Informacijska varnost se je od telekomunikacij ločila v samostojno panogo s svojo specifiko in lastno opremo. Obstaja pa malo znan razred naprav, ki stoji na stičišču telekomunikacij in infobeza – posredniki omrežnih paketov (Network Packet Broker), so tudi izenačevalniki obremenitve, specializirana/nadzorna stikala, zbiralniki prometa, varnostna platforma za dostavo, vidnost omrežja in tako naprej. In mi, kot ruski razvijalec in proizvajalec takšnih naprav, vam resnično želimo povedati več o njih.
Obseg in naloge, ki jih je treba rešiti
Omrežni posredniki paketov so specializirane naprave, ki so našle največjo uporabo v sistemih informacijske varnosti. Kot tak je razred naprav razmeroma nov in malo v skupni omrežni infrastrukturi v primerjavi s stikali, usmerjevalniki itd. Pionir pri razvoju tovrstnih naprav je bilo ameriško podjetje Gigamon. Trenutno je na tem trgu bistveno več igralcev (vključno s podobnimi rešitvami priznanega proizvajalca testnih sistemov IXIA), a za obstoj tovrstnih naprav še vedno ve le ozek krog strokovnjakov. Kot je navedeno zgoraj, tudi pri terminologiji ni nedvoumne gotovosti: imena segajo od "sistemov preglednosti omrežja" do preprostih "uravnotežilcev".
Pri razvoju omrežnih paketnih posrednikov smo se soočili z dejstvom, da je poleg analize smeri razvoja funkcionalnosti in testiranja v laboratorijih/testnih območjih potrebno potencialnim potrošnikom hkrati razložiti obstoj tega razreda opreme. , saj vsi ne vedo za to.
Še pred 15-20 leti je bilo na omrežju malo prometa in to so bili večinoma nepomembni podatki. Ampak praktično ponavlja : Hitrost internetne povezave se vsako leto poveča za 50 %. Tudi obseg prometa vztrajno narašča (graf prikazuje napoved Cisca za leto 2017, vir Cisco Visual Networking Index: Forecast and Trends, 2017–2022):
Skupaj s hitrostjo se povečujeta pomen kroženja informacij (to so tako poslovna skrivnost kot zloglasni osebni podatki) in celotna zmogljivost infrastrukture.
V skladu s tem se je pojavila industrija informacijske varnosti. Industrija se je na to odzvala s celo vrsto naprav za analizo prometa (DPI), od sistemov za preprečevanje napadov DDOS do sistemov za upravljanje dogodkov v zvezi z informacijsko varnostjo, vključno z IDS, IPS, DLP, NBA, SIEM, Antimailware in tako naprej. Običajno je vsako od teh orodij programska oprema, ki je nameščena na strežniško platformo. Poleg tega je vsak program (orodje za analizo) nameščen na svoji strežniški platformi: proizvajalci programske opreme so različni in za analizo na L7 je potrebnih veliko računalniških virov.
Pri izgradnji sistema informacijske varnosti je potrebno rešiti vrsto osnovnih nalog:
- kako prenesti promet iz infrastrukture v sisteme za analizo? (vrata SPAN, ki so bila prvotno razvita za to v sodobni infrastrukturi, ne zadostujejo niti po količini niti po zmogljivosti)
- kako porazdeliti promet med različnimi sistemi za analizo?
- kako povečati sisteme, če ni dovolj zmogljivosti ene instance analizatorja za obdelavo celotne količine prometa, ki vstopa vanj?
- kako nadzirati vmesnike 40G/100G (in v bližnji prihodnosti tudi 200G/400G), saj orodja za analizo trenutno podpirajo samo vmesnike 1G/10G/25G?
In naslednje povezane naloge:
- kako minimizirati neprimeren promet, ki ga ni treba obdelati, pride pa do orodij za analizo in porablja njihova sredstva?
- kako obdelati enkapsulirane pakete in pakete s servisnimi oznakami strojne opreme, katerih priprava na analizo se izkaže za zahtevno ali pa sploh neizvedljivo?
- kako iz analize izločiti del prometa, ki ni urejen z varnostno politiko (npr. promet glave).
Kot vsi vemo, povpraševanje ustvarja ponudbo, kot odgovor na te potrebe so se začeli razvijati posredniki omrežnih paketov.
Splošni opis posrednikov omrežnih paketov
Omrežni posredniki paketov delujejo na ravni paketov in so v tem podobni običajnim stikalom. Glavna razlika od stikal je, da so pravila za distribucijo in združevanje prometa v posrednikih omrežnih paketov popolnoma določena z nastavitvami. Omrežni paketni posredniki nimajo standardov za gradnjo tabel za posredovanje (MAC tabele) in protokolov za izmenjavo z drugimi stikali (kot je STP), zato je nabor možnih nastavitev in razumljivih polj v njih veliko širši. Posrednik lahko enakomerno porazdeli promet iz enega ali več vhodnih vrat v določen obseg izhodnih vrat s funkcijo uravnoteženja izhodne obremenitve. Nastavite lahko pravila za kopiranje, filtriranje, razvrščanje, odstranjevanje podvojitev in spreminjanje prometa. Ta pravila je mogoče uporabiti za različne skupine vhodnih vrat posrednika omrežnih paketov, pa tudi uporabiti zaporedno enega za drugim v sami napravi. Pomembna prednost paketnega posrednika je zmožnost obdelave prometa pri polnem pretoku in ohranjanje celovitosti sej (v primeru uravnoteženja prometa na več sistemov DPI istega tipa).
Ohranjanje celovitosti sej pomeni prenos vseh paketov seje transportnega sloja (TCP / UDP / SCTP) na ena vrata. To je pomembno, ker sistemi DPI (običajno programska oprema, ki se izvaja na strežniku, povezanem z izhodnimi vrati paketnega posrednika) analizirajo vsebino prometa na ravni aplikacije in morajo vsi paketi, ki jih pošlje/prejme ena aplikacija, prispeti na isto instanco analizator . Če se paketi ene seje izgubijo ali porazdelijo med različne naprave DPI, bo vsaka posamezna naprava DPI v situaciji, ki je podobna branju ne celotnega besedila, temveč posameznih besed iz njega. In najverjetneje besedilo ne bo razumelo.
Ker so osredotočeni na sisteme informacijske varnosti, imajo posredniki omrežnih paketov funkcionalnost, ki pomaga povezati programske sisteme DPI s hitrimi telekomunikacijskimi omrežji in zmanjšati njihovo obremenitev: vnaprej filtrirajo, razvrščajo in pripravljajo promet za poenostavitev nadaljnje obdelave.
Poleg tega posredniki omrežnih paketov zagotavljajo široko paleto statističnih podatkov in so pogosto povezani z različnimi točkami v omrežju, najdejo svoje mesto tudi pri diagnosticiranju zdravstvenih težav same omrežne infrastrukture.
Osnovne funkcije omrežnih paketnih posrednikov
Ime "dedicated/monitoring switches" je nastalo iz osnovnega namena: zbiranje prometa iz infrastrukture (običajno z uporabo pasivnih optičnih TAP priključkov in/ali SPAN vrat) in porazdelitev med analitična orodja. Promet je zrcaljen (podvojen) med sistemi različnih vrst in uravnotežen med sistemi iste vrste. Osnovne funkcije običajno vključujejo filtriranje po poljih do L4 (MAC, IP, TCP / UDP port itd.) in združevanje več malo obremenjenih kanalov v enega (na primer za obdelavo na enem sistemu DPI).
Ta funkcionalnost omogoča rešitev osnovne naloge - povezovanje DPI sistemov z omrežno infrastrukturo. Posredniki različnih proizvajalcev, omejeni na osnovno funkcionalnost, zagotavljajo obdelavo do 32 vmesnikov 100G na 1U (več vmesnikov se fizično ne prilega sprednji plošči 1U). Vendar pa ne omogočajo zmanjšanja obremenitve orodij za analizo, za kompleksno infrastrukturo pa ne morejo zagotoviti niti zahtev za osnovno funkcijo: seja, porazdeljena v več predorih (ali opremljena z oznakami MPLS), je lahko neuravnotežena za različne primere analizatorja in na splošno izpadejo iz analize.
Poleg dodajanja vmesnikov 40/100G in posledično izboljšanja zmogljivosti se posredniki omrežnih paketov aktivno razvijajo v smislu zagotavljanja popolnoma novih funkcij: od uravnoteženja na ugnezdenih glavah tunelov do dešifriranja prometa. Na žalost se takšni modeli ne morejo pohvaliti z zmogljivostjo v terabitih, vendar omogočajo izgradnjo res kakovostnega in tehnično »lepega« informacijsko-varnostnega sistema, v katerem bo vsako analitično orodje zagotovljeno prejelo le tiste informacije, ki jih potrebuje, v obliki, ki mu najbolj ustreza. za analizo.
Napredne funkcije posrednikov omrežnih paketov
1. Zgoraj omenjeno ugnezdeno uravnoteženje glave v prometu v tunelih.
Zakaj je pomembno? Upoštevajte 3 vidike, ki so lahko kritični skupaj ali ločeno:
- zagotavljanje enotnega uravnoteženja v prisotnosti majhnega števila tunelov. V primeru, da sta na točki povezave informacijsko varnostnih sistemov samo 2 tunela, jih ne bo mogoče razravnotežiti z zunanjimi glavami na 3 strežniških platformah ob vzdrževanju seje. Hkrati se promet v omrežju prenaša neenakomerno, usmeritev vsakega tunela v ločen predelovalni objekt pa bo zahtevala pretirano zmogljivost slednjega;
- zagotavljanje integritete sej in tokov večsejnih protokolov (na primer FTP in VoIP), katerih paketi so končali v različnih tunelih. Kompleksnost omrežne infrastrukture se nenehno povečuje: redundanca, virtualizacija, poenostavitev administracije ipd. Po eni strani to poveča zanesljivost v smislu prenosa podatkov, po drugi strani pa oteži delo informacijsko varnostnih sistemov. Tudi pri zadostni zmogljivosti analizatorjev za obdelavo namenskega kanala s tuneli se težava izkaže za nerešljivo, saj se nekateri paketi uporabniške seje prenašajo po drugem kanalu. Poleg tega, če še vedno poskušajo skrbeti za integriteto sej v nekaterih infrastrukturah, potem lahko gredo protokoli za več sej popolnoma drugačne poti;
- uravnoteženje v prisotnosti MPLS, VLAN, posameznih oznak opreme itd. Res ne predori, vendar lahko oprema z osnovno funkcionalnostjo razume ta promet ne kot IP in ravnotežje po naslovih MAC, kar ponovno krši enotnost uravnoteženja ali celovitosti seje.
Posrednik omrežnih paketov razčleni zunanje glave in zaporedoma sledi kazalcem do ugnezdene glave IP in uravnoteži že na njej. Posledično je tokov bistveno več (oziroma je lahko bolj enakomerno neuravnotežen in na večjem številu platform), sistem DPI pa sprejema vse sejne pakete in vse pripadajoče seje večsejnih protokolov.
2. Sprememba prometa.
Ena najširših funkcij v smislu svojih zmogljivosti, število podfunkcij in možnosti za njihovo uporabo je veliko:
- odstranjevanje koristnega tovora, v tem primeru se razčlenjevalniku posredujejo samo glave paketov. To je pomembno za orodja za analizo ali za vrste prometa, pri katerih vsebina paketov ne igra vloge ali je ni mogoče analizirati. Na primer, za šifriran promet so lahko zanimivi podatki o parametrični izmenjavi (kdo, s kom, kdaj in koliko), medtem ko je tovor pravzaprav smeti, ki zasedajo kanal in računalniške vire analizatorja. Spremembe so možne, ko je koristni tovor odrezan od danega odmika - to zagotavlja dodaten obseg za orodja za analizo;
- detuneliranje, in sicer odstranitev glav, ki označujejo in identificirajo predore. Cilj je zmanjšati obremenitev orodij za analizo in povečati njihovo učinkovitost. Detuneliranje lahko temelji na analizi fiksnega odmika ali dinamične glave in določitvi odmika za vsak paket;
- odstranitev nekaterih glav paketov: oznake MPLS, VLAN, posebna polja opreme tretjih oseb;
- maskiranje dela glav, na primer maskiranje naslovov IP za zagotovitev anonimizacije prometa;
- dodajanje servisnih informacij v paket: časovni žigi, vhodna vrata, oznake prometnih razredov itd.
3. Deduplikacija – čiščenje ponavljajočih se prometnih paketov, posredovanih orodjem za analizo. Podvojeni paketi se najpogosteje pojavijo zaradi posebnosti povezovanja z infrastrukturo - promet lahko prehaja skozi več točk analize in se zrcali iz vsake od njih. Obstaja tudi ponovno pošiljanje nepopolnih TCP paketov, če pa jih je veliko, so to bolj vprašanja za spremljanje kakovosti omrežja in ne za informacijsko varnost v njem.
4. Napredne funkcije filtriranja – od iskanja specifičnih vrednosti pri danem odmiku do analize podpisa v celotnem paketu.
5. Generacija NetFlow/IPFIX – zbiranje najrazličnejših statističnih podatkov o prehodnem prometu in njihov prenos v orodja za analizo.
6. Dešifriranje SSL prometa, deluje pod pogojem, da se potrdilo in ključi najprej naložijo v omrežni paketni posrednik. Kljub temu vam to omogoča znatno razbremenitev orodij za analizo.
Obstaja veliko več funkcij, uporabnih in tržnih, vendar so morda glavne naštete.
Razvoj sistemov za zaznavanje (vdorov, DDOS napadov) v sisteme za njihovo preprečevanje ter uvedba aktivnih DPI orodij je zahteval spremembo preklopne sheme iz pasivne (prek vrat TAP ali SPAN) v aktivno (»in break«) ). Ta okoliščina je povečala zahteve po zanesljivosti (ker okvara v tem primeru vodi do motenj v celotnem omrežju in ne le do izgube nadzora nad informacijsko varnostjo) in privedla do zamenjave optičnih spojnikov z optičnimi obvodi (da bi rešiti problem odvisnosti delovanja omrežja od delovanja informacijske varnosti sistemov), vendar so glavna funkcionalnost in zahteve zanj ostale enake.
Razvili smo omrežne paketne posrednike DS Integrity z vmesniki 100G, 40G in 10G od zasnove in vezja do vdelane programske opreme. Poleg tega so za razliko od drugih paketnih posrednikov funkcije spreminjanja in uravnoteženja za ugnezdene glave tunelov implementirane v naši strojni opremi pri polni hitrosti vrat.
Vir: www.habr.com