ProHoster > blog > administratie > Moderne oplossingen voor het bouwen van informatiebeveiligingssystemen - netwerkpakketmakelaars (Network Packet Broker)

Moderne oplossingen voor het bouwen van informatiebeveiligingssystemen - netwerkpakketmakelaars (Network Packet Broker)

Informatiebeveiliging heeft zich losgemaakt van telecommunicatie tot een zelfstandige branche met eigen bijzonderheden en eigen apparatuur. Maar er is een weinig bekende klasse apparaten die op het kruispunt van telecom en infobez staat - netwerkpakketmakelaars (Network Packet Broker), het zijn ook load balancers, gespecialiseerde / monitoring-switches, verkeersaggregators, Security Delivery Platform, Network Visibility enzovoort. En wij, als Russische ontwikkelaar en fabrikant van dergelijke apparaten, willen je er heel graag meer over vertellen.

Moderne oplossingen voor het bouwen van informatiebeveiligingssystemen - netwerkpakketmakelaars (Network Packet Broker)

Reikwijdte en op te lossen taken

Netwerkpakketmakelaars zijn gespecialiseerde apparaten die het meest worden gebruikt in informatiebeveiligingssystemen. Als zodanig is de apparaatklasse relatief nieuw en weinig in de algemene netwerkinfrastructuur in vergelijking met switches, routers, enzovoort. De pionier in de ontwikkeling van dit type toestel was het Amerikaanse bedrijf Gigamon. Momenteel zijn er aanzienlijk meer spelers op deze markt (waaronder vergelijkbare oplossingen van de bekende fabrikant van testsystemen - IXIA), maar slechts een kleine kring van professionals weet nog van het bestaan ​​van dergelijke apparaten. Zoals hierboven vermeld, is er zelfs met de terminologie geen eenduidige zekerheid: de namen variëren van "netwerktransparantiesystemen" tot eenvoudige "balancers".

Bij het ontwikkelen van netwerkpakketmakelaars werden we geconfronteerd met het feit dat het, naast het analyseren van de aanwijzingen voor de ontwikkeling van functionaliteit en testen in laboratoria / testzones, tegelijkertijd aan potentiële consumenten moet worden uitgelegd over het bestaan ​​​​van deze klasse apparatuur , aangezien niet iedereen hiervan op de hoogte is.

Zelfs 15-20 jaar geleden was er weinig verkeer op het netwerk en waren het meestal onbelangrijke gegevens. Maar De wet van Nielsen herhaalt zich praktisch De wet van Moore: De snelheid van de internetverbinding neemt jaarlijks met 50% toe. Het verkeersvolume groeit ook gestaag (de grafiek toont de voorspelling van Cisco voor 2017, bron Cisco Visual Networking Index: Forecast and Trends, 2017–2022):

Moderne oplossingen voor het bouwen van informatiebeveiligingssystemen - netwerkpakketmakelaars (Network Packet Broker)
Samen met de snelheid neemt het belang van het circuleren van informatie (dit is zowel een handelsgeheim als beruchte persoonlijke gegevens) en de algehele prestatie van de infrastructuur toe.

Dienovereenkomstig is de informatiebeveiligingsindustrie ontstaan. De industrie heeft hierop gereageerd met een hele reeks apparaten voor verkeersanalyse (DPI), van systemen voor het voorkomen van DDOS-aanvallen tot beheersystemen voor informatiebeveiliging, waaronder IDS, IPS, DLP, NBA, SIEM, Antimailware enzovoort. Meestal is elk van deze tools software die op een serverplatform is geïnstalleerd. Bovendien wordt elk programma (analysetool) op zijn eigen serverplatform geïnstalleerd: softwarefabrikanten zijn verschillend en er zijn veel computerbronnen nodig voor analyse op L7.

Bij het bouwen van een informatiebeveiligingssysteem is het noodzakelijk om een ​​aantal basistaken op te lossen:

  • hoe verkeer van infrastructuur naar analysesystemen overbrengen? (de SPAN-poorten die hiervoor oorspronkelijk zijn ontwikkeld in moderne infrastructuur zijn niet voldoende, noch in kwantiteit, noch in prestatie)
  • hoe verdeel je verkeer tussen verschillende analysesystemen?
  • hoe systemen te schalen wanneer er niet genoeg prestaties zijn van één exemplaar van de analysator om het volledige verkeer dat erin komt te verwerken?
  • hoe 40G/100G-interfaces te monitoren (en in de nabije toekomst ook 200G/400G), aangezien analysetools momenteel alleen 1G/10G/25G-interfaces ondersteunen?

En de volgende gerelateerde taken:

  • hoe kan ongepast verkeer worden geminimaliseerd dat niet hoeft te worden verwerkt, maar de analysetools bereikt en hun bronnen verbruikt?
  • hoe ingekapselde pakketten en pakketten met hardwareservicemerken te verwerken, waarvan de voorbereiding voor analyse ofwel arbeidsintensief of helemaal niet realiseerbaar blijkt te zijn?
  • hoe u een deel van het verkeer dat niet door het beveiligingsbeleid wordt gereguleerd (bijvoorbeeld verkeer van het hoofd) uitsluit van de analyse.

Moderne oplossingen voor het bouwen van informatiebeveiligingssystemen - netwerkpakketmakelaars (Network Packet Broker)
Zoals iedereen weet, creëert vraag aanbod, als reactie op deze behoeften begonnen netwerkpakketmakelaars zich te ontwikkelen.

Algemene beschrijving van Network Packet Brokers

Netwerkpakketmakelaars werken op pakketniveau en hierin zijn ze vergelijkbaar met gewone schakelaars. Het belangrijkste verschil met switches is dat de regels voor distributie en aggregatie van verkeer in netwerkpakketmakelaars volledig worden bepaald door de instellingen. Netwerkpakketmakelaars hebben geen standaarden voor het bouwen van doorstuurtabellen (MAC-tabellen) en uitwisselingsprotocollen met andere schakelaars (zoals STP), en daarom is het bereik van mogelijke instellingen en begrijpelijke velden daarin veel groter. Een makelaar kan het verkeer gelijkmatig verdelen van een of meer invoerpoorten naar een bepaald bereik van uitvoerpoorten met een functie voor het verdelen van de uitvoerbelasting. U kunt regels instellen voor het kopiëren, filteren, classificeren, ontdubbelen en wijzigen van verkeer. Deze regels kunnen worden toegepast op verschillende groepen invoerpoorten van de netwerkpakketmakelaar, maar ook achtereenvolgens worden toegepast in het apparaat zelf. Een belangrijk voordeel van een pakketmakelaar is de mogelijkheid om verkeer met volledige stroomsnelheid te verwerken en de integriteit van sessies te behouden (in het geval van het balanceren van verkeer naar verschillende DPI-systemen van hetzelfde type).

Het behoud van de integriteit van de sessies is om alle pakketten van de sessie van de transportlaag (TCP / UDP / SCTP) naar één poort over te brengen. Dit is belangrijk omdat DPI-systemen (meestal software die draait op een server die is aangesloten op de uitvoerpoort van een pakketmakelaar) de inhoud van het verkeer op applicatieniveau analyseren en alle pakketten die door één applicatie worden verzonden/ontvangen, bij dezelfde instantie van de applicatie moeten aankomen. analysator. Als de pakketten van één sessie verloren gaan of worden verdeeld over verschillende DPI-apparaten, bevindt elk afzonderlijk DPI-apparaat zich in een situatie die analoog is aan het lezen van niet een hele tekst, maar individuele woorden ervan. En hoogstwaarschijnlijk zal de tekst het niet begrijpen.

Omdat netwerkpakketmakelaars gericht zijn op informatiebeveiligingssystemen, hebben ze functionaliteit die DPI-softwaresystemen helpt verbinden met snelle telecommunicatienetwerken en de belasting daarvan vermindert: ze filteren, classificeren en bereiden verkeer voor om de daaropvolgende verwerking te vereenvoudigen.

Bovendien, aangezien netwerkpakketmakelaars een breed scala aan statistieken bieden en vaak verbonden zijn met verschillende punten in het netwerk, vinden ze ook hun plaats bij het diagnosticeren van gezondheidsproblemen van de netwerkinfrastructuur zelf.

Basisfuncties van Network Packet Brokers

De naam "dedicated/monitoring switches" is ontstaan ​​vanuit het basisdoel: verkeer van de infrastructuur verzamelen (meestal met behulp van passieve optische TAP-taps en/of SPAN-poorten) en dit onder analysetools verdelen. Verkeer wordt gespiegeld (gedupliceerd) tussen systemen van verschillende typen en gebalanceerd tussen systemen van hetzelfde type. De basisfuncties omvatten meestal filteren op velden tot L4 (MAC, IP, TCP / UDP-poort, etc.) en aggregatie van meerdere licht belaste kanalen tot één (bijvoorbeeld voor verwerking op één DPI-systeem).

Deze functionaliteit biedt een oplossing voor de basistaak - het verbinden van DPI-systemen met de netwerkinfrastructuur. Makelaars van verschillende fabrikanten, beperkt tot basisfunctionaliteit, bieden verwerking van maximaal 32 100G-interfaces per 1U (meer interfaces passen fysiek niet op het 1U-frontpaneel). Ze maken het echter niet mogelijk om de belasting van analysetools te verminderen, en voor een complexe infrastructuur kunnen ze niet eens voldoen aan de vereisten voor een basisfunctie: een sessie verdeeld over meerdere tunnels (of uitgerust met MPLS-tags) kan onevenwichtig zijn voor verschillende instanties van de analysator en vallen over het algemeen uit de analyse.

Naast het toevoegen van 40/100G-interfaces en, als gevolg daarvan, het verbeteren van de prestaties, zijn netwerkpakketmakelaars actief bezig met het ontwikkelen van fundamenteel nieuwe functies: van balanceren op geneste tunnelheaders tot verkeersdecodering. Helaas kunnen dergelijke modellen niet bogen op prestaties in terabits, maar ze maken het mogelijk om een ​​echt hoogwaardig en technisch "mooi" informatiebeveiligingssysteem te bouwen waarin elke analysetool gegarandeerd alleen de informatie ontvangt die het nodig heeft in de vorm die het meest geschikt is voor analyse.

Geavanceerde functies van netwerkpakketmakelaars

Moderne oplossingen voor het bouwen van informatiebeveiligingssystemen - netwerkpakketmakelaars (Network Packet Broker)
1. hierboven vermeld geneste headerbalancering in getunneld verkeer.

Waarom is het belangrijk? Overweeg 3 aspecten die samen of afzonderlijk van cruciaal belang kunnen zijn:

  • zorgen voor uniform balanceren in de aanwezigheid van een klein aantal tunnels. In het geval dat er slechts 2 tunnels zijn op het verbindingspunt van informatiebeveiligingssystemen, is het niet mogelijk om ze uit balans te brengen door externe headers op 3 serverplatforms terwijl de sessie wordt onderhouden. Tegelijkertijd wordt verkeer in het netwerk ongelijkmatig verzonden, en de richting van elke tunnel naar een afzonderlijke verwerkingsfaciliteit vereist overmatige prestaties van de laatste;
  • het waarborgen van de integriteit van sessies en streams van multisessieprotocollen (bijvoorbeeld FTP en VoIP), waarvan de pakketten in verschillende tunnels terechtkwamen. De complexiteit van de netwerkinfrastructuur neemt voortdurend toe: redundantie, virtualisatie, vereenvoudiging van de administratie, enzovoort. Enerzijds verhoogt dit de betrouwbaarheid op het gebied van gegevensoverdracht, anderzijds bemoeilijkt het het werk van informatiebeveiligingssystemen. Zelfs met voldoende prestaties van de analysatoren om een ​​speciaal kanaal met tunnels te verwerken, blijkt het probleem onoplosbaar te zijn, aangezien sommige gebruikerssessiepakketten over een ander kanaal worden verzonden. Bovendien, als ze nog steeds proberen te zorgen voor de integriteit van sessies in sommige infrastructuren, kunnen multisessieprotocollen totaal verschillende kanten op;
  • balanceren in aanwezigheid van MPLS, VLAN, individuele apparatuurtags, enz. Niet echt tunnels, maar desalniettemin kan apparatuur met basisfunctionaliteit dit verkeer niet begrijpen als IP en balanceren door MAC-adressen, wat opnieuw de uniformiteit van balancering of sessie-integriteit schendt.

De netwerkpakketmakelaar ontleedt de buitenste headers en volgt achtereenvolgens de pointers naar de geneste IP-header en balanceert er al op. Als gevolg hiervan zijn er aanzienlijk meer streams (het kan respectievelijk gelijkmatiger worden ongebalanceerd en op een groter aantal platforms), en het DPI-systeem ontvangt alle sessiepakketten en alle bijbehorende sessies van multisessieprotocollen.

2. Verkeerswijziging.
Een van de breedste functies in termen van mogelijkheden, het aantal subfuncties en opties voor het gebruik ervan zijn talrijk:

  • het verwijderen van payload, in welk geval alleen pakketheaders worden doorgegeven aan de parser. Dit is relevant voor analysetools of voor verkeerstypen waarbij de inhoud van de pakketten geen rol speelt of niet kan worden geanalyseerd. Voor versleuteld verkeer kunnen bijvoorbeeld parametrische uitwisselingsgegevens (wie, met wie, wanneer en hoeveel) van belang zijn, terwijl payload eigenlijk afval is dat het kanaal en de computerbronnen van de analysator in beslag neemt. Variaties zijn mogelijk wanneer de payload wordt afgesneden vanaf een bepaalde offset - dit biedt extra ruimte voor analysetools;
  • detunneling, namelijk het verwijderen van headers die tunnels aanduiden en identificeren. Het doel is om de belasting van analysetools te verminderen en hun efficiëntie te verhogen. Detunneling kan worden gebaseerd op een vaste offset of dynamische headeranalyse en offsetbepaling voor elk pakket;
  • verwijdering van enkele pakketkoppen: MPLS-tags, VLAN, specifieke velden van apparatuur van derden;
  • het maskeren van een deel van de headers, bijvoorbeeld het maskeren van IP-adressen om verkeersanonimisering te garanderen;
  • het toevoegen van service-informatie aan het pakket: tijdstempels, invoerpoort, labels voor verkeersklassen, enz.

3. Ontdubbeling - opschonen van repetitieve verkeerspakketten die naar analysetools worden verzonden. Dubbele pakketten komen het vaakst voor vanwege de eigenaardigheden van verbinding met de infrastructuur - verkeer kan verschillende analysepunten passeren en van elk ervan worden gespiegeld. Er is ook een herverzending van onvolledige TCP-pakketten, maar als het er veel zijn, dan zijn dit meer vragen voor het bewaken van de kwaliteit van het netwerk, en niet voor de informatiebeveiliging erin.

4. Geavanceerde filterfuncties – van het zoeken naar specifieke waarden bij een bepaalde offset tot handtekeninganalyse door het hele pakket.

5. NetFlow/IPFIX-generatie – verzameling van een breed scala aan statistieken over passerend verkeer en de overdracht ervan naar analysetools.

6. Decodering van SSL-verkeer, werkt op voorwaarde dat het certificaat en de sleutels eerst in de netwerkpakketmakelaar worden geladen. Desalniettemin kunt u hiermee de analysetools aanzienlijk ontlasten.

Er zijn veel meer functies, nuttig en marketing, maar de belangrijkste worden misschien vermeld.

De ontwikkeling van detectiesystemen (indringers, DDOS-aanvallen) tot systemen voor hun preventie, evenals de introductie van actieve DPI-tools, vereiste een verandering in het schakelschema van passief (via TAP- of SPAN-poorten) naar actief ("in break" ). Deze omstandigheid verhoogde de eisen aan betrouwbaarheid (want een storing leidt in dit geval tot verstoring van het gehele netwerk, en niet alleen tot verlies van controle over informatiebeveiliging) en leidde tot de vervanging van optische koppelaars door optische bypasses (om los het probleem op van de afhankelijkheid van de prestaties van het netwerk van de prestaties van systeeminformatiebeveiliging), maar de belangrijkste functionaliteit en vereisten daarvoor bleven hetzelfde.

We hebben DS Integrity Network Packet Brokers ontwikkeld met 100G-, 40G- en 10G-interfaces, van ontwerp en schakelingen tot ingebedde software. Bovendien worden, in tegenstelling tot andere pakketmakelaars, de wijzigings- en balanceringsfuncties voor geneste tunnelheaders in onze hardware geïmplementeerd, op volle poortsnelheid.

Moderne oplossingen voor het bouwen van informatiebeveiligingssystemen - netwerkpakketmakelaars (Network Packet Broker)

Bron: www.habr.com

Voeg een reactie