Ақпараттық қауіпсіздік телекоммуникациядан өзіндік ерекшеліктері мен жабдықтары бар дербес салаға бөлінді. Бірақ телекоммуникация мен ақпараттық қауіпсіздіктің қиылысында тұрған құрылғылардың аз белгілі класы бар - желілік пакет брокерлері (Network Packet Broker), олар сондай-ақ жүктемені теңестірушілер, мамандандырылған/бақылау қосқыштары, трафик агрегаторлары, Қауіпсіздікті жеткізу платформасы, Желінің көрінуі және т.б. Ал біз, ресейлік әзірлеуші және осындай құрылғыларды өндіруші ретінде, олар туралы сізге көбірек айтқымыз келеді.
Шешім көлемі мен міндеттері
Желілік пакет брокерлері – ақпараттық қауіпсіздік жүйелерінде ең көп қолданылатын арнайы құрылғылар. Осылайша, құрылғы класы салыстырмалы түрде жаңа және коммутаторлар, маршрутизаторлар және т.б. салыстырғанда жалпы желілік инфрақұрылымда аз. Құрылғының бұл түрін жасаудың пионері американдық Gigamon компаниясы болды. Қазіргі уақытта бұл нарықта айтарлықтай көп ойыншылар бар (оның ішінде белгілі сынақ жүйелерінің өндірушісі - IXIA ұқсас шешімдері), бірақ мұндай құрылғылардың бар екендігі туралы әлі де мамандардың тар шеңбері ғана біледі. Жоғарыда атап өтілгендей, терминологияның өзінде біржақты сенімділік жоқ: атаулар «желілік мөлдірлік жүйелерінен» қарапайым «балансерлерге» дейін.
Желілік пакеттік брокерлерді әзірлеу кезінде біз функционалдылықты дамыту бағыттарын талдау және зертханаларда/сынақ аймақтарында тестілеуден басқа, әлеуетті тұтынушыларға жабдықтың осы класының болуы туралы бір мезгілде түсіндіру қажет екендігімен бетпе-бет келдік. , өйткені бұл туралы бәрі біле бермейді.
Тіпті 15-20 жыл бұрын желіде трафик аз болды және бұл негізінен маңызды емес деректер болды. Бірақ іс жүзінде қайталайды : Интернетке қосылу жылдамдығы жыл сайын 50%-ға артады. Трафик көлемі де тұрақты өсуде (график Cisco компаниясының 2017 жылғы болжамын көрсетеді, Cisco Visual Networking Index көзі: Болжам және трендтер, 2017–2022):
Жылдамдықпен қатар ақпарат айналымының маңыздылығы (бұл коммерциялық құпия және атышулы жеке деректер) және инфрақұрылымның жалпы өнімділігі артып келеді.
Сәйкесінше, ақпараттық қауіпсіздік саласы пайда болды. Өнеркәсіп бұған DDOS шабуылдарының алдын алу жүйелерінен бастап IDS, IPS, DLP, NBA, SIEM, антипочталық бағдарламалық құрал және т. Әдетте, бұл құралдардың әрқайсысы серверлік платформада орнатылған бағдарламалық құрал болып табылады. Сонымен қатар, әрбір бағдарлама (талдау құралы) өзінің серверлік платформасында орнатылған: бағдарламалық жасақтаманы өндірушілер әртүрлі және L7-де талдау үшін көптеген есептеу ресурстары қажет.
Ақпараттық қауіпсіздік жүйесін құру кезінде бірқатар негізгі міндеттерді шешу қажет:
- трафикті инфрақұрылымнан талдау жүйелеріне қалай ауыстыруға болады? (қазіргі инфрақұрылымда бұл үшін бастапқыда әзірленген SPAN порттары саны жағынан да, өнімділігі жағынан да жеткіліксіз)
- әртүрлі талдау жүйелері арасында трафикті қалай бөлуге болады?
- Анализатордың бір данасы оған кіретін трафиктің бүкіл көлемін өңдеу үшін жеткіліксіз өнімділік болған кезде жүйелерді қалай масштабтауға болады?
- 40G/100G интерфейстерін қалай бақылауға болады (және жақын арада 200G/400G), өйткені талдау құралдары қазіргі уақытта тек 1G/10G/25G интерфейстерін қолдайды?
Және келесі байланысты міндеттер:
- өңдеуді қажет етпейтін, бірақ талдау құралдарына түсетін және олардың ресурстарын тұтынатын орынсыз трафикті қалай азайтуға болады?
- инкапсуляцияланған пакеттер мен аппараттық қызмет көрсету белгілері бар пакеттерді қалай өңдеуге болады, оларды талдауға дайындау ресурсты көп қажет етеді немесе мүлде жүзеге асырылмайды?
- қауіпсіздік саясатымен реттелмейтін трафик бөлігін талдаудан қалай шығаруға болады (мысалы, басшының қозғалысы).
Барлығы білетіндей, сұраныс ұсынысты тудырады, осы қажеттіліктерге жауап ретінде желілік пакеттік брокерлер дами бастады.
Желілік пакет брокерлерінің жалпы сипаттамасы
Желілік пакет брокерлері пакеттік деңгейде жұмыс істейді және осылайша олар кәдімгі коммутаторларға ұқсас. Коммутаторлардан басты айырмашылығы желілік пакет брокерлерінде трафикті бөлу және біріктіру ережелері толығымен параметрлермен анықталады. Желілік пакет брокерлерінде қайта жіберу кестелерін (MAC кестелері) құру және хаттамаларды басқа коммутаторлармен алмасу стандарттары жоқ (мысалы, STP), сондықтан олардағы мүмкін параметрлер мен түсінікті өрістер ауқымы әлдеқайда кең. Брокер шығыс жүктемені теңестіру мүмкіндігі бар шығыс порттарының белгілі бір ауқымына бір немесе бірнеше кіріс порттарынан трафикті біркелкі тарата алады. Көшіру, сүзу, жіктеу, қайталау және трафикті өзгерту ережелерін орнатуға болады. Бұл ережелер желілік пакет брокерінің кіріс порттарының әртүрлі топтарына қолданылуы мүмкін, сонымен қатар құрылғының өзінде бірінен соң бірі ретпен қолданылуы мүмкін. Пакеттік брокердің маңызды артықшылығы трафикті толық ағындық жылдамдықпен өңдеу және сеанстардың тұтастығын сақтау мүмкіндігі болып табылады (бір типтегі бірнеше DPI жүйелеріне трафикті теңестіру жағдайында).
Сеанстардың тұтастығын сақтау транспорттық деңгей сеансының барлық пакеттерін (TCP/UDP/SCTP) бір портқа көшіру болып табылады. Бұл өте маңызды, себебі DPI жүйелері (әдетте пакеттік брокердің шығыс портына қосылған серверде жұмыс істейтін бағдарламалық жасақтама) қолданба деңгейінде трафик мазмұнын талдайды және бір қолданба арқылы жіберілген/қабылданған барлық пакеттер бір данаға келуі керек. анализатор. Егер бір сеанстың пакеттері жоғалса немесе әртүрлі DPI құрылғылары арасында таратылса, онда әрбір жеке DPI құрылғысы тұтас мәтінді емес, одан жеке сөздерді оқуға ұқсас жағдайда болады. Және, ең алдымен, мәтін түсінбейді.
Осылайша, ақпараттық қауіпсіздік жүйелеріне бағдарланған желілік пакет брокерлері DPI бағдарламалық жүйелерін жоғары жылдамдықты телекоммуникациялық желілерге қосуға және оларға жүктемені азайтуға көмектесетін функционалдылыққа ие: олар кейінгі өңдеуді жеңілдету үшін трафикті алдын ала сүзеді, жіктейді және дайындайды.
Сонымен қатар, желілік пакет брокерлері статистиканың кең ауқымын қамтамасыз ететіндіктен және жиі желінің әртүрлі нүктелеріне қосылғандықтан, олар желілік инфрақұрылымның денсаулық мәселелерін диагностикалауда да өз орнын табады.
Желілік пакет брокерлерінің негізгі функциялары
«Арнайы/бақылау қосқыштары» атауы негізгі мақсаттан туындады: инфрақұрылымнан трафикті жинау (әдетте пассивті оптикалық TAP крандарын және/немесе SPAN порттарын пайдалану) және оны талдау құралдары арасында тарату. Трафик әртүрлі типтегі жүйелер арасында шағылыстырылады (қайталанады) және бір типті жүйелер арасында теңгеріледі. Негізгі функцияларға әдетте L4 дейінгі өрістер бойынша сүзгілеу (MAC, IP, TCP/UDP порты және т.б.) және бірнеше жеңіл жүктелген арналарды бір арнаға біріктіру (мысалы, бір DPI жүйесінде өңдеу үшін) кіреді.
Бұл функционалдылық негізгі тапсырманың шешімін қамтамасыз етеді - DPI жүйелерін желілік инфрақұрылымға қосу. Негізгі функционалдылықпен шектелген әртүрлі өндірушілердің брокерлері 32U үшін 100 1G интерфейстерін өңдеуді қамтамасыз етеді (көбірек интерфейстер 1U алдыңғы панеліне физикалық түрде сәйкес келмейді). Дегенмен, олар талдау құралдарына жүктемені азайтуға мүмкіндік бермейді, ал күрделі инфрақұрылым үшін олар тіпті негізгі функцияға қойылатын талаптарды да қамтамасыз ете алмайды: бірнеше туннельдер арқылы таратылған сеанс (немесе MPLS тегтерімен жабдықталған) әртүрлі нұсқалары үшін теңгерімсіз болуы мүмкін. анализатор және жалпы талдаудан шығып кетеді.
40/100G интерфейстерін қосумен және соның нәтижесінде өнімділікті жақсартумен қатар, желілік пакет брокерлері түбегейлі жаңа мүмкіндіктерді қамтамасыз ету тұрғысынан белсенді дамып келеді: кірістірілген туннель тақырыптарындағы теңгерімнен трафиктің шифрын шешуге дейін. Өкінішке орай, мұндай модельдер терабиттерде өнімділігімен мақтана алмайды, бірақ олар шын мәнінде жоғары сапалы және техникалық «әдемі» ақпараттық қауіпсіздік жүйесін құруға мүмкіндік береді, онда әрбір талдау құралы тек өзіне қажетті ақпаратты ең қолайлы пішінде алуға кепілдік береді. талдау үшін.
Желілік пакет брокерлерінің кеңейтілген функциялары
1. Жоғарыда айтылған туннельдік трафиктегі кірістірілген тақырыпты теңдестіру.
Неліктен маңызды? Бірге немесе бөлек сыни болуы мүмкін 3 аспектіні қарастырыңыз:
- аздаған туннельдер болған кезде біркелкі теңгерімдеуді қамтамасыз ету. Ақпараттық қауіпсіздік жүйелерін қосу нүктесінде тек 2 туннель болған жағдайда, сеансты сақтай отырып, оларды 3 серверлік платформалардағы сыртқы тақырыптар арқылы теңгерімсіздіктен шығару мүмкін болмайды. Бұл ретте желідегі трафик біркелкі емес тасымалданады, ал әрбір туннельдің жеке өңдеу объектісіне бағыты соңғысының шамадан тыс өнімділігін талап етеді;
- пакеттері әртүрлі туннельдерде аяқталатын көпсессиялық хаттамалардың (мысалы, FTP және VoIP) сеанстары мен ағындарының тұтастығын қамтамасыз ету. Желілік инфрақұрылымның күрделілігі үнемі артып келеді: резервтеу, виртуалдандыру, басқаруды жеңілдету және т.б. Бұл бір жағынан мәліметтерді тасымалдау тұрғысынан сенімділікті арттырса, екінші жағынан ақпараттық қауіпсіздік жүйелерінің жұмысын қиындатады. Туннельдері бар арнайы арнаны өңдеу үшін анализаторлардың жеткілікті өнімділігінің өзінде мәселе шешілмейтін болып шығады, өйткені пайдаланушының кейбір сеанс пакеттері басқа арна арқылы тасымалданады. Оның үстіне, егер олар әлі де кейбір инфрақұрылымдардағы сеанстардың тұтастығына қамқорлық жасауға тырысса, онда көпсессиялық хаттамалар мүлдем басқа жолмен жүруі мүмкін;
- теңдестіру MPLS, VLAN, жеке жабдық тегтері және т.б. Шын мәнінде туннельдер емес, бірақ негізгі функционалдығы бар жабдық бұл трафикті IP ретінде емес және MAC мекенжайлары бойынша теңгерім ретінде түсінеді, бұл теңгерімдеудің біркелкілігін немесе сеанс тұтастығын тағы да бұзады.
Желілік пакет брокері сыртқы тақырыптарды талдайды және кірістірілген IP тақырыбына дейінгі көрсеткіштерді және ондағы баланстарды ретімен бақылайды. Нәтижесінде, айтарлықтай көп ағындар бар (тиісінше, ол біркелкі және көп платформаларда теңгерімсіз болуы мүмкін) және DPI жүйесі барлық сеанс пакеттерін және көпсессиялық хаттамалардың барлық байланысты сеанстарын қабылдайды.
2. Трафикті өзгерту.
Мүмкіндіктері бойынша ең кең функциялардың бірі, ішкі функциялардың саны және оларды пайдалану нұсқалары өте көп:
- пайдалы жүктемені жою, бұл жағдайда талдаушыға тек пакет тақырыптары беріледі. Бұл талдау құралдарына немесе пакеттердің мазмұны рөл атқармайтын немесе талдауға болмайтын трафик түрлеріне қатысты. Мысалы, шифрланған трафик үшін параметрлік алмасу деректері (кіммен, кіммен, қашан және қанша) қызықты болуы мүмкін, ал пайдалы жүктеме шын мәнінде анализатордың арнасы мен есептеу ресурстарын алатын қоқыс болып табылады. Пайдалы жүктеме берілген ығысудан бастап үзілген кезде вариациялар мүмкін - бұл талдау құралдары үшін қосымша мүмкіндік береді;
- туннельдерді жою, атап айтқанда туннельдерді белгілейтін және анықтайтын тақырыптарды жою. Мақсат – талдау құралдарына жүктемені азайту және олардың тиімділігін арттыру. Детуннельдеу әрбір пакет үшін бекітілген ығысу немесе динамикалық тақырып талдауына және офсеттік анықтауға негізделуі мүмкін;
- кейбір пакет тақырыптарын жою: MPLS тегтері, VLAN, үшінші тарап жабдықтарының нақты өрістері;
- тақырыптардың бір бөлігін маскировкалау, мысалы, трафикті анонимизациялауды қамтамасыз ету үшін IP мекенжайларын бүркемелеу;
- пакетке қызмет туралы ақпаратты қосу: уақыт белгілері, енгізу порты, трафик класының белгілері және т.б.
3. Депликация – талдау құралдарына берілетін қайталанатын трафик пакеттерін тазалау. Қайталанатын пакеттер көбінесе инфрақұрылымға қосылу ерекшеліктеріне байланысты пайда болады - трафик талдаудың бірнеше нүктесінен өтіп, олардың әрқайсысынан шағылыстырылуы мүмкін. Сондай-ақ, толық емес TCP пакеттерін қайта жіберу бар, бірақ егер олар көп болса, онда бұл желідегі ақпараттық қауіпсіздік үшін емес, желі сапасын бақылау үшін көбірек сұрақтар.
4. Жетілдірілген сүзу мүмкіндіктері – берілген офсеттегі нақты мәндерді іздеуден бүкіл пакеттің қолтаңбалық талдауына дейін.
5. NetFlow/IPFIX буыны – трафикті өткізу және оны талдау құралдарына беру бойынша статистиканың кең ауқымын жинау.
6. SSL трафикінің шифрын шешу, сертификат пен кілттер алдымен желілік пакет брокеріне жүктелген жағдайда жұмыс істейді. Дегенмен, бұл талдау құралдарын айтарлықтай босатуға мүмкіндік береді.
Пайдалы және маркетингтік басқа да көптеген функциялар бар, бірақ негізгілері, мүмкін, тізімделген.
Анықтау жүйелерін (интрузиялар, DDOS шабуылдары) олардың алдын алу жүйелеріне әзірлеу, сондай-ақ белсенді DPI құралдарын енгізу коммутация схемасын пассивтіден (TAP немесе SPAN порттары арқылы) белсендіге («үзіліс») өзгертуді талап етті. ). Бұл жағдай сенімділікке қойылатын талаптарды арттырды (өйткені бұл жағдайда ақаулық ақпараттық қауіпсіздікті бақылауды жоғалтуға ғана емес, бүкіл желінің бұзылуына әкеледі) және оптикалық қосқыштарды оптикалық айналма жолдармен ауыстыруға әкелді (үшін желінің өнімділігінің жүйенің ақпараттық қауіпсіздігінің өнімділігіне тәуелділігі мәселесін шешу), бірақ оған қойылатын негізгі функциялар мен талаптар өзгеріссіз қалды.
Біз дизайн мен схемадан ендірілген бағдарламалық құралға дейін 100G, 40G және 10G интерфейстері бар DS Integrity Network Packet Brokers әзірледік. Сонымен қатар, басқа пакеттік брокерлерден айырмашылығы, кірістірілген туннель тақырыптары үшін модификациялау және теңгеру функциялары біздің аппараттық құралымызда порттың толық жылдамдығымен жүзеге асырылады.
Ақпарат көзі: www.habr.com