Get best of the week

Soluções modernas para a construção de sistemas de segurança da informação - corretores de pacotes de rede (Network Packet Broker)

A segurança da informação separou-se das telecomunicações em um setor independente, com suas próprias especificidades e seus equipamentos. Mas há uma classe pouco conhecida de dispositivos na junção de telecomunicações e segurança da informação - corretores de pacotes de rede (Network Packet Broker), eles são balanceadores de carga, comutadores especializados / de monitoramento, agregadores de tráfego, Security Delivery Platform, Network Visibility e assim por diante. E nós, como desenvolvedores e fabricantes russos de tais dispositivos, realmente queremos falar mais sobre eles.

imagem


Escopo e tarefas


Os agentes de pacotes de rede são dispositivos especializados que encontraram a melhor aplicação em sistemas de segurança da informação. Como tal, a classe de dispositivos é relativamente nova e pequena na infraestrutura de rede geralmente aceita em comparação com comutadores, roteadores etc. A pioneira no desenvolvimento desse tipo de dispositivo foi a empresa americana Gigamon. Atualmente, existem significativamente mais participantes nesse mercado (incluindo o conhecido fabricante de sistemas de teste - IXIA, que possui essas soluções), mas apenas um pequeno círculo de profissionais ainda sabe da existência desses dispositivos. Como observado acima, mesmo com a terminologia, não há certeza inequívoca: os nomes variam de "um sistema para garantir a transparência da rede" a "balanceadores" simples.

Ao desenvolver agentes de pacotes de rede, nos deparamos com o fato de que, além de analisar as áreas de desenvolvimento funcional e testes em laboratórios / zonas de testes, é necessário explicar simultaneamente aos potenciais consumidores a existência dessa classe de equipamentos, pois nem todo mundo sabe disso.

Entre 15 e 20 anos atrás, havia pouco tráfego na rede, e esses dados eram principalmente sem importância. Mas a lei de Nielsen praticamente repete a lei de Moore : a velocidade da conexão à Internet aumenta em 50% ao ano. O volume de tráfego também está crescendo constantemente (o gráfico mostra a previsão de 2017 da Cisco, fonte Cisco Visual Networking Index: Forecast and Trends, 2017-2022):

imagem

Juntamente com a velocidade, a importância da circulação de informações (este é um segredo comercial e dados pessoais notórios) e o desempenho geral da infraestrutura estão aumentando.

Assim, o setor de segurança da informação também apareceu. A indústria respondeu com o advento de toda uma gama de dispositivos para análise profunda do tráfego (DPI): de sistemas de prevenção de ataques DDOS a sistemas de gerenciamento de eventos de segurança da informação, incluindo IDS, IPS, DLP, NBA, SIEM, Antimailware e assim por diante. Normalmente, cada uma dessas ferramentas é um software instalado na plataforma do servidor. Além disso, cada programa (ferramenta de análise) é instalado em sua plataforma de servidor: os fabricantes de software são diferentes e existem muitos recursos de computação para análise no L7.

Ao construir um sistema de segurança da informação, é necessário resolver várias tarefas básicas:

  • Como transferir tráfego da infraestrutura para os sistemas de análise? (as portas SPAN inicialmente desenvolvidas para isso na infraestrutura moderna não são suficientes em termos de quantidade ou desempenho)
  • como distribuir o tráfego entre diferentes sistemas de análise?
  • como dimensionar o sistema com a falta de desempenho de uma instância do analisador para processar toda a quantidade de tráfego que entra nele?
  • Como monitorar interfaces 40G / 100G (e em um futuro próximo, 200G / 400G), já que as ferramentas de análise atualmente suportam apenas interfaces 1G / 10G / 25G?

E as seguintes tarefas relacionadas:

  • como minimizar o tráfego inadequado, que não precisa ser processado, mas cai nas ferramentas de análise e consome seus recursos?
  • Como lidar com pacotes encapsulados e pacotes com marcas de serviço de equipamentos, cuja preparação para análise acaba por ser intensiva em recursos ou impossível?
  • como excluir da análise parte do tráfego que não se enquadra na regulamentação da política de segurança (por exemplo, tráfego de gerente).

imagem

Como todos sabem, a demanda cria oferta, em resposta a essas necessidades, os corretores de pacotes de rede começaram a se desenvolver.

Descrição geral dos corretores de pacotes de rede


Os agentes de pacotes de rede operam no nível do pacote e, assim, são semelhantes aos comutadores regulares. A principal diferença dos comutadores é que as regras para distribuição e agregação de tráfego nos agentes de pacotes de rede são completamente determinadas pelas configurações. Os agentes de pacote de rede não possuem padrões para a construção de tabelas de encaminhamento (tabelas MAC) e protocolos de comunicação com outros comutadores (como o STP), e, portanto, a variedade de configurações possíveis e campos compreensíveis é muito maior. O broker pode distribuir uniformemente o tráfego de uma ou mais portas de entrada para um determinado intervalo de portas de saída com a função de carga uniforme na saída. Você pode definir as regras para cópia, filtragem, classificação, desduplicação e modificação de tráfego. Essas regras podem ser aplicadas a diferentes grupos de portas de entrada do broker de pacotes de rede,e também aplicar sequencialmente um após o outro no próprio dispositivo. Uma vantagem importante de um intermediário de pacotes é a capacidade de processar o tráfego na taxa de fluxo total e manter a integridade da sessão (no caso de equilibrar o tráfego para vários sistemas DPI do mesmo tipo).

Salvar a integridade das sessões consiste em transferir todos os pacotes de uma sessão da camada de transporte (TCP / UDP / SCTP) para uma porta. Isso é importante porque os sistemas DPI (geralmente software em execução em um servidor conectado à porta de saída de um broker de pacotes) analisam o conteúdo do tráfego no nível do aplicativo e todos os pacotes enviados / recebidos por um aplicativo devem ir para a mesma instância do analisador. . Se os pacotes de uma sessão forem perdidos ou distribuídos entre diferentes dispositivos de DPI, cada dispositivo de DPI individual estará em uma situação semelhante à leitura não de todo o texto, mas de palavras individuais. E, provavelmente, o texto não entenderá.

Assim, concentrando-se nos sistemas de segurança da informação, os corretores de pacotes de rede têm uma funcionalidade que ajuda a conectar os sistemas de software DPI às redes de telecomunicações de alta velocidade e reduz a carga neles: eles realizam filtragem, classificação e preparação preliminar do tráfego para simplificar o processamento subsequente.

Além disso, como os intermediários de pacotes de rede fornecem uma ampla lista de estatísticas e geralmente se encontram conectados a vários pontos da rede, também encontram seu lugar no diagnóstico dos problemas de saúde da própria infraestrutura de rede.

Recursos básicos dos agentes de pacotes de rede


O nome “comutadores especializados / de monitoramento” surgiu de seu objetivo básico: coletar tráfego da infraestrutura (geralmente usando acopladores TAP ópticos passivos e / ou portas SPAN) e distribuí-lo entre as ferramentas de análise. Entre sistemas heterogêneos, o tráfego é espelhado (duplicado), entre sistemas homogêneos é equilibrado. As funções básicas geralmente incluem filtragem por campos para L4 (porta MAC, IP, TCP / UDP, etc.) e agregação de vários canais levemente carregados em um (por exemplo, para processamento em um sistema DPI).

Essa funcionalidade fornece uma solução para o problema básico - conectando sistemas DPI à infraestrutura de rede. Os corretores de vários fabricantes, limitados pela funcionalidade básica, fornecem processamento de até 32 interfaces 100G por 1U (mais interfaces não se encaixam fisicamente no painel frontal de 1U). No entanto, eles não permitem reduzir a carga nas ferramentas de análise e, para infra-estrutura complexa, não podem fornecer os requisitos para a função básica: uma sessão distribuída por vários túneis (ou equipados com tags MPLS) pode ser desequilibrada para diferentes instâncias do analisador e geralmente fica fora de análise.

Além de adicionar interfaces 40 / 100G e, como resultado, aumentar a produtividade, os corretores de pacotes de rede estão se desenvolvendo ativamente em termos de fornecimento de recursos fundamentalmente novos: desde o balanceamento de cabeçalhos de túnel aninhados até a descriptografia de tráfego. Infelizmente, esses modelos não podem apresentar desempenho de terabit, mas permitem que você crie um sistema de segurança da informação realmente de alta qualidade e tecnicamente “bonito”, no qual cada ferramenta de análise é garantida para receber apenas as informações necessárias da forma mais adequada para análise.

Corretores de pacotes de rede avançados


imagem

1. Mencionado acima do balanceamento em cabeçalhos aninhados no tráfego encapsulado.

Por que isso é importante? Considere três aspectos que podem ser críticos juntos ou individualmente:

  • . , 2 , 3 . , ;
  • (, FTP VoIP), . : , , . , , , . , , . , ;
  • balanceamento na presença de MPLS, VLAN, etiquetas de equipamentos individuais, etc. Na verdade, não é um túnel, mas, no entanto, equipamentos com funcionalidade básica podem entender esse tráfego não como IP e saldo por endereços MAC, violando mais uma vez o saldo ou a integridade das sessões.

O broker de pacotes de rede analisa os cabeçalhos externos e segue sequencialmente os ponteiros para o próprio cabeçalho IP aninhado e o equilibra. Como resultado, há significativamente mais encadeamentos (portanto, é possível desequilibrar de maneira mais uniforme e em um número maior de plataformas), e o sistema DPI recebe todos os pacotes de sessões e todas as sessões conectadas de protocolos de várias sessões.

2. Modificação de tráfego.
Uma das funções mais amplas em termos de seus recursos, o número de subfunções e suas opções de aplicação são numerosos:

  • payload, . , , . , (, , ), payload , . , payload , – ;
  • , , . – . ;
  • : MPLS-, VLAN, ;
  • , , IP- ;
  • : , , ..

3. Desduplicação - limpeza de pacotes de tráfego duplicados transmitidos às ferramentas de análise. Pacotes duplicados geralmente surgem devido às peculiaridades da conexão à infraestrutura - o tráfego pode passar por vários pontos de análise e ser espelhado com cada um deles. Também há o envio repetido de pacotes TCP que não foram atingidos, mas se houver muitos deles, é mais provável que sejam questões de monitoramento da qualidade da rede, em vez de segurança da informação nela.

4. Funções avançadas de filtragem - da pesquisa de valores específicos em um determinado deslocamento à análise de assinaturas em todo o pacote.

5. Geração NetFlow / IPFIX - coleção de uma ampla lista de estatísticas sobre o tráfego que passa e sua transmissão para as ferramentas de análise.

6. Descriptografia do tráfego SSL,Funciona desde que o certificado e as chaves sejam previamente carregados no broker de pacotes de rede. No entanto, isso permite descarregar significativamente as ferramentas de análise.

Existem muitos recursos úteis e de marketing, mas os principais talvez estejam listados.

O desenvolvimento de sistemas de detecção (intrusões, ataques DDOS) em seus sistemas de prevenção, bem como a introdução de ferramentas ativas de DPI, exigiram uma mudança no esquema de comutação de passivo (via portas TAP ou SPAN) para ativo ("na brecha"). Essa circunstância aumentou os requisitos de confiabilidade (porque a falha neste caso leva à interrupção de toda a rede e não apenas à perda de controle sobre a segurança da informação) e levou à substituição de acopladores ópticos por bypass óptico (a fim de resolver o problema da dependência do desempenho da rede no desempenho do sistema segurança da informação), mas a funcionalidade básica e os requisitos para ela permaneceram os mesmos.

Desenvolvemos os DS Integrity Network Packet Brokers com interfaces 100G, 40G e 10G, desde o design e os circuitos até o software incorporado. Além disso, diferentemente de outros intermediários de pacotes, as funções de modificação e balanceamento dos cabeçalhos de túnel incorporados são implementadas no hardware, na velocidade máxima da porta.

imagem

More articles:


All Articles