Обзор DS Integrity NG 1.1, семейства отечественных брокеров сетевых пакетов

Обзор DS Integrity NG 1.1, семейства отечественных брокеров сетевых пакетов


Обзор DS Integrity NG 1.1, семейства отечественных брокеров сетевых пакетов

Брокеры сетевых пакетов — это устройства, позволяющие снимать трафик с нескольких узлов сети, модифицировать его и передавать в NGFW, NTA, SIEM и другие системы анализа, в том числе с функциональностью DPI. DS Integrity NG 1.1 — единственные представители данного класса устройств, имеющие подтверждённое производство на территории Российской Федерации.

Сертификат AM Test Lab

Номер сертификата: 406

Дата выдачи: 03.02.2023

Срок действия: 03.02.2028

Реестр сертифицированных продуктов »

  1. Введение
  2. Функциональные возможности DS Integrity NG
  3. Архитектура DS Integrity NG
  4. Сценарии использования DS Integrity NG
    1. 4.1. Управление потоками трафика
    2. 4.2. Обработка трафика
    3. 4.3. Ведение статистики
    4. 4.4. Управление параметрами брокера DS Integrity NG
  5. Выводы

Введение

Брокеры сетевых пакетов (Network Packet Broker, Packet Flow Switch, Security Delivery Platform) представляют собой высокопроизводительные интеллектуальные устройства, предназначенные для доставки копии сетевого трафика. Брокер позволяет снимать трафик с нескольких точек сети и доставлять его в ту или иную систему для последующего анализа и предотвращения угроз информационной безопасности, мониторинга работоспособности и производительности сети, а также поиска сбоев. Передавая информацию потребителю, брокеры могут выполнять ряд сопутствующих операций: фильтровать трафик, агрегировать, реплицировать, обрезать, балансировать нагрузку и т. д.

Отечественный рынок брокеров сетевых пакетов представлен платформами DS Integrity NG от АО «НПП “Цифровые решения”». DS Integrity NG активно взаимодействует с системами глубокого анализа трафика (Deep Packet Inspection, DPI) и обеспечивает их подключение к сетевой инфраструктуре.

Программное обеспечение брокеров сетевых пакетов DS Integrity NG включено в Единый реестр российской радиоэлектронной продукции (запись № 6916 от 1 сентября 2020 года). В 2020 году брокерам сетевых пакетов DS Integrity NG присвоен статус телекоммуникационного оборудования российского происхождения (ТОРП), что подтверждает высокий уровень локализации производства платформ на территории Российской Федерации. В рамках Постановления Правительства РФ № 878 от 10 июля 2019 года можно применять это оборудование для обеспечения государственных и муниципальных нужд.

Кроме того, брокеры сетевых пакетов DS Integrity NG имеют сертификат соответствия в области связи (от 12 октября 2020 года) и могут применяться в сетях связи общего пользования в качестве оборудования для коммутации и маршрутизации.

Функциональные возможности DS Integrity NG

Перечислим базовые задачи брокера сетевых пакетов DS Integrity NG:

  • агрегация сетевого трафика из разных точек сети с возможностью применения различных правил его обработки по группам портов для разделения направлений передачи;
  • балансировка нагрузки на пассивные и активные системы анализа трафика (NTA, NGFW, SIEM, IDS / IPS и т. д.) с сохранением целостности потоков;
  • фильтрация сетевого трафика на основании внешних и вложенных туннельных заголовков;
  • зеркалирование трафика в режимах «one-to-one», «one-to-many», «many-to-one» и «many-to-many» для обеспечения параллельной работы нескольких средств анализа сетевого трафика.

Дополнительные функции, реализованные в брокере:

  • дедупликация трафика путём удаления повторяющихся пакетов для снижения нагрузки на системы анализа;
  • туннелирование трафика по протоколу GRE для безопасной передачи информации между территориально разделёнными сетями организации;
  • защита от всплесков при агрегации трафика для предотвращения потери сетевых пакетов при пиковых нагрузках с объёмом буферизации до 8 ГБ;
  • модификация пакетов (изменение или удаление любых из первых 128 байт пакета: метки MPLS / VLAN, MAC-адреса отправителя / получателя, IP-адреса, портов TCP / UDP / SCTP, произвольных полей с заданным смещением), передача на выход только заголовка (удаление поля данных);
  • разбор туннелей (снятие туннельных заголовков);
  • поддержка sFlow v5 — сенсор для генерации и передачи статистических данных об информационных потоках системам мониторинга (коллекторам sFlow);
  • анонимизация трафика путём удаления или маскирования отдельных полей заголовков пакетов.

Рисунок 1. Схема пассивного подключения DS Integrity NG через TAP и SPAN-порты

Схема пассивного подключения DS Integrity NG через TAP и SPAN-порты

 

Рисунок 2. Схема активного подключения DS Integrity NG с функцией Bypass

Схема активного подключения DS Integrity NG с функцией Bypass

 

Архитектура DS Integrity NG

Брокеры DS Integrity NG представлены в двух модификациях, различающихся наличием функции Bypass, которая обеспечивает прохождение трафика через устройство при отключении питания.

 

Рисунок 3. Внешний вид брокеров сетевых пакетов линейки DS Integrity NG

Внешний вид брокеров сетевых пакетов линейки DS Integrity NG

 

Рисунок 4. Внешний вид брокеров сетевых пакетов линейки DS Integrity NG с функцией Bypass

Внешний вид брокеров сетевых пакетов линейки DS Integrity NG с функцией Bypass

 

Таблица 1. Основные характеристики брокеров сетевых пакетов производства компании «Цифровые решения»

Технические характеристики

DS Integrity-100G NG

DS Integrity-40G NG

DS Integrity-100G NG

с Bypass

DS Integrity-40G NG

с Bypass

Пропускная способность, Тбит/с

1,6

1,28

1,44

0,96

Количество интерфейсов 1 Гбит/c

32

32

32

32

Количество интерфейсов 10 Гбит/c

64

64

32

32

Количество интерфейсов 25 Гбит/c

32

Количество интерфейсов 40 Гбит/c

8

8

4

Количество интерфейсов 100 Гбит/c

4

4

Прочие технические характеристики

  • потребляемая мощность до 150 Вт;
  • 2 блока питания 220 В AC и/или 48 B DC c возможностью горячей замены;
  • 4 блока вентиляторов с возможностью горячей замены, резервированные по схеме «N+1»;
  • формфактор 1U, 555 × 483 × 44 мм

 

Брокеры DS Integrity NG поставляются с необходимым количеством протестированных на совместимость модулей SFP, SFP+, QSFP+ и QSFP28. Пользователь может применять свои модули, производитель не блокирует модули сторонних производителей, но при этом полная совместимость не гарантируется. 

Сценарии использования DS Integrity NG

Конфигурирование и администрирование DS Integrity NG осуществляются через веб-интерфейс.

 

Рисунок 5. Интерфейс администратора DS Integrity NG

Интерфейс администратора DS Integrity NG

 

Управление потоками трафика

Брокер DS Integrity NG имеет входные и выходные логические сетевые порты (Rx и Tx передающих модулей независимы), при этом каждый порт (передающий модуль) может работать в обоих направлениях (дуплекс). Для обработки трафика порты объединяются в группы входных и выходных портов, к которым применяются индивидуальные правила обработки трафика.

 

Рисунок 6. Интерфейс администратора DS Integrity NG. Входные порты

Интерфейс администратора DS Integrity NG. Входные порты

 

Рисунок 7. Интерфейс администратора DS Integrity NG. Группы входных портов

Интерфейс администратора DS Integrity NG. Группы входных портов

 

Администратор управляет портами напрямую из веб-интерфейса. Доступны такие опции, как включение / отключение портов, стандарт / дуплекс (для портов 1 Гбит/с).

Разница между двумя типами портов заключается в том, что на выходном порту возможно применять правила модификации трафика. При выходе трафика из нескольких портов на каждом из них могут использоваться свои наборы правил. Если есть потребность применить к потоку данных несколько последовательных правил, то организовывается повторная обработка трафика за счёт функции Loopback-интерфейса.

DS Integrity NG в стандартной конфигурации ВПО позволяет создать 8 групп входных портов и 128 групп выходных.

 

Рисунок 8. Интерфейс администратора DS Integrity NG. Выходные порты

Интерфейс администратора DS Integrity NG. Выходные порты

 

Балансировка трафика осуществляется в группе балансировки, между группами выходных портов. При необходимости можно осуществлять балансировку по весам: чем больше вес, тем больше трафика уходит на определённую группу выходных портов.

В случае если требуется передать трафик на несколько портов, он зеркалируется внутри группы выходных портов — на каждый порт будет направлена полная копия.

 

Рисунок 9. Интерфейс администратора DS Integrity NG. Балансировка трафика

Интерфейс администратора DS Integrity NG. Балансировка трафика

 

Для ассоциации группы входных портов с группой балансировки применяются классы трафика. Например, трафик первой группы входящих портов ассоциирован с классом трафика 1, для которого определены группы выходных портов 13 и 14 (предыдущий рисунок). Дополнительно к трафику могут применяться фильтры: например, фрагменты IP поступают на одну группу балансировки, а весь остальной трафик — на другую.

 

Рисунок 10. Интерфейс администратора DS Integrity NG. Классы трафика

Интерфейс администратора DS Integrity NG. Классы трафика

 

DS Integrity NG предоставляет режимы балансировки по хеш-функции на базе пятикомпонентного кортежа (IP-адрес и номер порта источника, IP-адрес и номер порта назначения, протокол) и трёхкомпонентного кортежа (IP-адрес источника, IP-адрес назначения, протокол). Можно брать эти данные как со внешних IP-адресов, так и со внутренних, инкапсулированных в GRE- или MPLS-пакет.

 

Рисунок 11. Интерфейс администратора DS Integrity NG. Режимы

Интерфейс администратора DS Integrity NG. Режимы

 

Брокер контролирует состояние подключённого к нему сетевого оборудования, активных и пассивных устройств обеспечения ИБ, анализа и мониторинга средствами встроенного механизма Heartbeat: отправляет Heartbeat-пакет и ожидает его возврата. Этот механизм позволяет контролировать работоспособность стороннего аппаратного обеспечения и в случае потери связи с ним отреагировать в соответствии с заданными правилами — например, перенаправить трафик на другое оборудование / другой порт в группе балансировки.

 

Рисунок 12. Интерфейс администратора DS Integrity NG. Heartbeat

Интерфейс администратора DS Integrity NG. Heartbeat

 

Администратор может указывать размер исходящих очередей на интерфейсах. Эта функция предназначена для минимизации потерь пакетов при перегрузке порта и для контроля максимальной задержки при обработке пакетов.

 

Рисунок 13. Интерфейс администратора DS Integrity NG. Очереди выходных портов

Интерфейс администратора DS Integrity NG. Очереди выходных портов

 

Обработка трафика

DS Integrity NG позволяет фильтровать трафик по общей и индивидуальным маскам. Существует четыре типа фильтров с общей маской: два фильтра внешних IP-пакетов и два фильтра внутренних IP-пакетов.

 

Рисунок 14. Интерфейс администратора DS Integrity NG. Фильтры с общей маской

Интерфейс администратора DS Integrity NG. Фильтры с общей маской

 

При фильтрации по общей маске применяются две сущности: собственно маска и паттерн. Маска определяет, какой именно октет фильтровать в MAC-адресе; паттерн определяет правила фильтрации.

Фильтры по индивидуальным маскам имеют правила, определяющие группу портов, на которые они должны распространяться, действия и правила модификации. Фильтры группируются также по счётчикам, информация о которых отображается в статистике.

 

Рисунок 15. Интерфейс администратора DS Integrity NG. Фильтры с индивидуальной маской

Интерфейс администратора DS Integrity NG. Фильтры с индивидуальной маской

 

Брокер предоставляет возможность модификации трафика через общие и индивидуальные правила. Общие назначаются выходным портам и фильтрам с общей маской, а индивидуальные — только фильтрам с индивидуальной маской.

 

Рисунок 16. Интерфейс администратора DS Integrity NG. Модификация и туннелирование

Интерфейс администратора DS Integrity NG. Модификация и туннелирование

 

Администратор может задать типы трафика, для которых необходимо удалить заданное количество пакетов, т. е. обрезать сессию. Например, можно оставить только handshake-пакеты TCP-сессии.

 

Рисунок 17. Интерфейс администратора DS Integrity NG. Обрезка сессий

Интерфейс администратора DS Integrity NG. Обрезка сессий

 

Также имеется возможность обрезать данные в заголовках пакетов для классов трафика в соответствии с фильтром.

 

Рисунок 18. Интерфейс администратора DS Integrity NG. Обрезка данных

Интерфейс администратора DS Integrity NG. Обрезка данных

 

Дедупликация даёт возможность избавиться от дублей пакетов. Брокер позволяет выбрать время жизни дубликата, критерии определения дублей и контролируемые интерфейсы.

 

Рисунок 19. Интерфейс администратора DS Integrity NG. Дедупликация пакетов

Интерфейс администратора DS Integrity NG. Дедупликация пакетов

 

Ведение статистики

Брокер собирает информацию о принятых и отправленных пакетах по портам. Эта статистика позволяет проанализировать скорость передачи пакетов, их общее количество, средний размер пакета, очереди пакетов, количество ошибок расчёта контрольной суммы и т. д. Есть возможность передавать эти данные с помощью SNMP.

 

Рисунок 20. Интерфейс администратора DS Integrity NG. Трафик

 администратора DS Integrity NG. Трафик

 

Статистика групп входных / выходных портов отображает количество и скорость обработанных пакетов.

 

Рисунок 21. Интерфейс администратора DS Integrity NG. Статистика групп выходных портов

Интерфейс администратора DS Integrity NG. Статистика групп выходных портов

 

DS Integrity NG контролирует потребляемую портами память и ведёт статистику по пакетному буферу дедупликации.

 

Рисунок 22. Интерфейс администратора DS Integrity NG. Статистика потребляемой портами памяти

Интерфейс администратора DS Integrity NG. Статистика потребляемой портами памяти

 

Как уже было сказано выше, брокер поддерживает технологию sFlow и может выступать сенсором потока. Информация передаётся на заданный сервер (коллектор) по выбранным интерфейсам с установленной периодичностью.

 

Рисунок 23. Интерфейс администратора DS Integrity NG. Настройка параметров sFlow

Интерфейс администратора DS Integrity NG. Настройка параметров sFlow

 

Есть возможность считать количество срабатываний фильтров (количество пакетов, попавших в фильтр).

 

Рисунок 24. Интерфейс администратора DS Integrity NG. Статистика по фильтрации пакетов

Интерфейс администратора DS Integrity NG. Статистика по фильтрации пакетов

 

Управление параметрами брокера DS Integrity NG

DS Integrity NG предоставляет администратору подробную информацию о состоянии собственной платформы (температура, адреса, версия ПО, время непрерывной работы, состояние системы охлаждения, объём свободной памяти, загрузка процессора и т. д.) и общие настраиваемые параметры.

 

Рисунок 25. Интерфейс администратора DS Integrity NG. Общая информация о платформе

Интерфейс администратора DS Integrity NG. Общая информация о платформе

 

Рисунок 26. Интерфейс администратора DS Integrity NG. Системный монитор

Интерфейс администратора DS Integrity NG. Системный монитор

 

DS Integrity NG позволяет сконфигурировать интерфейсы сервиса и менеджмента, а также снять сетевые дампы.

 

Рисунок 27. Интерфейс администратора DS Integrity NG. Интерфейсы

Интерфейс администратора DS Integrity NG. Интерфейсы

 

Брокер поддерживает ролевую модель разграничения доступа: администратор и пользователь. Также поддерживаются сторонние службы авторизации пользователей (LDAP, TACACS+, RADIUS).

 

Рисунок 28. Интерфейс администратора DS Integrity NG. Параметры авторизации пользователей

Интерфейс администратора DS Integrity NG. Параметры авторизации пользователей

 

DS Integrity NG имеет встроенный агент SNMP, позволяющий передавать на сторонний сервер статистику, сообщения об авариях и т. д.

 

Рисунок 29. Интерфейс администратора DS Integrity NG. Настройки SNMP-агента

Интерфейс администратора DS Integrity NG. Настройки SNMP-агента

 

Записи электронного журнала могут быть направлены по протоколу Syslog на внешний сервер в соответствии с уровнем логирования. Допускается задавать несколько адресов назначения.

Записи электронного журнала могут быть экспортированы в файл. В будущем разработчик планирует предоставлять администратору логи в режиме реального времени.

 

Рисунок 30. Интерфейс администратора DS Integrity NG. Журналирование

Интерфейс администратора DS Integrity NG. Журналирование

 

При работе DS Integrity NG в кластере брокеров предусмотрена синхронизация настроек, при этом один брокер становится управляющим и передаёт выбранные настройки управляемым брокерам. Это взаимодействие осуществляется по менеджмент-порту.

 

Рисунок 31. Интерфейс администратора DS Integrity NG. Синхронизация параметров брокеров в кластере

Интерфейс администратора DS Integrity NG. Синхронизация параметров брокеров в кластере

 

Выводы

Применение брокеров сетевых пакетов DS Integrity NG 1.1 решает задачи сбора и подготовки релевантного трафика для обеспечения одновременной работы нескольких активных и/или пассивных систем анализа, мониторинга и обеспечения информационной безопасности. При этом в соответствии с производительностью принимающих систем пакетный брокер осуществляет балансировку и/или зеркалирование сетевого трафика на требуемое количество портов и формирует поток информации, очищенный от нецелевого или дублирующего трафика.

Брокеры сетевых пакетов DS Integrity NG поддерживают GRE-инкапсуляцию, что обеспечивает передачу подготовленного оптимизированного потока трафика между изолированными узлами информационной системы (например, между офисами или центрами обработки данных). Это упрощает администрирование сети, а группирование портов и фильтрация трафика позволяют сегментировать сеть для структурированного анализа.

Достоинства:

  • Отечественный продукт с высоким уровнем локализации производства на территории Российской Федерации (включён в Единый реестр российской радиоэлектронной продукции, подтверждено статусом ТОРП).
  • Позволяет сократить затраты и снизить нагрузку на средства анализа, мониторинга и обеспечения информационной безопасности сетевого трафика, такие как системы DPI.
  • Оптимизация ROI как при приобретении и эксплуатации существующего либо проектируемого оборудования, так и на ресурсах специалистов, привлекаемых для его эксплуатации и обслуживания.
  • Высокая вариативность масштабирования решений для анализа, мониторинга и обеспечения ИБ, а также «пилотирования» проектируемого оборудования с отсутствием влияния на существующую инфраструктуру.
  • Максимальное снижение количества ложноположительных инцидентов за счёт доставки релевантной полной копии трафика.
  • Обеспечивает обработку трафика на скоростях до 720 Гбит/с.

Недостатки:

  • Только отечественная локализация (русскоязычный интерфейс и техническая поддержка).

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.