Информациона безбедност се од телекомуникација издвојила у самосталну индустрију са својим специфичностима и сопственом опремом. Али постоји мало позната класа уређаја која стоји на споју телекома и инфобеза - брокери мрежних пакета (Нетворк Пацкет Брокер), они су такође балансери оптерећења, специјализовани/надзорни прекидачи, агрегатори саобраћаја, платформа за испоруку безбедности, видљивост мреже и тако даље. А ми, као руски програмер и произвођач таквих уређаја, заиста желимо да вам кажемо нешто више о њима.
Обим и задаци које треба решити
Брокери мрежних пакета су специјализовани уређаји који су нашли највећу примену у системима безбедности информација. Као таква, класа уређаја је релативно нова и малобројна у уобичајеној мрежној инфраструктури у поређењу са прекидачима, рутерима и тако даље. Пионир у развоју овог типа уређаја била је америчка компанија Гигамон. Тренутно је на овом тржишту знатно више играча (укључујући слична решења познатог произвођача тест система - ИКСИА), али само уски круг професионалаца још увек зна за постојање оваквих уређаја. Као што је горе наведено, чак ни са терминологијом нема недвосмислене сигурности: називи се крећу од „система транспарентности мреже“ до једноставних „балансера“.
Приликом развоја мрежних пакетних брокера, суочили смо се са чињеницом да је, поред анализе праваца развоја функционалности и тестирања у лабораторијама/тест зонама, неопходно истовремено објаснити потенцијалним потрошачима постојање ове класе опреме. , пошто не знају сви за то.
И пре 15-20 година на мрежи је било мало саобраћаја и то су углавном били неважни подаци. Али практично понавља : Брзина интернет везе се повећава за 50% годишње. Обим саобраћаја такође стално расте (графикон приказује прогнозу компаније Цисцо за 2017, извор Цисцо Висуал Нетворкинг Индек: Прогноза и трендови, 2017–2022):
Упоредо са брзином, повећава се и значај кружења информација (ово је и пословна тајна и озлоглашени лични подаци) и укупне перформансе инфраструктуре.
Сходно томе, појавила се индустрија информационе безбедности. Индустрија је на ово одговорила читавим низом уређаја за анализу саобраћаја (ДПИ), од система за превенцију ДДОС напада до система за управљање догађајима безбедности информација, укључујући ИДС, ИПС, ДЛП, НБА, СИЕМ, Антимаилваре и тако даље. Обично је сваки од ових алата софтвер који је инсталиран на серверској платформи. Штавише, сваки програм (алатка за анализу) је инсталиран на сопственој серверској платформи: произвођачи софтвера су различити, а за анализу на Л7 је потребно много рачунарских ресурса.
Приликом изградње система информационе безбедности потребно је решити низ основних задатака:
- како пренети саобраћај са инфраструктуре на системе анализе? (СПАН портови који су првобитно развијени за ово у модерној инфраструктури нису довољни ни по количини ни по перформансама)
- како дистрибуирати саобраћај између различитих система анализе?
- како скалирати системе када нема довољно перформанси једне инстанце анализатора да обради цео обим саобраћаја који улази у њега?
- како надгледати 40Г/100Г интерфејсе (а у блиској будућности и 200Г/400Г), пошто алати за анализу тренутно подржавају само 1Г/10Г/25Г интерфејсе?
И следећи сродни задаци:
- како минимизирати неприкладан саобраћај који не треба да се обрађује, али долази до алата за анализу и троши њихове ресурсе?
- како поступати са инкапсулираним пакетима и пакетима са хардверским услужним ознакама, чија припрема за анализу се испостави да је или захтевна за ресурсе или је уопште неостварљива?
- како из анализе искључити део саобраћаја који није регулисан безбедносном политиком (на пример саобраћај главе).
Као што сви знају, потражња ствара понуду, као одговор на ове потребе, почели су да се развијају брокери мрежних пакета.
Општи опис брокера мрежних пакета
Брокери мрежних пакета раде на нивоу пакета и по томе су слични обичним свичевима. Главна разлика од свичева је у томе што су правила за дистрибуцију и агрегацију саобраћаја у брокерима мрежних пакета у потпуности одређена подешавањима. Брокери мрежних пакета немају стандарде за прављење табела прослеђивања (МАЦ табеле) и протокола размене са другим прекидачима (као што је СТП), па је стога опсег могућих подешавања и разумљивих поља у њима много шири. Брокер може равномерно расподелити саобраћај са једног или више улазних портова на дати опсег излазних портова са функцијом балансирања излазног оптерећења. Можете поставити правила за копирање, филтрирање, класификацију, уклањање дупликата и модификовање саобраћаја. Ова правила се могу применити на различите групе улазних портова брокера мрежних пакета, као и да се примењују узастопно једно за другим у самом уређају. Важна предност пакетног посредника је могућност обраде саобраћаја пуном брзином протока и очувања интегритета сесија (у случају балансирања саобраћаја на неколико ДПИ система истог типа).
Очување интегритета сесија је преношење свих пакета сесије транспортног слоја (ТЦП / УДП / СЦТП) на један порт. Ово је важно јер ДПИ системи (обично софтвер који ради на серверу који је повезан са излазним портом посредника за пакете) анализирају садржај саобраћаја на нивоу апликације, а сви пакети које шаље/прими једна апликација морају стићи на исту инстанцу анализатор . Ако се пакети једне сесије изгубе или дистрибуирају између различитих ДПИ уређаја, онда ће сваки појединачни ДПИ уређај бити у ситуацији аналогној читању не целог текста, већ појединачних речи из њега. И, највероватније, текст неће разумети.
Стога, будући да су фокусирани на системе безбедности информација, брокери мрежних пакета имају функционалност која помаже у повезивању ДПИ софтверских система са телекомуникационим мрежама велике брзине и смањује оптерећење на њима: они унапред филтрирају, класификују и припремају саобраћај да би поједноставили накнадну обраду.
Поред тога, пошто брокери мрежних пакета пружају широк спектар статистичких података и често су повезани са различитим тачкама у мрежи, они такође налазе своје место у дијагностици здравствених проблема саме мрежне инфраструктуре.
Основне функције брокера мрежних пакета
Назив „наменски/мониторинг прекидачи“ је произашао из основне сврхе: прикупљања саобраћаја са инфраструктуре (обично коришћењем пасивних оптичких ТАП славина и/или СПАН портова) и дистрибуције између алата за анализу. Саобраћај се пресликава (дупликује) између система различитих типова и балансира између система истог типа. Основне функције обично укључују филтрирање по пољима до Л4 (МАЦ, ИП, ТЦП/УДП порт, итд.) и агрегацију неколико слабо оптерећених канала у један (на пример, за обраду на једном ДПИ систему).
Ова функционалност пружа решење основног задатка - повезивање ДПИ система са мрежном инфраструктуром. Брокери различитих произвођача, ограничени на основну функционалност, обезбеђују обраду до 32 100Г интерфејса по 1У (више интерфејса не стаје физички на 1У предњи панел). Међутим, они не дозвољавају смањење оптерећења алата за анализу, а за сложену инфраструктуру не могу чак ни да обезбеде захтеве за основну функцију: сесија дистрибуирана на неколико тунела (или опремљена МПЛС ознакама) може бити неуравнотежена за различите инстанце анализатор и генерално испадају из анализе.
Поред додавања 40/100Г интерфејса и, као резултат, побољшања перформанси, брокери мрежних пакета се активно развијају у смислу пружања фундаментално нових функција: од балансирања на угнежђеним заглављима тунела до дешифровања саобраћаја. Нажалост, такви модели се не могу похвалити перформансама у терабитима, али омогућавају изградњу заиста квалитетног и технички „прелепог“ система безбедности информација у којем сваки алат за анализу гарантовано добија само информације које су му потребне у најпогоднијем облику. за анализу.
Напредне функције брокера мрежних пакета
1. Горе поменути балансирање угнежђеног заглавља у тунелском саобраћају.
Зашто је важно? Размотрите 3 аспекта који могу бити критични заједно или одвојено:
- обезбеђивање равномерног балансирања у присуству малог броја тунела. У случају да постоје само 2 тунела на месту повезивања система информационе безбедности, тада их неће бити могуће дебалансирати екстерним заглављима на 3 серверске платформе уз одржавање сесије. Истовремено, саобраћај у мрежи се преноси неравномерно, а усмеравање сваког тунела ка посебном објекту за обраду захтеваће претеране перформансе овог другог;
- обезбеђивање интегритета сесија и токова вишесесијских протокола (на пример, ФТП и ВоИП), чији су пакети завршавали у различитим тунелима. Сложеност мрежне инфраструктуре се стално повећава: редундантност, виртуелизација, поједностављење администрације и тако даље. С једне стране, ово повећава поузданост у погледу преноса података, а са друге отежава рад система информационе безбедности. Чак и са довољним перформансама анализатора да обрађују наменски канал са тунелима, испоставља се да је проблем нерешив, пошто се неки од пакета корисничке сесије преносе преко другог канала. Штавише, ако и даље покушавају да воде рачуна о интегритету сесија у неким инфраструктурама, онда протоколи за више сесија могу да иду на потпуно различите начине;
- балансирање у присуству МПЛС, ВЛАН, појединачних ознака опреме итд. Не баш тунели, али ипак, опрема са основном функционалношћу може да разуме овај саобраћај не као ИП и баланс по МАЦ адресама, још једном нарушавајући униформност балансирања или интегритет сесије.
Брокер мрежних пакета анализира спољна заглавља и секвенцијално прати показиваче до угнежђеног ИП заглавља и већ балансира на њему. Као резултат тога, има знатно више токова (односно, може се равномерније избалансирати и на већем броју платформи), а ДПИ систем прима све пакете сесије и све повезане сесије мултисесијских протокола.
2. Модификација саобраћаја.
Једна од најширих функција у смислу својих могућности, број подфункција и опција за њихову употребу је много:
- уклањање корисног оптерећења, у ком случају се парсеру прослеђују само заглавља пакета. Ово је релевантно за алате за анализу или за типове саобраћаја у којима садржај пакета или не игра улогу или се не може анализирати. На пример, за шифровани саобраћај, подаци о параметарској размени (ко, са ким, када и колико) могу бити од интереса, док је корисни терет заправо смеће које заузима канал и рачунарске ресурсе анализатора. Варијације су могуће када се корисни терет одсече почевши од датог офсета – ово пружа додатни простор за алате за анализу;
- детунелирање, односно уклањање заглавља који означавају и идентификују тунеле. Циљ је смањење оптерећења алата за анализу и повећање њихове ефикасности. Детунелирање може бити засновано на фиксном помаку, или са динамичком анализом заглавља и одређивањем одступања на бази по пакету;
- уклањање неких заглавља пакета: МПЛС ознаке, ВЛАН, специфична поља опреме треће стране;
- маскирање дела заглавља, на пример, маскирање ИП адреса да би се обезбедила анонимност саобраћаја;
- додавање сервисних информација у пакет: временске ознаке, улазни порт, ознаке класе саобраћаја итд.
3. Дедупликација – чишћење понављајућих саобраћајних пакета који се преносе на алате за анализу. Дуплирани пакети се најчешће јављају због посебности повезивања на инфраструктуру – саобраћај може проћи кроз неколико тачака анализе и пресликати се из сваке од њих. Постоји и поновно слање некомплетних ТЦП пакета, али ако их има много, онда су то више питања за праћење квалитета мреже, а не за безбедност информација у њој.
4. Напредне функције филтрирања – од тражења специфичних вредности на датом офсету до анализе потписа у целом пакету.
5. НетФлов/ИПФИКС генерација – прикупљање широког спектра статистичких података о пролазном саобраћају и његово преношење у алате за анализу.
6. Дешифровање ССЛ саобраћаја, ради под условом да се сертификат и кључеви прво учитају у брокер мрежних пакета. Ипак, ово вам омогућава да значајно растеретите алате за анализу.
Постоји много више функција, корисних и маркетиншких, али главне су, можда, наведене.
Развој система детекције (упада, ДДОС напада) у системе за њихову превенцију, као и увођење активних ДПИ алата, захтевали су промену шеме пребацивања са пасивне (преко ТАП или СПАН портова) на активну („у паузи“). ). Ова околност је повећала захтеве за поузданошћу (јер квар у овом случају доводи до поремећаја целе мреже, а не само до губитка контроле над информационом безбедношћу) и довела до замене оптичких спојница оптичким бајпасима (како би се решити проблем зависности перформанси мреже од перформанси информационе безбедности система), али су главна функционалност и захтеви за њу остали исти.
Развили смо ДС Интегрити Нетворк Пацкет Брокерс са 100Г, 40Г и 10Г интерфејсима од дизајна и кола до уграђеног софтвера. Штавише, за разлику од других посредника пакета, функције модификације и балансирања за угнежђена заглавља тунела су имплементиране у нашем хардверу, при пуној брзини порта.
Извор: ввв.хабр.цом