Hálózatbiztonság – Network Packet Broker

Ez az írás egy több részes sorozat része, az előző és következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
1. rész: Az átlátható hálózat előnye

Az előző részben arról írtam, hogy miért van szükség arra, hogy átlátható legyen a hálózatunk, és hogy mik a fő kihívások egy átfogó monitorozó szolgáltatás bevezetésében. A hálózati bypass switchek használata jelenti az első lépést, azonban a kihívások egy részét még nem fedtük le, azaz még nincsen megoldásunk arra, hogy: 

  • a biztonsági eszköz átviteli teljesítménye korlátozhatja a hálózati sebességet, vagy nagyon drágává teszi az eszközt a hálózati sebesség elvárása
  • többféle biztonsági eszköz beszerelése nehézkes, további késleltetést eredményezhet
  • drága és bonyolult rendszert hozunk létre, melyben egy hálózati újratervezés aránytalanul költséges és bonyolult feladat lesz

Többszintű csomaggyűjtés

A megoldás, ahogy azt már a múltkor is jeleztem a network packet broker (NPB) használata, de mit is jelent ez? A csomagok gyűjtését építsük ki több szinten, a bypass switch kimenetét ne közvetlenül az IDS rendszerbe kössük, hanem kerüljön be egy aggregációs réteg. Az aggregációs rétegben végezzük el a csomagok előszűrését L3/L4 információk alapján, így jelentősen csökkenthetjük az IDS irányába menő forgalom mennyiségét, ezáltal oda elég lesz egy olcsóbb eszközt megvenni. És ha már aggregálunk és előszűrünk, mi lenne, ha a NPB kimenetét sem közvetlenül az IDS-be kötnénk, azaz az NPB-nek legyen több kimenete! Ezeken a kimenetein ugyanazt, vagy éppen egy kicsit eltérő előszűrésen átmenő forgalmat tudjuk kiadni, és rögtön lehetővé tesszük, hogy az IDS mellett egy vagy több másik biztonsági eszköz is beszerelhető lesz, nem kerül a rendszerbe több késleltetés.

Égből pottyant Packet Broker

Fentiek végigolvasása után sokakban felmerülhet a következő kérdés: mi van azzal a forgalommal, ami sosem jelent meg a hálózatomon? Például a virtualizációs környezetemben a VM-ek közti forgalom csak a Hypervisor switch-én jelenik meg, valódi hardveres eszközön nem. Ennél még érdekesebb a helyzet, ha a virtuális gépek nem is a saját hardveremen futnak, hanem privát vagy akár publikus felhős szolgáltatásban. A kiforrott Packet Broker-rel rendelkező szolgáltatók természetesen erre is gondoltak, és lehetőség van virtuális TAP-ek lehelyezésére a környezetbe, melyek a begyűjtött forgalmat ugyanúgy a Packet Broker felé tudják továbbítani. Nagyon fontos, hogy ha több helyre helyezünk le TAP-eket, akkor egyes csomagokat duplán fogunk megtalálni és továbbítani, ezért fontos, hogy a Packet Broker rendelkezzen megfelelően biztos csomagszintű deduplikációs megoldással is.

Az eddigieken túl még számtalan szempont merülhet fel egy kiforrott megoldás kiválasztása érdekében, melyek azonban már az adott környezet egyedi beállításain múlnak, általánosságban így most nem térek ki rá.

Egy gondolat a(z) “Hálózatbiztonság – Network Packet Broker” című bejegyzésnél

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés /  Módosítás )

Google kép

Hozzászólhat a Google felhasználói fiók használatával. Kilépés /  Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés /  Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés /  Módosítás )

Kapcsolódás: %s