Usalama wa habari umejitenga na mawasiliano ya simu na kuwa tasnia huru iliyo na sifa zake na vifaa vyake. Lakini kuna darasa lisilojulikana la vifaa ambalo linasimama kwenye makutano ya mawasiliano ya simu na usalama wa habari - mawakala wa pakiti za mtandao (Dalali wa Kifurushi cha Mtandao), pia hujulikana kama visawazishaji vya mizigo, swichi maalum/ufuatiliaji, viunganishi vya trafiki, Jukwaa la Utoaji Usalama, Mwonekano wa Mtandao, na kadhalika. Na sisi, kama msanidi programu wa Urusi na mtengenezaji wa vifaa kama hivyo, tungependa kukuambia zaidi kuvihusu.
Upeo na majukumu ya kutatuliwa
Madalali wa pakiti za mtandao ni vifaa maalum ambavyo vimepata matumizi makubwa zaidi katika mifumo ya usalama wa habari. Kwa hivyo, darasa hili la vifaa ni mpya na ndogo katika miundombinu ya mtandao wa kawaida ikilinganishwa na swichi, vipanga njia, nk. Waanzilishi katika maendeleo ya aina hii ya kifaa ilikuwa kampuni ya Marekani ya Gigamon. Hivi sasa, kuna wachezaji wengi zaidi katika soko hili (ikiwa ni pamoja na mtengenezaji anayejulikana wa mifumo ya mtihani, kampuni ya IXIA, ina ufumbuzi sawa), lakini ni mzunguko mdogo wa wataalamu bado unajua kuhusu kuwepo kwa vifaa vile. Kama ilivyoonyeshwa hapo juu, hata istilahi haiko wazi: majina huanzia "mifumo ya uwazi ya mtandao" hadi "sawazishaji".
Wakati wa kutengeneza madalali wa pakiti za mtandao, tulikabiliwa na ukweli kwamba, pamoja na kuchambua maagizo ya ukuzaji wa utendaji na upimaji katika maabara/maeneo ya majaribio, ni muhimu kuelezea wakati huo huo kwa watumiaji wanaowezekana juu ya uwepo wa darasa hili la vifaa. kwani si kila mtu anajua kuhusu hilo.
Miaka 15-20 tu iliyopita kulikuwa na trafiki kidogo kwenye mtandao, na mara nyingi ilikuwa data isiyo muhimu. Lakini kivitendo kurudia : Kasi ya muunganisho wa Mtandao huongezeka kila mwaka kwa 50%. Kiasi cha trafiki pia kinaongezeka kwa kasi (grafu inaonyesha utabiri wa 2017 kutoka Cisco, chanzo cha Cisco Visual Networking Index: Forecast and Trends, 2017β2022):
Pamoja na kasi, umuhimu wa kusambaza habari (hii ni siri ya biashara na data mbaya ya kibinafsi) na utendaji wa jumla wa miundombinu huongezeka.
Ipasavyo, tasnia ya usalama wa habari iliibuka. Sekta ilijibu hili kwa kuibuka kwa vifaa vingi vya uchambuzi wa kina wa trafiki (DPI): kutoka kwa mifumo ya kuzuia mashambulizi ya DDOS hadi mifumo ya usimamizi wa matukio ya usalama wa habari, ikiwa ni pamoja na IDS, IPS, DLP, NBA, SIEM, Antimailware na kadhalika. Kwa kawaida, kila moja ya zana hizi ni programu iliyowekwa kwenye jukwaa la seva. Aidha, kila programu (chombo cha uchambuzi) imewekwa kwenye jukwaa la seva yake mwenyewe: watengenezaji wa programu ni tofauti, na uchambuzi kwenye L7 unahitaji rasilimali nyingi za kompyuta.
Wakati wa kuunda mfumo wa usalama wa habari, inahitajika kutatua shida kadhaa kuu:
- jinsi ya kuhamisha trafiki kutoka kwa miundombinu hadi mifumo ya uchambuzi? (Bandari za SPAN zilizotengenezwa awali kwa madhumuni haya katika miundombinu ya kisasa hazitoshi kwa wingi au utendakazi)
- jinsi ya kusambaza trafiki kati ya mifumo tofauti ya uchambuzi?
- jinsi ya kuongeza mifumo wakati utendaji wa mfano mmoja wa kichanganuzi hautoshi kusindika kiasi kizima cha trafiki inayoingia ndani yake?
- jinsi ya kufuatilia miingiliano ya 40G/100G (na katika siku za usoni 200G/400G), kwani zana za uchanganuzi kwa sasa zinasaidia tu miingiliano ya 1G/10G/25G?
Na kazi zifuatazo zinazohusiana:
- Je, tunawezaje kupunguza msongamano usiolengwa ambao hauhitaji kuchakatwa, lakini tunafika kwenye zana za uchanganuzi na kutumia rasilimali zao?
- Jinsi ya kusindika pakiti na pakiti zilizofunikwa na vitambulisho vya huduma za vifaa, maandalizi ambayo kwa uchambuzi yanageuka kuwa yana rasilimali nyingi au haiwezekani kutekeleza kabisa?
- jinsi ya kuwatenga kutoka kwa uchanganuzi baadhi ya trafiki ambayo haijadhibitiwa na sera ya usalama (kwa mfano, trafiki ya msimamizi).
Kama kila mtu anajua, mahitaji hutengeneza usambazaji, na madalali wa pakiti za mtandao walianza kukuza kwa kujibu mahitaji haya.
Maelezo ya jumla ya mawakala wa pakiti za mtandao
Wafanyabiashara wa pakiti za mtandao hufanya kazi kwa kiwango cha pakiti, na kwa njia hii ni sawa na swichi za kawaida. Tofauti kuu kutoka kwa swichi ni kwamba sheria za usambazaji wa trafiki na mkusanyiko katika mawakala wa pakiti za mtandao zimedhamiriwa kabisa na mipangilio. Madalali wa pakiti za mtandao hawana viwango vya kuunda jedwali la usambazaji (meza za MAC) na kubadilishana itifaki na swichi zingine (kama vile STP), na kwa hivyo anuwai ya mipangilio inayowezekana na sehemu zinazoeleweka ndani yao ni pana zaidi. Dalali anaweza kusambaza sawasawa trafiki kutoka kwa mlango mmoja au zaidi za ingizo hadi safu maalum ya bandari za pato na kipengele cha kusawazisha cha pato. Unaweza kuweka sheria za kunakili, kuchuja, kuainisha, kurudisha nyuma na kurekebisha trafiki. Sheria hizi zinaweza kutumika kwa vikundi tofauti vya bandari za kuingiza za wakala wa pakiti za pakiti, na pia zinaweza kutumika kwa mpangilio moja baada ya nyingine kwenye kifaa chenyewe. Faida muhimu ya wakala wa pakiti ni uwezo wa kusindika trafiki kwa kiwango kamili cha mtiririko na kudumisha uadilifu wa vikao (katika kesi ya kusawazisha trafiki kwa mifumo kadhaa ya DPI ya aina moja).
Kudumisha uadilifu wa kipindi kunahusisha kusambaza pakiti zote za kipindi cha safu ya usafiri (TCP/UDP/SCTP) hadi lango moja. Hili ni muhimu kwa sababu mifumo ya DPI (kawaida programu inayotumika kwenye seva iliyounganishwa kwenye mlango wa pato wa wakala wa pakiti) huchanganua maudhui ya trafiki katika kiwango cha programu, na pakiti zote zinazotumwa/kupokelewa na programu moja lazima zifikie katika hali sawa ya kichanganuzi . Ikiwa pakiti kutoka kwa kikao sawa zinapotea au kusambazwa kati ya vifaa tofauti vya DPI, basi kila kifaa cha DPI kitajikuta katika hali sawa na kusoma sio maandishi yote, lakini maneno ya kibinafsi kutoka kwake. Na, uwezekano mkubwa, maandishi hayataeleweka.
Kwa hivyo, kwa kuzingatia mifumo ya usalama wa habari, madalali wa pakiti za mtandao wana utendaji ambao husaidia kuunganisha mifumo ya programu ya DPI kwenye mitandao ya mawasiliano ya kasi ya juu na kupunguza mzigo juu yao: hufanya uchujaji wa awali, uainishaji na utayarishaji wa trafiki ili kurahisisha usindikaji unaofuata.
Kwa kuongeza, kwa vile mawakala wa pakiti za mtandao huzalisha takwimu mbalimbali na mara nyingi huunganishwa na pointi mbalimbali kwenye mtandao, pia hupata nafasi yao wakati wa kuchunguza matatizo na utendaji wa miundombinu ya mtandao yenyewe.
Kazi za msingi za mawakala wa pakiti za mtandao
Jina "swichi maalum/kufuatilia" lilitokana na madhumuni ya kimsingi: kukusanya trafiki kutoka kwa miundombinu (kwa kawaida kwa kutumia viambatanishi vya macho TAP na/au bandari za SPAN) na kuisambaza kati ya zana za uchanganuzi. Trafiki inaakisiwa (inarudiwa) kati ya mifumo ya aina tofauti, na kusawazishwa kati ya mifumo ya aina moja. Kazi za kimsingi kwa kawaida hujumuisha kuchuja kwa sehemu hadi L4 (MAC, IP, TCP/UDP bandari, n.k.) na ujumlishaji wa chaneli kadhaa zilizopakiwa kwa urahisi katika moja (kwa mfano, kwa kuchakata kwenye mfumo mmoja wa DPI).
Utendaji huu hutoa suluhisho kwa kazi ya msingi ya kuunganisha mifumo ya DPI kwenye miundombinu ya mtandao. Madalali kutoka kwa watengenezaji mbalimbali, walio na utendakazi wa kimsingi pekee, hutoa uchakataji wa hadi violesura 32 vya 100G kwa 1U (kiolesura zaidi hakiendani kimwili kwenye paneli ya mbele ya 1U). Walakini, hazipunguzi mzigo kwenye zana za uchambuzi, na kwa miundombinu ngumu haziwezi hata kutoa mahitaji ya kazi ya kimsingi: kikao kinachosambazwa juu ya vichuguu kadhaa (au vilivyo na vitambulisho vya MPLS) kinaweza kutokuwa na usawa kati ya hali tofauti za uchanganuzi na kwa ujumla. kuanguka nje ya uchambuzi.
Mbali na kuongeza violesura vya 40/100G na, kwa sababu hiyo, utendaji unaoongezeka, mawakala wa pakiti za mtandao wanaendeleza kikamilifu katika suala la kutoa uwezo mpya kimsingi: kutoka kwa kusawazisha kulingana na vichwa vya handaki vilivyowekwa kwenye utengamano wa trafiki. Kwa bahati mbaya, mifano kama hiyo haiwezi kujivunia utendaji katika terabits, lakini inakuruhusu kuunda mfumo wa usalama wa habari wa hali ya juu na wa kitaalam "nzuri", ambayo kila zana ya uchambuzi imehakikishwa kupokea tu habari inayohitaji katika fomu inayofaa zaidi. kwa uchambuzi.
Vipengele vya Kina vya Wakala wa Pakiti ya Mtandao
1. Imetajwa hapo juu kusawazisha kulingana na vichwa vilivyowekwa kwenye trafiki iliyopigwa.
Kwa nini ni muhimu? Hebu tuzingatie vipengele 3 ambavyo vinaweza kuwa muhimu kwa pamoja au tofauti:
- kuhakikisha kusawazisha sare mbele ya idadi ndogo ya vichuguu. Ikiwa kuna vichuguu 2 tu kwenye sehemu ya unganisho ya mifumo ya usalama wa habari, basi haitawezekana kusawazisha kulingana na vichwa vya nje kwenye majukwaa 3 ya seva wakati wa kuhifadhi kikao. Wakati huo huo, trafiki kwenye mtandao hupitishwa kwa usawa, na kuelekeza kila handaki kwenye kituo tofauti cha usindikaji itahitaji utendaji mwingi wa mwisho;
- kuhakikisha uadilifu wa vikao na mtiririko wa itifaki nyingi (kwa mfano, FTP na VoIP), pakiti ambazo ziliishia kwenye vichuguu tofauti. Ugumu wa miundombinu ya mtandao unaongezeka mara kwa mara: upungufu, uboreshaji, kurahisisha utawala, na kadhalika. Kwa upande mmoja, hii huongeza kuegemea katika suala la usambazaji wa data, kwa upande mwingine, inachanganya utendakazi wa mifumo ya usalama wa habari. Hata kama vichanganuzi vina utendakazi wa kutosha kuchakata chaneli mahususi iliyo na vichuguu, tatizo linageuka kuwa haliwezi kusuluhishwa, kwa kuwa baadhi ya pakiti za kipindi cha watumiaji hupitishwa kwenye chaneli nyingine. Zaidi ya hayo, wakati miundomsingi mingine bado inajaribu kutunza uadilifu wa vikao, itifaki za vikao vingi vinaweza kuchukua njia tofauti kabisa;
- kusawazisha mbele ya MPLS, VLAN, vitambulisho vya vifaa vya mtu binafsi, nk. Sio vichuguu haswa, lakini hata hivyo, vifaa vilivyo na utendakazi wa kimsingi vinaweza kuelewa trafiki hii kama kitu kingine isipokuwa IP na kusawazisha kulingana na anwani za MAC, kwa mara nyingine tena kukiuka usawa wa kusawazisha au uadilifu wa vipindi.
Wakala wa pakiti za mtandao huchanganua vichwa vya nje na kufuata viashiria hadi kwenye kichwa cha IP kilichowekwa kiota na kusawazisha juu yake. Matokeo yake, kuna mtiririko mkubwa zaidi (kwa hivyo, inaweza kuwa na usawa zaidi na kwa idadi kubwa ya majukwaa), na mfumo wa DPI hupokea pakiti zote za kikao na vikao vyote vinavyohusiana vya itifaki za multisession.
2. Marekebisho ya trafiki.
Moja ya kazi pana zaidi kwa suala la uwezo wake, kuna subfunctions nyingi na chaguzi za matumizi yao:
- kufuta mzigo wa malipo, katika kesi hii vichwa vya pakiti pekee vinapitishwa kwa chombo cha uchambuzi. Hii ni muhimu kwa zana za uchanganuzi au kwa aina za trafiki ambayo yaliyomo kwenye pakiti haijalishi au hayawezi kuchanganuliwa. Kwa mfano, kwa data iliyosimbwa ya ubadilishanaji wa vigezo vya trafiki (nani, nani, lini na kiasi gani) inaweza kuwa ya riba, lakini mzigo wa malipo kwa kweli ni takataka ambayo inachukua chaneli na rasilimali za kompyuta za kichanganuzi. Tofauti zinawezekana wakati upakiaji unapunguzwa kuanzia kwenye kifaa fulani - hii inatoa wigo wa ziada wa zana za uchanganuzi;
- kupunguza, yaani, kuondolewa kwa vichwa vinavyoashiria na kutambua vichuguu. Lengo ni kupunguza mzigo kwenye zana za uchambuzi na kuongeza ufanisi wao. Kutenganisha kunaweza kutegemea urekebishaji usiobadilika au kwa uchanganuzi unaobadilika wa kichwa na uamuzi wa kukabiliana kwa kila pakiti;
- kuondoa sehemu ya vichwa vya pakiti: vitambulisho vya MPLS, VLAN, mashamba maalum ya vifaa vya tatu;
- kuficha sehemu ya vichwa, kwa mfano, kuficha anwani za IP ili kuhakikisha kutokujulikana kwa trafiki;
- kuongeza maelezo ya huduma kwenye pakiti: muhuri wa muda, mlango wa kuingilia, lebo ya darasa la trafiki, nk.
3. Kupunguza - Kusafisha kwa pakiti za trafiki mbili zinazopitishwa kwa zana za uchambuzi. Pakiti za nakala mara nyingi huibuka kwa sababu ya asili ya unganisho kwenye miundombinu - trafiki inaweza kupitia vidokezo kadhaa vya uchambuzi na kuonyeshwa kutoka kwa kila mmoja wao. Kutuma tena kwa pakiti za TCP zilizoshindwa pia ni kawaida, lakini ikiwa kuna mengi yao, basi haya ni masuala yanayowezekana zaidi kuhusiana na ufuatiliaji wa ubora wa mtandao, badala ya usalama wa habari ndani yake.
4. Vipengele vya kuchuja vya hali ya juu - kutoka kwa kutafuta maadili maalum kwa kukabiliana fulani hadi uchanganuzi wa saini ya pakiti nzima.
5. Kizazi cha NetFlow/IPFIX - ukusanyaji wa anuwai ya takwimu za trafiki kupita na uhamishaji wake kwa zana za uchambuzi.
6. Usimbuaji wa trafiki ya SSL, inafanya kazi mradi cheti na funguo zitapakiwa kwanza kwenye wakala wa pakiti za mtandao. Walakini, hii hukuruhusu kupunguza kwa kiasi kikubwa zana za uchambuzi.
Kuna kazi nyingi zaidi, muhimu na za uuzaji, lakini zile kuu labda zimeorodheshwa.
Uundaji wa mifumo ya ugunduzi (uvamizi, shambulio la DDOS) kuwa mifumo ya kuzizuia, na vile vile kuanzishwa kwa zana amilifu za DPI, kulihitaji mabadiliko katika mpango wa kubadilisha kutoka kwa passiv (kupitia TAP au bandari za SPAN) hadi amilifu ("katika pengo. β). Hali hii iliongeza mahitaji ya kuegemea (kwani kutofaulu katika kesi hii kunasababisha usumbufu wa mtandao mzima, na sio tu kupoteza udhibiti wa usalama wa habari) na kusababisha uingizwaji wa waunganishaji wa macho na bypass ya macho (ili kutatua shida utegemezi wa utendakazi wa mtandao juu ya utendakazi wa usalama wa habari wa mifumo), lakini utendaji kuu na mahitaji yake yanabaki sawa.
Tumetengeneza Dalali za Vifurushi vya DS Integrity Network zenye violesura vya 100G, 40G na 10G kutoka kwa muundo na muundo wa mzunguko hadi programu dhibiti. Zaidi ya hayo, tofauti na madalali wengine wa pakiti, urekebishaji na kazi za kusawazisha za vichwa vya handaki vilivyowekwa hutekelezwa katika maunzi, kwa kasi kamili ya bandari.
Chanzo: mapenzi.com