ProHoster > Π‘Π»ΠΎΠ³ > Administrasi > Solusi modern kanggo mbangun sistem keamanan informasi - makelar paket jaringan (Broker Paket Jaringan)

Solusi modern kanggo mbangun sistem keamanan informasi - makelar paket jaringan (Broker Paket Jaringan)

Keamanan informasi wis dipisahake saka telekomunikasi dadi industri independen kanthi spesifik lan peralatan dhewe. Nanging ana kelas piranti sing ora dingerteni sing ana ing persimpangan telekomunikasi lan infobez - makelar paket jaringan (Broker Paket Jaringan), uga minangka penyeimbang beban, switch khusus / ngawasi, agregator lalu lintas, Platform Pangiriman Keamanan, Visibilitas Jaringan lan liya-liyane. Lan kita, minangka pangembang Rusia lan pabrikan piranti kasebut, pancen pengin menehi pitutur marang kowe luwih akeh babagan.

Solusi modern kanggo mbangun sistem keamanan informasi - makelar paket jaringan (Broker Paket Jaringan)

Ruang lingkup lan tugas sing kudu ditanggulangi

Makelar paket jaringan minangka piranti khusus sing nemokake panggunaan paling gedhe ing sistem keamanan informasi. Dadi, kelas piranti relatif anyar lan sawetara ing infrastruktur jaringan umum dibandhingake switch, router, lan liya-liyane. Pionir ing pangembangan piranti jinis iki yaiku perusahaan Amerika Gigamon. Saiki, ana luwih akeh pemain ing pasar iki (kalebu solusi sing padha saka produsen sistem tes sing kondhang - IXIA), nanging mung sawetara profesional sing isih ngerti babagan eksistensi piranti kasebut. Kaya sing kasebut ing ndhuwur, sanajan terminologi kasebut ora ana kepastian sing ora jelas: jeneng kasebut saka "sistem transparansi jaringan" nganti "penyimbang" sing prasaja.

Nalika ngembangake makelar paket jaringan, kita ngadhepi kasunyatan manawa, saliyane kanggo nganalisa arah kanggo pangembangan fungsionalitas lan tes ing laboratorium / zona tes, perlu kanggo nerangake karo konsumen potensial babagan eksistensi peralatan kelas iki. , amarga ora kabeh wong ngerti babagan iki.

Malah 15-20 taun kepungkur, ana lalu lintas cilik ing jaringan, lan biasane data sing ora penting. Nanging hukum Nielsen praktis mbaleni hukum Moore: Kacepetan sambungan Internet mundhak 50% saben taun. Volume lalu lintas uga terus berkembang (grafik nuduhake ramalan 2017 saka Cisco, sumber Cisco Visual Networking Index: Forecast and Trends, 2017–2022):

Solusi modern kanggo mbangun sistem keamanan informasi - makelar paket jaringan (Broker Paket Jaringan)
Bebarengan karo kacepetan, pentinge nyebarake informasi (iki minangka rahasia dagang lan data pribadhi sing kondhang) lan kinerja sakabèhé infrastruktur saya tambah.

Mulane, industri keamanan informasi wis muncul. Industri wis nanggapi iki kanthi macem-macem piranti analisis lalu lintas (DPI), saka sistem pencegahan serangan DDOS menyang sistem manajemen acara keamanan informasi, kalebu IDS, IPS, DLP, NBA, SIEM, Antimailware lan liya-liyane. Biasane, saben alat kasebut minangka piranti lunak sing diinstal ing platform server. Menapa malih, saben program (alat analisis) diinstal ing platform server dhewe: manufaktur piranti lunak beda, lan akeh sumber daya komputasi dibutuhake kanggo analisis ing L7.

Nalika mbangun sistem keamanan informasi, perlu kanggo ngrampungake sawetara tugas dhasar:

  • Kepiye cara nransfer lalu lintas saka infrastruktur menyang sistem analisis? (port SPAN asline dikembangake kanggo iki ing infrastruktur modern ora cukup ing jumlah utawa kinerja)
  • carane kanggo disebarakΓ© lalu lintas antarane sistem analisis beda?
  • carane ukuran sistem nalika ora cukup kinerja siji Kayata analyzer kanggo proses kabeh volume lalu lintas ngetik iku?
  • carane ngawasi 40G / 100G antarmuka (lan ing mangsa cedhak uga 200G / 400G), wiwit alat analisis saiki mung ndhukung 1G / 10G / 25G antarmuka?

Lan tugas sing gegandhengan ing ngisor iki:

  • kepiye nyilikake lalu lintas sing ora cocog sing ora perlu diproses, nanging entuk alat analisis lan nggunakake sumber daya?
  • carane ngolah paket encapsulated lan paket karo tandha layanan hardware, preparation kang kanggo analisis dadi salah siji sumber-intensif utawa unrealizable ing kabeh?
  • carane ngilangi saka bagean analisis lalu lintas sing ora diatur dening kabijakan keamanan (contone, lalu lintas saka sirah).

Solusi modern kanggo mbangun sistem keamanan informasi - makelar paket jaringan (Broker Paket Jaringan)
Minangka kabeh wong ngerti, panjaluk nggawe pasokan, kanggo nanggepi kabutuhan kasebut, makelar paket jaringan wiwit berkembang.

Deskripsi Umum Broker Paket Jaringan

Makelar paket jaringan kerja ing tingkat paket, lan iki padha karo switch biasa. Bentenipun utama saka ngalih yaiku aturan kanggo distribusi lan agregasi lalu lintas ing makelar paket jaringan rampung ditemtokake dening setelan kasebut. Makelar paket jaringan ora duwe standar kanggo mbangun tabel terusan (tabel MAC) lan protokol pertukaran karo switch liyane (kayata STP), lan mulane sawetara setelan sing bisa ditindakake lan lapangan sing bisa dingerteni luwih akeh. Broker bisa nyebarake lalu lintas saka siji utawa luwih port input menyang sawetara port output kanthi fitur keseimbangan beban output. Sampeyan bisa nyetel aturan kanggo nyalin, nyaring, klasifikasi, deduplikasi lan ngowahi lalu lintas. Aturan kasebut bisa diterapake ing macem-macem klompok port input saka broker paket jaringan, uga ditrapake kanthi urutan siji-sijine ing piranti kasebut. Kauntungan penting saka broker paket yaiku kemampuan kanggo ngolah lalu lintas kanthi tingkat aliran lengkap lan njaga integritas sesi (ing kasus ngimbangi lalu lintas menyang sawetara sistem DPI saka jinis sing padha).

Njaga integritas sesi yaiku nransfer kabeh paket sesi lapisan transportasi (TCP / UDP / SCTP) menyang siji port. Iki penting amarga sistem DPI (biasane piranti lunak sing mlaku ing server sing disambungake menyang port output broker paket) nganalisa isi lalu lintas ing tingkat aplikasi, lan kabeh paket sing dikirim / ditampa dening siji aplikasi kudu teka ing conto sing padha. penganalisa. Yen paket siji sesi ilang utawa disebarake ing antarane piranti DPI sing beda-beda, mula saben piranti DPI individu bakal ana ing kahanan sing padha karo maca ora kabeh teks, nanging tembung-tembung individu saka iku. Lan, paling kamungkinan, teks ora bakal ngerti.

Mangkono, fokus ing sistem keamanan informasi, makelar paket jaringan duwe fungsi sing mbantu nyambungake sistem piranti lunak DPI menyang jaringan telekomunikasi kanthi kacepetan dhuwur lan nyuda beban kasebut: dheweke wis nyaring, ngelas lan nyiapake lalu lintas kanggo nyederhanakake proses sabanjure.

Kajaba iku, amarga makelar paket jaringan nyedhiyakake macem-macem statistik lan asring disambungake menyang macem-macem titik ing jaringan, dheweke uga nemokake papan kanggo diagnosa masalah kesehatan saka infrastruktur jaringan kasebut.

Fungsi dhasar saka Broker Paket Jaringan

Jeneng "switch khusus / ngawasi" muncul saka tujuan dhasar: kanggo ngumpulake lalu lintas saka infrastruktur (biasane nggunakake tunyuk TAP optik pasif lan / utawa port SPAN) lan disebarake ing antarane alat analisis. Lalu lintas dicerminake (duplikat) antarane sistem saka macem-macem jinis, lan imbang antarane sistem saka jinis padha. Fungsi dhasar biasane kalebu nyaring kanthi kolom nganti L4 (MAC, IP, TCP / port UDP, lsp.) lan nglumpukake sawetara saluran sing dimuat kanthi entheng dadi siji (contone, kanggo diproses ing siji sistem DPI).

Fungsi iki nyedhiyakake solusi kanggo tugas dhasar - nyambungake sistem DPI menyang infrastruktur jaringan. Broker saka macem-macem manufaktur, winates kanggo fungsi dhasar, nyedhiyani Processing nganti 32 100G antarmuka saben 1U (antarmuka liyane ora pas fisik ing panel ngarep 1U). Nanging, dheweke ora ngidini nyuda beban alat analisis, lan kanggo infrastruktur sing kompleks, dheweke ora bisa nyedhiyakake syarat kanggo fungsi dhasar: sesi sing disebarake ing sawetara terowongan (utawa dilengkapi tag MPLS) bisa dadi ora seimbang kanggo macem-macem kasus. analyzer lan umume tiba metu saka analisis.

Saliyane nambahake antarmuka 40/100G lan, minangka asil, ningkatake kinerja, makelar paket jaringan aktif ngembangake babagan nyedhiyakake fitur-fitur anyar sing dhasar: saka ngimbangi header trowongan bersarang nganti dekripsi lalu lintas. Sayange, model kasebut ora bisa gumunggung kinerja ing terabits, nanging bisa nggawe sistem keamanan informasi sing berkualitas lan "ayu" kanthi teknis sing saben alat analisis dijamin mung nampa informasi sing dibutuhake ing wangun sing paling cocog. kanggo analisis.

Fungsi lanjut saka makelar paket jaringan

Solusi modern kanggo mbangun sistem keamanan informasi - makelar paket jaringan (Broker Paket Jaringan)
1. Disebutake ing ndhuwur nested header balancing ing lalu lintas tunneled.

Apa sebabe penting? Coba 3 aspek sing bisa kritis bebarengan utawa kapisah:

  • njamin imbangan seragam ing ngarsane nomer cilik trowongan. Yen mung ana 2 terowongan ing titik sambungan sistem keamanan informasi, mula ora bakal bisa diimbangi kanthi header eksternal ing 3 platform server nalika njaga sesi kasebut. Ing wektu sing padha, lalu lintas ing jaringan ditularake kanthi ora rata, lan arah saben trowongan menyang fasilitas pangolahan sing kapisah bakal mbutuhake kinerja sing gedhe banget saka sing terakhir;
  • mesthekake integritas sesi lan stream protokol multisession (contone, FTP lan VoIP), paket sing rampung ing trowongan beda. Kerumitan infrastruktur jaringan saya tambah akeh: redundansi, virtualisasi, simplifikasi administrasi, lan liya-liyane. Ing tangan siji, iki nambah linuwih ing syarat-syarat transmisi data, ing tangan liyane, iku complicates karya sistem keamanan informasi. Malah kanthi kinerja analisa sing cukup kanggo ngolah saluran khusus kanthi terowongan, masalah kasebut ora bisa diatasi, amarga sawetara paket sesi pangguna dikirim liwat saluran liya. Kajaba iku, yen isih nyoba ngurus integritas sesi ing sawetara prasarana, mula protokol multisession bisa dadi cara sing beda-beda;
  • wawas ing ngarsane MPLS, VLAN, tag peralatan individu, etc. Ora tenan trowongan, nanging Nanging, peralatan karo fungsi dhasar bisa ngerti lalu lintas iki ora IP lan imbangan dening alamat MAC, sepisan maneh nglanggar uniformity saka wawas utawa integritas sesi.

Broker paket jaringan parsing header njaba lan sequentially nderek penunjuk nganti header IP nested lan saldo wis ing. AkibatΓ©, ana aliran sing luwih akeh (mungguh, bisa dadi ora imbang luwih merata lan ing platform sing luwih akeh), lan sistem DPI nampa kabeh paket sesi lan kabeh sesi protokol multisession sing gegandhengan.

2. Modifikasi lalu lintas.
Salah sawijining fungsi sing paling akeh babagan kemampuane, jumlah subfungsi lan pilihan sing digunakake akeh:

  • njabut payload, ing kasus iki mung header paket sing dikirim menyang parser. Iki cocog kanggo alat analisis utawa kanggo jinis lalu lintas sing isi paket kasebut ora duwe peran utawa ora bisa dianalisis. Contone, kanggo lalu lintas sing dienkripsi, data ijol-ijolan parametrik (sapa, karo sapa, kapan, lan pira) bisa dadi kapentingan, dene muatan kasebut sejatine sampah sing manggoni saluran lan sumber daya komputasi penganalisa. Variasi bisa uga nalika muatan dipotong wiwit saka offset sing diwenehake - iki nyedhiyakake ruang lingkup tambahan kanggo alat analisis;
  • detunneling, yaiku mbusak header sing nemtokake lan ngenali trowongan. Tujuane yaiku nyuda beban alat analisis lan nambah efisiensi. Detunneling bisa adhedhasar offset tetep utawa analisis header dinamis lan netepake offset kanggo saben paket;
  • mbusak sawetara header paket: tag MPLS, VLAN, lapangan tartamtu saka peralatan pihak katelu;
  • masking bagean saka header, contone, masking alamat IP kanggo mesthekake lalu lintas anonymization;
  • nambahake informasi layanan menyang paket: cap wektu, port input, label kelas lalu lintas, lsp.

3. Deduplikasi - reresik paket lalu lintas sing bola-bali dikirim menyang alat analisis. Paket duplikat sing paling kerep kedadeyan amarga keanehan nyambungake menyang infrastruktur - lalu lintas bisa ngliwati sawetara titik analisis lan dicerminake saka saben wong. Ana uga kiriman ulang paket TCP sing ora lengkap, nanging yen ana akeh, mula iki pitakonan liyane kanggo ngawasi kualitas jaringan, lan ora kanggo keamanan informasi.

4. Fitur nyaring majeng - saka nggoleki nilai tartamtu ing offset tartamtu kanggo analisis tandha ing kabeh paket.

5. NetFlow / generasi IPFIX - koleksi macem-macem statistik babagan lalu lintas lan transfer menyang alat analisis.

6. Dekripsi lalu lintas SSL, karya kasedhiya yen certificate lan tombol pisanan dimuat menyang makelar paket jaringan. Nanging, iki ngidini sampeyan mbongkar alat analisis kanthi signifikan.

Ana akeh fungsi liyane, migunani lan marketing, nanging sing utama, mbok menawa, wis kadhaptar.

Pangembangan sistem deteksi (intrusi, serangan DDOS) menyang sistem kanggo nyegah, uga introduksi alat DPI aktif, mbutuhake owah-owahan ing skema ngalih saka pasif (liwat TAP utawa port SPAN) dadi aktif ("in break" ). Kahanan iki nambah syarat kanggo linuwih (amarga kegagalan ing kasus iki nyebabake gangguan kabeh jaringan, lan ora mung ilang kontrol keamanan informasi) lan mimpin kanggo ngganti coupler optik karo bypass optik (supaya ngrampungake masalah katergantungan kinerja jaringan ing kinerja keamanan informasi sistem), nanging fungsi lan syarat utama tetep padha.

Kita wis ngembangake Broker Paket Jaringan Integritas DS kanthi antarmuka 100G, 40G lan 10G saka desain lan sirkuit menyang piranti lunak sing dipasang. Kajaba iku, ora kaya makelar paket liyane, fungsi modifikasi lan imbangan kanggo header trowongan bersarang dileksanakake ing piranti keras kita, kanthi kecepatan port lengkap.

Solusi modern kanggo mbangun sistem keamanan informasi - makelar paket jaringan (Broker Paket Jaringan)

Source: www.habr.com

Add a comment