23.05.2003

Использование сетевых разветвителей с сетевыми системами обнаружения вторжения

Для разрешения конфликта между сетевыми системами обнаружения вторжения (NIDS) и коммутаторами были созданы сетевые разветвители (network taps), которые позволяют контролировать весь трафик, проходящий через сетевое устройство. Сетевые разветвители также могут быть полезны для пассивного поиска неисправностей и анализа сети. К тому же сетевые разветвители делают связанную NIDS систему более безопасной, препятствуя нападениям непосредственно на NIDS систему. В этой статье мы вкратце рассмотрим принцип работы сетевых разветвителей, включая их роль в безопасности сети и экономические выгоды от их применения.

В последнее время в сетях стали широко использовать коммутаторы, вместо ранее применяемых концентраторов, в результате чего передача данных стала более эффективной, быстрой и надежной. Однако этот переход на коммутаторы вызывает конфликт с уже развернутыми сетевыми системами обнаружения вторжения.

Для разрешения конфликта между сетевыми системами обнаружения вторжения (NIDS) и коммутаторами были созданы сетевые разветвители (network taps), которые позволяют контролировать весь трафик, проходящий через сетевое устройство. Сетевые разветвители также могут быть полезны для пассивного поиска неисправностей и анализа сети. К тому же сетевые разветвители делают связанную NIDS систему более безопасной, препятствуя нападениям непосредственно на NIDS систему. В этой статье мы вкратце рассмотрим принцип работы сетевых разветвителей, включая их роль в безопасности сети и экономические выгоды от их применения.

Почему происходит конфликт?

Давайте рассмотрим причину конфликта между NIDS и коммутаторами. Коммутаторы отличаются от концентраторов методом передачи данных от порта к порту. Чтобы продемонстрировать его работу, давайте в качестве примера рассмотрим концентратор с 4-мя портами, которые обозначены буквами A, B, C, D. Компьютер, подключенный к порту A, посылает информацию к компьютеру на порту С. Концентратор получает пакет и посылает его ко всем портам на концентраторе (A, B, C, D), как показано на рис 1.

Implementing Networks Taps with Network Intrusion Detection Systems Figure 1

Рис 1.

В этой ситуации в NIDS системе проблемы не возникает. Так как весь трафик посылается ко всем портам, NIDS может обнаружить трафик независимо от того, как он проходит через концентратор. Коммутаторы, однако, посылают данные совершенно другим способом. Вместо того, чтобы посылать данные, предназначенные порту С, всем остальным портам на устройстве, коммутатор посылает данные только к порту С. Это увеличивает эффективность сети, сокращая коллизию пакетов и оптимизируя полосу пропускания, сокращая ненужные передачи, как представлено на рис. 2:

Implementing Networks Taps with Network Intrusion Detection Systems Figure 2

Рис. 2

Это диаграмма демонстрирует происходящую проблему. Так как абсолютно никакие данные не посылаются NIDS системе (порт D), следовательно, система принципиально не способна обнаружить вторжение. NIDS система сможет обнаружить нападение только в том редком случае, если атака направлена непосредственно на IDS систему.

Что такое сетевые разветвители?

Сетевые разветвители позволяют пассивно проверять весь трафик на сетевом устройстве. Они относительно недороги, надежны и обеспечивают постоянные порты доступа, чтобы контролировать весь проходящий трафик. разветвители - обычно отдельные устройства, но они также могут быть непосредственно встроены в коммутатор. Такие решения предлагают NetOptics и Finisar. Сегодня существуют разветвители для любых типов используемых сетей, включая GigaBit SX, LX или ZX, ATM, DS3, T1, Fast Ethernet и GigaBit TX. Это означает, что NIDS систему можно развернуть, используя разветвительв практически любой воображаемой сети. Так как разветвители полностью пассивны, они не требуют изменения конфигурации сети и легко осуществимы в пределах любой существующей сети.

Зачем использовать сетевые разветвители?

Сетевые разветвители – идеальный способ развернуть NIDS систему в высокоскоростной коммутируемой сети. Чтобы понять, почему в подобных ситуациях лучше использовать сетевые разветвители, давайте рассмотрим альтернативный способ внедрения NIDS системы в коммутируемую сеть. Наиболее часто используемая альтернатива – port spanning, также известная, как port mirroring. Этот часто используемый способ имеет множество свойственных недостатков, которые создают проблемы в развертывании NIDS систем. Port mirroring вынуждают коммутатор посылать все пакеты через коммутатор, или пакеты от указанного порта к определенному контролируемому порту, в дополнении к получателю пакета. При этом может возникнуть несколько проблем, наиболее очевидная из которых – это потеря пакета в mirror/span порту. При использовании такого порта, возникает высокая вероятность столкновения пакетов, поскольку двадцать других портов на коммутаторе непрерывно посылают пакеты mirror/span порту. Кроме того, такой порт имеет такую же полосу пропускания, как и любой другой порт на устройстве, увеличивая вероятность потери пакета при относительно невысокой загруженности сети.

Port mirroring также не способен получать ошибочные пакеты или VLAN информацию, и контролирует только одну сторону full-duplex подключения. Таким образом, IDS, сидящая на зеркальном порту, уязвима к неизбежным постоянным потерям пакетов и неспособна контролировать половину трафика в сети. Насколько хороша IDS система, способная контролировать, в лучшем случае, только половину сетевого трафика? Работа зеркального порта показана на риc. 3:

Implementing Networks Taps with Network Intrusion Detection Systems Figure 3

Рис. 3.

Обратите внимание, что половина сессий не посылается Mirror/Span порту; таким образом, как было описано выше, NIDS не способен обнаружить события в пределах этих сообщений.

Использование разветвителей позволяет избавиться от всех этих проблем. разветвитель позволяет IDS контролировать обе стороны full duplex подключения, полностью уменьшить потерю пакетов и просматривать весь трафик, преданный в сети. И все это происходит пассивным способом, не затрагивая структуру сети в целом.

Роль разветвителей в увеличении безопасности IDS систем

Как уже упоминалось, сетевые разветвители способны увеличить безопасность установки IDS системы. Причина для этого весьма проста: IDS позади разветвителей не требует адреса, потому что разветвитель посылает весь трафик непосредственно в IDS интерфейс, таким образом устраняя потребность в адресации. IDS не имеет никакого адреса; поэтому, никакой трафик не может быть направлен непосредственно к IDS. Это предотвращает нападение против IDS систем и атакующий не способен никаким образом обнаружить IDS систему в сети.

Предотвращая обнаружение IDS нападавшими, жизнеспособность системы значительно увеличивается. В конце концов, насколько хорошо использовать IDS, который может быть атакован и поврежден?

Установка и развертывание разветвителей

Установка и развертывание сетевых разветвителей достаточно проста, если у вас есть соответствующие аппаратные средства. Обычно разветвитель устанавливается в порт расширения, который присутствует на большинстве современных коммутаторах, маршрутизаторах и концентраторах. Для этого используются data terminal equipment (DTE) и/или data communication equipment (DCE) интерфейсы. Эти интерфейсы мы подробнее осудим чуть позже. Так как разветвители полностью пассивны в сети, это означает, что они не могут нарушить работу сети, которую могут вызвать множество контролирующих устройств. Эти интерфейсы являются высокоскоростными, тем самым, снижая к абсолютному минимуму возможную потерю пакетов. Интерфейсы DTE/DCE подключаются непосредственно к порту контроля сигнала в стойке сервера, который подключен к используемой NIDS системе, как показано на рис. 4:

Implementing Networks Taps with Network Intrusion Detection Systems Figure 4

Рис. 4

Это самый общий тип установки. Большинство сетевых разветвителей могут быть развернуты на множестве устройствах в сети и затем могут соединяться с другими системами в стойке, как показано на рис. 5:

Implementing Networks Taps with Network Intrusion Detection Systems Figure 5

Рис. 5

Контролирующие стойки (tap panels) обычно разрабатываются для высокоскоростных систем (гигабит и выше), чтобы централизованно контролировать весь трафик с минимальными потерями. Из-за чрезвычайно высоких скоростей этих стоек, возможно, потребуется развертывание нескольких IDS систем и балансировки нагрузки между ними, так как очень немного IDS в настоящее время способны работать с этими типами скоростей. Если используются несколько IDS систем, то целесообразно анализировать получаемые данные на отдельном сервере. Более подробно о развертывании этих типов систем можно узнать из статьи Джефа Натана - Gigabit Tap IDS illustration..

Data Terminal Equipment/Data Communication Equipment

Интерфейсы Data Terminal Equipment (DTE) и Data Communication Equipment (DCE), как упомянуто выше, являются распространенными средствами для транспортировки данных от коммутатора или маршрутизатора к группе разветвителей. DTE соединяется с сетью передачи данных (в нашем случае к разветвителю) через DCE устройство. DCE устройства, с другой стороны, обеспечивают физическую связь с сетью, пересылая трафик и обеспечивая синхронизацию данных между DCE и DTE устройствами.

Давайте теперь обсудим роль DTE и DCE в обеспечении передачи данных для сетевых разветвителей . Существует множество различных типов и классов DTE и DCE кабелей, интерфейсов и коннекторов. Есть, однако, несколько устройств, которые обычно используются с разветвителями. Первый из них - High-Speed Serial Interface (HSSI). HSSI способен обрабатывать T1 и OC-1 скорости, позволяя высокоскоростную передачу данных между сетями и устройствами, использующими интерфейсы DTE/DCE. HSSI способен достигать этих скоростей, используя differential emitter-coupled logic (ECL), который используется в компьютерной системе Cray в течение уже многих лет. Другие технологии типа frame relay, ADSL, ATM, и DS3 могут также использоваться через DTE/DCE интерфейсы для сетевых разветвителей .

Специфические особенности установки DTE/DCE интерфейсов и типа используемых кабелей, сильно меняются в зависимости от используемых в сети устройств. Большинство систем разветвителейи коммутаторов, которые поддерживают DTE/DCE устройства, будут иметь подробную документацию по использовании этих устройств совместно друг с другом. В большинстве случаев "analysis" port, описанный в документации к сетевому устройству – это порт, с которым вы будете соединять вашу IDS систему.

Экономические выгоды от сетевых разветвителей

Кроме технических преимуществ использования сетевых разветвителей, есть также финансовые выгоды. Если прежде использовалась NIDS система, для осуществления сетевых разветвителей не потребуется никаких изменений в технологии IDS, тем самым значительно уменьшаются затраты на внедрение новой технологии.

Использование сетевых разветвителей для NIDS систем экономически выгоднее возможных альтернатив - использования network node IDS (NNIDS) систем или host-based intrusion detection systems (HIDS) систем. Эти системы требуют установки IDS на каждой системе, в которой мы хотим обнаружить возможное нападение. При этом организация вынуждена платить за NNIDS/HIDS копию для каждой системы в пределах защищенной доли сети. Эта стоимость увеличивается, если используется несколько операционных систем в сети, каждая из которых требует установки различных типов NNIDS/HIDS. В этой ситуации NIDS, использующая сетевые разветвители, является значительно более выгодной альтернативой.

Выводы

Текущая эволюция с концентраторов на коммутаторы, совместно с увеличивающими рисками безопасности, делает проблематичным развертывание традиционных NIDS систем в обычных сетях. Эти проблемы могут легко быть преодолены при использовании сетевых разветвителей , позволяя существующим NIDS системам поддерживать достаточные уровни безопасности в любом типе используемых в настоящее время сетей. Использование сетевых разветвителей фактически увеличивает безопасность NIDS датчиков, одновременно позволяя легко внедрять разветвители на больших быстродействующих сетях, которые используют коммутаторы или другие высокоскоростные сетевые устройства. разветвители также сокращают затраты на развертывание IDS системы.

comments powered by Disqus