Выбрать язык


Выбрать язык | Show only


Русский | English


четверг, 11 февраля 2016 г.

Проектирование и внедрение инфраструктуры IDS/IPS. Этап 2. Определение производительности



Обработка сетевого трафика системами обнаружения и предотвращения вторжений в корпоративных сетях, как правило, производится без потенциального влияния на сетевые сервисы, то есть, в режиме IDS (Intrusion Detection Systems). IDS также может быть интегрирован с активным сетевым оборудованием для возможности временной блокировки хостов и подсетей, генерирующих трафик, определяемый как вредоносный (IDS shun). Реже используются системы предотвращения вторжений в режиме IPS (Intrusion Prevention Systems), полностью пропускающие через себя трафик (inline IPS), либо с возможностью внедрения в TCP-сессию и принудительного ее обрыва посредством отсылки TCP RST-пакетов участникам сессии. Рассмотрим общие характеристики режимов IDS и IPS с точки зрения интеграции сетевых сенсоров в существующую корпоративную сеть.
IDS:
- работает с копией трафика, необходима SPAN/(VACL capture) сессия либо информация NetFlow;
- не влияет на сетевые сервисы и приложения;
- от корректности выбора места установки в корпоративной сети зависит только уровень безопасности инфраструктуры;
- не осуществляет активной защиты.
IDS shun:
- работает с копией трафика;
- от места установки зависит уровень безопасности и возможность реализации функции блокировки;
- осуществляет блокировку хостов и подсетей по факту проведения ими атаки.
IPS с возможностью TCP RESET:
- работает с копией трафика, необходима SPAN/(VACL capture) сессия;
- в зависимости от архитектуры сети может быть необходима дополнительная конфигурация сетевого оборудования для приема TCP RST-пакетов с подстановкой адреса;
- от корректности выбора места установки в корпоративной сети зависит уровень безопасности инфраструктуры, потенциальное влияние на производительность минимальное;
- активная защита не от всех типов атак;
- возможное влияние на сетевые сервисы, базирующиеся только на протоколе TCP.
Inline IPS:
- установка «в разрыв», необходима перекоммутация и/или реконфигурация сетевого оборудования;
- возможное влияние на сетевые сервисы как во время интеграции, так и в течение всего периода эксплуатации;
- корректность выбора места установки в архитектуре влияет не только на уровень безопасности, но и производительности сети;
- дополнительное «узкое место» и точка отказа в сети;
- активная защита от атак для всех протоколов.
Рассмотрим такие реализации сетевых сенсоров IDS, которые работают с полной копией всех пакетов (SPAN-сессия, захват VACL). Копия трафика, обрабатываемого управляемым коммутатором, направляется на выделенный «зеркалированный», или SPAN(capture)-порт, к которому подключается сетевой сенсор (агент) систем обнаружения вторжений. В зависимости от производителя, версии аппаратной платформы и программного обеспечения коммутатора, возможно выборочное копирование входящих/исходящих пакетов определенных физических либо логических интерфейсов на SPAN-порт, а также отправка на выделенный порт трафика, описанного правилом, в определенном VLAN (VACL capture). Для эффективного анализа пропускная способность SPAN/capture-порта и, соответственно, сенсора IDS или TCP RST IPS, должна быть не менее пиковой суммарной нагрузки на анализируемые интерфейсы.
Предположим, существует коммутатор с n физических либо логических интерфейсов, сетевой трафик с m из которых необходимо направить для анализа на системы обнаружения вторжений. Независимо от того, будет SPAN-сессия терминироваться на данном коммутаторе или на удаленном, соблюдается условие:

m n – 1

поскольку интерфейс, который направляет пакеты на сенсор IDS  (destination SPAN-port), не может подавать копию своей нагрузки на себя. В зависимости от поставленных задач и возможностей коммутатора по каждому из m интерфейсов анализируется входящий, исходящий, либо весь трафик. Обозначим за r пиковое значение загрузки (бит/с) интерфейса входящими данными, а за t – исходящими. Расчет пропускной способности SPAN-порта и, соответственно, сетевого сенсора (b), на который направляется весь трафик с m интерфейсов, производится по формуле:

 
           (1)

Если же предполагается инспектировать пакеты либо только входящие, либо только исходящие, в зависимости от порта коммутатора и подключенного к нему оборудования, то для вычисления введем дополнительные параметры: y – количество интерфейсов, с которых будет копироваться исходящий трафик, x – интерфейсов, у которых будут анализироваться входящие данные. В этом случае соблюдаются условия:

x m, y m

Требования к соотношению значений x и y определяются либо поставленными задачами для исследования, либо программно-аппаратными ограничениями коммутатора. Таким образом, формула (1) для вычисления пропускной способности SPAN-порта b приобретает следующий вид:

 
          (2)
  

При расчете необходимой производительности IDS/IPS необходимо учесть возможный рост либо уменьшение участка инфраструктуры в обозримом будущем. Для сетевого сенсора развитие/отмирание сегмента сети выражается в изменении анализируемого трафика вследствие подключения/отключения новых хостов и/или подсетей. Предположим, нагрузка изменяется в связи с тем, что на некоторых интерфейсах возрастает/падает входящий либо исходящий трафик. Для расчетов введем коэффициент изменения трафика на интерфейсе относительно полученного в результате измерений значения. Обозначим его как p для входящих пакетов, и как q для исходящих. Соответственно, коэффициент будет иметь следующие значения:
 p,q > 1             для интерфейсов, на которых возрастает трафик;
p,q = 1               при отсутствии изменений в нагрузке;
0 < p,q < 1        при уменьшении трафика;
p,q = 0               при отключении интерфейса либо изменении типа дуплекса.

Соотношения коэффициентов pi и qi определяются характером изменения сетевого трафика и дуплекса на данном интерфейсе и могут принимать разнообразные значения.
С учетом возможных изменений нагрузки в обозримом будущем формула (1) принимает вид:

 
                (3)

а формула (2):

 
              (4)


Для расчета пропускной способности сенсора в режиме inline IPS можно использовать формулы (1) - (4) применимо к физическим интерфейсам, в разрыв которых будет устанавливаться IPS. Соответственно, с поправкой на возможный всплеск трафика, реальная пропускная способность сенсора должна быть выше полученного значения b в 2-3 раза.
Практическое применение результатов вышеописанных расчетов для участка Ethernet-сети предприятия, как правило, сводится к решению вопросов:
- Определение типа и количества физических интерфейсов на SPAN/capture-порт – FastEthernet, GigabitEthernet или TenGigabitEthernet, а также необходимости использования etherchannel.
- Определение типа и количества физических и логических интерфейсов, необходимых для включения в линию, и, соответственно, количества интерфейсов на устройстве IPS.
-  Выбор сенсора IDS/IPS необходимой производительности и стоимости.

Комментариев нет:

Отправить комментарий