Clever Geek Handbook

安全和网络数据包代理下的隧道

在具有虚拟化和自动化功能的现代网络中,流量隧道被广泛使用。但是,隧道技术的重点是建立网络并确保可靠的数据传输,而信息安全和监视问题通常是开箱即用的。信息安全系统的隧道流量不可见性问题是一个长期存在的问题-2011年,已经发布了RFC 6169“ IP隧道的安全问题”,表明使用隧道的潜在风险。 DPI工具直接与基础设施保持同步,并且长期以来一直在拆除隧道并监视用户流量(通常在技术上可行时),但是仍然存在瓶颈-从基础设施到这些系统的数据传输。



图片




隧道传输和传输流量到监视和信息安全系统



GTP,GRE,L2TP,PPPoE,VXLAN和其他隧道缩写是任何网络工程师都熟悉的。隧道流量使您能够:



  • 通过在OSI模型的第3级构建网络来提供数据流控制
  • 使用共享资源将远程办公室链接到单个网络
  • 通过分离基础架构和用户层来简化网络管理
  • 基于各种技术构建统一网络
  • 提供用户移动性(移动网络,数据中心中虚拟机的迁移)


但是,在确保信息安全性方面,使用隧道会带来其他要求。



大多数信息安全系统和监视系统使用流量副本。同时,通过以下三种方式之一提供从基础结构的数据传输:



  1. 数据包被其他网络设备功能复制并发送到专用(SPAN)端口
  2. 无源流量分路器(TAP)安装在光线路中,将光功率分为两条线路-原始接收器和DPI系统
  3. 将网络数据包代理添加到基础结构中,该结构执行数据包镜像的功能,例如在TAP的情况下-原始收件人和DPI系统


正如我们之前所写,SPAN端口实际上未在现代基础架构中使用:它们既不提供所需的带宽也不保证数据传输。隧道只会加剧问题:传输到监视端口的标准只能是外部头字段(隧道头),因此无法通过用户数据包字段(嵌套头)进行初步过滤。



无源光耦合器和网络数据包代理的最常用组合。



图片




TAP可确保维持网络可靠性,而网络数据包代理可确保将数据正确传输到DPI系统并优化其使用。但是,在使用隧道时,只有在一种情况下才有可能-如果网络数据包代理支持对隧道结构的分析,并且可以基于隧道业务数据包的嵌套标头分配流量。



隧道流量的过滤和分类



如果没有代理程序的能力,代理程序无法分析隧道数据包的嵌套标头,那么谈论DPI优化就毫无意义。过滤和分类可以减少DPI系统的负担并减少其数量,因此应在用户流量(嵌套​​标头)字段上精确工作。否则,将不可能分隔特定用户的IP地址,所需的协议或加密的流量-它将只是外部字段的隧道。尝试从外部字段中的非目标流量中清除流向DPI系统的流量只会造成“安全漏洞”-目标流量将“滑过”隧道中的信息安全和监视。



图片




结果,在没有嵌套标题的分析功能的情况下,为了确保安全性或质量监控,必须将所有流量定向到分析系统。购买新的服务器和许可证以提高性能,租用服务器机房空间,并雇用其他员工为该园区服务。



隧道流量平衡



平衡隧道流量的问题更加复杂。首先,当在不同隧道之间分配用户数据包时(在移动网络中,当具有负载平衡的冗余时,以及仅通过不同隧道传输前向和后向流时),如果不分析嵌套的报头,就无法确保用户交换会话的完整性。



图片




让我们进行2个会话(AB-VA和CD-DC),并通过隧道T1,T2和T3传输它们。假设我们正在谈论在基站之间移动的移动运营商的订户。这些会话的数据包将位于不同的隧道中,并且当隧道流量到达网络数据包代理时,有两种方法可以平衡它们,同时保持会话的完整性:



  1. 通过外部头平衡。 DPI: 1 3 DPI 1, 2 DPI 2. (AB) AB-BA, 1 2 , DPI, (BA) 2 3, , DPI 1 DPI 2. CD-DC. DPI . , DPI «» , ( ) . ( ), .
  2. 在嵌套标头上保持平衡。用于平衡的网络数据包代理忽略外部标头,并在DPI系统之间分配数据包,同时保持AB-BA和CD-DC会话的完整性。同时,要监视基础结构各个部分的状态,可以配置外部标题的过滤。因此,每个DPI引擎将接收整个用户流量流,并且监视工具将接收给定隧道的所有数据包。


平衡隧道交通的第二个问题是隧道的荷载不均匀。当使用少量隧道监视高负载通道时,由于输出端口性能过高,会出现负载不均和数据包丢失的问题。



图片




也就是说,如果会话AB和10 Gb / s的会话CD分别封装在T1隧道中,则将获得20 Gb / s的流量(可以通过40GbE / 100GbE接口或通过10GbE LAG聚合链路传输)。将流复制并获取到网络数据包代理后,有必要为10 GbE接口上的多个DPI系统不平衡此流量。在使用外部标头保持会话完整性的同时,无法做到这一点-流将超过输出接口的带宽,并且数据包将开始丢失。



嵌套报头的平衡提供了将流拆分为较小流的能力,而不会影响信息交换的完整性和DPI系统的质量。



平衡分散​​的隧道流量



一个单独的平衡问题是由隧道造成的流量碎片:增加隧道头会导致超出MTU和数据包碎片。



图片


当大小等于MTU的数据包到达隧道设备的输入时,则在添加隧道标头之后,该数据包开始超过MTU(按隧道标头的字节数),并分为多个片段。此外,嵌套的标头仅包含在第一个片段中。结果,进入不同隧道(具有XY标头的T1和具有XZ标头的T2)的同一会话(AB1和AB2)的两个数据包变成四个数据包:



  • 具有外部XY标头和嵌套的AB标头
  • 带有外部XY接头,无通道标志
  • 具有外部XZ头和嵌套的AB头
  • 带外部XZ接头,无通道标志


在这种情况下,如果没有片段跟踪功能,则将在以下两种情况之间进行选择:由于不同DPI系统之间分布不同的隧道而导致信息流完整性遭到破坏,以及由于不同DPI系统之间不同片段所导致的信息流完整性受到破坏。跟踪与嵌套报头平衡的块,即使在这种情况下也可以确保完整性。



那些在大部分流量中遇到这些问题的人都可以理解并解决它们。像往常一样,最糟糕的是,当问题影响不到10%的流量时-它可能是不可见的,并产生了一切都安全的幻觉。在安全之下是隧道。


More articles:


All Articles