A Packet Broker előnyei a hálózat monitorozásban
Krékity Gusztáv
2020.07.09
Egy hálózat biztonságának fejlesztése ma létfontosságú szempont a vállalatoknál. Fontos a hálózat állapotának folyamatos ellenőrzése, a meglévő eszközök megfelelőségének vizsgálata, és az esetleges fejlesztések elvégzése. A zökkenőmentes működést azonban biztosítani kell az állapotfelmérés alatt is, ami sokszor közel sem egyszerű feladat. Nem mindegy tehát, hogy milyen hálózat monitorozási megoldások mellett tesszük le a voksunkat. Mai bejegyzésükben olyan eszközöket mutatunk, amelyekkel mindez – a lehetőségekhez mérten – kényelmesen és megbízhatóan kivitelezhető.
Miért fontos monitorozni a hálózatot?
A hálózatok csomagszintű monitorozása rendkívül fontos, hiszen így proaktív módon vagyunk képesek detektálni a hálózati problémákat: ha rendelleneséget tapasztalunk a hálózaton, valamilyen hálózati anomália jelentkezik, esetleg egy támadás indul akár az Internet, akár a belső hálózat irányából. Ezen esetekben gyorsabban tudjuk azonosítani a problémák okát a hálózat csomagszintű monitorozásával, mint bármely más megoldással.
Egyre nagyobb igény a csomag szintű monitorozásra
A hálózati üzemeltetés esetében nagyon sokszor előfordul, hogy valamilyen hálózati probléma lép fel. Ilyenkor tulajdonképpen a legjobb módszer, ha csomag szinten odamegyünk és megnézzük, hogy az adott linken mi történik. Így gyorsan kiderítjük, milyen jellegű kommunikációs hibát okoz mondjuk egy alkalmazás, és elháríthatjuk a problémát. Ezzel a megoldással követő üzemmód helyett egy afféle előre detektáló, előrelátó megoldást kapunk, amivel nem csak akkor deríthetünk fényt a problémára amikor az már bekövetkezett, hanem bizonyos szinten előre tudjuk jelezni a veszélyt. Ha például olyan forgalmat, csomagokat észlelünk a hálózatban, amelyek nem odavalók, az akár egy támadás jele is lehet, vagy adott esetben a forgalom téves irányítására is utalhat.
A „csupán” LOG és Flow információkkal végzett hálózat monitorozás, egy kicsit olyan, mintha -ca sötétben tapogatózva igyekeznénk információkat összegyűjteni egy szobában, s képtelenek lennénk eldönteni, hogy amit találtunk, az egy asztal vagy szék-e inkább. A hálózati visibility ezzel szemben maga a zseblámpa, amivel pontosan rávilágíthatunk a dolgokra, s egyértelműen beazonosíthatjuk azokat, mielőtt magunkra döntjük a ruhásszekrényt is a sötétben.
Ez a megoldás akkor válik igazán látványossá, ha több ilyen „lámpánk” van, s focipálya módjára az egész területet (avagy a hálózatunkat) kivilágíthatjuk, hogy még pontosabban lássuk mi zajlik éppen a pályán. A bírák (hálózat biztonsági eszközök) könnyebben észreveszik a szabálytalanságokat, az edzők (hálózat, alkalmazás performancia monitorozó eszközök) számára pedig nyilvánvalóvá válik mely pontokon teljesít alul a csapat; sőt az egész mecset akár rögzíthetjük is (forensics eszközök) későbbi vizsgálatok céljából. Amit az egyszerű LOG üzenetekből, naplófájlokból nehéz kimazsolázni, itt sokkal könnyebben kibogozható
Éppen ezért a hálózati üzemeltetésben egyre nagyobb az igény arra, hogy a hálózatok viselkedését akár csomagszinten is vizsgálhassuk.
Egy a hálózat perifériáján működő hálózatbiztonsági eszköz egy adott biztonsági szintet tud biztosítani számunkra az adott kapcsolaton. Esetleg log információk gyűjtésével részleges információt kaphatunk arról, hogy a hálózat többi részén milyen események történnek. De képzeljük, hogy ugyan az a hálózatbiztonsági eszköz a hálózat összes kritikus pontjának védelmét csomagszinten tudná biztosítani, anélkül, hogy újabb és újabb inline eszközöket kellene telepítenünk.
Az igény növekedésével a gyártók is sorra hoznak ki csomag szintű analizátorokat. A kérdés így már csak az, hogy miként lehet a hálózati forgalmat ezekre az eszközökre, performancia monitorozó alkalmazásokra irányítani. Mit tegyünk, ha egy SAP vagy egy voice over IP szolgáltatás minőségét szeretnénk ellenőrizni, annak megzavarása, kockáztatása nélkül?
Ráadásul akkor is nagyon sokat segíthet egy ilyen rendszer kiépítése, ha szükségessé válik a hálózat bővítése, fejlesztése, mert elöregedett a meglévő eszközpark. Ezekkel a modern monitorozó megoldásokkal az új eszközöket kényelmesen, s ami fontos, élő forgalommal tesztelhetjük, anélkül, hogy megzavarnánk vagy kockáztatnánk a meglévő hálózat működését. Gyakorlatilag letükrözzük a meglévő forgalmat, s azon tesztelünk. Ez szoftver frissítések esetében is igen hasznos kellék lehet.
Variációk egy témára
Egyre több helyen tapasztaljuk, hogy a vállalatoknak több ilyen eszközre is szükségük van, amikor tetszőleges célból monitorozni akarják a hálózati forgalmat csomag szinten. A feladat gyakorlatilag az, hogy megtaláljuk a módját, hogy ezek az alkalmazások, megoldások hozzáférhessenek a hálózati forgalomhoz.
Az egyik módszer az lenne, hogy inline illesztjük őket a hálózati forgalom útjába, ám ez meglehetősen skálázhatatlan: ha meghibásodik ez a monitorozó eszközünk, akkor ott az adott link is megszakad. Éppen ezért inkább az out of band módszert szokták választani, vagyis nem az éles hálózati forgalomba illesztjük bele ezeket az eszközöket, hanem kitükrözzük a hálózati forgalmat, kvázi kimásoljuk a hálózatból. Létrehozunk egy out of band infrastruktúrát, amely az éles hálózati infrastruktúra mellett működik. Így semmilyen módon nem befolyásolja az éles hálózatunk működését, ami lássuk be, létfontosságú az ügymenet folytonossága szempontjából.
A fentieket általában úgy valósítják meg a hálózatos mérnökök, hogy a hálózati eszközökben (switchekben) valamilyen módon tükrözést állítanak be, amivel a hálózati eszközökből kitükrözik a forgalmat, vagy annak egy részét, esetleg az adott linkek forgalmát az eszközök felé. Ez általában működik, ráadásul legtöbb esetben ingyenes megoldást is találunk rá a hálózati eszközökben. A hatékonysága viszont sok esetben nem megfelelő.
Alapvetően ennek a SPAN portnak a működése igen bizonytalan. Nem minden esetben tudjuk garantálni, hogy az összes rajta áthaladó csomag tükröződik és biztosan elérkezik az analizáló eszközhöz. Ez pedig óriási probléma, hiszen ha mi egy nagyon jó minőségű, drága, megbízható megoldásba beruházunk, de közben nem vagyunk képesek garantálni, hogy tényleg mindent lásson ami a hálózatunkban történik, akkor az analizáló eszközzel mért eredmények nem lesznek relevánsak. Fél információból tápláljuk meg az eszközünket, ami így alkalmatlanná válik a pontos elemzésre. A switchekbe integrált ingyenes szolgáltatások ily módon inkább csak kényelmi extrák, mintsem valóban használatra alkalmas megoldások. Ráadásul ha valamilyen hálózati probléma adódik, ezek az eszközök szinte elsőként tiltják le vagy helyezik háttérbe ezt a funkciót, ami újfent csomagvesztést okozhat.
A másik probléma az, ha van egy ilyen SPAN portunk, viszont több eszközünk van, amelyek felé továbbítanánk a forgalmat. Ez újfent problémát okozhat, hiszen a mirror portról érkező forgalmat macerás megfelelően szétosztani a különböző analizáló eszközök felé. Ráadásul ilyen esetekben nagyon könnyen túlterhelhetjük az eszközöket. Sőt, még azzal a kihívással is szembesülhetünk, hogy fizikailag sem áll rendelkezésre annyi port az analizáló eszközön, mint amennyi hálózati forgalmat éppen tükrözni kívánunk.
Network visibility megoldások
A fenti kihívásokra nyújtanak megoldást a network visibility rendszerek. Ezek egyrészt hálózati TAP-ekből épülnek fel – hálózati forgalom kitükröző eszközök -, amelyekre a hálózati kábel ráköthető, s így a hálózati forgalom pontos másolatát tudjuk tükrözni. Ha például optikai kábelről van szó, akkor gyakorlatilag a fény egy részét türközik ki. Passzív eszközök, amelyekkel konkrétan láthatjuk, mi történik az adott linkeken.
Másrészt fontos funkcionális elemek az úgynevezett Packet Broker megoldások is. Ezen eszközök képesek aggregálni a nagy számú kitükrözött forgalmat. Mindent, amit a hálózatról próbálunk begyűjteni, megfelelő interfész sebességgel tudnak fogadni. Ezekre az eszközökre szépen ráköthetjük a különböző analizáló eszközeinket, amelyekkel monitoroznánk a hálózatot.
A Packet Broker előnye, hogy nem csak egyszerűen összegyűjti és egy másik porton továbbítja az összegyűjtött forgalmat, hanem képes előszűrni azt. Feldolgozza a beérkező forgalmat és a megfelelő analizáló eszközöknek csak a számukra releváns forgalmat továbbítja. Ha mondjuk van egy voice over IP hangszolgáltatást elemző monitoring szoftverünk, annak nyilván a teljes kitükrözött forgalomból elég csak a hang alapú forgalmat továbbítani. Felesleges lenne terhelnünk egyéb, nagy mennyiségű adatforgalommal, amivel amúgy sem tud mit kezdeni. Ugyanígy a hálózat biztonsági eszközök esetében is elég csak a releváns forgalmat továbbítani. Mondjuk a titkosított forgalmat, amibe nem tud belenézni, eleve levesszük a kérdéses eszközről, megelőzve az esetleges túlterhelést. Ezáltal sokkal hatékonyabban lehet e megoldásokat a hálózatba illeszteni. Emellett rugalmasságot biztosítanak: ha a hálózat egy bizonyos pontjára szeretnék rálátni, akkor csak egy újabb TAP-et illesztünk a hálózatunkba, bekötjük egy Packet Borkerbe, s az eszközünk annak a hálózati szegmesnek a védelmét is képes ellátni.
Érdemes még megemlíteni a felső kategóriás Packet Broker megoldásokat, amelyek amellett, hogy aggregálják, szűrik, esetleg terheléselosztást biztosítanak a különböző monitorozó megoldások felé, olyan csomag szintű módosításokat és elvégezhetnek mint a forgalom deduplikálása. Vagyis ha több helyről tükrözzük ki a hálózati forgalmat, akkor ismétlődően ugyanazt a csomagot több helyről is begyűjthetjük a hálózatról, amivel nyilván feleslegesen terhelnénk az analizáló eszközöket. Ezeket egy Packet Broker megoldás legyűjti, leválogatja és az analizáló eszköz felé az elkapott csomag csak egyetlen példányát továbbítja. Emellett képes csomagmódosítást végezni, vagyis ha valamilyen felesleges (header) információ van a csomagon, azokat el tudja távolítani. Sőt, arra is kiválóan használható, hogy SSL titkosítással védett csomagokat kibontsunk vele. Így olyan titkosított kapcsolatokba is belenézhetünk, amelyeket egyébként a hálózat analizáló megoldás nem tudna feldolgozni, vagy ha fel is tudná dolgozni, a Packet Brokerrel mindössze egyszer kell elvégeznünk a kititkosítását, amelyet aztán akár több eszköz is megvizsgálhat.
Összegzésül
Mindent egybevetve nézzük meg, melyik az a négy értékteremtő jellemzője e megoldásoknak, amelyek miatt előnyös lehet az ügyfelek számára:
- növeli a biztonságot
- növeli a hálózati forgalomnak a láthatóságát
- gyakorlatilag a hibaelhárítás folyamatát is képes csökkenteni, így sokkal előbb rálátunk az esetleges problémákra
- növeli a hálózat monitorozó eszközök hatékonyságát
Egy ilyen hálózat visibility megoldás segítségével a fejlett, csomagszintű analizálásra is képes eszközeink (pl. RSA NetWitness, Dynatrace, Wireshark, Viavi stb.) sokkal hatékonyabbak tudnak lenni, mivel az oda becsatornázott forgalom százszázalékosan az a forgalom, amit az eszköznek vizsgálnia kell (nem több nem KEVESEBB). A visibility infrastruktúra kiterjesztésével újabb és újabb hálózati szegmensekre (akár virtuális, publikus felhő infrastruktúrák), a hálózat közel egészén ugyan azt a biztonsági szintet, felhasználói élményt tudjuk biztosítani. Ugyanakkor a megoldás out-of-band mivoltából adódóan az újabb analizáló eszközök bevezetése nincs hatással a produktív hálózat működésére.