23.05.2003

»спользование сетевых разветвителей с сетевыми системами обнаружени€ вторжени€

ƒл€ разрешени€ конфликта между сетевыми системами обнаружени€ вторжени€ (NIDS) и коммутаторами были созданы сетевые разветвители (network taps), которые позвол€ют контролировать весь трафик, проход€щий через сетевое устройство. —етевые разветвители также могут быть полезны дл€ пассивного поиска неисправностей и анализа сети.   тому же сетевые разветвители делают св€занную NIDS систему более безопасной, преп€тству€ нападени€м непосредственно на NIDS систему. ¬ этой статье мы вкратце рассмотрим принцип работы сетевых разветвителей, включа€ их роль в безопасности сети и экономические выгоды от их применени€.

¬ последнее врем€ в сет€х стали широко использовать коммутаторы, вместо ранее примен€емых концентраторов, в результате чего передача данных стала более эффективной, быстрой и надежной. ќднако этот переход на коммутаторы вызывает конфликт с уже развернутыми сетевыми системами обнаружени€ вторжени€.

ƒл€ разрешени€ конфликта между сетевыми системами обнаружени€ вторжени€ (NIDS) и коммутаторами были созданы сетевые разветвители (network taps), которые позвол€ют контролировать весь трафик, проход€щий через сетевое устройство. —етевые разветвители также могут быть полезны дл€ пассивного поиска неисправностей и анализа сети.   тому же сетевые разветвители делают св€занную NIDS систему более безопасной, преп€тству€ нападени€м непосредственно на NIDS систему. ¬ этой статье мы вкратце рассмотрим принцип работы сетевых разветвителей, включа€ их роль в безопасности сети и экономические выгоды от их применени€.

ѕочему происходит конфликт?

ƒавайте рассмотрим причину конфликта между NIDS и коммутаторами.  оммутаторы отличаютс€ от концентраторов методом передачи данных от порта к порту. „тобы продемонстрировать его работу, давайте в качестве примера рассмотрим концентратор с 4-м€ портами, которые обозначены буквами A, B, C, D.  омпьютер, подключенный к порту A, посылает информацию к компьютеру на порту —.  онцентратор получает пакет и посылает его ко всем портам на концентраторе (A, B, C, D), как показано на рис 1.

Implementing Networks Taps with Network Intrusion Detection Systems Figure 1

–ис 1.

¬ этой ситуации в NIDS системе проблемы не возникает. “ак как весь трафик посылаетс€ ко всем портам, NIDS может обнаружить трафик независимо от того, как он проходит через концентратор.  оммутаторы, однако, посылают данные совершенно другим способом. ¬место того, чтобы посылать данные, предназначенные порту —, всем остальным портам на устройстве, коммутатор посылает данные только к порту —. Ёто увеличивает эффективность сети, сокраща€ коллизию пакетов и оптимизиру€ полосу пропускани€, сокраща€ ненужные передачи, как представлено на рис. 2:

Implementing Networks Taps with Network Intrusion Detection Systems Figure 2

–ис. 2

Ёто диаграмма демонстрирует происход€щую проблему. “ак как абсолютно никакие данные не посылаютс€ NIDS системе (порт D), следовательно, система принципиально не способна обнаружить вторжение. NIDS система сможет обнаружить нападение только в том редком случае, если атака направлена непосредственно на IDS систему.

„то такое сетевые разветвители?

—етевые разветвители позвол€ют пассивно провер€ть весь трафик на сетевом устройстве. ќни относительно недороги, надежны и обеспечивают посто€нные порты доступа, чтобы контролировать весь проход€щий трафик. разветвители - обычно отдельные устройства, но они также могут быть непосредственно встроены в коммутатор. “акие решени€ предлагают NetOptics и Finisar. —егодн€ существуют разветвители дл€ любых типов используемых сетей, включа€ GigaBit SX, LX или ZX, ATM, DS3, T1, Fast Ethernet и GigaBit TX. Ёто означает, что NIDS систему можно развернуть, использу€ разветвительв практически любой воображаемой сети. “ак как разветвители полностью пассивны, они не требуют изменени€ конфигурации сети и легко осуществимы в пределах любой существующей сети.

«ачем использовать сетевые разветвители?

—етевые разветвители Ц идеальный способ развернуть NIDS систему в высокоскоростной коммутируемой сети. „тобы пон€ть, почему в подобных ситуаци€х лучше использовать сетевые разветвители, давайте рассмотрим альтернативный способ внедрени€ NIDS системы в коммутируемую сеть. Ќаиболее часто используема€ альтернатива Ц port spanning, также известна€, как port mirroring. Ётот часто используемый способ имеет множество свойственных недостатков, которые создают проблемы в развертывании NIDS систем. Port mirroring вынуждают коммутатор посылать все пакеты через коммутатор, или пакеты от указанного порта к определенному контролируемому порту, в дополнении к получателю пакета. ѕри этом может возникнуть несколько проблем, наиболее очевидна€ из которых Ц это потер€ пакета в mirror/span порту. ѕри использовании такого порта, возникает высока€ веро€тность столкновени€ пакетов, поскольку двадцать других портов на коммутаторе непрерывно посылают пакеты mirror/span порту.  роме того, такой порт имеет такую же полосу пропускани€, как и любой другой порт на устройстве, увеличива€ веро€тность потери пакета при относительно невысокой загруженности сети.

Port mirroring также не способен получать ошибочные пакеты или VLAN информацию, и контролирует только одну сторону full-duplex подключени€. “аким образом, IDS, сид€ща€ на зеркальном порту, у€звима к неизбежным посто€нным потер€м пакетов и неспособна контролировать половину трафика в сети. Ќасколько хороша IDS система, способна€ контролировать, в лучшем случае, только половину сетевого трафика? –абота зеркального порта показана на риc. 3:

Implementing Networks Taps with Network Intrusion Detection Systems Figure 3

–ис. 3.

ќбратите внимание, что половина сессий не посылаетс€ Mirror/Span порту; таким образом, как было описано выше, NIDS не способен обнаружить событи€ в пределах этих сообщений.

»спользование разветвителей позвол€ет избавитьс€ от всех этих проблем. разветвитель позвол€ет IDS контролировать обе стороны full duplex подключени€, полностью уменьшить потерю пакетов и просматривать весь трафик, преданный в сети. » все это происходит пассивным способом, не затрагива€ структуру сети в целом.

–оль разветвителей в увеличении безопасности IDS систем

 ак уже упоминалось, сетевые разветвители способны увеличить безопасность установки IDS системы. ѕричина дл€ этого весьма проста: IDS позади разветвителей не требует адреса, потому что разветвитель посылает весь трафик непосредственно в IDS интерфейс, таким образом устран€€ потребность в адресации. IDS не имеет никакого адреса; поэтому, никакой трафик не может быть направлен непосредственно к IDS. Ёто предотвращает нападение против IDS систем и атакующий не способен никаким образом обнаружить IDS систему в сети.

ѕредотвраща€ обнаружение IDS нападавшими, жизнеспособность системы значительно увеличиваетс€. ¬ конце концов, насколько хорошо использовать IDS, который может быть атакован и поврежден?

”становка и развертывание разветвителей

”становка и развертывание сетевых разветвителей достаточно проста, если у вас есть соответствующие аппаратные средства. ќбычно разветвитель устанавливаетс€ в порт расширени€, который присутствует на большинстве современных коммутаторах, маршрутизаторах и концентраторах. ƒл€ этого используютс€ data terminal equipment (DTE) и/или data communication equipment (DCE) интерфейсы. Ёти интерфейсы мы подробнее осудим чуть позже. “ак как разветвители полностью пассивны в сети, это означает, что они не могут нарушить работу сети, которую могут вызвать множество контролирующих устройств. Ёти интерфейсы €вл€ютс€ высокоскоростными, тем самым, снижа€ к абсолютному минимуму возможную потерю пакетов. »нтерфейсы DTE/DCE подключаютс€ непосредственно к порту контрол€ сигнала в стойке сервера, который подключен к используемой NIDS системе, как показано на рис. 4:

Implementing Networks Taps with Network Intrusion Detection Systems Figure 4

–ис. 4

Ёто самый общий тип установки. Ѕольшинство сетевых разветвителей могут быть развернуты на множестве устройствах в сети и затем могут соедин€тьс€ с другими системами в стойке, как показано на рис. 5:

Implementing Networks Taps with Network Intrusion Detection Systems Figure 5

–ис. 5

 онтролирующие стойки (tap panels) обычно разрабатываютс€ дл€ высокоскоростных систем (гигабит и выше), чтобы централизованно контролировать весь трафик с минимальными потер€ми. »з-за чрезвычайно высоких скоростей этих стоек, возможно, потребуетс€ развертывание нескольких IDS систем и балансировки нагрузки между ними, так как очень немного IDS в насто€щее врем€ способны работать с этими типами скоростей. ≈сли используютс€ несколько IDS систем, то целесообразно анализировать получаемые данные на отдельном сервере. Ѕолее подробно о развертывании этих типов систем можно узнать из статьи ƒжефа Ќатана - Gigabit Tap IDS illustration..

Data Terminal Equipment/Data Communication Equipment

»нтерфейсы Data Terminal Equipment (DTE) и Data Communication Equipment (DCE), как упом€нуто выше, €вл€ютс€ распространенными средствами дл€ транспортировки данных от коммутатора или маршрутизатора к группе разветвителей. DTE соедин€етс€ с сетью передачи данных (в нашем случае к разветвителю) через DCE устройство. DCE устройства, с другой стороны, обеспечивают физическую св€зь с сетью, пересыла€ трафик и обеспечива€ синхронизацию данных между DCE и DTE устройствами.

ƒавайте теперь обсудим роль DTE и DCE в обеспечении передачи данных дл€ сетевых разветвителей . —уществует множество различных типов и классов DTE и DCE кабелей, интерфейсов и коннекторов. ≈сть, однако, несколько устройств, которые обычно используютс€ с разветвител€ми. ѕервый из них - High-Speed Serial Interface (HSSI). HSSI способен обрабатывать T1 и OC-1 скорости, позвол€€ высокоскоростную передачу данных между сет€ми и устройствами, использующими интерфейсы DTE/DCE. HSSI способен достигать этих скоростей, использу€ differential emitter-coupled logic (ECL), который используетс€ в компьютерной системе Cray в течение уже многих лет. ƒругие технологии типа frame relay, ADSL, ATM, и DS3 могут также использоватьс€ через DTE/DCE интерфейсы дл€ сетевых разветвителей .

—пецифические особенности установки DTE/DCE интерфейсов и типа используемых кабелей, сильно мен€ютс€ в зависимости от используемых в сети устройств. Ѕольшинство систем разветвителейи коммутаторов, которые поддерживают DTE/DCE устройства, будут иметь подробную документацию по использовании этих устройств совместно друг с другом. ¬ большинстве случаев "analysis" port, описанный в документации к сетевому устройству Ц это порт, с которым вы будете соедин€ть вашу IDS систему.

Ёкономические выгоды от сетевых разветвителей

 роме технических преимуществ использовани€ сетевых разветвителей, есть также финансовые выгоды. ≈сли прежде использовалась NIDS система, дл€ осуществлени€ сетевых разветвителей не потребуетс€ никаких изменений в технологии IDS, тем самым значительно уменьшаютс€ затраты на внедрение новой технологии.

»спользование сетевых разветвителей дл€ NIDS систем экономически выгоднее возможных альтернатив - использовани€ network node IDS (NNIDS) систем или host-based intrusion detection systems (HIDS) систем. Ёти системы требуют установки IDS на каждой системе, в которой мы хотим обнаружить возможное нападение. ѕри этом организаци€ вынуждена платить за NNIDS/HIDS копию дл€ каждой системы в пределах защищенной доли сети. Ёта стоимость увеличиваетс€, если используетс€ несколько операционных систем в сети, кажда€ из которых требует установки различных типов NNIDS/HIDS. ¬ этой ситуации NIDS, использующа€ сетевые разветвители, €вл€етс€ значительно более выгодной альтернативой.

¬ыводы

“екуща€ эволюци€ с концентраторов на коммутаторы, совместно с увеличивающими рисками безопасности, делает проблематичным развертывание традиционных NIDS систем в обычных сет€х. Ёти проблемы могут легко быть преодолены при использовании сетевых разветвителей , позвол€€ существующим NIDS системам поддерживать достаточные уровни безопасности в любом типе используемых в насто€щее врем€ сетей. »спользование сетевых разветвителей фактически увеличивает безопасность NIDS датчиков, одновременно позвол€€ легко внедр€ть разветвители на больших быстродействующих сет€х, которые используют коммутаторы или другие высокоскоростные сетевые устройства. разветвители также сокращают затраты на развертывание IDS системы.

или введите им€

CAPTCHA