Is-sigurtà tal-informazzjoni sseparat mit-telekomunikazzjoni f'industrija indipendenti bl-ispeċifiċitajiet tagħha u t-tagħmir tagħha stess. Iżda hemm klassi ta 'apparat li ftit li xejn magħrufa li tinsab fil-junction tat-telekomunikazzjoni u l-infobez - sensara tal-pakketti tan-netwerk (Network Packet Broker), huma wkoll load balancers, swiċċijiet speċjalizzati / ta 'monitoraġġ, aggregaturi tat-traffiku, Pjattaforma ta' Kunsinna tas-Sigurtà, Viżibilità tan-Netwerk u l-bqija. U aħna, bħala żviluppatur u manifattur Russu ta 'apparat bħal dan, verament irridu ngħidulek aktar dwarhom.
Ambitu u ħidmiet li għandhom jiġu solvuti
Sensara tal-pakketti tan-netwerk huma apparati speċjalizzati li sabu l-akbar użu fis-sistemi tas-sigurtà tal-informazzjoni. Bħala tali, il-klassi tal-apparat hija relattivament ġdida u ftit fl-infrastruttura tan-netwerk komuni meta mqabbla ma 'swiċċijiet, routers, eċċ. Il-pijuniera fl-iżvilupp ta’ dan it-tip ta’ apparat kienet il-kumpanija Amerikana Gigamon. Bħalissa, hemm ħafna aktar atturi f'dan is-suq (inklużi soluzzjonijiet simili mill-manifattur magħruf tas-sistemi tat-test - IXIA), iżda ċirku dejjaq biss ta 'professjonisti għadu jaf dwar l-eżistenza ta' tali apparati. Kif innutat hawn fuq, anke bit-terminoloġija m'hemm l-ebda ċertezza mhux ambigwa: l-ismijiet ivarjaw minn "sistemi ta' trasparenza tan-netwerk" għal sempliċi "balancers".
Waqt l-iżvilupp tas-sensara tal-pakketti tan-netwerk, konna ffaċċjati bil-fatt li, minbarra l-analiżi tad-direzzjonijiet għall-iżvilupp tal-funzjonalità u l-ittestjar f'laboratorji / żoni tat-test, huwa meħtieġ li fl-istess ħin nispjegaw lill-konsumaturi potenzjali dwar l-eżistenza ta 'din il-klassi ta' tagħmir. , peress li mhux kulħadd jaf biha.
Anke 15-20 sena ilu, kien hemm ftit traffiku fuq in-netwerk, u l-aktar kienet data mhux importanti. Iżda prattikament jirrepeti : Il-veloċità tal-konnessjoni tal-Internet tiżdied b'50% kull sena. Il-volum tat-traffiku qed jikber ukoll b'mod kostanti (il-grafika turi t-tbassir tal-2017 minn Cisco, sors Cisco Visual Networking Index: Tbassir u Xejriet, 2017–2022):
Flimkien mal-veloċità, l-importanza taċ-ċirkolazzjoni tal-informazzjoni (dan huwa kemm sigriet kummerċjali kif ukoll data personali notorja) u l-prestazzjoni ġenerali tal-infrastruttura qed jiżdiedu.
Għaldaqstant, ħarġet l-industrija tas-sigurtà tal-informazzjoni. L-industrija wieġbet għal dan b'firxa sħiħa ta 'apparati ta' analiżi tat-traffiku (DPI), minn sistemi ta 'prevenzjoni ta' attakki DDOS għal sistemi ta 'ġestjoni ta' avvenimenti tas-sigurtà tal-informazzjoni, inklużi IDS, IPS, DLP, NBA, SIEM, Antimailware eċċ. Tipikament, kull waħda minn dawn l-għodod hija softwer li huwa installat fuq pjattaforma server. Barra minn hekk, kull programm (għodda ta 'analiżi) huwa installat fuq il-pjattaforma tas-server tiegħu stess: il-manifatturi tas-softwer huma differenti, u ħafna riżorsi tal-kompjuter huma meħtieġa għall-analiżi fuq L7.
Meta tibni sistema ta 'sigurtà tal-informazzjoni, huwa meħtieġ li jiġu solvuti għadd ta' kompiti bażiċi:
- kif tittrasferixxi t-traffiku minn infrastruttura għal sistemi ta 'analiżi? (il-portijiet SPAN oriġinarjament żviluppati għal dan fl-infrastruttura moderna mhumiex biżżejjed la fil-kwantità u lanqas fil-prestazzjoni)
- kif tqassam it-traffiku bejn sistemi ta 'analiżi differenti?
- kif iskala s-sistemi meta ma jkunx hemm biżżejjed prestazzjoni ta 'istanza waħda tal-analizzatur biex tipproċessa l-volum kollu tat-traffiku li jidħol fih?
- kif tissorvelja interfaces 40G/100G (u fil-futur qarib ukoll 200G/400G), peress li l-għodod ta 'analiżi bħalissa jappoġġjaw biss interfaces 1G/10G/25G?
U l-kompiti relatati li ġejjin:
- kif timminimizza traffiku mhux xieraq li m'għandux għalfejn jiġi pproċessat, iżda jasal għall-għodod ta 'analiżi u jikkonsma r-riżorsi tagħhom?
- kif tipproċessa pakketti inkapsulati u pakketti b'marki ta 'servizz tal-ħardwer, li l-preparazzjoni tagħhom għall-analiżi tirriżulta li tkun jew intensiva fir-riżorsi jew mhux realizzabbli għal kollox?
- kif teskludi mill-analiżi parti tat-traffiku li mhix regolata mill-politika tas-sigurtà (per eżempju, traffiku tar-ras).
Kif jaf kulħadd, id-domanda toħloq provvista, b'reazzjoni għal dawn il-ħtiġijiet, bdew jiżviluppaw sensara tal-pakketti tan-netwerk.
Deskrizzjoni Ġenerali ta 'Netwerk Packet Brokers
Is-sensara tal-pakketti tan-netwerk jaħdmu fil-livell tal-pakkett, u f'dan huma simili għal swiċċijiet ordinarji. Id-differenza ewlenija minn swiċċijiet hija li r-regoli għad-distribuzzjoni u l-aggregazzjoni tat-traffiku fis-sensara tal-pakketti tan-netwerk huma kompletament determinati mis-settings. Sensara tal-pakketti tan-netwerk m'għandhomx standards għall-bini ta 'tabelli ta' twassil (tabelli MAC) u protokolli ta 'skambju ma' swiċċijiet oħra (bħal STP), u għalhekk il-firxa ta 'settings possibbli u oqsma li jinftiehmu fihom hija ħafna usa'. Senar jista' jqassam it-traffiku b'mod uniformi minn port wieħed jew aktar ta' input għal firxa partikolari ta' portijiet ta' output b'karatteristika ta' ibbilanċjar tat-tagħbija tal-ħruġ. Tista' tistabbilixxi regoli għall-ikkupjar, l-iffiltrar, il-klassifikazzjoni, id-deduplikazzjoni u l-modifika tat-traffiku. Dawn ir-regoli jistgħu jiġu applikati għal gruppi differenti ta 'portijiet ta' input tas-sensar tal-pakkett tan-netwerk, kif ukoll applikati b'mod sekwenzjali wieħed wara l-ieħor fl-apparat innifsu. Vantaġġ importanti ta 'sensar tal-pakketti huwa l-abbiltà li jipproċessa t-traffiku b'rata ta' fluss sħiħa u jippreserva l-integrità tas-sessjonijiet (fil-każ ta 'ibbilanċjar tat-traffiku għal diversi sistemi DPI tal-istess tip).
Il-preservazzjoni tal-integrità tas-sessjonijiet hija li tittrasferixxi l-pakketti kollha tas-sessjoni tas-saff tat-trasport (TCP / UDP / SCTP) għal port wieħed. Dan huwa importanti minħabba li s-sistemi DPI (ġeneralment softwer li jaħdem fuq server konness mal-port tal-ħruġ ta’ sensar tal-pakketti) janalizzaw il-kontenut tat-traffiku fil-livell tal-applikazzjoni, u l-pakketti kollha mibgħuta/riċevuti minn applikazzjoni waħda għandhom jaslu fl-istess istanza tal- analizzatur. Jekk il-pakketti ta 'sessjoni waħda jintilfu jew jitqassmu fost apparati DPI differenti, allura kull apparat DPI individwali jkun f'sitwazzjoni analoga għall-qari mhux test sħiħ, iżda kliem individwali minnu. U, x'aktarx, it-test mhux se jifhem.
Għalhekk, billi jkunu ffukati fuq is-sistemi tas-sigurtà tal-informazzjoni, is-sensara tal-pakketti tan-netwerk għandhom funzjonalità li tgħin biex tikkonnettja sistemi ta 'softwer DPI ma' netwerks ta 'telekomunikazzjoni ta' veloċità għolja u tnaqqas it-tagħbija fuqhom: huma jipprefiltraw, jikklassifikaw u jippreparaw it-traffiku biex jissimplifikaw l-ipproċessar sussegwenti.
Barra minn hekk, peress li s-sensara tal-pakketti tan-netwerk jipprovdu firxa wiesgħa ta 'statistika u ħafna drabi huma konnessi ma' diversi punti fin-netwerk, isibu wkoll posthom fid-dijanjosi tal-problemi tas-saħħa tal-infrastruttura tan-netwerk innifsu.
Funzjonijiet Bażiċi ta 'Netwerk Packet Brokers
L-isem "swiċċijiet dedikati/monitoratorji" ħareġ mill-iskop bażiku: li jiġbor it-traffiku mill-infrastruttura (normalment bl-użu ta 'viti TAP ottiċi passivi u / jew portijiet SPAN) u jqassmuh fost għodod ta' analiżi. It-traffiku huwa rifless (duplikat) bejn sistemi ta' tipi differenti, u bilanċjat bejn sistemi tal-istess tip. Il-funzjonijiet bażiċi ġeneralment jinkludu filtrazzjoni minn oqsma sa L4 (MAC, IP, port TCP / UDP, eċċ.) u aggregazzjoni ta 'diversi kanali mgħobbija ħafifa f'wieħed (per eżempju, għall-ipproċessar fuq sistema DPI waħda).
Din il-funzjonalità tipprovdi soluzzjoni għall-kompitu bażiku - il-konnessjoni tas-sistemi DPI mal-infrastruttura tan-netwerk. Sensara minn diversi manifatturi, limitati għal funzjonalità bażika, jipprovdu ipproċessar ta 'sa 32 100G interfaces għal kull 1U (aktar interfaces ma jaqblux fiżikament fuq il-pannell ta' quddiem 1U). Madankollu, ma jippermettux li titnaqqas it-tagħbija fuq għodod ta' analiżi, u għal infrastruttura kumplessa lanqas ma jistgħu jipprovdu r-rekwiżiti għal funzjoni bażika: sessjoni mqassma fuq diversi mini (jew mgħammra b'tikketti MPLS) tista' tiġi żbilanċjata għal każijiet differenti tal- analizzatur u ġeneralment jaqgħu barra mill-analiżi.
Minbarra li jżidu interfaces 40/100G u, bħala riżultat, itejbu l-prestazzjoni, is-sensara tal-pakketti tan-netwerk qed jiżviluppaw b'mod attiv f'termini li jipprovdu karatteristiċi fundamentalment ġodda: mill-ibbilanċjar fuq headers tal-mini nested għal decryption tat-traffiku. Sfortunatament, mudelli bħal dawn ma jistgħux jiftaħar bi prestazzjoni f'terabits, iżda jagħmluha possibbli li tinbena sistema ta 'sigurtà ta' informazzjoni ta 'kwalità għolja u teknikament "sabiħa" li fiha kull għodda ta' analiżi hija garantita li tirċievi biss l-informazzjoni li teħtieġ fil-forma l-aktar adattata. għall-analiżi.
Funzjonijiet avvanzati ta 'sensara tal-pakketti tan-netwerk
1. Imsemmi hawn fuq ibbilanċjar tal-header nested fit-traffiku fil-mini.
Għaliex huwa importanti? Ikkunsidra 3 aspetti li jistgħu jkunu kritiċi flimkien jew separatament:
- li jiġi żgurat bilanċ uniformi fil-preżenza ta’ numru żgħir ta’ mini. Fil-każ li jkun hemm biss 2 mini fil-punt tal-konnessjoni tas-sistemi tas-sigurtà tal-informazzjoni, allura mhux se jkun possibbli li jiġu żbilanċjati minn headers esterni fuq pjattaformi ta 'server 3 filwaqt li tinżamm is-sessjoni. Fl-istess ħin, it-traffiku fin-netwerk jiġi trażmess b'mod irregolari, u d-direzzjoni ta 'kull mina għal faċilità ta' pproċessar separata se teħtieġ prestazzjoni eċċessiva ta 'dan tal-aħħar;
- l-iżgurar tal-integrità ta 'sessjonijiet u flussi ta' protokolli multisessjoni (pereżempju, FTP u VoIP), li l-pakketti tagħhom spiċċaw f'mini differenti. Il-kumplessità tal-infrastruttura tan-netwerk qed tiżdied b'mod kostanti: redundancy, virtwalizzazzjoni, simplifikazzjoni tal-amministrazzjoni, eċċ. Min-naħa waħda, dan iżid l-affidabbiltà f'termini ta 'trażmissjoni tad-dejta, min-naħa l-oħra, jikkomplika x-xogħol tas-sistemi tas-sigurtà tal-informazzjoni. Anke b'rendiment suffiċjenti tal-analizzaturi biex jipproċessaw kanal iddedikat bil-mini, il-problema tirriżulta li ma tistax tissolva, peress li xi wħud mill-pakketti tas-sessjoni tal-utent huma trażmessi fuq kanal ieħor. Barra minn hekk, jekk xorta jippruvaw jieħdu ħsieb l-integrità tas-sessjonijiet f'xi infrastrutturi, allura protokolli b'ħafna sessjonijiet jistgħu jmorru b'modi kompletament differenti;
- ibbilanċjar fil-preżenza ta 'MPLS, VLAN, tikketti ta' tagħmir individwali, eċċ. Mhux verament mini, iżda madankollu, tagħmir b'funzjonalità bażika jista 'jifhem dan it-traffiku mhux bħala IP u bilanċ mill-indirizzi MAC, għal darb'oħra jikser l-uniformità tal-ibbilanċjar jew l-integrità tas-sessjoni.
Is-sensar tal-pakkett tan-netwerk janalizza l-headers ta 'barra u jsegwi b'mod sekwenzjali l-indikazzjonijiet sa l-header IP nested u jibbilanċja diġà fuqu. Bħala riżultat, hemm ħafna aktar flussi (rispettivament, jista 'jkun żbilanċjat b'mod aktar indaqs u fuq numru akbar ta' pjattaformi), u s-sistema DPI tirċievi l-pakketti tas-sessjoni kollha u s-sessjonijiet assoċjati kollha ta 'protokolli multisessjoni.
2. Modifika tat-traffiku.
Waħda mill-aktar funzjonijiet wiesgħa f'termini tal-kapaċitajiet tagħha, in-numru ta 'subfunzjonijiet u għażliet għall-użu tagħhom huma ħafna:
- it-tneħħija tat-tagħbija, f'liema każ l-headers tal-pakkett biss huma mgħoddija lill-parser. Dan huwa rilevanti għal għodod ta' analiżi jew għal tipi ta' traffiku li fihom il-kontenut tal-pakketti jew ma jkollux rwol jew ma jistax jiġi analizzat. Pereżempju, għat-traffiku encrypted, data ta 'skambju parametriku (min, ma' min, meta, u kemm) tista 'tkun ta' interess, filwaqt li t-tagħbija effettiva hija żibel li jokkupa l-kanal u r-riżorsi tal-kompjuter tal-analizzatur. Il-varjazzjonijiet huma possibbli meta l-payload tinqata' billi tibda minn offset partikolari - dan jipprovdi skop addizzjonali għal għodod ta' analiżi;
- detunneling, jiġifieri t-tneħħija ta' headers li jindikaw u jidentifikaw mini. L-għan huwa li titnaqqas it-tagħbija fuq l-għodod ta 'analiżi u tiżdied l-effiċjenza tagħhom. Detunneling jista 'jkun ibbażat fuq offset fiss jew analiżi header dinamiku u determinazzjoni offset għal kull pakkett;
- tneħħija ta 'xi headers tal-pakketti: tikketti MPLS, VLAN, oqsma speċifiċi ta' tagħmir ta 'parti terza;
- maskra ta' parti mill-headers, pereżempju, maskra ta' indirizzi IP biex tiġi żgurata l-anonimizzazzjoni tat-traffiku;
- iż-żieda ta 'informazzjoni tas-servizz mal-pakkett: timestamps, port ta' input, tikketti tal-klassi tat-traffiku, eċċ.
3. Deduplikazzjoni – tindif ta' pakketti tat-traffiku ripetittivi trażmessi għal għodod ta' analiżi. Pakketti duplikati ħafna drabi jseħħu minħabba l-partikolaritajiet tal-konnessjoni ma 'l-infrastruttura - it-traffiku jista' jgħaddi minn diversi punti ta 'analiżi u jiġi rifless minn kull wieħed minnhom. Hemm ukoll kunsinna mill-ġdid ta 'pakketti TCP mhux kompluti, iżda jekk hemm ħafna minnhom, allura dawn huma aktar mistoqsijiet għall-monitoraġġ tal-kwalità tan-netwerk, u mhux għas-sigurtà tal-informazzjoni fiha.
4. Karatteristiċi avvanzati ta 'filtrazzjoni – minn tfittxija għal valuri speċifiċi f'offset partikolari għal analiżi tal-firma tul il-pakkett kollu.
5. Ġenerazzjoni NetFlow/IPFIX – ġbir ta' firxa wiesgħa ta' statistika dwar it-traffiku li jgħaddi u t-trasferiment tiegħu għal għodod ta' analiżi.
6. Id-deċifrar tat-traffiku SSL, jaħdem sakemm iċ-ċertifikat u ċ-ċwievet jiġu l-ewwel mgħobbija fis-sensar tal-pakkett tan-netwerk. Madankollu, dan jippermettilek li tniżżel l-għodod ta 'analiżi b'mod sinifikanti.
Hemm ħafna aktar funzjonijiet, utli u marketing, iżda dawk ewlenin, forsi, huma elenkati.
L-iżvilupp ta’ sistemi ta’ skoperta (intrużjonijiet, attakki DDOS) f’sistemi għall-prevenzjoni tagħhom, kif ukoll l-introduzzjoni ta’ għodod DPI attivi, kienu jeħtieġu bidla fl-iskema ta’ bidla minn passiva (permezz ta’ portijiet TAP jew SPAN) għal attiva (“f’waqfa” ). Din iċ-ċirkustanza żiedet ir-rekwiżiti għall-affidabbiltà (għax falliment f’dan il-każ iwassal għal tfixkil tan-netwerk kollu, u mhux biss għal telf ta’ kontroll fuq is-sigurtà tal-informazzjoni) u wasslet għas-sostituzzjoni ta’ couplers ottiċi b’bypass ottiċi (sabiex issolvi l-problema tad-dipendenza tal-prestazzjoni tan-netwerk fuq il-prestazzjoni tas-sigurtà tal-informazzjoni tas-sistemi), iżda l-funzjonalità prinċipali u r-rekwiżiti għaliha baqgħu l-istess.
Aħna żviluppajna DS Integrity Network Packet Brokers b'interfaces 100G, 40G u 10G mid-disinn u ċ-ċirkwiti għal softwer inkorporat. Barra minn hekk, b'differenza għal sensara tal-pakketti oħra, il-funzjonijiet ta 'modifika u bilanċjar għall-headers tal-mini nested huma implimentati fil-ħardwer tagħna, b'veloċità tal-port sħiħa.
Sors: www.habr.com