InformÄcijas droŔība ir atdalÄ«jusies no telekomunikÄcijÄm neatkarÄ«gÄ nozarÄ ar savu specifiku un savu aprÄ«kojumu. Bet ir maz zinÄma ierÄ«Äu klase, kas atrodas telekomunikÄciju un informÄcijas droŔības krustpunktÄ - tÄ«kla pakeÅ”u brokeri (TÄ«kla pakeÅ”u brokeris), kas pazÄ«stams arÄ« kÄ slodzes balansÄtÄji, specializÄtie/uzraudzÄ«bas slÄdži, trafika apkopotÄji, droŔības piegÄdes platforma, tÄ«kla redzamÄ«ba un tÄ tÄlÄk. Un mÄs, kÄ Å”Ädu ierÄ«Äu izstrÄdÄtÄjs un ražotÄjs KrievijÄ, ļoti vÄlÄtos jums par tÄm pastÄstÄ«t vairÄk.
Apjoms un risinÄmie uzdevumi
TÄ«kla pakeÅ”u brokeri ir specializÄtas ierÄ«ces, kuras ir atraduÅ”as vislielÄko pielietojumu informÄcijas droŔības sistÄmÄs. KÄ tÄda Ŕī ierÄ«Äu klase ir salÄ«dzinoÅ”i jauna un maza vispÄrÄjÄ tÄ«kla infrastruktÅ«rÄ, salÄ«dzinot ar slÄdžiem, marÅ”rutÄtÄjiem utt. Å Äda veida ierÄ«Äu izstrÄdes pionieris bija amerikÄÅu uzÅÄmums Gigamon. Å obrÄ«d Å”ajÄ tirgÅ« ir ievÄrojami vairÄk spÄlÄtÄju (lÄ«dzÄ«gi risinÄjumi ir arÄ« pazÄ«stamajam testa sistÄmu ražotÄjam IXIA kompÄnijai), taÄu par Å”Ädu ierÄ«Äu esamÄ«bu joprojÄm zina tikai Å”aurs profesionÄļu loks. KÄ minÄts iepriekÅ”, pat terminoloÄ£ija nav skaidra: nosaukumi svÄrstÄs no ātÄ«kla caurspÄ«dÄ«guma sistÄmÄmā lÄ«dz vienkÄrÅ”iem ālÄ«dzsvarotÄjiemā.
IzstrÄdÄjot tÄ«kla pakeÅ”u brokerus, saskÄrÄmies ar faktu, ka papildus funkcionalitÄtes attÄ«stÄ«bas virzienu analÄ«zei un testÄÅ”anai laboratorijÄs/testÄÅ”anas zonÄs nepiecieÅ”ams vienlaikus skaidrot potenciÄlajiem patÄrÄtÄjiem par Ŕīs klases iekÄrtu esamÄ«bu, jo ne visi par to zina.
Tikai pirms 15ā20 gadiem tÄ«klÄ bija maz trafika, un tie lielÄkoties bija nesvarÄ«gi dati. Bet
LÄ«dz ar Ätrumu pieaug informÄcijas aprites nozÄ«me (tas ir gan komercnoslÄpums, gan bÄdÄ«gi slavenie personas dati) un infrastruktÅ«ras kopÄjÄ veiktspÄja.
AttiecÄ«gi parÄdÄ«jÄs informÄcijas droŔības nozare. Nozare uz to reaÄ£Äja, radot virkni dziļÄs trafika analÄ«zes (DPI) ierÄ«Äu: no DDOS uzbrukumu novÄrÅ”anas sistÄmÄm lÄ«dz informÄcijas droŔības notikumu pÄrvaldÄ«bas sistÄmÄm, tostarp IDS, IPS, DLP, NBA, SIEM, Antimailware un tÄ tÄlÄk. Parasti katrs no Å”iem rÄ«kiem ir programmatÅ«ra, kas instalÄta servera platformÄ. TurklÄt katra programma (analÄ«zes rÄ«ks) ir instalÄta savÄ servera platformÄ: programmatÅ«ras ražotÄji ir dažÄdi, un analÄ«zei L7 ir nepiecieÅ”ams daudz skaitļoÅ”anas resursu.
Veidojot informÄcijas droŔības sistÄmu, ir jÄatrisina vairÄkas galvenÄs problÄmas:
- kÄ pÄrsÅ«tÄ«t trafiku no infrastruktÅ«ras uz analÄ«zes sistÄmÄm? (SÄkotnÄji Å”im nolÅ«kam izstrÄdÄtie SPAN porti mÅ«sdienu infrastruktÅ«rÄ nav pietiekami ne daudzuma, ne veiktspÄjas ziÅÄ)
- kÄ sadalÄ«t trafiku starp dažÄdÄm analÄ«zes sistÄmÄm?
- kÄ mÄrogot sistÄmas, ja viena analizatora instances veiktspÄja nav pietiekama, lai apstrÄdÄtu visu tajÄ ienÄkoÅ”Äs trafika apjomu?
- kÄ uzraudzÄ«t 40G/100G saskarnes (un tuvÄkajÄ nÄkotnÄ 200G/400G), jo paÅ”laik analÄ«zes rÄ«ki atbalsta tikai 1G/10G/25G saskarnes?
Un Å”Ädi saistÄ«tie uzdevumi:
- KÄ mÄs varam samazinÄt nemÄrÄ·tiecÄ«gu trafiku, kas nav jÄapstrÄdÄ, bet nonÄk pie analÄ«zes rÄ«kiem un patÄrÄ to resursus?
- KÄ apstrÄdÄt iekapsulÄtas paketes un paketes ar iekÄrtu servisa tagiem, kuru sagatavoÅ”ana analÄ«zei izrÄdÄs vai nu resursietilpÄ«ga, vai vispÄr neiespÄjama realizÄt?
- kÄ no analÄ«zes izslÄgt daļu trafiku, ko neregulÄ droŔības politika (piemÄram, pÄrvaldnieka trafiku).
KÄ visi zina, pieprasÄ«jums rada piedÄvÄjumu, un, reaÄ£Äjot uz Ŕīm vajadzÄ«bÄm, sÄka attÄ«stÄ«ties tÄ«kla pakeÅ”u brokeri.
VispÄrÄ«gs tÄ«kla pakeÅ”u brokeru apraksts
TÄ«kla pakeÅ”u brokeri darbojas pakeÅ”u lÄ«menÄ«, un tÄdÄ veidÄ tie ir lÄ«dzÄ«gi parastajiem slÄdžiem. GalvenÄ atŔķirÄ«ba no slÄdžiem ir tÄda, ka trafika sadales un apkopoÅ”anas noteikumus tÄ«kla pakeÅ”u brokeros pilnÄ«bÄ nosaka iestatÄ«jumi. TÄ«kla pakeÅ”u brokeriem nav standartu pÄradresÄcijas tabulu (MAC tabulu) konstruÄÅ”anai un apmaiÅas protokoliem ar citiem slÄdžiem (piemÄram, STP), un tÄpÄc tajos iespÄjamo iestatÄ«jumu un saprotamo lauku klÄsts ir daudz plaÅ”Äks. Brokeris var vienmÄrÄ«gi sadalÄ«t trafiku no viena vai vairÄkiem ievades portiem uz noteiktu izvades portu diapazonu ar izejas slodzes lÄ«dzsvaroÅ”anas funkciju. Varat iestatÄ«t kopÄÅ”anas, filtrÄÅ”anas, klasifikÄcijas, dublÄÅ”anas un trafika modifikÄcijas noteikumus. Å os noteikumus var piemÄrot dažÄdÄm tÄ«kla pakeÅ”u brokeru ievades portu grupÄm, kÄ arÄ« tos var piemÄrot secÄ«gi vienu pÄc otra paÅ”Ä ierÄ«cÄ. SvarÄ«ga pakeÅ”u brokera priekÅ”rocÄ«ba ir spÄja apstrÄdÄt trafiku ar pilnu plÅ«smas Ätrumu un saglabÄt sesiju integritÄti (gadÄ«jumÄ, ja trafiks tiek balansÄts uz vairÄkÄm viena veida DPI sistÄmÄm).
Sesijas integritÄtes uzturÄÅ”ana ietver visu transporta slÄÅa sesiju pakeÅ”u (TCP/UDP/SCTP) pÄrsÅ«tÄ«Å”anu uz vienu portu. Tas ir svarÄ«gi, jo DPI sistÄmas (parasti programmatÅ«ra, kas darbojas serverÄ«, kas savienots ar pakeÅ”u brokera izvades portu) analizÄ trafika saturu lietojumprogrammas lÄ«menÄ«, un visÄm vienas lietojumprogrammas nosÅ«tÄ«tajÄm/saÅemtajÄm paketÄm ir jÄnonÄk tajÄ paÅ”Ä analizatora instancÄ. Ja paketes no vienas sesijas tiek pazaudÄtas vai izplatÄ«tas starp dažÄdÄm DPI ierÄ«cÄm, tad katra atseviŔķa DPI ierÄ«ce nonÄks situÄcijÄ, kas lÄ«dzÄ«ga nevis visa teksta, bet atseviŔķu vÄrdu lasÄ«Å”anai no tÄ. Un, visticamÄk, tekstu nesapratÄ«s.
TÄdÄjÄdi, koncentrÄjoties uz informÄcijas droŔības sistÄmÄm, tÄ«kla pakeÅ”u brokeriem ir funkcionalitÄte, kas palÄ«dz savienot DPI programmatÅ«ras sistÄmas ar Ätrgaitas telekomunikÄciju tÄ«kliem un samazinÄt to slodzi: tie veic trafika iepriekÅ”Äju filtrÄÅ”anu, klasifikÄciju un sagatavoÅ”anu, lai vienkÄrÅ”otu turpmÄko apstrÄdi.
TurklÄt, tÄ kÄ tÄ«kla pakeÅ”u brokeri veido plaÅ”u statistiku un bieži vien ir savienoti ar dažÄdiem tÄ«kla punktiem, viÅi atrod savu vietu arÄ«, diagnosticÄjot paÅ”as tÄ«kla infrastruktÅ«ras darbÄ«bas problÄmas.
Tīkla pakeŔu brokeru pamatfunkcijas
Nosaukums āspecializÄtie/uzraudzÄ«bas slÄdžiā radÄs no pamatmÄrÄ·a: savÄkt trafiku no infrastruktÅ«ras (parasti izmantojot pasÄ«vos optiskos savienotÄjus TAP un/vai SPAN portus) un izplatÄ«t to starp analÄ«zes rÄ«kiem. Satiksme tiek atspoguļota (dublÄta) starp dažÄda veida sistÄmÄm un lÄ«dzsvarota starp viena veida sistÄmÄm. PamatfunkcijÄs parasti ietilpst filtrÄÅ”ana pÄc laukiem lÄ«dz L4 (MAC, IP, TCP/UDP ports u.c.) un vairÄku nedaudz ielÄdÄtu kanÄlu apkopoÅ”ana vienÄ (piemÄram, apstrÄdei vienÄ DPI sistÄmÄ).
Å Ä« funkcionalitÄte nodroÅ”ina risinÄjumu pamatuzdevumam savienot DPI sistÄmas ar tÄ«kla infrastruktÅ«ru. DažÄdu ražotÄju brokeri, kas aprobežojas ar pamata funkcionalitÄti, nodroÅ”ina apstrÄdi lÄ«dz 32 100G interfeisiem uz 1U (vairÄk saskarÅu fiziski neiederas 1U priekÅ”ÄjÄ panelÄ«). TomÄr tie nesamazina analÄ«zes rÄ«ku slodzi, un sarežģītai infrastruktÅ«rai tie pat nevar nodroÅ”inÄt prasÄ«bas pamatfunkcijai: sesija, kas sadalÄ«ta pa vairÄkiem tuneļiem (vai aprÄ«kota ar MPLS tagiem), var kļūt nelÄ«dzsvarota starp dažÄdiem analizatora gadÄ«jumiem un kopumÄ. izkrist no analÄ«zes.
Papildus 40/100G saskarÅu pievienoÅ”anai un lÄ«dz ar to veiktspÄjas palielinÄÅ”anai tÄ«kla pakeÅ”u brokeri aktÄ«vi attÄ«stÄs, nodroÅ”inot principiÄli jaunas iespÄjas: no balansÄÅ”anas, kas balstÄ«ta uz ligzdotu tuneļu galvenÄm, lÄ«dz trafika atÅ”ifrÄÅ”anai. DiemžÄl Å”Ädi modeļi nevar lepoties ar veiktspÄju terabitos, taÄu tie ļauj izveidot patiesi kvalitatÄ«vu un tehniski āskaistuā informÄcijas droŔības sistÄmu, kurÄ katrs analÄ«zes rÄ«ks tiek garantÄts, ka saÅems tikai tai nepiecieÅ”amo informÄciju sev vispiemÄrotÄkajÄ formÄ. analÄ«zei.
Uzlabotas tīkla pakeŔu brokera funkcijas
1. PieminÄts virs balansÄÅ”ana, pamatojoties uz ligzdotÄm galvenÄm tuneļu satiksmÄ.
KÄpÄc tas ir svarÄ«gi? ApsvÄrsim 3 aspektus, kas var bÅ«t kritiski kopÄ vai atseviŔķi:
- nodroÅ”inot vienmÄrÄ«gu balansÄÅ”anu neliela tuneļu skaita klÄtbÅ«tnÄ. Ja informÄcijas droŔības sistÄmu pieslÄguma punktÄ ir tikai 2 tuneļi, tad saglabÄjot sesiju, tos nevarÄs izbalansÄt pÄc ÄrÄjÄm galvenÄm uz 3 serveru platformÄm. TajÄ paÅ”Ä laikÄ satiksme tÄ«klÄ tiek pÄrraidÄ«ta nevienmÄrÄ«gi, un katra tuneļa novirzÄ«Å”ana uz atseviŔķu apstrÄdes iekÄrtu prasÄ«s pÄrmÄrÄ«gu tÄs veiktspÄju;
- nodroÅ”inot vairÄksesiju protokolu (piemÄram, FTP un VoIP) sesiju un plÅ«smu integritÄti, kuru paketes nonÄca dažÄdos tuneļos. TÄ«kla infrastruktÅ«ras sarežģītÄ«ba nepÄrtraukti pieaug: dublÄÅ”ana, virtualizÄcija, administrÄÅ”anas vienkÄrÅ”oÅ”ana utt. No vienas puses, tas palielina uzticamÄ«bu datu pÄrraides ziÅÄ, no otras puses apgrÅ«tina informÄcijas droŔības sistÄmu darbÄ«bu. Pat ja analizatoriem ir pietiekama veiktspÄja, lai apstrÄdÄtu speciÄlu kanÄlu ar tuneļiem, problÄma izrÄdÄs neatrisinÄma, jo dažas lietotÄja sesijas paketes tiek pÄrraidÄ«tas pa citu kanÄlu. TurklÄt, lai gan dažas infrastruktÅ«ras joprojÄm cenÅ”as rÅ«pÄties par sesiju integritÄti, vairÄku sesiju protokoli var izmantot pilnÄ«gi dažÄdus ceļus;
- balansÄÅ”ana MPLS, VLAN, atseviŔķu iekÄrtu tagu u.c. klÄtbÅ«tnÄ. Ne gluži tuneļi, bet tomÄr aprÄ«kojums ar pamata funkcionalitÄti var saprast Å”o trafiku kÄ kaut ko citu, nevis IP un lÄ«dzsvarot to, pamatojoties uz MAC adresÄm, kÄrtÄjo reizi pÄrkÄpjot balansÄÅ”anas vienveidÄ«bu vai sesiju integritÄti.
TÄ«kla pakeÅ”u brokeris parsÄ ÄrÄjÄs galvenes un secÄ«gi seko norÄdÄm lÄ«dz ligzdotajai IP galvenei un balansÄ uz tÄs. LÄ«dz ar to ir ievÄrojami vairÄk plÅ«smu (attiecÄ«gi to var nelÄ«dzsvarot vienmÄrÄ«gÄk un uz lielÄka platformu skaita), un DPI sistÄma saÅem visas sesiju paketes un visas saistÄ«tÄs daudzsesiju protokolu sesijas.
2. Satiksmes pÄrveidoÅ”ana.
Viena no plaÅ”ÄkajÄm funkcijÄm, Åemot vÄrÄ tÄs iespÄjas, ir daudz apakÅ”funkciju un to pielietoÅ”anas iespÄju:
- dzÄÅ”ot lietderÄ«go slodzi, Å”ajÄ gadÄ«jumÄ uz analÄ«zes rÄ«ku tiek pÄrsÅ«tÄ«tas tikai pakeÅ”u galvenes. Tas attiecas uz analÄ«zes rÄ«kiem vai trafika veidiem, kuros pakeÅ”u saturam nav nozÄ«mes vai to nevar analizÄt. PiemÄram, Å”ifrÄtai satiksmei var interesÄt parametru apmaiÅas dati (kas, ar ko, kad un cik daudz), bet lietderÄ«gÄ slodze patiesÄ«bÄ ir atkritumi, kas aizÅem analizatora kanÄlu un skaitļoÅ”anas resursus. VariÄcijas ir iespÄjamas, kad lietderÄ«gÄ slodze tiek apgriezta, sÄkot no noteiktÄ nobÄ«des ā tas nodroÅ”ina papildu iespÄjas analÄ«zes rÄ«kiem;
- detunelÄÅ”ana, proti, tuneļus apzÄ«mÄjoÅ”o un identificÄjoÅ”o virsrakstu noÅemÅ”ana. MÄrÄ·is ir samazinÄt analÄ«zes rÄ«ku slodzi un palielinÄt to efektivitÄti. DetunelÄÅ”ana var bÅ«t balstÄ«ta uz fiksÄtu nobÄ«di vai ar dinamisku galvenes analÄ«zi un nobÄ«des noteikÅ”anu katrai paketei;
- pakeÅ”u galvenes daļas noÅemÅ”ana: MPLS tagi, VLAN, Ä«paÅ”ie treÅ”o puÅ”u aprÄ«kojuma lauki;
- maskÄjot daļu no galvenÄm, piemÄram, maskÄjot IP adreses, lai nodroÅ”inÄtu trafika anonimizÄciju;
- pakalpojuma informÄcijas pievienoÅ”ana paketei: laikspiedols, ievades ports, trafika klases etiÄ·ete utt.
3. DeduplikÄcija ā uz analÄ«zes rÄ«kiem pÄrsÅ«tÄ«to trafika pakeÅ”u dublikÄtu tÄ«rÄ«Å”ana. PakeÅ”u dublikÄti visbiežÄk rodas savienojuma ar infrastruktÅ«ru rakstura dÄļ - satiksme var iziet cauri vairÄkiem analÄ«zes punktiem un tikt atspoguļota no katra no tiem. Bieža ir arÄ« neveiksmÄ«gu TCP pakeÅ”u atkÄrtota sÅ«tÄ«Å”ana, taÄu, ja to ir daudz, tad tÄs, visticamÄk, ir saistÄ«tas ar tÄ«kla kvalitÄtes uzraudzÄ«bu, nevis informÄcijas droŔību tajÄ.
4. Uzlabotas filtrÄÅ”anas funkcijas ā no noteiktu vÄrtÄ«bu meklÄÅ”anas noteiktÄ nobÄ«dÄ lÄ«dz visas paketes parakstu analÄ«zei.
5. NetFlow/IPFIX paaudze ā plaÅ”a statistikas klÄsta vÄkÅ”ana par garÄmbraucoÅ”o satiksmi un tÄs pÄrsÅ«tÄ«Å”ana uz analÄ«zes rÄ«kiem.
6. SSL trafika atÅ”ifrÄÅ”ana, darbojas ar nosacÄ«jumu, ka sertifikÄts un atslÄgas vispirms tiek ielÄdÄtas tÄ«kla pakeÅ”u brokerÄ«. TomÄr tas ļauj ievÄrojami atslogot analÄ«zes rÄ«kus.
Ir daudz vairÄk funkciju, noderÄ«gu un mÄrketinga funkciju, bet galvenÄs, iespÄjams, ir uzskaitÄ«tas.
AtklÄÅ”anas sistÄmu (ielauÅ”anÄs, DDOS uzbrukumi) attÄ«stÄ«ba to novÄrÅ”anas sistÄmÄs, kÄ arÄ« aktÄ«vo DPI rÄ«ku ievieÅ”ana prasÄ«ja mainÄ«t pÄrslÄgÅ”anas shÄmu no pasÄ«vÄs (caur TAP vai SPAN portiem) uz aktÄ«vo (āstarpÄ). ā). Å is apstÄklis āāpalielinÄja prasÄ«bas attiecÄ«bÄ uz uzticamÄ«bu (jo Å”ajÄ gadÄ«jumÄ kļūme izraisa visa tÄ«kla darbÄ«bas traucÄjumus, nevis tikai kontroles pÄr informÄcijas droŔību zaudÄÅ”anu) un noveda pie optisko savienotÄju aizstÄÅ”anas ar optisko apvedceļu (lai atrisinÄtu tÄ«kla darbspÄjas atkarÄ«ba no sistÄmu informÄcijas droŔības darbspÄjas), bet galvenÄ funkcionalitÄte un prasÄ«bas tai paliek nemainÄ«gas.
MÄs esam izstrÄdÄjuÅ”i DS Integrity Network Packet Brokers ar 100G, 40G un 10G saskarnÄm, sÄkot no dizaina un shÄmas projektÄÅ”anas lÄ«dz programmaparatÅ«rai. TurklÄt atŔķirÄ«bÄ no citiem pakeÅ”u brokeriem ligzdoto tuneļu galveÅu modifikÄcijas un balansÄÅ”anas funkcijas tiek Ä«stenotas aparatÅ«rÄ ar pilnu porta Ätrumu.
Avots: www.habr.com