Informationssäkerhet har separerats från telekommunikation till en oberoende industri med sina egna detaljer och egen utrustning. Men det finns en föga känd klass av enheter som står i korsningen mellan telekom och infobez - nätverkspaketförmedlare (Network Packet Broker), de är också lastbalanserare, specialiserade / övervakningsväxlar, trafikaggregatorer, Security Delivery Platform, Network Visibility och så vidare. Och vi, som en rysk utvecklare och tillverkare av sådana enheter, vill verkligen berätta mer om dem.
Omfattning och uppgifter som ska lösas
Nätverkspaketmäklare är specialiserade enheter som har funnit den största användningen i informationssäkerhetssystem. Som sådan är enhetsklassen relativt ny och få i vanlig nätverksinfrastruktur jämfört med switchar, routrar och så vidare. Pionjären i utvecklingen av denna typ av enhet var det amerikanska företaget Gigamon. För närvarande finns det betydligt fler aktörer på denna marknad (inklusive liknande lösningar från den välkända tillverkaren av testsystem - IXIA), men bara en smal krets av proffs vet fortfarande om förekomsten av sådana enheter. Som nämnts ovan, även med terminologin finns det ingen entydig säkerhet: namnen sträcker sig från "nätverkstransparenssystem" till enkla "balanserare".
När vi utvecklade nätverkspaketförmedlare stod vi inför det faktum att det, förutom att analysera anvisningarna för utveckling av funktionalitet och testning i laboratorier / testzoner, är nödvändigt att samtidigt förklara för potentiella konsumenter om förekomsten av denna klass av utrustning , eftersom inte alla vet om det.
Till och med för 15-20 år sedan var det lite trafik på nätet, och det var mestadels oviktig data. Men upprepas praktiskt taget : Internetanslutningshastigheten ökar med 50 % årligen. Trafikvolymen växer också stadigt (grafen visar 2017 års prognos från Cisco, källa Cisco Visual Networking Index: Forecast and Trends, 2017–2022):
Tillsammans med hastigheten ökar vikten av att cirkulera information (detta är både en affärshemlighet och ökända personuppgifter) och infrastrukturens övergripande prestanda.
Därför har informationssäkerhetsbranschen vuxit fram. Branschen har svarat på detta med en hel rad trafikanalysenheter (DPI), från DDOS-attackförebyggande system till informationssäkerhetshändelsehanteringssystem, inklusive IDS, IPS, DLP, NBA, SIEM, Antimailware och så vidare. Vanligtvis är vart och ett av dessa verktyg programvara som är installerad på en serverplattform. Dessutom är varje program (analysverktyg) installerat på sin egen serverplattform: mjukvarutillverkare är olika och det krävs mycket datorresurser för analys på L7.
När du bygger ett informationssäkerhetssystem är det nödvändigt att lösa ett antal grundläggande uppgifter:
- hur överför man trafik från infrastruktur till analyssystem? (SPAN-portarna som ursprungligen utvecklades för detta i modern infrastruktur räcker inte till varken i kvantitet eller prestanda)
- hur fördelar man trafik mellan olika analyssystem?
- hur skalar man system när det inte finns tillräckligt med prestanda för en instans av analysatorn för att bearbeta hela trafikvolymen som kommer in i den?
- hur övervakar man 40G/100G-gränssnitt (och inom en snar framtid även 200G/400G), eftersom analysverktyg för närvarande endast stöder 1G/10G/25G-gränssnitt?
Och följande relaterade uppgifter:
- hur minimerar man olämplig trafik som inte behöver bearbetas, men kommer till analysverktygen och förbrukar deras resurser?
- hur bearbetar man inkapslade paket och paket med hårdvarutjänstmärken, vars förberedelse för analys visar sig vara antingen resurskrävande eller orealiserbar överhuvudtaget?
- hur man från analysen utesluter en del av trafiken som inte regleras av säkerhetspolicyn (till exempel trafik av huvudet).
Som alla vet skapar efterfrågan utbud, som svar på dessa behov började nätverkspaketmäklare utvecklas.
Allmän beskrivning av Network Packet Brokers
Nätverkspaketmäklare arbetar på paketnivå, och i detta liknar de vanliga switchar. Den största skillnaden mot switchar är att reglerna för distribution och aggregering av trafik i nätverkspaketförmedlare helt bestäms av inställningarna. Nätverkspaketförmedlare har inga standarder för att bygga vidarebefordringstabeller (MAC-tabeller) och utbyta protokoll med andra switchar (som STP), och därför är utbudet av möjliga inställningar och begripliga fält i dem mycket bredare. En mäklare kan jämnt fördela trafik från en eller flera ingångsportar till ett givet intervall av utgångsportar med en utgångslastbalanseringsfunktion. Du kan ställa in regler för kopiering, filtrering, klassificering, deduplicering och modifiering av trafik. Dessa regler kan tillämpas på olika grupper av ingångsportar för nätverkspaketmäklaren, såväl som tillämpas sekventiellt efter varandra i själva enheten. En viktig fördel med en paketmäklare är förmågan att bearbeta trafik med full flödeshastighet och bevara integriteten för sessioner (vid balansering av trafik till flera DPI-system av samma typ).
Att bevara integriteten för sessionerna är att överföra alla paket av sessionen för transportlagret (TCP / UDP / SCTP) till en port. Detta är viktigt eftersom DPI-system (vanligtvis programvara som körs på en server ansluten till utgångsporten på en paketmäklare) analyserar innehållet i trafiken på applikationsnivå, och alla paket som skickas/mottas av en applikation måste komma till samma instans av analysator. Om paketen för en session går förlorade eller distribueras mellan olika DPI-enheter, kommer varje enskild DPI-enhet att befinna sig i en situation som är analog med att läsa inte en hel text, utan enskilda ord från den. Och, mest troligt, kommer inte texten att förstå.
Med fokus på informationssäkerhetssystem har nätverkspaketförmedlare funktionalitet som hjälper till att ansluta DPI-programvarusystem till höghastighetstelekommunikationsnätverk och minska belastningen på dem: de förfiltrerar, klassificerar och förbereder trafik för att förenkla efterföljande bearbetning.
Dessutom, eftersom nätverkspaketförmedlare tillhandahåller ett brett utbud av statistik och ofta är anslutna till olika punkter i nätverket, hittar de också sin plats för att diagnostisera hälsoproblem i själva nätverksinfrastrukturen.
Grundläggande funktioner för Network Packet Brokers
Namnet "dedikerade/övervakande switchar" uppstod från det grundläggande syftet: att samla in trafik från infrastrukturen (vanligtvis med hjälp av passiva optiska TAP-kranar och/eller SPAN-portar) och distribuera den bland analysverktyg. Trafiken speglas (dupliceras) mellan system av olika typer, och balanseras mellan system av samma typ. De grundläggande funktionerna inkluderar vanligtvis filtrering efter fält upp till L4 (MAC, IP, TCP / UDP-port, etc.) och aggregering av flera lätt belastade kanaler till en (till exempel för bearbetning på ett DPI-system).
Denna funktion ger en lösning på den grundläggande uppgiften - att ansluta DPI-system till nätverksinfrastrukturen. Mäklare från olika tillverkare, begränsade till grundläggande funktionalitet, tillhandahåller bearbetning av upp till 32 100G-gränssnitt per 1U (fler gränssnitt passar inte fysiskt på 1U-frontpanelen). De tillåter dock inte att minska belastningen på analysverktyg, och för en komplex infrastruktur kan de inte ens tillhandahålla kraven för en grundläggande funktion: en session fördelad över flera tunnlar (eller utrustad med MPLS-taggar) kan vara obalanserad för olika instanser av analysator och faller i allmänhet ur analysen.
Förutom att lägga till 40/100G-gränssnitt och, som ett resultat, förbättra prestanda, utvecklas nätverkspaketförmedlare aktivt när det gäller att tillhandahålla fundamentalt nya funktioner: från balansering på kapslade tunnelhuvuden till trafikdekryptering. Tyvärr kan sådana modeller inte skryta med prestanda i terabit, men de gör det möjligt att bygga ett riktigt högkvalitativt och tekniskt "vackert" informationssäkerhetssystem där varje analysverktyg garanterat bara får den information det behöver i den form som är mest lämplig. för analys.
Avancerade funktioner för nätverkspaketmäklare
1. Nämnts ovan kapslad header-balansering i tunnlad trafik.
Varför är det viktigt? Tänk på tre aspekter som kan vara kritiska tillsammans eller separat:
- säkerställa enhetlig balansering i närvaro av ett litet antal tunnlar. I händelse av att det bara finns 2 tunnlar vid anslutningspunkten för informationssäkerhetssystem, kommer det inte att vara möjligt att obalansera dem med externa rubriker på 3 serverplattformar samtidigt som sessionen bibehålls. Samtidigt överförs trafiken i nätverket ojämnt, och riktningen av varje tunnel till en separat bearbetningsanläggning kommer att kräva överdriven prestanda av den senare;
- säkerställa integriteten hos sessioner och strömmar av multisessionsprotokoll (till exempel FTP och VoIP), vars paket hamnade i olika tunnlar. Nätverksinfrastrukturens komplexitet ökar ständigt: redundans, virtualisering, förenkling av administrationen och så vidare. Å ena sidan ökar detta tillförlitligheten vad gäller dataöverföring, å andra sidan försvårar det arbetet med informationssäkerhetssystem. Även med analysatorernas tillräckliga prestanda för att bearbeta en dedikerad kanal med tunnlar, visar sig problemet vara olösligt, eftersom en del av användarsessionspaketen sänds över en annan kanal. Dessutom, om de fortfarande försöker ta hand om integriteten för sessioner i vissa infrastrukturer, så kan multisessionsprotokoll gå helt olika vägar;
- balansering i närvaro av MPLS, VLAN, individuella utrustningstaggar, etc. Egentligen inte tunnlar, men ändå kan utrustning med grundläggande funktionalitet förstå denna trafik inte som IP och balansering av MAC-adresser, vilket återigen bryter mot enhetligheten i balansering eller sessionsintegritet.
Nätverkspaketmäklaren analyserar de yttre rubrikerna och följer pekarna sekventiellt upp till den kapslade IP-headern och balanserar redan på den. Som ett resultat blir det betydligt fler strömmar (det kan vara obalanserat mer jämnt och på ett större antal plattformar), och DPI-systemet tar emot alla sessionspaket och alla associerade sessioner av multisessionsprotokoll.
2. Trafikändring.
En av de bredaste funktionerna när det gäller dess kapacitet, antalet underfunktioner och alternativ för deras användning är många:
- tar bort nyttolasten, i vilket fall endast pakethuvuden skickas till parsern. Detta är relevant för analysverktyg eller för trafiktyper där innehållet i paketen antingen inte spelar någon roll eller inte kan analyseras. Till exempel, för krypterad trafik kan parametrisk utbyte av data (vem, med vem, när och hur mycket) vara av intresse, medan nyttolasten faktiskt är skräp som upptar analysatorns kanal- och datorresurser. Variationer är möjliga när nyttolasten är avstängd med början från en given offset - detta ger ytterligare utrymme för analysverktyg;
- detunnelering, nämligen borttagning av rubriker som anger och identifierar tunnlar. Målet är att minska belastningen på analysverktyg och öka deras effektivitet. Detunneling kan baseras på en fast offset eller dynamisk rubrikanalys och offsetbestämning för varje paket;
- borttagning av vissa pakethuvuden: MPLS-taggar, VLAN, specifika områden för tredjepartsutrustning;
- maskering av delar av rubrikerna, till exempel maskering av IP-adresser för att säkerställa trafikanonymisering;
- lägga till tjänstinformation till paketet: tidsstämplar, ingångsport, trafikklassetiketter, etc.
3. Deduplicering – rengöring av repetitiva trafikpaket som överförs till analysverktyg. Dubblettpaket uppstår oftast på grund av särdragen med att ansluta till infrastrukturen - trafik kan passera genom flera analyspunkter och speglas från var och en av dem. Det sker också en återsändning av ofullständiga TCP-paket, men om det finns många av dem är det fler frågor för att övervaka nätverkets kvalitet och inte för informationssäkerhet i det.
4. Avancerade filtreringsfunktioner – från att söka efter specifika värden vid en given offset till signaturanalys genom hela paketet.
5. NetFlow/IPFIX-generering – Insamling av ett brett utbud av statistik om passerande trafik och dess överföring till analysverktyg.
6. Dekryptering av SSL-trafik, fungerar förutsatt att certifikatet och nycklarna först laddas in i nätverkspaketmäklaren. Ändå låter detta dig avsevärt ladda ur analysverktygen.
Det finns många fler funktioner, användbara och marknadsföring, men de viktigaste är kanske listade.
Utvecklingen av detekteringssystem (intrång, DDOS-attacker) till system för att förebygga dem, såväl som införandet av aktiva DPI-verktyg, krävde en förändring av växlingsschemat från passiva (genom TAP- eller SPAN-portar) till aktiva ("i paus" ). Denna omständighet ökade kraven på tillförlitlighet (eftersom ett fel i det här fallet leder till en störning av hela nätverket, och inte bara till en förlust av kontroll över informationssäkerheten) och ledde till att optiska kopplare ersattes med optiska bypass (för att lösa problemet med nätverkets prestanda beroende av prestanda för systeminformationssäkerhet), men huvudfunktionaliteten och kraven för det förblev desamma.
Vi har utvecklat DS Integrity Network Packet Brokers med 100G, 40G och 10G gränssnitt från design och kretsar till inbäddad programvara. Dessutom, till skillnad från andra paketmäklare, är modifierings- och balanseringsfunktionerna för kapslade tunnelhuvuden implementerade i vår hårdvara, med full porthastighet.
Källa: will.com