Get best of the week

الحلول الحديثة لبناء أنظمة أمن المعلومات - وسطاء حزم الشبكات (Network Packet Broker)

فصل أمن المعلومات عن الاتصالات إلى صناعة مستقلة بخصائصها ومعداتها. ولكن هناك فئة غير معروفة من الأجهزة في ملتقى الاتصالات وأمن المعلومات - وسطاء حزم الشبكات (Network Packet Broker) ، وهم موازنات الحمل ، ومفاتيح المراقبة المتخصصة / المراقبة ، ومجمعي حركة المرور ، ومنصة تسليم الأمان ، ورؤية الشبكة ، وما إلى ذلك. ونحن بصفتنا مطورًا ومصنعًا روسيًا لمثل هذه الأجهزة ، نريد حقًا أن نتحدث أكثر عنها.

صورة


النطاق والمهام


وسطاء حزم الشبكات هي أجهزة متخصصة وجدت أكبر تطبيق في أنظمة أمن المعلومات. على هذا النحو ، فإن فئة الأجهزة جديدة وصغيرة نسبيًا في البنية التحتية للشبكة المقبولة بشكل عام مقارنة بالمفاتيح وأجهزة التوجيه وما إلى ذلك. الرائد في تطوير هذا النوع من الأجهزة كان شركة Gigamon الأمريكية. في الوقت الحالي ، هناك عدد أكبر بكثير من اللاعبين في هذا السوق (بما في ذلك الشركة المصنعة المعروفة لأنظمة الاختبار - IXIA ، الذين لديهم مثل هذه الحلول) ، ولكن فقط دائرة ضيقة من المحترفين لا تزال تعرف بوجود هذه الأجهزة. كما هو مذكور أعلاه ، حتى مع المصطلحات لا يوجد يقين لا لبس فيه: تتراوح الأسماء من "نظام لضمان شفافية الشبكة" إلى "موازنات" بسيطة.

عند تطوير وسطاء حزم الشبكات ، واجهنا حقيقة أنه بالإضافة إلى تحليل مجالات التطوير الوظيفي والاختبار في المختبرات / مناطق الاختبار ، من الضروري أن نوضح للمستهلكين المحتملين في الوقت نفسه وجود هذه الفئة من المعدات ، حيث لا يعلم الجميع بذلك.

منذ 15 إلى 20 عامًا ، كان هناك القليل من حركة المرور في الشبكة ، وكانت هذه بيانات غير مهمة في الغالب. لكن قانون نيلسن يكرر قانون مور عمليًا : تزداد سرعة الاتصال بالإنترنت بنسبة 50٪ سنويًا. يزداد حجم حركة المرور أيضًا بشكل مطرد (يوضح الرسم البياني توقعات 2017 من Cisco ، مصدر Cisco Visual Networking Index Index: Forecast and Trends، 2017-2022):

صورة

إلى جانب السرعة ، تتزايد أهمية تداول المعلومات (هذا سر تجاري وبيانات شخصية سيئة السمعة) والأداء العام للبنية التحتية.

تبعا لذلك ، ظهرت صناعة أمن المعلومات أيضا. استجابت الصناعة مع ظهور مجموعة كاملة من الأجهزة لتحليل حركة المرور العميقة (DPI): من أنظمة منع هجمات DDOS إلى أنظمة إدارة أحداث أمن المعلومات ، بما في ذلك IDS و IPS و DLP و NBA و SIEM و Antimailware وما إلى ذلك. عادة ، كل من هذه الأدوات عبارة عن برنامج مثبت على النظام الأساسي للخادم. علاوة على ذلك ، يتم تثبيت كل برنامج (أداة تحليل) على نظام الخادم الخاص به: يختلف مصنعو البرامج ، وهناك الكثير من موارد الحوسبة للتحليل على L7.

عند بناء نظام أمن المعلومات ، يلزم حل عدد من المهام الأساسية:

  • كيفية نقل حركة المرور من البنية التحتية إلى أنظمة التحليل؟ (موانئ SPAN المطورة في البداية لهذا في البنية التحتية الحديثة ليست كافية من حيث الكمية أو الأداء)
  • كيفية توزيع حركة المرور بين أنظمة التحليل المختلفة؟
  • كيفية قياس النظام مع عدم أداء مثيل واحد من المحلل لمعالجة كمية الحركة الكاملة التي تدخل إليه؟
  • كيفية مراقبة واجهات 40G / 100G (وفي المستقبل القريب ، 200G / 400G) ، لأن أدوات التحليل تدعم حاليًا واجهات 1G / 10G / 25G فقط؟

والمهام ذات الصلة التالية:

  • كيفية تقليل حركة المرور غير اللائقة ، والتي لا تحتاج إلى معالجة ، ولكنها تقع في أدوات التحليل وتستهلك مواردها؟
  • كيفية التعامل مع الحزم المغلفة والحزم بعلامات الخدمة للمعدات ، والتي تبين أن إعدادها للتحليل إما أنها تتطلب موارد مكثفة أو مستحيلة على الإطلاق؟
  • كيفية استبعاد جزء حركة المرور من التحليل الذي لا يندرج تحت تنظيم سياسة الأمن (على سبيل المثال ، حركة المدير).

صورة

كما يعلم الجميع ، يخلق الطلب العرض ، استجابة لهذه الاحتياجات ، بدأ وسطاء حزم الشبكة في التطور.

الوصف العام لوسطاء حزم الشبكة


يعمل وسطاء حزم الشبكة على مستوى الحزمة ، وهم في هذا يشبهون مفاتيح التبديل العادية. والفرق الرئيسي من المفاتيح هو أن قواعد توزيع وتجميع حركة المرور في وسطاء حزم الشبكة يتم تحديدها بالكامل من خلال الإعدادات. ليس لدى وسطاء حزم الشبكة معايير لإنشاء جداول إعادة التوجيه (جداول MAC) وبروتوكولات الاتصال مع مفاتيح التبديل الأخرى (مثل STP) ، وبالتالي فإن مجموعة الإعدادات الممكنة والمجالات المفهومة فيها أوسع بكثير. يمكن للوسيط توزيع حركة المرور بالتساوي من واحد أو أكثر من منافذ الإدخال إلى نطاق معين من منافذ الإخراج مع وظيفة الحمل المنتظم على الإخراج. يمكنك تعيين قواعد النسخ والتصفية والتصنيف وإلغاء البيانات المكررة وتعديل حركة المرور. يمكن تطبيق هذه القواعد على مجموعات مختلفة من منافذ الإدخال من وسيط حزم الشبكة ،وتطبيقه بالتتابع على الجهاز نفسه. تتمثل إحدى الميزات المهمة لسمسار الحزم في القدرة على معالجة حركة المرور بمعدل التدفق الكامل والحفاظ على تكامل الجلسة (في حالة موازنة حركة المرور مع العديد من أنظمة DPI من نفس النوع).

يتكون حفظ تكامل الجلسات من نقل جميع حزم جلسة طبقة النقل (TCP / UDP / SCTP) إلى منفذ واحد. يعد هذا أمرًا مهمًا لأن أنظمة DPI (عادةً البرامج التي تعمل على خادم متصل بمنفذ إخراج وسيط الحزم) تحلل محتويات حركة المرور على مستوى التطبيق ، ويجب أن تذهب جميع الحزم المرسلة / المستلمة بواسطة تطبيق واحد إلى نفس مثيل المحلل . إذا فقدت الحزم من جلسة واحدة أو تم توزيعها بين أجهزة DPI مختلفة ، فسيكون كل جهاز DPI فردي في وضع مشابه لقراءة النص بالكامل ، ولكن الكلمات الفردية منه. وعلى الأرجح ، لن يفهم النص.

وبالتالي ، نظرًا لكونها موجهة نحو أنظمة أمن المعلومات ، فإن وسطاء حزم الشبكات لديهم وظائف تساعد على ربط أنظمة برامج DPI بشبكات الاتصالات عالية السرعة وتقليل الحمل عليها: يقومون بإجراء تصفية أولية وتصنيف وإعداد حركة المرور لتبسيط المعالجة اللاحقة.

بالإضافة إلى ذلك ، نظرًا لأن وسطاء حزم الشبكة يقدمون قائمة واسعة من الإحصائيات وغالبًا ما يجدون أنفسهم مرتبطين بنقاط مختلفة من الشبكة ، فإنهم يجدون أيضًا مكانهم في تشخيص المشاكل الصحية للبنية التحتية للشبكة نفسها.

الميزات الأساسية لوسطاء حزم الشبكة


نشأ اسم "مفاتيح التبديل المتخصصة / المراقبة" من غرضه الأساسي: جمع حركة المرور من البنية التحتية (عادة باستخدام مقرنات TAP البصرية السلبية و / أو منافذ SPAN) وتوزيعها بين أدوات التحليل. بين الأنظمة غير المتجانسة ، تنعكس حركة المرور (مكررة) ، بين الأنظمة المتجانسة تكون متوازنة. تتضمن الوظائف الأساسية عادةً التصفية حسب الحقول إلى L4 (MAC ، IP ، منفذ TCP / UDP ، إلخ) وتجميع عدة قنوات محملة بخفة في قناة واحدة (على سبيل المثال ، للمعالجة على نظام DPI واحد).

توفر هذه الوظيفة حلاً للمشكلة الأساسية - توصيل أنظمة DPI بالبنية التحتية للشبكة. يوفر وسطاء الشركات المصنعة المختلفة ، المحدودين بالوظائف الأساسية ، معالجة ما يصل إلى 32 واجهة 100G لكل وحدة واحدة (لا تتناسب المزيد من الواجهات فعليًا مع اللوحة الأمامية 1U). ومع ذلك ، لا يمكنهم تقليل الحمل على أدوات التحليل ، وبالنسبة للبنية التحتية المعقدة ، لا يمكنهم حتى توفير متطلبات الوظيفة الأساسية: يمكن أن تكون الجلسة الموزعة عبر عدة أنفاق (أو مجهزة بعلامات MPLS) غير متوازنة في حالات المحلل المختلفة وتندرج عمومًا خارج التحليل.

بالإضافة إلى إضافة واجهات 40 / 100G ، ونتيجة لذلك ، زيادة الإنتاجية ، يتطور وسطاء حزم الشبكات بنشاط من حيث توفير فرص جديدة بشكل أساسي: من موازنة رؤوس الأنفاق المتداخلة إلى فك تشفير حركة المرور. لسوء الحظ ، لا يمكن لهذه النماذج أن تتباهى بأداء terabit ، ولكنها تسمح لك ببناء نظام أمان معلومات عالي الجودة و "جميل" من الناحية الفنية يضمن لكل أداة تحليل تلقي المعلومات التي تحتاجها فقط في الشكل الأنسب للتحليل.

وسطاء حزم الشبكة المتقدمين


صورة

1. المذكورة أعلاه موازنة على رؤوس متداخلة في حركة المرور النفقية.

لماذا هو مهم؟ فكر في 3 جوانب يمكن أن تكون حاسمة معًا أو بشكل فردي:

  • . , 2 , 3 . , ;
  • (, FTP VoIP), . : , , . , , , . , , . , ;
  • موازنة في وجود MPLS ، VLAN ، علامات المعدات الفردية ، إلخ. ليس الأنفاق حقًا ، ولكن مع ذلك ، يمكن للمعدات ذات الوظائف الأساسية فهم هذه الحركة ليس على أنها IP وتوازن بواسطة عناوين MAC ، مرة أخرى تنتهك التوازن أو تكامل الجلسات.

يقوم وسيط حزم الشبكة بتحليل الرؤوس الخارجية ويتبع المؤشرات بالتسلسل إلى رأس IP المتداخل نفسه ويوازنها. ونتيجة لذلك ، هناك عدد أكبر بكثير من مؤشرات الترابط (وفقًا لذلك ، يمكنك عدم التوازن بشكل متساوٍ وعلى عدد أكبر من الأنظمة الأساسية) ، ويتلقى نظام DPI جميع حزم الجلسات وجميع الجلسات المرتبطة بالبروتوكولات المتعددة الجلسات.

2. تعديل حركة المرور.
واحدة من أكبر الوظائف من حيث قدراتها ، وعدد الوظائف الفرعية وخيارات تطبيقها عديدة:

  • payload, . , , . , (, , ), payload , . , payload , – ;
  • , , . – . ;
  • : MPLS-, VLAN, ;
  • , , IP- ;
  • : , , ..

3. إلغاء البيانات المكررة - تنظيف حزم البيانات المكررة المرسلة إلى أدوات التحليل. غالبًا ما تنشأ الحزم المكررة بسبب خصوصية الاتصال بالبنية التحتية - يمكن أن تمر حركة المرور عبر العديد من نقاط التحليل ويمكن عكسها مع كل منها. هناك أيضًا إرسال متكرر لحزم TCP التي لم تصل ، ولكن إذا كان هناك الكثير منها ، فمن المرجح أن تكون هذه أسئلة تتعلق بمراقبة جودة الشبكة ، بدلاً من أمان المعلومات فيها.

4. وظائف التصفية المتقدمة - من البحث عن قيم محددة في إزاحة معينة إلى تحليل التوقيع في جميع أنحاء الحزمة.

5. توليد NetFlow / IPFIX - جمع قائمة واسعة من الإحصائيات حول حركة المرور العابرة ونقلها إلى أدوات التحليل.

6. فك تشفير حركة SSL ،يعمل شريطة أن يتم تحميل الشهادة والمفاتيح مسبقًا إلى وسيط حزم الشبكة. ومع ذلك ، يسمح هذا بتفريغ أدوات التحليل بشكل كبير.

هناك العديد من الميزات المفيدة والتسويقية ، ولكن ربما يتم سرد أهمها.

يتطلب تطوير أنظمة الكشف (الاقتحام ، هجمات DDOS) في أنظمة الوقاية الخاصة بها ، بالإضافة إلى إدخال أدوات DPI النشطة ، تغييرًا في مخطط التحويل من السلبي (عبر منافذ TAP أو SPAN) إلى النشط ("في الفجوة"). أدى هذا الظرف إلى زيادة متطلبات الموثوقية (لأن الفشل في هذه الحالة يؤدي إلى تعطيل الشبكة بالكامل ، وليس فقط إلى فقدان السيطرة على أمن المعلومات) وأدى إلى استبدال المقرنات الضوئية بمرور بصري (من أجل حل مشكلة اعتماد أداء الشبكة على أداء النظام) أمن المعلومات) ، لكن الوظائف والمتطلبات الأساسية لها ظلت كما هي.

لقد قمنا بتطوير وسطاء حزم شبكات DS Integrity مع واجهات 100G و 40G و 10G من التصميم والدوائر إلى البرامج المدمجة. علاوة على ذلك ، على عكس وسطاء الحزم الآخرين ، يتم تنفيذ وظائف التعديل والموازنة لرؤوس النفق المضمنة في الأجهزة ، بسرعة المنفذ الكاملة.

صورة

More articles:


All Articles