انفارمیشن سیکورٹی نے ٹیلی کمیونیکیشن سے الگ ہو کر ایک خود مختار صنعت میں اپنی خصوصیات اور اپنے آلات کے ساتھ شامل کیا ہے۔ لیکن آلات کی ایک غیر معروف کلاس ہے جو ٹیلی کام اور انفوبیز کے سنگم پر کھڑی ہے۔ نیٹ ورک پیکٹ بروکرز (نیٹ ورک پیکٹ بروکر)، وہ لوڈ بیلنسرز، سپیشلائزڈ/مانیٹرنگ سوئچز، ٹریفک ایگریگیٹرز، سیکیورٹی ڈیلیوری پلیٹ فارم، نیٹ ورک ویزیبلٹی وغیرہ بھی ہیں۔ اور ہم، ایک روسی ڈویلپر اور اس طرح کے آلات بنانے والے کے طور پر، واقعی آپ کو ان کے بارے میں مزید بتانا چاہتے ہیں۔
دائرہ کار اور کاموں کو حل کرنا ہے۔
نیٹ ورک پیکٹ بروکرز خصوصی آلات ہیں جنہوں نے انفارمیشن سیکیورٹی سسٹم میں سب سے زیادہ استعمال پایا ہے۔ اس طرح، ڈیوائس کلاس نسبتاً نئی ہے اور عام نیٹ ورک انفراسٹرکچر میں سوئچز، راؤٹرز وغیرہ کے مقابلے میں کم ہے۔ اس قسم کے آلے کی ترقی میں سرخیل امریکی کمپنی گیگامون تھی۔ فی الحال، اس مارکیٹ میں نمایاں طور پر زیادہ کھلاڑی موجود ہیں (بشمول ٹیسٹ سسٹم کے معروف مینوفیکچرر - IXIA سے ملتے جلتے حل)، لیکن پیشہ ور افراد کا صرف ایک تنگ حلقہ اب بھی اس طرح کے آلات کے وجود کے بارے میں جانتا ہے۔ جیسا کہ اوپر بیان کیا گیا ہے، اصطلاحات کے ساتھ بھی کوئی مبہم یقین نہیں ہے: نام "نیٹ ورک ٹرانسپیرنسی سسٹم" سے لے کر سادہ "بیلنسرز" تک ہیں۔
نیٹ ورک پیکٹ بروکرز کی ترقی کے دوران، ہمیں اس حقیقت کا سامنا کرنا پڑا کہ، لیبارٹریز/ٹیسٹ زونز میں فعالیت اور جانچ کی ترقی کے لیے ہدایات کا تجزیہ کرنے کے ساتھ ساتھ، ممکنہ صارفین کو اس طبقے کے آلات کے وجود کے بارے میں بیک وقت سمجھانا بھی ضروری ہے۔ کیونکہ ہر کوئی اس کے بارے میں نہیں جانتا۔
یہاں تک کہ 15-20 سال پہلے، نیٹ ورک پر بہت کم ٹریفک تھا، اور یہ زیادہ تر غیر اہم ڈیٹا تھا۔ لیکن عملی طور پر دہرایا جاتا ہے : انٹرنیٹ کنکشن کی رفتار میں سالانہ 50% اضافہ ہوتا ہے۔ ٹریفک کا حجم بھی مسلسل بڑھ رہا ہے (گراف سسکو سے 2017 کی پیشن گوئی کو ظاہر کرتا ہے، ذریعہ Cisco Visual Networking Index: Forecast and Trends، 2017–2022):
رفتار کے ساتھ ساتھ، معلومات کی گردش کی اہمیت (یہ تجارتی راز اور بدنام زمانہ ذاتی ڈیٹا دونوں ہے) اور بنیادی ڈھانچے کی مجموعی کارکردگی میں اضافہ ہو رہا ہے۔
اس کے مطابق، انفارمیشن سیکیورٹی انڈسٹری ابھری ہے۔ صنعت نے ٹریفک تجزیہ (DPI) آلات کی ایک پوری رینج کے ساتھ اس کا جواب دیا ہے، DDOS حملے کی روک تھام کے نظام سے لے کر معلوماتی سیکورٹی ایونٹ مینجمنٹ سسٹمز، بشمول IDS، IPS، DLP، NBA، SIEM، Antimailware وغیرہ۔ عام طور پر، ان میں سے ہر ایک ٹول سافٹ ویئر ہے جو سرور پلیٹ فارم پر انسٹال ہوتا ہے۔ مزید یہ کہ، ہر پروگرام (تجزیہ کا آلہ) اس کے اپنے سرور پلیٹ فارم پر انسٹال ہوتا ہے: سافٹ ویئر بنانے والے مختلف ہوتے ہیں، اور L7 پر تجزیہ کے لیے بہت سارے کمپیوٹنگ وسائل درکار ہوتے ہیں۔
انفارمیشن سیکیورٹی سسٹم کی تعمیر کرتے وقت، کئی بنیادی کاموں کو حل کرنا ضروری ہے:
- ٹریفک کو انفراسٹرکچر سے تجزیہ نظام میں کیسے منتقل کیا جائے؟ (جدید انفراسٹرکچر میں اس کے لیے اصل میں تیار کی گئی اسپین بندرگاہیں مقدار یا کارکردگی کے لحاظ سے کافی نہیں ہیں)
- مختلف تجزیہ نظاموں کے درمیان ٹریفک کو کیسے تقسیم کیا جائے؟
- جب تجزیہ کار کی ایک مثال کی کارکردگی اس میں داخل ہونے والے ٹریفک کے پورے حجم کو پروسیس کرنے کے لیے کافی نہیں ہے تو سسٹم کو کیسے پیمانہ کیا جائے؟
- 40G/100G انٹرفیس (اور مستقبل قریب میں بھی 200G/400G) کی نگرانی کیسے کریں، کیونکہ تجزیہ کے ٹولز فی الحال صرف 1G/10G/25G انٹرفیس کو سپورٹ کرتے ہیں؟
اور درج ذیل متعلقہ کام:
- نامناسب ٹریفک کو کیسے کم کیا جائے جس پر کارروائی کرنے کی ضرورت نہیں ہے، لیکن تجزیہ کرنے والے ٹولز تک پہنچتے ہیں اور ان کے وسائل استعمال کرتے ہیں؟
- ہارڈویئر سروس مارکس کے ساتھ انکیپسلیٹڈ پیکٹوں اور پیکٹوں کو کیسے پروسیس کیا جائے، جس کی تیاری یا تو وسائل کے لحاظ سے بہت زیادہ ہے یا بالکل بھی ناقابلِ حقیقت؟
- ٹریفک کے تجزیہ والے حصے سے کیسے خارج کیا جائے جو سیکیورٹی پالیسی کے ذریعے ریگولیٹ نہیں ہوتا ہے (مثال کے طور پر ہیڈ ٹریفک)۔
جیسا کہ سب جانتے ہیں، طلب رسد پیدا کرتی ہے، ان ضروریات کے جواب میں، نیٹ ورک پیکٹ بروکرز تیار ہونے لگے۔
نیٹ ورک پیکٹ بروکرز کی عمومی تفصیل
نیٹ ورک پیکٹ بروکرز پیکٹ کی سطح پر کام کرتے ہیں، اور اس میں وہ عام سوئچز کی طرح ہوتے ہیں۔ سوئچز سے بنیادی فرق یہ ہے کہ نیٹ ورک پیکٹ بروکرز میں ٹریفک کی تقسیم اور جمع کرنے کے اصول مکمل طور پر سیٹنگز سے طے ہوتے ہیں۔ نیٹ ورک پیکٹ بروکرز کے پاس فارورڈنگ ٹیبلز (MAC ٹیبلز) بنانے اور دوسرے سوئچز (جیسے STP) کے ساتھ پروٹوکول کا تبادلہ کرنے کے معیارات نہیں ہوتے ہیں، اور اس وجہ سے ان میں ممکنہ ترتیبات اور قابل فہم فیلڈز کی حد زیادہ وسیع ہے۔ ایک بروکر آؤٹ پٹ لوڈ بیلنسنگ فیچر کے ساتھ آؤٹ پٹ پورٹس کی دی گئی رینج میں ایک یا زیادہ ان پٹ پورٹس سے ٹریفک کو یکساں طور پر تقسیم کر سکتا ہے۔ آپ نقل کرنے، فلٹر کرنے، درجہ بندی کرنے، نقل کرنے اور ٹریفک کو تبدیل کرنے کے لیے اصول مرتب کر سکتے ہیں۔ یہ اصول نیٹ ورک پیکٹ بروکر کے ان پٹ پورٹس کے مختلف گروپس پر لاگو کیے جاسکتے ہیں، اور ساتھ ہی ڈیوائس میں ایک کے بعد ایک ترتیب وار لاگو ہوتے ہیں۔ پیکٹ بروکر کا ایک اہم فائدہ ٹریفک کو مکمل بہاؤ کی شرح پر پروسیس کرنے اور سیشنز کی سالمیت کو محفوظ رکھنے کی صلاحیت ہے (ایک ہی قسم کے متعدد DPI سسٹمز میں ٹریفک کو متوازن کرنے کی صورت میں)۔
سیشنز کی سالمیت کو محفوظ رکھنا یہ ہے کہ ٹرانسپورٹ لیئر (TCP/UDP/SCTP) کے سیشن کے تمام پیکٹ کو ایک پورٹ پر منتقل کیا جائے۔ یہ ضروری ہے کیونکہ DPI سسٹمز (عام طور پر پیکٹ بروکر کے آؤٹ پٹ پورٹ سے منسلک سرور پر چلنے والا سافٹ ویئر) ایپلیکیشن لیئر پر ٹریفک کے مواد کا تجزیہ کرتے ہیں، اور ایک ایپلی کیشن کے ذریعے بھیجے/ موصول ہونے والے تمام پیکٹوں کو ایک ہی تجزیہ کار مثال پر جانا چاہیے۔ . اگر ایک سیشن کے پیکٹ گم ہو جاتے ہیں یا مختلف DPI آلات میں تقسیم ہو جاتے ہیں، تو ہر انفرادی DPI آلہ پوری متن کو نہیں بلکہ اس سے انفرادی الفاظ پڑھنے کے مترادف ہو گا۔ اور، زیادہ تر امکان، متن سمجھ نہیں آئے گا.
اس طرح، انفارمیشن سیکیورٹی سسٹمز پر توجہ مرکوز کرتے ہوئے، نیٹ ورک پیکٹ بروکرز کے پاس ایسی فعالیت ہوتی ہے جو DPI سافٹ ویئر سسٹم کو تیز رفتار ٹیلی کمیونیکیشن نیٹ ورکس سے جوڑنے اور ان پر بوجھ کو کم کرنے میں مدد کرتی ہے: وہ بعد میں پروسیسنگ کو آسان بنانے کے لیے پہلے سے فلٹر، درجہ بندی اور ٹریفک کو تیار کرتے ہیں۔
اس کے علاوہ، چونکہ نیٹ ورک پیکٹ بروکرز اعداد و شمار کی ایک وسیع رینج فراہم کرتے ہیں اور اکثر نیٹ ورک کے مختلف پوائنٹس سے جڑے ہوتے ہیں، اس لیے وہ نیٹ ورک کے بنیادی ڈھانچے کی صحت کے مسائل کی تشخیص میں بھی اپنی جگہ تلاش کرتے ہیں۔
نیٹ ورک پیکٹ بروکرز کے بنیادی کام
"ڈیڈیکیٹڈ/مانیٹرنگ سوئچز" کا نام بنیادی مقصد سے پیدا ہوا: انفراسٹرکچر سے ٹریفک جمع کرنا (عام طور پر غیر فعال آپٹیکل ٹی اے پی ٹیپس اور/یا اسپین پورٹس کا استعمال کرتے ہوئے) اور اسے تجزیہ کے ٹولز میں تقسیم کرنا۔ ٹریفک مختلف اقسام کے سسٹمز کے درمیان آئینہ دار (ڈپلیکیٹ) ہے، اور ایک ہی قسم کے سسٹمز کے درمیان متوازن ہے۔ بنیادی کاموں میں عام طور پر L4 (MAC, IP, TCP/UDP پورٹ وغیرہ) تک کی فیلڈز کے ذریعے فلٹرنگ اور کئی ہلکے بھرے ہوئے چینلز کو ایک میں جمع کرنا (مثال کے طور پر، ایک DPI سسٹم پر پروسیسنگ کے لیے) شامل ہیں۔
یہ فعالیت بنیادی کام کا حل فراہم کرتی ہے - DPI سسٹم کو نیٹ ورک کے بنیادی ڈھانچے سے جوڑنا۔ مختلف مینوفیکچررز کے بروکرز، بنیادی فعالیت تک محدود، فی 32U 100 1G انٹرفیس تک پروسیسنگ فراہم کرتے ہیں (مزید انٹرفیس 1U فرنٹ پینل پر جسمانی طور پر فٹ نہیں ہوتے ہیں)۔ تاہم، وہ تجزیہ کے ٹولز پر بوجھ کو کم کرنے کی اجازت نہیں دیتے ہیں، اور ایک پیچیدہ انفراسٹرکچر کے لیے وہ بنیادی فنکشن کی ضروریات بھی فراہم نہیں کر سکتے ہیں: کئی سرنگوں پر تقسیم کیا گیا سیشن (یا MPLS ٹیگز سے لیس) مختلف مثالوں کے لیے غیر متوازن ہو سکتا ہے۔ تجزیہ کار اور عام طور پر تجزیہ سے باہر ہو جاتے ہیں۔
40/100G انٹرفیس کو شامل کرنے کے علاوہ، اور اس کے نتیجے میں، کارکردگی میں بہتری، نیٹ ورک پیکٹ بروکرز بنیادی طور پر نئی خصوصیات فراہم کرنے کے سلسلے میں فعال طور پر ترقی کر رہے ہیں: نیسٹڈ ٹنل ہیڈرز پر توازن سے لے کر ٹریفک ڈیکرپشن تک۔ بدقسمتی سے، اس طرح کے ماڈلز ٹیرا بِٹس میں کارکردگی پر فخر نہیں کر سکتے، لیکن وہ واقعی ایک اعلیٰ معیار اور تکنیکی طور پر "خوبصورت" انفارمیشن سیکیورٹی سسٹم کی تعمیر کو ممکن بناتے ہیں جس میں ہر تجزیے کے آلے کو صرف وہی معلومات حاصل کرنے کی ضمانت دی جاتی ہے جس کی اسے سب سے زیادہ مناسب شکل میں ضرورت ہوتی ہے۔ تجزیہ کے لیے
نیٹ ورک پیکٹ بروکرز کے اعلی درجے کے افعال
1. اوپر ذکر کیا گیا ہے۔ ٹنیل ٹریفک میں نیسٹڈ ہیڈر کا توازن۔
یہ کیوں ضروری ہے؟ 3 پہلوؤں پر غور کریں جو ایک ساتھ یا الگ الگ اہم ہوسکتے ہیں:
- کم تعداد میں سرنگوں کی موجودگی میں یکساں توازن کو یقینی بنانا۔ ایسی صورت میں جب انفارمیشن سیکیورٹی سسٹم کے کنکشن کے مقام پر صرف 2 سرنگیں ہیں، تو سیشن کو برقرار رکھتے ہوئے 3 سرور پلیٹ فارمز پر بیرونی ہیڈرز کے ذریعے ان کو غیر متوازن کرنا ممکن نہیں ہوگا۔ ایک ہی وقت میں، نیٹ ورک میں ٹریفک غیر مساوی طور پر منتقل ہوتا ہے، اور ہر سرنگ کی سمت ایک علیحدہ پروسیسنگ سہولت کی طرف موخر الذکر کی ضرورت سے زیادہ کارکردگی کی ضرورت ہوگی۔
- ملٹی سیشن پروٹوکول (مثال کے طور پر، FTP اور VoIP) کے سیشنز اور اسٹریمز کی سالمیت کو یقینی بنانا، جن کے پیکٹ مختلف سرنگوں میں ختم ہوئے۔ نیٹ ورک کے بنیادی ڈھانچے کی پیچیدگی مسلسل بڑھ رہی ہے: فالتو پن، ورچوئلائزیشن، انتظامیہ کو آسان بنانا، وغیرہ۔ ایک طرف، یہ ڈیٹا ٹرانسمیشن کے لحاظ سے وشوسنییتا کو بڑھاتا ہے، دوسری طرف، یہ انفارمیشن سیکیورٹی سسٹم کے کام کو پیچیدہ بناتا ہے۔ سرنگوں کے ساتھ ایک سرشار چینل پر کارروائی کرنے کے لیے تجزیہ کاروں کی کافی کارکردگی کے باوجود، مسئلہ ناقابل حل نکلا، کیونکہ صارف کے سیشن کے کچھ پیکٹ دوسرے چینل پر منتقل کیے جاتے ہیں۔ مزید یہ کہ، اگر وہ اب بھی کچھ انفراسٹرکچر میں سیشنز کی سالمیت کا خیال رکھنے کی کوشش کرتے ہیں، تو ملٹی سیشن پروٹوکول بالکل مختلف طریقوں سے جا سکتے ہیں۔
- MPLS، VLAN، انفرادی آلات کے ٹیگز وغیرہ کی موجودگی میں توازن حقیقت میں سرنگیں نہیں ہیں، لیکن اس کے باوجود، بنیادی فعالیت والے آلات اس ٹریفک کو IP اور MAC ایڈریس کے ذریعے توازن کے طور پر نہیں سمجھ سکتے ہیں، جو ایک بار پھر توازن یا سیشن کی سالمیت کی یکسانیت کی خلاف ورزی کر رہے ہیں۔
نیٹ ورک پیکٹ بروکر بیرونی ہیڈرز کو پارس کرتا ہے اور ترتیب وار طور پر نیسٹڈ IP ہیڈر تک پوائنٹرز کی پیروی کرتا ہے اور اس پر پہلے سے بیلنس رکھتا ہے۔ نتیجے کے طور پر، نمایاں طور پر زیادہ سلسلے ہیں (بالترتیب، یہ زیادہ یکساں طور پر اور پلیٹ فارم کی ایک بڑی تعداد پر غیر متوازن ہو سکتا ہے)، اور DPI سسٹم تمام سیشن پیکٹ اور ملٹی سیشن پروٹوکول کے تمام متعلقہ سیشنز حاصل کرتا ہے۔
2. ٹریفک میں ترمیم۔
اس کی صلاحیتوں کے لحاظ سے وسیع ترین افعال میں سے ایک، ذیلی افعال کی تعداد اور ان کے استعمال کے اختیارات بہت سے ہیں:
- پے لوڈ کو ہٹانا، اس صورت میں صرف پیکٹ ہیڈر پارسر کو بھیجے جاتے ہیں۔ یہ تجزیہ ٹولز یا ٹریفک کی اقسام کے لیے متعلقہ ہے جس میں پیکٹ کے مواد یا تو کوئی کردار ادا نہیں کرتے یا ان کا تجزیہ نہیں کیا جا سکتا۔ مثال کے طور پر، انکرپٹڈ ٹریفک کے لیے، پیرامیٹرک ایکسچینج ڈیٹا (کون، کس کے ساتھ، کب، اور کتنا) دلچسپی کا حامل ہو سکتا ہے، جب کہ پے لوڈ دراصل ردی کی ٹوکری ہے جو تجزیہ کار کے چینل اور کمپیوٹنگ وسائل پر قبضہ کرتی ہے۔ تغیرات اس وقت ممکن ہوتے ہیں جب پے لوڈ کو کسی دیے گئے آفسیٹ سے شروع کرتے ہوئے کاٹ دیا جاتا ہے - یہ تجزیہ کے ٹولز کے لیے اضافی گنجائش فراہم کرتا ہے۔
- سرنگوں کو ختم کرنا، یعنی سرنگوں کی نشاندہی اور شناخت کرنے والے ہیڈرز کو ہٹانا۔ مقصد تجزیہ کے آلات پر بوجھ کو کم کرنا اور ان کی کارکردگی کو بڑھانا ہے۔ ڈیٹنلنگ ایک مقررہ آفسیٹ یا ڈائنامک ہیڈر تجزیہ اور ہر پیکٹ کے لیے آفسیٹ تعین پر مبنی ہو سکتی ہے۔
- کچھ پیکٹ ہیڈر کو ہٹانا: MPLS ٹیگز، VLAN، تیسرے فریق کے سامان کے مخصوص فیلڈز؛
- ہیڈر کے حصے کو ماسک کرنا، مثال کے طور پر، ٹریفک کی گمنامی کو یقینی بنانے کے لیے IP پتوں کو ماسک کرنا؛
- پیکٹ میں سروس کی معلومات شامل کرنا: ٹائم اسٹیمپ، ان پٹ پورٹ، ٹریفک کلاس لیبل وغیرہ۔
3. نقل کرنا - تجزیہ کے ٹولز میں منتقل ہونے والے بار بار ٹریفک پیکٹوں کی صفائی۔ ڈپلیکیٹ پیکٹ اکثر انفراسٹرکچر سے منسلک ہونے کی خصوصیات کی وجہ سے ہوتے ہیں - ٹریفک تجزیہ کے کئی پوائنٹس سے گزر سکتا ہے اور ان میں سے ہر ایک سے عکس بند کیا جا سکتا ہے۔ نامکمل TCP پیکٹوں کو دوبارہ بھیجنا بھی ہے، لیکن اگر ان میں سے بہت سارے ہیں، تو یہ نیٹ ورک کے معیار کی نگرانی کے لیے زیادہ سوالات ہیں، نہ کہ اس میں معلومات کی حفاظت کے لیے۔
4. اعلی درجے کی فلٹرنگ خصوصیات - دیئے گئے آفسیٹ پر مخصوص اقدار کی تلاش سے لے کر پورے پیکیج میں دستخطی تجزیہ تک۔
5. NetFlow/IPFIX نسل - گزرنے والے ٹریفک اور تجزیہ کے ٹولز میں اس کی منتقلی سے متعلق اعدادوشمار کی ایک وسیع رینج کا مجموعہ۔
6. SSL ٹریفک کی ڈکرپشن، کام کرتا ہے بشرطیکہ سرٹیفکیٹ اور چابیاں پہلے نیٹ ورک پیکٹ بروکر میں لوڈ ہوں۔ اس کے باوجود، یہ آپ کو تجزیہ کے ٹولز کو نمایاں طور پر اتارنے کی اجازت دیتا ہے۔
اور بھی بہت سے فنکشنز ہیں، کارآمد اور مارکیٹنگ، لیکن اہم، شاید، درج ہیں۔
ان کی روک تھام کے لیے سسٹمز میں ڈٹیکشن سسٹمز (مداخلت، ڈی ڈی او ایس حملے) کی ترقی کے ساتھ ساتھ فعال ڈی پی آئی ٹولز کے تعارف کے لیے سوئچنگ اسکیم کو غیر فعال (ٹی اے پی یا اسپین پورٹس کے ذریعے) سے فعال ("بریک" میں تبدیل کرنے کی ضرورت تھی۔ )۔ اس صورتحال نے وشوسنییتا کے تقاضوں میں اضافہ کیا (کیونکہ اس معاملے میں ناکامی پورے نیٹ ورک میں خلل کا باعث بنتی ہے، اور نہ صرف انفارمیشن سیکیورٹی پر کنٹرول کھو دیتی ہے) اور آپٹیکل بائی پاسز کے ساتھ آپٹیکل کپلر کو تبدیل کرنے کا باعث بنی (تاکہ سسٹم انفارمیشن سیکیورٹی کی کارکردگی پر نیٹ ورک کی کارکردگی کے انحصار کے مسئلے کو حل کریں)، لیکن اس کے لیے اہم فعالیت اور تقاضے وہی رہے۔
ہم نے DS Integrity Network Packet Brokers کو 100G، 40G اور 10G انٹرفیس کے ساتھ ڈیزائن اور سرکٹری سے لے کر ایمبیڈڈ سافٹ ویئر تک تیار کیا ہے۔ مزید برآں، دیگر پیکٹ بروکرز کے برعکس، نیسٹڈ ٹنل ہیڈرز کے لیے ترمیم اور توازن کے افعال ہمارے ہارڈ ویئر میں پوری پورٹ اسپیڈ پر لاگو ہوتے ہیں۔
ماخذ: www.habr.com