Axborot xavfsizligi telekommunikatsiyalardan o'ziga xos xususiyatlarga va o'ziga xos uskunalarga ega bo'lgan mustaqil sanoatga aylandi. Ammo telekommunikatsiya va axborot xavfsizligi chorrahasida joylashgan kam ma'lum bo'lgan qurilmalar sinfi mavjud - tarmoq paket brokerlari (Tarmoq paketi brokeri), shuningdek, yuk balanslagichlari, ixtisoslashtirilgan/monitoring kalitlari, trafik agregatorlari, xavfsizlikni etkazib berish platformasi, tarmoq ko'rinishi va boshqalar sifatida tanilgan. Va biz, rus ishlab chiqaruvchisi va bunday qurilmalarni ishlab chiqaruvchisi sifatida, sizga ular haqida ko'proq ma'lumot berishni xohlaymiz.
Ko'lami va hal qilinishi kerak bo'lgan vazifalar
Tarmoq paket brokerlari axborot xavfsizligi tizimlarida eng katta dasturni topgan maxsus qurilmalardir. Shunday qilib, ushbu toifadagi qurilmalar kommutatorlar, marshrutizatorlar va boshqalarga nisbatan asosiy tarmoq infratuzilmasida nisbatan yangi va kichikdir. Ushbu turdagi qurilmalarni ishlab chiqishda kashshof Amerikaning Gigamon kompaniyasi edi. Hozirgi vaqtda ushbu bozorda sezilarli darajada ko'proq o'yinchilar mavjud (shu jumladan taniqli sinov tizimlari ishlab chiqaruvchisi IXIA kompaniyasi ham shunga o'xshash echimlarga ega), ammo bunday qurilmalarning mavjudligi haqida faqat tor doiradagi mutaxassislar biladi. Yuqorida ta'kidlab o'tilganidek, hatto terminologiya ham aniq emas: nomlar "tarmoq shaffofligi tizimlari" dan oddiygina "balansatorlar" ga qadar.
Tarmoq paketli brokerlarni ishlab chiqishda biz laboratoriyalar/sinov zonalarida funksionallikni rivojlantirish yoβnalishlarini tahlil qilish va sinovdan oβtkazish bilan bir vaqtda potentsial isteβmolchilarga ushbu sinf uskunasining mavjudligini tushuntirish zarurligiga duch keldik. chunki bu haqda hamma ham bilmaydi.
Faqat 15-20 yil oldin tarmoqda trafik kam edi va bu asosan ahamiyatsiz ma'lumotlar edi. Lekin amalda takrorlanadi : Internetga ulanish tezligi har yili 50% ga oshadi. Trafik hajmi ham barqaror o'sib bormoqda (grafikda Cisco tomonidan 2017 yil uchun prognoz ko'rsatilgan, manba Cisco Visual Networking Index: Forecast and Trends, 2017β2022):
Tezlik bilan bir qatorda ma'lumotlarning aylanishining ahamiyati (bu ham tijorat siri, ham mashhur shaxsiy ma'lumotlar) va infratuzilmaning umumiy ishlashi ortadi.
Shunga ko'ra, axborot xavfsizligi sanoati paydo bo'ldi. Sanoat bunga javoban bir qator chuqur trafik tahlili (DPI) qurilmalari paydo bo'ldi: DDOS hujumlarini oldini olish tizimlaridan axborot xavfsizligi hodisalarini boshqarish tizimlariga, shu jumladan IDS, IPS, DLP, NBA, SIEM, Antimailware va boshqalar. Odatda, ushbu vositalarning har biri server platformasida o'rnatilgan dasturiy ta'minotdir. Bundan tashqari, har bir dastur (tahlil vositasi) o'z server platformasida o'rnatiladi: dasturiy ta'minot ishlab chiqaruvchilari har xil va L7 da tahlil qilish juda ko'p hisoblash resurslarini talab qiladi.
Axborot xavfsizligi tizimini yaratishda bir qator asosiy muammolarni hal qilish kerak:
- trafikni infratuzilmadan tahlil tizimlariga qanday o'tkazish mumkin? (Zamonaviy infratuzilmada dastlab shu maqsadda ishlab chiqilgan SPAN portlari miqdori ham, ishlashi ham etarli emas)
- turli tahlil tizimlari o'rtasida trafikni qanday taqsimlash mumkin?
- Agar bitta analizatorning ishlashi unga kiruvchi trafikning butun hajmini qayta ishlash uchun etarli bo'lmasa, tizimlarni qanday o'lchash kerak?
- 40G/100G interfeyslarini qanday kuzatish mumkin (va yaqin kelajakda 200G/400G), chunki tahlil vositalari hozirda faqat 1G/10G/25G interfeyslarini qo'llab-quvvatlaydi?
Va quyidagi tegishli vazifalar:
- Qayta ishlashni talab qilmaydigan, ammo tahlil vositalariga kiradigan va ularning resurslarini sarflaydigan maqsadsiz trafikni qanday kamaytirish mumkin?
- Tahlil qilish uchun tayyorgarlik ko'p resurslarni talab qiladigan yoki umuman amalga oshirish mumkin bo'lmagan uskunaning xizmat ko'rsatish belgilariga ega bo'lgan paketlar va paketlarni qanday qayta ishlash kerak?
- xavfsizlik siyosati bilan tartibga solinmagan trafikning bir qismini tahlildan qanday chiqarib tashlash mumkin (masalan, menejerning trafigini).
Hammaga ma'lumki, talab taklifni yaratadi va bu ehtiyojlarga javoban tarmoq paket brokerlari rivojlana boshladi.
Tarmoq paket brokerlarining umumiy tavsifi
Tarmoq paket brokerlari paketlar darajasida ishlaydi va shu tarzda ular oddiy kommutatorlarga o'xshaydi. Kommutatorlardan asosiy farqi shundaki, tarmoq paketi brokerlarida trafikni taqsimlash va yigβish qoidalari toβliq sozlamalar bilan belgilanadi. Tarmoq paketi brokerlarida boshqa kommutatorlar (masalan, STP) bilan uzatish jadvallarini (MAC jadvallari) qurish va protokollarni almashish standartlari mavjud emas, shuning uchun ulardagi mumkin bo'lgan sozlamalar va tushunarli maydonlar doirasi ancha kengroq. Broker chiqish yukini muvozanatlash xususiyati bilan bir yoki bir nechta kirish portlaridan ma'lum bir qator chiqish portlariga trafikni teng ravishda taqsimlashi mumkin. Nusxa ko'chirish, filtrlash, tasniflash, nusxalash va trafikni o'zgartirish qoidalarini o'rnatishingiz mumkin. Ushbu qoidalar tarmoq paketlari brokerining kirish portlarining turli guruhlariga qo'llanilishi mumkin va qurilmaning o'zida ham ketma-ket qo'llanilishi mumkin. Paket brokerining muhim afzalligi - bu trafikni to'liq oqim tezligida qayta ishlash va seanslarning yaxlitligini saqlash qobiliyati (bir xil turdagi bir nechta DPI tizimlariga trafikni muvozanatlashda).
Seans yaxlitligini saqlash barcha transport qatlami seans paketlarini (TCP/UDP/SCTP) bitta portga uzatishni o'z ichiga oladi. Bu juda muhim, chunki DPI tizimlari (odatda paket brokerining chiqish portiga ulangan serverda ishlaydigan dasturiy ta'minot) dastur darajasida trafik tarkibini tahlil qiladi va bitta dastur tomonidan yuborilgan/qabul qilingan barcha paketlar bir analizator misoliga kelishi kerak. Agar bitta seansdagi paketlar yo'qolsa yoki turli DPI qurilmalari orasida taqsimlansa, har bir alohida DPI qurilmasi butun matnni emas, balki undan alohida so'zlarni o'qishga o'xshash vaziyatga tushib qoladi. Va, ehtimol, matn tushunilmaydi.
Shunday qilib, axborot xavfsizligi tizimlariga yo'naltirilgan tarmoq paket brokerlari DPI dasturiy tizimlarini yuqori tezlikdagi telekommunikatsiya tarmoqlariga ulash va ularga yukni kamaytirishga yordam beradigan funksionallikka ega: ular keyingi qayta ishlashni soddalashtirish uchun dastlabki filtrlash, tasniflash va trafikni tayyorlashni amalga oshiradilar.
Bundan tashqari, tarmoq paketi brokerlari keng ko'lamli statistik ma'lumotlarni ishlab chiqaradiganligi va ko'pincha tarmoqning turli nuqtalariga ulanganligi sababli, ular tarmoq infratuzilmasi ishlashi bilan bog'liq muammolarni tashxislashda ham o'z o'rnini topadilar.
Tarmoq paketi brokerlarining asosiy vazifalari
"Ixtisoslashgan/monitoring kalitlari" nomi asosiy maqsaddan kelib chiqqan: infratuzilmadan trafikni yig'ish (odatda TAP va/yoki SPAN portlarining passiv optik ulanishlari yordamida) va uni tahlil vositalari o'rtasida taqsimlash. Trafik har xil turdagi tizimlar o'rtasida aks ettiriladi (ko'paytiriladi) va bir xil turdagi tizimlar o'rtasida muvozanatlanadi. Asosiy funktsiyalar odatda L4 (MAC, IP, TCP/UDP port va boshqalar) gacha bo'lgan maydonlar bo'yicha filtrlashni va bir nechta engil yuklangan kanallarni birlashtirishni (masalan, bitta DPI tizimida qayta ishlash uchun) o'z ichiga oladi.
Ushbu funksionallik DPI tizimlarini tarmoq infratuzilmasiga ulashning asosiy vazifasini hal qiladi. Asosiy funksionallik bilan cheklangan turli ishlab chiqaruvchilarning brokerlari 32U uchun 100 tagacha 1G interfeyslarni qayta ishlashni ta'minlaydi (ko'proq interfeyslar 1U old panelga jismonan mos kelmaydi). Biroq, ular tahlil vositalariga yukni kamaytirmaydi va murakkab infratuzilma uchun ular hatto asosiy funktsiyaga qo'yiladigan talablarni ham ta'minlay olmaydi: bir nechta tunnel bo'ylab taqsimlangan (yoki MPLS teglari bilan jihozlangan) seans turli analizator misollari va umuman olganda muvozanatsiz bo'lishi mumkin. tahlildan chiqib ketish.
40/100G interfeyslarini qo'shish va natijada unumdorlikni oshirishdan tashqari, tarmoq paket brokerlari tubdan yangi imkoniyatlarni taqdim etish nuqtai nazaridan faol rivojlanmoqda: ichki o'rnatilgan tunnel sarlavhalari asosida balanslashdan tortib, trafikni shifrlashgacha. Afsuski, bunday modellar terabitlarda ishlash bilan maqtana olmaydi, lekin ular sizga haqiqatan ham yuqori sifatli va texnik jihatdan "chiroyli" axborot xavfsizligi tizimini yaratishga imkon beradi, bunda har bir tahlil vositasi faqat kerakli ma'lumotlarni eng mos shaklda olish kafolatlanadi. tahlil qilish uchun.
Kengaytirilgan tarmoq paketli broker xususiyatlari
1. Yuqorida aytib o'tilgan tunnelli trafikda o'rnatilgan sarlavhalar asosida muvozanatlash.
Nima uchun bu muhim? Keling, birgalikda yoki alohida muhim bo'lishi mumkin bo'lgan 3 jihatni ko'rib chiqaylik:
- kam sonli tunnellar mavjudligida bir xil muvozanatni ta'minlash. Axborot xavfsizligi tizimlarining ulanish nuqtasida atigi 2 ta tunnel mavjud bo'lsa, seansni saqlab qolgan holda ularni 3 ta server platformasida tashqi sarlavhalar bo'yicha muvozanatdan chiqarish mumkin bo'lmaydi. Shu bilan birga, tarmoqdagi trafik notekis uzatiladi va har bir tunnelni alohida qayta ishlash ob'ektiga yo'naltirish ikkinchisining ortiqcha ishlashini talab qiladi;
- paketlari turli tunnellarda tugaydigan ko'p seansli protokollar (masalan, FTP va VoIP) seanslari va oqimlarining yaxlitligini ta'minlash. Tarmoq infratuzilmasi murakkabligi doimiy ravishda oshib bormoqda: ortiqcha, virtualizatsiya, boshqaruvni soddalashtirish va boshqalar. Bu, bir tomondan, ma'lumotlarni uzatish nuqtai nazaridan ishonchlilikni oshiradi, ikkinchi tomondan, axborot xavfsizligi tizimlarining ishlashini murakkablashtiradi. Agar analizatorlar tunnellar bilan ajratilgan kanalni qayta ishlash uchun etarli darajada ishlashga ega bo'lsa ham, muammoni hal qilib bo'lmaydi, chunki foydalanuvchi seans paketlarining bir qismi boshqa kanal orqali uzatiladi. Bundan tashqari, ba'zi infratuzilmalar hali ham sessiyalarning yaxlitligi haqida g'amxo'rlik qilishga harakat qilsa-da, ko'p sessiyali protokollar butunlay boshqa yo'llarni olishi mumkin;
- MPLS, VLAN, individual uskunalar teglari va boshqalar mavjudligida muvozanatlash. Aynan tunnellar emas, lekin shunga qaramay, asosiy funksionallikka ega uskunalar ushbu trafikni IP-dan boshqa narsa sifatida tushunishi va MAC manzillari asosida muvozanatlashi mumkin, bu esa muvozanatning bir xilligini yoki sessiyalarning yaxlitligini yana bir bor buzadi.
Tarmoq paketi brokeri tashqi sarlavhalarni tahlil qiladi va ko'rsatkichlarni ketma-ket joylashtirilgan IP sarlavhasigacha kuzatib boradi va undagi muvozanatni saqlaydi. Natijada, sezilarli darajada ko'proq oqimlar mavjud (mos ravishda, u bir tekisda va ko'proq platformalarda muvozanatsiz bo'lishi mumkin) va DPI tizimi barcha seans paketlarini va ko'p seansli protokollarning barcha tegishli seanslarini oladi.
2. Yo'l harakati modifikatsiyasi.
Imkoniyatlari bo'yicha eng keng funktsiyalardan biri, ko'plab kichik funktsiyalar va ularni qo'llash variantlari mavjud:
- foydali yukni o'chirish, bu holda faqat paket sarlavhalari tahlil vositasiga o'tkaziladi. Bu tahlil vositalari yoki paketlar mazmuni ahamiyatsiz yoki tahlil qilib bo'lmaydigan trafik turlari uchun tegishli. Masalan, shifrlangan trafik uchun parametrik almashinuv ma'lumotlari (kim, kim bilan, qachon va qancha) qiziq bo'lishi mumkin, ammo foydali yuk aslida analizatorning kanali va hisoblash resurslarini egallagan axlatdir. Ma'lum bir ofsetdan boshlab foydali yuk kesilganda o'zgarishlar bo'lishi mumkin - bu tahlil vositalari uchun qo'shimcha imkoniyatlarni beradi;
- detunneling, ya'ni tunnellarni bildiruvchi va identifikatsiya qiluvchi sarlavhalarni olib tashlash. Maqsad tahlil vositalariga yukni kamaytirish va ularning samaradorligini oshirishdir. Detunneling belgilangan ofsetga yoki har bir paket uchun dinamik sarlavha tahlili va ofsetni aniqlashga asoslangan bo'lishi mumkin;
- paket sarlavhalarining bir qismini olib tashlash: MPLS teglari, VLAN, uchinchi tomon uskunalarining maxsus maydonlari;
- sarlavhalarning bir qismini maskalash, masalan, trafikni anonimlashtirishni ta'minlash uchun IP manzillarini maskalash;
- paketga xizmat ma'lumotlarini qo'shish: vaqt tamg'asi, kirish porti, trafik klassi yorlig'i va boshqalar.
3. Deduplikatsiya β tahlil vositalariga uzatiladigan ikki nusxadagi trafik paketlarini tozalash. Ikki nusxadagi paketlar ko'pincha infratuzilmaga ulanish xususiyati tufayli yuzaga keladi - trafik bir nechta tahlil nuqtalaridan o'tishi va ularning har biridan aks ettirilishi mumkin. Yetkazib berilmagan TCP paketlarini qayta yuborish ham keng tarqalgan, ammo agar ular juda ko'p bo'lsa, bu tarmoqdagi axborot xavfsizligini emas, balki uning sifatini kuzatish bilan bog'liq muammolardir.
4. Kengaytirilgan filtrlash funksiyalari - berilgan ofsetda ma'lum qiymatlarni qidirishdan butun paketning imzo tahliliga qadar.
5. NetFlow/IPFIX avlodi - o'tish va tahlil vositalariga o'tkazish bo'yicha keng ko'lamli statistik ma'lumotlarni to'plash.
6. SSL trafigini dekodlash, Agar sertifikat va kalitlar avval tarmoq paketi brokeriga yuklangan bo'lsa ishlaydi. Shunga qaramay, bu sizga tahlil vositalarini sezilarli darajada engillashtirishga imkon beradi.
Yana ko'p foydali va marketing funktsiyalari mavjud, ammo asosiylari ro'yxatga olingan bo'lishi mumkin.
Aniqlash tizimlarini (intrusionlar, DDOS hujumlari) ularni oldini olish tizimlariga aylantirish, shuningdek faol DPI vositalarini joriy etish kommutatsiya sxemasini passivdan (TAP yoki SPAN portlari orqali) faolga (bo'shliqda) o'zgartirishni talab qildi. β). Bu holat ishonchlilik talablarini oshirdi (chunki bu holda nosozlik butun tarmoqning buzilishiga olib keladi, nafaqat axborot xavfsizligi ustidan nazoratni yo'qotadi) va optik bog'lovchilarni optik aylanib o'tish bilan almashtirishga olib keldi (muammoni hal qilish uchun tarmoq ishlashining tizimning axborot xavfsizligining ishlashiga bog'liqligi), lekin asosiy funksionallik va unga qo'yiladigan talablar bir xil bo'lib qolmoqda.
Biz 100G, 40G va 10G interfeyslarga ega DS Integrity Network Packet Brokersni ishlab chiqdik, dizayn va sxema dizaynidan tortib proshivkagacha. Bundan tashqari, boshqa paketli brokerlardan farqli o'laroq, o'rnatilgan tunnel sarlavhalarini o'zgartirish va muvozanatlash funktsiyalari apparatda, to'liq port tezligida amalga oshiriladi.
Manba: www.habr.com