Get best of the week

Moderne Lösungen zum Aufbau von Informationssicherheitssystemen - Network Packet Broker (Network Packet Broker)

Die Informationssicherheit hat sich von der Telekommunikation zu einer unabhängigen Branche mit eigenen Besonderheiten und Geräten getrennt. Es gibt jedoch eine wenig bekannte Klasse von Geräten an der Schnittstelle von Telekommunikations- und Informationssicherheit - Netzwerkpaketbroker (Network Packet Broker), Load Balancer, spezialisierte / Überwachungsschalter, Verkehrsaggregatoren, Security Delivery Platform, Netzwerksichtbarkeit usw. Und wir als russischer Entwickler und Hersteller solcher Geräte möchten wirklich mehr darüber sprechen.

Bild


Umfang und Aufgaben


Netzwerkpaketbroker sind spezialisierte Geräte, die die größte Anwendung in Informationssicherheitssystemen gefunden haben. Daher ist die Geräteklasse in der allgemein akzeptierten Netzwerkinfrastruktur im Vergleich zu Switches, Routern usw. relativ neu und klein. Der Pionier bei der Entwicklung dieses Gerätetyps war die amerikanische Firma Gigamon. Derzeit gibt es auf diesem Markt deutlich mehr Akteure (einschließlich des bekannten Herstellers von Testsystemen - IXIA, der über solche Lösungen verfügt), aber nur ein enger Kreis von Fachleuten weiß noch über die Existenz solcher Geräte Bescheid. Wie oben erwähnt, gibt es auch bei der Terminologie keine eindeutige Gewissheit: Die Namen reichen von „einem System zur Gewährleistung der Netzwerktransparenz“ bis zu einfachen „Balancern“.

Bei der Entwicklung von Netzwerkpaket-Brokern wurden wir mit der Tatsache konfrontiert, dass neben der Analyse der Bereiche der Funktionsentwicklung und des Testens in Labors / Testzonen potenziellen Verbrauchern gleichzeitig die Existenz dieser Geräteklasse erklärt werden muss, da nicht jeder davon weiß.

Bereits vor 15 bis 20 Jahren gab es im Netzwerk wenig Verkehr, und dies waren meist unwichtige Daten. Aber Nielsen ‚s Gesetz praktisch wiederholt Moore ‚s Gesetz : Internetgeschwindigkeit erhöht sich um 50% pro Jahr. Das Verkehrsaufkommen wächst ebenfalls stetig (die Grafik zeigt die Prognose für 2017 von Cisco, Quelle Cisco Visual Networking Index: Prognose und Trends, 2017–2022):

Bild

Mit der Geschwindigkeit nehmen auch die Bedeutung der Verbreitung von Informationen (dies ist ein Geschäftsgeheimnis und berüchtigte personenbezogene Daten) und die Gesamtleistung der Infrastruktur zu.

Dementsprechend erschien auch die Informationssicherheitsbranche. Die Branche reagierte darauf mit dem Aufkommen einer ganzen Reihe von DPI-Geräten (Deep Traffic Analysis): von DDOS-Angriffspräventionssystemen bis hin zu Ereignismanagementsystemen für Informationssicherheit, einschließlich IDS, IPS, DLP, NBA, SIEM, Antimailware usw. In der Regel ist jedes dieser Tools eine auf der Serverplattform installierte Software. Darüber hinaus ist jedes Programm (Analysetool) auf seiner Serverplattform installiert: Softwarehersteller sind unterschiedlich, und auf L7 stehen viele Rechenressourcen für die Analyse zur Verfügung.

Beim Aufbau eines Informationssicherheitssystems müssen einige grundlegende Aufgaben gelöst werden:

  • Wie übertrage ich Datenverkehr von der Infrastruktur auf Analysesysteme? (Anfänglich entwickelte SPAN-Ports hierfür in der modernen Infrastruktur reichen in Bezug auf Menge oder Leistung nicht aus)
  • Wie verteilt man den Verkehr zwischen verschiedenen Analysesystemen?
  • Wie kann das System mit der mangelnden Leistung einer Instanz des Analysators skaliert werden, um den gesamten eingehenden Datenverkehr zu verarbeiten?
  • Wie werden 40G / 100G-Schnittstellen (und in naher Zukunft 200G / 400G) überwacht, da die Analysetools derzeit nur 1G / 10G / 25G-Schnittstellen unterstützen?

Und die folgenden verwandten Aufgaben:

  • Wie kann unangemessener Datenverkehr minimiert werden, der nicht verarbeitet werden muss, sondern in die Analysetools fällt und deren Ressourcen verbraucht?
  • Wie geht man mit gekapselten Paketen und Paketen mit Dienstleistungsmarken von Geräten um, deren Vorbereitung für die Analyse sich als ressourcenintensiv oder überhaupt unmöglich herausstellt?
  • Wie kann ein Teil des Datenverkehrs von der Analyse ausgeschlossen werden, der nicht unter die Sicherheitsrichtlinien fällt (z. B. Managerverkehr)?

Bild

Wie jeder weiß, schafft Nachfrage Angebot. Als Reaktion auf diese Bedürfnisse begannen sich Broker von Netzwerkpaketen zu entwickeln.

Allgemeine Beschreibung von Network Packet Brokers


Netzwerkpaketbroker arbeiten auf Paketebene und ähneln dabei regulären Switches. Der Hauptunterschied zu Switches besteht darin, dass die Regeln für die Verteilung und Aggregation des Datenverkehrs in Netzwerkpaketbrokern vollständig durch die Einstellungen bestimmt werden. Netzwerkpaketbroker haben keine Standards für die Erstellung von Weiterleitungstabellen (MAC-Tabellen) und Kommunikationsprotokollen mit anderen Switches (z. B. STP), und daher ist der Bereich möglicher Einstellungen und verständlicher Felder in diesen viel größer. Der Broker kann den Verkehr von einem oder mehreren Eingabeports gleichmäßig auf einen bestimmten Bereich von Ausgabeports verteilen, wobei die Ausgabe gleichmäßig belastet wird. Sie können die Regeln für das Kopieren, Filtern, Klassifizieren, Deduplizieren und Ändern des Datenverkehrs festlegen. Diese Regeln können auf verschiedene Gruppen von Eingabeports des Netzwerkpaketbrokers angewendet werden.und auch nacheinander im Gerät selbst anwenden. Ein wichtiger Vorteil eines Paketbrokers ist die Fähigkeit, Datenverkehr mit voller Flussrate zu verarbeiten und die Sitzungsintegrität aufrechtzuerhalten (im Fall des Ausgleichs des Datenverkehrs mit mehreren DPI-Systemen desselben Typs).

Das Speichern der Integrität von Sitzungen besteht darin, alle Pakete einer Transportschicht-Sitzung (TCP / UDP / SCTP) an einen Port zu übertragen. Dies ist wichtig, da DPI-Systeme (normalerweise Software, die auf einem Server ausgeführt wird, der mit dem Ausgabeport eines Paketbrokers verbunden ist) den Datenverkehr auf Anwendungsebene analysieren und alle von einer Anwendung gesendeten / empfangenen Pakete an dieselbe Analysatorinstanz gesendet werden müssen . Wenn Pakete aus einer Sitzung verloren gehen oder auf verschiedene DPI-Geräte verteilt werden, befindet sich jedes einzelne DPI-Gerät in einer ähnlichen Situation wie das Lesen nicht des gesamten Textes, sondern einzelner Wörter. Und höchstwahrscheinlich wird der Text nicht verstehen.

Netzwerkpaket-Broker konzentrieren sich auf Informationssicherheitssysteme und verfügen über Funktionen, mit denen DPI-Softwaresysteme mit Hochgeschwindigkeits-Telekommunikationsnetzwerken verbunden und entlastet werden können. Sie führen eine vorläufige Filterung, Klassifizierung und Vorbereitung des Datenverkehrs durch, um die nachfolgende Verarbeitung zu vereinfachen.

Da Broker von Netzwerkpaketen eine breite Liste von Statistiken veröffentlichen und häufig mit verschiedenen Punkten des Netzwerks verbunden sind, finden sie auch ihren Platz bei der Diagnose der Gesundheitsprobleme der Netzwerkinfrastruktur selbst.

Grundfunktionen von Netzwerkpaketbrokern


Der Name „Spezial- / Überwachungsschalter“ entstand aus seinem Hauptzweck: Sammeln von Datenverkehr aus der Infrastruktur (normalerweise mithilfe passiver optischer TAP-Koppler und / oder SPAN-Ports) und Verteilen auf die Analysetools. Zwischen heterogenen Systemen wird der Verkehr gespiegelt (dupliziert), zwischen homogenen Systemen wird er ausgeglichen. Zu den Grundfunktionen gehören normalerweise das Filtern nach Feldern nach L4 (MAC, IP, TCP / UDP-Port usw.) und das Zusammenfassen mehrerer leicht geladener Kanäle zu einem (z. B. zur Verarbeitung auf einem DPI-System).

Diese Funktionalität bietet eine Lösung für das Grundproblem - das Verbinden von DPI-Systemen mit der Netzwerkinfrastruktur. Broker verschiedener Hersteller, die durch die Grundfunktionalität eingeschränkt sind, bieten die Verarbeitung von bis zu 32 100G-Schnittstellen pro 1U (mehr Schnittstellen passen physisch nicht auf die 1U-Frontplatte). Sie können jedoch die Belastung der Analysetools nicht verringern, und für komplexe Infrastrukturen können sie nicht einmal die Anforderungen für die Grundfunktion erfüllen: Eine Sitzung, die über mehrere Tunnel verteilt (oder mit MPLS-Tags ausgestattet) ist, kann für verschiedene Analysatorinstanzen unausgeglichen sein und im Allgemeinen aus der Analyse herausfallen.

Neben dem Hinzufügen von 40 / 100G-Schnittstellen und damit der Steigerung der Produktivität entwickeln sich Netzwerkpaket-Broker aktiv, um grundlegend neue Funktionen bereitzustellen: vom Ausgleich verschachtelter Tunnel-Header bis zur Entschlüsselung des Datenverkehrs. Leider können solche Modelle keine Terabit-Leistung bieten, aber sie ermöglichen es Ihnen, ein wirklich hochwertiges und technisch „schönes“ Informationssicherheitssystem aufzubauen, in dem jedes Analysetool garantiert nur die Informationen erhält, die es in der für die Analyse am besten geeigneten Form benötigt.

Erweiterte Netzwerkpaket-Broker


Bild

1. Oben erwähntes Balancieren auf verschachtelten Headern im Tunnelverkehr.

Warum ist es wichtig? Betrachten Sie drei Aspekte, die zusammen oder einzeln kritisch sein können:

  • . , 2 , 3 . , ;
  • (, FTP VoIP), . : , , . , , , . , , . , ;
  • Balancing bei Vorhandensein von MPLS, VLAN, einzelnen Geräte-Tags usw. Nicht wirklich Tunnel, aber dennoch können Geräte mit grundlegenden Funktionen diesen Datenverkehr nicht als IP und Balance durch MAC-Adressen verstehen, was wiederum die Balance oder die Integrität der Sitzungen verletzt.

Der Netzwerkpaket-Broker analysiert die externen Header und folgt nacheinander den Zeigern auf den verschachtelten IP-Header selbst und gleicht ihn aus. Infolgedessen gibt es erheblich mehr Threads (dementsprechend können Sie das Ungleichgewicht gleichmäßiger und auf einer größeren Anzahl von Plattformen ausgleichen), und das DPI-System empfängt alle Sitzungspakete und alle verbundenen Sitzungen von Multisession-Protokollen.

2. Änderung des Verkehrs.
Eine der umfangreichsten Funktionen in Bezug auf ihre Fähigkeiten, die Anzahl der Unterfunktionen und ihre Anwendungsoptionen sind zahlreich:

  • payload, . , , . , (, , ), payload , . , payload , – ;
  • , , . – . ;
  • : MPLS-, VLAN, ;
  • , , IP- ;
  • : , , ..

3. Deduplizierung - Bereinigung doppelter Verkehrspakete, die an Analysetools übertragen werden. Doppelte Pakete entstehen am häufigsten aufgrund der Besonderheiten der Verbindung zur Infrastruktur. Der Datenverkehr kann mehrere Analysepunkte durchlaufen und mit jedem von ihnen gespiegelt werden. Es werden auch wiederholt TCP-Pakete gesendet, die noch nicht erreicht wurden. Wenn jedoch viele davon vorhanden sind, handelt es sich eher um Fragen der Überwachung der Netzwerkqualität und nicht um die Informationssicherheit.

4. Erweiterte Filterfunktionen - von der Suche nach bestimmten Werten bei einem bestimmten Versatz bis zur Signaturanalyse im gesamten Paket.

5. NetFlow / IPFIX-Generierung - Sammlung einer breiten Liste von Statistiken über den weiterleitenden Verkehr und dessen Übertragung an die Analysetools.

6. Entschlüsselung des SSL-Verkehrs,Dies funktioniert, sofern das Zertifikat und die Schlüssel zuvor auf den Netzwerkpaket-Broker hochgeladen wurden. Dies ermöglicht es jedoch, die Analysewerkzeuge erheblich zu entladen.

Es gibt viele weitere nützliche und Marketingfunktionen, aber die wichtigsten sind möglicherweise aufgeführt.

Die Entwicklung von Erkennungssystemen (Intrusionen, DDOS-Angriffe) in ihren Präventionssystemen sowie die Einführung aktiver DPI-Tools erforderten eine Änderung des Vermittlungsschemas von passiv (über TAP- oder SPAN-Ports) zu aktiv („in die Lücke“). Dieser Umstand erhöhte die Zuverlässigkeitsanforderungen (da ein Ausfall in diesem Fall zu einer Störung des gesamten Netzwerks und nicht nur zu einem Verlust der Kontrolle über die Informationssicherheit führt) und führte zum Ersatz optischer Koppler durch optischen Bypass (um das Problem der Abhängigkeit der Netzwerkleistung von der Systemleistung zu lösen Informationssicherheit), aber die grundlegenden Funktionen und Anforderungen dafür blieben gleich.

Wir haben DS Integrity Network Packet Brokers mit 100G-, 40G- und 10G-Schnittstellen entwickelt, von Design und Schaltung bis hin zu eingebetteter Software. Darüber hinaus sind im Gegensatz zu anderen Paketbrokern die Änderungs- und Ausgleichsfunktionen für die eingebetteten Tunnelheader in Hardware mit voller Portgeschwindigkeit implementiert.

Bild

More articles:


All Articles