Keamanan informasi telah dipisahkan dari telekomunikasi menjadi industri independen dengan spesifikasinya sendiri dan peralatannya sendiri. Tapi ada kelas perangkat yang kurang dikenal yang berdiri di persimpangan telekomunikasi dan infobez - perantara paket jaringan (Broker Paket Jaringan), mereka juga penyeimbang muatan, sakelar khusus / pemantauan, agregator lalu lintas, Platform Pengiriman Keamanan, Visibilitas Jaringan, dan sebagainya. Dan kami, sebagai pengembang dan produsen perangkat semacam itu di Rusia, sangat ingin memberi tahu Anda lebih banyak tentangnya.
Lingkup dan tugas yang harus diselesaikan
Broker paket jaringan adalah perangkat khusus yang paling banyak digunakan dalam sistem keamanan informasi. Dengan demikian, kelas perangkat relatif baru dan sedikit infrastruktur jaringan umum dibandingkan dengan sakelar, router, dan sebagainya. Pelopor dalam pengembangan perangkat jenis ini adalah perusahaan Amerika Gigamon. Saat ini, ada lebih banyak pemain di pasar ini (termasuk solusi serupa dari produsen sistem pengujian terkenal - IXIA), tetapi hanya segelintir profesional yang masih mengetahui keberadaan perangkat tersebut. Seperti disebutkan di atas, bahkan dengan terminologi tidak ada kepastian yang jelas: namanya berkisar dari "sistem transparansi jaringan" hingga "penyeimbang" sederhana.
Saat mengembangkan broker paket jaringan, kami dihadapkan pada fakta bahwa, selain menganalisis arahan untuk pengembangan fungsionalitas dan pengujian di laboratorium / zona pengujian, perlu untuk secara bersamaan menjelaskan kepada calon konsumen tentang keberadaan peralatan kelas ini. , karena tidak semua orang mengetahuinya.
Bahkan 15-20 tahun yang lalu, hanya ada sedikit lalu lintas di jaringan, dan sebagian besar datanya tidak penting. Tetapi praktis berulang : Kecepatan koneksi internet meningkat 50% per tahun. Volume lalu lintas juga terus meningkat (grafik menunjukkan prakiraan 2017 dari Cisco, sumber Cisco Visual Networking Index: Forecast and Trends, 2017β2022):
Seiring dengan kecepatan, pentingnya menyebarkan informasi (ini adalah rahasia dagang dan data pribadi terkenal) dan kinerja infrastruktur secara keseluruhan meningkat.
Dengan demikian, industri keamanan informasi telah muncul. Industri telah menanggapi hal ini dengan berbagai perangkat analisis lalu lintas (DPI), mulai dari sistem pencegahan serangan DDOS hingga sistem manajemen peristiwa keamanan informasi, termasuk IDS, IPS, DLP, NBA, SIEM, Antimailware, dan sebagainya. Biasanya, masing-masing alat ini adalah perangkat lunak yang diinstal pada platform server. Selain itu, setiap program (alat analisis) diinstal pada platform servernya sendiri: produsen perangkat lunak berbeda, dan banyak sumber daya komputasi diperlukan untuk analisis pada L7.
Saat membangun sistem keamanan informasi, sejumlah tugas dasar perlu diselesaikan:
- bagaimana cara mentransfer lalu lintas dari infrastruktur ke sistem analisis? (pelabuhan SPAN yang awalnya dikembangkan untuk ini dalam infrastruktur modern tidak cukup baik dalam jumlah maupun kinerja)
- bagaimana mendistribusikan lalu lintas antara sistem analisis yang berbeda?
- bagaimana cara menskalakan sistem ketika tidak ada cukup kinerja dari satu contoh penganalisa untuk memproses seluruh volume lalu lintas yang memasukinya?
- bagaimana memantau antarmuka 40G/100G (dan dalam waktu dekat juga 200G/400G), karena alat analisis saat ini hanya mendukung antarmuka 1G/10G/25G?
Dan tugas terkait berikut ini:
- bagaimana meminimalkan lalu lintas yang tidak pantas yang tidak perlu diproses, tetapi sampai ke alat analisis dan menghabiskan sumber dayanya?
- bagaimana memproses paket dan paket yang dienkapsulasi dengan tanda layanan perangkat keras, yang persiapannya untuk analisis ternyata intensif sumber daya atau tidak dapat direalisasikan sama sekali?
- bagaimana mengecualikan bagian analisis dari lalu lintas yang tidak diatur oleh kebijakan keamanan (misalnya, lalu lintas kepala).
Seperti yang diketahui semua orang, permintaan menciptakan pasokan, sebagai tanggapan atas kebutuhan ini, pialang paket jaringan mulai berkembang.
Gambaran Umum Broker Paket Jaringan
Pialang paket jaringan bekerja pada tingkat paket, dan dalam hal ini mereka mirip dengan sakelar biasa. Perbedaan utama dari switch adalah bahwa aturan distribusi dan agregasi lalu lintas di broker paket jaringan sepenuhnya ditentukan oleh pengaturan. Pialang paket jaringan tidak memiliki standar untuk membangun tabel penerusan (tabel MAC) dan protokol pertukaran dengan sakelar lain (seperti STP), dan oleh karena itu jangkauan kemungkinan pengaturan dan bidang yang dapat dipahami di dalamnya jauh lebih luas. Broker dapat mendistribusikan lalu lintas secara merata dari satu atau lebih port input ke rentang port output tertentu dengan fitur load balancing output. Anda dapat menetapkan aturan untuk menyalin, memfilter, mengklasifikasikan, menghapus duplikat, dan memodifikasi lalu lintas. Aturan-aturan ini dapat diterapkan ke berbagai kelompok port input broker paket jaringan, serta diterapkan secara berurutan satu demi satu di perangkat itu sendiri. Keuntungan penting dari broker paket adalah kemampuan untuk memproses lalu lintas dengan laju aliran penuh dan menjaga integritas sesi (dalam hal menyeimbangkan lalu lintas ke beberapa sistem DPI dengan tipe yang sama).
Menjaga integritas sesi adalah mentransfer semua paket sesi dari lapisan transport (TCP / UDP / SCTP) ke satu port. Hal ini penting karena sistem DPI (biasanya perangkat lunak yang berjalan pada server yang terhubung ke port keluaran dari perantara paket) menganalisis konten lalu lintas pada tingkat aplikasi, dan semua paket yang dikirim/diterima oleh satu aplikasi harus sampai pada contoh yang sama dari penganalisa. Jika paket dari satu sesi hilang atau didistribusikan di antara perangkat DPI yang berbeda, maka masing-masing perangkat DPI akan berada dalam situasi yang serupa dengan membaca bukan seluruh teks, tetapi kata-kata individual darinya. Dan, kemungkinan besar, teksnya tidak akan mengerti.
Dengan demikian, berfokus pada sistem keamanan informasi, pialang paket jaringan memiliki fungsi yang membantu menghubungkan sistem perangkat lunak DPI ke jaringan telekomunikasi berkecepatan tinggi dan mengurangi beban pada mereka: mereka melakukan pra-filter, mengklasifikasikan, dan menyiapkan lalu lintas untuk menyederhanakan pemrosesan selanjutnya.
Selain itu, karena broker paket jaringan menyediakan berbagai statistik dan sering terhubung ke berbagai titik di jaringan, mereka juga menemukan tempatnya dalam mendiagnosis masalah kesehatan infrastruktur jaringan itu sendiri.
Fungsi Dasar Broker Paket Jaringan
Nama "sakelar khusus/pemantauan" muncul dari tujuan dasarnya: untuk mengumpulkan lalu lintas dari infrastruktur (biasanya menggunakan keran TAP optik pasif dan/atau port SPAN) dan mendistribusikannya di antara alat analisis. Lalu lintas dicerminkan (digandakan) antara sistem dari jenis yang berbeda, dan diseimbangkan antara sistem dari jenis yang sama. Fungsi dasar biasanya mencakup pemfilteran berdasarkan bidang hingga L4 (MAC, IP, port TCP / UDP, dll.) dan agregasi beberapa saluran yang dimuat ringan menjadi satu (misalnya, untuk memproses pada satu sistem DPI).
Fungsionalitas ini memberikan solusi untuk tugas dasar - menghubungkan sistem DPI ke infrastruktur jaringan. Broker dari berbagai produsen, terbatas pada fungsionalitas dasar, menyediakan pemrosesan hingga 32 antarmuka 100G per 1U (antarmuka lainnya tidak muat secara fisik di panel depan 1U). Namun, mereka tidak mengizinkan pengurangan beban pada alat analisis, dan untuk infrastruktur yang kompleks mereka bahkan tidak dapat menyediakan persyaratan untuk fungsi dasar: sesi yang didistribusikan melalui beberapa terowongan (atau dilengkapi dengan tag MPLS) dapat menjadi tidak seimbang untuk contoh yang berbeda dari analisa dan umumnya keluar dari analisis.
Selain menambahkan antarmuka 40/100G dan, sebagai hasilnya, meningkatkan kinerja, pialang paket jaringan secara aktif mengembangkan dalam hal menyediakan fitur baru yang fundamental: mulai dari menyeimbangkan header terowongan bersarang hingga dekripsi lalu lintas. Sayangnya, model seperti itu tidak dapat membanggakan kinerja dalam terabit, tetapi memungkinkan untuk membangun sistem keamanan informasi yang benar-benar berkualitas tinggi dan secara teknis "indah" di mana setiap alat analisis dijamin hanya menerima informasi yang diperlukan dalam bentuk yang paling sesuai. untuk analisis.
Fungsi lanjutan dari broker paket jaringan
1. Disebutkan di atas penyeimbangan tajuk bersarang dalam lalu lintas terowongan.
Mengapa ini penting? Pertimbangkan 3 aspek yang dapat menjadi kritis bersama atau terpisah:
- memastikan keseimbangan yang seragam di hadapan sejumlah kecil terowongan. Jika hanya ada 2 terowongan pada titik koneksi sistem keamanan informasi, maka tidak mungkin untuk membuat ketidakseimbangannya dengan header eksternal pada 3 platform server sambil mempertahankan sesi. Pada saat yang sama, lalu lintas di jaringan ditransmisikan secara tidak merata, dan arah setiap terowongan ke fasilitas pemrosesan terpisah akan membutuhkan kinerja yang berlebihan dari yang terakhir;
- memastikan integritas sesi dan aliran protokol multisesi (misalnya, FTP dan VoIP), yang paketnya berakhir di terowongan yang berbeda. Kompleksitas infrastruktur jaringan terus meningkat: redundansi, virtualisasi, penyederhanaan administrasi, dan sebagainya. Di satu sisi, hal ini meningkatkan keandalan dalam hal transmisi data, di sisi lain mempersulit kerja sistem keamanan informasi. Bahkan dengan kinerja penganalisa yang memadai untuk memproses saluran khusus dengan terowongan, masalahnya ternyata tidak dapat dipecahkan, karena beberapa paket sesi pengguna ditransmisikan melalui saluran lain. Selain itu, jika mereka masih mencoba menjaga integritas sesi di beberapa infrastruktur, maka protokol multisesi dapat berjalan dengan cara yang sangat berbeda;
- menyeimbangkan di hadapan MPLS, VLAN, tag peralatan individu, dll. Tidak benar-benar terowongan, namun demikian, peralatan dengan fungsionalitas dasar dapat memahami lalu lintas ini bukan sebagai IP dan keseimbangan dengan alamat MAC, sekali lagi melanggar keseragaman keseimbangan atau integritas sesi.
Broker paket jaringan mem-parsing header luar dan secara berurutan mengikuti pointer ke header IP bersarang dan menyeimbangkannya. Akibatnya, ada lebih banyak aliran secara signifikan (masing-masing, dapat menjadi tidak seimbang secara lebih merata dan pada lebih banyak platform), dan sistem DPI menerima semua paket sesi dan semua sesi terkait dari protokol multisesi.
2. Modifikasi lalu lintas.
Salah satu fungsi terluas dalam hal kemampuannya, jumlah subfungsi dan opsi penggunaannya banyak:
- menghapus payload, dalam hal ini hanya header paket yang diteruskan ke parser. Ini relevan untuk alat analisis atau untuk jenis lalu lintas di mana isi paket tidak berperan atau tidak dapat dianalisis. Misalnya, untuk lalu lintas terenkripsi, pertukaran data parametrik (siapa, dengan siapa, kapan, dan berapa banyak) mungkin menarik, sedangkan payload sebenarnya adalah sampah yang menempati saluran dan sumber daya komputasi penganalisa. Variasi dimungkinkan saat payload dipotong mulai dari offset tertentu - ini memberikan cakupan tambahan untuk alat analisis;
- detunneling, yaitu penghapusan header yang menunjuk dan mengidentifikasi terowongan. Tujuannya adalah untuk mengurangi beban pada alat analisis dan meningkatkan efisiensinya. Detunneling dapat didasarkan pada analisis header tetap atau dinamis dan penentuan offset untuk setiap paket;
- penghapusan beberapa header paket: tag MPLS, VLAN, bidang tertentu dari peralatan pihak ketiga;
- menutupi bagian dari header, misalnya, menutupi alamat IP untuk memastikan anonimisasi lalu lintas;
- menambahkan informasi layanan ke paket: stempel waktu, port input, label kelas lalu lintas, dll.
3. Deduplikasi β pembersihan paket lalu lintas berulang yang dikirimkan ke alat analisis. Paket duplikat paling sering terjadi karena kekhasan koneksi ke infrastruktur - lalu lintas dapat melewati beberapa titik analisis dan dicerminkan dari masing-masing titik. Ada juga pengiriman ulang paket TCP yang tidak lengkap, tetapi jika jumlahnya banyak, maka ini lebih merupakan pertanyaan untuk memantau kualitas jaringan, dan bukan untuk keamanan informasi di dalamnya.
4. Fitur pemfilteran lanjutan β mulai dari mencari nilai spesifik pada offset tertentu hingga analisis tanda tangan di seluruh paket.
5. Generasi NetFlow/IPFIX β kumpulan berbagai statistik tentang lalu lintas yang lewat dan transfernya ke alat analisis.
6. Dekripsi lalu lintas SSL, berfungsi asalkan sertifikat dan kunci dimuat pertama kali ke broker paket jaringan. Namun demikian, ini memungkinkan Anda membongkar alat analisis secara signifikan.
Ada lebih banyak fungsi, berguna dan pemasaran, tetapi yang utama mungkin terdaftar.
Pengembangan sistem deteksi (intrusi, serangan DDOS) ke dalam sistem untuk pencegahannya, serta pengenalan alat DPI aktif, memerlukan perubahan skema peralihan dari pasif (melalui port TAP atau SPAN) menjadi aktif ("in break" ). Keadaan ini meningkatkan persyaratan untuk keandalan (karena kegagalan dalam hal ini menyebabkan gangguan pada seluruh jaringan, dan tidak hanya hilangnya kendali atas keamanan informasi) dan menyebabkan penggantian skrup optik dengan bypass optik (untuk memecahkan masalah ketergantungan kinerja jaringan pada kinerja sistem keamanan informasi), tetapi fungsionalitas dan persyaratan utama untuk itu tetap sama.
Kami telah mengembangkan DS Integrity Network Packet Brokers dengan antarmuka 100G, 40G, dan 10G mulai dari desain dan sirkuit hingga perangkat lunak tersemat. Selain itu, tidak seperti broker paket lainnya, fungsi modifikasi dan penyeimbangan untuk header terowongan bersarang diterapkan di perangkat keras kami, dengan kecepatan port penuh.
Sumber: www.habr.com