Pingauksia verkkoon

Näkökulmia tietoturvaan ja tietoliikenteeseen

Mikä on monitorointiverkko ja mihin sitä tarvitaan?

22. maaliskuuta 2018

 

Verkkoliikenteen näkyvyys on yksi tärkeimmistä menetelmistä tietoturvatapahtumien seurannassa, suorituskyvyn valvonnassa, analytiikassa ja ongelmanselvityksessä. Mutta kattavan tiedon saaminen verkosta helposti ja luotettavasti ei ole itsestäänselvyys.

 

Viime vuonna kirjoitin juttua eri valvontamenetelmistä. Johtopäätöksenä oli, että perinteiset menetelmät eivät ole monilta osin enää riittäviä nykyisissä verkoissa. Samaa olen todistanut kentällä yrityksissä. Saatko itse omasta verkostasi irti tarvittavan tiedon valvontaa tai vianselvitystä varten?

 

Monista liikenne luotettavasti TAPeilla

Verkon fyysiset ulottuvuudet ovat muuttuneet: rakenne on hajautunut, liittymiä on paljon eri suuntiin ja nopeudet ovat kasvaneet. Lisäksi virtualisointi, pilvi, overlay-verkot ja ohjelmoitavuus ovat monimutkaistaneet valvontaa. Tietoturvatapahtumia pitäisi pystyä seuraamaan kattavasti, mutta verkosta ei löydy sellaista yhtä pistettä, josta näkisi kaiken liikenteen. Perinteisen ongelmanselvityspisteen eli keskuskytkimen span-portin aika on ohi.

 

Miten sitten päästä kiinni verkon liikenteeseen? Ja vielä monesta pisteestä kattavasti ja luotettavasti suurillakin nopeuksilla ja kuitenkin saada vain tarvittava liikenne valvonta- tai analysointilaitteille? Ensimmäinen vaihe on TAPien asennus linjalle. TAP on passiivinen haaroitin, joka asennetaan kuitu- tai kuparilinkille. Se peilaa linkin liikenteestä kopion sivuun vaikuttamatta itse tuotantoliikenteeseen. Suomi on perinteisesti laahannut jäljessä TAPien käytössä, mutta viimeistään nyt niille on todellista käyttöä. TAP monistaa luotettavasti 100G-linkkien liikenteen, kun kytkimen span-portti muuttuu epäluotettavaksi jo yli 1G-nopeuksissa ja voi pahimmillaan vaikuttaa koko kytkimen toimintaan ja sen myötä tuotantoliikenteeseen.

 

Ohjaile ja käsittele liikennettä Network Packet Broker -laitteilla

Mutta mitä useista 10G- ja 100G-porteista tulevalle massiiviselle liikennemäärälle voi tehdä? TAPeilta tuleva liikenne viedään Network Packet Broker -laitteille (NPB), joka ohjailee ja käsittelee liikennettä. Perinteisesti Packet Broker on ollut tätä tarkoitusta varten rakennettu laite, mutta nyt kaikki valmistajat ovat siirtyneet edullisempiin ja joustavampiin ohjelmistoratkaisuihin, jotka rakentuvat yleisten whitebox-kytkinten päälle. Packet Brokerista on tullut samanlainen hajautettu kytkinmatriisi kuin spine-leaf-konesaliverkosta, ja sitä ohjataan SDN-kontrollerilla yhdestä keskitetystä pisteestä. Packet Broker -kytkimet saavat liikenteen sisään TAPeilta 1-100G-porteista ja sen jälkeen käyttäjä hallitsee kytkimien liikennettä graafisen käyttöliittymän kautta. Liikennettä voi mm. suodattaa, yhdistellä, leikata, merkata ja ohjata eteenpäin haluttuihin portteihin. Packet Broker voi myös generoida alkuperäisestä liikenteestä kevyttä välitystietoa sflow:lla. Tällä tavalla isostakin liikennemassasta saadaan valittua haluttu tieto ja ohjattua se eteenpäin sopiville valvontalaitteille.

 

Keskitä analysointityökalut

Kolmas osa monitorointiverkkoa on työkalut. Siis ne valvonta-, tietoturva-, analysointi-, yms. laitteet tai sovellukset, joille tietoa halutaan syöttää pureskeltavaksi. Laitteet kytketään Packet Broker -kytkinten ulostuloportteihin. Hallintanäkymästä valitaan ja ohjataan haluttu liikenne analysointityökaluille. Hajautetun Packet Brokerin juju on tässä: Liikennettä voi kerätä laajasti monesta hajautetusta pisteestä ja kuljettaa kytkinverkon läpi yhteen pisteeseen sopivasti käsiteltynä. Analysointityökaluja ei tarvitse kytkeä kuin yhteen pisteeseen ja kaikki työkalut voivat olla keskitetysti yhdessä paikassa yhteen pisteeseen kytkettynä. Monitorointiverkkoa ohjataan keskitetysti ja kaikki muu paitsi fyysiset kytkennät on ohjelmallisesti konfiguroitavissa. Erittäin helppoa ja kätevää.

 

Monitorointiverkko on vastaus nykypäivän hajautettujen verkkojen ja suurinopeuksisien yhteyksien valvontaan. Monitorointiverkolla voi kerätä liikenteen helposti monesta paikasta ja tiivistää olennaisen tiedon sopiville työkaluille. Kaikki tämä tapahtuu tuotantoverkon ulkopuolella ilman riskiä tuotannollisista vaikutuksista. Alkuun pääset parilla TAPilla ja Packet Broker -kytkimellä, virtuaalikoneella sekä ohjelmistolisenssillä.

 

Seuraavassa kirjoituksessa kerron lisää monitorointiverkon rakennuspalikoista: Mitä ovat TAPit ja miten niitä käytetään.

 

Voit lukea kaikki Monitorointiverkko-sarjan osat tästä:

  1. Mikä on monitorointiverkko ja mihin sitä tarvitaan?
  2. Verkkoliikenteen näkyvyys tarkasti ja luotettavasti TAP:n avulla
  3. Network Packet Broker – Monitorointiliikenne tehokkaasti työkaluille
  4. Monitorointiverkon työkalut – Mitä kaikkea verkosta kerätyllä liikenteellä voi tehdä ja miksi?
  5. Monitorointiverkon käyttökohteita

Antti Leimio

 

Olen helsinkiläinen tietoliikenneinsinööri, jolla on pitkä kokemus tietoliikenteestä palveluntarjoajan verkoissa. Olen rakentanut tietoliikenneratkaisuja erilaisille palveluille ja sovittanut palveluita verkon päälle. Erikoisosaamistani ovat MPLS-tekniikka ja -palvelut, konesaliverkot, internet, sekä IP multicast ja audio/videopalvelut.

 

Vapaa-ajalla tykkään puuhailla jotain konkreettista, kotoilla ja matkailla. Harrastan rintamamiestaloelämää lähiössä vaimon ja kolmen tyttären kanssa. Yritän seurata alaa ja jakaa ideoita ja näkemyksiä: Teknisempää ja viihteellisempää asiaa Twitterissä ja yleisempää LinkedInissä.