Informačná bezpečnosť sa vyčlenila z telekomunikácií do samostatného odvetvia s vlastnými špecifikami a vlastným vybavením. Existuje však málo známa trieda zariadení, ktorá stojí na priesečníku telekomunikačnej a informačnej bezpečnosti - sprostredkovatelia sieťových paketov (Network Packet Broker), tiež známy ako vyrovnávače záťaže, špecializované/monitorovacie prepínače, agregátory prevádzky, platforma na poskytovanie zabezpečenia, viditeľnosť siete atď. A my, ako ruský vývojár a výrobca takýchto zariadení, by sme vám o nich naozaj chceli povedať viac.
Rozsah a úlohy, ktoré treba vyriešiť
Sprostredkovatelia sieťových paketov sú špecializované zariadenia, ktoré našli najväčšie uplatnenie v systémoch informačnej bezpečnosti. Ako taká je táto trieda zariadení relatívne nová a malá v bežnej sieťovej infraštruktúre v porovnaní s prepínačmi, smerovačmi atď. Priekopníkom vo vývoji tohto typu zariadenia bola americká spoločnosť Gigamon. V súčasnosti je na tomto trhu podstatne viac hráčov (podobné riešenia má aj známy výrobca testovacích systémov firma IXIA), no o existencii takýchto zariadení vie stále len úzky okruh profesionálov. Ako je uvedené vyššie, dokonca ani terminológia nie je jasná: názvy siahajú od „systémov transparentnosti siete“ až po jednoducho „vyvažovače“.
Pri vývoji sieťových paketových brokerov sme sa stretávali s faktom, že okrem analýzy smerov vývoja funkčnosti a testovania v laboratóriách/testovacích zónach je potrebné zároveň potenciálnym spotrebiteľom vysvetliť existenciu tejto triedy zariadení, keďže nie každý o tom vie.
Len pred 15-20 rokmi bola v sieti nízka prevádzka a boli to väčšinou nedôležité údaje. ale prakticky sa opakuje : Rýchlosť internetového pripojenia sa každoročne zvyšuje o 50 %. Objem prevádzky tiež neustále rastie (graf ukazuje prognózu spoločnosti Cisco na rok 2017, zdroj Cisco Visual Networking Index: Forecast and Trends, 2017–2022):
Spolu s rýchlosťou rastie aj dôležitosť obehu informácií (ide o obchodné tajomstvo aj notoricky známe osobné údaje) a celkový výkon infraštruktúry.
V súlade s tým sa objavil priemysel informačnej bezpečnosti. Priemysel na to zareagoval vznikom celého radu zariadení na analýzu hlbokej návštevnosti (DPI): od systémov prevencie útokov DDOS po systémy správy udalostí informačnej bezpečnosti vrátane IDS, IPS, DLP, NBA, SIEM, Antimailware atď. Každý z týchto nástrojov je zvyčajne softvér nainštalovaný na serverovej platforme. Okrem toho je každý program (analytický nástroj) nainštalovaný na vlastnej serverovej platforme: výrobcovia softvéru sú rôzni a analýza na L7 vyžaduje veľa výpočtových zdrojov.
Pri budovaní systému informačnej bezpečnosti je potrebné vyriešiť niekoľko hlavných problémov:
- ako preniesť prevádzku z infraštruktúry do analytických systémov? (Porty SPAN pôvodne vyvinuté na tento účel v modernej infraštruktúre nie sú dostatočné ani z hľadiska množstva, ani výkonu)
- ako rozdeliť prevádzku medzi rôzne analytické systémy?
- ako škálovať systémy, keď výkon jednej inštancie analyzátora nestačí na spracovanie celého objemu návštevnosti, ktorá do nej vstupuje?
- ako monitorovať rozhrania 40G/100G (a v blízkej budúcnosti 200G/400G), keďže analytické nástroje v súčasnosti podporujú iba rozhrania 1G/10G/25G?
A nasledujúce súvisiace úlohy:
- Ako môžeme minimalizovať necielenú návštevnosť, ktorá nemusí byť spracovaná, ale dostane sa k analytickým nástrojom a spotrebúva ich zdroje?
- Ako spracovať zapuzdrené pakety a pakety so servisnými štítkami zariadení, ktorých príprava na analýzu je buď náročná na zdroje, alebo sa vôbec nedá implementovať?
- ako z analýzy vylúčiť časť prevádzky, ktorá nie je regulovaná bezpečnostnou politikou (napríklad návštevnosť manažéra).
Ako každý vie, dopyt vytvára ponuku a v reakcii na tieto potreby sa začali vyvíjať sprostredkovatelia sieťových paketov.
Všeobecný popis sprostredkovateľov sieťových paketov
Sprostredkovatelia sieťových paketov fungujú na úrovni paketov a týmto spôsobom sú podobní bežným prepínačom. Hlavný rozdiel od prepínačov spočíva v tom, že pravidlá pre distribúciu a agregáciu prevádzky v sieťových sprostredkovateľoch paketov sú úplne určené nastaveniami. Sprostredkovatelia sieťových paketov nemajú štandardy na vytváranie preposielacích tabuliek (MAC tabuliek) a výmenných protokolov s inými prepínačmi (napríklad STP), a preto je rozsah možných nastavení a chápaných polí v nich oveľa širší. Sprostredkovateľ môže rovnomerne distribuovať prevádzku z jedného alebo viacerých vstupných portov do určeného rozsahu výstupných portov pomocou funkcie vyrovnávania výstupnej záťaže. Môžete nastaviť pravidlá pre kopírovanie, filtrovanie, klasifikáciu, deduplikáciu a úpravu návštevnosti. Tieto pravidlá možno aplikovať na rôzne skupiny vstupných portov sieťového sprostredkovateľa paketov a možno ich aplikovať aj postupne jeden po druhom v samotnom zariadení. Dôležitou výhodou paketového makléra je schopnosť spracovať prevádzku pri plnom prietoku a zachovať integritu relácií (v prípade vyrovnávania prevádzky na niekoľko DPI systémov rovnakého typu).
Udržiavanie integrity relácie zahŕňa prenos všetkých paketov relácie transportnej vrstvy (TCP/UDP/SCTP) na jeden port. Je to dôležité, pretože systémy DPI (zvyčajne softvér bežiaci na serveri pripojenom k výstupnému portu sprostredkovateľa paketov) analyzujú obsah prevádzky na úrovni aplikácie a všetky pakety odoslané/prijaté jednou aplikáciou musia doraziť do rovnakej inštancie analyzátora. Ak sa pakety z tej istej relácie stratia alebo rozdelia medzi rôzne zariadenia DPI, potom sa každé jednotlivé zariadenie DPI ocitne v situácii podobnej čítaniu nie celého textu, ale jednotlivých slov z neho. A s najväčšou pravdepodobnosťou nebude text pochopený.
Sprostredkovatelia sieťových paketov, ktorí sa zameriavajú na systémy informačnej bezpečnosti, majú funkcie, ktoré pomáhajú pripojiť softvérové systémy DPI k vysokorýchlostným telekomunikačným sieťam a znižujú ich zaťaženie: vykonávajú predbežné filtrovanie, klasifikáciu a prípravu prevádzky, aby sa zjednodušilo následné spracovanie.
Navyše, keďže sieťoví sprostredkovatelia paketov vytvárajú široké spektrum štatistík a sú často prepojení s rôznymi bodmi v sieti, svoje miesto nachádzajú aj pri diagnostike problémov s výkonom samotnej sieťovej infraštruktúry.
Základné funkcie sieťových paketových brokerov
Názov „špecializované/monitorovacie prepínače“ vznikol zo základného účelu: zhromažďovať prevádzku z infraštruktúry (zvyčajne pomocou pasívnych optických spojok TAP a/alebo SPAN portov) a distribuovať ju medzi analytické nástroje. Prevádzka je zrkadlená (duplikovaná) medzi systémami rôznych typov a vyvážená medzi systémami rovnakého typu. Základné funkcie zvyčajne zahŕňajú filtrovanie podľa polí až do L4 (MAC, IP, TCP/UDP port a pod.) a agregáciu niekoľkých málo zaťažených kanálov do jedného (napríklad pre spracovanie na jednom DPI systéme).
Táto funkcionalita poskytuje riešenie základnej úlohy pripojenia DPI systémov k sieťovej infraštruktúre. Brokeri rôznych výrobcov, obmedzení na základnú funkcionalitu, poskytujú spracovanie až 32 100G rozhraní na 1U (viac rozhraní sa fyzicky nezmestí na predný panel 1U). Neznižujú však zaťaženie analytických nástrojov a pre komplexnú infraštruktúru nemôžu poskytnúť ani požiadavky na základnú funkciu: relácia distribuovaná cez niekoľko tunelov (alebo vybavená MPLS tagmi) sa môže stať nevyváženou medzi rôznymi inštanciami analyzátora a vo všeobecnosti vypadnúť z analýzy.
Okrem pridávania rozhraní 40/100G a v dôsledku toho zvyšovania výkonu sa sieťoví sprostredkovatelia paketov aktívne rozvíjajú z hľadiska poskytovania zásadne nových možností: od vyvažovania založeného na vnorených hlavičkách tunelov až po dešifrovanie prevádzky. Takéto modely sa, žiaľ, nemôžu pochváliť výkonom v terabitoch, umožňujú vám však vybudovať skutočne kvalitný a technicky „krásny“ systém informačnej bezpečnosti, v ktorom každý analytický nástroj zaručene dostane len tie informácie, ktoré potrebuje v najvhodnejšej forme. na analýzu.
Pokročilé funkcie sprostredkovateľa sieťových paketov
1. Spomenuté vyššie vyvažovanie na základe vnorených hlavičiek v tunelovanej prevádzke.
Prečo je to dôležité? Pozrime sa na 3 aspekty, ktoré môžu byť kritické spolu alebo oddelene:
- zabezpečenie rovnomerného vyváženia v prítomnosti malého počtu tunelov. Ak sú na pripojovacom bode systémov informačnej bezpečnosti len 2 tunely, tak ich nebude možné vyvážiť podľa externých hlavičiek na 3 serverových platformách pri zachovaní relácie. Prevádzka v sieti je zároveň prenášaná nerovnomerne a nasmerovanie každého tunela do samostatného spracovateľského zariadenia si bude vyžadovať nadmerný výkon tohto zariadenia;
- zabezpečenie integrity relácií a tokov multisessionových protokolov (napríklad FTP a VoIP), ktorých pakety končili v rôznych tuneloch. Zložitosť sieťovej infraštruktúry sa neustále zvyšuje: redundancia, virtualizácia, zjednodušenie správy a pod. Na jednej strane to zvyšuje spoľahlivosť z hľadiska prenosu dát, na druhej strane to komplikuje prevádzku systémov informačnej bezpečnosti. Aj keď majú analyzátory dostatočný výkon na spracovanie vyhradeného kanála s tunelmi, problém sa ukáže ako neriešiteľný, pretože niektoré pakety užívateľskej relácie sa prenášajú cez iný kanál. Navyše, zatiaľ čo sa niektoré infraštruktúry stále snažia postarať sa o integritu relácií, protokoly s viacerými reláciami sa môžu uberať úplne odlišnými cestami;
- vyvažovanie v prítomnosti MPLS, VLAN, jednotlivých značiek zariadení atď. Nie sú to síce tunely, ale zariadenia so základnou funkcionalitou môžu túto prevádzku chápať ako niečo iné ako IP a vyvažovať ju na základe MAC adries, čím opäť porušujú jednotnosť vyvažovania alebo integritu relácií.
Sprostredkovateľ sieťových paketov analyzuje externé hlavičky a postupne sleduje ukazovatele až po vnorenú hlavičku IP a balansuje na nej. Výsledkom je výrazne viac tokov (v súlade s tým môže byť nevyvážený rovnomernejšie a na väčšom počte platforiem) a systém DPI prijíma všetky pakety relácie a všetky súvisiace relácie protokolov s viacerými relácie.
2. Úprava dopravy.
Jedna z najširších funkcií z hľadiska svojich možností, existuje veľa podfunkcií a možností ich aplikácie:
- vymazanie užitočného zaťaženia, v tomto prípade sa do analytického nástroja prenesú iba hlavičky paketov. To je relevantné pre analytické nástroje alebo pre typy prevádzky, pri ktorých na obsahu paketov nezáleží alebo ho nemožno analyzovať. Napríklad pri šifrovanej prevádzke môžu byť zaujímavé údaje o parametrickej výmene (kto, s kým, kedy a koľko), ale užitočné zaťaženie je v skutočnosti odpad, ktorý zaberá kanál a výpočtové zdroje analyzátora. Variácie sú možné, keď je užitočné zaťaženie orezané od daného posunu – to poskytuje dodatočný priestor pre analytické nástroje;
- detunelovanie, menovite odstraňovanie hlavičiek označujúcich a identifikujúcich tunely. Cieľom je znížiť zaťaženie analytických nástrojov a zvýšiť ich efektivitu. Detunelovanie môže byť založené na pevnom posune alebo s dynamickou analýzou hlavičky a určením posunu pre každý paket;
- odstránenie časti hlavičiek paketov: MPLS tagy, VLAN, špecifické polia zariadení tretích strán;
- maskovanie časti hlavičiek, napríklad maskovanie IP adries na zabezpečenie anonymizácie prevádzky;
- pridanie informácií o službe do paketu: časová značka, vstupný port, označenie triedy prevádzky atď.
3. Deduplikácia – čistenie duplicitných paketov prenosu do analytických nástrojov. Duplicitné pakety najčastejšie vznikajú kvôli povahe pripojenia k infraštruktúre – prevádzka môže prechádzať cez niekoľko analytických bodov a z každého z nich môže byť zrkadlená. Opätovné odosielanie neúspešných TCP paketov je tiež bežné, ale ak ich je veľa, potom ide skôr o problémy súvisiace s monitorovaním kvality siete, než informačnou bezpečnosťou v nej.
4. Pokročilé funkcie filtrovania – od hľadania konkrétnych hodnôt pri danom offsete až po analýzu podpisov celého paketu.
5. Generovanie NetFlow/IPFIX – zber širokej škály štatistických údajov o prechádzajúcej premávke a jej prenos do analytických nástrojov.
6. Dešifrovanie prenosu SSL, funguje za predpokladu, že certifikát a kľúče sa najskôr načítajú do sprostredkovateľa sieťových paketov. To vám však umožňuje výrazne odľahčiť analytické nástroje.
Funkcií, užitočných aj marketingových, je oveľa viac, no tie hlavné sú zrejme uvedené.
Vývoj detekčných systémov (vniknutia, DDOS útoky) na systémy na ich predchádzanie, ako aj zavedenie aktívnych nástrojov DPI si vyžiadali zmenu schémy prepínania z pasívnych (cez TAP alebo SPAN porty) na aktívne (“in the gap” “). Táto okolnosť zvýšila požiadavky na spoľahlivosť (keďže porucha v tomto prípade vedie k narušeniu celej siete a nielen k strate kontroly nad informačnou bezpečnosťou) a viedla k nahradeniu optických spojok za optický bypass (vyriešenie problému tzv. závislosť prevádzkyschopnosti siete od prevádzkyschopnosti systémov informačnej bezpečnosti), ale hlavná funkčnosť a požiadavky na ňu zostávajú rovnaké.
Vyvinuli sme DS Integrity Network Packet Brokers s rozhraniami 100G, 40G a 10G od návrhu a návrhu obvodov až po firmvér. Navyše, na rozdiel od iných maklérov paketov, funkcie modifikácie a vyvažovania vnorených hlavičiek tunelov sú implementované v hardvéri pri plnej rýchlosti portu.
Zdroj: hab.com