Informacijos saugumas nuo telekomunikacijų atsiskyrė į nepriklausomą pramonės šaką, turinčią savo specifiką ir savo įrangą. Tačiau yra mažai žinoma įrenginių klasė, kuri yra telekomunikacijų ir infobez sandūroje - tinklo paketų brokeriai (Tinklo paketų brokeris), jie taip pat yra apkrovos balansuotojai, specializuoti / stebėjimo jungikliai, srauto kaupikliai, saugos pristatymo platforma, tinklo matomumas ir pan. Ir mes, kaip tokių įrenginių kūrėjai ir gamintojai iš Rusijos, tikrai norime apie juos papasakoti daugiau.
Apimtis ir spręstinos užduotys
Tinklo paketų brokeriai yra specializuoti įrenginiai, labiausiai pritaikyti informacijos apsaugos sistemose. Iš esmės įrenginių klasė yra palyginti nauja ir nedidelė bendroje tinklo infrastruktūroje, palyginti su jungikliais, maršrutizatoriais ir pan. Šio tipo prietaisų kūrimo pradininkė buvo amerikiečių kompanija „Gigamon“. Šiuo metu šioje rinkoje žaidėjų yra žymiai daugiau (įskaitant ir panašius žinomo testavimo sistemų gamintojo – IXIA sprendimus), tačiau apie tokių įrenginių egzistavimą vis dar žino tik siauras profesionalų ratas. Kaip minėta pirmiau, net ir naudojant terminiją nėra vienareikšmio tikrumo: pavadinimai svyruoja nuo „tinklo skaidrumo sistemų“ iki paprastų „balansų“.
Kurdami tinklo paketų brokerius susidūrėme su tuo, kad, be funkcionalumo plėtros krypčių analizavimo ir bandymų laboratorijose/bandymo zonose, kartu būtina paaiškinti potencialiems vartotojams apie šios klasės įrangos egzistavimą. , nes ne visi apie tai žino.
Net prieš 15-20 metų tinkle buvo nedidelis srautas ir dažniausiai tai buvo nesvarbūs duomenys. Bet praktiškai kartojasi : interneto ryšio greitis kasmet padidėja 50%. Srauto apimtys taip pat nuolat auga (grafikas rodo 2017 m. prognozę iš Cisco, šaltinis Cisco Visual Networking Index: Forecast and Trends, 2017–2022):
Kartu su sparta didėja informacijos sklaidos svarba (tai yra ir komercinė paslaptis, ir žinomi asmens duomenys) ir bendras infrastruktūros našumas.
Atitinkamai atsirado informacijos saugumo pramonė. Pramonė į tai sureagavo naudodama daugybę srauto analizės (DPI) įrenginių, nuo DDOS atakų prevencijos sistemų iki informacijos saugumo įvykių valdymo sistemų, įskaitant IDS, IPS, DLP, NBA, SIEM, antimailware ir pan. Paprastai kiekvienas iš šių įrankių yra programinė įranga, įdiegta serverio platformoje. Be to, kiekviena programa (analizės įrankis) yra įdiegta savo serverio platformoje: programinės įrangos gamintojai yra skirtingi, o analizei L7 reikia daug skaičiavimo resursų.
Kuriant informacijos apsaugos sistemą, būtina išspręsti keletą pagrindinių užduočių:
- kaip perkelti srautą iš infrastruktūros į analizės sistemas? (iš pradžių tam sukurtų SPAN prievadų šiuolaikinėje infrastruktūroje neužtenka nei kiekio, nei našumo)
- kaip paskirstyti srautą tarp skirtingų analizės sistemų?
- kaip padidinti sistemų mastelį, kai nėra pakankamai vieno analizatoriaus egzemplioriaus našumo, kad būtų galima apdoroti visą į jį patenkančio srauto apimtį?
- kaip stebėti 40G/100G sąsajas (o artimiausiu metu ir 200G/400G), nes šiuo metu analizės įrankiai palaiko tik 1G/10G/25G sąsajas?
Ir šios susijusios užduotys:
- kaip sumažinti netinkamą srautą, kurio nereikia apdoroti, tačiau jis patenka į analizės įrankius ir eikvoja jų resursus?
- kaip tvarkyti įkapsuliuotus paketus ir paketus su aparatūros paslaugų ženklais, kurių paruošimas analizei pasirodo arba daug resursų reikalaujantis, arba išvis neįgyvendinamas?
- kaip iš analizės pašalinti dalį eismo, kurio nereglamentuoja saugumo politika (pavyzdžiui, galvos eismas).
Kaip visi žino, paklausa sukuria pasiūlą, reaguodami į šiuos poreikius, pradėjo kurtis tinklo paketų brokeriai.
Bendras tinklo paketų brokerių aprašymas
Tinklo paketų brokeriai dirba paketų lygiu, todėl jie yra panašūs į paprastus jungiklius. Pagrindinis skirtumas nuo komutatorių yra tas, kad tinklo paketų brokerių srauto paskirstymo ir agregavimo taisykles visiškai nustato nustatymai. Tinklo paketų brokeriai neturi peradresavimo lentelių (MAC lentelių) kūrimo ir apsikeitimo protokolų su kitais komutatoriais (pvz., STP) standartų, todėl galimų nustatymų ir suprantamų laukų spektras juose yra daug platesnis. Tarpininkas gali tolygiai paskirstyti srautą iš vieno ar kelių įvesties prievadų į tam tikrą išvesties prievadų diapazoną, naudodamas išvesties apkrovos balansavimo funkciją. Galite nustatyti srauto kopijavimo, filtravimo, klasifikavimo, dubliavimo panaikinimo ir modifikavimo taisykles. Šios taisyklės gali būti taikomos skirtingoms tinklo paketų brokerio įvesties prievadų grupėms, taip pat nuosekliai viena po kitos taikomos pačiame įrenginyje. Svarbus paketų brokerio pranašumas yra galimybė apdoroti srautą visu srautu ir išsaugoti seansų vientisumą (jei srautas balansuojamas į kelias to paties tipo DPI sistemas).
Išsaugant seansų vientisumą, visi transportavimo sluoksnio (TCP / UDP / SCTP) seanso paketai turi būti perkelti į vieną prievadą. Tai svarbu, nes DPI sistemos (dažniausiai programinė įranga, veikianti serveryje, prijungtame prie paketų tarpininko išvesties prievado) analizuoja srauto turinį programos lygiu, o visi paketai, kuriuos siunčia/gauna viena programa, turi patekti į tą patį programos egzempliorių. analizatorius. Jei vienos sesijos paketai bus prarasti arba paskirstyti tarp skirtingų DPI įrenginių, tai kiekvienas atskiras DPI įrenginys atsidurs tokioje situacijoje, kuri būtų analogiška iš jo nuskaityti ne visą tekstą, o atskirus žodžius. Ir, greičiausiai, tekstas nesupras.
Taigi, būdami orientuoti į informacijos apsaugos sistemas, tinklo paketų brokeriai turi funkcionalumą, padedantį prijungti DPI programines sistemas prie greitųjų telekomunikacijų tinklų ir sumažinti jų apkrovą: iš anksto filtruoja, klasifikuoja ir paruošia srautą, kad supaprastintų tolesnį apdorojimą.
Be to, kadangi tinklo paketų brokeriai pateikia platų statistikos spektrą ir dažnai yra prisijungę prie įvairių tinklo taškų, jie taip pat randa savo vietą diagnozuojant pačios tinklo infrastruktūros sveikatos problemas.
Pagrindinės tinklo paketų brokerių funkcijos
Pavadinimas „dedikuoti / stebėjimo jungikliai“ kilo iš pagrindinio tikslo: surinkti srautą iš infrastruktūros (dažniausiai naudojant pasyvius optinius TAP čiaupus ir (arba) SPAN prievadus) ir paskirstyti jį tarp analizės įrankių. Eismas yra atspindimas (dubliuojamas) tarp skirtingų tipų sistemų ir subalansuotas tarp to paties tipo sistemų. Pagrindinės funkcijos paprastai apima filtravimą pagal laukus iki L4 (MAC, IP, TCP / UDP prievadas ir kt.) ir kelių mažai apkrautų kanalų sujungimą į vieną (pavyzdžiui, apdorojimui vienoje DPI sistemoje).
Ši funkcija suteikia pagrindinio uždavinio – DPI sistemų prijungimo prie tinklo infrastruktūros – sprendimą. Įvairių gamintojų brokeriai, apsiribodami pagrindinėmis funkcijomis, teikia iki 32 100G sąsajų apdorojimą 1U (daugiau sąsajų fiziškai netelpa 1U priekiniame skydelyje). Tačiau jie neleidžia sumažinti analizės įrankių apkrovos, o sudėtingai infrastruktūrai net negali užtikrinti pagrindinių funkcijų reikalavimų: keliuose tuneliuose paskirstyta sesija (arba su MPLS žymomis) gali būti nesubalansuota įvairiems atvejams. analizatorius ir paprastai iškrenta iš analizės.
Tinklo paketų brokeriai ne tik prideda 40/100G sąsajas ir dėl to gerina našumą, bet ir aktyviai vystosi, teikdami iš esmės naujas funkcijas: nuo balansavimo ant įdėtųjų tunelių antraščių iki srauto iššifravimo. Deja, tokie modeliai negali pasigirti našumu terabitais, tačiau leidžia sukurti tikrai kokybišką ir techniškai „gražią“ informacijos saugos sistemą, kurioje kiekviena analizės priemonė garantuotai gaus tik jai reikalingą informaciją tinkamiausia forma. analizei.
Išplėstinės tinklo paketų brokerių funkcijos
1. Minėta aukščiau įdėtos antraštės balansavimas tuneliniame sraute.
Kodėl tai svarbu? Apsvarstykite 3 aspektus, kurie gali būti svarbūs kartu arba atskirai:
- vienodo balansavimo užtikrinimas esant nedideliam tunelių skaičiui. Tuo atveju, kai informacijos apsaugos sistemų jungimosi vietoje yra tik 2 tuneliai, tai išlaikant seansą nebus galima jų išbalansuoti išorinėmis antraštėmis 3 serverių platformose. Tuo pačiu metu srautas tinkle perduodamas netolygiai, o kiekvieno tunelio kryptis į atskirą apdorojimo įrenginį pareikalaus pernelyg didelio pastarojo veikimo;
- Seansų ir kelių seansų protokolų (pavyzdžiui, FTP ir VoIP), kurių paketai atsidūrė skirtinguose tuneliuose, vientisumo užtikrinimas. Tinklo infrastruktūros sudėtingumas nuolat didėja: perteklius, virtualizavimas, administravimo supaprastinimas ir pan. Viena vertus, tai padidina duomenų perdavimo patikimumą, kita vertus, apsunkina informacijos apsaugos sistemų darbą. Net ir esant pakankamam analizatorių našumui apdoroti tam skirtą kanalą su tuneliais, problema pasirodo neišsprendžiama, nes kai kurie vartotojo seanso paketai perduodami kitu kanalu. Be to, jei jie vis tiek bando pasirūpinti seansų vientisumu kai kuriose infrastruktūrose, kelių seansų protokolai gali veikti visiškai skirtingais keliais;
- balansavimas esant MPLS, VLAN, atskiroms įrangos žymoms ir kt. Tikrai ne tuneliai, bet vis dėlto įranga su bazinėmis funkcijomis gali suprasti šį srautą ne kaip IP ir balansą pagal MAC adresus, dar kartą pažeidžiant balansavimo ar seanso vientisumą.
Tinklo paketų brokeris analizuoja išorines antraštes ir nuosekliai seka nuorodas iki įdėtos IP antraštės ir jau joje balansuoja. Dėl to srautų yra žymiai daugiau (atitinkamai jis gali būti išbalansuotas tolygiau ir didesniame platformų skaičiuje), o DPI sistema gauna visus seansų paketus ir visus susijusius kelių seansų protokolų seansus.
2. Eismo modifikavimas.
Viena iš plačiausių funkcijų pagal savo galimybes, subfunkcijų skaičius ir jų naudojimo galimybės yra daug:
- pašalinant naudingą apkrovą, tokiu atveju į analizatorių perduodamos tik paketų antraštės. Tai svarbu analizės įrankiams arba srauto tipams, kuriuose paketų turinys nevaidina arba negali būti analizuojamas. Pavyzdžiui, užšifruoto srauto atveju gali būti įdomūs parametriniai mainų duomenys (kas, su kuo, kada ir kiek), o naudingoji apkrova iš tikrųjų yra šiukšlės, kurios užima analizatoriaus kanalą ir skaičiavimo išteklius. Galimi variantai, kai naudingoji apkrova nutraukiama nuo nurodyto poslinkio – tai suteikia papildomos erdvės analizės įrankiams;
- tunelių pašalinimas, būtent tunelius žyminčių ir identifikuojančių antraščių pašalinimas. Tikslas – sumažinti analizės priemonių apkrovą ir padidinti jų efektyvumą. Tunelio pašalinimas gali būti pagrįstas fiksuotu poslinkiu arba dinamine antraštės analize ir poslinkio nustatymu pagal paketą;
- kai kurių paketų antraščių pašalinimas: MPLS žymės, VLAN, specifiniai trečiųjų šalių įrangos laukai;
- užmaskuoti dalį antraščių, pavyzdžiui, užmaskuoti IP adresus, kad būtų užtikrintas srauto anonimiškumas;
- paslaugų informacijos įtraukimas į paketą: laiko žymos, įvesties prievadas, srauto klasės etiketės ir kt.
3. Deduplikacija – pasikartojančių srauto paketų, perduodamų į analizės priemones, valymas. Pasikartojantys paketai dažniausiai atsiranda dėl prisijungimo prie infrastruktūros ypatumų – srautas gali praeiti per kelis analizės taškus ir atspindėti iš kiekvieno iš jų. Taip pat pakartotinai siunčiami neužbaigti TCP paketai, bet jei jų daug, tai daugiau klausimų dėl tinklo kokybės stebėjimo, o ne dėl informacijos saugumo jame.
4. Išplėstinės filtravimo funkcijos – nuo konkrečių verčių paieškos tam tikrame poslinkyje iki parašo analizės visame pakete.
5. NetFlow/IPFIX generavimas – įvairių statistinių duomenų apie pravažiuojantį srautą rinkimas ir perkėlimas į analizės priemones.
6. SSL srauto iššifravimas, veikia, jei sertifikatas ir raktai pirmiausia įkeliami į tinklo paketų brokerį. Nepaisant to, tai leidžia žymiai iškrauti analizės įrankius.
Yra daug daugiau funkcijų, naudingų ir rinkodaros, tačiau pagrindinės, ko gero, yra išvardytos.
Kuriant aptikimo sistemas (įsilaužimus, DDOS atakas) į jų prevencijos sistemas, taip pat įdiegus aktyvius DPI įrankius, reikėjo pakeisti perjungimo schemą iš pasyvios (per TAP arba SPAN prievadus) į aktyvią („pertraukos“). ). Ši aplinkybė padidino reikalavimus patikimumui (nes dėl gedimo šiuo atveju sutrinka visas tinklas, o ne tik prarandama informacijos saugumo kontrolė) ir optinės jungtys buvo pakeistos optiniais aplinkkeliais (siekiant išspręsti tinklo veikimo priklausomybės nuo sistemų informacijos saugumo našumo problemą), tačiau pagrindinis funkcionalumas ir jam keliami reikalavimai išliko tie patys.
Sukūrėme DS Integrity Network Packet Brokers su 100G, 40G ir 10G sąsajomis nuo projektavimo ir grandinės iki įterptosios programinės įrangos. Be to, skirtingai nuo kitų paketų brokerių, įdėtųjų tunelių antraščių modifikavimo ir balansavimo funkcijos yra įdiegtos mūsų aparatinėje įrangoje visu prievado greičiu.
Šaltinis: www.habr.com