Mūsdienīgi risinājumi informācijas drošības sistēmu izbūvei - tīkla pakešu brokeri (Network Packet Broker)

Informācijas drošība ir atdalījusies no telekomunikācijām neatkarīgā nozarē ar savu specifiku un savu aprīkojumu. Bet ir maz zināma ierīču klase, kas atrodas telekomunikāciju un informācijas drošības krustpunktā - tīkla pakešu brokeri (Tīkla pakešu brokeris), kas pazīstams arī kā slodzes balansētāji, specializētie/uzraudzības slēdži, trafika apkopotāji, drošības piegādes platforma, tīkla redzamība un tā tālāk. Un mēs, kā šādu ierīču izstrādātājs un ražotājs Krievijā, ļoti vēlētos jums par tām pastāstīt vairāk.

Apjoms un risināmie uzdevumi

Tīkla pakešu brokeri ir specializētas ierīces, kuras ir atradušas vislielāko pielietojumu informācijas drošības sistēmās. Kā tāda šī ierīču klase ir salīdzinoši jauna un maza vispārējā tīkla infrastruktūrā, salīdzinot ar slēdžiem, maršrutētājiem utt. Šāda veida ierīču izstrādes pionieris bija amerikāņu uzņēmums Gigamon. Šobrīd šajā tirgū ir ievērojami vairāk spēlētāju (līdzīgi risinājumi ir arī pazīstamajam testa sistēmu ražotājam IXIA kompānijai), taču par šādu ierīču esamību joprojām zina tikai šaurs profesionāļu loks. Kā minēts iepriekš, pat terminoloģija nav skaidra: nosaukumi svārstās no “tīkla caurspīdīguma sistēmām” līdz vienkāršiem “līdzsvarotājiem”.

Izstrādājot tīkla pakešu brokerus, saskārāmies ar faktu, ka papildus funkcionalitātes attīstības virzienu analīzei un testēšanai laboratorijās/testēšanas zonās nepieciešams vienlaikus skaidrot potenciālajiem patērētājiem par šīs klases iekārtu esamību, jo ne visi par to zina.

Tikai pirms 15–20 gadiem tīklā bija maz trafika, un tie lielākoties bija nesvarīgi dati. Bet Nīlsena likums praktiski atkārtojas Mūra likums: interneta savienojuma ātrums katru gadu palielinās par 50%. Arī trafika apjoms nepārtraukti pieaug (grafikā parādīta 2017. gada prognoze no Cisco, avots Cisco Visual Networking Index: Forecast and Trends, 2017–2022):

Līdz ar ātrumu pieaug informācijas aprites nozīme (tas ir gan komercnoslēpums, gan bēdīgi slavenie personas dati) un infrastruktūras kopējā veiktspēja.

Attiecīgi parādījās informācijas drošības nozare. Nozare uz to reaģēja, radot virkni dziļās trafika analīzes (DPI) ierīču: no DDOS uzbrukumu novēršanas sistēmām līdz informācijas drošības notikumu pārvaldības sistēmām, tostarp IDS, IPS, DLP, NBA, SIEM, Antimailware un tā tālāk. Parasti katrs no šiem rīkiem ir programmatūra, kas instalēta servera platformā. Turklāt katra programma (analīzes rīks) ir instalēta savā servera platformā: programmatūras ražotāji ir dažādi, un analīzei L7 ir nepieciešams daudz skaitļošanas resursu.

Veidojot informācijas drošības sistēmu, ir jāatrisina vairākas galvenās problēmas:

• kā pārsūtīt trafiku no infrastruktūras uz analīzes sistēmām? (Sākotnēji šim nolūkam izstrādātie SPAN porti mūsdienu infrastruktūrā nav pietiekami ne daudzuma, ne veiktspējas ziņā)
• kā sadalīt trafiku starp dažādām analīzes sistēmām?
• kā mērogot sistēmas, ja viena analizatora instances veiktspēja nav pietiekama, lai apstrādātu visu tajā ienākošās trafika apjomu?
• kā uzraudzīt 40G/100G saskarnes (un tuvākajā nākotnē 200G/400G), jo pašlaik analīzes rīki atbalsta tikai 1G/10G/25G saskarnes?

Un šādi saistītie uzdevumi:

• Kā mēs varam samazināt nemērķtiecīgu trafiku, kas nav jāapstrādā, bet nonāk pie analīzes rīkiem un patērē to resursus?
• Kā apstrādāt iekapsulētas paketes un paketes ar iekārtu servisa tagiem, kuru sagatavošana analīzei izrādās vai nu resursietilpīga, vai vispār neiespējama realizēt?
• kā no analīzes izslēgt daļu trafiku, ko neregulē drošības politika (piemēram, pārvaldnieka trafiku).

Kā visi zina, pieprasījums rada piedāvājumu, un, reaģējot uz šīm vajadzībām, sāka attīstīties tīkla pakešu brokeri.

Vispārīgs tīkla pakešu brokeru apraksts

Tīkla pakešu brokeri darbojas pakešu līmenī, un tādā veidā tie ir līdzīgi parastajiem slēdžiem. Galvenā atšķirība no slēdžiem ir tāda, ka trafika sadales un apkopošanas noteikumus tīkla pakešu brokeros pilnībā nosaka iestatījumi. Tīkla pakešu brokeriem nav standartu pāradresācijas tabulu (MAC tabulu) konstruēšanai un apmaiņas protokoliem ar citiem slēdžiem (piemēram, STP), un tāpēc tajos iespējamo iestatījumu un saprotamo lauku klāsts ir daudz plašāks. Brokeris var vienmērīgi sadalīt trafiku no viena vai vairākiem ievades portiem uz noteiktu izvades portu diapazonu ar izejas slodzes līdzsvarošanas funkciju. Varat iestatīt kopēšanas, filtrēšanas, klasifikācijas, dublēšanas un trafika modifikācijas noteikumus. Šos noteikumus var piemērot dažādām tīkla pakešu brokeru ievades portu grupām, kā arī tos var piemērot secīgi vienu pēc otra pašā ierīcē. Svarīga pakešu brokera priekšrocība ir spēja apstrādāt trafiku ar pilnu plūsmas ātrumu un saglabāt sesiju integritāti (gadījumā, ja trafiks tiek balansēts uz vairākām viena veida DPI sistēmām).

Sesijas integritātes uzturēšana ietver visu transporta slāņa sesiju pakešu (TCP/UDP/SCTP) pārsūtīšanu uz vienu portu. Tas ir svarīgi, jo DPI sistēmas (parasti programmatūra, kas darbojas serverī, kas savienots ar pakešu brokera izvades portu) analizē trafika saturu lietojumprogrammas līmenī, un visām vienas lietojumprogrammas nosūtītajām/saņemtajām paketēm ir jānonāk tajā pašā analizatora instancē. Ja paketes no vienas sesijas tiek pazaudētas vai izplatītas starp dažādām DPI ierīcēm, tad katra atsevišķa DPI ierīce nonāks situācijā, kas līdzīga nevis visa teksta, bet atsevišķu vārdu lasīšanai no tā. Un, visticamāk, tekstu nesapratīs.

Tādējādi, koncentrējoties uz informācijas drošības sistēmām, tīkla pakešu brokeriem ir funkcionalitāte, kas palīdz savienot DPI programmatūras sistēmas ar ātrgaitas telekomunikāciju tīkliem un samazināt to slodzi: tie veic trafika iepriekšēju filtrēšanu, klasifikāciju un sagatavošanu, lai vienkāršotu turpmāko apstrādi.

Turklāt, tā kā tīkla pakešu brokeri veido plašu statistiku un bieži vien ir savienoti ar dažādiem tīkla punktiem, viņi atrod savu vietu arī, diagnosticējot pašas tīkla infrastruktūras darbības problēmas.

Tīkla pakešu brokeru pamatfunkcijas

Nosaukums “specializētie/uzraudzības slēdži” radās no pamatmērķa: savākt trafiku no infrastruktūras (parasti izmantojot pasīvos optiskos savienotājus TAP un/vai SPAN portus) un izplatīt to starp analīzes rīkiem. Satiksme tiek atspoguļota (dublēta) starp dažāda veida sistēmām un līdzsvarota starp viena veida sistēmām. Pamatfunkcijās parasti ietilpst filtrēšana pēc laukiem līdz L4 (MAC, IP, TCP/UDP ports u.c.) un vairāku nedaudz ielādētu kanālu apkopošana vienā (piemēram, apstrādei vienā DPI sistēmā).

Šī funkcionalitāte nodrošina risinājumu pamatuzdevumam savienot DPI sistēmas ar tīkla infrastruktūru. Dažādu ražotāju brokeri, kas aprobežojas ar pamata funkcionalitāti, nodrošina apstrādi līdz 32 100G interfeisiem uz 1U (vairāk saskarņu fiziski neiederas 1U priekšējā panelī). Tomēr tie nesamazina analīzes rīku slodzi, un sarežģītai infrastruktūrai tie pat nevar nodrošināt prasības pamatfunkcijai: sesija, kas sadalīta pa vairākiem tuneļiem (vai aprīkota ar MPLS tagiem), var kļūt nelīdzsvarota starp dažādiem analizatora gadījumiem un kopumā. izkrist no analīzes.

Papildus 40/100G saskarņu pievienošanai un līdz ar to veiktspējas palielināšanai tīkla pakešu brokeri aktīvi attīstās, nodrošinot principiāli jaunas iespējas: no balansēšanas, kas balstīta uz ligzdotu tuneļu galvenēm, līdz trafika atšifrēšanai. Diemžēl šādi modeļi nevar lepoties ar veiktspēju terabitos, taču tie ļauj izveidot patiesi kvalitatīvu un tehniski “skaistu” informācijas drošības sistēmu, kurā katrs analīzes rīks tiek garantēts, ka saņems tikai tai nepieciešamo informāciju sev vispiemērotākajā formā. analīzei.

Uzlabotas tīkla pakešu brokera funkcijas

1. Pieminēts virs balansēšana, pamatojoties uz ligzdotām galvenēm tuneļu satiksmē.

Kāpēc tas ir svarīgi? Apsvērsim 3 aspektus, kas var būt kritiski kopā vai atsevišķi:

• nodrošinot vienmērīgu balansēšanu neliela tuneļu skaita klātbūtnē. Ja informācijas drošības sistēmu pieslēguma punktā ir tikai 2 tuneļi, tad saglabājot sesiju, tos nevarēs izbalansēt pēc ārējām galvenēm uz 3 serveru platformām. Tajā pašā laikā satiksme tīklā tiek pārraidīta nevienmērīgi, un katra tuneļa novirzīšana uz atsevišķu apstrādes iekārtu prasīs pārmērīgu tās veiktspēju;
• nodrošinot vairāksesiju protokolu (piemēram, FTP un VoIP) sesiju un plūsmu integritāti, kuru paketes nonāca dažādos tuneļos. Tīkla infrastruktūras sarežģītība nepārtraukti pieaug: dublēšana, virtualizācija, administrēšanas vienkāršošana utt. No vienas puses, tas palielina uzticamību datu pārraides ziņā, no otras puses apgrūtina informācijas drošības sistēmu darbību. Pat ja analizatoriem ir pietiekama veiktspēja, lai apstrādātu speciālu kanālu ar tuneļiem, problēma izrādās neatrisināma, jo dažas lietotāja sesijas paketes tiek pārraidītas pa citu kanālu. Turklāt, lai gan dažas infrastruktūras joprojām cenšas rūpēties par sesiju integritāti, vairāku sesiju protokoli var izmantot pilnīgi dažādus ceļus;
• balansēšana MPLS, VLAN, atsevišķu iekārtu tagu u.c. klātbūtnē. Ne gluži tuneļi, bet tomēr aprīkojums ar pamata funkcionalitāti var saprast šo trafiku kā kaut ko citu, nevis IP un līdzsvarot to, pamatojoties uz MAC adresēm, kārtējo reizi pārkāpjot balansēšanas vienveidību vai sesiju integritāti.

Tīkla pakešu brokeris parsē ārējās galvenes un secīgi seko norādēm līdz ligzdotajai IP galvenei un balansē uz tās. Līdz ar to ir ievērojami vairāk plūsmu (attiecīgi to var nelīdzsvarot vienmērīgāk un uz lielāka platformu skaita), un DPI sistēma saņem visas sesiju paketes un visas saistītās daudzsesiju protokolu sesijas.

2. Satiksmes pārveidošana.
Viena no plašākajām funkcijām, ņemot vērā tās iespējas, ir daudz apakšfunkciju un to pielietošanas iespēju:

• dzēšot lietderīgo slodzi, šajā gadījumā uz analīzes rīku tiek pārsūtītas tikai pakešu galvenes. Tas attiecas uz analīzes rīkiem vai trafika veidiem, kuros pakešu saturam nav nozīmes vai to nevar analizēt. Piemēram, šifrētai satiksmei var interesēt parametru apmaiņas dati (kas, ar ko, kad un cik daudz), bet lietderīgā slodze patiesībā ir atkritumi, kas aizņem analizatora kanālu un skaitļošanas resursus. Variācijas ir iespējamas, kad lietderīgā slodze tiek apgriezta, sākot no noteiktā nobīdes – tas nodrošina papildu iespējas analīzes rīkiem;
• detunelēšana, proti, tuneļus apzīmējošo un identificējošo virsrakstu noņemšana. Mērķis ir samazināt analīzes rīku slodzi un palielināt to efektivitāti. Detunelēšana var būt balstīta uz fiksētu nobīdi vai ar dinamisku galvenes analīzi un nobīdes noteikšanu katrai paketei;
• pakešu galvenes daļas noņemšana: MPLS tagi, VLAN, īpašie trešo pušu aprīkojuma lauki;
• maskējot daļu no galvenēm, piemēram, maskējot IP adreses, lai nodrošinātu trafika anonimizāciju;
• pakalpojuma informācijas pievienošana paketei: laikspiedols, ievades ports, trafika klases etiķete utt.

3. Deduplikācija – uz analīzes rīkiem pārsūtīto trafika pakešu dublikātu tīrīšana. Pakešu dublikāti visbiežāk rodas savienojuma ar infrastruktūru rakstura dēļ - satiksme var iziet cauri vairākiem analīzes punktiem un tikt atspoguļota no katra no tiem. Bieža ir arī neveiksmīgu TCP pakešu atkārtota sūtīšana, taču, ja to ir daudz, tad tās, visticamāk, ir saistītas ar tīkla kvalitātes uzraudzību, nevis informācijas drošību tajā.

4. Uzlabotas filtrēšanas funkcijas – no noteiktu vērtību meklēšanas noteiktā nobīdē līdz visas paketes parakstu analīzei.

5. NetFlow/IPFIX paaudze – plaša statistikas klāsta vākšana par garāmbraucošo satiksmi un tās pārsūtīšana uz analīzes rīkiem.

6. SSL trafika atšifrēšana, darbojas ar nosacījumu, ka sertifikāts un atslēgas vispirms tiek ielādētas tīkla pakešu brokerī. Tomēr tas ļauj ievērojami atslogot analīzes rīkus.

Ir daudz vairāk funkciju, noderīgu un mārketinga funkciju, bet galvenās, iespējams, ir uzskaitītas.

Atklāšanas sistēmu (ielaušanās, DDOS uzbrukumi) attīstība to novēršanas sistēmās, kā arī aktīvo DPI rīku ieviešana prasīja mainīt pārslēgšanas shēmu no pasīvās (caur TAP vai SPAN portiem) uz aktīvo (“starpā). ”). Šis apstāklis ​​palielināja prasības attiecībā uz uzticamību (jo šajā gadījumā kļūme izraisa visa tīkla darbības traucējumus, nevis tikai kontroles pār informācijas drošību zaudēšanu) un noveda pie optisko savienotāju aizstāšanas ar optisko apvedceļu (lai atrisinātu tīkla darbspējas atkarība no sistēmu informācijas drošības darbspējas), bet galvenā funkcionalitāte un prasības tai paliek nemainīgas.

Mēs esam izstrādājuši DS Integrity Network Packet Brokers ar 100G, 40G un 10G saskarnēm, sākot no dizaina un shēmas projektēšanas līdz programmaparatūrai. Turklāt atšķirībā no citiem pakešu brokeriem ligzdoto tuneļu galveņu modifikācijas un balansēšanas funkcijas tiek īstenotas aparatūrā ar pilnu porta ātrumu.

Avots: www.habr.com