ProHoster > Blog > Administrasi > Solusi modern pikeun ngawangun sistem kaamanan inpormasi - calo pakét jaringan (Jaringan Packet Broker)

Solusi modern pikeun ngawangun sistem kaamanan inpormasi - calo pakét jaringan (Jaringan Packet Broker)

Kaamanan inpormasi parantos dipisahkeun tina telekomunikasi janten industri mandiri kalayan spésifikna sareng alatna nyalira. Tapi aya kelas alat anu teu dipikanyaho anu nangtung di simpang telekomunikasi sareng kaamanan inpormasi - calo pakét jaringan (Jaringan Packet Broker), ogé katelah penyeimbang beban, saklar khusus/monitor, agrégator lalu lintas, Platform Pangiriman Kaamanan, Visibilitas Jaringan, sareng sajabana. Sareng kami, salaku pamekar Rusia sareng produsén alat-alat sapertos kitu, hoyong nyarios langkung seueur ngeunaan éta.

Solusi modern pikeun ngawangun sistem kaamanan inpormasi - calo pakét jaringan (Jaringan Packet Broker)

Ruang lingkup sareng tugas anu kedah direngsekeun

Calo pakét jaringan mangrupikeun alat khusus anu mendakan aplikasi anu paling hébat dina sistem kaamanan inpormasi. Sapertos kitu, kelas alat ieu kawilang énggal sareng alit dina infrastruktur jaringan mainstream dibandingkeun saklar, router, jsb. Pelopor dina pamekaran alat ieu mangrupikeun perusahaan Amérika Gigamon. Ayeuna, langkung seueur pamaén di pasar ieu (kalebet produsén sistem tés anu terkenal, perusahaan IXIA, gaduh solusi anu sami), tapi ngan ukur bunderan profésional anu sempit anu masih terang ngeunaan ayana alat sapertos kitu. Sakumaha anu kacatet di luhur, bahkan terminologina henteu écés: nami dibasajankeun "sistem transparansi jaringan" dugi ka "panimbang".

Nalika ngembangkeun calo pakét jaringan, kami disanghareupan kanyataan yén, sajaba ti analisa arah pikeun pamekaran fungsionalitas sareng uji di laboratorium / zona uji, perlu sakaligus ngajelaskeun ka konsumén poténsial ngeunaan ayana kelas alat ieu. sabab teu sadaya jelema weruh ngeunaan eta.

Ngan 15-20 sababaraha taun ka pengker aya saeutik lalulintas dina jaringan, sarta éta lolobana data teu penting. Tapi hukum Nielsen urang praktis repeats hukum Moore urang: Kagancangan sambungan Internet naek taunan ku 50%. Volume lalu lintas ogé terus ningkat (grafik nunjukkeun ramalan 2017 ti Cisco, sumber Cisco Visual Networking Index: Forecast and Trends, 2017–2022):

Solusi modern pikeun ngawangun sistem kaamanan inpormasi - calo pakét jaringan (Jaringan Packet Broker)
Kalayan lajuna, pentingna nyebarkeun inpormasi (ieu mangrupikeun rusiah dagang sareng data pribadi anu kasohor) sareng kinerja sakabéh infrastruktur naék.

Sasuai, industri kaamanan informasi mecenghul. Industri ngaréspon kana ieu kalayan munculna sajumlah alat analisis lalu lintas jero (DPI): ti sistem pencegahan serangan DDOS ka sistem manajemén acara kaamanan inpormasi, kalebet IDS, IPS, DLP, NBA, SIEM, Antimailware sareng anu sanésna. Biasana, unggal alat ieu dipasang parangkat lunak dina platform server. Leuwih ti éta, unggal program (alat analisis) dipasang dina platform server sorangan: pabrik software béda, jeung analisis dina L7 merlukeun loba sumberdaya komputasi.

Nalika ngawangun sistem kaamanan inpormasi, perlu pikeun ngajawab sababaraha masalah utama:

  • kumaha cara nransper lalu lintas tina infrastruktur ka sistem analisa? (Palabuhan SPAN mimitina dikembangkeun pikeun tujuan ieu dina infrastruktur modern henteu cekap boh dina kuantitas atanapi kinerja)
  • kumaha ngadistribusikaeun lalulintas antara sistem analisis béda?
  • Kumaha carana skala sistem nalika kinerja hiji conto analis teu cukup pikeun ngolah sakabéh volume lalulintas ngasupkeun éta?
  • kumaha ngawas 40G / 100G interfaces (jeung dina mangsa nu bakal datang 200G / 400G), saprak parabot analisis ayeuna ngan ngarojong 1G / 10G / 25G interfaces?

Sareng tugas anu aya hubunganana:

  • Kumaha urang bisa ngaleutikan lalulintas untargeted nu teu perlu diolah, tapi meunang kana parabot analisis jeung meakeun sumberdaya maranéhanana?
  • Kumaha cara ngolah pakét sareng pakét anu dibungkus nganggo tag jasa alat, persiapan anu pikeun analisa tétéla janten sumber daya-intensif atanapi teu mungkin pikeun dilaksanakeun?
  • kumaha carana ngaluarkeun tina analisis sababaraha lalulintas nu teu diatur ku kawijakan kaamanan (Contona, lalulintas manajer urang).

Solusi modern pikeun ngawangun sistem kaamanan inpormasi - calo pakét jaringan (Jaringan Packet Broker)
Sakumaha sadayana terang, paménta nyiptakeun suplai, sareng calo pakét jaringan mimiti ngembangkeun pikeun ngaréspon kabutuhan ieu.

Katerangan umum ngeunaan calo pakét jaringan

Calo pakét jaringan beroperasi dina tingkat pakét, sareng ku cara kieu aranjeunna sami sareng saklar biasa. Beda utama tina saklar nyaéta yén aturan pikeun distribusi lalu lintas sareng agrégasi dina calo pakét jaringan parantos ditangtukeun ku setélan. Calo pakét jaringan teu gaduh standar pikeun ngawangun tabel diteruskeun (tabel MAC) sareng protokol bursa sareng saklar anu sanés (sapertos STP), sareng ku kituna sauntuyan setélan anu mungkin sareng widang anu dipikaharti dina éta langkung lega. calo nu bisa merata ngadistribusikaeun lalulintas ti hiji atawa leuwih palabuhan input ka rentang dieusian port kaluaran kalawan fitur kaluaran beban balancing. Anjeun tiasa nyetél aturan pikeun nyalin, nyaring, klasifikasi, deduplikasi sareng modifikasi lalu lintas. aturan ieu bisa dilarapkeun ka grup béda tina pakét jaringan palabuhan input calo, sarta ogé bisa dilarapkeun sequentially hiji sanggeus sejen dina alat sorangan. Kauntungan penting tina calo pakét nyaéta kamampuan pikeun ngolah lalu lintas dina laju aliran pinuh sareng ngajaga integritas sesi (dina kasus nyaimbangkeun lalu lintas ka sababaraha sistem DPI tina jinis anu sami).

Ngajaga integritas sési ngalibatkeun ngirimkeun sadaya pakét sési lapisan angkutan (TCP/UDP/SCTP) ka hiji port. Ieu penting sabab sistem DPI (biasana software dijalankeun dina server disambungkeun ka port kaluaran calo packet urang) nganalisis eusi lalulintas di tingkat aplikasi, sarta sakabeh pakét dikirim / ditampa ku hiji aplikasi kudu datangna dina conto analyzer sarua. Upami pakét tina sési anu sami leungit atanapi disebarkeun diantara alat-alat DPI anu béda, maka unggal alat DPI individu bakal mendakan diri dina kaayaan anu sami sareng maca sanés sadayana téks, tapi kecap-kecap individu ti dinya. Jeung, paling dipikaresep, téks moal dipikaharti.

Janten, fokus kana sistem kaamanan inpormasi, calo pakét jaringan ngagaduhan fungsionalitas anu ngabantosan nyambungkeun sistem parangkat lunak DPI ka jaringan telekomunikasi anu gancang sareng ngirangan bebanna: aranjeunna ngalaksanakeun panyaring awal, klasifikasi sareng persiapan lalu lintas pikeun nyederhanakeun pamrosésan salajengna.

Salaku tambahan, saprak calo pakét jaringan ngahasilkeun rupa-rupa statistik sareng sering dihubungkeun sareng sababaraha titik dina jaringan, aranjeunna ogé mendakan tempatna nalika ngadiagnosa masalah sareng kinerja infrastruktur jaringan sorangan.

Fungsi dasar calo pakét jaringan

Ngaran "specialized / ngawaskeun switch" timbul tina tujuan dasar: pikeun ngumpulkeun lalulintas ti infrastruktur (biasana ngagunakeun couplers optik pasip TAP na / atawa palabuhan SPAN) jeung ngadistribusikaeun eta diantara parabot analisis. Lalu lintas dicerminkeun (duplikat) antara sistem anu béda-béda, sareng saimbang antara sistem anu sami. fungsi dasar biasana ngawengku nyaring ku sawah nepi ka L4 (MAC, IP, TCP / port UDP, jsb) jeung aggregation tina sababaraha saluran enteng dimuat kana hiji (contona, pikeun ngolah dina hiji sistem DPI).

Fungsionalitas ieu nyayogikeun solusi pikeun tugas dasar pikeun nyambungkeun sistem DPI ka infrastruktur jaringan. Calo ti sagala rupa pabrik, dugi ka fungsionalitas dasar, nyadiakeun processing nepi ka 32 100G interfaces per 1U (leuwih interfaces teu fisik pas dina panel hareup 1U). Nanging, aranjeunna henteu ngirangan beban alat analisa, sareng pikeun infrastruktur anu kompleks aranjeunna henteu tiasa nyayogikeun syarat pikeun fungsi dasar: sési anu disebarkeun dina sababaraha torowongan (atanapi dilengkepan tag MPLS) tiasa henteu saimbang diantara instansi analisa anu béda sareng umumna. ragrag kaluar analisis.

Salian nambahkeun interfaces 40/100G jeung, salaku hasilna, ngaronjatkeun kinerja, calo packet jaringan aktip ngamekarkeun dina hal nyadiakeun kamampuhan fundamentally anyar: ti balancing dumasar kana headers torowongan nested pikeun dekripsi lalulintas. Hanjakalna, modél sapertos kitu henteu tiasa ngagungkeun kinerja dina terabits, tapi aranjeunna ngamungkinkeun anjeun ngawangun sistem kaamanan inpormasi anu leres-leres kualitasna sareng téknisna "geulis", dimana unggal alat analisa dijamin ngan ukur nampi inpormasi anu diperyogikeun dina bentuk anu paling cocog. pikeun analisis.

Canggih Network Packet Broker Fitur

Solusi modern pikeun ngawangun sistem kaamanan inpormasi - calo pakét jaringan (Jaringan Packet Broker)
1. Disebutkeun di luhur balancing dumasar kana headers nested di lalulintas tunneled.

Naha éta penting? Hayu urang nganggap 3 aspék anu tiasa kritis babarengan atanapi nyalira:

  • mastikeun balancing seragam ku ayana sajumlah leutik torowongan. Upami ngan ukur aya 2 torowongan dina titik sambungan sistem kaamanan inpormasi, maka éta moal mungkin pikeun teu saimbangna dumasar kana header éksternal dina 3 platform server bari ngajaga sési. Dina waktos anu sami, lalu lintas dina jaringan dikirimkeun sacara teu rata, sareng ngarahkeun unggal torowongan ka fasilitas pamrosésan anu misah ngabutuhkeun kinerja kaleuleuwihan anu terakhir;
  • mastikeun integritas sesi sareng aliran protokol multisession (contona, FTP sareng VoIP), pakét anu réngsé dina torowongan anu béda. Kompleksitas infrastruktur jaringan terus ningkat: redundansi, virtualisasi, nyederhanakeun administrasi, sareng sajabana. Di hiji sisi, ieu ngaronjatkeun reliabilitas dina hal pangiriman data, di sisi séjén, éta complicates operasi sistem kaamanan informasi. Sanaos analisa gaduh kamampuan anu cekap pikeun ngolah saluran khusus sareng torowongan, masalahna tétéla teu tiasa direngsekeun, sabab sababaraha pakét sési pangguna dikirimkeun kana saluran anu sanés. Leuwih ti éta, bari sababaraha infrastructures masih nyoba ngurus integritas sesi, protokol multisession tiasa nyandak jalur lengkep béda;
  • balancing ku ayana MPLS, VLAN, tag parabot individu, jsb. Teu persis torowongan, tapi kumaha oge, alat-alat nu mibanda pungsi dasar bisa ngarti lalulintas ieu salaku hal lian ti IP tur saimbangna dumasar kana alamat MAC, sakali deui violating uniformity of balancing atawa integritas sesi.

calo pakét jaringan parses lulugu éksternal sarta sequentially nuturkeun pointers nepi ka lulugu IP nested sarta kasaimbangan di dinya. Hasilna, aya aliran nyata leuwih (sakumaha, éta bisa jadi teu saimbang leuwih merata sarta dina jumlah badag platform), sarta sistem DPI narima sagala pakét sési jeung sakabéh sesi pakait tina protokol multisession.

2. modifikasi lalulintas.
Salah sahiji fungsi anu paling lega dina hal kamampuanna, aya seueur subfungsi sareng pilihan pikeun aplikasina:

  • ngahapus payload, dina hal ieu ngan lulugu pakét anu ditransfer ka alat analisis. Ieu relevan pikeun alat analisa atanapi kanggo jinis lalu lintas dimana eusi pakét henteu masalah atanapi henteu tiasa dianalisis. Contona, pikeun lalulintas énkripsi data bursa parametrik (saha, jeung saha, iraha jeung sabaraha) bisa jadi dipikaresep, tapi payload sabenerna sampah nu nyokot saluran jeung sumber komputasi analyzer nu. Variasi mungkin lamun payload ieu dipangkas mimitian ti offset dibikeun - ieu nyadiakeun wengkuan tambahan pikeun parabot analisis;
  • detunneling, nyaéta ngaleungitkeun header anu nunjukkeun sareng ngaidentipikasi torowongan. Tujuanana nyaéta pikeun ngirangan beban alat analisa sareng ningkatkeun efisiensina. Detunneling tiasa dumasar kana offset tetep atanapi nganggo analisis header dinamis sareng tekad offset pikeun unggal pakét;
  • nyoplokkeun bagian tina headers pakét: tag MPLS, VLAN, widang husus pakakas pihak-katilu;
  • masking bagian tina headers, contona, masking alamat IP pikeun mastikeun anonymization lalulintas;
  • nambahkeun informasi jasa kana pakét: timestamp, port input, labél kelas lalulintas, jsb.

3. Deduplikasi – meresihan pakét lalulintas duplikat dikirimkeun ka alat analisis. Duplikat pakét paling sering timbul alatan sipat sambungan kana infrastruktur - lalulintas bisa ngaliwatan sababaraha titik analisis sarta mirrored ti unggal sahijina. Ngirim ulang pakét TCP anu gagal ogé umum, tapi upami seueur di antarana, maka ieu langkung dipikaresep masalah anu aya hubunganana sareng ngawaskeun kualitas jaringan, tinimbang kaamanan inpormasi di jerona.

4. Fitur nyaring canggih - ti milarian nilai khusus dina offset anu dipasihkeun dugi ka analisa tandatangan sadaya pakét.

5. NetFlow / generasi IPFIX - kumpulan rupa-rupa statistik ngeunaan lalu lintas lalu lintas sareng transferna kana alat analisa.

6. Dekripsi lalulintas SSL, karya disadiakeun yén sertipikat jeung konci anu munggaran dimuat kana calo pakét jaringan. Tapi, ieu ngamungkinkeun anjeun sacara signifikan ngagentos alat analisa.

Aya seueur deui fungsi, mangpaat sareng pamasaran, tapi anu utama sigana didaptarkeun.

Ngembangkeun sistem deteksi (intrusions, serangan DDOS) kana sistem pikeun nyegah eta, kitu ogé bubuka parabot DPI aktip, diperlukeun parobahan dina skéma switching tina pasip (via TAP atanapi SPAN palabuhan) kana aktip ("dina celah". ”). Kaayaan ieu ningkatkeun sarat pikeun réliabilitas (sabab gagalna dina hal ieu nyababkeun gangguan dina sakumna jaringan, sareng henteu ngan ukur kaleungitan kontrol kaamanan inpormasi) sareng nyababkeun ngagantian pasangan optik kalayan bypass optik (pikeun ngabéréskeun masalah gumantungna operability jaringan dina operability kaamanan informasi sistem), tapi pungsionalitas utama jeung sarat pikeun eta tetep sarua.

Kami parantos ngembangkeun DS Integrity Network Packet Brokers sareng 100G, 40G sareng 10G interfaces tina desain sareng desain sirkuit pikeun firmware. Sumawona, teu sapertos calo pakét anu sanés, modifikasi sareng kasaimbangan fungsi header torowongan nested dilaksanakeun dina hardware, dina laju port pinuh.

Solusi modern pikeun ngawangun sistem kaamanan inpormasi - calo pakét jaringan (Jaringan Packet Broker)

sumber: www.habr.com

Tambahkeun komentar