Tunneling dan transmisi lalu lintas ke sistem pemantauan dan keamanan informasi
GTP, GRE, L2TP, PPPoE, VXLAN, dan akronim tunnel lainnya sudah tidak asing lagi bagi teknisi jaringan mana pun. Lalu lintas tunneling memungkinkan Anda untuk:
- Menyediakan kontrol aliran data dengan membangun jaringan di tingkat ke-3 model OSI
- Tautkan kantor jarak jauh ke dalam satu jaringan dengan sumber daya bersama
- Sederhanakan administrasi jaringan dengan memisahkan infrastruktur dan lapisan pengguna
- Bangun jaringan terpadu berdasarkan berbagai teknologi
- Menyediakan mobilitas pengguna (jaringan seluler, migrasi mesin virtual di pusat data)
Tetapi penggunaan terowongan memberlakukan persyaratan tambahan dalam hal memastikan keamanan informasi.
Sebagian besar sistem keamanan informasi dan sistem pemantauan bekerja dengan salinan lalu lintas. Pada saat yang sama, transfer data dari infrastruktur disediakan dengan salah satu dari tiga cara berikut:
- Paket diduplikasi oleh fungsi peralatan jaringan tambahan dan dikirim ke port khusus (SPAN)
- Keran lalu lintas pasif (TAP) dipasang di jalur optik, membagi daya optik menjadi dua jalur - penerima asli dan sistem DPI
- Broker paket jaringan ditambahkan ke infrastruktur, yang menjalankan fungsi pencerminan paket, seperti dalam kasus TAP - penerima asli dan sistem DPI
Seperti yang kami tulis sebelumnya, dalam infrastruktur modern, port SPAN praktis tidak digunakan: port SPAN tidak menyediakan bandwidth yang diperlukan atau jaminan transfer data. Tunnel hanya memperburuk masalah: kriteria untuk transmisi ke port pemantauan hanya dapat berupa bidang header luar (header terowongan), dan dengan demikian pemfilteran sebelumnya oleh bidang paket pengguna (header bersarang) menjadi tidak mungkin.
Kombinasi yang paling umum digunakan dari skrup optik pasif dan pialang paket jaringan.
TAP memastikan keandalan jaringan dipertahankan, sementara pialang paket jaringan memastikan transfer data yang benar ke sistem DPI dan mengoptimalkan penggunaannya. Namun, saat menggunakan tunneling, ini hanya mungkin dalam satu kasus - jika broker paket jaringan mendukung analisis struktur terowongan dan dapat mendistribusikan lalu lintas berdasarkan header bersarang dari paket lalu lintas terowongan.
Pemfilteran dan klasifikasi lalu lintas terowongan
Tanpa kemampuan pialang untuk menganalisis tajuk bersarang dari paket terowongan oleh pialang, tidak masuk akal untuk membicarakan pengoptimalan DPI. Pemfilteran dan klasifikasi, yang memungkinkan untuk mengurangi beban pada sistem DPI dan mengurangi jumlahnya, harus bekerja secara tepat di bidang lalu lintas pengguna (tajuk bersarang). Jika tidak, tidak mungkin memisahkan alamat IP dari pengguna tertentu, protokol yang diperlukan, atau lalu lintas terenkripsi - ini hanya akan menjadi terowongan oleh bidang eksternal. Upaya untuk membersihkan lalu lintas ke sistem DPI dari lalu lintas non-target di bidang eksternal hanya akan menciptakan "lubang keamanan" - lalu lintas yang ditargetkan akan "melewati" keamanan informasi dan pemantauan di terowongan.
Akibatnya, jika tidak ada fungsi analisis oleh header bersarang, untuk memastikan keamanan atau pemantauan kualitas, semua lalu lintas harus diarahkan ke sistem analisis. Beli server dan lisensi baru untuk kinerja tambahan, sewa ruang untuk ruang server dan pekerjakan karyawan tambahan yang akan melayani taman ini.
Tunneling traffic balancing
Masalah keseimbangan lalu lintas terowongan bahkan lebih beragam. Pertama, saat mendistribusikan paket pengguna di antara tunnel yang berbeda (di jaringan seluler, saat redundan dengan load balancing, atau hanya saat mentransmisikan aliran maju dan mundur melalui tunnel yang berbeda), tidak mungkin memastikan integritas sesi pertukaran pengguna tanpa menganalisis header bersarang.
Mari kita ambil 2 sesi (AB-VA dan CD-DC) dan mengirimkannya melalui saluran terowongan T1, T2 dan T3. Katakanlah kita berbicara tentang pelanggan operator seluler yang berjalan di antara stasiun pangkalan. Paket sesi ini akan berada di terowongan yang berbeda, dan ketika lalu lintas terowongan mencapai broker paket jaringan, ada 2 opsi untuk menyeimbangkannya sambil mempertahankan integritas sesi:
- Menyeimbangkan dengan header eksternal. DPI: 1 3 DPI 1, 2 DPI 2. (AB) AB-BA, 1 2 , DPI, (BA) 2 3, , DPI 1 DPI 2. CD-DC. DPI . , DPI «» , ( ) . ( ), .
- Menyeimbangkan header bersarang. Broker paket jaringan untuk penyeimbangan mengabaikan header eksternal dan mendistribusikan paket antara sistem DPI sambil mempertahankan integritas sesi AB-BA dan CD-DC. Pada saat yang sama, untuk memantau status setiap bagian infrastruktur, Anda dapat mengonfigurasi pemfilteran berdasarkan header eksternal. Dengan demikian, setiap mesin DPI akan menerima seluruh aliran lalu lintas pengguna, dan alat pemantauan akan menerima semua paket dari terowongan tertentu.
Masalah kedua dalam menyeimbangkan lalu lintas terowongan adalah beban terowongan yang tidak merata. Saat memantau saluran dengan muatan tinggi dengan sejumlah kecil saluran, ada masalah muatan yang tidak merata dan paket yang hilang karena kinerja port keluaran yang berlebihan.
Artinya, jika sesi AB dan CD masing-masing 10 Gb / dtk dikemas dalam terowongan T1, lalu lintas 20 Gb / dtk diperoleh (yang dapat ditransmisikan melalui antarmuka 40 GbE / 100 GbE atau melalui tautan teragregasi 10 GbE LAG). Setelah menyalin dan memasukkan aliran ini ke broker paket jaringan, lalu lintas ini harus tidak seimbang untuk beberapa sistem DPI melalui antarmuka 10 GbE. Hal ini tidak mungkin dilakukan dengan tetap menjaga integritas sesi menggunakan header eksternal - streaming akan melebihi bandwidth antarmuka output dan paket akan mulai hilang.
Menyeimbangkan header bersarang memberikan kemampuan untuk membagi aliran menjadi yang lebih kecil tanpa mengorbankan integritas pertukaran informasi dan kualitas sistem DPI.
Menyeimbangkan lalu lintas terowongan yang terfragmentasi
Masalah penyeimbangan terpisah adalah fragmentasi lalu lintas yang disebabkan oleh tunneling: penambahan header tunnel menyebabkan MTU dan paket fragmentasi terlampaui.
Ketika sebuah paket dengan ukuran yang sama dengan MTU tiba di input perangkat tunneling, maka setelah menambahkan header terowongan, paket tersebut mulai melebihi MTU (dengan jumlah byte header terowongan) dan dibagi menjadi beberapa fragmen. Selain itu, header bertingkat hanya dimuat di fragmen pertama. Akibatnya, dua paket sesi yang sama (AB1 dan AB2) yang masuk ke terowongan berbeda (T1 dengan header XY dan T2 dengan header XZ) berubah menjadi empat paket:
- dengan header XY eksternal dan header AB bertingkat
- dengan header XY eksternal tanpa tanda tunneling
- dengan header XZ eksternal dan header AB bertingkat
- dengan header XZ eksternal tanpa tanda tunneling
Dalam hal ini, tanpa fungsi pelacakan fragmen, pilihannya adalah antara pelanggaran integritas aliran informasi karena distribusi terowongan yang berbeda antara sistem DPI yang berbeda dan pelanggaran integritas aliran informasi karena distribusi fragmen yang berbeda antara sistem DPI yang berbeda. Pelacakan potongan yang seimbang dengan header bersarang memastikan integritas dipertahankan bahkan dalam kasus seperti itu.
Mereka yang mengalami masalah ini di sebagian besar lalu lintas memahami dan menyelesaikannya. Seperti biasa, hal terburuk adalah ketika masalah memengaruhi kurang dari 10% lalu lintas - masalah ini tidak terlihat dan ilusi tercipta bahwa semuanya aman. Dan di bawah keamanan adalah terowongan.