情報セキュリティ システムを構築するための最新のソリューション - ネットワーク パケット ブローカー (Network Packet Broker)

情報セキュリティは、電気通信から独立して、独自の仕様と独自の機器を備えた独立した産業になりました。 しかし、通信と情報産業の接点に位置する、あまり知られていないクラスのデバイスがあります。 ネットワークパケットブローカー (ネットワーク パケット ブローカー)、ロード バランサー、特殊/監視スイッチ、トラフィック アグリゲーター、セキュリティ デリバリー プラットフォーム、ネットワーク可視化などでもあります。 そして、ロシアのそのようなデバイスの開発者および製造者として、私たちはそれらについてもっと詳しくお伝えしたいと思っています。

解決すべき範囲と課題

ネットワーク パケット ブローカーは、情報セキュリティ システムで最も活用されている特殊なデバイスです。 そのため、このデバイス クラスは比較的新しく、スイッチやルーターなどに比べて一般的なネットワーク インフラストラクチャにはほとんどありません。 このタイプのデバイスの開発の先駆者は、アメリカの会社 Gigamon でした。 現在、この市場にはかなり多くのプレーヤーがいます (有名なテストシステムメーカーである IXIA の同様のソリューションを含む) が、このようなデバイスの存在を知っているのは依然として限られた専門家だけです。 上で述べたように、用語であっても明確な確実性はありません。名前は「ネットワーク透過システム」から単純な「バランサー」まで多岐にわたります。

ネットワーク パケット ブローカーの開発中に、機能開発の方向性を分析し、研究所/テスト ゾーンでテストすることに加えて、このクラスの機器の存在について潜在的な消費者に同時に説明する必要があるという事実に直面しました。 、誰もがそれについて知っているわけではないので。

15 ～ 20 年前でも、ネットワーク上のトラフィックはほとんどなく、重要でないデータがほとんどでした。 しかし ニールセンの法則 実質的に繰り返します ムーアの法則: インターネット接続速度は毎年 50% 増加します。 トラフィック量も着実に増加しています（グラフは Cisco の 2017 年の予測を示しています。出典は Cisco Visual Networking Index: Forecast and Trends, 2017–2022 です）。

スピードの速さに伴い、流通する情報 (これは企業秘密であり、悪名高い個人データでもあります) の重要性とインフラストラクチャの全体的なパフォーマンスも増加しています。

これに伴い、情報セキュリティ産業が台頭してきました。 業界は、DDOS 攻撃防止システムから、IDS、IPS、DLP、NBA、SIEM、アンチメールウェアなどの情報セキュリティ イベント管理システムに至るまで、あらゆる種類のトラフィック分析 (DPI) デバイスでこれに対応してきました。 通常、これらの各ツールはサーバー プラットフォームにインストールされるソフトウェアです。 また、各プログラム（解析ツール）は独自のサーバープラットフォームにインストールされており、ソフトウェアメーカーも異なり、L7上での解析には多くのコンピューティングリソースが必要となります。

情報セキュリティ システムを構築する場合、次のような多くの基本的なタスクを解決する必要があります。

• トラフィックをインフラストラクチャから分析システムに転送するにはどうすればよいですか? (現代のインフラストラクチャでこのために元々開発された SPAN ポートは、量的にもパフォーマンスにおいても十分ではありません)
• 異なる分析システム間でトラフィックを分散するにはどうすればよいですか?
• アナライザーの XNUMX つのインスタンスに、そこに入るトラフィック全体を処理するのに十分なパフォーマンスがない場合に、システムを拡張するにはどうすればよいでしょうか?
• 現在、分析ツールは 40G/100G/200G インターフェイスのみをサポートしているため、400G/1G インターフェイス (近い将来には 10G/25G も) を監視するにはどうすればよいでしょうか?

また、次の関連タスクも含まれます。

• 処理する必要はないが、分析ツールに到達してリソースを消費する不適切なトラフィックを最小限に抑えるにはどうすればよいでしょうか?
• カプセル化されたパケットや、分析のための準備がリソースを大量に消費するか、まったく実現不可能であることが判明したハードウェア サービス マークが付いたパケットをどのように処理するか?
• セキュリティポリシーで規制されていないトラフィック部分（例えばヘッドのトラフィック）を分析から除外する方法。

誰もが知っているように、需要が供給を生み出すため、これらのニーズに応えて、ネットワーク パケット ブローカーが開発され始めました。

ネットワーク パケット ブローカーの概要

ネットワーク パケット ブローカーはパケット レベルで動作し、この点では通常のスイッチと似ています。 スイッチとの主な違いは、ネットワーク パケット ブローカーでのトラフィックの分散と集約のルールが設定によって完全に決定されることです。 ネットワーク パケット ブローカーには、フォワーディング テーブル (MAC テーブル) を構築したり、他のスイッチ (STP など) とプロトコルを交換したりするための標準がないため、可能な設定と理解できるフィールドの範囲ははるかに広くなります。 ブローカーは、出力ロード バランシング機能を使用して、XNUMX つ以上の入力ポートから指定された範囲の出力ポートにトラフィックを均等に分散できます。 トラフィックのコピー、フィルタリング、分類、重複排除、および変更のルールを設定できます。 これらのルールは、ネットワーク パケット ブローカーの入力ポートのさまざまなグループに適用できるだけでなく、デバイス自体で順番に適用することもできます。 パケット ブローカーの重要な利点は、フル フロー レートでトラフィックを処理し、セッションの整合性を維持できることです (同じタイプの複数の DPI システムにトラフィックを分散する場合)。

セッションの整合性を維持するには、トランスポート層 (TCP / UDP / SCTP) のセッションのすべてのパケットを XNUMX つのポートに転送します。 DPI システム (通常、パケット ブローカーの出力ポートに接続されたサーバー上で実行されるソフトウェア) はトラフィックの内容をアプリケーション レベルで分析し、XNUMX つのアプリケーションによって送受信されるすべてのパケットは同じインスタンスに到着する必要があるため、これは重要です。アナライザー。 XNUMX つのセッションのパケットが失われたり、異なる DPI デバイス間で分散されたりした場合、個々の DPI デバイスはテキスト全体ではなく、テキストから個々の単語を読み取るのと同様の状況になります。 そしておそらく、文章は理解できないでしょう。

したがって、情報セキュリティ システムに重点を置いたネットワーク パケット ブローカーは、DPI ソフトウェア システムを高速通信ネットワークに接続して負荷を軽減する機能を備えています。トラフィックを事前にフィルタリング、分類、準備して、その後の処理を簡素化します。

さらに、ネットワーク パケット ブローカーは幅広い統計を提供し、多くの場合ネットワーク内のさまざまなポイントに接続されているため、ネットワーク インフラストラクチャ自体の健全性の問題を診断する際にも役立ちます。

ネットワークパケットブローカーの基本機能

「専用/監視スイッチ」という名前は、インフラストラクチャ (通常はパッシブ光 TAP タップや SPAN ポートを使用) からトラフィックを収集し、それを分析ツール間で分散するという基本的な目的から生まれました。 トラフィックは、異なるタイプのシステム間でミラーリング (複製) され、同じタイプのシステム間でバランスがとられます。 通常、基本機能には、L4 までのフィールド (MAC、IP、TCP / UDP ポートなど) によるフィルタリングと、負荷の低い複数のチャネルを XNUMX つに集約する (たとえば、XNUMX つの DPI システムでの処理用) が含まれます。

この機能は、DPI システムをネットワーク インフラストラクチャに接続するという基本的なタスクに対するソリューションを提供します。 さまざまなメーカーのブローカーは、基本機能に限定され、32U あたり最大 100 個の 1G インターフェイスの処理を提供します (これ以上のインターフェイスは 1U フロント パネルに物理的に収まりません)。 ただし、分析ツールの負荷を軽減することはできず、複雑なインフラストラクチャでは基本機能の要件さえ提供できません。複数のトンネル (または MPLS タグが装備された) に分散されたセッションは、トンネルのさまざまなインスタンスで不均衡になる可能性があります。アナライザーに依存し、通常は分析から外れてしまいます。

40/100G インターフェイスの追加とその結果としてのパフォーマンスの向上に加えて、ネットワーク パケット ブローカーは、ネストされたトンネル ヘッダーのバランシングからトラフィックの復号化まで、根本的に新しい機能を提供するという点で積極的に開発を行っています。 残念ながら、このようなモデルはテラビット単位のパフォーマンスを誇ることはできませんが、各分析ツールが必要な情報のみを最適な形式で受け取ることが保証される、非常に高品質で技術的に「美しい」情報セキュリティ システムを構築することを可能にします。分析用に。

ネットワークパケットブローカーの高度な機能

1. 上記の通り トンネルトラフィックにおけるネストされたヘッダーのバランシング。

どうしてそれが重要ですか？ 一緒に、または個別に重要になる可能性がある 3 つの側面を考慮してください。

• 少数のトンネルが存在する場合でも均一なバランスを確保します。 情報セキュリティ システムの接続点にトンネルが 2 つしかない場合、セッションを維持しながら 3 つのサーバー プラットフォーム上の外部ヘッダーによってトンネルのバランスを崩すことはできません。 同時に、ネットワーク内のトラフィックは不均一に送信され、各トンネルが別個の処理施設に向かうと、後者の処理施設に過剰なパフォーマンスが必要になります。
• マルチセッション プロトコル (FTP や VoIP など) のセッションとストリームの整合性を確保し、パケットは異なるトンネルに到達します。 ネットワーク インフラストラクチャは、冗長性、仮想化、管理の簡素化などにより、常に複雑さを増しています。 これにより、データ送信の信頼性が高まる一方で、情報セキュリティ システムの作業が複雑になります。 トンネルのある専用チャネルを処理するのに十分なアナライザのパフォーマンスがあっても、ユーザー セッション パケットの一部は別のチャネルを介して送信されるため、問題は解決できないことがわかります。 さらに、一部のインフラストラクチャでセッションの整合性を維持しようとする場合、マルチセッション プロトコルはまったく異なる方向に進む可能性があります。
• MPLS、VLAN、個々の機器タグなどの存在下でのバランシング。 実際にはトンネルではありませんが、基本的な機能を備えた機器は、このトラフィックを IP としてではなく認識し、MAC アドレスによってバランスを取ることができ、バランスまたはセッションの整合性の均一性に再び違反します。

ネットワーク パケット ブローカーは外側のヘッダーを解析し、ネストされた IP ヘッダーまでのポインターを順次追跡し、すでにそのヘッダー上にあるバランスをとります。 その結果、ストリームの数が大幅に増加し (より多くのプラットフォーム上でより均等に不均衡になる可能性があります)、DPI システムはすべてのセッション パケットと、マルチセッション プロトコルのすべての関連セッションを受信します。

2. トラフィックの変更。
機能の点で最も幅広い関数の XNUMX つであり、サブ関数の数とその使用オプションが多数あります。

• ペイロードを削除します。この場合、パケット ヘッダーのみがパーサーに渡されます。 これは、パケットの内容が役割を果たさない、または分析できない分析ツールまたはトラフィック タイプに関連します。 たとえば、暗号化されたトラフィックの場合、パラメトリック交換データ (誰と、誰と、いつ、どのくらい) が重要になる可能性がありますが、ペイロードは実際にはアナライザーのチャネルとコンピューティング リソースを占有するゴミです。 ペイロードが特定のオフセットから開始して切り取られる場合、バリエーションが可能です。これにより、分析ツールの範囲がさらに広がります。
• デトンネリング、つまりトンネルを指定および識別するヘッダーの削除です。 目標は、分析ツールの負荷を軽減し、効率を高めることです。 トンネリング解除は、固定オフセットに基づいて行うことも、動的ヘッダー分析とパケットごとのオフセット決定に基づいて行うこともできます。
• 一部のパケット ヘッダーの削除: MPLS タグ、VLAN、サードパーティ機器の特定のフィールド。
• ヘッダーの一部をマスキングします。たとえば、トラフィックの匿名化を確実にするために IP アドレスをマスキングします。
• タイムスタンプ、入力ポート、トラフィック クラス ラベルなどのサービス情報をパケットに追加します。

3. 重複排除 – 分析ツールに送信される反復トラフィック パケットのクリーニング。 パケットの重複は、ほとんどの場合、インフラストラクチャへの接続の特殊性が原因で発生します。トラフィックはいくつかの分析ポイントを通過し、それぞれの分析ポイントからミラーリングされる可能性があります。 不完全な TCP パケットの再送信もありますが、その数が多い場合、これらはネットワークの情報セキュリティではなく、ネットワークの品質を監視するための問題となります。

4. 高度なフィルタリング機能 – 特定のオフセットでの特定の値の検索から、パッケージ全体にわたるシグネチャ分析まで。

5. NetFlow/IPFIX の生成 – 通過するトラフィックに関する幅広い統計の収集と分析ツールへの転送。

6. SSL トラフィックの復号化、 証明書とキーが最初にネットワーク パケット ブローカーにロードされていれば機能します。 それにもかかわらず、これにより、分析ツールの負荷を大幅に軽減できます。

便利な機能やマーケティングに役立つ機能は他にもたくさんありますが、おそらく主なものを列挙します。

検出システム (侵入、DDOS 攻撃) を予防するシステムに開発し、アクティブ DPI ツールを導入するには、スイッチング スキームをパッシブ (TAP または SPAN ポート経由) からアクティブ (「中断中」) に変更する必要がありました。 ）。 この状況により、信頼性の要件が高まり（この場合の障害は、情報セキュリティの制御の喪失だけでなく、ネットワーク全体の中断につながるため）、光カプラを光バイパスに置き換えることにつながりました。ネットワークのパフォーマンスがシステム情報セキュリティのパフォーマンスに依存するという問題は解決されましたが、その主な機能と要件は変わりませんでした。

当社は、設計、回路から組み込みソフトウェアに至るまで、100G、40G、および 10G インターフェイスを備えた DS Integrity ネットワーク パケット ブローカーを開発しました。 さらに、他のパケット ブローカーとは異なり、ネストされたトンネル ヘッダーの変更およびバランシング機能は、フル ポート スピードで当社のハードウェアに実装されています。

出所： habr.com