Использование сетевых разветвителей с сетевыми системами обнаружения вторжения

В последнее время в сетях стали широко использовать коммутаторы, вместо ранее применяемых концентраторов, в результате чего передача данных стала более эффективной, быстрой и надежной. Однако этот переход на коммутаторы вызывает конфликт с уже развернутыми сетевыми системами обнаружения вторжения.

Для разрешения конфликта между сетевыми системами обнаружения вторжения (Network Intrusion Detection System, NIDS, далее просто IDS) и коммутаторами были созданы сетевые разветвители (network taps*), которые позволяют контролировать весь трафик, проходящий через сетевое устройство. Сетевые разветвители также могут быть полезны для пассивного поиска неисправностей и анализа сети. К тому же сетевые разветвители делают связанную IDS более безопасной, препятствуя нападениям непосредственно на IDS. В этой статье мы вкратце рассмотрим принцип работы сетевых разветвителей, включая их роль в безопасности сети и экономические выгоды от их применения.

почему происходит конфликт?

Давайте рассмотрим причину конфликта между IDS и коммутаторами. Коммутаторы отличаются от концентраторов методом передачи данных от порта к порту. Чтобы продемонстрировать его работу, давайте в качестве примера рассмотрим концентратор с 4-мя портами, которые обозначены буквами A, B, C, D. Компьютер, подключенный к порту A, посылает информацию к компьютеру на порту С. Концентратор получает пакет и посылает его ко всем портам на концентраторе (A, B, C, D), как показано на рис 1.

Рис 1.

В этой ситуации в IDS проблемы не возникает. Так как весь трафик посылается ко всем портам, IDS обнаружить трафик независимо от того, как он проходит через концентратор. Коммутаторы, однако, посылают данные совершенно другим способом. Вместо того, чтобы посылать данные, предназначенные порту С, всем остальным портам на устройстве, коммутатор посылает данные только к порту С. Это увеличивает эффективность сети, сокращая количество коллизий и оптимизируя полосу пропускания, сокращая ненужные передачи, как представлено на рис. 2:


Рис. 2

Это диаграмма демонстрирует происходящую проблему. Так как абсолютно никакие данные не посылаются IDS (порт D), следовательно, система принципиально не способна обнаружить вторжение. IDS сможет обнаружить нападение только в том редком случае, если атака направлена непосредственно на нее.

что такое сетевые разветвители?

Сетевые разветвители позволяют пассивно проверять весь трафик на сетевом устройстве. Они относительно недороги, надежны и обеспечивают постоянные порты доступа, чтобы контролировать весь проходящий трафик. Разветвители — обычно отдельные устройства, но они также могут быть непосредственно встроены в коммутатор. Такие решения предлагают NetOptics и Finisar. Сегодня существуют разветвители для любых типов используемых сетей, включая GigaBit SX, LX или ZX, ATM, DS3, T1, Fast Ethernet и GigaBit TX. Это означает, что IDS можно развернуть, используя разветвитель в практически любой сети. Так как разветвители полностью пассивны, они не требуют изменения конфигурации сети и легко могут существовать в пределах любой имеющейся сети.

зачем использовать сетевые разветвители?

Сетевые разветвители – идеальный способ развернуть IDS в высокоскоростной коммутируемой сети. Чтобы понять, почему в подобных ситуациях лучше использовать сетевые разветвители, давайте рассмотрим альтернативный способ внедрения IDS в коммутируемую сеть. Наиболее часто используемая альтернатива – port spanning, также известная, как port mirroring. Этот часто используемый способ имеет множество недостатков, которые создают проблемы в развертывании IDS. Port mirroring вынуждают коммутатор посылать все пакеты через коммутатор, или пакеты от указанного порта к определенному контролируемому порту, в дополнении к получателю пакета. При этом может возникнуть несколько проблем, наиболее очевидная из которых – это потеря пакета в mirror/span-порту. При использовании такого порта возникает высокая вероятность столкновения пакетов, поскольку двадцать других портов на коммутаторе непрерывно посылают пакеты mirror/span-порту. Кроме того, такой порт имеет такую же полосу пропускания, как и любой другой порт на устройстве, увеличивая вероятность потери пакета при относительно невысокой загруженности сети.
Port mirroring также не способен получать ошибочные пакеты или VLAN-информацию, и контролирует только одну сторону full-duplex подключения. Таким образом, IDS, сидящая на зеркальном порту, уязвима к неизбежным постоянным потерям пакетов и неспособна контролировать половину трафика в сети. Насколько хороша IDS, способная контролировать, в лучшем случае, только половину сетевого трафика?
Работа зеркального порта показана на риc. 3:

Рис. 3.

Обратите внимание, что половина сессий не посылается mirror/span порту; таким образом, как было описано выше, IDS не способен обнаружить события в пределах этих сообщений.
Использование разветвителей позволяет избавиться от всех этих проблем. Разветвитель позволяет IDS контролировать обе стороны full duplex подключения, полностью уменьшить потерю пакетов и просматривать весь трафик, преданный в сети. И все это происходит пассивным способом, не затрагивая структуру сети в целом.

роль разветвителей в увеличении безопасности IDS

Как уже упоминалось, сетевые разветвители способны увеличить безопасность установки IDS. Причина для этого весьма проста: IDS позади разветвителей не требует адреса, потому что разветвитель посылает весь трафик непосредственно в IDS-интерфейс, таким образом устраняя потребность в адресации. IDS не имеет никакого адреса, поэтому, никакой трафик не может быть направлен непосредственно к IDS. Это предотвращает нападение на IDS и атакующий не способен никаким образом обнаружить IDS в сети.
Предотвращая обнаружение IDS нападавшими, жизнеспособность системы значительно увеличивается. В конце концов, насколько хорошо использовать IDS, которая может быть атакована и повреждена?

установка и развертывание разветвителей

Установка и развертывание сетевых разветвителей достаточно проста, если у вас есть соответствующие аппаратные средства. Обычно разветвитель устанавливается в порт расширения, который присутствует на большинстве современных коммутаторах, маршрутизаторах и концентраторах. Для этого используются data terminal equipment (DTE) и/или data communication equipment (DCE) интерфейсы. Эти интерфейсы мы подробнее обсудим чуть позже. Так как разветвители полностью пассивны в сети, это означает, что они не могут нарушить работу сети. Эти интерфейсы являются высокоскоростными, тем самым, снижая к абсолютному минимуму возможную потерю пакетов. Интерфейсы DTE/DCE подключаются непосредственно к порту контроля сигнала в стойке сервера, который подключен к используемой IDS, как показано на рис. 4:

Рис. 4

Это самый общий тип установки. Большинство сетевых разветвителей могут быть развернуты на множестве устройствах в сети и затем могут соединяться с другими системами в стойке, как показано на рис. 5:

Рис. 5

Контролирующие стойки (tap panels) обычно разрабатываются для высокоскоростных систем (гигабит и выше), чтобы централизованно контролировать весь трафик с минимальными потерями. Из-за чрезвычайно высоких скоростей этих стоек, возможно, потребуется развертывание нескольких IDS и балансировки нагрузки между ними, так как очень немного IDS в настоящее время способны работать с такими скоростями. Если используются несколько IDS, то целесообразно анализировать получаемые данные на отдельном сервере. Более подробно о развертывании этих типов систем можно узнать из статьи Джефа Натана “Gigabit Tap IDS illustration”.

Data Terminal Equipment/Data Communication Equipment

Интерфейсы Data Terminal Equipment (DTE) и Data Communication Equipment (DCE), как упомянуто выше, являются распространенными средствами для транспортировки данных от коммутатора или маршрутизатора к группе разветвителей. DTE соединяется с сетью передачи данных (в нашем случае к разветвителю) через DCE-устройство. DCE-устройства, с другой стороны, обеспечивают физическую связь с сетью, пересылая трафик и обеспечивая синхронизацию данных между DCE- и DTE-устройствами.
Давайте теперь обсудим роль DTE и DCE в обеспечении передачи данных для сетевых разветвителей. Существует множество различных типов и классов DTE-и DCE-кабелей, интерфейсов и коннекторов. Есть, однако, несколько устройств, которые обычно используются с разветвителями. Первый из них — High-Speed Serial Interface (HSSI). HSSI способен обрабатывать T1 и OC-1 скорости, позволяя высокоскоростную передачу данных между сетями и устройствами, использующими интерфейсы DTE/ DCE. HSSI способен достигать этих скоростей, используя differential emitter-coupled logic (ECL), который используется в компьютерной системе Cray в течение уже многих лет. Другие технологии типа frame relay, ADSL, ATM, и DS3 могут также использоваться через DTE/DCE-интерфейсы для сетевых разветвителей .
Специфические особенности установки DTE/DCE-интерфейсов и типа используемых кабелей сильно меняются в зависимости от используемых в сети устройств. Большинство систем разветвителейи коммутаторов, которые поддерживают DTE/DCE-устройства, будут иметь подробную документацию по использовании этих устройств совместно друг с другом. В большинстве случаев "analysis" port, описанный в документации к сетевому устройству – это порт, с которым вы будете соединять вашу IDS.

экономические выгоды от сетевых разветвителей

Кроме технических преимуществ использования сетевых разветвителей, есть также финансовые выгоды. Если прежде использовалась IDS, для овнедрения сетевых разветвителей не потребуется никаких изменений в технологии IDS, тем самым значительно уменьшаются затраты на внедрение новой технологии.
Использование сетевых разветвителей для IDS экономически выгоднее возможных альтернатив — использования network node IDS (NNIDS) систем или host-based intrusion detection systems (HIDS) систем. Эти системы требуют установки IDS на каждой системе, в которой мы хотим обнаружить возможное нападение. При этом организация вынуждена платить за NNIDS/HIDS-копию для каждой системы в пределах защищенной доли сети. Эта стоимость увеличивается, если используется несколько операционных систем в сети, каждая из которых требует установки различных типов NNIDS/HIDS. В этой ситуации IDS, использующая сетевые разветвители, является значительно более выгодной альтернативой.

выводы

Текущая эволюция с концентраторов на коммутаторы, совместно с увеличивающими рисками безопасности, делает проблематичным развертывание традиционных IDS систем в обычных сетях. Эти проблемы могут легко быть преодолены при использовании сетевых разветвителей, позволяя существующим IDS поддерживать достаточные уровни безопасности в любом типе используемых в настоящее время сетей. Использование сетевых разветвителей фактически увеличивает безопасность IDS-датчиков, одновременно позволяя легко внедрять разветвители на больших быстродействующих сетях, которые используют коммутаторы или другие высокоскоростные сетевые устройства. Разветвители также сокращают затраты на развертывание IDS.

* слово tap в данном случае происходит от аббревиатуры Traffic Analyzer Port (TAP).

Pig killer. Впервые опубликовано на SecurityLab.



Сетевые решения. Статья была опубликована в номере 06 за 2003 год в рубрике save ass…

©1999-2024 Сетевые решения