Ang seguridad ng impormasyon ay humiwalay mula sa telekomunikasyon patungo sa isang independiyenteng industriya na may sarili nitong mga detalye at sariling kagamitan. Ngunit mayroong isang maliit na kilalang klase ng mga device na nakatayo sa junction ng telecom at infobez - network packet brokers (Network Packet Broker), sila rin ay mga tagabalanse ng load, mga dalubhasang / monitoring switch, mga aggregator ng trapiko, Security Delivery Platform, Network Visibility at iba pa. At kami, bilang isang developer ng Russia at tagagawa ng mga naturang device, ay talagang gustong sabihin sa iyo ang higit pa tungkol sa mga ito.
Saklaw at mga gawaing dapat lutasin
Ang mga network packet broker ay mga dalubhasang device na natagpuan ang pinakamalaking paggamit sa mga sistema ng seguridad ng impormasyon. Dahil dito, ang klase ng device ay medyo bago at kakaunti sa karaniwang imprastraktura ng network kumpara sa mga switch, router, at iba pa. Ang pioneer sa pagbuo ng ganitong uri ng device ay ang American company na Gigamon. Sa kasalukuyan, may mas maraming manlalaro sa merkado na ito (kabilang ang mga katulad na solusyon mula sa kilalang tagagawa ng mga sistema ng pagsubok - IXIA), ngunit isang makitid na bilog ng mga propesyonal ang nakakaalam pa rin tungkol sa pagkakaroon ng mga naturang device. Gaya ng nabanggit sa itaas, kahit na may terminolohiya ay walang malinaw na katiyakan: ang mga pangalan ay mula sa "network transparency systems" hanggang sa simpleng "balancers".
Habang bumubuo ng mga packet broker ng network, nahaharap kami sa katotohanan na, bilang karagdagan sa pagsusuri ng mga direksyon para sa pagbuo ng pag-andar at pagsubok sa mga laboratoryo / mga zone ng pagsubok, kinakailangan na sabay na ipaliwanag sa mga potensyal na mamimili ang tungkol sa pagkakaroon ng klase ng kagamitang ito. , dahil hindi alam ng lahat ang tungkol dito.
Kahit na 15-20 taon na ang nakalilipas, may kaunting trapiko sa network, at ito ay halos hindi mahalagang data. Pero halos umuulit : Ang bilis ng koneksyon sa internet ay tumataas ng 50% taun-taon. Ang dami ng trapiko ay patuloy ding lumalaki (ang graph ay nagpapakita ng 2017 forecast mula sa Cisco, pinagmulan ng Cisco Visual Networking Index: Forecast and Trends, 2017β2022):
Kasabay ng bilis, ang kahalagahan ng pagpapakalat ng impormasyon (ito ay parehong trade secret at kilalang personal na data) at ang pangkalahatang pagganap ng imprastraktura ay tumataas.
Alinsunod dito, ang industriya ng seguridad ng impormasyon ay lumitaw. Ang industriya ay tumugon dito gamit ang isang buong hanay ng mga traffic analysis (DPI) device, mula sa DDOS attack prevention system hanggang sa information security event management system, kabilang ang IDS, IPS, DLP, NBA, SIEM, Antimailware at iba pa. Karaniwan, ang bawat isa sa mga tool na ito ay software na naka-install sa isang server platform. Bukod dito, ang bawat programa (tool sa pagsusuri) ay naka-install sa sarili nitong server platform: iba-iba ang mga tagagawa ng software, at maraming mapagkukunan ng computing ang kinakailangan para sa pagsusuri sa L7.
Kapag nagtatayo ng isang sistema ng seguridad ng impormasyon, kinakailangan upang malutas ang isang bilang ng mga pangunahing gawain:
- paano ilipat ang trapiko mula sa imprastraktura patungo sa mga sistema ng pagsusuri? (Ang mga port ng SPAN na orihinal na binuo para dito sa modernong imprastraktura ay hindi sapat sa dami o sa pagganap)
- paano ipamahagi ang trapiko sa pagitan ng iba't ibang mga sistema ng pagsusuri?
- paano sukatin ang mga sistema kapag walang sapat na pagganap ng isang pagkakataon ng analyzer upang maproseso ang buong dami ng trapikong pumapasok dito?
- paano subaybayan ang mga interface ng 40G/100G (at sa malapit na hinaharap ay 200G/400G din), dahil ang mga tool sa pagsusuri ay kasalukuyang sumusuporta lamang sa mga interface ng 1G/10G/25G?
At ang mga sumusunod na kaugnay na gawain:
- paano bawasan ang hindi naaangkop na trapiko na hindi kailangang iproseso, ngunit napupunta sa mga tool sa pagsusuri at ginagamit ang kanilang mga mapagkukunan?
- paano pangasiwaan ang mga naka-encapsulated na packet at packet na may mga marka ng serbisyo ng hardware, ang paghahanda nito para sa pagsusuri ay lumalabas na alinman sa mapagkukunan-intensive o hindi maisasakatuparan sa lahat?
- kung paano ibukod mula sa pagsusuri na bahagi ng trapiko na hindi kinokontrol ng patakaran sa seguridad (halimbawa, trapiko ng ulo).
Tulad ng alam ng lahat, ang demand ay lumilikha ng supply, bilang tugon sa mga pangangailangang ito, ang mga network packet broker ay nagsimulang bumuo.
Pangkalahatang Paglalarawan ng Network Packet Brokers
Ang mga packet broker ng network ay gumagana sa antas ng packet, at dito sila ay katulad ng mga ordinaryong switch. Ang pangunahing pagkakaiba sa mga switch ay ang mga patakaran para sa pamamahagi at pagsasama-sama ng trapiko sa mga network packet broker ay ganap na tinutukoy ng mga setting. Ang mga network packet broker ay walang mga pamantayan para sa pagbuo ng mga forwarding table (MAC tables) at exchange protocols sa iba pang switch (gaya ng STP), at samakatuwid ang hanay ng mga posibleng setting at mauunawaang field sa mga ito ay mas malawak. Maaaring pantay-pantay na ipamahagi ng isang broker ang trapiko mula sa isa o higit pang input port sa isang partikular na hanay ng mga output port na may feature na output load balancing. Maaari kang magtakda ng mga panuntunan para sa pagkopya, pag-filter, pag-uuri, pag-deduplicate at pagbabago ng trapiko. Maaaring ilapat ang mga panuntunang ito sa iba't ibang grupo ng mga input port ng network packet broker, pati na rin ang sunud-sunod na inilapat sa device mismo. Ang isang mahalagang bentahe ng isang packet broker ay ang kakayahang magproseso ng trapiko sa buong rate ng daloy at mapanatili ang integridad ng mga session (sa kaso ng pagbabalanse ng trapiko sa ilang mga sistema ng DPI ng parehong uri).
Ang pagpapanatili ng integridad ng mga session ay ang paglipat ng lahat ng mga packet ng session ng transport layer (TCP / UDP / SCTP) sa isang port. Mahalaga ito dahil sinusuri ng mga DPI system (karaniwang software na tumatakbo sa isang server na konektado sa output port ng isang packet broker) ang nilalaman ng trapiko sa antas ng aplikasyon, at lahat ng mga packet na ipinadala/natanggap ng isang application ay dapat dumating sa parehong pagkakataon ng analisador . Kung ang mga packet ng isang session ay nawala o naipamahagi sa iba't ibang DPI device, ang bawat indibidwal na DPI device ay nasa isang sitwasyon na kahalintulad sa pagbabasa hindi ng isang buong teksto, ngunit mga indibidwal na salita mula dito. At, malamang, hindi mauunawaan ng teksto.
Kaya, dahil nakatutok sa mga sistema ng seguridad ng impormasyon, ang mga network packet broker ay may functionality na tumutulong sa pagkonekta ng mga DPI software system sa mga high-speed telecommunication network at bawasan ang load sa mga ito: sila ay paunang nagsasala, nag-uuri at naghahanda ng trapiko upang pasimplehin ang kasunod na pagproseso.
Bilang karagdagan, dahil ang mga network packet broker ay nagbibigay ng malawak na hanay ng mga istatistika at madalas na konektado sa iba't ibang mga punto sa network, nakakahanap din sila ng kanilang lugar sa pag-diagnose ng mga problema sa kalusugan ng mismong imprastraktura ng network.
Mga Pangunahing Pag-andar ng Network Packet Brokers
Ang pangalang "nakatuon/monitoring switch" ay nagmula sa pangunahing layunin: upang mangolekta ng trapiko mula sa imprastraktura (karaniwan ay gumagamit ng passive optical TAP taps at / o SPAN port) at ipamahagi ito sa mga tool sa pagsusuri. Ang trapiko ay na-mirror (nadoble) sa pagitan ng mga system ng iba't ibang uri, at balanse sa pagitan ng mga system ng parehong uri. Karaniwang kasama sa mga pangunahing pag-andar ang pag-filter ayon sa mga field hanggang sa L4 (MAC, IP, TCP / UDP port, atbp.) at pagsasama-sama ng ilang mga channel na hindi gaanong na-load sa isa (halimbawa, para sa pagproseso sa isang DPI system).
Ang functionality na ito ay nagbibigay ng solusyon sa pangunahing gawain - pagkonekta ng mga DPI system sa imprastraktura ng network. Ang mga broker mula sa iba't ibang mga tagagawa, na limitado sa pangunahing pag-andar, ay nagbibigay ng pagproseso ng hanggang 32 100G na mga interface sa bawat 1U (mas maraming mga interface ang hindi pisikal na akma sa 1U na front panel). Gayunpaman, hindi nila pinapayagan ang pagbabawas ng load sa mga tool sa pagsusuri, at para sa isang kumplikadong imprastraktura ay hindi rin nila maibibigay ang mga kinakailangan para sa isang pangunahing function: ang isang session na ipinamahagi sa ilang tunnels (o nilagyan ng mga MPLS tag) ay maaaring hindi balanse para sa iba't ibang pagkakataon ng analyzer at sa pangkalahatan ay nahuhulog sa pagsusuri.
Bilang karagdagan sa pagdaragdag ng 40/100G na mga interface at, bilang resulta, pagpapabuti ng pagganap, ang mga network packet broker ay aktibong umuunlad sa mga tuntunin ng pagbibigay ng mga bagong feature: mula sa pagbabalanse sa mga nested tunnel header hanggang sa traffic decryption. Sa kasamaang palad, ang mga naturang modelo ay hindi maaaring ipagmalaki ang pagganap sa mga terabit, ngunit ginagawa nilang posible na bumuo ng isang talagang mataas na kalidad at teknikal na "maganda" na sistema ng seguridad ng impormasyon kung saan ang bawat tool sa pagsusuri ay ginagarantiyahan na makatanggap lamang ng impormasyong kailangan nito sa form na pinakaangkop. para sa pagsusuri.
Mga advanced na function ng network packet brokers
1. Binanggit sa itaas nested header balancing sa tunneled traffic.
Bakit ito mahalaga? Isaalang-alang ang 3 aspeto na maaaring maging kritikal nang magkasama o magkahiwalay:
- pagtiyak ng pare-parehong pagbabalanse sa pagkakaroon ng isang maliit na bilang ng mga tunnel. Kung sakaling mayroon lamang 2 tunnel sa punto ng koneksyon ng mga sistema ng seguridad ng impormasyon, hindi magiging posible na i-unbalanse ang mga ito sa pamamagitan ng mga panlabas na header sa 3 platform ng server habang pinapanatili ang session. Kasabay nito, ang trapiko sa network ay ipinapadala nang hindi pantay, at ang direksyon ng bawat tunel sa isang hiwalay na pasilidad sa pagproseso ay mangangailangan ng labis na pagganap ng huli;
- tinitiyak ang integridad ng mga session at stream ng mga multisession protocol (halimbawa, FTP at VoIP), ang mga packet nito ay napunta sa iba't ibang tunnel. Ang pagiging kumplikado ng imprastraktura ng network ay patuloy na tumataas: kalabisan, virtualization, pagpapasimple ng pangangasiwa, at iba pa. Sa isang banda, pinatataas nito ang pagiging maaasahan sa mga tuntunin ng paghahatid ng data, sa kabilang banda, pinapalubha nito ang gawain ng mga sistema ng seguridad ng impormasyon. Kahit na may sapat na pagganap ng mga analyzer upang iproseso ang isang nakatuong channel na may mga tunnel, ang problema ay lumalabas na hindi malulutas, dahil ang ilan sa mga packet ng session ng gumagamit ay ipinadala sa ibang channel. Bukod dito, kung susubukan pa rin nilang pangalagaan ang integridad ng mga session sa ilang mga imprastraktura, ang mga multisession protocol ay maaaring pumunta sa ganap na magkakaibang paraan;
- pagbabalanse sa pagkakaroon ng MPLS, VLAN, mga indibidwal na tag ng kagamitan, atbp. Hindi talaga mga tunnel, ngunit gayunpaman, ang mga kagamitan na may pangunahing pag-andar ay maaaring maunawaan ang trapikong ito hindi bilang IP at balanse sa pamamagitan ng mga MAC address, muli na lumalabag sa pagkakapareho ng pagbabalanse o integridad ng session.
Pina-parse ng network packet broker ang mga panlabas na header at sunud-sunod na sinusundan ang mga pointer hanggang sa nested IP header at nababalanse na ito. Bilang resulta, mas marami ang stream (ayon sa pagkakabanggit, maaari itong maging hindi balanse nang mas pantay-pantay at sa mas malaking bilang ng mga platform), at natatanggap ng DPI system ang lahat ng session packet at lahat ng nauugnay na session ng mga multisession protocol.
2. Pagbabago ng trapiko.
Isa sa pinakamalawak na pag-andar sa mga tuntunin ng mga kakayahan nito, ang bilang ng mga subfunction at mga opsyon para sa kanilang paggamit ay marami:
- pag-alis ng payload, kung saan ang mga packet header lang ang ipinapasa sa parser. Ito ay may kaugnayan para sa mga tool sa pagsusuri o para sa mga uri ng trapiko kung saan ang mga nilalaman ng mga packet ay maaaring hindi gumaganap ng isang papel o hindi masuri. Halimbawa, para sa naka-encrypt na trapiko, ang data ng palitan ng parametric (sino, kanino, kailan, at magkano) ay maaaring maging interesado, habang ang payload ay talagang basura na sumasakop sa channel at mga mapagkukunan ng computing ng analyzer. Posible ang mga pagkakaiba-iba kapag naputol ang kargamento simula sa isang ibinigay na offset - nagbibigay ito ng karagdagang saklaw para sa mga tool sa pagsusuri;
- detunneling, lalo na ang pag-alis ng mga header na tumutukoy at tumutukoy sa mga tunnel. Ang layunin ay bawasan ang pagkarga sa mga tool sa pagsusuri at dagdagan ang kanilang kahusayan. Ang detunneling ay maaaring batay sa isang nakapirming offset o dynamic na pagsusuri ng header at offset na pagpapasiya para sa bawat packet;
- pag-alis ng ilang packet header: MPLS tags, VLAN, mga partikular na field ng third-party na kagamitan;
- pag-mask sa bahagi ng mga header, halimbawa, pag-mask sa mga IP address upang matiyak ang hindi pagkakakilanlan ng trapiko;
- pagdaragdag ng impormasyon ng serbisyo sa packet: mga timestamp, input port, mga label ng klase ng trapiko, atbp.
3. Deduplikasyon β paglilinis ng mga paulit-ulit na packet ng trapiko na ipinadala sa mga tool sa pagsusuri. Ang mga duplicate na packet ay kadalasang nangyayari dahil sa mga kakaibang katangian ng pagkonekta sa imprastraktura - ang trapiko ay maaaring dumaan sa ilang mga punto ng pagsusuri at mai-mirror mula sa bawat isa sa kanila. Mayroon ding muling pagpapadala ng mga hindi kumpletong TCP packet, ngunit kung marami sa kanila, kung gayon ang mga ito ay higit pang mga katanungan para sa pagsubaybay sa kalidad ng network, at hindi para sa seguridad ng impormasyon dito.
4. Mga advanced na tampok sa pag-filter β mula sa paghahanap ng mga partikular na halaga sa isang ibinigay na offset hanggang sa pagsusuri ng lagda sa buong pakete.
5. Pagbuo ng NetFlow/IPFIX β koleksyon ng malawak na hanay ng mga istatistika sa pagdaan ng trapiko at ang paglipat nito sa mga tool sa pagsusuri.
6. Pag-decryption ng SSL na trapiko, gumagana sa kondisyon na ang sertipiko at mga susi ay unang na-load sa network packet broker. Gayunpaman, pinapayagan ka nitong makabuluhang i-unload ang mga tool sa pagsusuri.
Mayroong maraming higit pang mga pag-andar, kapaki-pakinabang at marketing, ngunit ang mga pangunahing, marahil, ay nakalista.
Ang pagbuo ng mga detection system (intrusions, DDOS attacks) sa mga system para sa kanilang pag-iwas, pati na rin ang pagpapakilala ng mga aktibong DPI tool, ay nangangailangan ng pagbabago sa switching scheme mula passive (sa pamamagitan ng TAP o SPAN ports) patungo sa active (βin breakβ ). Ang sitwasyong ito ay nagpapataas ng mga kinakailangan para sa pagiging maaasahan (dahil ang isang pagkabigo sa kasong ito ay humahantong sa isang pagkagambala sa buong network, at hindi lamang sa pagkawala ng kontrol sa seguridad ng impormasyon) at humantong sa pagpapalit ng mga optical coupler na may mga optical bypass (upang malutas ang problema ng pag-asa ng pagganap ng network sa pagganap ng mga sistema ng seguridad ng impormasyon), ngunit ang pangunahing pag-andar at mga kinakailangan para dito ay nanatiling pareho.
Bumuo kami ng DS Integrity Network Packet Brokers na may 100G, 40G at 10G na mga interface mula sa disenyo at circuitry hanggang sa naka-embed na software. Bukod dito, hindi tulad ng iba pang mga packet broker, ang pagbabago at pagbabalanse ng mga function para sa mga nested tunnel header ay ipinapatupad sa aming hardware, sa buong bilis ng port.
Pinagmulan: www.habr.com