Bilgi güvenliği telekomünikasyondan kendine has özellikleri ve kendi donanımı olan bağımsız bir sektör olarak ayrılmıştır. Ancak telekom ve infobez'in kesiştiği noktada duran, az bilinen bir cihaz sınıfı var - ağ paketi aracıları (Network Packet Broker), ayrıca yük dengeleyiciler, özel / izleme anahtarları, trafik toplayıcılar, Güvenlik Dağıtım Platformu, Ağ Görünürlüğü vb. Ve biz, bu tür cihazların bir Rus geliştiricisi ve üreticisi olarak, size gerçekten onlar hakkında daha fazla bilgi vermek istiyoruz.
Kapsam ve çözülmesi gereken görevler
Ağ paketi aracıları, bilgi güvenliği sistemlerinde en büyük kullanımı bulan özel cihazlardır. Bu nedenle, cihaz sınıfı nispeten yenidir ve anahtarlar, yönlendiriciler vb. ile karşılaştırıldığında daha az ortak ağ altyapısına sahiptir. Bu tür bir cihazın geliştirilmesinde öncü, Amerikan şirketi Gigamon'du. Şu anda, bu pazarda önemli ölçüde daha fazla oyuncu var (tanınmış test sistemleri üreticisinin benzer çözümleri dahil - IXIA), ancak yalnızca dar bir profesyonel çevre bu tür cihazların varlığından haberdar. Yukarıda belirtildiği gibi, terminolojide bile kesin bir kesinlik yoktur: isimler "ağ şeffaflık sistemleri"nden basit "dengeleyiciler"e kadar değişir.
Ağ paketi aracılarını geliştirirken, laboratuvarlarda / test bölgelerinde işlevsellik geliştirme ve test etme yönergelerini analiz etmenin yanı sıra, potansiyel tüketicilere bu ekipman sınıfının varlığını aynı anda açıklamanın gerekli olduğu gerçeğiyle karşı karşıya kaldık. , çünkü herkes bunu bilmiyor.
15-20 yıl önce bile ağda çok az trafik vardı ve çoğunlukla önemsiz verilerdi. Ancak pratik olarak tekrarlar : İnternet bağlantı hızı yılda %50 artar. Trafik hacmi de istikrarlı bir şekilde artıyor (grafik Cisco'nun 2017 tahminini gösteriyor, kaynak Cisco Visual Networking Index: Forecast and Trends, 2017–2022):
Hızın yanı sıra bilgi dolaşımının önemi (bu hem bir ticari sır hem de kötü şöhretli kişisel verilerdir) ve altyapının genel performansı artıyor.
Buna bağlı olarak bilgi güvenliği sektörü ortaya çıkmıştır. Endüstri buna, DDOS saldırı önleme sistemlerinden IDS, IPS, DLP, NBA, SIEM, Antimailware vb. dahil olmak üzere bilgi güvenliği olay yönetim sistemlerine kadar çok çeşitli trafik analizi (DPI) cihazlarıyla yanıt verdi. Tipik olarak, bu araçların her biri bir sunucu platformuna yüklenen yazılımlardır. Ayrıca, her program (analiz aracı) kendi sunucu platformuna kurulur: yazılım üreticileri farklıdır ve L7'de analiz yapmak için çok sayıda bilgi işlem kaynağı gerekir.
Bir bilgi güvenliği sistemi oluştururken, bir dizi temel görevi çözmek gerekir:
- altyapıdan analiz sistemlerine trafik nasıl aktarılır? (Aslen modern altyapıda bunun için geliştirilen SPAN portları ne miktar ne de performans olarak yeterli değildir)
- trafiği farklı analiz sistemleri arasında nasıl dağıtabilirim?
- Analizörün bir örneğinin performansı, kendisine giren tüm trafik hacmini işlemek için yeterli olmadığında sistemler nasıl ölçeklendirilir?
- Analiz araçları şu anda yalnızca 40G/100G/200G arayüzlerini desteklediğinden, 400G/1G arayüzleri (ve yakın gelecekte 10G/25G) nasıl izlenir?
Ve aşağıdaki ilgili görevler:
- işlenmesi gerekmeyen ancak analiz araçlarına ulaşan ve kaynaklarını tüketen uygunsuz trafik nasıl en aza indirilir?
- Kapsüllenmiş paketler ve donanım hizmet işaretli paketler nasıl işlenir, bunların analiz için hazırlanması ya yoğun kaynak tüketir ya da hiç gerçekleştirilemez olur?
- güvenlik politikası tarafından düzenlenmeyen trafiğin analiz kısmının nasıl hariç tutulacağı (örneğin, kafa trafiği).
Herkesin bildiği gibi talep arz yaratır, bu ihtiyaçlara cevap olarak ağ paket aracıları gelişmeye başlamıştır.
Ağ Paket Aracılarının Genel Tanımı
Ağ paketi aracıları, paket düzeyinde çalışır ve bu bakımdan sıradan anahtarlara benzerler. Anahtarlardan temel farkı, ağ paketi aracılarında trafiğin dağıtılması ve toplanmasına ilişkin kuralların tamamen ayarlar tarafından belirlenmesidir. Ağ paketi aracılarının yönlendirme tabloları (MAC tabloları) oluşturma ve diğer anahtarlarla (STP gibi) protokol değiştirme standartları yoktur ve bu nedenle bunlardaki olası ayarlar ve anlaşılır alanlar çok daha geniştir. Aracı, bir çıkış yükü dengeleme özelliği ile trafiği bir veya daha fazla giriş bağlantı noktasından belirli bir çıkış bağlantı noktası aralığına eşit olarak dağıtabilir. Trafiği kopyalamak, filtrelemek, sınıflandırmak, tekilleştirmek ve değiştirmek için kurallar belirleyebilirsiniz. Bu kurallar, ağ paketi aracısının farklı giriş bağlantı noktası gruplarına uygulanabileceği gibi, cihazın kendisinde birbiri ardına sırayla uygulanabilir. Bir paket aracısının önemli bir avantajı, trafiği tam akış hızında işleme ve oturumların bütünlüğünü koruma yeteneğidir (aynı türden birkaç DPI sistemine trafiğin dengelenmesi durumunda).
Oturumların bütünlüğünü korumak, taşıma katmanının (TCP / UDP / SCTP) oturumunun tüm paketlerini tek bir bağlantı noktasına aktarmaktır. Bu önemlidir, çünkü DPI sistemleri (genellikle bir paket aracısının çıkış bağlantı noktasına bağlı bir sunucuda çalışan yazılım) trafik içeriğini uygulama düzeyinde analiz eder ve bir uygulama tarafından gönderilen/alınan tüm paketler aynı sunucu örneğine ulaşmalıdır. analizör Bir oturumun paketleri kaybolursa veya farklı DPI cihazları arasında dağıtılırsa, o zaman her bir DPI cihazı, metnin tamamını değil, ondan tek tek kelimeleri okumaya benzer bir durumda olacaktır. Ve büyük olasılıkla metin anlaşılmayacaktır.
Bu nedenle, bilgi güvenliği sistemlerine odaklanan ağ paketi aracıları, DPI yazılım sistemlerini yüksek hızlı telekomünikasyon ağlarına bağlamaya ve üzerlerindeki yükü azaltmaya yardımcı olan işlevselliğe sahiptir: sonraki işlemeyi basitleştirmek için trafiği önceden filtreler, sınıflandırır ve hazırlar.
Ayrıca, ağ paket aracıları geniş bir istatistik yelpazesi sağladığından ve genellikle ağdaki çeşitli noktalara bağlı olduklarından, ağ altyapısının kendisinin sağlık sorunlarını teşhis etmede de kendilerine yer bulurlar.
Ağ Paket Aracılarının Temel İşlevleri
"Ayrılmış/izleme anahtarları" adı, temel amaçtan doğmuştur: altyapıdan trafik toplamak (genellikle pasif optik TAP tapları ve/veya SPAN portları kullanarak) ve bunu analiz araçları arasında dağıtmak. Trafik, farklı türdeki sistemler arasında yansıtılır (kopyalanır) ve aynı türdeki sistemler arasında dengelenir. Temel işlevler genellikle L4'e kadar olan alanlara göre filtrelemeyi (MAC, IP, TCP / UDP bağlantı noktası vb.) ve birkaç hafif yüklü kanalın bir araya toplanmasını (örneğin, bir DPI sisteminde işlemek için) içerir.
Bu işlevsellik, temel görev olan DPI sistemlerini ağ altyapısına bağlamak için bir çözüm sunar. Çeşitli üreticilerin aracıları, temel işlevlerle sınırlı olarak, 32U başına 100 adede kadar 1G arabiriminin işlenmesini sağlar (daha fazla arabirim fiziksel olarak 1U ön paneline sığmaz). Ancak, analiz araçları üzerindeki yükün azaltılmasına izin vermezler ve karmaşık bir altyapı için temel bir işlevin gereksinimlerini bile sağlayamazlar: birkaç tünele dağıtılmış (veya MPLS etiketleri ile donatılmış) bir oturum, farklı örnekler için dengesiz olabilir. analiz eder ve genellikle analizin dışında kalır.
Ağ paketi aracıları, 40/100G arayüzleri eklemeye ve sonuç olarak performansı iyileştirmeye ek olarak, temel olarak yeni özellikler sağlama açısından aktif olarak gelişiyor: iç içe tünel başlıklarında dengelemeden trafik şifre çözmeye kadar. Ne yazık ki, bu tür modeller terabit cinsinden performansla övünemezler, ancak her analiz aracının yalnızca ihtiyaç duyduğu bilgileri en uygun biçimde almasının garanti edildiği, gerçekten yüksek kaliteli ve teknik olarak "güzel" bir bilgi güvenliği sistemi oluşturmayı mümkün kılar. analiz için.
Ağ paketi aracılarının gelişmiş işlevleri
1. Yukarıda bahsedilen tünelli trafikte iç içe başlık dengeleme.
Neden önemlidir? Birlikte veya ayrı ayrı kritik olabilecek 3 yönü göz önünde bulundurun:
- Az sayıda tünel varlığında tekdüze dengeleme sağlamak. Bilgi güvenliği sistemlerinin bağlantı noktasında sadece 2 tünel olması durumunda, oturumu sürdürürken 3 sunucu platformunda harici başlıklar ile bunların dengesini bozmak mümkün olmayacaktır. Aynı zamanda, ağdaki trafik düzensiz bir şekilde iletilir ve her bir tünelin ayrı bir işleme tesisine yönlendirilmesi, ikincisinin aşırı performansını gerektirecektir;
- paketleri farklı tünellerde biten çok oturumlu protokollerin (örneğin FTP ve VoIP) oturumlarının ve akışlarının bütünlüğünün sağlanması. Ağ altyapısının karmaşıklığı sürekli olarak artmaktadır: artıklık, sanallaştırma, yönetimin basitleştirilmesi vb. Bu bir yandan veri iletimi açısından güvenilirliği arttırırken diğer yandan bilgi güvenliği sistemlerinin işini zorlaştırmaktadır. Analizörlerin performansı, tünelli özel bir kanalı işlemek için yeterli olsa bile, kullanıcı oturum paketlerinin bir kısmı başka bir kanal üzerinden iletildiği için sorun çözülemez hale gelir. Ayrıca, bazı altyapılarda oturumların bütünlüğünü hala sağlamaya çalışırlarsa, çok oturumlu protokoller tamamen farklı yollara gidebilir;
- MPLS, VLAN, bireysel ekipman etiketleri vb. mevcudiyetinde dengeleme. Gerçekten tüneller değil, ancak yine de, temel işlevselliğe sahip ekipman, bu trafiği IP olarak anlayamaz ve MAC adreslerine göre dengeleyerek, bir kez daha dengeleme tekdüzeliğini veya oturum bütünlüğünü ihlal eder.
Ağ paketi aracısı, dış başlıkları ayrıştırır ve sıralı olarak yuvalanmış IP başlığına kadar işaretçileri takip eder ve halihazırda üzerinde dengeler. Sonuç olarak, önemli ölçüde daha fazla akış vardır (sırasıyla, daha eşit ve daha fazla sayıda platformda dengesiz hale getirilebilir) ve DPI sistemi, tüm oturum paketlerini ve çok oturumlu protokollerin tüm ilişkili oturumlarını alır.
2. Trafik değişikliği.
Yetenekleri açısından en geniş işlevlerden biri, alt işlevlerin sayısı ve kullanım seçenekleri çoktur:
- yükün kaldırılması, bu durumda ayrıştırıcıya yalnızca paket üstbilgileri iletilir. Bu, analiz araçları veya paket içeriklerinin bir rol oynamadığı veya analiz edilemediği trafik türleri için geçerlidir. Örneğin, şifrelenmiş trafik için, parametrik değişim verileri (kim, kiminle, ne zaman ve ne kadar) ilgi çekici olabilirken, yük aslında analizörün kanalını ve bilgi işlem kaynaklarını işgal eden çöptür. Yük belirli bir ofsetten başlayarak kesildiğinde varyasyonlar mümkündür - bu, analiz araçları için ek kapsam sağlar;
- tünel açma, yani tünelleri belirleyen ve tanımlayan başlıkların kaldırılması. Amaç, analiz araçlarının üzerindeki yükü azaltmak ve verimliliklerini artırmaktır. Tünel açma, sabit bir ofsete veya dinamik başlık analizine ve paket bazında ofset belirlemeye dayalı olabilir;
- bazı paket başlıklarının kaldırılması: MPLS etiketleri, VLAN, üçüncü taraf ekipmanın belirli alanları;
- başlıkların bir kısmının maskelenmesi, örneğin trafiğin anonimleştirilmesini sağlamak için IP adreslerinin maskelenmesi;
- pakete hizmet bilgisi ekleme: zaman damgaları, giriş bağlantı noktası, trafik sınıfı etiketleri vb.
3. Tekilleştirme – analiz araçlarına iletilen tekrarlayan trafik paketlerinin temizlenmesi. Yinelenen paketler çoğunlukla altyapıya bağlanmanın özelliklerinden kaynaklanır - trafik birkaç analiz noktasından geçebilir ve her birinden yansıtılabilir. Eksik TCP paketlerinin yeniden gönderilmesi de vardır, ancak bunların çoğu varsa, bunlar daha çok ağın kalitesini izlemek için sorulardır, bilgi güvenliği için değil.
4. Gelişmiş filtreleme özellikleri – belirli bir ofsette belirli değerleri aramadan tüm paket boyunca imza analizine kadar.
5. NetFlow/IPFIX üretimi – geçen trafikle ilgili çok çeşitli istatistiklerin toplanması ve bunun analiz araçlarına aktarılması.
6. SSL trafiğinin şifresinin çözülmesi, sertifika ve anahtarların önce ağ paket aracısına yüklenmesi koşuluyla çalışır. Bununla birlikte, bu, analiz araçlarını önemli ölçüde boşaltmanıza olanak tanır.
Yararlı ve pazarlama gibi daha birçok işlev var, ancak belki de ana olanlar listelenmiştir.
Algılama sistemlerinin (izinsiz girişler, DDOS saldırıları) bunların önlenmesi için sistemlere geliştirilmesi ve aktif DPI araçlarının tanıtılması, anahtarlama şemasında pasiften (TAP veya SPAN bağlantı noktaları aracılığıyla) aktife (“kırılma”) bir değişiklik gerektirdi. ). Bu durum, güvenilirlik gereksinimlerini artırdı (çünkü bu durumda bir arıza, yalnızca bilgi güvenliği üzerindeki kontrol kaybına değil, tüm ağın bozulmasına yol açar) ve optik kuplörlerin optik baypaslarla değiştirilmesine yol açtı (sırasıyla) ağ performansının sistem bilgi güvenliği performansına bağımlılığı sorununu çözer), ancak bunun için temel işlevsellik ve gereksinimler aynı kaldı.
Tasarım ve devreden gömülü yazılıma kadar 100G, 40G ve 10G arayüzleriyle DS Integrity Network Packet Brokers geliştirdik. Ayrıca, diğer paket aracılarından farklı olarak, iç içe tünel başlıkları için değiştirme ve dengeleme işlevleri, donanımımızda tam bağlantı noktası hızında uygulanmaktadır.
Kaynak: habr.com