Informatiounssécherheet huet sech vun der Telekommunikatioun an eng onofhängeg Industrie mat hiren eegene Spezifizitéiten an eegener Ausrüstung getrennt. Awer et gëtt eng wéineg bekannt Klass vun Apparater déi op der Kräizung vun Telekom an Infobez steet - Netzwierk Packet Broker (Network Packet Broker), si sinn och Lastbalancer, spezialiséiert / Iwwerwaachungsschalter, Trafficaggregatoren, Sécherheets Liwwerungsplattform, Network Visibilitéit a sou weider. A mir, als russeschen Entwéckler an Hiersteller vun esou Geräter, wëllen Iech wierklech méi iwwer si soen.
Ëmfang an Aufgaben ze léisen
Network Packet Broker si spezialiséiert Geräter déi de gréisste Gebrauch an Informatiounssécherheetssystemer fonnt hunn. Als esou ass d'Apparatklass relativ nei a wéineg an der gemeinsamer Netzwierkinfrastruktur am Verglach mat Schalter, Router, asw. De Pionéier an der Entwécklung vun dëser Zort Apparat war déi amerikanesch Firma Gigamon. Am Moment sinn et däitlech méi Spiller an dësem Maart (och ähnlech Léisunge vum bekannte Fabrikant vun Testsystemer - IXIA), awer nëmmen e schmuele Krees vu Fachleit weess nach ëmmer iwwer d'Existenz vun esou Apparater. Wéi uewen ernimmt, och mat der Terminologie gëtt et keng eendeiteg Sécherheet: d'Nimm reegelen vun "Netz Transparenzsystemer" bis einfach "Balancer".
Wärend der Entwécklung vun Netzwierker Packet Broker, ware mir mat der Tatsaach konfrontéiert datt, nieft der Analyse vun den Richtungen fir d'Entwécklung vun der Funktionalitéit an Testen an Laboratoiren / Testzonen, et noutwendeg ass gläichzäiteg potenziell Konsumenten iwwer d'Existenz vun dëser Klass vun Ausrüstung z'erklären. , well net jiddereen doriwwer weess.
Just virun 15-20 Joer war et wéineg Traffic um Netz, an et waren meeschtens onwichteg Donnéeën. Mee praktesch widderhuelen : Internetverbindungsgeschwindegkeet geet ëm 50% jäerlech erop. De Volume vum Traffic wiisst och stänneg (d'Grafik weist d'2017 Prognose vu Cisco, Quell Cisco Visual Networking Index: Prognose an Trends, 2017–2022):
Zesumme mat der Geschwindegkeet ass d'Wichtegkeet vun zirkuléierend Informatioun (dëst ass souwuel e Handelsgeheimnis wéi och notoresch perséinlech Donnéeën) an d'Gesamtleistung vun der Infrastruktur erop.
Deementspriechend ass d'Informatiounssécherheetsindustrie entstanen. D'Industrie huet dorop reagéiert mat enger ganzer Palette vun Traffic Analyse (DPI) Apparater, vun DDOS Attack Präventiounssystemer bis Informatiounssécherheet Event Management Systemer, dorënner IDS, IPS, DLP, NBA, SIEM, Antimailware a sou weider. Typesch ass all eenzel vun dësen Tools Software déi op enger Serverplattform installéiert ass. Desweideren, all Programm (Analyse Outil) ass op seng eege Server Plattform installéiert: Software Hiersteller sinn verschidden, a vill vun Rechenzäit Ressourcen sinn néideg fir Analyse op L7.
Wann Dir en Informatiounssécherheetssystem baut, ass et néideg eng Rei Basisaufgaben ze léisen:
- wéi Transfermaart Traffic vun Infrastruktur zu Analyse Systemer? (d'SPAN Ports ursprénglech entwéckelt fir dëst an der moderner Infrastruktur sinn net genuch weder a Quantitéit oder a Leeschtung)
- wéi verdeelt de Traffic tëscht verschiddenen Analysesystemer?
- wéi Systemer ze skaléieren wann et net genuch Leeschtung vun enger Instanz vum Analysator ass fir de ganze Volume vum Traffic deen et eragitt?
- wéi 40G / 100G Schnëttplazen ze iwwerwaachen (an an der nächster Zukunft och 200G / 400G), zanter Analyse Handwierksgeschir Moment nëmmen Ënnerstëtzung 1G / 10G / 25G Schnëttplazen?
An déi folgend verbonne Aufgaben:
- wéi onpassend Traffic ze minimiséieren deen net veraarbecht muss ginn, awer op d'Analyseinstrumenter kënnt an hir Ressourcen verbrauchen?
- wéi ëmgedréint Pakete a Pakete mat Hardware Service Marken ze verschaffen, der Virbereedung vun deem fir Analyse stellt sech entweder Ressource-intensiv oder unrealizable iwwerhaapt?
- wéi aus der Analyse Deel vum Verkéier auszeschléissen, datt net vun der Sécherheet Politik reglementéiert ass (zum Beispill, Verkéier vun de Kapp).
Wéi jidderee weess, schaaft d'Demande Versuergung, als Äntwert op dës Bedierfnesser hunn d'Netzpakete Broker ugefaang ze entwéckelen.
Allgemeng Beschreiwung vun Network Packet Broker
Network Packet Broker schaffen um Paketniveau, an an dësem si se ähnlech wéi gewéinlech Schalter. Den Haaptunterschied vu Schalter ass datt d'Regele fir d'Verdeelung an d'Aggregatioun vum Traffic an Netzpaket Broker komplett vun den Astellunge festgeluegt sinn. Network Packet Broker hunn keng Standards fir Forwarding Dëscher (MAC Dëscher) ze bauen an Protokollen mat anere Schalter (wéi STP) auszetauschen, an dofir ass d'Gamme vu méiglechen Astellungen a verständleche Felder an hinnen vill méi breet. E Broker kann de Verkéier vun engem oder méi Input Ports gläichméisseg verdeelen op eng bestëmmte Palette vun Output Ports mat enger Output Load Balancing Feature. Dir kënnt Regele setzen fir ze kopéieren, ze filteren, ze klassifizéieren, ze deduplizéieren an de Verkéier z'änneren. Dës Reegele kënnen op verschidde Gruppen vun Input Ports vum Netzwierk Packet Broker applizéiert ginn, wéi och sequentiell een nom aneren am Apparat selwer applizéiert ginn. E wichtege Virdeel vun engem Packet Broker ass d'Fäegkeet fir de Traffic mat voller Flowrate ze veraarbechten an d'Integritéit vun de Sessiounen ze erhaalen (am Fall vum Balance vum Traffic op e puer DPI Systemer vun der selwechter Aart).
D'Integritéit vun de Sessiounen erhaalen ass fir all Pakete vun der Sessioun vun der Transportschicht (TCP / UDP / SCTP) op een Hafen ze transferéieren. Dëst ass wichteg well DPI Systemer (normalerweis Software leeft op engem Server verbonne mam Output Hafen vun engem Packet Broker) analyséieren den Inhalt vum Traffic um Applikatiounsniveau, an all Päck geschéckt / kritt vun enger Applikatioun musse bei der selwechter Instanz vun der analysator. Wann d'Päckchen vun enger Sessioun verluer sinn oder ënner verschiddenen DPI-Geräter verdeelt ginn, da wäert all eenzel DPI-Apparat an enger Situatioun sinn, déi net e ganzen Text liesen, awer eenzel Wierder dovun. An, wahrscheinlech, wäert den Text net verstoen.
Also, konzentréiert sech op Informatiounssécherheetssystemer, hunn Netzwierker Packet Broker Funktionalitéit, déi hëlleft DPI Software Systemer mat High-Speed Telekommunikatiounsnetzwierker ze verbannen an d'Laascht op hinnen ze reduzéieren: si virfilteren, klassifizéieren a preparéieren de Traffic fir déi spéider Veraarbechtung ze vereinfachen.
Zousätzlech, well Network Packet Broker eng breet Palette vu Statistiken ubidden an dacks mat verschiddene Punkten am Netz verbonne sinn, fannen se och hir Plaz bei der Diagnostik vun der Gesondheetsproblemer vun der Netzwierkinfrastruktur selwer.
Basis Funktiounen vun Network Packet Broker
Den Numm "dedizéierten / Iwwerwaachungsschalter" entstanen aus dem Basiszweck: Traffic aus der Infrastruktur ze sammelen (normalerweis mat passiven opteschen TAP Krunnen an / oder SPAN Ports) an ze verdeelen ënnert Analyse Tools. Den Traffic gëtt gespigelt (duplizéiert) tëscht Systemer vu verschiddenen Typen, a equilibréiert tëscht Systemer vun der selwechter Aart. D'Basisfunktiounen enthalen normalerweis Filteren duerch Felder bis L4 (MAC, IP, TCP / UDP Hafen, etc.)
Dës Funktionalitéit bitt eng Léisung fir d'Basis Aufgab - DPI Systemer an d'Netzinfrastruktur ze verbannen. Broker vu verschiddene Hiersteller, limitéiert op Basisfunktionalitéit, bidden d'Veraarbechtung vu bis zu 32 100G Interfaces pro 1U (méi Interfaces passen net kierperlech op der 1U Frontpanel). Wéi och ëmmer, si erlaben net d'Laascht op Analyseinstrumenter ze reduzéieren, a fir eng komplex Infrastruktur kënnen se net emol d'Ufuerderunge fir eng Basisfunktioun ubidden: eng Sessioun, déi iwwer verschidden Tunnel verdeelt (oder mat MPLS Tags ausgestatt ass) kann onbalancéiert sinn fir verschidden Instanzen vun der Analyser a falen allgemeng aus der Analyse.
Zousätzlech fir 40 / 100G Schnëttplazen ze addéieren an als Resultat d'Performance ze verbesseren, entwéckelen d'Netzwierkpacket Broker aktiv a Saache grondsätzlech nei Features ze liwweren: vu Balance op nestet Tunnel Header bis Traffic Decryption. Leider kënnen esou Modeller net mat der Leeschtung an Terabits bretzen, awer si maachen et méiglech e wierklech qualitativ héichwäerteg an technesch "schéin" Informatiounssécherheetssystem ze bauen, an deem all Analyseinstrument garantéiert ass nëmmen d'Informatioun ze kréien déi se brauch an der Form déi am meeschte gëeegent ass. fir Analyse.
Fortgeschratt Funktiounen vun Netzwierker Packet Broker
1. Uewen ernimmt Nested Header Balance am tunneléierten Traffic.
Firwat ass et wichteg? Betruecht 3 Aspekter déi zesummen oder separat kritesch kënne sinn:
- garantéiert eenheetlech Equiliber an der Presenz vun enger klenger Unzuel vun Tunnelen. Am Fall wou et nëmmen 2 Tunnelen um Punkt vun der Verbindung vun Informatiounssécherheetssystemer sinn, da wäert et net méiglech sinn se vun externen Header op 3 Serverplattformen ze debalancéieren wärend d'Sessioun behalen. Zur selwechter Zäit gëtt de Verkéier am Netz ongläich iwwerdroen, an d'Richtung vun all Tunnel op eng separat Veraarbechtungsanlag erfuerdert exzessiv Leeschtung vun der leschter;
- d'Integritéit vu Sessiounen a Streame vu Multisession-Protokoller ze garantéieren (zum Beispill FTP a VoIP), déi Pakete vun deenen a verschiddenen Tunnelen opgehalen hunn. D'Komplexitéit vun der Netzinfrastruktur klëmmt stänneg: Redundanz, Virtualiséierung, Vereinfachung vun der Verwaltung, asw. Engersäits erhéicht dëst d'Zouverlässegkeet a punkto Dateniwwerdroung, op der anerer Säit komplizéiert et d'Aarbecht vun Informatiounssécherheetssystemer. Och mat genuch Leeschtung vun den Analysatoren fir en dedizéierten Kanal mat Tunnelen ze veraarbecht, stellt de Problem sech als onléisbar eraus, well e puer vun de Benotzer Sessiounspäck iwwer en anere Kanal iwwerdroe ginn. Ausserdeem, wa se nach ëmmer probéieren d'Integritéit vun de Sessiounen an e puer Infrastrukturen ze këmmeren, da kënne Multisession Protokoller ganz aner Weeër goen;
- Balance an der Präsenz vun MPLS, VLAN, individuell Ausrüstung Tags, etc. Net wierklech Tunnel, awer trotzdem, Ausrüstung mat Basisfunktionalitéit kann dësen Traffic net als IP a Gläichgewiicht duerch MAC Adressen verstoen, nach eng Kéier d'Uniformitéit vum Balance oder Sessiounsintegritéit verletzen.
Den Netzwierk Packet Broker parséiert déi äusseren Header a follegt sequenziell d'Zeecher bis op den nested IP Header a balancéiert schonn drop. Als Resultat ginn et wesentlech méi Streamen (respektiv, et kann méi gläichméisseg an op enger méi grousser Zuel vu Plattformen onbalancéiert sinn), an den DPI System kritt all Sessiounspakete an all assoziéiert Sessiounen vu Multisession Protokoller.
2. Verkéier Ännerung.
Eng vun de breetste Funktiounen a punkto senge Fäegkeeten, et gi vill Ënnerfunktiounen an Optiounen fir hir Uwendung:
- Notzlaascht ewechhuelen, an deem Fall nëmme Paketheader un de Parser weiderginn. Dëst ass relevant fir Analyseinstrumenter oder fir Traffictypen an deenen den Inhalt vun de Päck entweder keng Roll spillt oder net analyséiert ka ginn. Zum Beispill, fir verschlësselte Verkéier, parametresch Austauschdaten (wien, mat wiem, wéini a wéi vill) kënne interessant sinn, während Notzlaascht tatsächlech Dreck ass, deen de Kanal an d'Rechenressourcen vum Analysator besetzt. Variatiounen si méiglech wann d'Notzlaascht ofgeschnidden ass vun enger bestëmmter Offset - dëst gëtt zousätzlech Spillraum fir Analyseinstrumenter;
- detunneling, nämlech d'Ewechhuele vun Header datt Tunnel designéieren an identifizéieren. D'Zil ass d'Laascht op Analyseinstrumenter ze reduzéieren an hir Effizienz ze erhéijen. Detunneling kann op engem fixen Offset baséiert ginn, oder mat dynamescher Header Analyse an Offset Determinatioun op engem Per-Paket Basis;
- Entfernung vun e puer Paket Header: MPLS Tags, VLAN, spezifesch Felder vun Drëtt Partei Ausrüstung;
- Masken Deel vun den Header, zum Beispill, Masken IP Adressen fir Verkéier Anonymiséierung ze garantéieren;
- Serviceinformatioun zum Paket bäizefügen: Zäitstempel, Inputport, Traffic Klasseetiketten, etc.
3. Deduplication - Botzen vun repetitive Verkéierspäck, déi op Analyseinstrumenter iwwerdroen ginn. Duplikat Pakete geschéien meeschtens wéinst de Besonneschheete vun der Verbindung mat der Infrastruktur - de Verkéier kann duerch e puer Analysepunkte passéieren a vun all eenzel vun hinnen gespigelt ginn. Et gëtt och eng nei Sendung vun onkompletten TCP-Päckchen, awer wann et vill vun hinnen ass, da sinn dës méi Froen fir d'Iwwerwaachung vun der Qualitéit vum Netz, an net fir Informatiounssécherheet dran.
4. Fortgeschratt Filterfunktiounen - Vun der Sich no spezifesche Wäerter bei engem bestëmmte Offset bis Ënnerschrëftanalyse am ganze Package.
5. NetFlow / IPFIX Generatioun - Sammlung vun enger breet Palette vu Statistiken iwwer de Passage vum Traffic a säin Transfer op Analyseinstrumenter.
6. Entschlësselung vum SSL Traffic, Wierker virausgesat datt d'Zertifikat an d'Schlëssel fir d'éischt an den Netzwierk Packet Broker gelueden ginn. Trotzdem, dëst erlaabt Iech d'Analyse Tools wesentlech ze entlaaschten.
Et gi vill méi Funktiounen, nëtzlech a Marketing, awer d'Haaptrei, vläicht, sinn opgezielt.
D'Entwécklung vun Detektiounssystemer (Intrusiounen, DDOS Attacken) a Systemer fir hir Präventioun, wéi och d'Aféierung vun aktive DPI Tools, erfuerdert eng Ännerung vum Schaltschema vu passiv (duerch TAP oder SPAN Ports) op aktiv ("in Paus" ). Dës Situatioun huet d'Ufuerderunge fir d'Zouverlässegkeet erhéicht (well e Feeler an dësem Fall zu enger Stéierung vum ganzen Netz féiert, an net nëmmen zu engem Verloscht vun der Kontroll iwwer Informatiounssécherheet) an huet zum Ersatz vun opteschen Kuppler mat opteschen Contournementer gefouert (fir ze léisen de Problem vun der Ofhängegkeet vun der Leeschtung vum Netz op der Leeschtung vun Systemer Informatiounssécherheet), mä d'Haaptrei Funktionalitéit an Ufuerderunge fir et blouf déi selwecht.
Mir hunn DS Integrity Network Packet Brokers entwéckelt mat 100G, 40G an 10G Interfaces vum Design a Circuit bis embedded Software. Ausserdeem, am Géigesaz zu anere Packet Brokeren, sinn d'Modifikatioun an d'Balancefunktioune fir nestéiert Tunnel Header an eiser Hardware implementéiert, mat voller Portgeschwindegkeet.
Source: will.com