Get best of the week

Soluciones modernas para construir sistemas de seguridad de la información: corredores de paquetes de red (Network Packet Broker)

La seguridad de la información se ha separado de las telecomunicaciones en una industria independiente con sus propios detalles y sus equipos. Pero hay una clase poco conocida de dispositivos en la unión de las telecomunicaciones y la seguridad de la información: los corredores de paquetes de red (Network Packet Broker), son equilibradores de carga, conmutadores especializados / de monitoreo, agregadores de tráfico, plataforma de entrega de seguridad, visibilidad de red, etc. Y nosotros, como desarrollador y fabricante ruso de tales dispositivos, realmente queremos hablar más sobre ellos.

imagen


Alcance y tareas


Los corredores de paquetes de red son dispositivos especializados que han encontrado la mejor aplicación en sistemas de seguridad de la información. Como tal, la clase de dispositivos es relativamente nueva y pequeña en la infraestructura de red generalmente aceptada en comparación con los conmutadores, enrutadores, etc. El pionero en el desarrollo de este tipo de dispositivo fue la empresa estadounidense Gigamon. Actualmente, hay muchos más jugadores en este mercado (incluido el conocido fabricante de sistemas de prueba - IXIA, que tiene tales soluciones), pero solo un pequeño círculo de profesionales aún conoce la existencia de dichos dispositivos. Como se señaló anteriormente, incluso con la terminología no existe una certeza inequívoca: los nombres van desde "un sistema para garantizar la transparencia de la red" hasta simples "equilibradores".

Al desarrollar corredores de paquetes de red, nos enfrentamos con el hecho de que, además de analizar las áreas de desarrollo funcional y las pruebas en laboratorios / zonas de prueba, es necesario explicar simultáneamente a los consumidores potenciales la existencia de esta clase de equipos, ya que no todos lo saben.

Ya hace 15-20 años, había poco tráfico en la red, y estos eran en su mayoría datos sin importancia. Pero la ley de Nielsen prácticamente repite la ley de Moore : la velocidad de conexión a Internet aumenta en un 50% anualmente. El volumen de tráfico también está creciendo constantemente (el gráfico muestra el pronóstico de 2017 de Cisco, fuente de Cisco Visual Networking Index: Forecast and Trends, 2017–2022):

imagen

Junto con la velocidad, la importancia de la circulación de información (este es un secreto comercial y datos personales notorios) y el rendimiento general de la infraestructura están aumentando.

En consecuencia, también apareció la industria de seguridad de la información. La industria respondió con la llegada de una amplia gama de dispositivos para el análisis de tráfico profundo (DPI): desde sistemas de prevención de ataques DDOS hasta sistemas de gestión de eventos de seguridad de la información, incluidos IDS, IPS, DLP, NBA, SIEM, Antimailware, etc. Por lo general, cada una de estas herramientas es un software instalado en la plataforma del servidor. Además, cada programa (herramienta de análisis) está instalado en su plataforma de servidor: los fabricantes de software son diferentes y hay muchos recursos informáticos para el análisis en L7.

Al construir un sistema de seguridad de la información, se requiere resolver una serie de tareas básicas:

  • ¿Cómo transferir el tráfico de la infraestructura a los sistemas de análisis? (los puertos SPAN desarrollados inicialmente para esto en la infraestructura moderna no son suficientes en términos de cantidad o rendimiento)
  • ¿Cómo distribuir el tráfico entre diferentes sistemas de análisis?
  • ¿Cómo escalar el sistema con la falta de rendimiento de una instancia del analizador para procesar la cantidad total de tráfico que ingresa?
  • ¿Cómo monitorear las interfaces 40G / 100G (y en el futuro cercano, 200G / 400G), ya que las herramientas de análisis actualmente solo admiten interfaces 1G / 10G / 25G?

Y las siguientes tareas relacionadas:

  • ¿Cómo minimizar el tráfico inapropiado, que no necesita ser procesado, pero cae en las herramientas de análisis y consume sus recursos?
  • ¿Cómo manejar paquetes encapsulados y paquetes con marcas de servicio de equipos, cuya preparación para el análisis resulta ser intensiva en recursos o imposible?
  • cómo excluir del análisis parte del tráfico que no está sujeto a la regulación de la política de seguridad (por ejemplo, el tráfico del administrador).

imagen

Como todos saben, la demanda crea oferta, en respuesta a estas necesidades, los corredores de paquetes de red comenzaron a desarrollarse.

Descripción general de los corredores de paquetes de red


Los corredores de paquetes de red operan a nivel de paquete, y en esto son similares a los conmutadores regulares. La principal diferencia de los conmutadores es que las reglas para distribuir y agregar tráfico en los corredores de paquetes de red están completamente determinadas por la configuración. Los corredores de paquetes de red no tienen estándares para construir tablas de reenvío (tablas MAC) y protocolos de comunicación con otros conmutadores (como STP) y, por lo tanto, el rango de configuraciones posibles y campos comprensibles en ellos es mucho más amplio. El agente puede distribuir uniformemente el tráfico desde uno o más puertos de entrada a un rango dado de puertos de salida con la función de carga uniforme en la salida. Puede establecer las reglas para copiar, filtrar, clasificar, deduplicar y modificar el tráfico. Estas reglas se pueden aplicar a diferentes grupos de puertos de entrada del agente de paquetes de red,y también aplicar secuencialmente uno tras otro en el propio dispositivo. Una ventaja importante de un agente de paquetes es la capacidad de procesar el tráfico a una velocidad de flujo completa y mantener la integridad de la sesión (en el caso de equilibrar el tráfico a varios sistemas DPI del mismo tipo).

Guardar la integridad de las sesiones consiste en transferir todos los paquetes de una sesión de capa de transporte (TCP / UDP / SCTP) a un puerto. Esto es importante porque los sistemas DPI (generalmente software que se ejecuta en un servidor conectado al puerto de salida de un intermediario de paquetes) analizan el contenido del tráfico a nivel de aplicación, y todos los paquetes enviados / recibidos por una aplicación deben ir a la misma instancia del analizador . Si los paquetes de una sesión se pierden o se distribuyen entre diferentes dispositivos DPI, cada dispositivo DPI individual se encontrará en una situación similar a la de leer no todo el texto, sino palabras individuales de él. Y, muy probablemente, el texto no lo entenderá.

Por lo tanto, al centrarse en los sistemas de seguridad de la información, los corredores de paquetes de red tienen una funcionalidad que ayuda a conectar los sistemas de software DPI a las redes de telecomunicaciones de alta velocidad y reducir la carga sobre ellos: llevan a cabo el filtrado preliminar, la clasificación y la preparación del tráfico para simplificar el procesamiento posterior.

Además, dado que los corredores de paquetes de red brindan una amplia lista de estadísticas y, a menudo, se encuentran conectados a varios puntos de la red, también encuentran su lugar en el diagnóstico de los problemas de salud de la infraestructura de la red.

Características básicas de los corredores de paquetes de red.


El nombre de "interruptores especializados / de monitoreo" surgió de su propósito básico: recolectar tráfico de la infraestructura (usualmente usando acopladores TAP ópticos pasivos y / o puertos SPAN) y distribuirlo entre las herramientas de análisis. Entre sistemas heterogéneos, el tráfico se refleja (duplicado), entre sistemas homogéneos está equilibrado. Las funciones básicas generalmente incluyen el filtrado por campos a L4 (MAC, IP, puerto TCP / UDP, etc.) y la agregación de varios canales ligeramente cargados en uno (por ejemplo, para procesar en un sistema DPI).

Esta funcionalidad proporciona una solución al problema básico: conectar los sistemas DPI a la infraestructura de red. Los corredores de varios fabricantes, limitados por la funcionalidad básica, proporcionan procesamiento de hasta 32 interfaces 100G por 1U (más interfaces no caben físicamente en el panel frontal de 1U). Sin embargo, no pueden reducir la carga en las herramientas de análisis y, para una infraestructura compleja, ni siquiera pueden proporcionar los requisitos para la función básica: una sesión distribuida en varios túneles (o equipada con etiquetas MPLS) puede desequilibrarse para diferentes instancias de analizador y, en general, quedar fuera del análisis.

Además de agregar interfaces 40 / 100G y, como resultado, aumentar la productividad, los corredores de paquetes de red se están desarrollando activamente en términos de proporcionar características fundamentalmente nuevas: desde equilibrar encabezados de túnel anidados hasta descifrar el tráfico. Desafortunadamente, estos modelos no pueden presumir de un rendimiento de terabit, pero le permiten construir un sistema de seguridad de la información realmente de alta calidad y técnicamente "bello" en el que se garantiza que cada herramienta de análisis reciba solo la información que necesita en la forma más adecuada para el análisis.

Corredores de paquetes de red avanzados


imagen

1. Se mencionó el equilibrio anterior en encabezados anidados en tráfico tunelizado.

¿Por qué es importante? Considere 3 aspectos que pueden ser críticos juntos o individualmente:

  • . , 2 , 3 . , ;
  • (, FTP VoIP), . : , , . , , , . , , . , ;
  • equilibrio en presencia de MPLS, VLAN, etiquetas de equipos individuales, etc. En realidad, no son túneles, pero sin embargo, los equipos con funcionalidad básica pueden entender este tráfico no como IP y saldo por direcciones MAC, una vez más violando el saldo o la integridad de las sesiones.

El intermediario de paquetes de red analiza los encabezados externos y sigue secuencialmente los punteros al encabezado IP anidado y lo equilibra. Como resultado, hay significativamente más subprocesos (en consecuencia, puede desequilibrar de manera más uniforme y en un mayor número de plataformas), y el sistema DPI recibe todos los paquetes de sesión y todas las sesiones asociadas de protocolos multisesión.

2. Modificación del tráfico.
Una de las funciones más amplias en términos de sus capacidades, la cantidad de subfunciones y sus opciones de aplicación son numerosas:

  • payload, . , , . , (, , ), payload , . , payload , – ;
  • , , . – . ;
  • : MPLS-, VLAN, ;
  • , , IP- ;
  • : , , ..

3. Deduplicación : limpieza de paquetes de tráfico duplicados transmitidos a herramientas de análisis. Los paquetes duplicados surgen con mayor frecuencia debido a las peculiaridades de conectarse a la infraestructura: el tráfico puede pasar por varios puntos de análisis y reflejarse en cada uno de ellos. También hay envíos repetidos de paquetes TCP que no se han alcanzado, pero si hay muchos de ellos, entonces es más probable que se trate de monitorear la calidad de la red, en lugar de la seguridad de la información en ella.

4. Funciones de filtrado avanzadas : desde la búsqueda de valores específicos en un desplazamiento determinado hasta el análisis de firmas en todo el paquete.

5. Generación NetFlow / IPFIX : recopilación de una amplia lista de estadísticas sobre el tráfico que pasa y su transmisión a las herramientas de análisis.

6. Descifrado del tráfico SSL,Funciona siempre que el certificado y las claves estén precargados en el agente de paquetes de red. Sin embargo, esto permite descargar significativamente las herramientas de análisis.

Hay muchas más funciones útiles y de marketing, pero quizás las principales estén enumeradas.

El desarrollo de sistemas de detección (intrusiones, ataques DDOS) en sus sistemas de prevención, así como la introducción de herramientas DPI activas, requirieron un cambio en el esquema de conmutación de pasivo (a través de puertos TAP o SPAN) a activo ("en la brecha"). Esta circunstancia aumentó los requisitos de confiabilidad (porque la falla en este caso conduce a la interrupción de toda la red, y no solo a la pérdida de control sobre la seguridad de la información) y condujo a la sustitución de acopladores ópticos con derivación óptica (para resolver el problema de la dependencia del rendimiento de la red en el rendimiento del sistema seguridad de la información), pero la funcionalidad básica y los requisitos para ello seguían siendo los mismos.

Hemos desarrollado DS Integrity Network Packet Brokers con interfaces 100G, 40G y 10G desde diseño y circuitos hasta software embebido. Además, a diferencia de otros intermediarios de paquetes, las funciones de modificación y equilibrio para las cabeceras de túnel integradas se implementan en hardware, a toda velocidad de puerto.

imagen

More articles:


All Articles