Мэдээллийн аюулгүй байдал нь харилцаа холбооны салбараас салж өөрийн гэсэн онцлогтой, өөрийн гэсэн тоног төхөөрөмжтэй бие даасан салбар болж хувирсан. Гэхдээ харилцаа холбоо, мэдээллийн сүлжээний уулзвар дээр байрладаг бага зэрэг мэддэг төхөөрөмжүүд байдаг. сүлжээний пакет брокерууд (Сүлжээний пакет зуучлагч), эдгээр нь ачааллын тэнцвэржүүлэгч, тусгай / хяналтын унтраалга, замын хөдөлгөөний агрегатор, аюулгүй байдлын хүргэх платформ, сүлжээний харагдах байдал гэх мэт. Бид Оросын хөгжүүлэгч, ийм төхөөрөмж үйлдвэрлэгчийн хувьд тэдний талаар илүү ихийг хэлэхийг үнэхээр хүсч байна.
Хамрах хүрээ, шийдвэрлэх ёстой ажлууд
Сүлжээний пакет брокерууд нь мэдээллийн аюулгүй байдлын системд хамгийн их ашиглагддаг тусгай төхөөрөмж юм. Иймээс төхөөрөмжийн ангилал нь свич, чиглүүлэгч гэх мэтчилэн харьцангуй шинэ бөгөөд нийтлэг сүлжээний дэд бүтцэд цөөн байдаг. Энэ төрлийн төхөөрөмжийг хөгжүүлэх анхдагч нь Америкийн Gigamon компани байв. Одоогийн байдлаар энэ зах зээлд илүү олон тоглогчид байдаг (түүний дотор алдартай туршилтын системийн үйлдвэрлэгч - IXIA-ийн ижил төстэй шийдлүүдийг багтаасан), гэхдээ зөвхөн нарийн мэргэжлийн хүмүүс ийм төхөөрөмж байгаа эсэхийг мэддэг хэвээр байна. Дээр дурдсанчлан, нэр томъёоны хувьд ч гэсэн хоёрдмол утгагүй баталгаа байхгүй: нэр нь "сүлжээний ил тод байдлын систем" -ээс энгийн "тэнцвэржүүлэгч" хүртэл байдаг.
Сүлжээний пакет брокеруудыг хөгжүүлэх явцад бид лаборатори / туршилтын бүсэд функциональ байдал, туршилтыг хөгжүүлэх чиглэлүүдэд дүн шинжилгээ хийхээс гадна энэ ангиллын тоног төхөөрөмж байгаа эсэхийг боломжит хэрэглэгчдэд нэгэн зэрэг тайлбарлах шаардлагатай болсонтой тулгарсан. , учир нь хүн бүр энэ талаар мэддэггүй.
Тэр ч байтугай 15-20 жилийн өмнө сүлжээнд маш бага ачаалалтай байсан бөгөөд энэ нь ихэвчлэн чухал биш өгөгдөл байв. Гэхдээ практикт давтдаг : Интернет холболтын хурд жил бүр 50%-иар нэмэгддэг. Траффикийн хэмжээ мөн тогтмол өсч байна (график нь Cisco-ийн 2017 оны урьдчилсан мэдээг харуулж байна, эх сурвалж Cisco Visual Networking Index: Forecast and Trends, 2017–2022):
Хурдны хажуугаар мэдээллийн эргэлтийн ач холбогдол (энэ нь арилжааны нууц бөгөөд муу нэртэй хувийн мэдээлэл юм) болон дэд бүтцийн ерөнхий гүйцэтгэл нэмэгдэж байна.
Үүний дагуу мэдээллийн аюулгүй байдлын салбар бий болсон. Салбар нь DDOS халдлагаас урьдчилан сэргийлэх системээс эхлээд IDS, IPS, DLP, NBA, SIEM, Antimailware гэх мэт мэдээллийн аюулгүй байдлын үйл явдлын удирдлагын систем хүртэл замын хөдөлгөөний дүн шинжилгээ хийх (DPI) төхөөрөмжүүдийн тусламжтайгаар үүнд хариу үйлдэл үзүүлсэн. Ерөнхийдөө эдгээр хэрэгсэл бүр нь серверийн платформ дээр суулгасан програм хангамж юм. Нэмж дурдахад програм (шинжилгээний хэрэгсэл) бүр өөрийн сервер платформ дээр суурилагдсан: програм хангамж үйлдвэрлэгчид өөр өөр байдаг бөгөөд L7 дээр дүн шинжилгээ хийхэд маш их тооцоолох нөөц шаардлагатай байдаг.
Мэдээллийн аюулгүй байдлын системийг бий болгохдоо хэд хэдэн үндсэн ажлыг шийдвэрлэх шаардлагатай.
- Дэд бүтцээс анализын систем рүү урсгалыг хэрхэн шилжүүлэх вэ? (Орчин үеийн дэд бүтцэд анх бүтээгдсэн SPAN портууд нь тоо хэмжээ, гүйцэтгэлийн хувьд хангалтгүй байдаг)
- Янз бүрийн шинжилгээний системүүдийн хооронд урсгалыг хэрхэн хуваарилах вэ?
- Нэг анализаторын хүчин чадал хангалтгүй үед системд орж ирж буй траффикийг бүхэлд нь боловсруулахад хэрхэн хэмжих вэ?
- Шинжилгээний хэрэгслүүд одоогоор зөвхөн 40G/100G/200G интерфейсийг дэмждэг тул 400G/1G интерфэйсийг (мөн ойрын ирээдүйд мөн 10G/25G) хэрхэн хянах вэ?
Мөн дараах холбогдох ажлууд:
- Боловсруулах шаардлагагүй, гэхдээ шинжилгээний хэрэгслүүдэд хүрч, нөөцийг нь зарцуулдаг зохисгүй урсгалыг хэрхэн багасгах вэ?
- Шинжилгээнд бэлтгэх нь маш их нөөц шаарддаг эсвэл огт хэрэгжих боломжгүй байдаг техник хангамжийн үйлчилгээний тэмдэг бүхий багц болон пакетуудыг хэрхэн боловсруулах вэ?
- Аюулгүй байдлын бодлогоор зохицуулагдаагүй замын хөдөлгөөний хэсгийг (жишээлбэл, толгойн хөдөлгөөн) шинжилгээнээс хэрхэн хасах вэ.
Эрэлт нийлүүлэлтийг бий болгодог гэдгийг хүн бүр мэддэг учраас эдгээр хэрэгцээ шаардлагад нийцүүлэн сүлжээний пакет брокерууд хөгжиж эхэлсэн.
Сүлжээний пакет брокеруудын ерөнхий тодорхойлолт
Сүлжээний пакет брокерууд пакетын түвшинд ажилладаг бөгөөд энэ нь энгийн свичтэй төстэй юм. Шилжүүлэгчээс гол ялгаа нь сүлжээний пакет брокеруудын траффикийг хуваарилах, нэгтгэх дүрмийг тохиргоогоор бүрэн тодорхойлдог явдал юм. Сүлжээний пакет брокеруудад дамжуулах хүснэгт (MAC хүснэгт) байгуулах, бусад шилжүүлэгчтэй (STP гэх мэт) протокол солилцох стандарт байдаггүй тул тэдгээрийн боломжит тохиргоо, ойлгомжтой талбаруудын хүрээ илүү өргөн байдаг. Брокер нь гаралтын ачааллыг тэнцвэржүүлэх функцээр нэг буюу хэд хэдэн оролтын портоос өгөгдсөн хүрээний гаралтын порт руу урсгалыг жигд хуваарилах боломжтой. Та урсгалыг хуулбарлах, шүүх, ангилах, хувилах, өөрчлөх дүрмийг тогтоож болно. Эдгээр дүрмийг сүлжээний пакет брокерын оролтын портуудын өөр өөр бүлгүүдэд хэрэглэхээс гадна төхөөрөмжид дараалан хэрэглэж болно. Пакет брокерын чухал давуу тал бол урсгалыг бүрэн урсгалаар боловсруулж, сессийн бүрэн бүтэн байдлыг хадгалах чадвар юм (ижил төрлийн хэд хэдэн DPI систем рүү урсгалыг тэнцвэржүүлэх тохиолдолд).
Сеансуудын бүрэн бүтэн байдлыг хадгалах нь тээврийн давхаргын сессийн бүх пакетуудыг (TCP / UDP / SCTP) нэг порт руу шилжүүлэх явдал юм. DPI системүүд (ихэвчлэн пакет брокерын гаралтын порттой холбогдсон сервер дээр ажилладаг программ хангамж) нь хэрэглээний түвшинд траффикийн агуулгыг задлан шинжилдэг бөгөөд нэг аппликешнээр илгээсэн/хүлээн авсан бүх пакетууд нь ижил тохиолдолд ирэх ёстой тул энэ нь чухал юм. анализатор. Хэрэв нэг сессийн пакетууд алдагдах эсвэл өөр өөр DPI төхөөрөмжүүдийн дунд тархсан бол DPI төхөөрөмж бүр текстийг бүхэлд нь биш, харин тусдаа үгсийг уншихтай адил нөхцөл байдалд орно. Мөн текстийг ойлгохгүй байх магадлалтай.
Тиймээс мэдээллийн аюулгүй байдлын системд анхаарлаа төвлөрүүлснээр сүлжээний пакет брокерууд нь DPI програм хангамжийн системийг өндөр хурдны харилцаа холбооны сүлжээнд холбож, ачааллыг бууруулахад тусалдаг функцтэй байдаг: дараагийн боловсруулалтыг хялбаршуулах зорилгоор урсгалыг урьдчилан шүүж, ангилж, бэлтгэдэг.
Нэмж дурдахад, сүлжээний пакет брокерууд нь өргөн хүрээний статистик мэдээллийг өгдөг бөгөөд ихэвчлэн сүлжээний янз бүрийн цэгүүдтэй холбогддог тул сүлжээний дэд бүтцийн эрүүл мэндийн асуудлыг оношлоход өөрсдийн байр сууриа олдог.
Сүлжээний пакет брокеруудын үндсэн чиг үүрэг
"Зориулалтын/хяналтын унтраалга" гэсэн нэр нь үндсэн зорилгоос үүдэлтэй: дэд бүтцээс урсгалыг цуглуулж (ихэвчлэн идэвхгүй оптик TAP цорго ба / эсвэл SPAN портуудыг ашиглан) дүн шинжилгээ хийх хэрэгслүүдийн дунд түгээх. Замын хөдөлгөөн нь янз бүрийн төрлийн системүүдийн хооронд толин тусгал (давхардсан) бөгөөд ижил төрлийн системүүдийн хооронд тэнцвэртэй байдаг. Үндсэн функцууд нь ихэвчлэн L4 (MAC, IP, TCP / UDP порт гэх мэт) хүртэлх талбараар шүүх, бага зэрэг ачаалалтай хэд хэдэн сувгийг нэг сувагт нэгтгэх (жишээлбэл, нэг DPI систем дээр боловсруулах) орно.
Энэхүү функц нь үндсэн зорилт болох DPI системийг сүлжээний дэд бүтцэд холбох боломжийг олгодог. Төрөл бүрийн үйлдвэрлэгчдийн брокерууд үндсэн функцээр хязгаарлагддаг бөгөөд 32U тутамд 100 1G интерфэйсийг боловсруулдаг (илүү олон интерфейс нь 1U урд самбарт тохирохгүй). Гэсэн хэдий ч тэдгээр нь шинжилгээний хэрэгслүүдийн ачааллыг багасгахыг зөвшөөрдөггүй бөгөөд нарийн төвөгтэй дэд бүтцийн хувьд үндсэн функцэд тавигдах шаардлагыг ч хангаж чадахгүй: хэд хэдэн хонгилоор тархсан сесс (эсвэл MPLS шошготой) янз бүрийн тохиолдлуудад тэнцвэргүй байж болно. анализатор ба ерөнхийдөө шинжилгээнээс гардаг.
40/100G интерфэйсүүдийг нэмж, үүний үр дүнд гүйцэтгэлийг сайжруулахын зэрэгцээ сүлжээний пакет брокерууд цоо шинэ боломжуудыг хангах үүднээс идэвхтэй хөгжиж байна: үүрлэсэн хонгилын толгой хэсгийг тэнцвэржүүлэхээс эхлээд траффик тайлах хүртэл. Харамсалтай нь, ийм загварууд нь терабитийн гүйцэтгэлээр сайрхаж чадахгүй ч дүн шинжилгээ хийх хэрэгсэл бүр нь зөвхөн шаардлагатай мэдээллийг хамгийн тохиромжтой хэлбэрээр хүлээн авах баталгаатай, үнэхээр өндөр чанартай, техникийн хувьд "сайхан" мэдээллийн аюулгүй байдлын системийг бий болгох боломжийг олгодог. шинжилгээнд зориулж.
Сүлжээний пакет брокеруудын дэвшилтэт функцууд
1. Дээр дурьдсан хонгилтой хөдөлгөөнд үүрлэсэн толгойг тэнцвэржүүлэх.
Яагаад чухал вэ? Хамтдаа эсвэл тусад нь чухал байж болох 3 талыг авч үзье:
- цөөн тооны хонгил байгаа тохиолдолд жигд тэнцвэрийг хангах. Мэдээллийн аюулгүй байдлын системийг холбох цэг дээр зөвхөн 2 хонгил байгаа тохиолдолд сессийг хадгалахын зэрэгцээ 3 серверийн платформ дээр гадны толгойгоор тэнцвэржүүлэх боломжгүй болно. Үүний зэрэгцээ сүлжээн дэх хөдөлгөөн жигд бус дамждаг бөгөөд туннель бүрийн чиглэлийг тусдаа боловсруулах байгууламжид шилжүүлэх нь сүүлийнх нь хэт их гүйцэтгэлийг шаарддаг;
- багцууд нь өөр өөр хонгилд дуусдаг олон сессийн протоколуудын (жишээлбэл, FTP ба VoIP) сесс болон урсгалуудын бүрэн бүтэн байдлыг хангах. Сүлжээний дэд бүтцийн нарийн төвөгтэй байдал байнга нэмэгдэж байна: илүүдэл, виртуалчлал, удирдлагыг хялбаршуулах гэх мэт. Энэ нь нэг талаас мэдээлэл дамжуулах найдвартай байдлыг нэмэгдүүлж, нөгөө талаас мэдээллийн аюулгүй байдлын системийн ажлыг хүндрүүлдэг. Тусгайлсан сувгийг хонгилоор боловсруулахад анализаторуудын хангалттай гүйцэтгэлтэй байсан ч хэрэглэгчийн сессийн багцын зарим нь өөр сувгаар дамждаг тул асуудал шийдэгдэх боломжгүй болж хувирдаг. Түүнээс гадна, хэрэв тэд зарим дэд бүтцийн хуралдааны бүрэн бүтэн байдлыг хангахыг хичээсэн хэвээр байвал олон сессийн протоколууд огт өөр замаар явж болно;
- MPLS, VLAN, бие даасан төхөөрөмжийн шошго гэх мэт байгаа нөхцөлд тэнцвэржүүлэх. Үнэндээ хонгил биш, гэхдээ үндсэн функцтэй төхөөрөмж нь энэ урсгалыг IP биш, MAC хаягаар тэнцвэржүүлж, тэнцвэржүүлэх эсвэл сессийн бүрэн бүтэн байдлыг дахин нэг удаа зөрчиж байна.
Сүлжээний пакет брокер нь гадна талын толгойнуудыг задлан шинжилж, үүрлэсэн IP толгой хүртэл заагчуудыг дараалан дагаж, үүн дээр аль хэдийн тэнцвэржүүлдэг. Үүний үр дүнд илүү олон урсгалууд байдаг (тус тус бүр нь илүү жигд, олон тооны платформ дээр тэнцвэргүй байж болно) бөгөөд DPI систем нь бүх сессийн пакетууд болон олон сессийн протоколуудын холбогдох бүх сессүүдийг хүлээн авдаг.
2. Замын хөдөлгөөний өөрчлөлт.
Чадварынхаа хувьд хамгийн өргөн функцүүдийн нэг бол дэд функцүүдийн тоо, тэдгээрийг ашиглах сонголтууд нь маш олон байдаг.
- ачааллыг арилгах ба энэ тохиолдолд зөвхөн пакетийн толгойг задлан шинжлэгч рүү дамжуулдаг. Энэ нь дүн шинжилгээ хийх хэрэгсэл эсвэл багцын агуулга нь үүрэг гүйцэтгэдэггүй эсвэл дүн шинжилгээ хийх боломжгүй замын хөдөлгөөний төрлүүдэд хамааралтай. Жишээ нь, шифрлэгдсэн траффикийн хувьд параметрийн солилцооны өгөгдөл (хэн, хэнтэй, хэзээ, хэр их) сонирхолтой байж болох бол ачаалал нь үнэндээ анализаторын суваг, тооцоолох нөөцийг эзэлдэг хог юм. Өгөгдсөн нөхцлөөс эхлэн ачааллыг таслах үед өөрчлөлт хийх боломжтой - энэ нь шинжилгээний хэрэгслүүдийн нэмэлт боломжийг олгодог;
- туннел тайлах, тухайлбал хонгилыг тодорхойлж, тодорхойлох толгойн хэсгийг арилгах. Зорилго нь шинжилгээний хэрэгслүүдийн ачааллыг бууруулж, үр ашгийг нэмэгдүүлэх явдал юм. Detunneling нь багц бүрийн хувьд тогтмол офсет эсвэл динамик толгойн дүн шинжилгээ, офсет тодорхойлоход үндэслэж болно;
- зарим багцын толгойг арилгах: MPLS хаягууд, VLAN, гуравдагч талын тоног төхөөрөмжийн тодорхой талбарууд;
- толгойн хэсгийг далдлах, жишээлбэл, замын хөдөлгөөнийг нууцлахын тулд IP хаягийг далдлах;
- багцад үйлчилгээний мэдээллийг нэмэх: цагийн тэмдэг, оролтын порт, хөдөлгөөний ангийн шошго гэх мэт.
3. Давхардсан тоо – Шинжилгээний хэрэглүүрт дамждаг давтагдах урсгалын пакетуудыг цэвэрлэх. Дэд бүтцэд холбогдох онцлогоос шалтгаалан давхардсан пакетууд ихэвчлэн тохиолддог - траффик нь хэд хэдэн дүн шинжилгээ хийх цэгээр дамжиж, тус бүрээс тусгагдсан байдаг. Бүрэн бус TCP пакетуудыг дахин илгээх тохиолдол байдаг, гэхдээ хэрэв тэдгээр нь маш олон байвал эдгээр нь мэдээллийн аюулгүй байдлын талаар биш харин сүлжээний чанарыг хянах илүү олон асуулт юм.
4. Нарийвчилсан шүүлтүүрийн функцууд - өгөгдсөн офсет дээр тодорхой утгыг хайхаас эхлээд бүх багцын гарын үсгийн шинжилгээ хүртэл.
5. NetFlow/IPFIX үүсгэх - замын хөдөлгөөний талаархи өргөн хүрээний статистикийн цуглуулга, дүн шинжилгээ хийх хэрэгсэлд шилжүүлэх.
6. SSL траффикийн шифрийг тайлах, Сертификат болон түлхүүрүүдийг эхлээд сүлжээний пакет брокерт ачаалсан тохиолдолд ажиллана. Гэсэн хэдий ч, энэ нь танд шинжилгээний хэрэгслүүдийг ихээхэн хэмжээгээр буулгах боломжийг олгодог.
Ашигтай, маркетингийн олон функцууд байдаг, гэхдээ голыг нь жагсаасан байх.
Илрүүлэх системийг (халдвар, DDOS халдлага) урьдчилан сэргийлэх систем болгон хөгжүүлэх, түүнчлэн идэвхтэй DPI хэрэгслийг нэвтрүүлэх нь идэвхгүй (TAP эсвэл SPAN портуудаар) -аас идэвхтэй ("завсарлага") руу шилжих схемийг өөрчлөх шаардлагатай болсон. ). Энэ нөхцөл байдал нь найдвартай байдалд тавигдах шаардлагыг нэмэгдүүлж (учир нь энэ тохиолдолд бүтэлгүйтэл нь мэдээллийн аюулгүй байдлыг хянах чадвараа алдахаас гадна бүхэл бүтэн сүлжээг тасалдуулахад хүргэдэг) оптик холбогчийг оптик тойруугаар солиход хүргэв. Сүлжээний гүйцэтгэл нь системийн мэдээллийн аюулгүй байдлын гүйцэтгэлээс хамаарах асуудлыг шийдвэрлэх), гэхдээ үндсэн функц, түүнд тавигдах шаардлага хэвээр байна.
Бид дизайн, схемээс эхлээд суулгагдсан програм хангамж хүртэл 100G, 40G, 10G интерфэйс бүхий DS Integrity Network Packet Brokers-ийг боловсруулсан. Түүнчлэн, бусад пакет брокеруудаас ялгаатай нь үүрлэсэн хонгилын толгойг өөрчлөх, тэнцвэржүүлэх функцийг манай техник хангамжид портын бүрэн хурдтайгаар хэрэгжүүлдэг.
Эх сурвалж: www.habr.com