Upplýsingaöryggi hefur aðskilið sig frá fjarskiptum í sjálfstæðan iðnað með eigin sérstöðu og eigin búnað. En það er lítt þekktur flokkur tækja sem stendur á mótum fjarskipta og infobez - netpakkamiðlarar (Network Packet Broker), þeir eru líka álagsjafnarar, sérhæfðir / eftirlitsrofar, umferðarsamlarar, öryggisafhendingarpallur, netsýnileiki og svo framvegis. Og við, sem rússneskur verktaki og framleiðandi slíkra tækja, viljum endilega segja þér meira um þau.
Umfang og verkefni sem þarf að leysa
Netpakkamiðlarar eru sérhæfð tæki sem hafa notið mestrar notkunar í upplýsingaöryggiskerfum. Sem slíkur er tækjaflokkurinn tiltölulega nýr og fáir í sameiginlegum netinnviðum miðað við rofa, beinar og svo framvegis. Frumkvöðull í þróun þessarar tegundar tækja var bandaríska fyrirtækið Gigamon. Eins og er, eru verulega fleiri leikmenn á þessum markaði (þar á meðal svipaðar lausnir frá hinum þekkta framleiðanda prófunarkerfa - IXIA), en aðeins þröngur hringur fagmanna veit enn um tilvist slíkra tækja. Eins og fram hefur komið hér að ofan, jafnvel með hugtökin er engin ótvíræð vissa: nöfnin eru allt frá "net gagnsæi kerfi" til einföldum "jafnvægi".
Við þróun netpakkamiðlara stóðum við frammi fyrir þeirri staðreynd að auk þess að greina leiðbeiningar um þróun virkni og prófanir á rannsóknarstofum / prófunarsvæðum, er nauðsynlegt að útskýra samtímis fyrir hugsanlegum neytendum um tilvist þessa flokks búnaðar. enda vita ekki allir um það.
Jafnvel fyrir 15-20 árum síðan var lítil umferð á netinu og það voru að mestu óveruleg gögn. En endurtekur sig nánast : Nettengingarhraði eykst um 50% árlega. Umferðarmagn eykst einnig jafnt og þétt (grafið sýnir 2017 spá frá Cisco, uppspretta Cisco Visual Networking Index: Forecast and Trends, 2017–2022):
Samhliða hraðanum eykst mikilvægi þess að dreifa upplýsingum (þetta er bæði viðskiptaleyndarmál og alræmd persónuleg gögn) og heildarframmistaða innviðanna.
Í samræmi við það hefur upplýsingaöryggisiðnaðurinn komið fram. Iðnaðurinn hefur brugðist við þessu með alls kyns umferðargreiningartækjum (DPI), allt frá DDOS árásarvarnakerfum til upplýsingaöryggisviðburðastjórnunarkerfa, þar á meðal IDS, IPS, DLP, NBA, SIEM, Antimailware og svo framvegis. Venjulega er hvert þessara verkfæra hugbúnaður sem er settur upp á netþjónsvettvang. Þar að auki er hvert forrit (greiningartól) sett upp á eigin netþjónsvettvangi: hugbúnaðarframleiðendur eru mismunandi og mikið af tölvuauðlindum þarf til greiningar á L7.
Við uppbyggingu upplýsingaöryggiskerfis er nauðsynlegt að leysa nokkur grunnverkefni:
- hvernig á að flytja umferð frá innviðum yfir í greiningarkerfi? (SPAN höfnin sem upphaflega voru þróuð fyrir þetta í nútíma innviðum duga hvorki í magni né afköstum)
- hvernig á að dreifa umferð á milli mismunandi greiningarkerfa?
- hvernig á að skala kerfi þegar það er ekki nægjanleg frammistaða af einu tilviki greiningartækisins til að vinna úr öllu umferðarmagni sem fer inn í það?
- hvernig á að fylgjast með 40G/100G tengi (og í náinni framtíð líka 200G/400G), þar sem greiningartæki styðja aðeins 1G/10G/25G tengi sem stendur?
Og eftirfarandi tengd verkefni:
- hvernig á að lágmarka óviðeigandi umferð sem ekki þarf að vinna úr, en kemst að greiningartækjunum og eyðir auðlindum þeirra?
- hvernig á að vinna hjúpaða pakka og pakka með vélbúnaðarþjónustumerkjum, en undirbúningur þeirra fyrir greiningu reynist annaðhvort auðlindafrekur eða alls óframkvæmanleg?
- hvernig á að útiloka frá greiningu hluta umferðarinnar sem er ekki stjórnað af öryggisstefnunni (til dæmis umferð höfuðsins).
Eins og allir vita skapar eftirspurn framboð, til að bregðast við þessum þörfum fóru netpakkamiðlarar að þróast.
Almenn lýsing á netpakkamiðlarum
Netpakkamiðlarar vinna á pakkastigi og í þessu eru þeir svipaðir og venjulegir rofar. Helsti munurinn á rofum er að reglur um dreifingu og samsöfnun umferðar í netpakkamiðlarum ráðast algjörlega af stillingunum. Netpakkamiðlarar hafa ekki staðla til að búa til framsendingartöflur (MAC-töflur) og skiptast á samskiptareglum við aðra rofa (eins og STP) og því er úrval mögulegra stillinga og skiljanlegra sviða í þeim miklu meira. Miðlari getur dreift umferð jafnt frá einni eða fleiri inntaksportum yfir á tiltekið úrval af úttaksportum með úttaksálagsjafnvægi. Þú getur sett reglur um afritun, síun, flokkun, aftvíföldun og breytingu á umferð. Þessar reglur er hægt að beita á mismunandi hópa inntaksporta netpakkamiðlarans, auk þess að beita í röð hver á eftir annarri í tækinu sjálfu. Mikilvægur kostur pakkamiðlara er hæfileikinn til að vinna úr umferð á fullum flæðishraða og varðveita heilleika funda (ef um er að ræða jafnvægi á umferð í nokkur DPI kerfi af sömu gerð).
Að varðveita heilleika fundanna er að flytja alla pakka setu flutningslagsins (TCP / UDP / SCTP) í eina höfn. Þetta er mikilvægt vegna þess að DPI kerfi (venjulega hugbúnaður sem keyrir á netþjóni sem er tengdur við úttaksgátt pakkamiðlara) greina innihald umferðar á forritastigi og allir pakkar sem senda/mótteknir af einu forriti verða að koma í sama tilvik af greiningartæki. Ef pakkarnir úr einni lotu glatast eða dreifast á mismunandi DPI tæki, þá verður hvert einstakt DPI tæki í svipaðri stöðu og að lesa ekki heilan texta, heldur einstök orð úr því. Og líklega mun textinn ekki skilja.
Með því að einbeita sér að upplýsingaöryggiskerfum hafa netpakkamiðlarar virkni sem hjálpar til við að tengja DPI hugbúnaðarkerfi við háhraða fjarskiptanet og draga úr álagi á þau: þeir forsía, flokka og undirbúa umferð til að einfalda síðari vinnslu.
Þar að auki, þar sem netpakkamiðlarar veita fjölbreytt úrval af tölfræði og eru oft tengdir ýmsum stöðum á netinu, finna þeir einnig sinn stað við að greina heilsufarsvandamál sjálfs netkerfisins.
Grunnaðgerðir netpakkamiðlara
Nafnið "hollir / eftirlitsrofar" spratt upp af grunntilgangi: að safna umferð frá innviðum (venjulega með því að nota óvirka sjónræna TAP krana og / eða SPAN tengi) og dreifa henni á milli greiningartækja. Umferð er speglað (afrituð) milli kerfa af mismunandi gerðum og jafnvægi milli kerfa af sömu gerð. Grunnaðgerðirnar fela venjulega í sér síun eftir sviðum allt að L4 (MAC, IP, TCP / UDP tengi osfrv.) og samsöfnun nokkurra létthlaðna rása í eina (til dæmis til vinnslu á einu DPI kerfi).
Þessi virkni veitir lausn á grunnverkefninu - að tengja DPI kerfi við netinnviðina. Miðlarar frá ýmsum framleiðendum, takmarkaðir við grunnvirkni, veita vinnslu á allt að 32 100G tengi á 1U (fleirri tengi passa ekki líkamlega á 1U framhliðina). Hins vegar leyfa þeir ekki að draga úr álagi á greiningartæki og fyrir flókna innviði geta þeir ekki einu sinni veitt kröfur um grunnaðgerð: lota sem er dreift yfir nokkur göng (eða búin MPLS merkjum) getur verið í ójafnvægi fyrir mismunandi tilvik af greiningartæki og falla almennt út úr greiningunni.
Auk þess að bæta við 40/100G viðmótum og þar af leiðandi bæta afköst, eru netpakkamiðlarar að þróast með virkum hætti hvað varðar að bjóða upp á grundvallaratriði nýja eiginleika: allt frá jafnvægi á hreiðri gönghausum til umferðarafkóðununar. Því miður geta slík líkön ekki státað af frammistöðu í terabitum, en þau gera það mögulegt að byggja upp virkilega hágæða og tæknilega „fallegt“ upplýsingaöryggiskerfi þar sem tryggt er að hvert greiningartæki fái aðeins þær upplýsingar sem það þarf á því formi sem hentar best. til greiningar.
Ítarlegar aðgerðir netpakkamiðlara
1. Nefnd hér að ofan hreiðrað hausjafnvægi í jarðgangaumferð.
Hvers vegna er það mikilvægt? Íhugaðu 3 þætti sem geta verið mikilvægir saman eða í sitthvoru lagi:
- tryggja einsleitt jafnvægi í viðurvist fárra jarðganga. Ef það eru aðeins 2 göng á tengipunkti upplýsingaöryggiskerfa, þá verður ekki hægt að koma þeim úr jafnvægi með ytri hausum á 3 netþjónum á meðan lotunni er viðhaldið. Á sama tíma er umferð um netið send ójafnt og stefna hvers jarðganga að sérstakri vinnsluaðstöðu mun krefjast óhóflegrar frammistöðu þess síðarnefnda;
- að tryggja heilleika lota og strauma fjöllota samskiptareglur (til dæmis FTP og VoIP), sem pakkarnir enduðu í mismunandi göngum. Flækjustig netkerfisins eykst stöðugt: offramboð, sýndarvæðing, einföldun stjórnsýslu og svo framvegis. Annars vegar eykur þetta áreiðanleika hvað varðar gagnaflutning, hins vegar flækir þetta vinnu upplýsingaöryggiskerfa. Jafnvel með nægjanlegan árangur greiningartækjanna til að vinna úr sérstakri rás með göngum, reynist vandamálið óleysanlegt, þar sem sumir notendalotupakkana eru sendir yfir aðra rás. Þar að auki, ef þeir reyna enn að sjá um heilleika funda í sumum innviðum, þá geta samskiptareglur í mörgum lotum farið allt aðrar leiðir;
- jafnvægi í viðurvist MPLS, VLAN, einstakra búnaðarmerkja o.fl. Í raun ekki göng, en engu að síður getur búnaður með grunnvirkni skilið þessa umferð ekki sem IP og jafnvægi eftir MAC vistföngum, sem brýtur enn og aftur í bága við einsleitni jafnvægis eða lotuheilleika.
Netpakkamiðlarinn greinir ytri hausana og fylgir vísunum í röð upp að hreiðra IP-hausnum og er þegar á honum. Fyrir vikið eru umtalsvert fleiri straumar (í sömu röð, það getur verið jafnara í ójafnvægi og á fleiri kerfum) og DPI kerfið tekur á móti öllum lotupökkum og öllum tengdum lotum fjöllota samskiptareglur.
2. Umferðarbreyting.
Ein breiðasta aðgerðin hvað varðar getu sína, fjöldi undiraðgerða og valkostir fyrir notkun þeirra eru margir:
- að fjarlægja hleðslu, í því tilviki eru aðeins pakkahausar sendar til þáttarans. Þetta á við fyrir greiningartæki eða fyrir umferðartegundir þar sem innihald pakkana gegnir annað hvort ekki hlutverki eða er ekki hægt að greina. Til dæmis, fyrir dulkóðaða umferð, getur skiptast á breytilegum gögnum (hverja, með hverjum, hvenær og hversu mikið) áhugaverð, á meðan hleðsla er í raun sorp sem tekur rás og tölvuauðlindir greiningartækisins. Breytingar eru mögulegar þegar hleðsla er skorin af frá tilteknu móti - þetta veitir aukið svigrúm fyrir greiningartæki;
- aftunneling, þ.e. fjarlæging hausa sem tilgreina og auðkenna göng. Markmiðið er að minnka álag á greiningartæki og auka skilvirkni þeirra. Aftuneling getur byggst á föstu móti, eða með kraftmikilli hausgreiningu og offsetákvörðun á pakkagrundvelli;
- fjarlæging á sumum pakkahausum: MPLS merki, VLAN, sérstökum sviðum búnaðar þriðja aðila;
- fela hluta af hausunum, til dæmis, hylja IP tölur til að tryggja nafnleynd umferðar;
- að bæta þjónustuupplýsingum við pakkann: tímastimpla, inntaksport, umferðarflokkamerki o.s.frv.
3. Tvíföldun – hreinsun á endurteknum umferðarpökkum sem sendar eru til greiningartækja. Tvíteknir pakkar eiga sér oftast stað vegna sérkenni þess að tengjast innviðum - umferð getur farið í gegnum nokkra greiningarpunkta og speglast frá hverjum þeirra. Það er líka endursending á ófullgerðum TCP-pökkum en ef þeir eru margir þá eru þetta fleiri spurningar til að fylgjast með gæðum netsins en ekki upplýsingaöryggi í því.
4. Ítarlegir síunaraðgerðir - allt frá því að leita að sérstökum gildum á tilteknu móti til undirskriftargreiningar í gegnum allan pakkann.
5. NetFlow/IPFIX kynslóð – söfnun margs konar tölfræði um umferð sem fer framhjá og yfirfærslu hennar í greiningartæki.
6. Afkóðun SSL umferðar, virkar að því tilskildu að vottorðinu og lyklunum sé fyrst hlaðið inn í netpakkamiðlarann. Engu að síður gerir þetta þér kleift að afferma greiningartækin verulega.
Það eru margar fleiri aðgerðir, gagnlegar og markaðssetningar, en þær helstu eru kannski taldar upp.
Þróun uppgötvunarkerfa (innbrot, DDOS árásir) inn í kerfi til að koma í veg fyrir þau, sem og innleiðing virkra DPI verkfæra, krafðist breytinga á skiptakerfinu úr óvirku (í gegnum TAP eða SPAN tengi) í virkt ("í hléi" ). Þessar aðstæður jók kröfur um áreiðanleika (vegna þess að bilun í þessu tilfelli leiðir til truflunar á öllu netinu, en ekki aðeins til taps á stjórn á upplýsingaöryggi) og leiddi til þess að skipt var um sjóntengi fyrir sjón hjáveitur (til að leysa vandamálið um hversu háð frammistöðu netsins er afköstum upplýsingaöryggis kerfa), en meginvirkni og kröfur um það voru þær sömu.
Við höfum þróað DS Integrity Network Packet Brokers með 100G, 40G og 10G tengi frá hönnun og rafrásum til innbyggðs hugbúnaðar. Þar að auki, ólíkt öðrum pakkamiðlarum, eru breytinga- og jafnvægisaðgerðir fyrir hreiðra gangahausa innleiddar í vélbúnaðinum okkar, á fullum porthraða.
Heimild: www.habr.com