정보 보안 시스템 구축을 위한 최신 솔루션 - 네트워크 패킷 브로커(Network Packet Broker)

정보 보안은 통신에서 고유한 특성과 자체 장비를 갖춘 독립 산업으로 분리되었습니다. 그러나 통신과 인포베즈의 교차점에 있는 잘 알려지지 않은 종류의 장치가 있습니다. 네트워크 패킷 브로커 (Network Packet Broker), 로드 밸런서, 특수/모니터링 스위치, 트래픽 어그리게이터, 보안 전달 플랫폼, 네트워크 가시성 등이기도 합니다. 그리고 우리는 이러한 장치의 러시아 개발자이자 제조업체로서 이에 대해 더 많이 알려주고 싶습니다.

해결 범위 및 과제

네트워크 패킷 브로커는 정보 보안 시스템에서 가장 많이 사용되는 특수 장치입니다. 이와 같이 장치 등급은 상대적으로 새롭고 스위치, 라우터 등에 비해 공통 네트워크 인프라에 거의 없습니다. 이러한 유형의 장치 개발의 선구자는 미국 회사 Gigamon이었습니다. 현재이 시장에는 훨씬 더 많은 플레이어가 있지만 (유명한 테스트 시스템 제조업체 인 IXIA의 유사한 솔루션 포함) 이러한 장치의 존재에 대해 여전히 알고있는 전문가는 좁은 범위입니다. 위에서 언급한 바와 같이 용어를 사용하더라도 명확한 확실성은 없습니다. 이름의 범위는 "네트워크 투명성 시스템"에서 단순한 "밸런서"까지입니다.

네트워크 패킷 브로커를 개발하는 동안 기능 개발 방향을 분석하고 실험실 / 테스트 영역에서 테스트하는 것 외에도 잠재 소비자에게 이러한 종류의 장비의 존재에 대해 동시에 설명해야 한다는 사실에 직면했습니다. , 모든 사람이 그것에 대해 아는 것은 아니기 때문입니다.

15~20년 전만 해도 네트워크에 트래픽이 거의 없었고 대부분 중요하지 않은 데이터였습니다. 하지만 닐슨의 법칙 거의 반복 무어의 법칙: 인터넷 연결 속도가 매년 50%씩 증가합니다. 트래픽 볼륨도 꾸준히 증가하고 있습니다(그래프는 Cisco의 2017 예측, 출처 Cisco Visual Networking Index: Forecast and Trends, 2017–2022).

속도와 함께 순환 정보(이는 영업 비밀이자 악명 높은 개인 데이터임)의 중요성과 인프라의 전반적인 성능이 증가하고 있습니다.

이에 정보보안 산업이 등장했다. 업계는 DDOS 공격 방지 시스템부터 IDS, IPS, DLP, NBA, SIEM, Antimailware 등 정보 보안 이벤트 관리 시스템에 이르기까지 광범위한 트래픽 분석(DPI) 장치로 이에 대응했습니다. 일반적으로 이러한 각 도구는 서버 플랫폼에 설치된 소프트웨어입니다. 또한 각 프로그램(분석 도구)은 자체 서버 플랫폼에 설치됩니다. 소프트웨어 제조업체가 다르고 L7에서 분석하려면 많은 컴퓨팅 리소스가 필요합니다.

정보 보안 시스템을 구축할 때 다음과 같은 여러 가지 기본 작업을 해결해야 합니다.

• 인프라에서 분석 시스템으로 트래픽을 전송하는 방법은 무엇입니까? (원래 현대 인프라에서 이를 위해 개발된 SPAN 포트는 수량이나 성능 면에서 충분하지 않습니다.)
• 서로 다른 분석 시스템 간에 트래픽을 분산하는 방법은 무엇입니까?
• 유입되는 트래픽의 전체 볼륨을 처리하기 위해 분석기의 한 인스턴스의 성능이 충분하지 않을 때 시스템을 확장하는 방법은 무엇입니까?
• 분석 도구가 현재 40G/100G/200G 인터페이스만 지원하므로 400G/1G 인터페이스(그리고 가까운 장래에 10G/25G도)를 모니터링하는 방법은 무엇입니까?

그리고 다음 관련 작업:

• 처리할 필요는 없지만 분석 도구에 도달하여 리소스를 소비하는 부적절한 트래픽을 최소화하는 방법은 무엇입니까?
• 캡슐화된 패킷과 하드웨어 서비스 마크가 있는 패킷을 처리하는 방법, 분석 준비가 리소스 집약적이거나 전혀 실현 불가능한 것으로 판명되는 경우?
• 보안 정책에 의해 규제되지 않는 트래픽 부분(예: 헤드의 트래픽)을 분석에서 제외하는 방법.

모두가 알다시피 수요는 공급을 창출하고 이러한 요구에 부응하여 네트워크 패킷 브로커가 개발되기 시작했습니다.

네트워크 패킷 브로커에 대한 일반적인 설명

네트워크 패킷 브로커는 패킷 수준에서 작동하며 일반 스위치와 유사합니다. 스위치와의 주요 차이점은 네트워크 패킷 브로커의 트래픽 배포 및 집계 규칙이 설정에 의해 완전히 결정된다는 것입니다. 네트워크 패킷 브로커에는 포워딩 테이블(MAC 테이블)을 구축하고 다른 스위치(예: STP)와 프로토콜을 교환하기 위한 표준이 없으므로 가능한 설정 범위와 이해할 수 있는 필드가 훨씬 더 넓습니다. 브로커는 출력 로드 밸런싱 기능을 사용하여 하나 이상의 입력 포트에서 지정된 범위의 출력 포트로 트래픽을 고르게 분배할 수 있습니다. 트래픽 복사, 필터링, 분류, 중복 제거 및 수정에 대한 규칙을 설정할 수 있습니다. 이러한 규칙은 네트워크 패킷 브로커의 다양한 입력 포트 그룹에 적용할 수 있을 뿐만 아니라 장치 자체에서 순차적으로 적용할 수도 있습니다. 패킷 브로커의 중요한 장점은 전체 흐름 속도로 트래픽을 처리하고 세션의 무결성을 보존하는 기능입니다(동일한 유형의 여러 DPI 시스템으로 트래픽의 균형을 맞추는 경우).

세션의 무결성을 유지하는 것은 전송 계층(TCP/UDP/SCTP)의 세션의 모든 패킷을 하나의 포트로 전송하는 것입니다. 이는 DPI 시스템(일반적으로 패킷 브로커의 출력 포트에 연결된 서버에서 실행되는 소프트웨어)이 애플리케이션 수준에서 트래픽 내용을 분석하고 한 애플리케이션에서 송수신한 모든 패킷이 동일한 인스턴스에 도착해야 하기 때문에 중요합니다. 분석기 . 한 세션의 패킷이 손실되거나 다른 DPI 장치 간에 분산되면 각 개별 DPI 장치는 전체 텍스트가 아니라 개별 단어를 읽는 것과 유사한 상황에 놓이게 됩니다. 그리고 아마도 텍스트는 이해하지 못할 것입니다.

따라서 정보 보안 시스템에 중점을 둔 네트워크 패킷 브로커는 DPI 소프트웨어 시스템을 고속 통신 네트워크에 연결하고 부하를 줄이는 데 도움이 되는 기능을 갖추고 있습니다. 트래픽을 사전 필터링, 분류 및 준비하여 후속 처리를 단순화합니다.

또한 네트워크 패킷 브로커는 광범위한 통계를 제공하고 네트워크의 다양한 지점에 연결되는 경우가 많기 때문에 네트워크 인프라 자체의 상태 문제를 진단하는 역할도 합니다.

네트워크 패킷 브로커의 기본 기능

"전용/모니터링 스위치"라는 이름은 인프라에서 트래픽을 수집하고(일반적으로 수동 광 TAP 탭 및/또는 SPAN 포트 사용) 이를 분석 도구 간에 배포하는 기본 목적에서 유래되었습니다. 트래픽은 서로 다른 유형의 시스템 간에 미러링(중복)되고 동일한 유형의 시스템 간에 균형이 유지됩니다. 기본 기능에는 일반적으로 최대 L4(MAC, IP, TCP/UDP 포트 등)까지의 필드별 필터링과 부하가 적은 여러 채널을 하나로 집계(예: 하나의 DPI 시스템에서 처리)가 포함됩니다.

이 기능은 DPI 시스템을 네트워크 인프라에 연결하는 기본 작업에 대한 솔루션을 제공합니다. 기본 기능으로 제한되는 다양한 제조업체의 브로커는 32U당 최대 100개의 1G 인터페이스 처리를 제공합니다(더 많은 인터페이스는 물리적으로 1U 전면 패널에 맞지 않음). 그러나 그들은 분석 도구에 대한 부하를 줄이는 것을 허용하지 않으며 복잡한 인프라의 경우 기본 기능에 대한 요구 사항조차 제공할 수 없습니다. 여러 터널에 분산된(또는 MPLS 태그가 장착된) 세션은 분석기 및 일반적으로 분석에서 떨어집니다.

40/100G 인터페이스를 추가하고 결과적으로 성능을 향상시키는 것 외에도 네트워크 패킷 브로커는 근본적으로 새로운 기능을 제공하는 측면에서 활발히 발전하고 있습니다. 중첩된 터널 헤더의 균형에서 트래픽 암호 해독에 이르기까지입니다. 안타깝게도 이러한 모델은 테라비트 단위의 성능을 자랑할 수는 없지만 각 분석 도구가 가장 적합한 형식으로 필요한 정보만 수신하도록 보장되는 고품질의 기술적으로 "아름다운" 정보 보안 시스템을 구축할 수 있습니다. 분석을 위해.

네트워크 패킷 브로커의 고급 기능

1. 위에 언급했듯이 터널링된 트래픽에서 중첩된 헤더 밸런싱.

왜 중요 함? 함께 또는 개별적으로 중요할 수 있는 3가지 측면을 고려하십시오.

• 적은 수의 터널이 있을 때 균일한 균형을 보장합니다. 정보 보안 시스템의 연결 지점에 터널이 2개뿐인 경우 세션을 유지하면서 3개의 서버 플랫폼에서 외부 헤더로 터널을 불균형하게 만들 수 없습니다. 동시에 네트워크의 트래픽은 고르지 않게 전송되며 각 터널이 별도의 처리 시설로 향하려면 후자의 과도한 성능이 필요합니다.
• 패킷이 서로 다른 터널에서 끝나는 다중 세션 프로토콜(예: FTP 및 VoIP)의 세션 및 스트림의 무결성을 보장합니다. 중복성, 가상화, 관리 간소화 등 네트워크 인프라의 복잡성은 지속적으로 증가하고 있습니다. 한편으로 이것은 데이터 전송 측면에서 신뢰성을 높이는 반면 정보 보안 시스템의 작업을 복잡하게 만듭니다. 터널이 있는 전용 채널을 처리할 수 있는 분석기의 성능이 충분하더라도 일부 사용자 세션 패킷이 다른 채널을 통해 전송되기 때문에 문제를 해결할 수 없는 것으로 판명되었습니다. 또한 일부 인프라에서 여전히 세션의 무결성을 관리하려고 시도하는 경우 다중 세션 프로토콜은 완전히 다른 방식으로 진행될 수 있습니다.
• MPLS, VLAN, 개별 장비 태그 등이 있는 경우 밸런싱 실제로 터널링은 아니지만 그럼에도 불구하고 기본 기능을 갖춘 장비는 이 트래픽을 IP가 아닌 것으로 이해하고 MAC 주소로 균형을 잡을 수 있으며 다시 한 번 균형 또는 세션 무결성의 균일성을 위반합니다.

네트워크 패킷 브로커는 외부 헤더를 구문 분석하고 포인터를 중첩된 IP 헤더까지 순차적으로 따라가며 이미 균형을 맞춥니다. 결과적으로 훨씬 더 많은 스트림이 있고(각각 더 많은 수의 플랫폼에서 더 고르게 균형이 맞지 않을 수 있음) DPI 시스템은 모든 세션 패킷 및 다중 세션 프로토콜의 모든 관련 세션을 수신합니다.

2. 트래픽 수정.
기능 측면에서 가장 광범위한 기능 중 하나, 하위 기능 및 사용 옵션의 수는 다음과 같습니다.

• 페이로드를 제거하면 패킷 헤더만 파서에 전달됩니다. 이는 분석 도구 또는 패킷 내용이 역할을 수행하지 않거나 분석할 수 없는 트래픽 유형과 관련이 있습니다. 예를 들어, 암호화된 트래픽의 경우 파라메트릭 교환 데이터(누가, 누구와, 언제, 얼마나)가 중요할 수 있지만 페이로드는 실제로 분석기의 채널과 컴퓨팅 리소스를 차지하는 가비지입니다. 지정된 오프셋에서 시작하여 페이로드가 잘릴 때 변형이 가능합니다. 이는 분석 도구에 대한 추가 범위를 제공합니다.
• 디터널링, 즉 터널을 지정하고 식별하는 헤더 제거. 목표는 분석 도구의 부하를 줄이고 효율성을 높이는 것입니다. 디터널링은 각 패킷에 대한 고정 오프셋 또는 동적 헤더 분석 및 오프셋 결정을 기반으로 할 수 있습니다.
• 일부 패킷 헤더 제거: MPLS 태그, VLAN, 타사 장비의 특정 필드
• 예를 들어 트래픽 익명화를 보장하기 위해 IP 주소를 마스킹하는 등 헤더의 일부를 마스킹합니다.
• 패킷에 서비스 정보 추가: 타임스탬프, 입력 포트, 트래픽 클래스 레이블 등

3. 중복 제거 – 분석 도구로 전송되는 반복 트래픽 패킷 정리. 중복 패킷은 인프라 연결의 특성으로 인해 가장 자주 발생합니다. 트래픽은 여러 분석 지점을 통과하고 각 지점에서 미러링될 수 있습니다. 불완전한 TCP 패킷의 재전송도 있지만 패킷이 많으면 정보 보안이 아닌 네트워크 품질 모니터링에 대한 추가 질문입니다.

4. 고급 필터링 기능 – 주어진 오프셋에서 특정 값을 검색하는 것부터 전체 패키지에 대한 서명 분석까지.

5. NetFlow/IPFIX 생성 – 통과 트래픽에 대한 광범위한 통계 수집 및 분석 도구로의 전송.

6. SSL 트래픽 복호화, 인증서와 키가 먼저 네트워크 패킷 브로커에 로드된 경우 작동합니다. 그럼에도 불구하고 이렇게 하면 분석 도구를 상당히 언로드할 수 있습니다.

유용하고 마케팅적인 더 많은 기능이 있지만 아마도 주요 기능이 나열됩니다.

탐지 시스템(침입, DDOS 공격)을 방지하기 위한 시스템으로 개발하고 활성 DPI 도구를 도입하려면 수동(TAP 또는 SPAN 포트를 통해)에서 활성("중단")으로 전환 체계를 변경해야 했습니다. ). 이러한 상황은 신뢰성에 대한 요구 사항을 증가시켰고(이 경우 오류가 발생하면 정보 보안에 대한 통제력을 상실할 뿐만 아니라 전체 네트워크의 작동이 중단되기 때문에) 광 커플러를 광 바이패스로 교체하게 되었습니다. 시스템 정보 보안의 운용성에 따른 네트워크 운용성 문제를 해결하기 위해), 주요 기능 및 요구 사항은 동일하게 유지되었습니다.

설계 및 회로에서 임베디드 소프트웨어에 이르는 100G, 40G 및 10G 인터페이스를 갖춘 DS Integrity Network Packet Brokers를 개발했습니다. 또한 다른 패킷 브로커와 달리 중첩된 터널 헤더에 대한 수정 및 균형 조정 기능은 최대 포트 속도로 하드웨어에서 구현됩니다.

출처 : habr.com