Інформаційна безпека відокремилася від телекомунікацій у самостійну галузь зі своєю специфікою та своїм обладнанням. Але є маловідомий клас пристроїв, що стоїть на стику телекому та інфобезу – брокери мережевих пакетів (Network Packet Broker), вони ж балансувальники навантаження, спеціалізовані/моніторингові комутатори, агрегатори трафіку, Security Delivery Platform, Network Visibility і таке інше. І нам, як російському розробнику та виробнику таких пристроїв, дуже хочеться розповісти про них докладніше.
Область застосування та розв'язувані задачі
Брокери мережних пакетів – спеціалізовані пристрої, які знайшли найбільше застосування у системах інформаційної безпеки. Як такий клас пристроїв відносно новий та нечисленний у загальноприйнятій мережній інфраструктурі порівняно з комутаторами, маршрутизаторами тощо. Піонером у розробці цього типу пристроїв була американська компанія Gigamon. В даний час гравців на цьому ринку стало значно більше (у тому числі подібні рішення є у відомого виробника тестових комплексів компанії IXIA), але про існування таких пристроїв, як і раніше, знає тільки вузьке коло професіоналів. Як було зазначено вище, навіть із термінологією немає однозначної визначеності: назви варіюються від «системи забезпечення прозорості мережі» до простого «балансера».
Розробляючи брокери мережевих пакетів, ми зіткнулися з тим, що крім аналізу напрямів розвитку функціоналу та випробувань у лабораторіях/тест-зонах, необхідно паралельно пояснювати потенційним споживачам про існування такого класу обладнання, оскільки не всі знають про нього.
Ще 15-20 років тому трафіку в мережі було мало, і це були переважно незначні дані. Але практично повторює : швидкість підключення до Інтернету збільшується щорічно на 50 %. Обсяг трафіку також неухильно зростає (на графіку представлений прогноз 2017 від компанії Cisco, джерело Cisco Visual Networking Index: Forecast and Trends, 2017-2022):
Разом зі швидкістю зростає важливість циркулюючої інформації (це і комерційна таємниця, і горезвісні персональні дані) та загалом працездатність інфраструктури.
Відповідно, з'явилася й галузь інформаційної безпеки. Промисловість відгукнулась появою цілого спектру пристроїв глибокого аналізу трафіку (DPI): від систем запобігання DDOS-атак до систем управління подіями інформаційної безпеки, включаючи IDS, IPS, DLP, NBA, SIEM, Antimailware тощо. Зазвичай кожний із цих засобів – це програмне забезпечення, яке встановлюється на серверну платформу. Причому кожна програма (засіб аналізу) встановлюється на серверну платформу: виробники ПЗ різні, та й обчислювальних ресурсів для аналізу на L7 потрібно багато.
При побудові системи інформаційної безпеки потрібно вирішити низку основних завдань:
- Як передавати трафік з інфраструктури на системи аналізу? (Спочатку розроблених для цього SPAN-портів у сучасній інфраструктурі недостатньо ні за кількістю, ні за продуктивністю)
- як розподіляти трафік між різними системами аналізу?
- як масштабувати системи при нестачі продуктивності одного екземпляра аналізатора для обробки всього обсягу трафіку, що надходить до нього?
- Як моніторити інтерфейси 40G/100G (а недалекому майбутньому і 200G/400G), оскільки засоби аналізу нині підтримують лише інтерфейси 1G/10G/25G?
І такі супутні завдання:
- Як мінімізувати нецільовий трафік, який не потребує обробки, але потрапляє на кошти аналізу та витрачає їх ресурси?
- яким чином обробляти інкапсульовані пакети та пакети зі службовими мітками обладнання, підготовка яких для аналізу виявляється або ресурсомісткою, або зовсім нереалізованою?
- яким чином виключити з аналізу частину трафіку, що не підпадає під регулювання безпекової політики (наприклад, трафік керівника).
Як відомо, попит народжує пропозицію, у відповідь ці потреби і почали розвиватися брокери мережевих пакетів.
Загальний опис брокерів мережних пакетів
Брокери мережних пакетів працюють лише на рівні пакетів, й у цьому вони схожі звичайні комутатори. Головна відмінність від комутаторів полягає в тому, що правила розподілу та агрегації трафіку у брокерах мережних пакетів повністю визначаються налаштуваннями. У брокерах мережевих пакетів немає стандартів побудови таблиць пересилання (MAC-таблиць) і протоколів обміну з іншими комутаторами (типу STP), а тому діапазон можливих налаштувань і полів, що розуміються в них набагато ширший. Брокер може рівномірно розподілити трафік з одного або кількох вхідних портів на заданий діапазон вихідних портів з рівномірною функцією навантаження по виходу. Можна встановити правила на копіювання, фільтрацію, класифікацію, дедуплікацію та модифікацію трафіку. Дані правила можна застосовувати до різних груп вхідних портів брокера мережевих пакетів, а також застосовувати послідовно один за одним у пристрої. Важливою перевагою пакетного брокера є можливість обробки трафіку на повній швидкості потоку та збереження цілісності сесій (у разі балансування трафіку на кілька однотипних систем DPI).
Збереження цілісності сесій полягає у передачі всіх пакетів сесії транспортного рівня (TCP/UDP/SCTP) в один порт. Це важливо, оскільки системи DPI (зазвичай це програмне забезпечення, запущене на сервері, підключеному до вихідного порту пакетного брокера) аналізують вміст трафіку на рівні додатків, і всі пакети, що надсилаються/приймаються одним додатком, повинні надходити на той самий екземпляр аналізатора . Якщо пакети однієї сесії втрачаються або розподіляються між різними пристроями DPI, то кожен окремий пристрій DPI опиниться в ситуації, аналогічній читанню не цільного тексту, а окремих слів із нього. І, найімовірніше, текст не зрозуміє.
Таким чином, будучи орієнтованими на системи інформаційної безпеки, брокери мережних пакетів мають функціонал, що допомагає підключити до високошвидкісних телекомунікаційних мереж програмні комплекси DPI та знизити навантаження на них: здійснюють попередню фільтрацію, класифікацію та підготовку трафіку для спрощення подальшої обробки.
Крім того, оскільки брокери мережевих пакетів видають широкий перелік статистики і часто виявляються підключеними до різних точок мережі, то при діагностиці проблем працездатності самої мережевої інфраструктури вони також знаходять своє місце.
Базові функції брокерів мережних пакетів
Назва «спеціалізовані/моніторингові комутатори» виникла від базового призначення: зібрати трафік з інфраструктури (зазвичай за допомогою пасивних оптичних відгалужувачів TAP та/або SPAN-портів) та розподілити між засобами аналізу. Між різнотипними системами трафік дзеркається (дублюється), між однотипними – балансується. У базові функції зазвичай входять фільтрація по полях до L4 (MAC, IP, TCP/UDP-порт і т.д.) і агрегація декількох слабонавантажених каналів в один (наприклад, для обробки на одній системі DPI).
Цей функціонал забезпечує вирішення базового завдання – підключення систем DPI до мережної інфраструктури. Брокери різних виробників, що обмежуються базовим функціоналом, забезпечують обробку до 32 100G інтерфейсів на 1U (більше інтерфейсів фізично не поміщається на передню панель 1U). Однак вони не дозволяють знизити навантаження на засоби аналізу, а для складної інфраструктури не можуть забезпечити навіть вимоги до базової функції: сесія, розподілена за декількома тунелями (або з MPLS-мітками) може розбалансуватися на різні екземпляри аналізатора і в цілому випасти з аналізу.
Крім додавання інтерфейсів 40/100G і, як наслідок, підвищення продуктивності, брокери мережевих пакетів активно розвиваються в частині надання нових можливостей: від балансування по вкладених заголовках тунелів до дешифрації трафіку. На жаль, такі моделі не можуть похвалитися продуктивністю в терабіти, зате дозволяють побудувати насправді якісну та технічно «красиву» систему інформаційної безпеки, в якій кожен засіб аналізу гарантовано отримує лише необхідну йому інформацію у найбільш підходящому для аналізу вигляді.
Розширені функції брокерів мережних пакетів
1. згадана вище балансування за вкладеними заголовками у тунельованому трафіку.
Чому це важливо? Розглянемо 3 аспекти, які можуть бути критичні разом або окремо:
- забезпечення рівномірності балансування за наявності невеликої кількості тунелів. У тому випадку, якщо в точці підключення систем інформаційної безпеки всього 2 тунелі, то розбалансувати їх за зовнішніми заголовками на 3 серверні платформи зі збереженням сесії не вийде. При цьому трафік у мережі передається нерівномірно, а напрямок кожного тунелю в окремий засіб обробки вимагатиме надмірної продуктивності останнього;
- забезпечення цілісності сесій та потоків мультисесійних протоколів (наприклад, FTP та VoIP), пакети яких опинилися у різних тунелях. Складність мережної інфраструктури постійно зростає: резервування, віртуалізація, спрощення адміністрування тощо. З одного боку, це підвищує надійність з погляду передачі даних, з іншого, ускладнює роботу систем інформаційної безпеки. Навіть при достатній продуктивності аналізаторів для обробки виділеного каналу з тунелями, проблема виявляється нерозв'язною, так як частина пакетів сесії користувача передається по іншому каналу. Причому якщо цілісність сесій у деяких інфраструктурах ще намагаються дбати, то мультисесійні протоколи можуть йти зовсім різними шляхами;
- балансування за наявності MPLS, VLAN, індивідуальних міток устаткування тощо. Не зовсім тунелі, проте обладнання з базовим функціоналом може розуміти даний трафік не як IP і балансувати за MAC-адресами, в черговий раз порушуючи рівномірність балансування або цілісність сесій.
Брокер мережних пакетів розбирає зовнішні заголовки і послідовно проходить за вказівниками до вкладеного IP-заголовка і балансує вже по ньому. Як результат - потоків стає істотно більше (відповідно можна розбалансувати рівномірніше і на більше платформ), і система DPI отримує всі пакети сесії та всі пов'язані сесії мультисесійних протоколів.
2. Модифікація трафіку.
Одна з найширших за своїми можливостями функцій, кількість підфункцій та варіантів їх застосування безліч:
- видалення payload, у разі на засіб аналізу передаються лише заголовки пакетів. Це актуально для засобів аналізу або типів трафіку, в яких вміст пакетів або не відіграє ролі, або не піддається аналізу. Наприклад, для шифрованого трафіку можуть бути цікаві параметричні дані обміну (хто, з ким, коли і скільки), а заробітна плата фактично є сміттям, що займає канал і обчислювальні ресурси аналізатора. Можливі варіації, коли payload обрізається, починаючи із заданого усунення – це надає додатковий простір засобам аналізу;
- детунелювання, а саме видалення заголовків, що позначають та ідентифікують тунелі. Мета - зниження навантаження на засоби аналізу та підвищення їх ефективності. Детунелювання може здійснюватися виходячи з фіксованого зміщення або з динамічним аналізом заголовків та визначенням зміщення для кожного пакета;
- видалення частини заголовків пакетів: MPLS-міток, VLAN, специфічних полів стороннього обладнання;
- маскування частини заголовків, наприклад, маскування IP-адрес для забезпечення анонімізації трафіку;
- додавання до пакету службової інформації: мітки часу, вхідного порту, мітки класу трафіку тощо.
3. Дедуплікація – очищення від пакетів трафіку, що повторюються, що передається на кошти аналізу. Пакети, що повторюються, найчастіше виникають через особливості підключення до інфраструктури – трафік може проходити через кілька точок аналізу і дзеркатися з кожною з них. Також зустрічається повторне відправлення TCP-пакетів, що не дійшли, але якщо їх багато, то це швидше питання до моніторингу якості мережі, а не до інформаційної безпеки в ній.
4. Розширені функції фільтрації – від пошуку конкретних значень із заданим зміщенням до сигнатурного аналізу по всьому пакету.
5. Генерація NetFlow/IPFIX - Збір широкого переліку статистики з проходить трафіку і його передача на кошти аналізу.
6. Дешифрація SSL-трафіку, працює за умови попереднього завантаження сертифіката та ключів у брокер мережевих пакетів. Проте це дозволяє суттєво розвантажити засоби аналізу.
Є ще безліч функцій, корисних та маркетингових, але основні, мабуть, перераховані.
Розвиток систем виявлення (вторгнень, DDOS-атак) у системи їх запобігання, а також впровадження активних засобів DPI вимагало зміни схеми включення з пасивної (через TAP чи SPAN-порти) на активну («розрив»). Дана обставина підвищила вимоги до надійності (бо вихід з ладу в такому випадку призводить до порушення працездатності всієї мережі, а не лише до втрати контролю над інформаційною безпекою) та призвело до заміни оптичних відгалужувачів на оптичні bypass (щоб вирішити проблему залежності працездатності мережі від працездатності систем інформаційної безпеки), але основний функціонал та вимоги до нього залишилися незмінними.
Ми розробили Брокери мережних пакетів DS Integrity з інтерфейсами 100G, 40G та 10G від конструкції та схемотехніки до вбудованого програмного забезпечення. Причому, на відміну від інших пакетних брокерів, функції модифікації та балансування за вкладеними заголовками тунелів у нас реалізуються апаратно, на повній швидкості портів.
Джерело: habr.com