ProHoster > Log > administrasjon > Moderne løsninger for å bygge informasjonssikkerhetssystemer - nettverkspakkemeglere (Network Packet Broker)

Moderne løsninger for å bygge informasjonssikkerhetssystemer - nettverkspakkemeglere (Network Packet Broker)

Informasjonssikkerhet har skilt seg fra telekommunikasjon til en uavhengig bransje med egne detaljer og eget utstyr. Men det er en lite kjent klasse av enheter som står i skjæringspunktet mellom telekom og informasjonssikkerhet - nettverkspakkemeglere (Network Packet Broker), også kjent som lastbalansere, spesialiserte/overvåkingssvitsjer, trafikkaggregatorer, Security Delivery Platform, Network Visibility, og så videre. Og vi, som en russisk utvikler og produsent av slike enheter, vil veldig gjerne fortelle deg mer om dem.

Moderne løsninger for å bygge informasjonssikkerhetssystemer - nettverkspakkemeglere (Network Packet Broker)

Omfang og oppgaver som skal løses

Nettverkspakkemeglere er spesialiserte enheter som har funnet den største applikasjonen i informasjonssikkerhetssystemer. Som sådan er denne klassen av enheter relativt ny og liten i den vanlige nettverksinfrastrukturen sammenlignet med svitsjer, rutere, etc. Pioneren i utviklingen av denne typen enhet var det amerikanske selskapet Gigamon. For tiden er det betydelig flere aktører i dette markedet (inkludert den kjente produsenten av testsystemer, IXIA-selskapet, har lignende løsninger), men bare en smal krets av fagfolk vet fortsatt om eksistensen av slike enheter. Som nevnt ovenfor, er selv terminologien ikke klar: navnene spenner fra "nettverkstransparenssystemer" til bare "balansere."

Mens vi utviklet nettverkspakkemeglere, ble vi møtt med det faktum at i tillegg til å analysere retninger for utvikling av funksjonalitet og testing i laboratorier/testsoner, er det nødvendig å samtidig forklare potensielle forbrukere om eksistensen av denne klassen utstyr, siden ikke alle vet om det.

For bare 15-20 år siden var det lite trafikk på nettverket, og det var stort sett uviktige data. Men Nielsens lov gjentar seg praktisk talt Moores lov: Internett-tilkoblingshastigheten øker med 50 % hvert år. Trafikkvolumet vokser også jevnt (grafen viser 2017-prognosen fra Cisco, kilde Cisco Visual Networking Index: Forecast and Trends, 2017–2022):

Moderne løsninger for å bygge informasjonssikkerhetssystemer - nettverkspakkemeglere (Network Packet Broker)
Sammen med hastigheten øker viktigheten av å sirkulere informasjon (dette er både en forretningshemmelighet og de beryktede personopplysningene) og den generelle ytelsen til infrastrukturen.

Følgelig dukket informasjonssikkerhetsindustrien opp. Bransjen reagerte på dette med fremveksten av en hel rekke enheter for dyptrafikkanalyse (DPI): fra DDOS-angrepsforebyggende systemer til hendelsesstyringssystemer for informasjonssikkerhet, inkludert IDS, IPS, DLP, NBA, SIEM, Antimailware og så videre. Vanligvis er hvert av disse verktøyene programvare installert på en serverplattform. Dessuten er hvert program (analyseverktøy) installert på sin egen serverplattform: programvareprodusenter er forskjellige, og analyse på L7 krever mye dataressurser.

Når du bygger et informasjonssikkerhetssystem, er det nødvendig å løse en rekke hovedproblemer:

  • hvordan overføre trafikk fra infrastruktur til analysesystemer? (SPAN-porter som opprinnelig ble utviklet for dette formålet i moderne infrastruktur er ikke tilstrekkelige verken i mengde eller ytelse)
  • hvordan distribuere trafikk mellom ulike analysesystemer?
  • hvordan skalere systemer når ytelsen til en analysatorforekomst ikke er nok til å behandle hele trafikkvolumet som kommer inn i den?
  • hvordan overvåke 40G/100G-grensesnitt (og i nær fremtid 200G/400G), siden analyseverktøy foreløpig kun støtter 1G/10G/25G-grensesnitt?

Og følgende relaterte oppgaver:

  • Hvordan kan vi minimere umålrettet trafikk som ikke trenger å behandles, men som kommer til analyseverktøyene og bruker ressursene deres?
  • Hvordan behandle innkapslede pakker og pakker med servicekoder for utstyr, hvis forberedelse for analyse viser seg å være ressurskrevende eller umulig å implementere i det hele tatt?
  • hvordan ekskludere fra analysen noe av trafikken som ikke er regulert av sikkerhetspolicyen (for eksempel lederens trafikk).

Moderne løsninger for å bygge informasjonssikkerhetssystemer - nettverkspakkemeglere (Network Packet Broker)
Som alle vet skaper etterspørsel tilbud, og nettverkspakkemeglere begynte å utvikle seg som svar på disse behovene.

Generell beskrivelse av nettverkspakkemeglere

Nettverkspakkemeglere opererer på pakkenivå, og på denne måten ligner de på vanlige switcher. Hovedforskjellen fra switcher er at reglene for trafikkdistribusjon og aggregering i nettverkspakkemeglere er fullstendig bestemt av innstillingene. Nettverkspakkemeglere har ikke standarder for å konstruere videresendingstabeller (MAC-tabeller) og utvekslingsprotokoller med andre svitsjer (som STP), og derfor er utvalget av mulige innstillinger og forstått felt i dem mye bredere. Megleren kan jevnt fordele trafikk fra én eller flere inngangsporter til et spesifisert utvalg av utgangsporter med en utgangslastbalanseringsfunksjon. Du kan angi regler for kopiering, filtrering, klassifisering, deduplisering og trafikkmodifisering. Disse reglene kan brukes på forskjellige grupper av nettverkspakkemeglerinngangsporter, og kan også brukes sekvensielt etter hverandre i selve enheten. En viktig fordel med en pakkemegler er muligheten til å behandle trafikk med full flythastighet og opprettholde integriteten til økter (i tilfelle av balansering av trafikk til flere DPI-systemer av samme type).

Å opprettholde øktintegritet innebærer å overføre alle sesjonspakker for transportlag (TCP/UDP/SCTP) til én port. Dette er viktig fordi DPI-systemer (vanligvis programvare som kjører på en server koblet til en pakkemeglers utgangsport) analyserer trafikkinnhold på applikasjonsnivå, og alle pakker som sendes/mottas av én applikasjon må komme til samme analysatorforekomst . Hvis pakker fra samme økt går tapt eller distribueres mellom forskjellige DPI-enheter, vil hver enkelt DPI-enhet befinne seg i en situasjon som ligner på å lese ikke hele teksten, men individuelle ord fra den. Og mest sannsynlig vil ikke teksten bli forstått.

Derfor, med fokus på informasjonssikkerhetssystemer, har nettverkspakkemeglere funksjonalitet som hjelper til med å koble DPI-programvaresystemer til høyhastighets telekommunikasjonsnettverk og redusere belastningen på dem: de utfører foreløpig filtrering, klassifisering og klargjøring av trafikk for å forenkle etterfølgende behandling.

I tillegg, siden nettverkspakkemeglere produserer et bredt spekter av statistikk og ofte er koblet til ulike punkter på nettverket, finner de også sin plass når de diagnostiserer problemer med ytelsen til selve nettverksinfrastrukturen.

Grunnleggende funksjoner til nettverkspakkemeglere

Navnet "spesialiserte/overvåkingssvitsjer" oppsto fra det grunnleggende formålet: å samle trafikk fra infrastrukturen (vanligvis ved hjelp av passive optiske koblere TAP- og/eller SPAN-porter) og distribuere den blant analyseverktøy. Trafikken speiles (dupliseres) mellom systemer av ulike typer, og balanseres mellom systemer av samme type. Grunnleggende funksjoner inkluderer vanligvis filtrering etter felt opp til L4 (MAC, IP, TCP/UDP-port, etc.) og aggregering av flere lett belastede kanaler til én (for eksempel for behandling på ett DPI-system).

Denne funksjonaliteten gir en løsning på den grunnleggende oppgaven med å koble DPI-systemer til nettverksinfrastrukturen. Meglere fra ulike produsenter, begrenset til grunnleggende funksjonalitet, gir behandling av opptil 32 100G-grensesnitt per 1U (flere grensesnitt passer ikke fysisk på 1U-frontpanelet). De reduserer imidlertid ikke belastningen på analyseverktøy, og for en kompleks infrastruktur kan de ikke engang gi kravene til en grunnleggende funksjon: en økt fordelt over flere tunneler (eller utstyrt med MPLS-tagger) kan bli ubalansert mellom ulike analysatorforekomster og generelt sett. faller ut av analysen.

I tillegg til å legge til 40/100G-grensesnitt og, som et resultat, øke ytelsen, utvikler nettverkspakkemeglere aktivt når det gjelder å tilby fundamentalt nye muligheter: fra balansering basert på nestede tunnelhoder til trafikkdekryptering. Dessverre kan slike modeller ikke skryte av ytelse i terabiter, men de lar deg bygge et virkelig høykvalitets og teknisk "vakkert" informasjonssikkerhetssystem, der hvert analyseverktøy er garantert å motta bare informasjonen det trenger i den formen som er best egnet. for analyse.

Avanserte Network Packet Broker-funksjoner

Moderne løsninger for å bygge informasjonssikkerhetssystemer - nettverkspakkemeglere (Network Packet Broker)
1. Nevnt ovenfor balansering basert på nestede overskrifter i tunnelert trafikk.

Hvorfor er det viktig? La oss vurdere 3 aspekter som kan være kritiske sammen eller hver for seg:

  • sikre jevn balansering i nærvær av et lite antall tunneler. Hvis det bare er 2 tunneler ved tilkoblingspunktet til informasjonssikkerhetssystemer, vil det ikke være mulig å ubalanse dem i henhold til eksterne overskrifter på 3 serverplattformer mens økten bevares. Samtidig overføres trafikken i nettverket ujevnt, og å dirigere hver tunnel til et separat behandlingsanlegg vil kreve overdreven ytelse av sistnevnte;
  • sikre integriteten til økter og flyter av multisession-protokoller (for eksempel FTP og VoIP), hvis pakker havnet i forskjellige tunneler. Kompleksiteten til nettverksinfrastruktur øker stadig: redundans, virtualisering, forenkling av administrasjonen og så videre. På den ene siden øker dette påliteligheten når det gjelder dataoverføring, på den andre siden kompliserer det driften av informasjonssikkerhetssystemer. Selv om analysatorene har tilstrekkelig ytelse til å behandle en dedikert kanal med tunneler, viser problemet seg å være uløselig, siden noen av brukersesjonspakkene overføres over en annen kanal. Dessuten, mens noen infrastrukturer fortsatt prøver å ta vare på integriteten til økter, kan multisesjonsprotokoller ta helt andre veier;
  • balansering i nærvær av MPLS, VLAN, individuelle utstyrstagger, etc. Ikke akkurat tunneler, men ikke desto mindre kan utstyr med grunnleggende funksjonalitet forstå denne trafikken som noe annet enn IP og balansere den basert på MAC-adresser, noe som igjen bryter med ensartetheten til balansering eller integriteten til økter.

Nettverkspakkemegleren analyserer eksterne overskrifter og følger pekerne sekvensielt opp til den nestede IP-overskriften og balanserer på den. Som et resultat er det betydelig flere flyter (det kan følgelig være mer jevnt ubalansert og på et større antall plattformer), og DPI-systemet mottar alle sesjonspakker og alle tilhørende økter av multisession-protokoller.

2. Trafikkendring.
En av de bredeste funksjonene når det gjelder dens evner, det er mange underfunksjoner og alternativer for deres applikasjon:

  • sletting av nyttelast, i dette tilfellet blir bare pakkehoder overført til analyseverktøyet. Dette er relevant for analyseverktøy eller for typer trafikk der innholdet i pakkene enten ikke spiller noen rolle eller ikke kan analyseres. For eksempel kan parametrisk utveksling av data for kryptert trafikk (hvem, med hvem, når og hvor mye) være av interesse, men nyttelast er faktisk søppel som tar opp kanal- og dataressursene til analysatoren. Variasjoner er mulig når nyttelasten trimmes fra en gitt offset - dette gir ekstra muligheter for analyseverktøy;
  • detunneling, nemlig fjerning av topptekster som angir og identifiserer tunneler. Målet er å redusere belastningen på analyseverktøy og øke effektiviteten. Detunneling kan være basert på en fast offset eller med dynamisk headeranalyse og offsetbestemmelse for hver pakke;
  • fjerning av deler av pakkehodene: MPLS-tagger, VLAN, spesifikke felt av tredjepartsutstyr;
  • maskering av deler av overskriftene, for eksempel maskering av IP-adresser for å sikre trafikkanonymisering;
  • legge til tjenesteinformasjon til pakken: tidsstempel, inngangsport, trafikkklasseetikett, etc.

3. Deduplisering – rensing av dupliserte trafikkpakker overført til analyseverktøy. Dupliserte pakker oppstår oftest på grunn av arten av forbindelsen til infrastrukturen - trafikk kan passere gjennom flere analysepunkter og speiles fra hvert av dem. Gjensending av mislykkede TCP-pakker er også vanlig, men hvis det er mange av dem, er dette mer sannsynlige problemer knyttet til overvåking av kvaliteten på nettverket, i stedet for informasjonssikkerhet i det.

4. Avanserte filtreringsfunksjoner – fra å søke etter spesifikke verdier ved en gitt offset til signaturanalyse av hele pakken.

5. NetFlow/IPFIX-generering – innsamling av et bredt spekter av statistikk om passerende trafikk og overføring av den til analyseverktøy.

6. Dekryptering av SSL-trafikk, fungerer forutsatt at sertifikatet og nøklene først lastes inn i nettverkspakkemegleren. Likevel lar dette deg avlaste analyseverktøyene betydelig.

Det er mange flere funksjoner, nyttige og markedsføringsmessige, men de viktigste er sannsynligvis oppført.

Utviklingen av deteksjonssystemer (inntrengninger, DDOS-angrep) til systemer for å forhindre dem, samt introduksjonen av aktive DPI-verktøy, krevde en endring i bytteskjemaet fra passiv (via TAP- eller SPAN-porter) til aktiv ("i gapet" ”). Denne omstendigheten økte kravene til pålitelighet (siden feil i dette tilfellet fører til forstyrrelse av hele nettverket, og ikke bare til tap av kontroll over informasjonssikkerhet) og førte til utskifting av optiske koblere med optisk bypass (for å løse problemet med avhengigheten av nettverksoperabilitet på driften av systeminformasjonssikkerhet), men hovedfunksjonaliteten og kravene til den forblir de samme.

Vi har utviklet DS Integrity Network Packet Brokers med 100G, 40G og 10G grensesnitt fra design og kretsdesign til fastvare. Dessuten, i motsetning til andre pakkemeglere, er modifikasjons- og balanseringsfunksjonene til nestede tunnelhoder implementert i maskinvare, med full porthastighet.

Moderne løsninger for å bygge informasjonssikkerhetssystemer - nettverkspakkemeglere (Network Packet Broker)

Kilde: www.habr.com

Legg til en kommentar