Bezpieczeństwo informacji oddzieliło się od telekomunikacji do niezależnej branży o własnej specyfice i własnym sprzęcie. Istnieje jednak mało znana klasa urządzeń, która stoi na styku telekomunikacji i infobez - brokerzy pakietów sieciowych (Network Packet Broker), są to również moduły równoważenia obciążenia, przełączniki specjalistyczne/monitorujące, agregatory ruchu, Security Delivery Platform, Network Visibility i tak dalej. A my, jako rosyjski deweloper i producent takich urządzeń, naprawdę chcemy powiedzieć o nich więcej.
Zakres i zadania do rozwiązania
Brokerzy pakietów sieciowych to wyspecjalizowane urządzenia, które znalazły największe zastosowanie w systemach bezpieczeństwa informacji. W związku z tym klasa urządzeń jest stosunkowo nowa i ma niewiele wspólnego w infrastrukturze sieciowej w porównaniu do przełączników, routerów i tak dalej. Pionierem w rozwoju tego typu urządzeń była amerykańska firma Gigamon. Obecnie graczy na tym rynku jest znacznie więcej (w tym podobnych rozwiązań znanego producenta systemów testowych - IXIA), ale o istnieniu takich urządzeń wie jeszcze tylko wąskie grono profesjonalistów. Jak wspomniano powyżej, nawet jeśli chodzi o terminologię, nie ma jednoznacznej pewności: nazwy wahają się od „systemów przejrzystości sieci” po proste „balansery”.
Rozwijając brokerów pakietów sieciowych stanęliśmy przed faktem, że oprócz analizy kierunków rozwoju funkcjonalności i testowania w laboratoriach/strefach testowych, konieczne jest jednoczesne wyjaśnienie potencjalnym konsumentom istnienia tej klasy sprzętu , bo nie wszyscy o tym wiedzą.
Jeszcze 15-20 lat temu ruch w sieci był niewielki i były to w większości nieistotne dane. Ale praktycznie się powtarza : Szybkość łącza internetowego wzrasta o 50% rocznie. Stale rośnie także natężenie ruchu (wykres przedstawia prognozę Cisco na 2017 rok, źródło Cisco Visual Networking Index: Forecast and Trends, 2017–2022):
Wraz z szybkością rośnie znaczenie obiegu informacji (jest to zarówno tajemnica handlowa, jak i niesławne dane osobowe) oraz ogólna wydajność infrastruktury.
W związku z tym pojawił się przemysł bezpieczeństwa informacji. Branża zareagowała na to, oferując całą gamę urządzeń do analizy ruchu (DPI), od systemów zapobiegania atakom DDOS po systemy zarządzania zdarzeniami związanymi z bezpieczeństwem informacji, w tym IDS, IPS, DLP, NBA, SIEM, Antimailware i tak dalej. Zazwyczaj każde z tych narzędzi to oprogramowanie instalowane na platformie serwerowej. Co więcej, każdy program (narzędzie analityczne) jest instalowany na własnej platformie serwerowej: producenci oprogramowania są różni, a analiza na poziomie L7 wymaga wielu zasobów obliczeniowych.
Podczas budowy systemu bezpieczeństwa informacji konieczne jest rozwiązanie szeregu podstawowych zadań:
- jak przenieść ruch z infrastruktury do systemów analitycznych? (porty SPAN pierwotnie opracowane do tego celu w nowoczesnej infrastrukturze nie są wystarczające ani pod względem ilości, ani wydajności)
- jak rozłożyć ruch między różnymi systemami analitycznymi?
- jak skalować systemy, gdy wydajność jednej instancji analizatora jest niewystarczająca do przetworzenia całego wolumenu ruchu do niego wpadającego?
- jak monitorować interfejsy 40G/100G (a w niedalekiej przyszłości także 200G/400G), skoro narzędzia analityczne obsługują obecnie tylko interfejsy 1G/10G/25G?
Oraz następujące powiązane zadania:
- jak zminimalizować niewłaściwy ruch, który nie musi być przetwarzany, ale trafia do narzędzi analitycznych i zużywa ich zasoby?
- jak przetwarzać pakiety enkapsulowane i pakiety ze sprzętowymi znakami usług, których przygotowanie do analizy okazuje się albo zasobochłonne, albo w ogóle niewykonalne?
- jak wykluczyć z analizy część ruchu, który nie jest regulowany polityką bezpieczeństwa (np. ruch z głowy).
Jak wszyscy wiedzą popyt tworzy podaż, w odpowiedzi na te potrzeby zaczęli rozwijać się sieciowi brokerzy pakietów.
Ogólny opis brokerów pakietów sieciowych
Brokerzy pakietów sieciowych działają na poziomie pakietów i pod tym względem są podobni do zwykłych przełączników. Główną różnicą w stosunku do przełączników jest to, że zasady dystrybucji i agregacji ruchu w brokerach pakietów sieciowych są całkowicie określone przez ustawienia. Brokerzy pakietów sieciowych nie posiadają standardów budowania tablic przekazywania (tablic MAC) i wymiany protokołów z innymi przełącznikami (takimi jak STP), w związku z czym zakres możliwych ustawień i zrozumiałych pól w nich jest znacznie szerszy. Broker może równomiernie rozdzielać ruch z jednego lub więcej portów wejściowych do określonego zakresu portów wyjściowych za pomocą funkcji równoważenia obciążenia wyjściowego. Możesz ustawić reguły kopiowania, filtrowania, klasyfikowania, deduplikacji i modyfikowania ruchu. Reguły te mogą być stosowane do różnych grup portów wejściowych brokera pakietów sieciowych, jak również stosowane sekwencyjnie jedna po drugiej w samym urządzeniu. Ważną zaletą brokera pakietów jest możliwość przetwarzania ruchu z pełną szybkością przepływu i zachowania integralności sesji (w przypadku bilansowania ruchu do kilku systemów DPI tego samego typu).
Zachowanie integralności sesji polega na przesłaniu wszystkich pakietów sesji warstwy transportowej (TCP/UDP/SCTP) na jeden port. Jest to ważne, ponieważ systemy DPI (zwykle oprogramowanie działające na serwerze podłączonym do portu wyjściowego brokera pakietów) analizują zawartość ruchu na poziomie aplikacji, a wszystkie pakiety wysyłane/odbierane przez jedną aplikację muszą docierać do tej samej instancji analizator . Jeśli pakiety jednej sesji zostaną utracone lub rozdzielone między różne urządzenia DPI, to każde urządzenie DPI z osobna znajdzie się w sytuacji analogicznej do czytania nie całego tekstu, ale pojedynczych słów z niego. I najprawdopodobniej tekst nie zrozumie.
Tak więc, koncentrując się na systemach bezpieczeństwa informacji, brokerzy pakietów sieciowych mają funkcjonalność, która pomaga łączyć systemy oprogramowania DPI z szybkimi sieciami telekomunikacyjnymi i zmniejszać ich obciążenie: wstępnie filtrują, klasyfikują i przygotowują ruch w celu uproszczenia późniejszego przetwarzania.
Ponadto, ponieważ brokerzy pakietów sieciowych dostarczają szeroki zakres statystyk i często są podłączeni do różnych punktów w sieci, znajdują również swoje miejsce w diagnozowaniu problemów zdrowotnych samej infrastruktury sieciowej.
Podstawowe funkcje brokerów pakietów sieciowych
Nazwa „przełączniki dedykowane/monitorujące” wyrosła z podstawowego celu: zbierania ruchu z infrastruktury (zwykle za pomocą pasywnych optycznych zaczepów TAP i/lub portów SPAN) i rozdzielania go pomiędzy narzędzia analityczne. Ruch jest lustrzany (duplikowany) między systemami różnych typów i równoważony między systemami tego samego typu. Podstawowe funkcje obejmują zwykle filtrowanie po polach do L4 (MAC, IP, port TCP/UDP itp.) oraz agregację kilku słabo obciążonych kanałów w jeden (np. do przetwarzania na jednym systemie DPI).
Funkcjonalność ta stanowi rozwiązanie podstawowego zadania - podłączenia systemów DPI do infrastruktury sieciowej. Brokerzy różnych producentów, ograniczeni do podstawowej funkcjonalności, zapewniają przetwarzanie do 32 interfejsów 100G na 1U (więcej interfejsów nie mieści się fizycznie na przednim panelu 1U). Nie pozwalają one jednak na zmniejszenie obciążenia narzędzi analitycznych, a w przypadku złożonej infrastruktury nie są w stanie nawet spełnić wymagań dotyczących podstawowej funkcji: sesja rozłożona na kilka tuneli (lub wyposażona w znaczniki MPLS) może być niezrównoważona dla różnych instancji analizatora i generalnie wypadają z analizy.
Oprócz dodania interfejsów 40/100G, a co za tym idzie poprawy wydajności, brokerzy pakietów sieciowych aktywnie rozwijają się pod kątem zapewniania zasadniczo nowych funkcji: od równoważenia na zagnieżdżonych nagłówkach tuneli po deszyfrowanie ruchu. Niestety takie modele nie mogą pochwalić się wydajnością w terabajtach, ale umożliwiają zbudowanie naprawdę wysokiej jakości i technicznie „pięknego” systemu bezpieczeństwa informacji, w którym każde narzędzie analityczne ma gwarancję otrzymania tylko potrzebnych informacji w najbardziej odpowiedniej formie Do analizy.
Zaawansowane funkcje brokerów pakietów sieciowych
1. Wspomniano powyżej równoważenie zagnieżdżonego nagłówka w ruchu tunelowanym.
Dlaczego to jest ważne? Rozważ 3 aspekty, które mogą być krytyczne razem lub osobno:
- zapewnienie równomiernego wyważenia w obecności niewielkiej liczby tuneli. W przypadku, gdy na styku systemów bezpieczeństwa informacji będą tylko 2 tunele, to nie będzie możliwości ich zrównoważenia zewnętrznymi nagłówkami na 3 platformach serwerowych przy utrzymaniu sesji. Jednocześnie ruch w sieci jest przesyłany nierównomiernie, a skierowanie każdego tunelu do oddzielnego zakładu przetwarzania będzie wymagało nadmiernej wydajności tego ostatniego;
- zapewnienie integralności sesji i strumieni protokołów wielosesyjnych (na przykład FTP i VoIP), których pakiety trafiały do różnych tuneli. Złożoność infrastruktury sieciowej stale rośnie: redundancja, wirtualizacja, uproszczenie administracji i tak dalej. Z jednej strony zwiększa to niezawodność w zakresie transmisji danych, z drugiej komplikuje pracę systemów bezpieczeństwa informacji. Nawet przy wystarczającej wydajności analizatorów do przetworzenia dedykowanego kanału z tunelami, problem okazuje się nierozwiązywalny, ponieważ część pakietów sesji użytkownika jest przesyłana innym kanałem. Co więcej, jeśli nadal starają się dbać o integralność sesji w niektórych infrastrukturach, to protokoły wielosesyjne mogą pójść zupełnie innymi drogami;
- balansowanie w obecności MPLS, VLAN, indywidualnych znaczników sprzętu itp. Tak naprawdę nie tunele, ale mimo to sprzęt z podstawową funkcjonalnością może rozumieć ten ruch nie jako IP i saldo według adresów MAC, po raz kolejny naruszając jednolitość równoważenia lub integralność sesji.
Broker pakietów sieciowych analizuje zewnętrzne nagłówki i sekwencyjnie podąża za wskaźnikami aż do zagnieżdżonego nagłówka IP i równoważy już na nim. W rezultacie strumieni jest znacznie więcej (odpowiednio można to rozłożyć bardziej równomiernie i na większej liczbie platform), a system DPI odbiera wszystkie pakiety sesji i wszystkie powiązane sesje protokołów wielosesyjnych.
2. Modyfikacja ruchu.
Jedna z najszerszych pod względem możliwości funkcji, ilości podfunkcji i opcji ich wykorzystania jest wiele:
- usuwanie ładunku, w którym to przypadku do parsera przekazywane są tylko nagłówki pakietów. Jest to istotne w przypadku narzędzi analitycznych lub rodzajów ruchu, w których zawartość pakietów albo nie odgrywa żadnej roli, albo nie może być analizowana. Na przykład w przypadku ruchu zaszyfrowanego parametryczna wymiana danych (kto, z kim, kiedy i ile) może być interesująca, podczas gdy ładunek to w rzeczywistości śmieci, które zajmują kanał i zasoby obliczeniowe analizatora. Możliwe są zmiany, gdy ładunek jest odcinany, zaczynając od danego przesunięcia - zapewnia to dodatkowy zakres narzędzi analitycznych;
- detuneling, czyli usuwanie nagłówków, które wyznaczają i identyfikują tunele. Celem jest zmniejszenie obciążenia narzędzi analitycznych i zwiększenie ich wydajności. Detunnelowanie może być oparte na stałym przesunięciu lub z dynamiczną analizą nagłówka i określaniem przesunięcia na podstawie pakietu;
- usunięcie niektórych nagłówków pakietów: znaczniki MPLS, VLAN, określone pola sprzętu firm trzecich;
- maskowanie części nagłówków, np. maskowanie adresów IP w celu zapewnienia anonimizacji ruchu;
- dodawanie informacji o usłudze do pakietu: znaczniki czasu, port wejściowy, etykiety klas ruchu itp.
3. Deduplikacja – czyszczenie powtarzalnych pakietów ruchu przesyłanych do narzędzi analitycznych. Zduplikowane pakiety najczęściej występują ze względu na specyfikę łączenia się z infrastrukturą - ruch może przechodzić przez kilka punktów analizy i być odzwierciedlany z każdego z nich. Istnieje również ponowne wysyłanie niekompletnych pakietów TCP, ale jeśli jest ich dużo, to są to bardziej pytania do monitorowania jakości sieci, a nie do bezpieczeństwa informacji w niej.
4. Zaawansowane funkcje filtrowania – od wyszukiwania konkretnych wartości przy zadanym przesunięciu po analizę sygnatur w całym pakiecie.
5. Generowanie NetFlow/IPFIX – gromadzenie szerokiego zakresu statystyk dotyczących przejeżdżającego ruchu i przekazywanie ich do narzędzi analitycznych.
6. Deszyfrowanie ruchu SSL, działa pod warunkiem, że certyfikat i klucze zostaną najpierw załadowane do brokera pakietów sieciowych. Niemniej jednak pozwala to znacznie odciążyć narzędzia analityczne.
Istnieje wiele innych funkcji, przydatnych i marketingowych, ale być może główne z nich są wymienione.
Rozwój systemów detekcji (włamań, ataków DDOS) w systemy ich zapobiegania, a także wprowadzenie aktywnych narzędzi DPI wymagało zmiany schematu przełączania z pasywnego (poprzez porty TAP lub SPAN) na aktywny („w przerwie” ). Okoliczność ta zwiększyła wymagania dotyczące niezawodności (ponieważ awaria w tym przypadku prowadzi do zakłócenia całej sieci, a nie tylko do utraty kontroli nad bezpieczeństwem informacji) i doprowadziła do zastąpienia sprzęgaczy optycznych bypassami optycznymi (w celu rozwiązać problem zależności wydajności sieci od wydajności systemów bezpieczeństwa informacji), ale główna funkcjonalność i wymagania dla niej pozostały takie same.
Opracowaliśmy DS Integrity Network Packet Brokers z interfejsami 100G, 40G i 10G, od projektu i obwodów po oprogramowanie wbudowane. Co więcej, w przeciwieństwie do innych brokerów pakietów, funkcje modyfikacji i równoważenia zagnieżdżonych nagłówków tuneli są zaimplementowane w naszym sprzęcie z pełną szybkością portu.
Źródło: www.habr.com