Get best of the week

Solusi modern untuk membangun sistem keamanan informasi - broker paket jaringan (Network Packet Broker)

Keamanan informasi telah terpisah dari telekomunikasi menjadi industri independen dengan spesifik dan peralatannya sendiri. Tetapi ada kelas perangkat yang kurang dikenal di persimpangan telekomunikasi dan keamanan informasi - pialang paket jaringan (Network Packet Broker), mereka adalah penyeimbang beban, sakelar khusus / pemantauan, agregator lalu lintas, Platform Pengiriman Keamanan, Visibilitas Jaringan, dan sebagainya. Dan kami, sebagai pengembang dan pabrikan Rusia perangkat semacam itu, benar-benar ingin berbicara lebih banyak tentang mereka.

gambar


Lingkup dan tugas


Pialang paket jaringan adalah perangkat khusus yang telah menemukan aplikasi terbesar dalam sistem keamanan informasi. Dengan demikian, kelas perangkat relatif baru dan kecil dalam infrastruktur jaringan yang diterima secara umum dibandingkan dengan switch, router, dll. Pelopor dalam pengembangan perangkat jenis ini adalah perusahaan Amerika Gigamon. Saat ini, ada lebih banyak pemain di pasar ini (termasuk pabrikan sistem pengujian yang terkenal - IXIA, yang memiliki solusi semacam itu), tetapi hanya kalangan profesional yang sempit yang masih tahu tentang keberadaan perangkat tersebut. Seperti disebutkan di atas, bahkan dengan terminologi tidak ada kepastian tegas: nama berkisar dari "sistem untuk memastikan transparansi jaringan" ke "penyeimbang" sederhana.

Ketika mengembangkan pialang paket jaringan, kami dihadapkan dengan fakta bahwa, selain menganalisis bidang pengembangan fungsional dan pengujian di laboratorium / zona uji, perlu secara bersamaan menjelaskan kepada konsumen potensial tentang keberadaan peralatan kelas ini, karena tidak semua orang mengetahuinya.

Sejak 15-20 tahun yang lalu, ada sedikit lalu lintas dalam jaringan, dan ini terutama tidak penting. Tetapi hukum Nielsen secara praktis mengulangi hukum Moore : kecepatan koneksi internet meningkat 50% setiap tahun. Volume lalu lintas juga terus meningkat (grafik menunjukkan perkiraan 2017 dari Cisco, sumber Cisco Visual Networking Index: Forecast and Trends, 2017–2022):

gambar

Seiring dengan kecepatan, pentingnya menyebarkan informasi (ini adalah rahasia dagang, dan data pribadi yang terkenal) dan kinerja keseluruhan infrastruktur meningkat.

Dengan demikian, industri keamanan informasi juga muncul. Industri merespons dengan munculnya berbagai perangkat untuk analisis lalu lintas mendalam (DPI): dari sistem pencegahan serangan DDOS ke sistem manajemen acara keamanan informasi, termasuk IDS, IPS, DLP, NBA, SIEM, Antimailware, dan sebagainya. Biasanya, masing-masing alat ini adalah perangkat lunak yang diinstal pada platform server. Selain itu, setiap program (alat analisis) diinstal pada platform servernya: produsen perangkat lunak berbeda, dan ada banyak sumber daya komputasi untuk analisis pada L7.

Saat membangun sistem keamanan informasi, diperlukan untuk menyelesaikan sejumlah tugas dasar:

  • Bagaimana cara mentransfer lalu lintas dari infrastruktur ke sistem analisis? (port SPAN awalnya dikembangkan untuk ini dalam infrastruktur modern tidak cukup dalam hal kuantitas atau kinerja)
  • bagaimana cara mendistribusikan traffic antara sistem analisis yang berbeda?
  • bagaimana skala sistem dengan kurangnya kinerja satu contoh alat analisa untuk memproses seluruh jumlah lalu lintas yang masuk itu?
  • Bagaimana cara memantau antarmuka 40G / 100G (dan dalam waktu dekat, 200G / 400G), karena alat analisis saat ini hanya mendukung antarmuka 1G / 10G / 25G?

Dan tugas-tugas terkait berikut:

  • bagaimana meminimalkan lalu lintas yang tidak pantas, yang tidak perlu diproses, tetapi termasuk dalam alat analisis dan menghabiskan sumber dayanya?
  • Bagaimana menangani paket enkapsulasi dan paket dengan tanda layanan peralatan, yang persiapannya untuk analisis ternyata menjadi sumber daya intensif atau tidak mungkin sama sekali?
  • cara mengecualikan dari bagian analisis lalu lintas yang tidak termasuk dalam peraturan kebijakan keamanan (misalnya, lalu lintas manajer).

gambar

Seperti yang diketahui semua orang, permintaan menciptakan pasokan, sebagai tanggapan terhadap kebutuhan ini, broker paket jaringan mulai berkembang.

Gambaran Umum tentang Broker Paket Jaringan


Broker paket jaringan beroperasi pada tingkat paket, dan dalam hal ini mereka serupa dengan sakelar biasa. Perbedaan utama dari sakelar adalah bahwa aturan untuk mendistribusikan dan mengagregasi lalu lintas dalam broker paket jaringan sepenuhnya ditentukan oleh pengaturan. Pialang paket jaringan tidak memiliki standar untuk membangun tabel penerusan (tabel MAC) dan protokol komunikasi dengan sakelar lain (seperti STP), dan karenanya rentang pengaturan yang mungkin dan bidang yang dapat dipahami di dalamnya jauh lebih luas. Pialang dapat mendistribusikan lalu lintas secara merata dari satu atau beberapa port input ke kisaran port output tertentu dengan fungsi beban seragam pada output. Anda dapat mengatur aturan untuk menyalin, memfilter, klasifikasi, deduplikasi dan modifikasi lalu lintas. Aturan-aturan ini dapat diterapkan ke berbagai kelompok port input dari broker paket jaringan,dan juga menerapkan secara berurutan satu demi satu di perangkat itu sendiri. Keuntungan penting dari paket broker adalah kemampuan untuk memproses lalu lintas pada laju aliran penuh dan mempertahankan integritas sesi (dalam hal menyeimbangkan lalu lintas ke beberapa sistem DPI dari jenis yang sama).

Menyimpan integritas sesi terdiri dari mentransfer semua paket sesi lapisan transport (TCP / UDP / SCTP) ke satu port. Ini penting karena sistem DPI (biasanya perangkat lunak yang berjalan di server yang terhubung ke port output dari paket broker) menganalisis konten lalu lintas di tingkat aplikasi, dan semua paket yang dikirim / diterima oleh satu aplikasi harus pergi ke instance analyzer yang sama . Jika paket dari satu sesi hilang atau didistribusikan antara perangkat DPI yang berbeda, maka setiap perangkat DPI individu akan berada dalam situasi yang mirip dengan membaca bukan seluruh teks, tetapi kata-kata individual dari itu. Dan, kemungkinan besar, teks tidak akan mengerti.

Dengan demikian, karena berfokus pada sistem keamanan informasi, pialang paket jaringan memiliki fungsi yang membantu menghubungkan sistem perangkat lunak DPI ke jaringan telekomunikasi berkecepatan tinggi dan mengurangi beban pada mereka: mereka melakukan penyaringan awal, klasifikasi dan persiapan lalu lintas untuk menyederhanakan proses selanjutnya.

Selain itu, karena pialang paket jaringan memberikan daftar statistik yang luas dan sering kali menemukan diri mereka terhubung ke berbagai titik jaringan, mereka juga menemukan tempat mereka dalam mendiagnosis masalah kesehatan infrastruktur jaringan itu sendiri.

Fitur dasar dari broker paket jaringan


Nama "sakelar khusus / pemantauan" muncul dari tujuan dasarnya: untuk mengumpulkan lalu lintas dari infrastruktur (biasanya menggunakan skrup TAP optik pasif dan / atau port SPAN) dan mendistribusikannya di antara alat analisis. Antara sistem heterogen, lalu lintas dicerminkan (diduplikasi), antara sistem homogen seimbang. Fungsi dasar biasanya mencakup pemfilteran menurut bidang ke L4 (MAC, IP, port TCP / UDP, dll.) Dan menggabungkan beberapa saluran yang ringan menjadi satu (misalnya, untuk diproses pada satu sistem DPI).

Fungsionalitas ini memberikan solusi untuk masalah mendasar - menghubungkan sistem DPI ke infrastruktur jaringan. Pialang dari berbagai pabrikan, dibatasi oleh fungsionalitas dasar, menyediakan pemrosesan hingga 32 antarmuka 100G per 1U (lebih banyak antarmuka yang secara fisik tidak sesuai pada panel depan 1U). Namun, mereka tidak dapat mengurangi beban pada alat analisis, dan untuk infrastruktur yang kompleks mereka bahkan tidak dapat menyediakan persyaratan untuk fungsi dasar: sesi yang didistribusikan di beberapa terowongan (atau dilengkapi dengan tag MPLS) dapat tidak seimbang untuk berbagai alat analisis yang berbeda dan umumnya tidak dianalisa.

Selain menambahkan antarmuka 40 / 100G dan, sebagai hasilnya, meningkatkan produktivitas, pialang paket jaringan secara aktif berkembang dalam hal menyediakan peluang baru yang fundamental: dari menyeimbangkan header terowongan bersarang hingga mendekripsi lalu lintas. Sayangnya, model seperti itu tidak dapat membanggakan kinerja terabit, tetapi mereka memungkinkan Anda untuk membangun sistem keamanan informasi yang benar-benar berkualitas tinggi dan "indah" di mana setiap alat analisis dijamin hanya menerima informasi yang diperlukan dalam bentuk analisis yang paling sesuai.

Broker Paket Jaringan Lanjutan


gambar

1. Disebutkan di atas keseimbangan pada header bersarang dalam lalu lintas terowongan.

Mengapa ini penting? Pertimbangkan 3 aspek yang bisa kritis bersama atau sendiri-sendiri:

  • . , 2 , 3 . , ;
  • (, FTP VoIP), . : , , . , , , . , , . , ;
  • menyeimbangkan di hadapan MPLS, VLAN, tag peralatan individu, dll. Tidak benar-benar terowongan, namun demikian, peralatan dengan fungsionalitas dasar dapat memahami lalu lintas ini bukan sebagai IP dan keseimbangan berdasarkan alamat MAC, sekali lagi melanggar keseimbangan atau integritas sesi.

Pialang paket jaringan mem-parsing header eksternal dan secara berurutan mengikuti pointer ke header IP bersarang itu sendiri dan menyeimbangkannya. Akibatnya, ada lebih banyak utas secara signifikan (karenanya, Anda dapat menyeimbangkan lebih merata dan pada jumlah platform yang lebih besar), dan sistem DPI menerima semua paket sesi dan semua sesi yang terhubung dari protokol multisesi.

2. Modifikasi lalu lintas.
Salah satu fungsi terluas dalam hal kemampuannya, jumlah subfungsi dan opsi aplikasinya sangat banyak:

  • payload, . , , . , (, , ), payload , . , payload , – ;
  • , , . – . ;
  • : MPLS-, VLAN, ;
  • , , IP- ;
  • : , , ..

3. Deduplikasi - pembersihan paket lalu lintas rangkap yang dikirim ke alat analisis. Paket duplikat paling sering muncul karena kekhasan menghubungkan ke infrastruktur - lalu lintas dapat melalui beberapa titik analisis dan dicerminkan dengan masing-masing. Ada juga pengiriman berulang paket TCP yang belum mencapai, tetapi jika ada banyak, maka ini lebih cenderung menjadi pertanyaan pemantauan kualitas jaringan, daripada keamanan informasi di dalamnya.

4. Fungsi pemfilteran tingkat lanjut - dari mencari nilai spesifik pada offset yang diberikan hingga analisis tanda tangan di seluruh paket.

5. NetFlow / IPFIX generation - kumpulan daftar statistik lengkap tentang lalu lintas yang lewat dan transmisinya ke alat analisis.

6. Dekripsi lalu lintas SSL,Ini berfungsi asalkan sertifikat dan kunci sebelumnya diunggah ke broker paket jaringan. Namun demikian, ini memungkinkan untuk secara signifikan membongkar alat analisis.

Ada banyak fitur yang lebih berguna dan pemasaran, tetapi yang utama mungkin terdaftar.

Pengembangan sistem deteksi (intrusi, serangan DDOS) dalam sistem pencegahannya, serta pengenalan alat DPI aktif, membutuhkan perubahan dalam skema switching dari pasif (melalui TAP atau port SPAN) menjadi aktif ("untuk memecah"). Keadaan ini meningkatkan persyaratan keandalan (karena kegagalan dalam kasus ini menyebabkan gangguan pada seluruh jaringan, dan tidak hanya hilangnya kontrol atas keamanan informasi) dan menyebabkan penggantian skrup optik dengan bypass optik (untuk menyelesaikan masalah ketergantungan pada kinerja jaringan pada kinerja sistem. keamanan informasi), tetapi fungsi dasar dan persyaratan untuknya tetap sama.

Kami telah mengembangkan Broker Paket Jaringan Integritas DS dengan antarmuka 100G, 40G, dan 10G dari desain dan sirkuit hingga perangkat lunak tertanam. Selain itu, tidak seperti broker paket lainnya, fungsi modifikasi dan penyeimbangan untuk header terowongan tertanam diimplementasikan dalam perangkat keras, pada kecepatan port penuh.

gambar

More articles:


All Articles