Network Packet Brokers

Eirik Seim den 20. januar 2016
Network Packet Brokers .png

Ting kan gå galt når man gjør seg veldig avhengig av SPAN-porter i nettet sitt, enten det er til en IDS, en Performance Monitor, en fast installert nettverksanalysator, eller andre ting fantasien min ikke dekker over her og nå.

Kjører du en tradisjonell SPAN-port får du trafikk fra begge retninger ut på én port, og kan dermed fort overstige kapasiteten linken støtter slik at pakker droppes før de når utstyret som skal prøve å gjøre seg opp en mening om sikkerhet, ytelse, eller annet i nettet. La oss kalle dette utstyret, hva det nå er for «verktøyet».

Rundt 2012 introduserte Gartner begrepet «Network Packet Broker», eller NPB. Dette er maskinvare som bidrar til økt synlighet inn i trafikk som speiles ut eller tappes fra nettverket. En NPB kan ta trafikken fra en SPAN-port eller et TAP-kit og;

  • Filtrere innkommende trafikk
  • Aggregere innkommende trafikk fra flere kilder til en eller flere ut-porter
  • Filtrere utgående trafikk
  • «Slice» pakker, dvs fjerne hele eller deler av innholdet i pakkene mens informasjon som adresser, portnummer og størrelse beholdes intakt – Gjør det enklere og mindre båndbreddekrevende for analyseverktøy som ikke bryr seg om data-innholdet.
  • Deduplisere pakker som fanges opp f.eks. både til og fra en brannmur
  • Legge inn timestamps på innkommende trafikk slik at overvåkingsverktøy kan rapportere reell tid fra linjen pakkene kommer fra, og ikke bli forvirret av den ekstra tiden det kan ta trafikken å komme helt inn i analyseverktøyene.


Et typisk scenario er ved oppgradering av sentrale linjer i nettet fra 1 Gigabit til 10 Gigabit, eller kanskje 10 Gigabit til 100 Gigabit for enkelte av oss. Det er investert store penger i verktøy for å overvåke trafikken på den gamle linje-hastigheten. Overvåking av den nye linjen ble glemt i prosessen med å planlegge oppgradering av linjen, eller rett og slett forkastet fordi kostnaden ved å kjøpe helt nye verktøy ble for høy.

En NPB kan hjelpe her ved at vi sender trafikken til den, og lar den kjøre det videre til verktøyet. Om nødvendig kan trafikken slices og filtreres slik at et høyere trafikkvolum likevel lar verktøyet gjøre jobben sin.

Ixias Anue NTO, eller «Network Tool Optimizer», er et eksempel på en NPB.

Den har porter inn, hvor det kan settes filtre på all trafikk som fanges opp, kanskje hele protokoller skal ignoreres, eller innholdet i enkelte protokoller av personvernhensyn skal droppes.

Så har den naturligvis porter ut, hvor det også kan settes filtre om man ønsker.

Sist men ikke minst har den et trivelig management-grensesnitt, hvor du veldig visuelt klikker og drar fra en inn-port til en eller flere ut-porter.

Nok salgspitch, slik kan det se ut:

Anuenettool1

Jeg kobler port PA01 til et tap-kit på innsiden av brannmuren, og ønsker å sende en kopi av

  • all trafikk til en IDS
  • all webtrafikk til/fra 192.0.2.42 til en Performance Monitor
  • all voice-trafikk til et «Voice recorder» system

Jeg dobbeltklikker på portene jeg ønsker å konfigurere, både inngående og utgående, og gir dem et forståelig navn:
Anuenetttool2

 

Høyreklikker midt på hovedskjermbildet og legger til et dynamisk filter:

Anuenettool3

 

Legger inn filter som fanger opp all trafikk til/fra 192.0.2.42 og til/fra port 80 (www)

Anuenettool4

Voice går i VLAN 333, så det legger jeg inn i et nytt filter:

Anuenettool5

 

Så trekker jeg opp linjer mellom boksene for å begynne å sende trafikk:

anuenettool6

Trafikken til IDS ble ikke trukket gjennom et filter, men for å ikke overbelaste noen verktøyporter blir det automatisk laget et dynamisk «Deny all» filter. Dette endrer jeg til et «Pass all», og trafikken begynner å flyte.

Så dukker det opp en situasjon, noen bryter seg inn i Exchange-serveren vår og er i ferd med å stjele konfidensiell informasjon. Vi har allerede noe data i IDS, men vi ønsker å samle bevis.

Vi har en PC tilgjengelig med Wireshark og 1 gig Ethernet, kan det hjelpe oss? Klart det kan! Så lenge vi kan lage et filter som ikke slipper igjennom mer trafikk enn Wireshark-PCen kan håndtere.

Anuenettool7

Trekker opp  linjene, og får automatisk generert et filter som redigeres til å fange opp all trafikk til/fra Exchange:

Anuenettool8

Da ser det slik ut:

Anuenettool9

Merk at porten til Wireshark PCen viser et lite varselsymbol for å fortelle om den mister pakker.

Statistikken viser at vi fanger opp trafikk til/fra Exchange-serveren:

Anuenettool10

Når støvet har lagt seg og status gjøres opp i ettertid finner vi ut at vi kanskje må ha inn en bedre IDS. Takket være NTO er det enkelt å sette den opp for tuning mens den gamle fremdeles er i drift:

Anuenettool11

Avslutningsvis må jeg også ta med at Ixia har integrert sin ATI-teknologi (link til: http://www.ixiacom.com/products/application-and-threat-intelligence) i form av en egen prosessormodul «ATIP» til 7300 og 6212-modellene av NTO som analyserer trafikken og lar deg lage mer avanserte filtre som dette:

Anuenettool12

Her ligger det en applikasjonsforståelse som fanger opp trafikk fra flere kilder og sender f.eks. IMAP og SMTP til DLP («Data Loss Prevention»), Facebook-trafikk til Inspection og LinkedIn-trafikk til Troubleshooting.

Tags: Teknisk blogg

Kontakt oss: Ønsker du å ta en prat med oss?