ProHoster > Блог > Isakoso > Awọn solusan ode oni fun kikọ awọn eto aabo alaye - awọn alagbata soso nẹtiwọọki (Alagbata Packet Nẹtiwọọki)

Awọn solusan ode oni fun kikọ awọn eto aabo alaye - awọn alagbata soso nẹtiwọọki (Alagbata Packet Nẹtiwọọki)

Aabo alaye ti yapa lati awọn ibaraẹnisọrọ si ile-iṣẹ ominira pẹlu awọn pato tirẹ ati ohun elo tirẹ. Ṣugbọn kilasi ti a mọ diẹ ti awọn ẹrọ ti o duro ni isunmọ ti telecom ati infobez - awọn alagbata soso nẹtiwọki (Alagbata Packet Nẹtiwọọki), wọn tun jẹ awọn iwọntunwọnsi fifuye, amọja / awọn iyipada ibojuwo, awọn aggregators ijabọ, Platform Ifijiṣẹ Aabo, Hihan Nẹtiwọọki ati bẹbẹ lọ. Ati pe awa, gẹgẹbi olupilẹṣẹ Russia ati olupese ti iru awọn ẹrọ, gaan fẹ lati sọ fun ọ diẹ sii nipa wọn.

Awọn solusan ode oni fun kikọ awọn eto aabo alaye - awọn alagbata soso nẹtiwọọki (Alagbata Packet Nẹtiwọọki)

Iwọn ati awọn iṣẹ-ṣiṣe lati yanju

Awọn alagbata soso nẹtiwọki jẹ awọn ẹrọ amọja ti o ti rii lilo nla julọ ni awọn eto aabo alaye. Bii iru bẹẹ, kilasi ẹrọ jẹ tuntun tuntun ati diẹ ninu awọn amayederun nẹtiwọọki ti o wọpọ ni akawe si awọn iyipada, awọn olulana, ati bẹbẹ lọ. Awọn aṣáájú-ọnà ni idagbasoke iru ẹrọ yii jẹ ile-iṣẹ Amẹrika Gigamon. Lọwọlọwọ, awọn oṣere diẹ sii wa ni ọja yii (pẹlu awọn solusan ti o jọra lati ọdọ olupese olokiki ti awọn eto idanwo - IXIA), ṣugbọn Circle dín ti awọn akosemose tun mọ nipa aye ti iru awọn ẹrọ. Gẹgẹbi a ti ṣe akiyesi loke, paapaa pẹlu awọn ọrọ-ọrọ ko si idaniloju ti ko ni idaniloju: awọn orukọ wa lati "awọn ọna ṣiṣe ti nẹtiwọọki" si "awọn iwọntunwọnsi" ti o rọrun.

Lakoko ti o ndagbasoke awọn alagbata soso nẹtiwọọki, a dojuko pẹlu otitọ pe, ni afikun si itupalẹ awọn itọnisọna fun idagbasoke iṣẹ ṣiṣe ati idanwo ni awọn ile-iṣere / awọn agbegbe idanwo, o jẹ dandan lati ṣalaye ni nigbakannaa si awọn alabara ti o ni agbara nipa aye ti kilasi ohun elo yii. , niwon ko gbogbo eniyan mo nipa o.

Paapaa 15-20 ọdun sẹyin, ijabọ kekere wa lori nẹtiwọọki, ati pe o jẹ data ti ko ṣe pataki julọ. Sugbon Nielsen ká ofin Oba ntun Moore ká ofinIyara asopọ Intanẹẹti pọ si nipasẹ 50% lododun. Iwọn ijabọ tun n dagba ni imurasilẹ (ayaworan naa fihan asọtẹlẹ 2017 lati Sisiko, orisun Atọka Nẹtiwọọki Wiwo Cisco: Asọtẹlẹ ati Awọn aṣa, 2017–2022):

Awọn solusan ode oni fun kikọ awọn eto aabo alaye - awọn alagbata soso nẹtiwọọki (Alagbata Packet Nẹtiwọọki)
Pẹlú iyara, pataki ti alaye kaakiri (eyi jẹ mejeeji aṣiri iṣowo ati data ti ara ẹni olokiki) ati iṣẹ gbogbogbo ti awọn amayederun n pọ si.

Nitorinaa, ile-iṣẹ aabo alaye ti farahan. Ile-iṣẹ naa ti dahun si eyi pẹlu gbogbo awọn ẹrọ itupalẹ ijabọ (DPI), lati awọn eto idena ikọlu DDOS si awọn eto iṣakoso iṣẹlẹ aabo alaye, pẹlu IDS, IPS, DLP, NBA, SIEM, Antimailware ati bẹbẹ lọ. Ni deede, ọkọọkan awọn irinṣẹ wọnyi jẹ sọfitiwia ti a fi sori ẹrọ lori pẹpẹ olupin kan. Pẹlupẹlu, eto kọọkan (ọpa itupalẹ) ti fi sori ẹrọ lori pẹpẹ olupin tirẹ: awọn olupese sọfitiwia yatọ, ati pe ọpọlọpọ awọn orisun iširo nilo fun itupalẹ lori L7.

Nigbati o ba n kọ eto aabo alaye, o jẹ dandan lati yanju nọmba awọn iṣẹ ṣiṣe ipilẹ:

  • bawo ni a ṣe le gbe ijabọ lati awọn amayederun si awọn eto itupalẹ? (awọn ebute oko oju omi SPAN ti ipilẹṣẹ fun eyi ni awọn amayederun ode oni ko to boya ni opoiye tabi ni iṣẹ)
  • bawo ni a ṣe le pin ijabọ laarin awọn ọna ṣiṣe itupalẹ oriṣiriṣi?
  • bawo ni a ṣe le ṣe iwọn awọn ọna ṣiṣe nigbati ko ba si iṣẹ to ti apẹẹrẹ kan ti olutupalẹ lati ṣe ilana gbogbo iwọn didun ti ijabọ ti nwọle?
  • bawo ni a ṣe le ṣe atẹle awọn atọkun 40G/100G (ati ni ọjọ iwaju nitosi tun 200G/400G), nitori awọn irinṣẹ itupalẹ lọwọlọwọ ṣe atilẹyin awọn atọkun 1G/10G/25G?

Ati awọn iṣẹ-ṣiṣe ti o ni ibatan wọnyi:

  • bawo ni a ṣe le dinku ijabọ ti ko yẹ ti ko nilo lati ni ilọsiwaju, ṣugbọn o de awọn irinṣẹ itupalẹ ati njẹ awọn orisun wọn?
  • bawo ni a ṣe le ṣe ilana awọn apo-iwe ati awọn apo-iwe pẹlu awọn ami iṣẹ ohun elo, igbaradi eyiti fun itupalẹ wa lati jẹ boya awọn ohun elo ti o lekoko tabi ko ṣee ṣe rara?
  • bi o ṣe le yọkuro lati apakan itupalẹ ti ijabọ ti ko ṣe ilana nipasẹ eto imulo aabo (fun apẹẹrẹ, ijabọ ti ori).

Awọn solusan ode oni fun kikọ awọn eto aabo alaye - awọn alagbata soso nẹtiwọọki (Alagbata Packet Nẹtiwọọki)
Gẹgẹbi gbogbo eniyan ṣe mọ, ibeere ṣẹda ipese, ni idahun si awọn iwulo wọnyi, awọn alagbata soso nẹtiwọki bẹrẹ lati dagbasoke.

Gbogbogbo Apejuwe ti Network Packet Brokers

Awọn alagbata soso nẹtiwọki n ṣiṣẹ ni ipele soso, ati ninu eyi wọn jẹ iru awọn iyipada lasan. Iyatọ akọkọ lati awọn iyipada ni pe awọn ofin fun pinpin ati apapọ ti ijabọ ni awọn alagbata soso nẹtiwọki jẹ ipinnu patapata nipasẹ awọn eto. Awọn alagbata soso nẹtiwọọki ko ni awọn iṣedede fun kikọ awọn tabili gbigbe (awọn tabili MAC) ati awọn ilana paṣipaarọ pẹlu awọn iyipada miiran (bii STP), ati nitorinaa awọn eto ti o ṣeeṣe ati awọn aaye oye ninu wọn gbooro pupọ. Alagbata le pin kaakiri ijabọ ni deede lati ọkan tabi diẹ sii awọn ebute titẹ sii si ibiti a ti fun ni awọn ebute oko oju omi ti o wu pẹlu ẹya iwọntunwọnsi fifuye iṣelọpọ. O le ṣeto awọn ofin fun didakọ, sisẹ, tito lẹtọ, iyọkuro ati iyipada ijabọ. Awọn ofin wọnyi le ṣee lo si awọn ẹgbẹ oriṣiriṣi ti awọn ebute oko oju omi ti nẹtiwọọki ti alagbata soso, bi daradara bi lilo lẹsẹsẹ ọkan lẹhin ekeji ninu ẹrọ funrararẹ. Anfani pataki ti alagbata apo kan ni agbara lati ṣe ilana ijabọ ni iwọn sisan ni kikun ati ṣetọju iduroṣinṣin ti awọn akoko (ninu ọran ti iwọntunwọnsi ijabọ si awọn ọna ṣiṣe DPI pupọ ti iru kanna).

Titọju iduroṣinṣin ti awọn akoko ni lati gbe gbogbo awọn apo-iwe ti igba ti Layer gbigbe (TCP / UDP / SCTP) si ibudo kan. Eyi ṣe pataki nitori awọn eto DPI (nigbagbogbo sọfitiwia ti n ṣiṣẹ lori olupin ti o sopọ si ibudo iṣelọpọ ti alagbata soso) ṣe itupalẹ akoonu ti ijabọ ni ipele ohun elo, ati gbogbo awọn apo-iwe ti a firanṣẹ / gba nipasẹ ohun elo kan gbọdọ de ni apẹẹrẹ kanna ti atupale . Ti awọn apo-iwe ti igba kan ba sọnu tabi pin laarin awọn ẹrọ DPI oriṣiriṣi, lẹhinna ẹrọ DPI kọọkan kọọkan yoo wa ni ipo ti o jọra si kika kii ṣe gbogbo ọrọ, ṣugbọn awọn ọrọ kọọkan lati ọdọ rẹ. Ati pe, o ṣeese, ọrọ naa kii yoo loye.

Nitorinaa, ni idojukọ lori awọn eto aabo alaye, awọn alagbata soso nẹtiwọọki ni iṣẹ ṣiṣe ti o ṣe iranlọwọ lati sopọ awọn eto sọfitiwia DPI si awọn nẹtiwọọki ibaraẹnisọrọ iyara ati dinku fifuye lori wọn: wọn ṣaju àlẹmọ, ṣe lẹtọ ati mura awọn ijabọ lati rọrun sisẹ atẹle.

Ni afikun, niwọn igba ti awọn alagbata soso nẹtiwọọki n pese ọpọlọpọ awọn iṣiro pupọ ati nigbagbogbo sopọ si awọn aaye pupọ ninu nẹtiwọọki, wọn tun wa aaye wọn ni ṣiṣe iwadii awọn iṣoro ilera ti awọn amayederun nẹtiwọki funrararẹ.

Awọn iṣẹ ipilẹ ti Awọn alagbata Packet Nẹtiwọọki

Orukọ "awọn iyipada iyasọtọ / ibojuwo" dide lati idi ipilẹ: lati gba ijabọ lati awọn amayederun (nigbagbogbo lilo awọn TAP opitika palolo ati / tabi awọn ebute oko oju omi SPAN) ati pinpin laarin awọn irinṣẹ itupalẹ. Traffic ti wa ni digi (daakọ) laarin awọn ọna ṣiṣe ti awọn oriṣiriṣi oriṣiriṣi, ati iwọntunwọnsi laarin awọn ọna ṣiṣe ti iru kanna. Awọn iṣẹ ipilẹ nigbagbogbo pẹlu sisẹ nipasẹ awọn aaye to L4 (MAC, IP, TCP / UDP ibudo, ati bẹbẹ lọ) ati akopọ ti ọpọlọpọ awọn ikanni ti kojọpọ sere sinu ọkan (fun apẹẹrẹ, fun sisẹ lori eto DPI kan).

Iṣẹ ṣiṣe yii n pese ojutu si iṣẹ-ṣiṣe ipilẹ - sisopọ awọn ọna ṣiṣe DPI si awọn amayederun nẹtiwọki. Awọn alagbata lati ọdọ awọn aṣelọpọ lọpọlọpọ, ni opin si iṣẹ ṣiṣe ipilẹ, pese sisẹ ti awọn atọkun 32 100G fun 1U (awọn atọkun diẹ sii ko baamu ti ara lori iwaju iwaju 1U). Bibẹẹkọ, wọn ko gba laaye idinku ẹru lori awọn irinṣẹ itupalẹ, ati fun awọn amayederun eka, wọn ko le paapaa pese awọn ibeere fun iṣẹ ipilẹ kan: igba ti a pin kaakiri ọpọlọpọ awọn tunnels (tabi ni ipese pẹlu awọn ami MPLS) le jẹ aipin fun awọn iṣẹlẹ oriṣiriṣi ti analyzer ati gbogbo ti kuna jade ti awọn onínọmbà.

Ni afikun si fifi awọn atọkun 40/100G ati, bi abajade, ilọsiwaju iṣẹ, awọn alagbata soso nẹtiwọọki n dagbasoke ni itara ni awọn ofin ti pese awọn ẹya tuntun: lati iwọntunwọnsi lori awọn akọle oju eefin itẹ-ẹi si decryption ijabọ. Laisi ani, iru awọn awoṣe ko le ṣogo ti iṣẹ ṣiṣe ni awọn terabits, ṣugbọn wọn jẹ ki o ṣee ṣe lati kọ eto aabo alaye ti o ga julọ ati imọ-ẹrọ “ẹwa” ninu eyiti ohun elo itupalẹ kọọkan jẹ iṣeduro lati gba alaye nikan ti o nilo ni fọọmu ti o dara julọ. fun onínọmbà.

Awọn iṣẹ ilọsiwaju ti awọn alagbata soso nẹtiwọki

Awọn solusan ode oni fun kikọ awọn eto aabo alaye - awọn alagbata soso nẹtiwọọki (Alagbata Packet Nẹtiwọọki)
1. Ti darukọ loke iwontunwosi iteeye akọsori ni tunneled ijabọ.

Kini idi ti o ṣe pataki? Wo awọn aaye mẹta ti o le ṣe pataki papọ tabi lọtọ:

  • aridaju iwọntunwọnsi aṣọ ni iwaju nọmba kekere ti awọn tunnels. Ni iṣẹlẹ ti awọn tunnels 2 nikan wa ni aaye asopọ ti awọn eto aabo alaye, lẹhinna kii yoo ṣee ṣe lati ṣe aiṣedeede wọn nipasẹ awọn akọle ita lori awọn iru ẹrọ olupin 3 lakoko mimu igba naa. Ni akoko kanna, ijabọ ti nẹtiwọọki ti wa ni gbigbe lainidi, ati itọsọna ti oju eefin kọọkan si ile-iṣẹ iṣelọpọ lọtọ yoo nilo iṣẹ ṣiṣe ti igbehin;
  • aridaju awọn iyege ti awọn akoko ati awọn ṣiṣan ti multisession Ilana (fun apẹẹrẹ, FTP ati VoIP), awọn apo-iwe ti eyi ti pari soke ni orisirisi awọn tunnels. Idiju ti awọn amayederun nẹtiwọọki n pọ si nigbagbogbo: apọju, agbara ipa, simplification ti iṣakoso, ati bẹbẹ lọ. Ni apa kan, eyi n mu igbẹkẹle pọ si ni awọn ofin ti gbigbe data, ni apa keji, o ṣe idiju iṣẹ ti awọn eto aabo alaye. Paapaa pẹlu iṣẹ ṣiṣe ti o to ti awọn olutupalẹ lati ṣe ilana ikanni iyasọtọ pẹlu awọn tunnels, iṣoro naa wa jade lati jẹ yanju, nitori diẹ ninu awọn apo-iwe igba olumulo ti wa ni gbigbe lori ikanni miiran. Pẹlupẹlu, ti wọn ba tun gbiyanju lati ṣe abojuto iduroṣinṣin ti awọn akoko ni diẹ ninu awọn amayederun, lẹhinna awọn ilana multisession le lọ awọn ọna oriṣiriṣi patapata;
  • iwọntunwọnsi niwaju MPLS, VLAN, awọn afi ohun elo kọọkan, ati bẹbẹ lọ. Kii ṣe awọn tunnels gaan, ṣugbọn sibẹsibẹ, ohun elo pẹlu iṣẹ ṣiṣe ipilẹ le loye ijabọ yii kii ṣe bi IP ati iwọntunwọnsi nipasẹ awọn adirẹsi MAC, lekan si rú iṣọkan ti iwọntunwọnsi tabi iduroṣinṣin igba.

Alagbata soso nẹtiwọọki n ṣalaye awọn akọsori ita ati lẹsẹsẹ tẹle awọn itọkasi titi di akọsori IP ti itẹ-ẹi ati awọn iwọntunwọnsi tẹlẹ lori rẹ. Bi abajade, awọn ṣiṣan diẹ sii ni pataki (lẹsẹsẹ, o le jẹ aiwọntunwọnsi diẹ sii ni deede ati lori nọmba nla ti awọn iru ẹrọ), ati pe eto DPI gba gbogbo awọn apo-iwe igba ati gbogbo awọn akoko ti o somọ ti awọn ilana multisession.

2. Traffic iyipada.
Ọkan ninu awọn iṣẹ ti o gbooro julọ ni awọn ofin ti awọn agbara rẹ, nọmba awọn iṣẹ abẹlẹ ati awọn aṣayan fun lilo wọn jẹ pupọ:

  • yiyọ owo sisan kuro, ninu eyiti awọn akọle soso nikan ni a ti kọja si parser. Eyi jẹ pataki fun awọn irinṣẹ itupalẹ tabi fun awọn iru ijabọ ninu eyiti awọn akoonu ti awọn apo-iwe boya ko ṣe ipa tabi ko le ṣe itupalẹ. Fun apẹẹrẹ, fun ijabọ ti paroko, data paṣipaarọ parametric (ẹniti, pẹlu tani, nigbawo, ati melo) le jẹ iwulo, lakoko ti isanwo jẹ idoti gangan ti o gba ikanni ati awọn orisun iširo ti olutupalẹ. Awọn iyatọ ṣee ṣe nigbati a ba ge fifuye isanwo kuro lati ibẹrẹ aiṣedeede kan - eyi pese aaye afikun fun awọn irinṣẹ itupalẹ;
  • detunneling, eyun yiyọ awọn akọle ti o designate ati ki o da tunnels. Ibi-afẹde ni lati dinku ẹru lori awọn irinṣẹ itupalẹ ati mu iṣẹ ṣiṣe wọn pọ si. Detunneling le da lori aiṣedeede ti o wa titi tabi itupalẹ akọsori agbara ati ipinnu aiṣedeede fun soso kọọkan;
  • yiyọ diẹ ninu awọn akọle apo-iwe: Awọn afi MPLS, VLAN, awọn aaye kan pato ti ohun elo ẹnikẹta;
  • boju-boju apakan ti awọn akọle, fun apẹẹrẹ, boju-boju awọn adirẹsi IP lati rii daju ailorukọ ijabọ;
  • fifi alaye iṣẹ kun apo: timestamps, ibudo titẹ sii, awọn akole kilasi ijabọ, ati bẹbẹ lọ.

3. Deduplication - mimọ ti awọn apo-iwe ijabọ ti atunwi ti a firanṣẹ si awọn irinṣẹ itupalẹ. Awọn apopọ pidánpidán nigbagbogbo waye nitori awọn iyatọ ti sisopọ si awọn amayederun - ijabọ le kọja nipasẹ ọpọlọpọ awọn aaye ti itupalẹ ati ṣe afihan lati ọkọọkan wọn. Tun tun wa atunṣe ti awọn apo-iwe TCP ti ko pe, ṣugbọn ti wọn ba wa pupọ, lẹhinna awọn ibeere diẹ sii fun mimojuto didara nẹtiwọọki, kii ṣe fun aabo alaye ninu rẹ.

4. To ti ni ilọsiwaju sisẹ awọn ẹya ara ẹrọ - lati wiwa awọn iye kan pato ni aiṣedeede ti a fun si itupalẹ ibuwọlu jakejado gbogbo package.

5. NetFlow / IPFIX iran - ikojọpọ awọn iṣiro lọpọlọpọ lori gbigbe ijabọ ati gbigbe si awọn irinṣẹ itupalẹ.

6. Decryption ti SSL ijabọ, Awọn iṣẹ ti o pese pe ijẹrisi ati awọn bọtini ni akọkọ ti kojọpọ sinu alagbata soso nẹtiwọki. Bibẹẹkọ, eyi n gba ọ laaye lati gbejade awọn irinṣẹ itupalẹ ni pataki.

Ọpọlọpọ awọn iṣẹ diẹ sii wa, wulo ati titaja, ṣugbọn awọn akọkọ, boya, ti wa ni akojọ.

Idagbasoke ti awọn ọna ṣiṣe wiwa (awọn ifọle, awọn ikọlu DDOS) sinu awọn eto fun idena wọn, bakanna bi iṣafihan awọn irinṣẹ DPI ti nṣiṣe lọwọ, nilo iyipada ninu ero iyipada lati palolo (nipasẹ awọn ebute TAP tabi SPAN) si ti nṣiṣe lọwọ (“ni isinmi” ). Ipo yii pọ si awọn ibeere fun igbẹkẹle (nitori ikuna ninu ọran yii yori si idalọwọduro ti gbogbo nẹtiwọọki, kii ṣe si isonu ti iṣakoso nikan lori aabo alaye) ati pe o yori si rirọpo ti awọn tọkọtaya opiti pẹlu awọn ọna opopona opiti (lati le yanju iṣoro ti igbẹkẹle ti iṣẹ nẹtiwọọki lori iṣẹ ti aabo alaye awọn ọna ṣiṣe), ṣugbọn iṣẹ akọkọ ati awọn ibeere fun o wa kanna.

A ti ni idagbasoke DS Integrity Network Packet Brokers pẹlu 100G, 40G ati 10G atọkun lati oniru ati circuitry to ifibọ software. Pẹlupẹlu, ko dabi awọn alagbata soso miiran, iyipada ati awọn iṣẹ iwọntunwọnsi fun awọn akọle oju eefin itẹ-ẹiyẹ ni imuse ninu ohun elo wa, ni iyara ibudo ni kikun.

Awọn solusan ode oni fun kikọ awọn eto aabo alaye - awọn alagbata soso nẹtiwọọki (Alagbata Packet Nẹtiwọọki)

orisun: www.habr.com

Fi ọrọìwòye kun