Get best of the week

用于构建信息安全系统的现代解决方案-网络数据包中介(Network Packet Broker)

信息安全已从电信领域划分为具有自己的详细信息和设备的独立行业。但是,在电信和信息安全的交界处,鲜为人知的一类设备是网络数据包代理(Network Packet Broker),它们是负载平衡器,专用/监视交换机,流量聚合器,安全交付平台,网络可见性等。作为俄罗斯这类设备的开发商和制造商,我们真的很想谈论更多有关它们的信息。

图片


范围和任务


网络数据包代理是在信息安全系统中找到最大应用的专用设备。因此,与交换机,路由器等相比,设备类别相对较新,在公认的网络基础架构中规模较小。这种设备开发的先驱是美国公司Gigamon。当前,这个市场上有很多参与者(包括具有此类解决方案的著名测试系统制造商IXIA),但是只有一小部分专业人员仍然知道这种设备的存在。如上所述,即使有了术语,也没有明确的确定性:名称从“确保网络透明的系统”到简单的“平衡器”。

在开发网络数据包代理时,我们面临的一个事实是,除了分析实验室/测试区域中的功能开发和测试领域之外,还必须同时向潜在消费者解释此类设备的存在,因为并非所有人都知道这一点。

早在15到20年前,网络中的流量很少,而且这些数据大多数都不重要。但是尼尔森定律实际上重复了摩尔定律:互联网连接速度每年增长50%。流量也稳步增长(该图显示了思科对2017年的预测,来源是思科可视网络指数:2017-2022年预测与趋势):

图片

随着速度的增长,流通信息(这是商业秘密和臭名昭著的个人数据)和基础架构的整体性能的重要性日益提高。

因此,信息安全产业也出现了。业界响应了一系列用于深度流量分析(DPI)的设备的出现:从DDOS攻击防御系统到信息安全事件管理系统,包括IDS,IPS,DLP,NBA,SIEM,Antimailware等。通常,每个工具都是在服务器平台上安装的软件。此外,每个程序(分析工具)都安装在其服务器平台上:软件制造商不同,并且在L7上有大量用于分析的计算资源。

在构建信息安全系统时,需要解决许多基本任务:

  • 如何将流量从基础架构转移到分析系统?(在现代基础架构中,为此目的最初开发的SPAN端口在数量或性能上还不够)
  • 如何在不同的分析系统之间分配流量?
  • 在缺乏分析器实例性能的情况下,如何扩展系统以处理进入系统的全部流量?
  • 由于分析工具目前仅支持1G / 10G / 25G接口,因此如何监视40G / 100G接口(以及不久的将来200G / 400G)?

与以下相关任务:

  • 如何最大程度地减少不需要的流量,这些流量不需要处理,但会陷入分析工具并消耗其资源?
  • 如何处理封装的数据包和带有设备服务标记的数据包,要准备分析这些数据包要么占用资源,要么根本无法解决?
  • 如何从分析中排除不属于安全策略规定的流量(例如,管理员流量)。

图片

众所周知,需求创造了供应,为响应这些需求,网络数据包的经纪人开始发展。

网络数据包代理的概述


网络数据包代理在数据包级别上运行,在这种情况下,它们类似于常规交换机。与交换机的主要区别在于,在网络数据包代理中分发和聚合流量的规则完全由设置确定。网络数据包代理没有用于构建转发表(MAC表)和与其他交换机(例如STP)的通信协议的标准,因此可能的设置范围和可理解的字段范围更广。代理可以将输出从一个或多个输入端口均匀分布到给定范围的输出端口,并具有均匀的输出负载功能。您可以设置复制,过滤,分类,重复数据删除和流量修改的规则。这些规则可以应用于网络数据包代理的不同输入端口组,并依次在设备本身中依次应用。数据包代理的一个重要优点是能够以全流量处理流量并保持会话完整性(在将流量平衡到多个相同类型的DPI系统的情况下)。

保存会话的完整性包括将传输层会话(TCP / UDP / SCTP)的所有数据包传输到一个端口。这很重要,因为DPI系统(通常是在连接到数据包代理的输出端口的服务器上运行的软件)在应用程序级别分析流量的内容,并且一个应用程序发送/接收的所有数据包都必须进入同一分析器实例。 。如果来自一个会话的数据包丢失或分布在不同的DPI设备之间,则每个单独的DPI设备将处于类似于读取不是整个文本,而是从其中读取单个单词的情况。而且,很可能文本不会理解。

因此,面向信息安全系统,网络数据包代理具有帮助将DPI软件系统连接到高速电信网络并减少其负载的功能:它们执行初步的过滤,分类和流量准备,以简化后续处理。

另外,由于网络数据包的代理提供了大量的统计信息,并且经常发现自己已连接到网络的各个点,因此他们在诊断网络基础结构本身的健康问题时也能找到自己的位置。

网络数据包代理的基本功能


“专用/监视交换机”的名称源于其基本用途:从基础结构收集流量(通常使用无源TAP光纤耦合器和/或SPAN端口)并在分析工具之间分配流量。在异构系统之间,流量被镜像(复制),在同类系统之间,流量被平衡。基本功能通常包括按字段过滤到L4(MAC,IP,TCP / UDP端口等),并将几个轻载的通道聚合为一个(例如,在一个DPI系统上进行处理)。

此功能为基本问题提供了解决方案-将DPI系统连接到网络基础结构。受基本功能限制的各种制造商的代理人,每个1U最多可处理32个100G接口(1U前面板上实际不适合更多接口)。但是,它们无法减轻分析工具的负担,对于复杂的基础架构,它们甚至无法提供基本功能的要求:在多个隧道(或配备MPLS标签)上分布的会话对于不同的分析器实例而言可能是不平衡的,并且通常无法进行分析。

除了增加40 / 100G接口并因此提高生产率外,网络数据包代理还积极地提供基本的新功能:从平衡嵌套隧道头到解密流量。不幸的是,这样的模型不能拥有TB级的性能,但是它们使您能够构建真正高质量的,技术上“美丽的”信息安全系统,在该系统中,保证每个分析工具仅以最适合的形式接收其所需的信息。

先进的网络数据包经纪人


图片

1.提到了在隧道流量中嵌套标头的平衡之上。

它为什么如此重要?一起或单独考虑以下三个关键方面:

  • . , 2 , 3 . , ;
  • (, FTP VoIP), . : , , . , , , . , , . , ;
  • 在存在MPLS,VLAN,单个设备标签等的情况下进行平衡 并不是真正的隧道,但是具有基本功能的设备不能理解这种流量,不能理解为IP和MAC地址的平衡,这再次违反了会话的平衡或完整性。

网络数据包代理解析外部标头,然后依次将指针跟随到嵌套IP标头本身并对其进行平衡。结果,线程数量明显增多(相应地,您可以在更大数量的平台上更均匀地进行不平衡),并且DPI系统接收所有会话数据包和多会话协议的所有已连接会话。

2.修改流量。
就功能而言,最广泛的功能之一,子功能的数量及其应用选项众多:

  • payload, . , , . , (, , ), payload , . , payload , – ;
  • , , . – . ;
  • : MPLS-, VLAN, ;
  • , , IP- ;
  • : , , ..

3.重复数据删除 -清除传输到分析工具的重复流量数据包。重复的数据包通常是由于连接到基础结构的特殊性而产生的-流量可以经过多个分析点,并与每个点进行镜像。还会重复发送尚未到达的TCP数据包,但是如果有很多TCP数据包,则很可能是监视网络质量的问题,而不是网络中的信息安全性。

4.先进的过滤功能 -从以给定的偏移量搜索特定值到整个包的签名分析。

5. NetFlow / IPFIX生成 -收集大量有关通过流量并将其传输到分析工具的统计信息。

6.解密SSL流量,只要证书和密钥先前已上载到网络数据包代理,它就可以工作。但是,这可以显着卸载分析工具。

还有许多有用的和营销功能,但可能列出了主要功能。

预防系统中检测系统(入侵,DDOS攻击)的发展以及主动DPI工具的引入,要求将切换方案从被动(通过TAP或SPAN端口)切换到主动(“进入差距”)。这种情况增加了对可靠性的要求(因为这种情况下的故障会导致整个网络的中断,不仅会失去对信息安全性的控制),而且还会导致将光耦合器替换为光旁路(以解决网络性能对系统性能的依赖性问题)。信息安全性),但基本功能和要求保持不变。

我们开发了具有100G,40G和10G接口的DS Integrity Network Packet Broker,从设计,电路到嵌入式软件。此外,与其他数据包代理不同,嵌入式隧道头的修改和平衡功能是在硬件上以全端口速度实现的。

图片

More articles:


All Articles