ProHoster > Blog > administração > Soluções modernas para a construção de sistemas de segurança da informação - corretores de pacotes de rede (Network Packet Broker)

Soluções modernas para a construção de sistemas de segurança da informação - corretores de pacotes de rede (Network Packet Broker)

A segurança da informação separou-se das telecomunicações e tornou-se uma indústria independente com especificidades e equipamentos próprios. Mas há uma classe pouco conhecida de dispositivos que está na intersecção das telecomunicações e da segurança da informação - corretores de pacotes de rede (Network Packet Broker), também conhecido como balanceadores de carga, switches especializados/de monitoramento, agregadores de tráfego, plataforma de entrega de segurança, visibilidade de rede e assim por diante. E nós, como desenvolvedores e fabricantes russos de tais dispositivos, gostaríamos muito de contar mais sobre eles.

Soluções modernas para a construção de sistemas de segurança da informação - corretores de pacotes de rede (Network Packet Broker)

Escopo e tarefas a serem resolvidas

Os corretores de pacotes de rede são dispositivos especializados que encontraram maior aplicação em sistemas de segurança da informação. Como tal, esta classe de dispositivos é relativamente nova e pequena na infraestrutura de rede convencional em comparação com switches, roteadores, etc. A pioneira no desenvolvimento desse tipo de aparelho foi a empresa americana Gigamon. Atualmente, existem significativamente mais players neste mercado (incluindo o conhecido fabricante de sistemas de teste, a empresa IXIA, tem soluções semelhantes), mas apenas um círculo restrito de profissionais ainda sabe da existência de tais dispositivos. Conforme observado acima, até mesmo a terminologia não é clara: os nomes variam de “sistemas de transparência de rede” a simplesmente “balanceadores”.

Ao desenvolvermos network packet brokers, deparámo-nos com o facto de que, além de analisar direcções para o desenvolvimento de funcionalidades e testes em laboratórios/zonas de teste, é necessário explicar simultaneamente aos potenciais consumidores sobre a existência desta classe de equipamentos, já que nem todo mundo sabe disso.

Há apenas 15-20 anos, havia pouco tráfego na rede e, em sua maioria, eram dados sem importância. Mas Lei de Nielsen praticamente se repete Lei de Moore: A velocidade da conexão com a Internet aumenta anualmente em 50%. O volume de tráfego também está crescendo de forma constante (o gráfico mostra a previsão da Cisco para 2017, fonte Cisco Visual Networking Index: Forecast and Trends, 2017–2022):

Soluções modernas para a construção de sistemas de segurança da informação - corretores de pacotes de rede (Network Packet Broker)
Junto com a velocidade, aumenta a importância da circulação de informações (isto é tanto um segredo comercial quanto os notórios dados pessoais) e o desempenho geral da infraestrutura.

Conseqüentemente, surgiu a indústria de segurança da informação. A indústria respondeu a isto com o surgimento de toda uma gama de dispositivos de análise profunda de tráfego (DPI): desde sistemas de prevenção de ataques DDOS até sistemas de gestão de eventos de segurança da informação, incluindo IDS, IPS, DLP, NBA, SIEM, Antimailware e assim por diante. Normalmente, cada uma dessas ferramentas é um software instalado em uma plataforma de servidor. Além disso, cada programa (ferramenta de análise) é instalado em sua própria plataforma de servidor: os fabricantes de software são diferentes e a análise no L7 requer muitos recursos computacionais.

Ao construir um sistema de segurança da informação, é necessário resolver uma série de problemas principais:

  • como transferir o tráfego da infraestrutura para os sistemas de análise? (As portas SPAN originalmente desenvolvidas para este fim em infraestruturas modernas não são suficientes nem em quantidade nem em desempenho)
  • como distribuir o tráfego entre diferentes sistemas de análise?
  • como dimensionar sistemas quando o desempenho de uma instância do analisador não é suficiente para processar todo o volume de tráfego que entra nele?
  • como monitorar interfaces 40G/100G (e num futuro próximo 200G/400G), já que as ferramentas de análise atualmente suportam apenas interfaces 1G/10G/25G?

E as seguintes tarefas relacionadas:

  • Como podemos minimizar o tráfego não direcionado que não precisa ser processado, mas chega às ferramentas de análise e consome seus recursos?
  • Como processar pacotes encapsulados e pacotes com etiquetas de serviço de equipamentos, cuja preparação para análise acaba consumindo muitos recursos ou é impossível de implementar?
  • como excluir da análise parte do tráfego que não é regulamentado pela política de segurança (por exemplo, o tráfego do gestor).

Soluções modernas para a construção de sistemas de segurança da informação - corretores de pacotes de rede (Network Packet Broker)
Como todos sabem, a procura cria oferta e os corretores de pacotes de rede começaram a desenvolver-se em resposta a estas necessidades.

Descrição geral dos corretores de pacotes de rede

Os corretores de pacotes de rede operam no nível do pacote e, dessa forma, são semelhantes aos switches regulares. A principal diferença dos switches é que as regras para distribuição e agregação de tráfego em corretores de pacotes de rede são completamente determinadas pelas configurações. Os corretores de pacotes de rede não possuem padrões para construir tabelas de encaminhamento (tabelas MAC) e protocolos de troca com outros switches (como STP) e, portanto, a gama de configurações possíveis e campos compreendidos neles é muito mais ampla. O broker pode distribuir uniformemente o tráfego de uma ou mais portas de entrada para um intervalo especificado de portas de saída com um recurso de balanceamento de carga de saída. Você pode definir regras para cópia, filtragem, classificação, desduplicação e modificação de tráfego. Essas regras podem ser aplicadas a diferentes grupos de portas de entrada do agente de pacotes de rede e também podem ser aplicadas sequencialmente, uma após a outra, no próprio dispositivo. Uma vantagem importante de um corretor de pacotes é a capacidade de processar o tráfego em vazão total e manter a integridade das sessões (no caso de balanceamento de tráfego para vários sistemas DPI do mesmo tipo).

Manter a integridade da sessão envolve a transmissão de todos os pacotes de sessão da camada de transporte (TCP/UDP/SCTP) para uma porta. Isso é importante porque os sistemas DPI (normalmente software executado em um servidor conectado à porta de saída de um corretor de pacotes) analisam o conteúdo do tráfego no nível do aplicativo, e todos os pacotes enviados/recebidos por um aplicativo devem chegar à mesma instância do analisador. Se os pacotes da mesma sessão forem perdidos ou distribuídos entre diferentes dispositivos DPI, cada dispositivo DPI individual se encontrará em uma situação semelhante à leitura não do texto inteiro, mas de palavras individuais dele. E, muito provavelmente, o texto não será compreendido.

Assim, focados em sistemas de segurança da informação, os corretores de pacotes de rede possuem funcionalidades que auxiliam na conexão dos sistemas de software DPI às redes de telecomunicações de alta velocidade e na redução da carga sobre elas: realizam filtragem preliminar, classificação e preparação do tráfego para simplificar o processamento posterior.

Além disso, como os corretores de pacotes de rede produzem uma ampla gama de estatísticas e estão frequentemente conectados a vários pontos da rede, eles também encontram seu lugar ao diagnosticar problemas com o desempenho da própria infraestrutura de rede.

Funções básicas de corretores de pacotes de rede

O nome “switches especializados/de monitoramento” surgiu do propósito básico: coletar tráfego da infraestrutura (geralmente usando acopladores ópticos passivos portas TAP e/ou SPAN) e distribuí-lo entre ferramentas de análise. O tráfego é espelhado (duplicado) entre sistemas de tipos diferentes e balanceado entre sistemas do mesmo tipo. As funções básicas geralmente incluem filtragem por campos até L4 (MAC, IP, porta TCP/UDP, etc.) e agregação de vários canais levemente carregados em um (por exemplo, para processamento em um sistema DPI).

Esta funcionalidade fornece uma solução para a tarefa básica de conectar sistemas DPI à infraestrutura de rede. Brokers de diversos fabricantes, limitados à funcionalidade básica, fornecem processamento de até 32 interfaces de 100G por 1U (mais interfaces não cabem fisicamente no painel frontal de 1U). No entanto, eles não reduzem a carga nas ferramentas de análise e, para uma infraestrutura complexa, não conseguem sequer fornecer os requisitos para uma função básica: uma sessão distribuída por vários túneis (ou equipada com tags MPLS) pode ficar desequilibrada entre diferentes instâncias do analisador e geralmente sair da análise.

Além de adicionar interfaces 40/100G e, como resultado, aumentar o desempenho, os corretores de pacotes de rede estão se desenvolvendo ativamente em termos de fornecer recursos fundamentalmente novos: desde o balanceamento baseado em cabeçalhos de túnel aninhados até a descriptografia de tráfego. Infelizmente, tais modelos não podem se orgulhar de desempenho em terabits, mas permitem construir um sistema de segurança da informação verdadeiramente de alta qualidade e tecnicamente “bonito”, no qual cada ferramenta de análise tem a garantia de receber apenas as informações de que necessita na forma mais adequada. para análise.

Recursos avançados do Network Packet Broker

Soluções modernas para a construção de sistemas de segurança da informação - corretores de pacotes de rede (Network Packet Broker)
1. Mencionado acima balanceamento baseado em cabeçalhos aninhados no tráfego em túnel.

Por que isso é importante? Vamos considerar 3 aspectos que podem ser críticos juntos ou separadamente:

  • garantindo equilíbrio uniforme na presença de um pequeno número de túneis. Se houver apenas 2 túneis no ponto de conexão dos sistemas de segurança da informação, não será possível desequilibrá-los de acordo com cabeçalhos externos em 3 plataformas de servidor preservando a sessão. Ao mesmo tempo, o tráfego na rede é transmitido de forma desigual e direcionar cada túnel para uma instalação de processamento separada exigirá desempenho excessivo desta;
  • garantindo a integridade das sessões e fluxos de protocolos multisessão (por exemplo, FTP e VoIP), cujos pacotes terminavam em diferentes túneis. A complexidade da infraestrutura de rede aumenta constantemente: redundância, virtualização, simplificação da administração e assim por diante. Por um lado, isso aumenta a confiabilidade na transmissão de dados, por outro lado, complica o funcionamento dos sistemas de segurança da informação. Mesmo que os analisadores tenham desempenho suficiente para processar um canal dedicado com túneis, o problema acaba sendo insolúvel, uma vez que alguns pacotes da sessão do usuário são transmitidos por outro canal. Além disso, embora algumas infraestruturas ainda tentem zelar pela integridade das sessões, os protocolos multisessão podem seguir caminhos completamente diferentes;
  • balanceamento na presença de MPLS, VLAN, tags de equipamentos individuais, etc. Não exatamente túneis, mas mesmo assim, equipamentos com funcionalidades básicas podem entender esse tráfego como algo diferente de IP e equilibrá-lo com base em endereços MAC, violando mais uma vez a uniformidade de balanceamento ou a integridade das sessões.

O corretor de pacotes de rede analisa cabeçalhos externos e segue sequencialmente os ponteiros até o cabeçalho IP aninhado e equilibra-o. Como resultado, há significativamente mais fluxos (portanto, podem ser desequilibrados de forma mais uniforme e em um maior número de plataformas), e o sistema DPI recebe todos os pacotes de sessão e todas as sessões associadas de protocolos multisessão.

2. Modificação de tráfego.
Uma das funções mais amplas em termos de capacidades, existem muitas subfunções e opções para sua aplicação:

  • excluindo a carga útil, neste caso apenas os cabeçalhos dos pacotes são transferidos para a ferramenta de análise. Isto é relevante para ferramentas de análise ou para tipos de tráfego em que o conteúdo dos pacotes não importa ou não pode ser analisado. Por exemplo, para tráfego criptografado, a troca paramétrica de dados (quem, com quem, quando e quanto) pode ser de interesse, mas a carga útil é na verdade lixo que ocupa o canal e os recursos computacionais do analisador. Variações são possíveis quando a carga útil é cortada a partir de um determinado deslocamento - isso fornece escopo adicional para ferramentas de análise;
  • detunneling, nomeadamente a remoção de cabeçalhos que denotam e identificam túneis. O objetivo é reduzir a carga nas ferramentas de análise e aumentar sua eficiência. O detunneling pode ser baseado em um deslocamento fixo ou com análise dinâmica de cabeçalho e determinação de deslocamento para cada pacote;
  • remoção de parte dos cabeçalhos dos pacotes: tags MPLS, VLAN, campos específicos de equipamentos de terceiros;
  • mascarar parte dos cabeçalhos, por exemplo, mascarar endereços IP para garantir o anonimato do tráfego;
  • adicionando informações de serviço ao pacote: carimbo de data/hora, porta de entrada, rótulo de classe de tráfego, etc.

3. Desduplicação – limpeza de pacotes de tráfego duplicados transmitidos para ferramentas de análise. Pacotes duplicados surgem com mais frequência devido à natureza da conexão com a infraestrutura - o tráfego pode passar por vários pontos de análise e ser espelhado em cada um deles. O reenvio de pacotes TCP com falha também é comum, mas se houver muitos deles, é mais provável que sejam problemas relacionados ao monitoramento da qualidade da rede, e não à segurança das informações nela.

4. Recursos avançados de filtragem – desde a busca por valores específicos em um determinado deslocamento até a análise de assinatura de todo o pacote.

5. Geração NetFlow/IPFIX – recolha de uma vasta gama de estatísticas sobre o tráfego de passagem e sua transferência para ferramentas de análise.

6. Descriptografia do tráfego SSL, funciona desde que o certificado e as chaves sejam carregados primeiro no corretor de pacotes de rede. No entanto, isso permite aliviar significativamente as ferramentas de análise.

Existem muito mais funções, úteis e de marketing, mas as principais provavelmente estão listadas.

O desenvolvimento de sistemas de detecção (intrusões, ataques DDOS) em sistemas de prevenção, bem como a introdução de ferramentas de DPI ativas, exigiu uma mudança no esquema de comutação de passivo (via portas TAP ou SPAN) para ativo (“na lacuna ”). Esta circunstância aumentou os requisitos de fiabilidade (uma vez que a falha neste caso leva à perturbação de toda a rede, e não apenas à perda de controlo sobre a segurança da informação) e levou à substituição dos acopladores ópticos por bypass óptico (para resolver o problema de a dependência da operabilidade da rede na operabilidade dos sistemas segurança da informação), mas a principal funcionalidade e os requisitos para ela permanecem os mesmos.

Desenvolvemos DS Integrity Network Packet Brokers com interfaces 100G, 40G e 10G, desde o design e design do circuito até o firmware. Além disso, ao contrário de outros corretores de pacotes, as funções de modificação e balanceamento dos cabeçalhos de túnel aninhados são implementadas em hardware, na velocidade total da porta.

Soluções modernas para a construção de sistemas de segurança da informação - corretores de pacotes de rede (Network Packet Broker)

Fonte: habr.com

Adicionar um comentário