Get best of the week

Solutions modernes pour la construction de systèmes de sécurité de l'information - courtiers de paquets réseau (Network Packet Broker)

La sécurité de l'information s'est séparée des télécommunications pour devenir une industrie indépendante avec ses spécificités et ses équipements. Mais il existe une classe d'appareils peu connue à la jonction des télécommunications et de la sécurité de l'information - les courtiers de paquets réseau (Network Packet Broker), ce sont des équilibreurs de charge, des commutateurs spécialisés / de surveillance, des agrégateurs de trafic, Security Delivery Platform, Network Visibility, etc. Et nous, en tant que développeur et fabricant russe de tels appareils, voulons vraiment en parler davantage.

image


Portée et tâches


Les courtiers de paquets réseau sont des appareils spécialisés qui ont trouvé la plus grande application dans les systèmes de sécurité de l'information. En tant que telle, la classe d'appareils est relativement nouvelle et petite dans l'infrastructure réseau généralement acceptée par rapport aux commutateurs, routeurs, etc. Le pionnier dans le développement de ce type d'appareil a été la société américaine Gigamon. Actuellement, il y a beaucoup plus d'acteurs sur ce marché (y compris le fabricant bien connu de systèmes de test - IXIA, qui ont de telles solutions), mais seul un cercle restreint de professionnels connaît encore l'existence de tels appareils. Comme indiqué ci-dessus, même avec la terminologie, il n'y a pas de certitude sans équivoque: les noms vont d'un «système pour assurer la transparence du réseau» à de simples «équilibreurs».

Lors du développement de brokers de paquets réseau, nous avons été confrontés au fait qu'en plus d'analyser les domaines de développement fonctionnel et de tests en laboratoires / zones de test, il est nécessaire d'expliquer simultanément aux consommateurs potentiels l'existence de cette classe d'équipements, car tout le monde ne le sait pas.

Il y a 15 à 20 ans, il y avait peu de trafic sur le réseau, et il s'agissait principalement de données sans importance. Mais la loi de Nielsen répète pratiquement la loi de Moore : la vitesse de connexion Internet augmente de 50% par an. Le volume de trafic augmente également régulièrement (le graphique montre les prévisions pour 2017 de Cisco, source Cisco Visual Networking Index: Forecast and Trends, 2017-2022):

image

Parallèlement à la rapidité, l'importance de la circulation des informations (il s'agit d'un secret commercial et de données personnelles notoires) et les performances globales de l'infrastructure augmentent.

En conséquence, l'industrie de la sécurité de l'information est également apparue. L'industrie a répondu à cela avec l'avènement de toute une gamme de dispositifs d'analyse approfondie du trafic (DPI): des systèmes de prévention des attaques DDOS aux systèmes de gestion des événements de sécurité de l'information, y compris IDS, IPS, DLP, NBA, SIEM, Antimailware, etc. En règle générale, chacun de ces outils est un logiciel installé sur la plate-forme serveur. De plus, chaque programme (outil d'analyse) est installé sur sa plateforme serveur: les éditeurs de logiciels sont différents, et les ressources informatiques pour l'analyse sur L7 sont nombreuses.

Lors de la construction d'un système de sécurité de l'information, il est nécessaire de résoudre un certain nombre de tâches de base:

  • Comment transférer le trafic de l'infrastructure vers les systèmes d'analyse? (les ports SPAN initialement développés pour cela dans l'infrastructure moderne ne sont pas suffisants en termes de quantité ou de performance)
  • comment répartir le trafic entre différents systèmes d'analyse?
  • comment faire évoluer le système avec le manque de performances d'une instance de l'analyseur pour traiter l'intégralité du trafic qui y pénètre?
  • Comment surveiller les interfaces 40G / 100G (et dans un avenir proche, 200G / 400G), car les outils d'analyse ne prennent actuellement en charge que les interfaces 1G / 10G / 25G?

Et les tâches connexes suivantes:

  • comment minimiser le trafic inapproprié, qui n'a pas besoin d'être traité, mais qui tombe dans les outils d'analyse et consomme leurs ressources?
  • Comment gérer les paquets encapsulés et les paquets avec des marques de service d'équipement, dont la préparation pour l'analyse s'avère être gourmande en ressources ou impossible du tout?
  • comment exclure de l'analyse une partie du trafic qui ne relève pas de la réglementation de la politique de sécurité (par exemple, le trafic gestionnaire)

image

Comme chacun le sait, la demande crée l'offre, en réponse à ces besoins, les courtiers de paquets réseau ont commencé à se développer.

Description générale des courtiers de paquets réseau


Les courtiers de paquets réseau opèrent au niveau des paquets, et en cela ils sont similaires aux commutateurs ordinaires. La principale différence avec les commutateurs est que les règles de distribution et d'agrégation du trafic dans les courtiers de paquets réseau sont entièrement déterminées par les paramètres. Les courtiers de paquets réseau n'ont pas de normes pour la construction de tables de transfert (tables MAC) et de protocoles de communication avec d'autres commutateurs (tels que STP), et par conséquent la gamme de paramètres possibles et de champs compréhensibles est beaucoup plus large. Le courtier peut répartir uniformément le trafic d'un ou plusieurs ports d'entrée vers une plage donnée de ports de sortie avec la fonction d'une charge uniforme sur la sortie. Vous pouvez définir les règles de copie, de filtrage, de classification, de déduplication et de modification du trafic. Ces règles peuvent être appliquées à différents groupes de ports d'entrée du courtier de paquets réseau,et également appliquer séquentiellement les uns après les autres dans l'appareil lui-même. Un avantage important d'un courtier de paquets est la capacité de traiter le trafic à plein débit et de préserver l'intégrité de la session (dans le cas de l'équilibrage du trafic vers plusieurs systèmes DPI du même type).

La sauvegarde de l'intégrité des sessions consiste à transférer tous les paquets d'une session de couche transport (TCP / UDP / SCTP) vers un port. Ceci est important car les systèmes DPI (généralement des logiciels exécutés sur un serveur connecté au port de sortie d'un courtier de paquets) analysent le contenu du trafic au niveau de l'application, et tous les paquets envoyés / reçus par une application doivent aller vers la même instance d'analyseur . Si des paquets d'une session sont perdus ou distribués entre différents périphériques DPI, alors chaque périphérique DPI individuel sera dans une situation similaire à la lecture non pas du texte entier, mais des mots individuels de celui-ci. Et, très probablement, le texte ne comprendra pas.

Ainsi, étant orientés vers les systèmes de sécurité de l'information, les courtiers en paquets de réseau ont des fonctionnalités qui aident à connecter les systèmes logiciels DPI aux réseaux de télécommunications à haut débit et à réduire la charge sur eux: ils effectuent un filtrage préliminaire, une classification et une préparation du trafic pour simplifier le traitement ultérieur.

De plus, comme les courtiers de paquets réseau diffusent une large liste de statistiques et se retrouvent souvent connectés à différents points du réseau, ils trouvent également leur place dans le diagnostic des problèmes de santé de l'infrastructure réseau elle-même.

Caractéristiques de base des courtiers de paquets réseau


Le nom «commutateurs spécialisés / de surveillance» est né de son objectif de base: collecter le trafic de l'infrastructure (généralement à l'aide de coupleurs TAP optiques passifs et / ou de ports SPAN) et le répartir entre les outils d'analyse. Entre les systèmes hétérogènes, le trafic est mis en miroir (dupliqué), entre les systèmes homogènes, il est équilibré. Les fonctions de base incluent généralement le filtrage par champs vers L4 (MAC, IP, port TCP / UDP, etc.) et l'agrégation de plusieurs canaux légèrement chargés en un (par exemple, pour le traitement sur un système DPI).

Cette fonctionnalité fournit une solution au problème de base - la connexion des systèmes DPI à l'infrastructure réseau. Les courtiers de divers fabricants, limités par les fonctionnalités de base, fournissent le traitement de jusqu'à 32 interfaces 100G par 1U (plus d'interfaces ne s'adaptent pas physiquement sur le panneau avant 1U). Cependant, ils ne peuvent pas réduire la charge sur les outils d'analyse, et pour une infrastructure complexe, ils ne peuvent même pas fournir les exigences pour la fonction de base: une session répartie sur plusieurs tunnels (ou équipée de balises MPLS) peut être déséquilibrée pour différentes instances d'analyseur et généralement tomber hors de l'analyse.

En plus d'ajouter des interfaces 40 / 100G et, par conséquent, d'augmenter la productivité, les courtiers de paquets réseau se développent activement en termes de fourniture de nouvelles opportunités fondamentales: de l'équilibrage des en-têtes de tunnel imbriqués au décryptage du trafic. Malheureusement, de tels modèles ne peuvent pas se targuer de performances térabits, mais ils vous permettent de créer un système de sécurité des informations de très haute qualité et techniquement «beau» dans lequel chaque outil d'analyse est garanti de recevoir uniquement les informations dont il a besoin sous la forme la plus appropriée pour l'analyse.

Courtiers de paquets réseau avancés


image

1. Mentionné ci-dessus sur l'équilibrage des en-têtes imbriqués dans le trafic tunnelé.

Pourquoi c'est important? Considérez 3 aspects qui peuvent être critiques ensemble ou individuellement:

  • . , 2 , 3 . , ;
  • (, FTP VoIP), . : , , . , , , . , , . , ;
  • équilibrage en présence de MPLS, VLAN, étiquettes d'équipement individuelles, etc. Pas vraiment des tunnels, mais néanmoins, les équipements avec des fonctionnalités de base peuvent comprendre ce trafic non pas comme IP et l'équilibre par les adresses MAC, violant une fois de plus l'équilibre ou l'intégrité des sessions.

Le courtier de paquets réseau analyse les en-têtes externes et suit séquentiellement les pointeurs vers l’en-tête IP imbriqué lui-même et l’équilibre. En conséquence, il y a beaucoup plus de threads (en conséquence, vous pouvez déséquilibrer plus uniformément et sur un plus grand nombre de plates-formes), et le système DPI reçoit tous les paquets de session et toutes les sessions associées de protocoles multisessions.

2. Modification du trafic.
L'une des fonctions les plus larges en termes de capacités, le nombre de sous-fonctions et leurs options d'application sont nombreux:

  • payload, . , , . , (, , ), payload , . , payload , – ;
  • , , . – . ;
  • : MPLS-, VLAN, ;
  • , , IP- ;
  • : , , ..

3. Déduplication - nettoyage des paquets de trafic en double transmis aux outils d'analyse. Les paquets en double surviennent le plus souvent en raison des particularités de la connexion à l'infrastructure - le trafic peut passer par plusieurs points d'analyse et se refléter sur chacun d'eux. Il y a également des envois répétés de paquets TCP qui n'ont pas atteint, mais s'il y en a beaucoup, il s'agit plus probablement de questions de surveillance de la qualité du réseau, plutôt que de sécurité de l'information.

4. Fonctions de filtrage avancées - de la recherche de valeurs spécifiques à un décalage donné à l'analyse de signature dans l'ensemble du package.

5. Génération NetFlow / IPFIX - collecte d'une large liste de statistiques sur le trafic passant et sa transmission aux outils d'analyse.

6. Déchiffrement du trafic SSL,Cela fonctionne à condition que le certificat et les clés soient préchargés dans le courtier de paquets réseau. Néanmoins, cela permet de décharger considérablement les outils d'analyse.

Il existe de nombreuses autres fonctionnalités utiles et marketing, mais les principales sont peut-être répertoriées.

Le développement de systèmes de détection (intrusions, attaques DDOS) dans leurs systèmes de prévention, ainsi que l'introduction d'outils DPI actifs, ont nécessité un changement dans le schéma de commutation de passif (via les ports TAP ou SPAN) à actif («à casser»). Cette circonstance a augmenté les exigences de fiabilité (car une défaillance dans ce cas entraîne une perturbation de l'ensemble du réseau, et pas seulement une perte de contrôle sur la sécurité des informations) et a conduit au remplacement des coupleurs optiques avec bypass optique (pour résoudre le problème de la dépendance des performances du réseau sur les performances du système sécurité de l'information), mais les fonctionnalités de base et les exigences en la matière sont restées les mêmes.

Nous avons développé DS Integrity Network Packet Brokers avec des interfaces 100G, 40G et 10G de la conception et des circuits aux logiciels intégrés. De plus, contrairement à d'autres courtiers de paquets, les fonctions de modification et d'équilibrage des en-têtes de tunnel intégrés sont implémentées dans le matériel, à pleine vitesse de port.

image

More articles:


All Articles