Маалыматтык коопсуздук телекоммуникациядан өзүнчө өзгөчөлүктөргө жана жабдууларга ээ болгон көз карандысыз тармакка айланган. Бирок телеком жана infobez түйүнүндө турган анча белгилүү эмес класстар бар - тармак пакет брокерлери (Network Packet Broker), алар ошондой эле жүк баланстоочулар, адистештирилген / мониторинг которгучтары, трафик агрегаторлору, Коопсуздукту жеткирүү платформасы, Тармактын көрүнүшү жана башкалар. Ал эми биз, россиялык иштеп чыгуучу жана мындай түзүлүштөрдү өндүрүүчүсү катары, чындап эле, алар жөнүндө көбүрөөк айтып берүүнү каалайбыз.
Чечүүгө тийиш болгон масштаб жана милдеттер
Тармактык пакет брокерлери - маалыматтык коопсуздук системаларында эң көп колдонууну тапкан атайын түзүлүштөр. Ошентип, түзмөк классы салыштырмалуу жаңы жана жалпы тармактык инфраструктурада коммутаторлорго, роутерлерге жана башкаларга салыштырмалуу аз. Аппараттын бул түрүн иштеп чыгуунун пионери америкалык Gigamon компаниясы болгон. Азыркы учурда, бул рынокто бир кыйла көбүрөөк оюнчулар бар (анын ичинде сыноо системаларынын белгилүү өндүрүүчүсү окшош чечимдер - IXIA), бирок бир гана тар чөйрөсү адистер дагы эле мындай түзүлүштөрдүн бар экенин билет. Жогоруда белгиленгендей, терминологияда да эч кандай айкындык жок: аталыштар "тармактык ачыктык системаларынан" жөнөкөй "балансерлерге" чейин.
Тармактык пакет брокерлерин иштеп чыгууда, биз лабораторияларда/сыноо зоналарында функционалдуулукту өнүктүрүү жана тестирлөө багыттарын талдоодон тышкары, бир эле учурда потенциалдуу керектөөчүлөргө жабдуулардын бул классынын бар экендигин түшүндүрүү зарыл экендигине туш болдук. , анткени бул тууралуу баары эле биле бербейт.
Ал тургай, 15-20 жыл мурун, тармакта аз жол кыймылы бар болчу, ал негизинен маанилүү эмес маалыматтар болчу. Бирок иш жүзүндө кайталанат : Интернетке туташуу ылдамдыгы жыл сайын 50% өсөт. Трафиктин көлөмү да тынымсыз өсүп жатат (график Cisco компаниясынын 2017-жылга болжолун көрсөтөт, булак Cisco Visual Networking Index: Prognozs and Trends, 2017–2022):
Ылдамдык менен бирге маалыматты жүгүртүүнүн мааниси (бул коммерциялык сыр да, белгилүү жеке маалыматтар да) жана инфраструктуранын жалпы көрсөткүчтөрү өсүүдө.
Ошого жараша маалыматтык коопсуздук индустриясы пайда болду. Өнөр жай буга DDOS чабуулдарынын алдын алуу тутумдарынан баштап, IDS, IPS, DLP, NBA, SIEM, Antimailware ж. Эреже катары, бул куралдардын ар бири сервер платформасында орнотулган программалык камсыздоо болуп саналат. Мындан тышкары, ар бир программа (анализ куралы) өзүнүн сервердик платформасында орнотулган: программалык камсыздоону өндүрүүчүлөр ар түрдүү жана L7де талдоо жүргүзүү үчүн көптөгөн эсептөө ресурстары талап кылынат.
Маалыматтык коопсуздук системасын курууда бир катар негизги милдеттерди чечүү зарыл:
- трафикти инфраструктурадан анализ тутумдарына кантип өткөрүү керек? (Заманбап инфраструктурада алгач бул үчүн иштелип чыккан SPAN порттору сан жагынан да, аткаруу жагынан да жетишсиз)
- ар кандай талдоо системаларынын ортосунда трафикти кантип бөлүштүрүү керек?
- Анализатордун бир инстанциясынын иштеши ага кирген трафиктин бардык көлөмүн иштетүү үчүн жетишсиз болгондо системаларды кантип масштабдоо керек?
- 40G/100G интерфейстерин кантип көзөмөлдөө керек (жана жакынкы келечекте дагы 200G/400G), анткени талдоо куралдары учурда 1G/10G/25G интерфейстерин гана колдойт?
Жана төмөнкү тиешелүү милдеттер:
- кайра иштетүүнүн кереги жок, бирок талдоо куралдарына кирип, алардын ресурстарын керектеген туура эмес трафикти кантип азайтуу керек?
- Инкапсуляцияланган пакеттерди жана аппараттык тейлөө белгилери бар пакеттерди кантип иштетүү керек, аларды талдоо үчүн даярдоо ресурстарды көп талап кылат же такыр ишке ашпай калат?
- коопсуздук саясаты менен жөнгө салынбаган трафиктин бөлүгүн талдоодон кантип алып салуу керек (мисалы, баштын кыймылы).
Баарына белгилүү болгондой, суроо-талап сунушту жаратат, бул муктаждыктарга жооп катары, тармактык пакет брокерлери өнүгө баштады.
Тармак пакеттик брокерлеринин жалпы сүрөттөлүшү
Тармактык пакет брокерлери пакеттик деңгээлде иштешет жана бул жагынан алар кадимки коммутаторлорго окшош. Коммутаторлордон негизги айырмасы тармак пакет брокерлеринде трафикти бөлүштүрүү жана топтоо эрежелери толугу менен орнотуулар менен аныкталат. Тармактык пакет брокерлеринде багыттоо таблицаларын (MAC таблицаларын) куруу жана башка коммутаторлор (мисалы, STP) менен протоколдорду алмашуу стандарттары жок, ошондуктан алардагы мүмкүн болгон орнотуулардын жана түшүнүктүү талаалардын диапазону алда канча кеңири. Брокер трафикти бир же бир нече киргизүү портунан чыккан жүктү тең салмактоо функциясы менен чыгуу порттарынын берилген диапазонуна бирдей бөлүштүрө алат. Сиз көчүрүү, чыпкалоо, классификациялоо, дедупликациялоо жана трафикти өзгөртүү эрежелерин орното аласыз. Бул эрежелер тармактык пакет брокеринин киргизүү портторунун ар кандай топторуна колдонулушу мүмкүн, ошондой эле аппараттын өзүндө биринин артынан бири катары менен колдонулушу мүмкүн. Пакет брокеринин маанилүү артыкчылыгы - трафикти толук агымдын ылдамдыгы менен иштетүү жана сеанстардын бүтүндүгүн сактоо мүмкүнчүлүгү (бир типтеги бир нече DPI системаларына трафикти балансташтырууда).
Сеанстардын бүтүндүгүн сактоо транспорттук катмардын сессиясынын бардык пакеттерин (TCP/UDP/SCTP) бир портко өткөрүү болуп саналат. Бул маанилүү, анткени DPI системалары (көбүнчө пакеттик брокердин чыгуу портуна туташтырылган серверде иштеген программалык камсыздоо) колдонмо деңгээлинде трафиктин мазмунун талдайт жана бир тиркеме тарабынан жөнөтүлгөн/кабыл алынган бардык пакеттер бир эле инстанцияга келиши керек. анализатор. Эгерде бир сеанстын пакеттери жоголсо же ар кандай DPI түзмөктөрүнүн арасында бөлүштүрүлсө, анда ар бир жеке DPI аппараты бүтүндөй текстти эмес, андан жеке сөздөрдү окууга окшош кырдаалда болот. Жана, сыягы, текст түшүнбөй калат.
Ошентип, маалыматтык коопсуздук системаларына багытталган пакеттик брокерлер DPI программалык системаларын жогорку ылдамдыктагы телекоммуникациялык тармактарга туташтырууга жана аларга жүктөлгөн жүктү азайтууга жардам берген функцияга ээ: алар кийинки иштетүүнү жөнөкөйлөтүү үчүн трафикти алдын ала чыпкалап, классификациялап жана даярдашат.
Мындан тышкары, тармактык пакет брокерлери статистиканын кеңири спектрин камсыз кылгандыктан жана көбүнчө тармактын ар кандай чекиттерине туташкандыктан, алар тармактык инфраструктуранын ден соолук көйгөйлөрүн диагностикалоодо да өз ордун табат.
Тармактык пакет брокерлеринин негизги функциялары
"Арналган/мониторинг өчүргүчтөрү" аталышы негизги максаттан келип чыккан: инфраструктурадан трафикти чогултуу (көбүнчө пассивдүү оптикалык TAP крандарын жана/же SPAN портторун колдонуу менен) жана аны талдоо куралдарынын арасында бөлүштүрүү. Трафик ар кандай типтеги системалардын ортосунда чагылдырылат (көбөйтүлөт) жана бир типтеги системалардын ортосунда тең салмактуу. Негизги функцияларга адатта L4 (MAC, IP, TCP/UDP порту ж.б.) чейинки талаалар боюнча чыпкалоо жана бир нече жеңил жүктөлгөн каналдарды бириктирүү (мисалы, бир DPI системасында иштетүү үчүн) кирет.
Бул функция негизги милдетти чечүүнү камсыз кылат - DPI системаларын тармактык инфраструктурага туташтыруу. Негизги функциялар менен чектелген ар кандай өндүрүүчүлөрдүн брокерлери 32U үчүн 100 1G интерфейстерин иштетүүнү камсыздайт (көбүрөөк интерфейстер 1U алдыңкы панелине физикалык жактан туура келбейт). Бирок, алар талдоо инструменттеринин жүгүн азайтууга мүмкүндүк бербейт, ал эми татаал инфраструктура үчүн алар негизги функцияга талаптарды да камсыз кыла албайт: бир нече туннелдерге бөлүштүрүлгөн (же MPLS тэгдери менен жабдылган) сеанстын ар кандай учурлары үчүн тең салмаксыз болушу мүмкүн. анализатор жана жалпысынан анализден чыгат.
40/100G интерфейстерин кошуудан жана натыйжада өндүрүмдүүлүктү жогорулатуудан тышкары, тармактык пакет брокерлери принципиалдуу жаңы функцияларды берүү жагынан жигердүү өнүгүп жатышат: уяланган туннель баштарында баланстоодон тартып трафиктин шифрин чечүүгө чейин. Тилекке каршы, мындай моделдер терабиттерде иштеши менен мактана албайт, бирок алар чындап эле сапаттуу жана техникалык жактан “сулуу” маалыматтык коопсуздук тутумун түзүүгө мүмкүндүк берет, мында ар бир талдоо куралы өзүнө керектүү маалыматты гана эң ылайыктуу формада алууга кепилдик берет. талдоо үчүн.
Тармактык пакет брокерлеринин өркүндөтүлгөн функциялары
1. Жогоруда айтылган туннелдеги трафикте уяча башты теңдөө.
Бул эмне үчүн маанилүү? Чогуу же өз-өзүнчө критикалык болушу мүмкүн болгон 3 аспектти карап көрүңүз:
- аз сандагы туннелдер болгон учурда бирдей тең салмактуулукту камсыз кылуу. Маалыматтык коопсуздук тутумдарынын кошулган жеринде 2 гана туннел бар болгон учурда, сессияны кармап туруу менен аларды 3 сервердик платформада тышкы аталыштар менен баланстан чыгаруу мүмкүн эмес. Ошол эле учурда тармактагы трафик бир калыпта эмес өткөрүлөт жана ар бир тоннелдин өзүнчө кайра иштетүүчү объектиге багыты акыркысынын ашыкча иштешин талап кылат;
- пакеттери ар кандай туннелдерде аяктаган көп сессиялуу протоколдордун сессияларынын жана агымдарынын бүтүндүгүн камсыз кылуу (мисалы, FTP жана VoIP). Тармактык инфраструктуранын татаалдыгы тынымсыз өсүп жатат: ашыкчалык, виртуалдаштыруу, башкарууну жөнөкөйлөтүү жана башкалар. Бул бир жагынан маалыматтарды берүү жагынан ишенимдүүлүктү жогорулатса, экинчи жагынан маалыматтык коопсуздук системаларынын ишин кыйындатат. Туннелдери бар атайын каналды иштетүү үчүн анализаторлордун жетишээрлик иштешине карабастан, көйгөй чечилбей калат, анткени колдонуучунун кээ бир сеанс пакеттери башка канал аркылуу өткөрүлөт. Андан тышкары, эгерде алар дагы эле кээ бир инфраструктураларда сессиялардын бүтүндүгүнө кам көрүүгө аракет кылышса, анда көп сессиялык протоколдор такыр башка жолдор менен кетиши мүмкүн;
- MPLS, VLAN, жеке жабдуулардын тегдери ж. Чындыгында туннельдер эмес, бирок, негизги функционалдуулугу бар жабдуулар бул трафикти IP катары эмес, MAC даректери боюнча тең салмактуулукту түшүнө алат, бул дагы бир жолу тең салмактуулуктун же сеанстын бүтүндүгүн бузуу.
Тармак пакетинин брокери сырткы аталыштарды талдайт жана ырааттуу түрдө уя салынган IP башына чейин көрсөткүчтөрдү ээрчийт жана андагы баланстар. Натыйжада, бир кыйла көбүрөөк агымдар бар (тиешелүүлүгүнө жараша, ал бир калыпта жана көбүрөөк платформаларда тең салмаксыз болушу мүмкүн) жана DPI тутуму бардык сеанс пакеттерин жана мультисессиялык протоколдордун бардык тиешелүү сессияларын алат.
2. Жол кыймылын өзгөртүү.
Мүмкүнчүлүктөрү боюнча эң кеңири функциялардын бири, субфункциялардын саны жана аларды колдонуунун варианттары көп:
- пайдалуу жүктү алып салуу, бул учурда талдоочуга пакеттин аталыштары гана өтөт. Бул талдоо куралдарына же пакеттердин мазмуну роль ойнобогон же талданууга мүмкүн болбогон трафиктин түрлөрүнө тиешелүү. Мисалы, шифрленген трафик үчүн параметрдик алмашуу маалыматтары (ким, ким менен, качан жана канча) кызыктуу болушу мүмкүн, ал эми пайдалуу жүк чындыгында анализатордун каналын жана эсептөө ресурстарын ээлеген таштанды болуп саналат. Пайдалуу жүк берилген офсеттен баштап үзүлгөндө вариациялар болушу мүмкүн - бул талдоо куралдары үчүн кошумча мейкиндикти камсыз кылат;
- туннельдерди тазалоо, тактап айтканда, туннелдерди белгилеген жана аныктоочу аталыштарды алып салуу. Максаты — анализдик инструменттердин жүктөмүн азайтуу жана алардын эффективдүүлүгүн жогорулатуу. Detunneling белгиленген офсеттин негизинде болушу мүмкүн, же динамикалык баш талдоо жана ар бир пакеттин негизинде офсетти аныктоо менен;
- кээ бир пакет аталыштарын алып салуу: MPLS тэгдери, VLAN, үчүнчү тараптын жабдууларынын белгилүү талаалары;
- аталыштардын бир бөлүгүн маскалоо, мисалы, трафиктин анонимдүүлүгүн камсыз кылуу үчүн IP даректерин маскалоо;
- пакетке кызмат маалыматын кошуу: убакыт белгилери, киргизүү порту, трафик классынын энбелгилери ж.б.
3. Депликация – талдоо куралдарына берилүүчү кайталануучу трафик пакеттерин тазалоо. Кайталанма пакеттер көбүнчө инфраструктурага кошулуунун өзгөчөлүктөрүнөн улам пайда болот - трафик бир нече талдоо пункттарынан өтүп, алардын ар биринен чагылдырылышы мүмкүн. Толук эмес TCP пакеттерин кайра жөнөтүү да бар, бирок алар көп болсо, анда бул тармактагы маалыматтык коопсуздук үчүн эмес, тармактын сапатын көзөмөлдөө үчүн көбүрөөк суроолор.
4. Өркүндөтүлгөн чыпкалоо функциялары - берилген офсет боюнча конкреттүү маанилерди издөөдөн бүтүндөй пакетте кол талдоо жүргүзүүгө чейин.
5. NetFlow/IPFIX мууну – өтүүчү трафик боюнча статистиканын кеңири спектрин чогултуу жана аны талдоо каражаттарына өткөрүү.
6. SSL трафигин чечмелөө, күбөлүк жана ачкычтар алгач тармак пакет брокерине жүктөлгөн шартта иштейт. Ошентсе да, бул талдоо куралдарын олуттуу түшүрүүгө мүмкүндүк берет.
Дагы көптөгөн функциялар бар, пайдалуу жана маркетинг, бирок негизгилери, балким, тизмеленген.
Аларды алдын алуу тутумдарына аныктоо системаларын (интрузиялар, DDOS чабуулдары) иштеп чыгуу, ошондой эле активдүү DPI инструменттерин киргизүү пассивдүү (TAP же SPAN порттору аркылуу) активдүүлүктөн (тыныгууда) өтүү схемасын өзгөртүүнү талап кылды. ). Бул жагдай ишенимдүүлүккө болгон талаптарды жогорулатты (анткени бул учурда иштен чыгуу маалыматтын коопсуздугун көзөмөлдөөнү жоготууга эле эмес, бүт тармактын үзгүлтүккө учурашына алып келет) жана оптикалык туташтыргычтарды оптикалык айланып өтүүчү жолдор менен алмаштырууга алып келди (анткени Тармактын натыйжалуулугунун системалардын маалымат коопсуздугунан көз карандылыгы маселесин чечүү), бирок негизги функциялар жана ага коюлган талаптар ошол эле бойдон калган.
Биз DS Integrity Network пакеттик брокерлерин 100G, 40G жана 10G интерфейстери менен долбоорлоодон жана схемалардан баштап орнотулган программага чейин иштеп чыктык. Андан тышкары, башка пакеттик брокерлерден айырмаланып, туннелдин уячалары үчүн модификациялоо жана баланстоо функциялары биздин аппараттык жабдыкта толук порт ылдамдыгы менен ишке ашырылат.
Source: www.habr.com