Keselamatan maklumat telah dipisahkan daripada telekomunikasi menjadi industri bebas dengan spesifikasinya sendiri dan peralatannya sendiri. Tetapi terdapat kelas peranti yang kurang dikenali yang berdiri di persimpangan telekom dan infobez - broker paket rangkaian (Broker Paket Rangkaian), mereka juga pengimbang beban, suis khusus / pemantauan, agregator trafik, Platform Penghantaran Keselamatan, Keterlihatan Rangkaian dan sebagainya. Dan kami, sebagai pembangun Rusia dan pengilang peranti sedemikian, benar-benar ingin memberitahu anda lebih lanjut mengenainya.
Skop dan tugas yang perlu diselesaikan
Broker paket rangkaian ialah peranti khusus yang telah menemui penggunaan terbesar dalam sistem keselamatan maklumat. Oleh itu, kelas peranti agak baharu dan sedikit dalam infrastruktur rangkaian biasa berbanding suis, penghala dan sebagainya. Perintis dalam pembangunan peranti jenis ini ialah syarikat Amerika Gigamon. Pada masa ini, terdapat lebih ramai pemain dalam pasaran ini (termasuk penyelesaian serupa daripada pengeluar sistem ujian yang terkenal - IXIA), tetapi hanya kalangan profesional yang sempit yang masih mengetahui tentang kewujudan peranti sedemikian. Seperti yang dinyatakan di atas, walaupun dengan terminologi tidak ada kepastian yang jelas: nama terdiri daripada "sistem ketelusan rangkaian" kepada "pengimbang" mudah.
Semasa membangunkan broker paket rangkaian, kami berhadapan dengan hakikat bahawa, sebagai tambahan kepada menganalisis arahan untuk pembangunan fungsi dan ujian di makmal / zon ujian, adalah perlu untuk menerangkan secara serentak kepada bakal pengguna tentang kewujudan kelas peralatan ini. , kerana tidak semua orang tahu mengenainya.
Malah 15-20 tahun yang lalu, terdapat sedikit trafik pada rangkaian, dan kebanyakannya adalah data yang tidak penting. Tetapi praktikal berulang : Kelajuan sambungan Internet meningkat sebanyak 50% setiap tahun. Jumlah trafik juga semakin meningkat (graf menunjukkan ramalan 2017 daripada Cisco, sumber Indeks Rangkaian Visual Cisco: Ramalan dan Trend, 2017β2022):
Seiring dengan kelajuan, kepentingan mengedarkan maklumat (ini adalah rahsia perdagangan dan data peribadi yang terkenal) dan prestasi keseluruhan infrastruktur semakin meningkat.
Sehubungan itu, industri keselamatan maklumat telah muncul. Industri telah bertindak balas terhadap perkara ini dengan rangkaian keseluruhan peranti analisis trafik (DPI), daripada sistem pencegahan serangan DDOS kepada sistem pengurusan acara keselamatan maklumat, termasuk IDS, IPS, DLP, NBA, SIEM, Antimailware dan sebagainya. Biasanya, setiap alat ini adalah perisian yang dipasang pada platform pelayan. Selain itu, setiap program (alat analisis) dipasang pada platform pelayannya sendiri: pengeluar perisian adalah berbeza, dan banyak sumber pengkomputeran diperlukan untuk analisis pada L7.
Apabila membina sistem keselamatan maklumat, adalah perlu untuk menyelesaikan beberapa tugas asas:
- bagaimana untuk memindahkan trafik daripada infrastruktur kepada sistem analisis? (pelabuhan SPAN yang asalnya dibangunkan untuk ini dalam infrastruktur moden tidak mencukupi sama ada dalam kuantiti atau prestasi)
- bagaimana untuk mengagihkan trafik antara sistem analisis yang berbeza?
- bagaimana untuk menskalakan sistem apabila tidak ada prestasi yang mencukupi bagi satu contoh penganalisis untuk memproses keseluruhan volum trafik yang memasukinya?
- bagaimana untuk memantau antara muka 40G/100G (dan dalam masa terdekat juga 200G/400G), kerana alat analisis pada masa ini hanya menyokong antara muka 1G/10G/25G?
Dan tugas berkaitan berikut:
- bagaimana untuk meminimumkan trafik yang tidak sesuai yang tidak perlu diproses, tetapi sampai ke alat analisis dan menggunakan sumber mereka?
- bagaimana untuk memproses paket dan paket terkapsul dengan tanda perkhidmatan perkakasan, penyediaannya untuk analisis ternyata sama ada intensif sumber atau tidak dapat direalisasikan sama sekali?
- bagaimana untuk mengecualikan daripada bahagian analisis trafik yang tidak dikawal oleh dasar keselamatan (contohnya, trafik kepala).
Seperti semua orang tahu, permintaan mencipta bekalan, sebagai tindak balas kepada keperluan ini, broker paket rangkaian mula berkembang.
Penerangan Umum Broker Paket Rangkaian
Broker paket rangkaian berfungsi pada tahap paket, dan dalam hal ini mereka serupa dengan suis biasa. Perbezaan utama daripada suis ialah peraturan untuk pengedaran dan pengagregatan trafik dalam broker paket rangkaian ditentukan sepenuhnya oleh tetapan. Broker paket rangkaian tidak mempunyai piawaian untuk membina jadual pemajuan (jadual MAC) dan protokol pertukaran dengan suis lain (seperti STP), dan oleh itu julat tetapan yang mungkin dan medan yang boleh difahami di dalamnya adalah lebih luas. Broker boleh mengagihkan trafik secara sama rata dari satu atau lebih port input kepada julat port output tertentu dengan ciri pengimbangan beban output. Anda boleh menetapkan peraturan untuk menyalin, menapis, mengelas, menyahduplikasi dan mengubah suai trafik. Peraturan ini boleh digunakan pada kumpulan port input yang berbeza bagi broker paket rangkaian, serta digunakan secara berurutan satu demi satu dalam peranti itu sendiri. Kelebihan penting broker paket ialah keupayaan untuk memproses trafik pada kadar aliran penuh dan memelihara integriti sesi (dalam hal mengimbangi trafik ke beberapa sistem DPI daripada jenis yang sama).
Memelihara integriti sesi adalah untuk memindahkan semua paket sesi lapisan pengangkutan (TCP / UDP / SCTP) ke satu port. Ini penting kerana sistem DPI (biasanya perisian yang dijalankan pada pelayan yang disambungkan ke port output broker paket) menganalisis kandungan trafik pada peringkat aplikasi, dan semua paket yang dihantar/diterima oleh satu aplikasi mesti tiba pada contoh yang sama penganalisis. Jika paket satu sesi hilang atau diedarkan di antara peranti DPI yang berbeza, maka setiap peranti DPI individu akan berada dalam situasi yang serupa dengan membaca bukan keseluruhan teks, tetapi perkataan individu daripadanya. Dan, kemungkinan besar, teks itu tidak akan faham.
Oleh itu, tertumpu pada sistem keselamatan maklumat, broker paket rangkaian mempunyai fungsi yang membantu menyambungkan sistem perisian DPI ke rangkaian telekomunikasi berkelajuan tinggi dan mengurangkan beban padanya: mereka pra-penapis, mengelas dan menyediakan trafik untuk memudahkan pemprosesan berikutnya.
Di samping itu, memandangkan broker paket rangkaian menyediakan pelbagai statistik dan sering disambungkan ke pelbagai titik dalam rangkaian, mereka juga mendapat tempat mereka dalam mendiagnosis masalah kesihatan infrastruktur rangkaian itu sendiri.
Fungsi Asas Broker Paket Rangkaian
Nama "suis khusus/pemantauan" timbul daripada tujuan asas: untuk mengumpul trafik daripada infrastruktur (biasanya menggunakan paip TAP optik pasif dan/atau port SPAN) dan mengedarkannya antara alat analisis. Trafik dicerminkan (pendua) antara sistem jenis yang berbeza, dan seimbang antara sistem jenis yang sama. Fungsi asas biasanya termasuk penapisan mengikut medan sehingga L4 (MAC, IP, TCP / port UDP, dll.) dan pengagregatan beberapa saluran yang dimuatkan ringan menjadi satu (contohnya, untuk pemprosesan pada satu sistem DPI).
Fungsi ini menyediakan penyelesaian kepada tugas asas - menghubungkan sistem DPI ke infrastruktur rangkaian. Broker daripada pelbagai pengeluar, terhad kepada fungsi asas, menyediakan pemprosesan sehingga 32 antara muka 100G setiap 1U (lebih banyak antara muka tidak sesuai secara fizikal pada panel hadapan 1U). Walau bagaimanapun, mereka tidak membenarkan mengurangkan beban pada alat analisis, dan untuk infrastruktur yang kompleks, mereka tidak dapat menyediakan keperluan untuk fungsi asas: sesi yang diedarkan melalui beberapa terowong (atau dilengkapi dengan tag MPLS) boleh menjadi tidak seimbang untuk keadaan yang berbeza. penganalisis dan secara amnya terkeluar daripada analisis.
Selain menambah antara muka 40/100G dan, akibatnya, meningkatkan prestasi, broker paket rangkaian sedang giat membangun dari segi menyediakan ciri-ciri asas baharu: daripada mengimbangi pengepala terowong bersarang kepada penyahsulitan trafik. Malangnya, model sedemikian tidak boleh membanggakan prestasi dalam terabit, tetapi mereka memungkinkan untuk membina sistem keselamatan maklumat "cantik" yang benar-benar berkualiti tinggi dan teknikal di mana setiap alat analisis dijamin hanya menerima maklumat yang diperlukan dalam bentuk yang paling sesuai. untuk analisis.
Ciri Lanjutan Broker Paket Rangkaian
1. Yang disebut di atas pengimbangan pengepala bersarang dalam trafik terowong.
Mengapa ia penting? Pertimbangkan 3 aspek yang boleh menjadi kritikal bersama atau berasingan:
- memastikan pengimbangan seragam dengan kehadiran sebilangan kecil terowong. Sekiranya terdapat hanya 2 terowong pada titik sambungan sistem keselamatan maklumat, maka tidak mungkin untuk tidak mengimbanginya dengan pengepala luaran pada 3 platform pelayan sambil mengekalkan sesi. Pada masa yang sama, lalu lintas dalam rangkaian dihantar secara tidak sekata, dan arah setiap terowong ke kemudahan pemprosesan yang berasingan akan memerlukan prestasi yang berlebihan dari yang terakhir;
- memastikan integriti sesi dan aliran protokol berbilang sesi (contohnya, FTP dan VoIP), yang paketnya berakhir di terowong yang berbeza. Kerumitan infrastruktur rangkaian sentiasa meningkat: redundansi, virtualisasi, penyederhanaan pentadbiran, dan sebagainya. Di satu pihak, ini meningkatkan kebolehpercayaan dari segi penghantaran data, sebaliknya, ia merumitkan kerja sistem keselamatan maklumat. Walaupun dengan prestasi penganalisis yang mencukupi untuk memproses saluran khusus dengan terowong, masalah itu ternyata tidak dapat diselesaikan, kerana beberapa paket sesi pengguna dihantar melalui saluran lain. Lebih-lebih lagi, jika mereka masih cuba menjaga integriti sesi dalam beberapa infrastruktur, maka protokol berbilang sesi boleh berjalan dengan cara yang berbeza;
- mengimbangi dengan kehadiran MPLS, VLAN, tag peralatan individu, dsb. Tidak benar-benar terowong, tetapi bagaimanapun, peralatan dengan fungsi asas boleh memahami trafik ini bukan sebagai IP dan keseimbangan oleh alamat MAC, sekali lagi melanggar keseragaman pengimbangan atau integriti sesi.
Broker paket rangkaian menghuraikan pengepala luar dan mengikut urutan secara berurutan hingga ke pengepala IP bersarang dan sudah mengimbanginya. Akibatnya, terdapat lebih banyak aliran (masing-masing, ia boleh menjadi tidak seimbang dengan lebih sekata dan pada bilangan platform yang lebih besar), dan sistem DPI menerima semua paket sesi dan semua sesi protokol berbilang sesi yang berkaitan.
2. Pengubahsuaian lalu lintas.
Salah satu fungsi terluas dari segi keupayaannya, bilangan subfungsi dan pilihan untuk kegunaannya adalah banyak:
- mengalih keluar muatan, dalam kes ini hanya pengepala paket dihantar ke penghurai. Ini adalah relevan untuk alat analisis atau untuk jenis trafik di mana kandungan paket sama ada tidak memainkan peranan atau tidak boleh dianalisis. Sebagai contoh, untuk trafik yang disulitkan, data pertukaran parametrik (siapa, dengan siapa, bila dan berapa banyak) mungkin menarik minat, manakala muatan sebenarnya adalah sampah yang menduduki saluran dan sumber pengkomputeran penganalisis. Variasi mungkin berlaku apabila muatan diputuskan bermula dari offset yang diberikan - ini menyediakan skop tambahan untuk alat analisis;
- detunneling, iaitu mengalih keluar tajuk yang menetapkan dan mengenal pasti terowong. Matlamatnya adalah untuk mengurangkan beban pada alat analisis dan meningkatkan kecekapannya. Detunneling boleh berdasarkan offset tetap, atau dengan analisis pengepala dinamik dan penentuan offset berdasarkan setiap paket;
- penyingkiran beberapa pengepala paket: tag MPLS, VLAN, medan khusus peralatan pihak ketiga;
- menutup sebahagian daripada pengepala, contohnya, menutup alamat IP untuk memastikan trafik tanpa nama;
- menambah maklumat perkhidmatan pada paket: cap masa, port input, label kelas trafik, dsb.
3. Deduplikasi β pembersihan paket trafik berulang yang dihantar ke alat analisis. Paket pendua paling kerap berlaku disebabkan oleh keanehan menyambung ke infrastruktur - lalu lintas boleh melalui beberapa titik analisis dan dicerminkan dari setiap daripada mereka. Terdapat juga penghantaran semula paket TCP yang tidak lengkap, tetapi jika terdapat banyak daripada mereka, maka ini adalah lebih banyak soalan untuk memantau kualiti rangkaian, dan bukan untuk keselamatan maklumat di dalamnya.
4. Ciri penapisan lanjutan β daripada mencari nilai tertentu pada offset yang diberikan kepada analisis tandatangan di seluruh pakej.
5. Penjanaan NetFlow/IPFIX β pengumpulan pelbagai statistik mengenai lalu lintas lalu dan pemindahannya kepada alat analisis.
6. Penyahsulitan trafik SSL, berfungsi dengan syarat sijil dan kunci mula-mula dimuatkan ke dalam broker paket rangkaian. Walau bagaimanapun, ini membolehkan anda memunggah alat analisis dengan ketara.
Terdapat banyak lagi fungsi, berguna dan pemasaran, tetapi yang utama, mungkin, disenaraikan.
Pembangunan sistem pengesanan (pencerobohan, serangan DDOS) ke dalam sistem untuk pencegahannya, serta pengenalan alat DPI aktif, memerlukan perubahan dalam skema pensuisan daripada pasif (melalui port TAP atau SPAN) kepada aktif ("sedang rehat" ). Keadaan ini meningkatkan keperluan untuk kebolehpercayaan (kerana kegagalan dalam kes ini membawa kepada gangguan keseluruhan rangkaian, dan bukan sahaja kehilangan kawalan ke atas keselamatan maklumat) dan membawa kepada penggantian pengganding optik dengan pintasan optik (untuk menyelesaikan masalah pergantungan prestasi rangkaian pada prestasi keselamatan maklumat sistem), tetapi fungsi dan keperluan utama untuknya tetap sama.
Kami telah membangunkan Broker Paket Rangkaian Integriti DS dengan antara muka 100G, 40G dan 10G daripada reka bentuk dan litar kepada perisian terbenam. Selain itu, tidak seperti broker paket lain, fungsi pengubahsuaian dan pengimbangan untuk pengepala terowong bersarang dilaksanakan dalam perkakasan kami, pada kelajuan port penuh.
Sumber: www.habr.com