د معلوماتو امنیت له مخابراتو څخه په خپلواک صنعت کې د خپلو ځانګړتیاو او خپلو تجهیزاتو سره جلا شوی. مګر د وسایلو یو لږ پیژندل شوی ټولګی شتون لري چې د مخابراتو او معلوماتو امنیت په تقاطع کې ولاړ دی - د شبکې پیکټ بروکرز (د شبکې بسته بروکر)، چې د بار بیلنسرز په نوم هم پیژندل کیږي، ځانګړي / څارنې سویچونه، ټرافيکي راټولونکي، د امنیت تحویلۍ پلیټ فارم، د شبکې لید، او داسې نور. او موږ، د روسیې د پراختیا کونکي او د داسې وسایلو جوړونکي په توګه، واقعیا غواړو تاسو ته د دوی په اړه نور معلومات درکړو.
ساحه او دندې باید حل شي
د شبکې پیکټ بروکرز ځانګړي وسایل دي چې د معلوماتو امنیت سیسټمونو کې ترټولو لوی غوښتنلیک موندلی. د دې په څیر، د وسایلو دا ټولګي د سویچونو، روټرونو، او نورو په پرتله د شبکې اصلي زیربنا کې نسبتا نوي او کوچني دي. د دې ډول وسیلې په پراختیا کې مخکښ امریکایی شرکت ګیګامون و. اوس مهال، په دې بازار کې د پام وړ ډیر لوبغاړي شتون لري (پشمول د ټیسټ سیسټمونو مشهور جوړونکي، د IXIA شرکت، ورته حلونه لري)، مګر د مسلکيانو یوازې یو محدود حلقه لاهم د داسې وسیلو د شتون په اړه پوهیږي. لکه څنګه چې پورته یادونه وشوه، حتی اصطلاحات روښانه ندي: نومونه د "شبکې شفافیت سیسټمونو" څخه په ساده ډول "توازن کونکو" پورې اړه لري.
پداسې حال کې چې د شبکې پیکټ بروکرانو رامینځته کول ، موږ د دې حقیقت سره مخ شو چې د فعالیت پراختیا او لابراتوارونو / ازموینې زونونو کې ازموینې لپاره لارښوونو تحلیل سربیره ، دا اړینه ده چې په ورته وخت کې احتمالي مصرف کونکو ته د دې ټولګي تجهیزاتو شتون په اړه توضیحات ورکړو. ځکه چې هرڅوک د دې په اړه نه پوهیږي.
یوازې 15-20 کاله دمخه په شبکه کې لږ ترافیک شتون درلود، او دا ډیری غیر مهم معلومات وو. خو په عملي توګه تکراروي : د انټرنیټ اتصال سرعت هر کال 50% زیاتیږي. د ټرافیک حجم هم په ثابت ډول وده کوي (ګراف د سیسکو څخه د 2017 وړاندوینه ښیې، سرچینه د سیسکو لید شبکې شاخص: وړاندوینه او رجحانات، 2017-2022):
د سرعت سره سره، د معلوماتو خپرولو اهمیت (دا دواړه د سوداګرۍ راز او بدنام شخصي معلومات دي) او د زیربنا عمومي فعالیت زیاتیږي.
په دې اساس، د معلوماتو امنیت صنعت راڅرګند شو. صنعت دې ته د ژور ترافیک تحلیل (DPI) وسیلو بشپړ لړۍ راڅرګندیدو سره ځواب ورکړ: د DDOS برید مخنیوي سیسټمونو څخه د معلوماتو امنیت پیښې مدیریت سیسټمونو پورې ، پشمول IDS, IPS, DLP, NBA, SIEM, Antimailware او داسې نور. عموما، د دې وسیلو هر یو سافټویر د سرور پلیټ فارم کې نصب شوی. سربیره پردې ، هر برنامه (د تحلیل وسیله) په خپل سرور پلیټ فارم کې نصب شوی: د سافټویر جوړونکي مختلف دي ، او په L7 کې تحلیل ډیری کمپیوټري سرچینو ته اړتیا لري.
کله چې د معلوماتو امنیت سیسټم رامینځته کول ، نو اړینه ده چې یو شمیر اصلي ستونزې حل کړئ:
- د زیربنا څخه د تحلیل سیسټمونو ته ترافیک څنګه لیږدول کیږي؟ (د اسپان بندرونه چې په اصل کې په عصري زیربنا کې د دې هدف لپاره رامینځته شوي یا په مقدار یا فعالیت کې کافي ندي)
- د مختلف تحلیل سیسټمونو ترمینځ ترافیک څنګه توزیع کول؟
- څنګه د سیسټمونو اندازه کول کله چې د یو تحلیل کونکي مثال فعالیت کافي نه وي ترڅو د ټرافیک ټول حجم پروسس کړي چې دې ته ننوځي؟
- څنګه د 40G/100G انٹرفیس څارنه وکړو (او په نږدې راتلونکي کې 200G/400G)، ځکه چې د تحلیل وسیلې اوس مهال یوازې د 1G/10G/25G انٹرفیسونو ملاتړ کوي؟
او لاندې اړوندې دندې:
- موږ څنګه کولی شو غیر هدف شوي ترافیک کم کړو چې پروسس کولو ته اړتیا نلري، مګر د تحلیل وسیلو ته رسیږي او د دوی سرچینې مصرفوي؟
- څنګه د تجهیزاتو د خدماتو ټاګونو سره پوښل شوي کڅوړې او پاکټونه پروسس کړئ ، د کوم تحلیل لپاره چمتو کول یا د سرچینې متمرکز یا په بشپړ ډول پلي کول ناممکن دي؟
- څنګه د تحلیل څخه ځینې ټرافیک لرې کړئ چې د امنیت پالیسۍ لخوا تنظیم شوي ندي (د مثال په توګه ، د مدیر ترافیک).
لکه څنګه چې هرڅوک پوهیږي، تقاضا عرضه رامنځته کوي، او د شبکې پیکټ بروکرانو د دې اړتیاو په ځواب کې پراختیا پیل کړه.
د شبکې پیکټ بروکرانو عمومي توضیحات
د شبکې پیکټ بروکرز د پیکټ په کچه کار کوي، او پدې توګه دوی د منظم سویچونو سره ورته دي. د سویچونو څخه اصلي توپیر دا دی چې د شبکې پیکټ بروکرز کې د ترافیک توزیع او راټولولو قواعد په بشپړ ډول د تنظیماتو لخوا ټاکل کیږي. د شبکې پیکټ بروکرز د فارورډینګ جدولونو (MAC میزونو) جوړولو لپاره معیارونه نلري او د نورو سویچونو (لکه STP) سره پروتوکولونه تبادله کوي ، او له همدې امله په دوی کې د ممکنه ترتیباتو او پوهه شوي ساحو لړۍ خورا پراخه ده. بروکر کولی شي په مساوي ډول د یو یا ډیرو ان پټ بندرونو څخه ټرافيک د محصول بار بیلانس ځانګړتیا سره د محصول پورټونو ټاکل شوي حد ته توزیع کړي. تاسو کولی شئ د کاپي کولو، فلټر کولو، طبقه بندي، تخریب او د ټرافیک ترمیم لپاره مقررات تنظیم کړئ. دا مقررات د شبکې پیکټ بروکر ان پټ بندرونو مختلف ګروپونو کې پلي کیدی شي ، او پخپله وسیله کې یو له بل وروسته په ترتیب سره پلي کیدی شي. د پیکټ بروکر یوه مهمه ګټه د بشپړ جریان نرخ سره د ترافیک پروسس کولو وړتیا ده او د غونډو بشپړتیا ساتل دي (د ورته ډول ډیری DPI سیسټمونو ته د ترافیک توازن کولو په حالت کې).
د سیشن بشپړتیا ساتل د ټولو ټرانسپورټ پرت سیشن کڅوړې (TCP/UDP/SCTP) یو بندر ته لیږدول شامل دي. دا مهم دی ځکه چې د DPI سیسټمونه (په عموم ډول سافټویر په سرور کې روان دی چې د کڅوړې بروکر د محصول بندر سره وصل وي) د غوښتنلیک په کچه د ترافیک مینځپانګې تحلیل کوي ، او د یو غوښتنلیک لخوا لیږل شوي / ترلاسه شوي ټول پاکټونه باید ورته تحلیل کونکي مثال ته راشي. که چیرې د ورته ناستې کڅوړې له لاسه ورکړي یا د مختلف DPI وسیلو ترمینځ توزیع شي ، نو د DPI هر انفرادي وسیله به ځان په داسې حالت کې ومومي چې د بشپړ متن لوستلو ته ورته نه وي ، مګر د هغې څخه انفرادي ټکي. او، ډیری احتمال، متن به نه پوهیږي.
پدې توګه ، د معلوماتو امنیت سیسټمونو باندې تمرکز کولو سره ، د شبکې پاکټ بروکرز فعالیت لري چې د DPI سافټویر سیسټمونو سره د لوړ سرعت مخابراتي شبکو سره وصل کولو کې مرسته کوي او په دوی باندې بار کموي: دوی لومړني فلټر کول ، طبقه بندي او د ترافیک چمتو کول د راتلونکي پروسس ساده کولو لپاره ترسره کوي.
برسېره پردې، څرنګه چې د شبکې پیکټ بروکرز د احصایې پراخه لړۍ تولیدوي او ډیری وختونه په شبکه کې د مختلفو ټکو سره وصل وي، دوی هم خپل ځای پیدا کوي کله چې د شبکې زیربنا پخپله د فعالیت سره ستونزې تشخیص کړي.
د شبکې پیکټ بروکرز اساسي دندې
د "تخصصي / څارنې سویچز" نوم د بنسټیز هدف څخه رامینځته شوی: د زیربنا څخه ترافیک راټولول (معمولا د غیر فعال نظری کوپلر TAP او/یا SPAN بندرونو کارول) او د تحلیلي وسیلو ترمینځ یې توزیع کول. ترافیک د مختلف ډولونو سیسټمونو تر مینځ عکس العمل (نقل شوی) دی ، او د ورته ډول سیسټمونو ترمینځ متوازن دی. په اساسي کارونو کې معمولا د L4 (MAC، IP، TCP/UDP پورټ، او نور) پورې د ساحو لخوا فلټر کول او په یو کې د ډیری سپکو بار شوي چینلونو راټولول شامل دي (د مثال په توګه، په یو DPI سیسټم کې پروسس کولو لپاره).
دا فعالیت د شبکې زیربنا ته د DPI سیسټمونو وصل کولو لومړني دندې ته حل چمتو کوي. د مختلف تولید کونکو بروکران ، په لومړني فعالیت پورې محدود دي ، په هر 32U کې تر 100 1G انٹرفیسونو پروسس کول چمتو کوي (ډیر انٹرفیسونه په فزیکي توګه د 1U مخکښ پینل کې مناسب ندي). په هرصورت، دوی د تحلیلي وسیلو بار نه کموي، او د پیچلي زیربنا لپاره دوی نشي کولی د لومړني فعالیت لپاره اړتیاوې چمتو کړي: یوه ناسته چې په څو تونلونو ویشل شوې وي (یا د MPLS ټاګونو سره مجهز) کیدای شي د بیلابیلو تحلیل کونکو مثالونو او عموما په منځ کې غیر متوازن شي. له تحلیل څخه وتل
د 40/100G انٹرفیسونو اضافه کولو سربیره او د پایلې په توګه ، د فعالیت زیاتوالی ، د شبکې پاکټ بروکرز په فعاله توګه د بنسټیز نوي ظرفیتونو چمتو کولو شرایطو کې وده کوي: د نیست شوي تونل سرلیکونو پراساس توازن څخه تر ترافیک ډیکریپشن پورې. له بده مرغه، دا ډول ماډلونه په terabits کې د فعالیت ویاړ نشي کولی، مګر دوی تاسو ته اجازه درکوي چې د ریښتینې لوړ کیفیت او تخنیکي پلوه "ښکلي" معلوماتو امنیت سیسټم رامینځته کړي، په کوم کې چې د هر تحلیلي وسیله تضمین کیږي چې یوازې هغه معلومات ترلاسه کړي چې ورته اړتیا لري په خورا مناسب شکل کې. د تحلیل لپاره.
د پرمختللي شبکې پیکټ بروکر ځانګړتیاوې
1. پورته ذکر شوی په تونل شوي ترافیک کې د ځړول شوي سرلیکونو پراساس توازن.
ولې دا مهمه ده؟ راځئ چې درې اړخونه په پام کې ونیسو چې کیدی شي په ګډه یا جلا توګه مهم وي:
- د لږ شمیر تونلونو په شتون کې د یونیفورم توازن تضمین کول. که چیرې د معلوماتو امنیت سیسټمونو اتصال نقطه کې یوازې 2 تونلونه شتون ولري ، نو بیا به دا امکان ونلري چې دوی د 3 سرور پلیټ فارمونو کې د بهرني سرلیکونو مطابق غیر متوازن کړي پداسې حال کې چې د ناستې ساتنه کوي. په ورته وخت کې، په شبکه کې ترافیک په غیر مساوي توګه لیږدول کیږي، او د هر تونل جلا پروسس کولو تاسیساتو ته لارښوونه کول به د وروستي فعالیت ډیر فعالیت ته اړتیا ولري؛
- د څو غونډو پروتوکولونو او جریانونو بشپړتیا یقیني کول (د مثال په توګه ، FTP او VoIP) ، د هغه کڅوړې چې په مختلف تونلونو کې پای ته رسیدلي. د شبکې زیربنا پیچلتیا په دوامداره توګه مخ په ډیریدو ده: بې ځایه کیدل، مجازی کول، د ادارې ساده کول، او داسې نور. له یوې خوا ، دا د معلوماتو لیږد شرایطو کې اعتبار زیاتوي ، له بلې خوا ، دا د معلوماتو امنیت سیسټمونو عملیات پیچلي کوي. حتی که شنونکي د تونلونو سره د وقف شوي چینل پروسس کولو لپاره کافي فعالیت ولري ، ستونزه د حل کیدو وړ نه ده ، ځکه چې د کارونکي سیشن ځینې کڅوړې په بل چینل کې لیږدول کیږي. سربیره پردې ، پداسې حال کې چې ځینې زیربناوې لاهم هڅه کوي د غونډو بشپړتیا ته پاملرنه وکړي ، د څو غونډو پروتوکولونه کولی شي په بشپړ ډول مختلفې لارې ونیسي؛
- د MPLS، VLAN، د انفرادي تجهیزاتو ټګونو، او داسې نور په شتون کې توازن. په حقیقت کې تونلونه ندي ، مګر په هرصورت ، د لومړني فعالیت سره تجهیزات کولی شي دا ټرافیک د IP پرته بل څه په توګه وپیژني او دا د MAC پتې پراساس توازن کړي ، یوځل بیا د توازن توازن یا د غونډو بشپړتیا سرغړونه کوي.
د شبکې پیکټ بروکر بهرني سرلیکونه تجزیه کوي او په ترتیب سره د نیست شوي IP سرلیک پورې اشارې تعقیبوي او په هغې کې بیلانس کوي. د پایلې په توګه، د پام وړ ډیر جریان شتون لري (په وینا، دا په مساوي توګه او په لوی شمیر پلیټ فارمونو کې غیر متوازن کیدی شي)، او د DPI سیسټم ټول سیشن پیکټونه او د ملټي سیشن پروتوکول ټولې تړلې ناستې ترلاسه کوي.
2. د ټرافیک ترمیم.
د خپلو وړتیاوو له مخې یو له پراخو فعالیتونو څخه، د دوی غوښتنلیک لپاره ډیری فرعي دندې او اختیارونه شتون لري:
- د پایلوډ حذف کول، پدې حالت کې یوازې د بسته سرلیکونه د تحلیل وسیلې ته لیږدول کیږي. دا د تحلیلي وسیلو یا د ټرافیک ډولونو لپاره اړونده ده په کوم کې چې د کڅوړو مینځپانګې یا هم مهم ندي یا تحلیل کیدی نشي. د مثال په توګه، د کوډ شوي ټرافیک پارامیټریک تبادلې ډیټا لپاره (څوک، له چا سره، کله او څومره) ممکن د ګټو وي، مګر تادیه په حقیقت کې کثافات دي چې د تحلیل کونکي چینل او کمپیوټر سرچینې اخلي. تغیرات هغه وخت ممکن دي کله چې د تادیې بار د ورکړل شوي آفسیټ څخه پیل کولو سره سم شي - دا د تحلیلي وسیلو لپاره اضافي ساحه چمتو کوي؛
- د تونل له مینځه وړل، د بیلګې په توګه د سرونو لرې کول او د تونلونو پیژندل. هدف د تحلیلي وسیلو بار کمول او د دوی موثریت لوړول دي. ډیتونل کول د یو ثابت آفسیټ پراساس یا د متحرک سرلیک تحلیل او د هرې کڅوړې لپاره د آفسیټ عزم سره کیدی شي؛
- د پاکټ سرلیکونو برخې لرې کول: MPLS ټګونه، VLAN، د دریمې ډلې تجهیزاتو ځانګړي ساحې؛
- د سرلیکونو برخه ماسک کول، د بیلګې په توګه، د IP پتې ماسک کول ترڅو د ټرافیک نوم نه معلومول یقیني کړي؛
- پیکټ ته د خدماتو معلومات اضافه کول: مهال ویش، ان پټ پورټ، د ټرافیک ټولګي لیبل، او نور.
3. نقل کول - د نقل شوي ترافیک پاکټونو پاکول د تحلیل وسیلو ته لیږدول شوي. نقل شوي کڅوړې ډیری وختونه د زیربنا سره د تړاو د نوعیت له امله رامینځته کیږي - ترافیک کولی شي د ډیری تحلیلي نقطو څخه تیر شي او له هر یو څخه منعکس شي. د ناکامه TCP پاکټونو بیا لیږل هم معمول دي، مګر که چیرې ډیری شتون ولري، نو دا د شبکې کیفیت څارنې پورې اړوند مسلې دي، نه د معلوماتو امنیت.
4. د فلټر کولو پرمختللي ځانګړتیاوې - په ورکړل شوي آفسیټ کې د ځانګړي ارزښتونو لټون کولو څخه د ټول پاکټ لاسلیک تحلیل پورې.
5. NetFlow/IPFIX نسل - د ټرافیک تیریدو او تحلیلي وسیلو ته د هغې لیږد په اړه د پراخه احصایو راټولول.
6. د ایس ایس ایل ترافیک ډیکریپشن، په دې شرط چې سند او کیلي لومړی د شبکې پیکټ بروکر کې بار شوي وي. په هرصورت، دا تاسو ته اجازه درکوي چې د تحلیلي وسیلو څخه د پام وړ راحت وکړئ.
دلته ډیرې نورې دندې، ګټورې او بازارموندنې شتون لري، مګر اصلي یې شاید لیست شوي وي.
د مخنیوي لپاره سیسټمونو کې د کشف سیسټمونو (مداخلې، د DDOS بریدونو) پراختیا، او همدارنګه د فعال DPI وسیلو معرفي کول، د غیر فعال (TAP یا SPAN بندرونو له لارې) څخه فعال ("په تشه کې) د بدلولو سکیم کې بدلون ته اړتیا لري. "). دې حالت د اعتبار لپاره اړتیاوې زیاتې کړې (ځکه چې پدې قضیه کې ناکامي د ټولې شبکې ګډوډۍ لامل کیږي ، او نه یوازې د معلوماتو امنیت کنټرول له لاسه ورکولو لامل کیږي) او د آپټیکل بای پاس سره د آپټیکل کولرونو ځای په ځای کولو لامل شوی (د ستونزې حل کولو لپاره. د سیسټمونو معلوماتو امنیت عملیاتي وړتیا باندې د شبکې عملیاتي انحصار) ، مګر اصلي فعالیت او د دې لپاره اړتیاوې ورته پاتې دي.
موږ د ډیزاین او سرکټ ډیزاین څخه فرم ویئر ته د 100G، 40G او 10G انٹرفیسونو سره د DS Integrity Network Packet Brokers جوړ کړي دي. سربیره پردې ، د نورو پیکټ بروکرانو برخلاف ، د نیسټ شوي تونل سرلیکونو ترمیم او توازن دندې په هارډویر کې پلي کیږي ، په بشپړ پورټ سرعت کې.
سرچینه: www.habr.com