Pingauksia verkkoon

Näkökulmia tietoturvaan ja tietoliikenteeseen

Network Packet Broker – Monitorointiliikenne tehokkaasti työkaluille

26. huhtikuuta 2018

NPB - Network Packet Broker verkkoliikenteen monitorointiin

 

Edellisessä kirjoituksessa tutustuttiin TAP:eihin, joilla liikenne saadaan kopioitua verkosta ulos monitorointia varten. TAP:eilta liikenne pitää kerätä analysoitavaksi erilaisille työkaluille, mielellään yhteen paikkaan ja sopivasti yhdisteltynä, mutta kuitenkin sisältäen vain kiinnostavan liikenteen. Tässä tarvitaan laitetta nimeltä Network Packet Broker (NPB).

 

Mitä Network Packet Broker tekee?

Packet Broker on pakettien välityslaite, joka kerää, yhdistelee, ohjaa, jakaa, suodattaa ja käsittelee liikennettä, joka sen läpi kuljetetaan. Se on ohjattava älykkäämpi kytkin, jota ohjelmoidaan tarpeen mukaan välittämään haluttu liikenne haluttuun paikkaan halutusti käsiteltynä. Packet Brokerin tehtäviin kuuluu liikenteen vastaanottaminen eri suodatusporteista sisään ja liikenteen yhdisteleminen yhteen tai useampaan ulostuloon eli työkaluporttiin. Yhdistelyn lisäksi olennaista on liikenteen suodatus, jotta valvontalaitteille saadaan vain olennainen tieto ja vältetään turhaa kuormitusta. 

Raudasta softaan

Perinteisesti Packet Broker on ollut yksittäinen laite, joka on tehty omaan erityiseen käyttötarkoitukseensa. Laitteiden kehitys on ollut hidasta ja kallista, siksi hintakin on ollut korkea ja käytön laajuus rajoittunutta. Modernien hajautuneiden ja nopeiden verkkojen myötä porttien määrät ja nopeudet ovat räjähtäneet käsiin ja perinteisellä Packet Broker -laitteella ei ole ollut mitään mahdollisuuksia pysyä perässä kehityksessä. 

Tilalle on tullut kytkinmaailmasta tuttu raudan ja ohjelmiston hajautuminen: avoimet kytkimet ja sen päällä toimiva valmistajakohtainen ohjelmisto. Innovatiivisimmat valmistajat keksivät jo vuosia sitten, että Openflow:lla kytkimen toimintaa ohjelmoimalla voi tehdä joustavaa keskitetysti hallittua liikenteenohjausta. Malli sopii täydellisesti nykyiseen tarpeeseen ja vastaa konesaliverkon hajautunutta Spine-Leaf-mallia.

 

NPB - Network Packet Broker verkkoliikenteen monitorointiin

 

Astumalla konesalikytkimien ja softan maailmaan, Packet Brokereista tuli moderneja SDN-kontrolleriohjattuja hajautuneita kytkinverkkoja aivan kuten konesaliverkko itsessään. Porttien määrää ja nopeutta on saatu nostettua aivan uudelle tasolle, jossa 48x10G on perus yksikkö ja 40/100G-portit arkipäivää. Samalla kuitenkin hinta pystytään pitämään kohtuullisella tasolla, jopa halpana verrattuna perinteisiin Packet Broker -laitteisiin. Toisaalta samaan aikaan porttimäärien tarvekin on kasvanut. Tällä hetkellä kaikki merkittävät valmistajat ovat siirtyneet avoimiin kytkimiin ja ohjelmistototeutukseen. 

Avoimia kytkimiä valmistavat mm. Edge-core, Dell ja HPE, joita on helposti saatavissa Suomessakin. Kytkinvalikoimasta Packet Brokerin valmistaja on valinnut tietyt suositut mallit, joita tuetaan. Kytkimeen asennetaan valmistajan oma käyttöjärjestelmä, jonka toimintaa ohjataan graafisella käyttöliittymällä. 

Pilveen ja hybridiympäristöön on valmistajilla omat virtuaaliversiot, joilla liikennettä voidaan käsitellä pilvessä tai tuoda pilvestä ulos omiin tiloihin. Tai päinvastoin oman ympäristön Packet Broker voi koota ja suodattaa halutun liikenteen ja lähettää sen eteenpäin pilven analysointityökaluille. Näin voi valita itselle parhaat työkalut sopivasta paikasta tuotettuna ja saada kuitenkin liikenne näkyviin koko verkosta, sekä fyysisestä että virtuaalisesta. 

Astu SDN-maailmaan

Suurin ero nykyisten ja perinteisten Packet Brokerien ja toisaalta myös eri valmistajien välillä on hallinta. Ero alkaa näkyä heti kun laitteita on enemmän kuin yksi, jolloin keskitetystä hallinnasta tulee tärkeä. Packet Broker onkin nimetty yhdeksi SDN:n läpimurtosovellukseksi ja aivan syystä. Monitorointiverkon eli useiden Packet Broker -kytkimien ja yhteyksien hallinta ja käyttö on erittäin helppoa ja tehokasta keskitetyn käyttöliittymän kautta. 

Kytkimiin on asennettu valmistajan oma käyttöjärjestelmä, joka ottaa yhteyttä kontrolleripalvelimeen. Kontrolleri on yleensä virtuaalikone, joka on helppo ja nopea asentaa. Kontrollerissa voidaan tehdä kaikki liikenteen ohjaukseen liittyvät toimet helposti ja tehokkaasti graafisen käyttöliittymän avulla. Monitorointiverkko voi olla yhden tai kymmenien kytkimien verkko, mutta haluttu liikenne saadaan yhdellä palomuurityyppisellä säännöllä ja muutamilla hiiren klikkauksilla ohjattua mistä pisteistä mihin pisteisiin tahansa. Todella näppärää!

 NPB - Network Packet Broker näkyvyys verkkoliikenteeseen

Ominaisuudet

Tärkein Packet Brokerin ominaisuus on suodatus. Suodatusta voidaan tehdä L2-L7-tasoilla pakettien sisällön perusteella samaan tapaan kuin palomuurissa, access-listoissa tai pakettianalysaattoreissa. Samasta alkuperäisestä liikenteestä voidaan ottaa vaikka eri vlaneja, protokollia tai keskustelupareja, ja ohjata ne eri ulostuloihin eri työkaluille. Suodatusta voidaan käyttää poimimaan datamassasta haluttua osaa paketin sisällöstä ja näin viedä sormenjälkitunnisteen tapaan epäilyttävä liikenne eteenpäin tutkittavaksi. 

Liikenteen yhdistely tehostaa työkalujen käyttöä. Analysoitavaa liikennettä voidaan kerätä useasta hajallaan olevasta mittapisteestä ja yhdistää samaan ulostuloon yhdelle työkalulle. Jos mittapisteitä on useita, sama liikenne voi näkyä Brokerilla useaan kertaan. Eri mittapisteet voidaan merkitä metadatalla niin, että ne tunnistetaan myöhemmin. Vlan-id:eitä ja muita otsikkokenttiä voidaan lisätä tai poistaa liikenteestä. Tällä hetkellä valmistajien kytkinpiirit eivät pysty tekemään pakettien leikkausta (slicing) tai kaksoiskappaleiden poistoa (deduplication). Nämä ja Regex-etsintä vaativat oman palvelimen, jossa toiminnot voidaan suorittaa DPDK-kiihdytettyinä. 

Aikakriittisissä ympäristöissä ja sovelluksissa Packet Broker voi aikaleimata paketit mittauksia ja analysointia varten. Broker voi myös purkaa SSL-salausta sisällön tutkimista varten. 

Packet Broker voidaan toteuttaa myös inline-mallilla, jolloin se laitetaan aktiivisena komponenttina mukaan verkkoon. Näin Brokerilla voidaan pakottaa kaikki tai valittu liikenne kiertämään esim. tietoturvatarkistuslaitteiden läpi. Palveluiden ketjutus (service chaining) on joustava malli lisätä ja poistaa palveluita tarpeen mukaan. API:n kautta ohjelmoitava Packet Broker voidaan laittaa dynaamisesti ja automaattisesti ohjaamaan liikenne lisätarkistuksiin tai pudottamaan liikenne kokonaan, jos valvonnassa huomataan jotain epäilyttävää. 

Koska Packet Broker perustuu tavalliseen Ethernet-kytkimeen, niin se osaa yleensä myös generoida välittämästään liikenteestä kevyempää sflow-tietoa. Sflow on kytkimien käyttämä liikenteen välitystiedon keräystapa, jolla protokollatason keskusteluista saadaan esim. lähde-kohde-osoitteet, protokolla, portit, aika ja liikennemäärä kerättyä ja lähetettyä keskitettyyn keräyspisteeseen. Osassa Packet Broker -tuotteissa on mukana analytiikkasovellus, joka jalostaa ja esittää tätä flow-tietoa graafisina näkyminä.

 NPB - Network Packet Broker näkyvyys verkkoliikenteeseen

 

Käyttöönotto

Packet Broker -kytkinverkon käyttöönotto on yllättävän helppoa. Kytkimiin tarvitaan vain hallinta-IP ja kontrollerin osoite. Kytkin voi ladata konfiguraation käynnistyksen yhteydessä automaattisesti käyttäen ZTP:tä (Zero Touch Provisioning), jolloin homma on vielä helpompaa. Kontrollerin virtuaalikoneen asennus ja konfigurointi on nopeaa ja yksinkertaista. Näin voidaan siirtyä nopeasti oikeasti määrittelemään liikenteen käsittelysääntöjä.

Liikenteen saamiseksi Packet Brokerille tarvitaan TAP tai kytkimen SPAN-portti, josta kytketään kaapeli Broker-kytkimen porttiin. Breakout-TAP:lta eri suuntien liikenne tulee ulos kahdesta eri portista, toisessa input-suunta ja toisessa output. Se vie siis Brokerilta kaksi porttia, jotka voidaan halutessa yhdistää eteenpäin yhtenä liikennevirtana. Kun liikenne tulee Brokerille sisään jostain portista, voidaan säännöillä määritellä mitä liikennettä halutaan välittää ja minne portteihin. Analysointityökalut kytketään Broker-kytkimien ulostuloportteihin ja haluttu liikenne alkaa näkyä työkaluilla.  

Packet Broker voidaan ottaa käyttöön heti ensimmäisen TAP:n tai SPAN-portin yhteydessä. Hyötyä saadaan heti ja vielä enemmän kun liikennelähteitä on useampia. Kun Packet Broker on olemassa, siihen voidaan tuoda uusia mittapisteitä ja liikennelähteitä tarpeen mukaan. Broker-kytkinverkkoa voidaan myös laajentaa sitä mukaa kun ympäristö kehittyy. Ratkaisu on hyvin skaalautuva ja mukautuva. Työkalupuoli on riippumaton liikenteen keräyskerroksesta, jolloin työkalut voidaan valita optimaalisesti. 

Packet Brokerin hyödyt

Packet Brokerin hyöty tulee sekä liikenteen keräyspuolelta että analysointiin käytetyltä työkalupuolelta. Liikenteen keräystä voidaan tehdä monesta pisteestä, eri sijainneista ja suurilla massoilla, koska porttien määrä ja nopeudet Broker-verkossa eivät enää ole ongelma. Kytkimiä voidaan sijoittaa hajautetusti moneen paikkaan ja liikenne kerätä yhteen keskitettyyn pisteeseen Broker-verkkoa pitkin. Tällä tavalla kaikki valvonta- ja analysointityökalut voidaan keskittää yhteen paikkaan ja yhteen laitteeseen. Packet Brokerin suodatuksella valitaan vain haluttu liikenne työkaluille, jotka voidaan mitoittaa sopivan kokoisiksi ja hyödyntää niiden koko kapasiteetti tehokkaasti. 

Broker-kytkinten avulla voidaan rakentaa isommassa ympäristössä hierarkkinen monitorointiverkko, jossa porttien hyötysuhdetta voidaan kasvattaa kuljettamalla enemmän liikennettä samoilla linkeillä. Kytkimien porttien välillä voidaan tehdä media- ja nopeusmuunnoksia esim. 10G-SR:stä 1G-TX:ään. Näin työkaluja pystytään paremmin kytkemään eri tyyppisiin verkon mittapisteisiin. 

Packet Brokerilla voidaan myös jakaa kuormaa työkaluporteille niin, että isompi liikennemassa hajaantuu eri ulostuloihin. Näin voidaan esim. säästää resursseja käyttämällä pienempiä analysointityökaluja rinnakkain tai hallita paremmin isojen datamassoja käsittelyä tai tallennusta. 

Yksisuuntaiset protokollat kuten Syslog, SNMP Trap, VoIP-audio tai UDP-video voidaan välittää eteenpäin Packet Brokerin kautta esim. tallennukseen tai valvontaan. Broker voi siis toimia datadiodina ja erottaa valvontaverkon omaan kokonaisuuteensa. Myös muita seurannan kannalta kiinnostavia protokollia, kuten DNS, voidaan tuoda monitorointiverkon kautta analysoitavaksi. 

Näkyvyyden perusta kuntoon

Packet Broker on monitorointiverkkokonseptin ydin, jossa liikenteen käsittelyn äly sijaitsee. Gartner suosittaa omassa raportissaan hyödyntämään tällaista "seuraavan sukupolven" teknologiaa valvontanäkyvyyden parantamiseksi. Ennen kuin ostetaan lisää päällekkäisiä valvontatuotteita, jotka helposti jäävät kunnolla hyödyntämättä, on hyvä rakentaa kattava näkyvyys verkon liikenteeseen. Kun TAP:t ja Packet Broker ovat käytössä, näkyvyyden pohja on kunnossa. Sen jälkeen on helppo ja nopea ottaa käyttöön sopivia keskitettyjä valvontatyökaluja ja syöttää niille tarvittavaa tietoa. 

Seuraavassa osassa tutustutaan monitorointiverkon työkaluihin ja ideoidaan miten ja mihin niitä voisi käyttää. Sillä välin voit kokeilla itse millainen on Big Switchin Big Monitoring Fabric tai katsoa miten Ixia tuo näkyvyyden pilviympäristöön.

Voit lukea kaikki Monitorointiverkko-sarjan osat tästä:

  1. Mikä on monitorointiverkko ja mihin sitä tarvitaan?
  2. Verkkoliikenteen näkyvyys tarkasti ja luotettavasti TAP:n avulla
  3. Network Packet Broker – Monitorointiliikenne tehokkaasti työkaluille
  4. Monitorointiverkon työkalut – Mitä kaikkea verkosta kerätyllä liikenteellä voi tehdä ja miksi?
  5. Monitorointiverkon käyttökohteita

Antti Leimio

 

Olen helsinkiläinen tietoliikenneinsinööri, jolla on pitkä kokemus tietoliikenteestä palveluntarjoajan verkoissa. Olen rakentanut tietoliikenneratkaisuja erilaisille palveluille ja sovittanut palveluita verkon päälle. Erikoisosaamistani ovat MPLS-tekniikka ja -palvelut, konesaliverkot, internet, sekä IP multicast ja audio/videopalvelut.

 

Vapaa-ajalla tykkään puuhailla jotain konkreettista, kotoilla ja matkailla. Harrastan rintamamiestaloelämää lähiössä vaimon ja kolmen tyttären kanssa. Yritän seurata alaa ja jakaa ideoita ja näkemyksiä: Teknisempää ja viihteellisempää asiaa Twitterissä ja yleisempää LinkedInissä.

 

 


Muita aiheeseen liittyviä resursseja:

Big Switch BMF Resources:

Videos:

Big Mon Out-of-Band Explainer

Big Mon Inline Explainer

NFD14: Big Switch Introduction

FD14: BigSecure Architecture with Big Switch
and A10 Networks

Public Cloud Traffic Visibility with Big Monitoring Fabric

Container Traffic Monitoring with Big Monitoring Fabric

Dynamic Monitoring of VMware vSphere Workloads

Big Monitoring Fabric Netflow Generation Services Demo

Big Monitoring Fabric Analytics 2.0

White Papers:

Doyle Research: Pervasive Security Enabled by Next Generation Monitoring Fabric

Security Tool Chaining in a DMZ with Big Mon Inline

 

Data Sheet:

Big Monitoring Fabric

Customer Case Studies:

Intuit Achieves Pervasive Monitoring and Security Across Multiple Data Centers

 

Ixia Visibility Solutions Resources:

Ixia Visibility Resources

Ixia Cloud Resources

Ixia Packet Brokers Comparison

 

Netscout Visibility Solutions Resources:

Netscout TAPs and Packet Brokers

Netscout Virtual TAPs and Packet Brokers for Cloud

Netscout Solution Webinars