Bảo mật thông tin đã tách khỏi viễn thông thành một ngành độc lập với các chi tiết cụ thể và thiết bị riêng. Nhưng có một loại thiết bị ít được biết đến đứng ở ngã ba của viễn thông và infobez - môi giới gói mạng (Nhà môi giới gói mạng), chúng cũng là bộ cân bằng tải, bộ chuyển mạch giám sát / chuyên dụng, bộ tổng hợp lưu lượng, Nền tảng phân phối bảo mật, Khả năng hiển thị mạng, v.v. Và chúng tôi, với tư cách là nhà phát triển và sản xuất các thiết bị như vậy của Nga, thực sự muốn cho bạn biết thêm về chúng.
Phạm vi và nhiệm vụ cần giải quyết
Bộ môi giới gói mạng là thiết bị chuyên dụng được sử dụng nhiều nhất trong các hệ thống bảo mật thông tin. Như vậy, lớp thiết bị tương đối mới và ít có trong cơ sở hạ tầng mạng chung so với bộ chuyển mạch, bộ định tuyến, v.v. Người tiên phong trong việc phát triển loại thiết bị này là công ty Gigamon của Mỹ. Hiện tại, có nhiều người chơi hơn trên thị trường này (bao gồm cả các giải pháp tương tự từ nhà sản xuất hệ thống thử nghiệm nổi tiếng - IXIA), nhưng chỉ một nhóm chuyên gia hẹp vẫn biết về sự tồn tại của các thiết bị đó. Như đã lưu ý ở trên, ngay cả với thuật ngữ, không có sự chắc chắn rõ ràng: các tên bao gồm từ "hệ thống minh bạch mạng" đến "bộ cân bằng" đơn giản.
Trong khi phát triển các nhà môi giới gói mạng, chúng tôi phải đối mặt với thực tế là ngoài việc phân tích các hướng phát triển chức năng và thử nghiệm trong các phòng thí nghiệm / khu vực thử nghiệm, cần phải đồng thời giải thích cho người tiêu dùng tiềm năng về sự tồn tại của loại thiết bị này , vì không phải ai cũng biết về nó.
Thậm chí 15-20 năm trước, có rất ít lưu lượng truy cập trên mạng và hầu hết đó là dữ liệu không quan trọng. Nhưng thực tế lặp đi lặp lại : Tốc độ kết nối Internet tăng 50% hàng năm. Lưu lượng truy cập cũng tăng đều (biểu đồ hiển thị dự báo năm 2017 từ Cisco, nguồn Chỉ số mạng trực quan của Cisco: Dự báo và xu hướng, 2017–2022):
Cùng với tốc độ, tầm quan trọng của việc lưu thông thông tin (đây vừa là bí mật thương mại vừa là dữ liệu cá nhân khét tiếng) và hiệu suất tổng thể của cơ sở hạ tầng đang tăng lên.
Theo đó, ngành an toàn thông tin ra đời. Ngành công nghiệp đã đáp ứng điều này bằng một loạt các thiết bị phân tích lưu lượng (DPI), từ hệ thống ngăn chặn tấn công DDOS đến hệ thống quản lý sự kiện bảo mật thông tin, bao gồm IDS, IPS, DLP, NBA, SIEM, Antimailware, v.v. Thông thường, mỗi công cụ này là phần mềm được cài đặt trên nền tảng máy chủ. Hơn nữa, mỗi chương trình (công cụ phân tích) được cài đặt trên nền tảng máy chủ của riêng nó: các nhà sản xuất phần mềm khác nhau và cần nhiều tài nguyên máy tính để phân tích trên L7.
Khi xây dựng hệ thống an toàn thông tin cần giải quyết một số nhiệm vụ cơ bản sau:
- làm cách nào để chuyển lưu lượng từ cơ sở hạ tầng sang hệ thống phân tích? (các cổng SPAN ban đầu được phát triển cho điều này trong cơ sở hạ tầng hiện đại không đủ về số lượng cũng như hiệu suất)
- làm thế nào để phân phối lưu lượng giữa các hệ thống phân tích khác nhau?
- làm cách nào để mở rộng quy mô hệ thống khi không có đủ hiệu suất của một phiên bản máy phân tích để xử lý toàn bộ lưu lượng truy cập vào nó?
- làm cách nào để theo dõi các giao diện 40G/100G (và trong tương lai gần là 200G/400G), vì các công cụ phân tích hiện chỉ hỗ trợ các giao diện 1G/10G/25G?
Và các công việc liên quan sau:
- làm cách nào để giảm thiểu lưu lượng truy cập không phù hợp không cần xử lý nhưng lại đến được các công cụ phân tích và tiêu tốn tài nguyên của chúng?
- làm thế nào để xử lý các gói được đóng gói và các gói có nhãn hiệu dịch vụ phần cứng, việc chuẩn bị để phân tích hóa ra lại tốn nhiều tài nguyên hoặc hoàn toàn không thể thực hiện được?
- làm thế nào để loại trừ khỏi phần phân tích lưu lượng truy cập không được quy định bởi chính sách bảo mật (ví dụ: lưu lượng truy cập của người đứng đầu).
Như mọi người đã biết, cầu tạo ra cung, để đáp ứng những nhu cầu này, các nhà môi giới gói mạng bắt đầu phát triển.
Mô tả chung về Network Packet Brokers
Các nhà môi giới gói mạng hoạt động ở cấp độ gói và ở cấp độ này, chúng tương tự như các bộ chuyển mạch thông thường. Sự khác biệt chính so với các thiết bị chuyển mạch là các quy tắc phân phối và tổng hợp lưu lượng trong các nhà môi giới gói mạng hoàn toàn được xác định bởi các cài đặt. Các nhà môi giới gói mạng không có tiêu chuẩn để xây dựng bảng chuyển tiếp (bảng MAC) và trao đổi giao thức với các công tắc khác (chẳng hạn như STP), do đó, phạm vi cài đặt có thể và các trường dễ hiểu trong đó rộng hơn nhiều. Một nhà môi giới có thể phân phối đồng đều lưu lượng truy cập từ một hoặc nhiều cổng đầu vào đến một phạm vi cổng đầu ra nhất định với tính năng cân bằng tải đầu ra. Bạn có thể đặt quy tắc sao chép, lọc, phân loại, loại bỏ trùng lặp và sửa đổi lưu lượng. Các quy tắc này có thể được áp dụng cho các nhóm cổng đầu vào khác nhau của nhà môi giới gói mạng, cũng như được áp dụng tuần tự lần lượt trong chính thiết bị. Một lợi thế quan trọng của nhà môi giới gói là khả năng xử lý lưu lượng ở tốc độ dòng đầy đủ và duy trì tính toàn vẹn của các phiên (trong trường hợp cân bằng lưu lượng cho một số hệ thống DPI cùng loại).
Bảo toàn tính toàn vẹn của các phiên là chuyển tất cả các gói của phiên của lớp vận chuyển (TCP / UDP / SCTP) sang một cổng. Điều này rất quan trọng vì các hệ thống DPI (thường là phần mềm chạy trên máy chủ được kết nối với cổng đầu ra của nhà môi giới gói) phân tích nội dung lưu lượng ở cấp ứng dụng và tất cả các gói được gửi/nhận bởi một ứng dụng phải đến cùng một phiên bản của máy phân tích . Nếu các gói của một phiên bị mất hoặc phân tán giữa các thiết bị DPI khác nhau, thì mỗi thiết bị DPI riêng lẻ sẽ ở trong tình huống tương tự như đọc không phải toàn bộ văn bản mà là các từ riêng lẻ trong đó. Và, rất có thể, văn bản sẽ không hiểu.
Do đó, tập trung vào các hệ thống bảo mật thông tin, các nhà môi giới gói mạng có chức năng giúp kết nối các hệ thống phần mềm DPI với các mạng viễn thông tốc độ cao và giảm tải cho chúng: chúng lọc trước, phân loại và chuẩn bị lưu lượng để đơn giản hóa quá trình xử lý tiếp theo.
Ngoài ra, vì các nhà môi giới gói mạng cung cấp nhiều loại thống kê và thường được kết nối với nhiều điểm khác nhau trong mạng, nên chúng cũng tìm thấy vị trí của mình trong việc chẩn đoán các vấn đề sức khỏe của chính cơ sở hạ tầng mạng.
Các chức năng cơ bản của Network Packet Brokers
Cái tên "thiết bị chuyển mạch chuyên dụng/giám sát" xuất phát từ mục đích cơ bản: thu thập lưu lượng truy cập từ cơ sở hạ tầng (thường sử dụng vòi TAP quang thụ động và/hoặc cổng SPAN) và phân phối nó giữa các công cụ phân tích. Lưu lượng được nhân đôi (nhân đôi) giữa các hệ thống thuộc các loại khác nhau và được cân bằng giữa các hệ thống cùng loại. Các chức năng cơ bản thường bao gồm lọc theo các trường lên đến L4 (MAC, IP, cổng TCP / UDP, v.v.) và tổng hợp một số kênh được tải nhẹ thành một (ví dụ: để xử lý trên một hệ thống DPI).
Chức năng này cung cấp giải pháp cho nhiệm vụ cơ bản - kết nối hệ thống DPI với cơ sở hạ tầng mạng. Môi giới từ các nhà sản xuất khác nhau, giới hạn ở chức năng cơ bản, cung cấp khả năng xử lý tối đa 32 giao diện 100G trên mỗi 1U (nhiều giao diện hơn không vừa với mặt trước của 1U). Tuy nhiên, chúng không cho phép giảm tải cho các công cụ phân tích và đối với cơ sở hạ tầng phức tạp, chúng thậm chí không thể cung cấp các yêu cầu cho chức năng cơ bản: một phiên được phân phối trên một số đường hầm (hoặc được trang bị các thẻ MPLS) có thể không cân bằng đối với các trường hợp khác nhau của máy phân tích và thường rơi ra khỏi phân tích.
Ngoài việc bổ sung các giao diện 40/100G và kết quả là cải thiện hiệu suất, các nhà môi giới gói mạng đang tích cực phát triển về mặt cung cấp các tính năng mới về cơ bản: từ cân bằng trên các tiêu đề đường hầm lồng nhau đến giải mã lưu lượng. Thật không may, những mô hình như vậy không thể tự hào về hiệu suất tính bằng terabit, nhưng chúng có thể xây dựng một hệ thống bảo mật thông tin thực sự chất lượng cao và “đẹp” về mặt kỹ thuật, trong đó mỗi công cụ phân tích được đảm bảo chỉ nhận thông tin cần thiết ở dạng phù hợp nhất để phân tích.
Các chức năng nâng cao của nhà môi giới gói mạng
1. Đã đề cập ở trên cân bằng tiêu đề lồng nhau trong lưu lượng đường hầm.
Tại sao nó lại quan trọng? Xem xét 3 khía cạnh có thể quan trọng cùng nhau hoặc riêng biệt:
- đảm bảo cân bằng thống nhất khi có một số lượng nhỏ đường hầm. Trong trường hợp chỉ có 2 đường hầm tại điểm kết nối của các hệ thống an toàn thông tin, thì sẽ không thể mất cân bằng chúng bằng các tiêu đề bên ngoài trên 3 nền tảng máy chủ trong khi duy trì phiên. Đồng thời, lưu lượng truy cập trong mạng được truyền không đồng đều và hướng của mỗi đường hầm đến một cơ sở xử lý riêng biệt sẽ yêu cầu hiệu suất quá mức của cơ sở xử lý sau;
- đảm bảo tính toàn vẹn của các phiên và luồng của các giao thức đa phiên (ví dụ: FTP và VoIP), các gói kết thúc trong các đường hầm khác nhau. Sự phức tạp của cơ sở hạ tầng mạng không ngừng tăng lên: dự phòng, ảo hóa, đơn giản hóa quản trị, v.v. Một mặt, điều này làm tăng độ tin cậy khi truyền dữ liệu, mặt khác, nó làm phức tạp công việc của các hệ thống bảo mật thông tin. Ngay cả khi bộ phân tích có đủ hiệu năng để xử lý một kênh chuyên dụng có đường hầm, vấn đề vẫn không thể giải quyết được do một số gói phiên người dùng được truyền qua một kênh khác. Hơn nữa, nếu chúng vẫn cố gắng quan tâm đến tính toàn vẹn của các phiên trong một số cơ sở hạ tầng, thì các giao thức đa phiên có thể đi theo những cách hoàn toàn khác;
- cân bằng với sự có mặt của MPLS, VLAN, thẻ thiết bị riêng lẻ, v.v. Không thực sự là đường hầm, tuy nhiên, thiết bị có chức năng cơ bản có thể hiểu lưu lượng này không phải là IP và cân bằng theo địa chỉ MAC, một lần nữa vi phạm tính đồng nhất của cân bằng hoặc tính toàn vẹn của phiên.
Nhà môi giới gói mạng phân tích cú pháp các tiêu đề bên ngoài và theo tuần tự các con trỏ cho đến tiêu đề IP lồng nhau và cân bằng đã có trên đó. Do đó, có nhiều luồng hơn đáng kể (tương ứng, nó có thể không cân bằng đồng đều hơn và trên nhiều nền tảng hơn) và hệ thống DPI nhận được tất cả các gói phiên và tất cả các phiên liên quan của giao thức nhiều phiên.
2. Sửa đổi giao thông.
Một trong những chức năng rộng nhất về khả năng của nó, số lượng chức năng con và tùy chọn để sử dụng chúng rất nhiều:
- loại bỏ tải trọng, trong trường hợp đó, chỉ các tiêu đề gói được chuyển đến trình phân tích cú pháp. Điều này phù hợp với các công cụ phân tích hoặc các loại lưu lượng trong đó nội dung của các gói không đóng vai trò hoặc không thể phân tích được. Ví dụ: đối với lưu lượng được mã hóa, dữ liệu trao đổi tham số (ai, với ai, khi nào và bao nhiêu) có thể được quan tâm, trong khi tải trọng thực sự là rác chiếm kênh và tài nguyên máy tính của bộ phân tích. Các biến thể có thể xảy ra khi tải trọng bị cắt bắt đầu từ một độ lệch nhất định - điều này cung cấp phạm vi bổ sung cho các công cụ phân tích;
- detunneling, cụ thể là loại bỏ các tiêu đề chỉ định và xác định các đường hầm. Mục tiêu là giảm tải cho các công cụ phân tích và tăng hiệu quả của chúng. Detunneling có thể dựa trên độ lệch cố định hoặc với phân tích tiêu đề động và xác định độ lệch trên cơ sở từng gói;
- loại bỏ một số tiêu đề gói: thẻ MPLS, Vlan, các trường cụ thể của thiết bị bên thứ ba;
- che một phần của tiêu đề, ví dụ, che địa chỉ IP để đảm bảo ẩn danh lưu lượng truy cập;
- thêm thông tin dịch vụ vào gói: dấu thời gian, cổng đầu vào, nhãn lớp lưu lượng, v.v.
3. Chống trùng lặp – làm sạch các gói lưu lượng lặp đi lặp lại được truyền đến các công cụ phân tích. Các gói trùng lặp thường xảy ra nhất do đặc thù của việc kết nối với cơ sở hạ tầng - lưu lượng truy cập có thể đi qua một số điểm phân tích và được nhân đôi từ mỗi điểm đó. Ngoài ra còn có việc gửi lại các gói TCP không hoàn chỉnh, nhưng nếu có nhiều gói, thì đây là những câu hỏi nhiều hơn để theo dõi chất lượng của mạng chứ không phải để bảo mật thông tin trong đó.
4. Tính năng lọc nâng cao – từ tìm kiếm các giá trị cụ thể ở một độ lệch nhất định đến phân tích chữ ký trong toàn bộ gói.
5. Tạo NetFlow/IPFIX – tập hợp nhiều loại số liệu thống kê về lưu lượng truy cập đi qua và chuyển giao cho các công cụ phân tích.
6. Giải mã lưu lượng SSL, hoạt động với điều kiện là chứng chỉ và khóa trước tiên được tải vào nhà môi giới gói mạng. Tuy nhiên, điều này cho phép bạn dỡ bỏ đáng kể các công cụ phân tích.
Còn nhiều chức năng khác, hữu ích và tiếp thị, nhưng có lẽ những chức năng chính đã được liệt kê.
Việc phát triển các hệ thống phát hiện (xâm nhập, tấn công DDOS) vào các hệ thống để ngăn chặn chúng, cũng như giới thiệu các công cụ DPI hoạt động, yêu cầu thay đổi sơ đồ chuyển đổi từ thụ động (thông qua cổng TAP hoặc SPAN) sang hoạt động ("ngừng hoạt động" ). Tình huống này làm tăng các yêu cầu về độ tin cậy (vì lỗi trong trường hợp này dẫn đến gián đoạn toàn bộ mạng và không chỉ mất kiểm soát đối với bảo mật thông tin) và dẫn đến việc thay thế các bộ ghép quang bằng các đường vòng quang (để giải quyết vấn đề về sự phụ thuộc của hiệu suất mạng vào hiệu suất của bảo mật thông tin hệ thống), nhưng các chức năng và yêu cầu chính đối với nó vẫn giữ nguyên.
Chúng tôi đã phát triển DS Integrity Network Packet Brokers với các giao diện 100G, 40G và 10G từ thiết kế và mạch cho đến phần mềm nhúng. Ngoài ra, không giống như các nhà môi giới gói khác, các chức năng sửa đổi và cân bằng cho các tiêu đề đường hầm lồng nhau được triển khai trong phần cứng của chúng tôi, ở tốc độ cổng tối đa.
Nguồn: www.habr.com