Как стать автором
Обновить

Современные решения для построения систем информационной безопасности — брокеры сетевых пакетов (Network Packet Broker)

Время на прочтение 8 мин
Количество просмотров 13K
Всего голосов 5: ↑5 и ↓0 +5
Комментарии 5

Комментарии 5

забавно, что по аналогии с гигамоном выбрали яркий цвет устройств.
хотя мне, с одной стороны erspan хватает, а с другой… мне кажется ИБ где то свернула не туда.
посмотрите на вашу картинку внимательно.
представьте что из интернета вниз к хостам прошел единственный пакет.
и в каждой точке Т пакет будет дублироваться и отправляться к вам на устройство. на одну полезную работу по доставке пакета было затрачено X наноджоулей энергии и 10X бесполезной. И что толку от всего этого мусора если кроме заголовков ничего из пакета достать не получится. Потому что TLS. А заголовки и из нетфлоу и прочих ipfix прекрасно передаются. И планету при этом нагревают в разы меньше.
А вообще мое ИМХО ИБ надо гнать поганой метлой изнутри сетей как можно дальше наружу в сторону ендпойнтов. Жаль только не всегда получается.

p.s. и поправьте картинки. название «пограничные» маршрутизаторы, как бы намекает где они должны быть расположены.

Товарищи пишут что у них есть дедупликация, отфильтруют они эти клоны пакета и ничего сверх на его обработку затрачено не будет. плюс какая инфраструктура будет собирать трафик "условно" со всех промежуточных точек), а tls можно и терминировать. Эти все брокеры конечно не панацея, но весьма удобно на первый взгляд, если выдерживают заявленые мощности, объемы и безперебойность. Безусловно без них можно и обойтись

Картинка условная всё-таки: куда в принципе можно подключить. Конечно же к такому количеству точек обычно не подключают. С другой стороны, как раз есть функция дедупликации — в штатном режиме можно использовать её. А при необходимости вместо дедупликации включить тэгирование с TimeStamp на входе брокера и смотреть, как и с какими задержками ходят пакеты. По NetFlow/IPFix выдают уже аккумулированную статистику. А если нужны именно заголовки, то обрезать payload для TLS-пакетов, опять же, можно брокером (как и сформировать NetFlow/IPFix, если статистики достаточно). Причём для нешифрованных протоколов пакеты будут выдаваться целиком. Ну и с пакетными брокерами есть возможность оперативно переключаться между режимами NetFlow/«заголовки».
По цвету — хочется, чтобы наши устройства радовали пользователей в том числе своим видом. И спасибо за замечание по картинке.
Очень амбициозно!!! Супер, что в России появился наконец-то производитель брокеров!
Справедливости ради нужно отметить что термин Network Packet Broker и саму идею создания экосистемы сбора, обработки и распределения трафика ввел в оборот основатель компании VSS Monitoring Terence Martin Breslin в далеком 2006 году (для любителей истории www.tucana.com/products/vss-monitoring)
Однако, по моему мнению, эта тема слегка устарела и сейчас правильнее говорить о Packet Flow Switches. Объемы трафика в сетях огромны и пакетами уже оперировать бессмысленно. Актуален вопрос захвата Flow и гарантированной, достоверной доставки его к средствам мониторинга и контроля безопасности!
Но пожалуй это тема для отдельной статьи…
Есть пару вопросов к авторам: Где можно посмотреть архитектуру системы? Прежде всего волнует производительность коробок по модификации пакетов, схема организации буферов и принципы организации распределенной дистрибуции трафика между коробками (по сути стэка устройств)
Да, Packet Flow Switches гораздо точнее отражает важность сохранения целостности сессий и появляющиеся возможности пакетных брокеров работать уже на уровне приложений. Может быть поэтому и столько названий: новый функционал добавляется быстрее, чем люди привыкают к текущей терминологии?
Производительность модификации — до 1200 Гбит/с. Схема стекирования зависит от конкретного применения. А по архитектуре системы и схемам, я думаю, будет отдельная статья.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий