուղարկված/ստացված բոլոր փաթեթները պետք է հասնեն նույն օրինակին: անալիզատոր. Եթե մեկ սեսիայի փաթեթները կորչում են կամ բաշխվում են տարբեր DPI սարքերի միջև, ապա յուրաքանչյուր առանձին DPI սարք կհայտնվի այնպիսի իրավիճակում, ինչպիսին է կարդալու ոչ թե ամբողջական տեքստը, այլ դրանից առանձին բառեր: Եվ, ամենայն հավանականությամբ, տեքստը չի հասկանա։
Այսպիսով, կենտրոնանալով տեղեկատվական անվտանգության համակարգերի վրա, ցանցային փաթեթների բրոքերներն ունեն գործառույթներ, որոնք օգնում են միացնել DPI ծրագրային համակարգերը գերարագ հեռահաղորդակցության ցանցերին և նվազեցնել դրանց վրա բեռը.
Բացի այդ, քանի որ ցանցային փաթեթների բրոքերները տրամադրում են վիճակագրության լայն շրջանակ և հաճախ կապված են ցանցի տարբեր կետերի հետ, նրանք իրենց տեղն են գտնում նաև ցանցային ենթակառուցվածքի առողջական խնդիրների ախտորոշման գործում:
Ցանցային փաթեթների բրոքերների հիմնական գործառույթները
«Նվիրված/մոնիթորինգային անջատիչներ» անվանումը առաջացել է հիմնական նպատակից՝ հավաքել երթևեկությունը ենթակառուցվածքից (սովորաբար օգտագործելով պասիվ օպտիկական TAP ծորակներ և/կամ SPAN պորտեր) և այն բաշխել վերլուծության գործիքների միջև: Երթևեկությունը արտացոլվում է (կրկնօրինակվում) տարբեր տիպի համակարգերի միջև և հավասարակշռվում նույն տեսակի համակարգերի միջև: Հիմնական գործառույթները սովորաբար ներառում են մինչև L4 դաշտերի զտում (MAC, IP, TCP / UDP նավահանգիստ և այլն) և մի քանի թույլ բեռնված ալիքների միավորում մեկում (օրինակ՝ մեկ DPI համակարգում մշակման համար):
Այս ֆունկցիոնալությունը լուծում է տալիս հիմնական խնդիրը՝ DPI համակարգերը ցանցային ենթակառուցվածքին միացնելը: Տարբեր արտադրողների բրոքերները, որոնք սահմանափակվում են հիմնական գործառույթներով, ապահովում են մինչև 32 100G միջերեսի մշակում 1U-ում (ավելի շատ ինտերֆեյսներ ֆիզիկապես չեն տեղավորվում 1U առջևի վահանակի վրա): Այնուամենայնիվ, դրանք թույլ չեն տալիս նվազեցնել վերլուծության գործիքների ծանրաբեռնվածությունը, և բարդ ենթակառուցվածքի համար նրանք չեն կարող ապահովել նույնիսկ հիմնական գործառույթի պահանջները. անալիզատոր և ընդհանրապես դուրս են գալիս վերլուծությունից:
Ի հավելումն 40/100G ինտերֆեյսերի ավելացման և, որպես հետևանք, կատարողականի բարելավմանը, ցանցային փաթեթների բրոքերները ակտիվորեն զարգանում են հիմնովին նոր հնարավորություններ տրամադրելու առումով. Ցավոք, նման մոդելները չեն կարող պարծենալ տերաբիթներով կատարողականով, բայց դրանք հնարավորություն են տալիս կառուցել իսկապես բարձրորակ և տեխնիկապես «գեղեցիկ» տեղեկատվական անվտանգության համակարգ, որում վերլուծության յուրաքանչյուր գործիք երաշխավորված է ստանալու միայն իրեն անհրաժեշտ տեղեկատվությունը ամենահարմար ձևով: վերլուծության համար։
Ցանցային փաթեթների բրոքերների առաջադեմ գործառույթներ
1. Վերը նշված Ներդիր վերնագրի հավասարակշռում թունելային երթևեկում:
Ինչու է դա կարևոր: Դիտարկենք 3 ասպեկտներ, որոնք կարող են կարևոր լինել միասին կամ առանձին.
- ապահովելով միատեսակ հավասարակշռություն փոքր թվով թունելների առկայության դեպքում: Այն դեպքում, երբ տեղեկատվական անվտանգության համակարգերի միացման կետում կա ընդամենը 2 թունել, ապա նիստը պահպանելիս հնարավոր չի լինի դրանք անհավասարակշռել արտաքին վերնագրերով 3 սերվերային հարթակներում: Միևնույն ժամանակ, ցանցում երթևեկությունը փոխանցվում է անհավասարաչափ, և յուրաքանչյուր թունելի ուղղությունը դեպի առանձին մշակման կայան կպահանջի վերջինիս չափազանց մեծ աշխատանք.
- բազմասեսիա արձանագրությունների (օրինակ՝ FTP և VoIP) նիստերի և հոսքերի ամբողջականության ապահովում, որոնց փաթեթները հայտնվում էին տարբեր թունելներում։ Ցանցային ենթակառուցվածքի բարդությունը անընդհատ աճում է՝ ավելորդություն, վիրտուալացում, վարչարարության պարզեցում և այլն։ Սա մի կողմից բարձրացնում է հուսալիությունը տվյալների փոխանցման առումով, մյուս կողմից՝ բարդացնում է տեղեկատվական անվտանգության համակարգերի աշխատանքը։ Նույնիսկ անալիզատորների բավարար կատարողականությամբ՝ հատուկ ալիքը թունելներով մշակելու համար, խնդիրը պարզվում է, որ անլուծելի է, քանի որ օգտագործողի սեսիայի փաթեթներից մի քանիսը փոխանցվում են մեկ այլ ալիքով: Ավելին, եթե նրանք դեռ փորձում են հոգ տանել նիստերի ամբողջականության մասին որոշ ենթակառուցվածքներում, ապա բազմասեսիա արձանագրությունները կարող են գնալ բոլորովին այլ կերպ.
- հավասարակշռում MPLS, VLAN, անհատական սարքավորումների պիտակների և այլնի առկայության դեպքում: Իրականում թունելներ չեն, բայց, այնուամենայնիվ, հիմնական ֆունկցիոնալությամբ սարքավորումները կարող են հասկանալ այս տրաֆիկը ոչ որպես IP և հավասարակշռել MAC հասցեներով, ևս մեկ անգամ խախտելով հավասարակշռման կամ սեսիայի ամբողջականությունը:
Ցանցային փաթեթների բրոքերը վերլուծում է արտաքին վերնագրերը և հաջորդաբար հետևում ցուցիչներին մինչև տեղադրված IP վերնագիրը և մնացորդում արդեն դրա վրա: Արդյունքում, կան զգալիորեն ավելի շատ հոսքեր (համապատասխանաբար, այն կարող է անհավասարակշռվել ավելի հավասար և ավելի մեծ թվով հարթակներում), և DPI համակարգը ստանում է բոլոր նիստերի փաթեթները և բազմասեսիա արձանագրությունների բոլոր հարակից նիստերը:
2. Երթևեկության փոփոխություն:
Իր հնարավորությունների առումով ամենալայն գործառույթներից մեկը, ենթաֆունկցիաների քանակը և դրանց օգտագործման տարբերակները շատ են.
- հեռացնելով օգտակար բեռը, որի դեպքում միայն փաթեթների վերնագրերն են փոխանցվում վերլուծողին: Սա տեղին է վերլուծության գործիքների կամ տրաֆիկի տեսակների համար, որոնցում փաթեթների բովանդակությունը կամ դեր չի խաղում կամ չի կարող վերլուծվել: Օրինակ, կոդավորված տրաֆիկի համար պարամետրային փոխանակման տվյալները (ով, ում հետ, երբ և որքան) կարող են հետաքրքրություն առաջացնել, մինչդեռ օգտակար բեռը իրականում աղբ է, որը զբաղեցնում է անալիզատորի ալիքը և հաշվողական ռեսուրսները: Հնարավոր են տատանումներ, երբ ծանրաբեռնվածությունը կտրվում է` սկսած տվյալ օֆսեթից. սա լրացուցիչ հնարավորություն է տալիս վերլուծության գործիքների համար.
- ապաթունելիացում, այն է՝ վերնագրերի հեռացում, որոնք նշում և նույնացնում են թունելները: Նպատակն է նվազեցնել վերլուծության գործիքների բեռը և բարձրացնել դրանց արդյունավետությունը: Ապաթունելիացումը կարող է հիմնված լինել ֆիքսված օֆսեթի վրա, կամ վերնագրի դինամիկ վերլուծությամբ և օֆսեթի որոշմամբ՝ յուրաքանչյուր փաթեթի հիման վրա.
- որոշ փաթեթների վերնագրերի հեռացում. MPLS պիտակներ, VLAN, երրորդ կողմի սարքավորումների հատուկ դաշտեր;
- վերնագրերի մի մասի քողարկում, օրինակ՝ IP հասցեների քողարկում՝ երթևեկության անանունացում ապահովելու համար.
- փաթեթի վրա ծառայության տեղեկատվության ավելացում՝ ժամանակի դրոշմակնիքներ, մուտքային պորտ, երթևեկության դասի պիտակներ և այլն:
3. Կրկնօրինակում – վերլուծության գործիքներին փոխանցված տրաֆիկի կրկնվող փաթեթների մաքրում: Կրկնվող փաթեթներն ամենից հաճախ առաջանում են ենթակառուցվածքին միանալու առանձնահատկությունների պատճառով. տրաֆիկը կարող է անցնել վերլուծության մի քանի կետերով և արտացոլվել դրանցից յուրաքանչյուրից: Կա նաև թերի TCP փաթեթների վերաուղարկում, բայց եթե դրանք շատ են, ապա դրանք ավելի շատ հարցեր են ցանցի որակի մոնիտորինգի համար, այլ ոչ թե դրա մեջ տեղեկատվական անվտանգության համար:
4. Ընդլայնված զտման առանձնահատկություններ – որոշակի արժեքների որոնումից սկսած մինչև ստորագրության վերլուծությունը ամբողջ փաթեթում:
5. NetFlow/IPFIX սերունդ – անցնող տրաֆիկի և դրա վերլուծության գործիքներին փոխանցման վիճակագրության լայն շրջանակի հավաքում:
6. SSL տրաֆիկի վերծանում, աշխատում է պայմանով, որ վկայականը և բանալիները նախ բեռնված են ցանցային փաթեթների բրոքերում: Այնուամենայնիվ, սա թույլ է տալիս զգալիորեն բեռնաթափել վերլուծության գործիքները:
Շատ ավելի շատ գործառույթներ կան՝ օգտակար և մարքեթինգային, բայց հիմնականները, թերևս, թվարկված են։
Նրանց կանխարգելման համար հայտնաբերման համակարգերի (ներխուժումներ, DDOS հարձակումներ) համակարգերի մշակումը, ինչպես նաև ակտիվ DPI գործիքների ներդրումը պահանջում էր փոխարկման սխեմայի փոփոխություն՝ պասիվից (TAP կամ SPAN պորտերի միջոցով) ակտիվի («ընդմիջման մեջ»): ) Այս հանգամանքը մեծացրեց հուսալիության պահանջները (քանի որ այս դեպքում ձախողումը հանգեցնում է ամբողջ ցանցի խաթարմանը, և ոչ միայն տեղեկատվական անվտանգության նկատմամբ վերահսկողության կորստի) և հանգեցրեց օպտիկական կցորդիչների փոխարինմանը օպտիկական շրջանցումներով (որպեսզի լուծել ցանցի գործունեության կախվածության խնդիրը համակարգերի տեղեկատվական անվտանգության կատարումից), սակայն դրա հիմնական գործառույթն ու պահանջները մնացել են նույնը:
Մենք մշակել ենք DS Integrity Network Packet Brokers՝ 100G, 40G և 10G ինտերֆեյսներով՝ դիզայնից և սխեմաներից մինչև ներկառուցված ծրագրեր: Ավելին, ի տարբերություն այլ փաթեթային բրոքերների, ներդիր թունելի վերնագրերի փոփոխման և հավասարակշռման գործառույթներն իրականացվում են մեր ապարատում, պորտի ամբողջ արագությամբ:
Source: www.habr.com