ProHoster > blog > amministrazione > Soluzioni moderne per la creazione di sistemi di sicurezza delle informazioni: broker di pacchetti di rete (Network Packet Broker)

Soluzioni moderne per la creazione di sistemi di sicurezza delle informazioni: broker di pacchetti di rete (Network Packet Broker)

La sicurezza delle informazioni si è separata dalle telecomunicazioni in un settore indipendente con le proprie specificità e le proprie attrezzature. Ma c'è una classe di dispositivi poco conosciuta che si trova all'incrocio tra telecomunicazioni e infobez: broker di pacchetti di rete (Network Packet Broker), sono anche load balancer, switch specializzati/di monitoraggio, aggregatori di traffico, Security Delivery Platform, Network Visibility e così via. E noi, in qualità di sviluppatore e produttore russo di tali dispositivi, vogliamo davvero dirti di più su di loro.

Soluzioni moderne per la creazione di sistemi di sicurezza delle informazioni: broker di pacchetti di rete (Network Packet Broker)

Ambito e compiti da risolvere

I broker di pacchetti di rete sono dispositivi specializzati che hanno trovato il massimo utilizzo nei sistemi di sicurezza delle informazioni. Pertanto, la classe di dispositivi è relativamente nuova e ha poche infrastrutture di rete comuni rispetto a switch, router e così via. Il pioniere nello sviluppo di questo tipo di dispositivo è stata la società americana Gigamon. Attualmente, ci sono molti più attori in questo mercato (comprese soluzioni simili del noto produttore di sistemi di test - IXIA), ma solo una ristretta cerchia di professionisti conosce ancora l'esistenza di tali dispositivi. Come notato sopra, anche con la terminologia non c'è certezza univoca: i nomi vanno da "sistemi di trasparenza della rete" a semplici "bilanciatori".

Durante lo sviluppo di broker di pacchetti di rete, ci siamo trovati di fronte al fatto che, oltre ad analizzare le indicazioni per lo sviluppo di funzionalità e test in laboratori / zone di test, è necessario spiegare contemporaneamente ai potenziali consumatori l'esistenza di questa classe di apparecchiature , poiché non tutti lo sanno.

Anche 15-20 anni fa, c'era poco traffico sulla rete e si trattava per lo più di dati poco importanti. Ma Legge di Nielsen praticamente si ripete La legge di Moore: la velocità della connessione Internet aumenta del 50% all'anno. Anche il volume del traffico è in costante crescita (il grafico mostra le previsioni 2017 di Cisco, fonte Cisco Visual Networking Index: Forecast and Trends, 2017–2022):

Soluzioni moderne per la creazione di sistemi di sicurezza delle informazioni: broker di pacchetti di rete (Network Packet Broker)
Insieme alla velocità, aumentano l'importanza della circolazione delle informazioni (si tratta sia di un segreto commerciale che di dati personali famigerati) e delle prestazioni complessive dell'infrastruttura.

Di conseguenza, è emersa l'industria della sicurezza delle informazioni. Il settore ha risposto a questo con un'intera gamma di dispositivi di analisi del traffico (DPI), dai sistemi di prevenzione degli attacchi DDOS ai sistemi di gestione degli eventi di sicurezza delle informazioni, inclusi IDS, IPS, DLP, NBA, SIEM, Antimailware e così via. In genere, ciascuno di questi strumenti è un software installato su una piattaforma server. Inoltre, ogni programma (strumento di analisi) è installato sulla propria piattaforma server: i produttori di software sono diversi e per l'analisi su L7 sono necessarie molte risorse di calcolo.

Quando si costruisce un sistema di sicurezza delle informazioni, è necessario risolvere una serie di attività di base:

  • come trasferire il traffico dall'infrastruttura ai sistemi di analisi? (le porte SPAN originariamente sviluppate per questo nell'infrastruttura moderna non sono sufficienti né in quantità né in prestazioni)
  • come distribuire il traffico tra diversi sistemi di analisi?
  • come scalare i sistemi quando non ci sono prestazioni sufficienti di un'istanza dell'analizzatore per elaborare l'intero volume di traffico che vi entra?
  • come monitorare le interfacce 40G/100G (e in un prossimo futuro anche 200G/400G), poiché gli strumenti di analisi attualmente supportano solo le interfacce 1G/10G/25G?

E le seguenti attività correlate:

  • come ridurre al minimo il traffico inappropriato che non ha bisogno di essere elaborato, ma arriva agli strumenti di analisi e ne consuma le risorse?
  • come elaborare pacchetti incapsulati e pacchetti con marchi di servizio hardware, la cui preparazione per l'analisi risulta essere ad alta intensità di risorse o irrealizzabile?
  • come escludere dall'analisi parte del traffico che non è regolato dalla policy di sicurezza (ad esempio il traffico della testa).

Soluzioni moderne per la creazione di sistemi di sicurezza delle informazioni: broker di pacchetti di rete (Network Packet Broker)
Come tutti sanno, la domanda crea offerta, in risposta a queste esigenze, iniziarono a svilupparsi broker di pacchetti di rete.

Descrizione generale dei broker di pacchetti di rete

I broker di pacchetti di rete lavorano a livello di pacchetto e in questo sono simili ai normali switch. La principale differenza rispetto agli switch è che le regole per la distribuzione e l'aggregazione del traffico nei broker di pacchetti di rete sono completamente determinate dalle impostazioni. I broker di pacchetti di rete non dispongono di standard per la creazione di tabelle di inoltro (tabelle MAC) e protocolli di scambio con altri switch (come STP), pertanto la gamma di possibili impostazioni e campi comprensibili in essi è molto più ampia. Un broker può distribuire uniformemente il traffico da una o più porte di input a un determinato intervallo di porte di output con una funzione di bilanciamento del carico di output. Puoi impostare regole per copiare, filtrare, classificare, deduplicare e modificare il traffico. Queste regole possono essere applicate a diversi gruppi di porte di input del broker di pacchetti di rete, nonché applicate in sequenza una dopo l'altra nel dispositivo stesso. Un vantaggio importante di un broker di pacchetti è la capacità di elaborare il traffico a piena velocità e preservare l'integrità delle sessioni (nel caso di bilanciamento del traffico verso diversi sistemi DPI dello stesso tipo).

Preservare l'integrità delle sessioni significa trasferire tutti i pacchetti della sessione del livello di trasporto (TCP / UDP / SCTP) su una porta. Questo è importante perché i sistemi DPI (solitamente software in esecuzione su un server connesso alla porta di output di un broker di pacchetti) analizzano il contenuto del traffico a livello di applicazione e tutti i pacchetti inviati/ricevuti da un'applicazione devono arrivare alla stessa istanza del analizzatore. Se i pacchetti di una sessione vengono persi o distribuiti tra diversi dispositivi DPI, ogni singolo dispositivo DPI si troverà in una situazione analoga alla lettura non di un intero testo, ma di singole parole da esso. E, molto probabilmente, il testo non capirà.

Pertanto, essendo focalizzati sui sistemi di sicurezza delle informazioni, i broker di pacchetti di rete dispongono di funzionalità che aiutano a connettere i sistemi software DPI alle reti di telecomunicazione ad alta velocità e a ridurre il carico su di essi: prefiltrano, classificano e preparano il traffico per semplificare l'elaborazione successiva.

Inoltre, poiché i broker di pacchetti di rete forniscono un'ampia gamma di statistiche e sono spesso collegati a vari punti della rete, trovano anche il loro posto nella diagnosi dei problemi di salute dell'infrastruttura di rete stessa.

Funzioni di base dei broker di pacchetti di rete

Il nome "dedicated/monitoring switch" nasce dallo scopo di base: raccogliere il traffico dall'infrastruttura (di solito utilizzando TAP tap ottici passivi e/o porte SPAN) e distribuirlo tra gli strumenti di analisi. Il traffico viene replicato (duplicato) tra sistemi di tipi diversi e bilanciato tra sistemi dello stesso tipo. Le funzioni di base di solito includono il filtraggio per campi fino a L4 (MAC, IP, porta TCP / UDP, ecc.) E l'aggregazione di diversi canali leggermente caricati in uno (ad esempio, per l'elaborazione su un sistema DPI).

Questa funzionalità fornisce una soluzione all'attività di base: collegare i sistemi DPI all'infrastruttura di rete. I broker di vari produttori, limitati alle funzionalità di base, forniscono l'elaborazione di un massimo di 32 interfacce 100G per 1U (più interfacce non si adattano fisicamente al pannello frontale 1U). Non consentono però di ridurre il carico sugli strumenti di analisi, e per un'infrastruttura complessa non possono nemmeno fornire i requisiti per una funzione base: una sessione distribuita su più tunnel (o dotata di tag MPLS) può essere sbilanciata per diverse istanze del analizzatore e generalmente cadono fuori dall'analisi.

Oltre ad aggiungere interfacce 40/100G e, di conseguenza, migliorare le prestazioni, i broker di pacchetti di rete si stanno sviluppando attivamente in termini di fornitura di funzionalità fondamentalmente nuove: dal bilanciamento delle intestazioni del tunnel nidificate alla decrittazione del traffico. Sfortunatamente, tali modelli non possono vantare prestazioni in terabit, ma consentono di costruire un sistema di sicurezza delle informazioni di altissima qualità e tecnicamente "bello" in cui è garantito che ogni strumento di analisi riceva solo le informazioni di cui ha bisogno nella forma più adatta per analisi.

Funzioni avanzate dei broker di pacchetti di rete

Soluzioni moderne per la creazione di sistemi di sicurezza delle informazioni: broker di pacchetti di rete (Network Packet Broker)
1. Sopra menzionato bilanciamento delle intestazioni nidificate nel traffico in tunnel.

Perché è importante? Considera 3 aspetti che possono essere critici insieme o separatamente:

  • garantire un bilanciamento uniforme in presenza di un numero ridotto di gallerie. Nel caso in cui siano presenti solo 2 tunnel nel punto di connessione dei sistemi di sicurezza delle informazioni, non sarà possibile sbilanciarli tramite intestazioni esterne su 3 piattaforme server mantenendo la sessione. Allo stesso tempo, il traffico nella rete viene trasmesso in modo non uniforme e la direzione di ciascun tunnel verso una struttura di elaborazione separata richiederà prestazioni eccessive di quest'ultima;
  • garantire l'integrità di sessioni e flussi di protocolli multisessione (ad esempio FTP e VoIP), i cui pacchetti sono finiti in tunnel diversi. La complessità dell'infrastruttura di rete è in costante aumento: ridondanza, virtualizzazione, semplificazione dell'amministrazione e così via. Da un lato, ciò aumenta l'affidabilità in termini di trasmissione dei dati, dall'altro complica il lavoro dei sistemi di sicurezza delle informazioni. Anche con prestazioni sufficienti degli analizzatori per elaborare un canale dedicato con tunnel, il problema risulta essere irrisolvibile, poiché alcuni dei pacchetti della sessione utente vengono trasmessi su un altro canale. Inoltre, se cercano ancora di prendersi cura dell'integrità delle sessioni in alcune infrastrutture, i protocolli multisessione possono andare in modi completamente diversi;
  • bilanciamento in presenza di MPLS, VLAN, tag di singoli apparati, ecc. Non proprio tunnel, ma tuttavia, le apparecchiature con funzionalità di base possono comprendere questo traffico non come IP e bilanciare in base agli indirizzi MAC, violando ancora una volta l'uniformità del bilanciamento o l'integrità della sessione.

Il broker di pacchetti di rete analizza le intestazioni esterne e segue in sequenza i puntatori fino all'intestazione IP nidificata e si bilancia già su di essa. Di conseguenza, ci sono molti più flussi (rispettivamente, può essere sbilanciato in modo più uniforme e su un numero maggiore di piattaforme) e il sistema DPI riceve tutti i pacchetti di sessione e tutte le sessioni associate dei protocolli multisessione.

2. Modifica del traffico.
Una delle funzioni più ampie in termini di capacità, il numero di sottofunzioni e le opzioni per il loro utilizzo sono molte:

  • rimuovendo il payload, nel qual caso vengono passate al parser solo le intestazioni dei pacchetti. Ciò è rilevante per gli strumenti di analisi o per i tipi di traffico in cui il contenuto dei pacchetti non svolge un ruolo o non può essere analizzato. Ad esempio, per il traffico crittografato, i dati di scambio parametrico (chi, con chi, quando e quanto) possono essere interessanti, mentre il payload è in realtà spazzatura che occupa il canale e le risorse di calcolo dell'analizzatore. Le variazioni sono possibili quando il carico utile viene tagliato a partire da un dato offset - questo fornisce ulteriore spazio per gli strumenti di analisi;
  • detunneling, vale a dire la rimozione delle intestazioni che designano e identificano i tunnel. L'obiettivo è ridurre il carico sugli strumenti di analisi e aumentarne l'efficienza. Il detunneling può essere basato su un offset fisso o su un'analisi dell'intestazione dinamica e sulla determinazione dell'offset per ciascun pacchetto;
  • rimozione di alcune intestazioni dei pacchetti: tag MPLS, VLAN, campi specifici di apparati di terze parti;
  • mascherare parte delle intestazioni, ad esempio mascherare gli indirizzi IP per garantire l'anonimizzazione del traffico;
  • aggiunta di informazioni di servizio al pacchetto: timestamp, porta di ingresso, etichette della classe di traffico, ecc.

3. Deduplicazione – pulizia dei pacchetti di traffico ripetitivi trasmessi agli strumenti di analisi. I pacchetti duplicati si verificano più spesso a causa delle peculiarità della connessione all'infrastruttura: il traffico può passare attraverso diversi punti di analisi ed essere rispecchiato da ciascuno di essi. C'è anche un rinvio di pacchetti TCP incompleti, ma se ce ne sono molti, queste sono più domande per monitorare la qualità della rete e non per la sicurezza delle informazioni al suo interno.

4. Funzionalità di filtraggio avanzate – dalla ricerca di valori specifici a un determinato offset all'analisi della firma in tutto il pacchetto.

5. Generazione NetFlow/IPFIX – raccolta di un'ampia gamma di statistiche sul traffico di passaggio e loro trasferimento agli strumenti di analisi.

6. Decrittazione del traffico SSL, funziona a condizione che il certificato e le chiavi vengano prima caricati nel broker dei pacchetti di rete. Tuttavia, ciò consente di scaricare in modo significativo gli strumenti di analisi.

Ci sono molte altre funzioni, utili e di marketing, ma le principali, forse, sono elencate.

Lo sviluppo di sistemi di rilevamento (intrusioni, attacchi DDOS) in sistemi per la loro prevenzione, nonché l'introduzione di strumenti DPI attivi, ha richiesto un cambiamento nello schema di commutazione da passivo (tramite porte TAP o SPAN) ad attivo ("in break" ). Questa circostanza ha aumentato i requisiti di affidabilità (perché un guasto in questo caso comporta un'interruzione dell'intera rete, e non solo una perdita di controllo sulla sicurezza delle informazioni) e ha portato alla sostituzione degli accoppiatori ottici con bypass ottici (al fine di risolvere il problema della dipendenza delle prestazioni della rete dalle prestazioni dei sistemi di sicurezza delle informazioni), ma la funzionalità e i requisiti principali sono rimasti gli stessi.

Abbiamo sviluppato DS Integrity Network Packet Broker con interfacce 100G, 40G e 10G dalla progettazione e circuiteria al software integrato. Inoltre, a differenza di altri broker di pacchetti, le funzioni di modifica e bilanciamento per le intestazioni di tunnel nidificate sono implementate nel nostro hardware, alla massima velocità della porta.

Soluzioni moderne per la creazione di sistemi di sicurezza delle informazioni: broker di pacchetti di rete (Network Packet Broker)

Fonte: habr.com

Aggiungi un commento