Túnel sob segurança e agentes de pacotes de rede

Em redes modernas com virtualização e automação, o tunelamento de tráfego é amplamente utilizado. No entanto, o tunelamento se concentra na construção de uma rede e na garantia da transmissão de dados confiável, e as questões de segurança e monitoramento da informação geralmente são deixadas de lado. O problema da invisibilidade do tráfego encapsulado para sistemas de segurança da informação é um problema conhecido - já em 2011, foi publicada a RFC 6169 "Security Concerns with IP Tunneling", indicando os riscos potenciais do uso de túneis. As ferramentas de DPI diretamente acompanham a infraestrutura e há muito tempo desmontam túneis e observam o tráfego do usuário (quando é tecnicamente possível em geral), no entanto, um gargalo permanece - a transferência de dados da infraestrutura para esses sistemas.



imagem




Túnel e transmissão de tráfego para sistemas de monitoramento e segurança da informação



GTP, GRE, L2TP, PPPoE, VXLAN e outros acrônimos de túnel são familiares para qualquer engenheiro de rede. O tráfego de túnel permite que você:



  • Fornece controle de fluxo de dados através da construção de uma rede no terceiro nível do modelo OSI
  • Conecte escritórios remotos em uma única rede com recursos compartilhados
  • Simplifique a administração de rede separando as camadas de infraestrutura e de usuário
  • Construa redes unificadas com base em várias tecnologias
  • Fornece mobilidade ao usuário (redes móveis, migração de máquinas virtuais em data centers)


Mas o uso de túneis impõe requisitos adicionais em termos de garantia da segurança da informação.



A maioria dos sistemas de segurança da informação e sistemas de monitoramento funcionam com uma cópia do tráfego. Ao mesmo tempo, a transferência de dados da infraestrutura é fornecida de uma das três maneiras:



  1. Os pacotes são duplicados por funções de equipamento de rede adicionais e enviados para portas dedicadas (SPAN)
  2. Taps de tráfego passivo (TAP) são instalados na linha óptica, dividindo a potência óptica em duas linhas - o receptor original e o sistema DPI
  3. Um broker de pacotes de rede é adicionado à infraestrutura, que desempenha a função de espelhamento de pacotes, como no caso do TAP - o destinatário original e o sistema DPI


Como escrevemos anteriormente, na infraestrutura moderna, as portas SPAN praticamente não são usadas: elas não fornecem a largura de banda necessária ou garantia de transferência de dados. Os túneis apenas agravam o problema: os critérios de transmissão para a porta de monitoramento podem ser apenas os campos de cabeçalho externos (cabeçalho do túnel) e, portanto, a filtragem preliminar por campos de pacote do usuário (cabeçalhos aninhados) torna-se impossível.



A combinação mais comumente usada de acopladores ópticos passivos e corretores de pacotes de rede.



imagem




Os TAPs garantem que a confiabilidade da rede seja mantida, enquanto os brokers de pacotes de rede garantem a transferência correta de dados para sistemas DPI e otimizam seu uso. No entanto, ao usar o encapsulamento, isso só é possível em um caso - se o broker de pacotes de rede oferecer suporte à análise de estruturas de encapsulamento e puder distribuir o tráfego com base nos cabeçalhos aninhados dos pacotes de tráfego encapsulados.



Filtragem e classificação de tráfego em túnel



Sem a capacidade do broker de analisar os cabeçalhos aninhados dos pacotes encapsulados pelo broker, não faz sentido falar sobre otimização de DPI. A filtragem e a classificação, que podem reduzir a carga nos sistemas DPI e reduzir seu número, devem funcionar precisamente nos campos de tráfego do usuário (cabeçalhos aninhados). Caso contrário, é impossível separar os endereços IP de usuários específicos, os protocolos necessários ou o tráfego criptografado - será apenas um túnel pelos campos externos. Uma tentativa de limpar o tráfego para sistemas DPI do tráfego não direcionado em campos externos criará apenas uma “brecha de segurança” - o tráfego direcionado “escapará” da segurança da informação e do monitoramento no túnel.



imagem




Como resultado, na ausência da função de análise por cabeçalhos aninhados, para garantir a segurança ou o monitoramento da qualidade, todo o tráfego deve ser direcionado aos sistemas de análise. Compre novos servidores e licenças para desempenho adicional, alugue espaço para salas de servidores e contrate funcionários adicionais que irão servir este parque.



Balanceamento de tráfego em túnel



O problema de equilibrar o tráfego em túnel é ainda mais multifacetado. Em primeiro lugar, ao distribuir pacotes de usuário entre túneis diferentes (em redes móveis, quando redundantes com balanceamento de carga, ou simplesmente ao transmitir um fluxo direto e reverso por túneis diferentes), é impossível garantir a integridade das sessões de troca de usuário sem analisar os cabeçalhos aninhados.



imagem




Vamos pegar 2 sessões (AB-VA e CD-DC) e transmiti-las pelos canais T1, T2 e T3 tunelados. Digamos que estejamos falando sobre assinantes de uma operadora móvel andando entre estações base. Os pacotes dessas sessões estarão em túneis diferentes e quando o tráfego encapsulado atingir o broker de pacotes de rede, existem 2 opções para balancea-los, mantendo a integridade das sessões:



  1. Balanceamento por cabeçalhos externos. DPI: 1 3 DPI 1, 2 DPI 2. (AB) AB-BA, 1 2 , DPI, (BA) 2 3, , DPI 1 DPI 2. CD-DC. DPI . , DPI «» , ( ) . ( ), .
  2. Balanceamento em cabeçalhos aninhados. O broker de pacotes de rede para balanceamento ignora cabeçalhos externos e distribui pacotes entre sistemas DPI enquanto mantém a integridade das sessões AB-BA e CD-DC. Ao mesmo tempo, para monitorar o estado de seções individuais da infraestrutura, você pode configurar a filtragem por cabeçalhos externos. Assim, cada mecanismo de DPI receberá um fluxo inteiro de tráfego do usuário e as ferramentas de monitoramento receberão todos os pacotes de um determinado túnel.


O segundo problema para equilibrar o tráfego em túneis é o carregamento desigual dos túneis. Ao monitorar links altamente carregados com um pequeno número de túneis, há um problema de carga irregular e perda de pacotes devido ao excesso de desempenho da porta de saída.



imagem




Ou seja, se as sessões AB e CD de 10 Gb / s cada são encapsuladas em um túnel T1, então 20 Gb / s de tráfego é obtido (que pode ser transmitido através da interface 40GbE / 100GbE ou através de links agregados 10GbE LAG). Depois de copiar e obter esse fluxo no broker de pacote de rede, é necessário desequilibrar esse tráfego para vários sistemas DPI em interfaces de 10 GbE. É impossível fazer isso mantendo a integridade das sessões usando cabeçalhos externos - o fluxo excederá a largura de banda da interface de saída e os pacotes começarão a ser perdidos.



O balanceamento em cabeçalhos aninhados fornece a capacidade de dividir o fluxo em outros menores sem comprometer a integridade da troca de informações e a qualidade dos sistemas DPI.



Equilibrando o tráfego de túnel fragmentado



Um problema de balanceamento separado é a fragmentação do tráfego causada pelo encapsulamento: a adição de cabeçalhos de encapsulamento leva ao excesso de MTU e à fragmentação de pacotes.



imagem


Quando um pacote com tamanho igual ao MTU chega à entrada do dispositivo de tunelamento, então após adicionar os cabeçalhos do túnel, o pacote começa a exceder o MTU (pelo número de bytes do cabeçalho do túnel) e é dividido em fragmentos. Além disso, o cabeçalho aninhado está contido apenas no primeiro fragmento. Como resultado, dois pacotes da mesma sessão (AB1 e AB2) que entraram em túneis diferentes (T1 com cabeçalho XY e T2 com cabeçalho XZ) se transformam em quatro pacotes:



  • com um cabeçalho XY externo e um cabeçalho AB aninhado
  • com cabeçalho XY externo sem sinais de tunelamento
  • com um cabeçalho XZ externo e um cabeçalho AB aninhado
  • com cabeçalho XZ externo sem sinais de tunelamento


Neste caso, sem a função de rastreamento de fragmento, a escolha será entre a violação da integridade do fluxo de informação devido à distribuição de diferentes túneis entre diferentes sistemas DPI e a violação da integridade do fluxo de informação devido à distribuição de diferentes fragmentos entre diferentes sistemas DPI. O rastreamento de blocos balanceados em relação aos cabeçalhos aninhados garante que a integridade seja mantida mesmo nesses casos.



Aqueles que encontraram esses problemas em grande parte do tráfego os entendem e os resolvem. Como de costume, o pior é quando o problema atinge menos de 10% do tráfego - pode ser invisível e cria-se a ilusão de que tudo está seguro. E sob a segurança está o túnel.



All Articles