ProHoster > BLOG > administrare > Soluții moderne pentru construirea sistemelor de securitate a informațiilor - brokeri de pachete de rețea (Network Packet Broker)

Soluții moderne pentru construirea sistemelor de securitate a informațiilor - brokeri de pachete de rețea (Network Packet Broker)

Securitatea informației s-a separat de telecomunicații într-o industrie independentă cu propriile sale specificități și propriile sale echipamente. Dar există o clasă puțin cunoscută de dispozitive care se află la intersecția dintre telecomunicații și infobez - brokeri de pachete de rețea (Network Packet Broker), sunt, de asemenea, echilibratori de încărcare, comutatoare specializate / de monitorizare, agregatoare de trafic, Platformă de livrare de securitate, vizibilitate în rețea și așa mai departe. Și noi, în calitate de dezvoltator și producător rus de astfel de dispozitive, dorim cu adevărat să vă spunem mai multe despre ele.

Soluții moderne pentru construirea sistemelor de securitate a informațiilor - brokeri de pachete de rețea (Network Packet Broker)

Domeniul de aplicare și sarcinile de rezolvat

Brokerii de pachete de rețea sunt dispozitive specializate care au găsit cea mai mare utilizare în sistemele de securitate a informațiilor. Ca atare, clasa de dispozitiv este relativ nouă și puțină în infrastructura de rețea comună în comparație cu switch-uri, routere și așa mai departe. Pionierul în dezvoltarea acestui tip de dispozitiv a fost compania americană Gigamon. În prezent, există mult mai mulți jucători pe această piață (inclusiv soluții similare de la cunoscutul producător de sisteme de testare - IXIA), dar doar un cerc restrâns de profesioniști încă știe despre existența unor astfel de dispozitive. După cum s-a menționat mai sus, chiar și cu terminologia nu există o certitudine clară: denumirile variază de la „sisteme de transparență a rețelei” la simple „echilibratoare”.

În timpul dezvoltării brokerilor de pachete de rețea, ne-am confruntat cu faptul că, pe lângă analizarea direcțiilor de dezvoltare a funcționalității și testarea în laboratoare/zone de testare, este necesar să explicăm simultan potențialilor consumatori despre existența acestei clase de echipamente. , deoarece nu toată lumea știe despre asta.

Chiar și acum 15-20 de ani, în rețea era puțin trafic și erau în mare parte date neimportante. Dar legea lui Nielsen se repetă practic Legea lui Moore: Viteza conexiunii la internet crește cu 50% anual. Volumul de trafic este, de asemenea, în creștere constantă (graficul arată prognoza pentru 2017 de la Cisco, sursa Cisco Visual Networking Index: Forecast and Trends, 2017–2022):

Soluții moderne pentru construirea sistemelor de securitate a informațiilor - brokeri de pachete de rețea (Network Packet Broker)
Odată cu viteza, importanța circulației informațiilor (aceasta este atât un secret comercial, cât și date personale notorii) și performanța generală a infrastructurii sunt în creștere.

În consecință, a apărut industria de securitate a informațiilor. Industria a răspuns la aceasta cu o întreagă gamă de dispozitive de analiză a traficului (DPI), de la sisteme de prevenire a atacurilor DDOS la sisteme de management al evenimentelor de securitate a informațiilor, inclusiv IDS, IPS, DLP, NBA, SIEM, Antimailware și așa mai departe. De obicei, fiecare dintre aceste instrumente este un software care este instalat pe o platformă de server. Mai mult, fiecare program (instrument de analiză) este instalat pe propria platformă de server: producătorii de software sunt diferiți și sunt necesare o mulțime de resurse de calcul pentru analiza pe L7.

La construirea unui sistem de securitate a informațiilor, este necesar să se rezolve o serie de sarcini de bază:

  • cum se transferă traficul de la infrastructură la sistemele de analiză? (porturile SPAN dezvoltate inițial pentru aceasta în infrastructura modernă nu sunt suficiente nici ca cantitate, nici ca performanță)
  • cum se distribuie traficul între diferite sisteme de analiză?
  • cum să scalați sistemele atunci când nu există suficientă performanță a unei instanțe a analizorului pentru a procesa întregul volum de trafic care intră în ea?
  • cum să monitorizezi interfețele 40G/100G (și în viitorul apropiat și 200G/400G), deoarece instrumentele de analiză acceptă în prezent doar interfețe 1G/10G/25G?

Și următoarele sarcini conexe:

  • cum să minimizezi traficul neadecvat care nu trebuie procesat, dar ajunge la instrumentele de analiză și le consumă resursele?
  • cum se procesează pachetele încapsulate și pachetele cu mărci de servicii hardware, a căror pregătire pentru analiză se dovedește a fi fie consumatoare de resurse, fie deloc irealizabilă?
  • cum se exclude din analiză o parte din trafic care nu este reglementată de politica de securitate (de exemplu, traficul capului).

Soluții moderne pentru construirea sistemelor de securitate a informațiilor - brokeri de pachete de rețea (Network Packet Broker)
După cum știe toată lumea, cererea creează ofertă, ca răspuns la aceste nevoi, brokerii de pachete de rețea au început să se dezvolte.

Descrierea generală a brokerilor de pachete de rețea

Brokerii de pachete de rețea lucrează la nivel de pachet și, în acest sens, sunt similare cu comutatoarele obișnuite. Principala diferență față de comutatoare este că regulile de distribuție și agregare a traficului în brokerii de pachete de rețea sunt complet determinate de setări. Brokerii de pachete de rețea nu au standarde pentru construirea tabelelor de redirecționare (tabelele MAC) și protocoalele de schimb cu alte comutatoare (cum ar fi STP), și, prin urmare, gama de setări posibile și câmpuri de înțeles din acestea este mult mai largă. Un broker poate distribui uniform traficul de la unul sau mai multe porturi de intrare la o gamă dată de porturi de ieșire cu o funcție de echilibrare a sarcinii de ieșire. Puteți stabili reguli pentru copierea, filtrarea, clasificarea, deduplicarea și modificarea traficului. Aceste reguli pot fi aplicate diferitelor grupuri de porturi de intrare ale brokerului de pachete de rețea, precum și aplicate secvențial unul după altul în dispozitivul însuși. Un avantaj important al unui broker de pachete este capacitatea de a procesa traficul la debit maxim și de a păstra integritatea sesiunilor (în cazul echilibrării traficului către mai multe sisteme DPI de același tip).

Păstrarea integrității sesiunilor înseamnă transferul tuturor pachetelor din sesiunea stratului de transport (TCP / UDP / SCTP) pe un singur port. Acest lucru este important deoarece sistemele DPI (de obicei software care rulează pe un server conectat la portul de ieșire al unui broker de pachete) analizează conținutul traficului la nivel de aplicație, iar toate pachetele trimise/primite de o aplicație trebuie să ajungă la aceeași instanță a aplicației. analizor . Dacă pachetele unei sesiuni sunt pierdute sau distribuite între diferite dispozitive DPI, atunci fiecare dispozitiv DPI individual se va afla într-o situație similară citirii nu a unui text întreg, ci a cuvintelor individuale din acesta. Și, cel mai probabil, textul nu va înțelege.

Astfel, fiind concentrați pe sistemele de securitate a informațiilor, brokerii de pachete de rețea au funcționalități care ajută la conectarea sistemelor software DPI la rețelele de telecomunicații de mare viteză și la reducerea încărcării acestora: prefiltrează, clasifică și pregătesc traficul pentru a simplifica procesarea ulterioară.

În plus, deoarece brokerii de pachete de rețea oferă o gamă largă de statistici și sunt adesea conectați la diferite puncte din rețea, ei își găsesc și locul în diagnosticarea problemelor de sănătate ale infrastructurii de rețea în sine.

Funcțiile de bază ale brokerilor de pachete de rețea

Denumirea „comutatoare dedicate/monitorizare” a apărut din scopul de bază: colectarea traficului din infrastructură (de obicei utilizând robinete optice pasive TAP și/sau porturi SPAN) și distribuirea acestuia între instrumentele de analiză. Traficul este oglindit (duplicat) între sisteme de diferite tipuri și echilibrat între sisteme de același tip. Funcțiile de bază includ, de obicei, filtrarea după câmpuri până la L4 (MAC, IP, port TCP / UDP etc.) și agregarea mai multor canale ușor încărcate într-unul singur (de exemplu, pentru procesarea pe un sistem DPI).

Această funcționalitate oferă o soluție pentru sarcina de bază - conectarea sistemelor DPI la infrastructura de rețea. Brokerii de la diverși producători, limitati la funcționalitatea de bază, asigură procesarea a până la 32 de interfețe 100G per 1U (mai multe interfețe nu se potrivesc fizic pe panoul frontal de 1U). Cu toate acestea, ele nu permit reducerea sarcinii instrumentelor de analiză și, pentru o infrastructură complexă, nici măcar nu pot oferi cerințele pentru o funcție de bază: o sesiune distribuită pe mai multe tuneluri (sau echipată cu etichete MPLS) poate fi dezechilibrată pentru diferite instanțe ale analizor și, în general, cad din analiză.

Pe lângă adăugarea de interfețe 40/100G și, ca rezultat, îmbunătățirea performanței, brokerii de pachete de rețea se dezvoltă activ în ceea ce privește furnizarea de caracteristici fundamental noi: de la echilibrarea pe anteturile de tunel imbricate până la decriptarea traficului. Din păcate, astfel de modele nu se pot lăuda cu performanțe în terabiți, dar fac posibilă construirea unui sistem de securitate a informațiilor cu adevărat de înaltă calitate și „frumos” din punct de vedere tehnic, în care fiecare instrument de analiză are garantat să primească doar informațiile de care are nevoie în forma cea mai potrivită. pentru analiză.

Funcții avansate ale brokerilor de pachete de rețea

Soluții moderne pentru construirea sistemelor de securitate a informațiilor - brokeri de pachete de rețea (Network Packet Broker)
1. Menționat mai sus echilibrare antet imbricat în trafic tunelizat.

De ce este important? Luați în considerare 3 aspecte care pot fi critice împreună sau separat:

  • asigurarea echilibrării uniforme în prezenţa unui număr redus de tuneluri. În cazul în care există doar 2 tuneluri la punctul de conectare a sistemelor de securitate a informațiilor, atunci nu va fi posibilă dezechilibrarea acestora prin anteturi externe pe 3 platforme de server în timp ce se menține sesiunea. În același timp, traficul în rețea este transmis inegal, iar direcția fiecărui tunel către o unitate de procesare separată va necesita performanță excesivă a acesteia din urmă;
  • asigurarea integrității sesiunilor și fluxurilor de protocoale multisesiune (de exemplu, FTP și VoIP), ale căror pachete au ajuns în diferite tuneluri. Complexitatea infrastructurii de rețea este în continuă creștere: redundanță, virtualizare, simplificare a administrării și așa mai departe. Pe de o parte, acest lucru crește fiabilitatea în ceea ce privește transmiterea datelor, pe de altă parte, complică munca sistemelor de securitate a informațiilor. Chiar și cu o performanță suficientă a analizoarelor pentru a procesa un canal dedicat cu tuneluri, problema se dovedește a fi de nerezolvat, deoarece unele dintre pachetele de sesiune de utilizator sunt transmise pe alt canal. Mai mult, dacă totuși încearcă să se ocupe de integritatea sesiunilor în unele infrastructuri, atunci protocoalele multisesiune pot merge cu totul altfel;
  • echilibrare în prezența MPLS, VLAN, etichete de echipamente individuale etc. Nu chiar tunelurile, dar cu toate acestea, echipamentele cu funcționalitate de bază pot înțelege acest trafic nu ca IP și echilibru prin adrese MAC, încălcând încă o dată uniformitatea echilibrării sau integritatea sesiunii.

Brokerul de pachete de rețea analizează anteturile exterioare și urmează secvențial indicatorii până la antetul IP imbricat și echilibrează deja pe el. Ca urmare, există mult mai multe fluxuri (respectiv, poate fi dezechilibrat mai uniform și pe un număr mai mare de platforme), iar sistemul DPI primește toate pachetele de sesiune și toate sesiunile asociate de protocoale multisesiune.

2. Modificarea traficului.
Una dintre cele mai largi funcții în ceea ce privește capacitățile sale, numărul de subfuncții și opțiuni pentru utilizarea lor sunt multe:

  • eliminând sarcina utilă, caz în care numai antetele pachetelor sunt transmise parserului. Acest lucru este relevant pentru instrumentele de analiză sau pentru tipurile de trafic în care conținutul pachetelor fie nu joacă un rol, fie nu poate fi analizat. De exemplu, pentru traficul criptat, datele de schimb de parametri (cine, cu cine, când și cât) pot fi de interes, în timp ce sarcina utilă este de fapt gunoi care ocupă canalul și resursele de calcul ale analizorului. Sunt posibile variații atunci când sarcina utilă este întreruptă pornind de la un offset dat - aceasta oferă un spațiu suplimentar pentru instrumentele de analiză;
  • detunnelarea, și anume eliminarea anteturilor care desemnează și identifică tunelurile. Scopul este de a reduce sarcina instrumentelor de analiză și de a crește eficiența acestora. Detunnelarea poate fi bazată pe un offset fix sau cu analiză dinamică a antetului și determinarea offset-ului pe bază de pachet;
  • eliminarea unor antete de pachete: etichete MPLS, VLAN, câmpuri specifice echipamentelor terțe;
  • mascarea unei părți a antetelor, de exemplu, mascarea adreselor IP pentru a asigura anonimizarea traficului;
  • adăugarea de informații de serviciu la pachet: marcaje temporale, portul de intrare, etichetele clasei de trafic etc.

3. Deduplicarea – curățarea pachetelor de trafic repetitive transmise instrumentelor de analiză. Pachetele duplicate apar cel mai adesea din cauza particularităților conectării la infrastructură - traficul poate trece prin mai multe puncte de analiză și poate fi oglindit din fiecare dintre ele. Există, de asemenea, o retrimitere a pachetelor TCP incomplete, dar dacă sunt multe, atunci acestea sunt mai multe întrebări pentru monitorizarea calității rețelei și nu pentru securitatea informațiilor din ea.

4. Caracteristici avansate de filtrare – de la căutarea unor valori specifice la un anumit offset până la analiza semnăturii pe întregul pachet.

5. Generarea NetFlow/IPFIX – colectarea unei game largi de statistici privind traficul de trecere și transferul acestuia către instrumente de analiză.

6. Decriptarea traficului SSL, funcționează cu condiția ca certificatul și cheile să fie mai întâi încărcate în brokerul de pachete de rețea. Cu toate acestea, acest lucru vă permite să descărcați în mod semnificativ instrumentele de analiză.

Există mult mai multe funcții, utile și de marketing, dar cele principale, poate, sunt enumerate.

Dezvoltarea sistemelor de detectare (intruziuni, atacuri DDOS) în sistemele de prevenire a acestora, precum și introducerea instrumentelor active DPI, au necesitat o schimbare a schemei de comutare de la pasiv (prin porturile TAP sau SPAN) la activ („în pauză” ). Această împrejurare a crescut cerințele de fiabilitate (deoarece o defecțiune în acest caz duce la o întrerupere a întregii rețele, și nu numai la o pierdere a controlului asupra securității informațiilor) și a dus la înlocuirea cuplelor optice cu bypass-uri optice (pentru a rezolva problema dependenței performanței rețelei de performanța securității informațiilor sistemelor), dar principalele funcționalități și cerințele pentru aceasta au rămas aceleași.

Am dezvoltat DS Integrity Network Packet Brokers cu interfețe 100G, 40G și 10G, de la design și circuite până la software încorporat. Mai mult, spre deosebire de alți brokeri de pachete, funcțiile de modificare și echilibrare pentru anteturile de tunel imbricate sunt implementate în hardware-ul nostru, la viteza maximă a portului.

Soluții moderne pentru construirea sistemelor de securitate a informațiilor - brokeri de pachete de rețea (Network Packet Broker)

Sursa: www.habr.com

Adauga un comentariu