NPB може передавати зібраний трафік зі SPAN-портів і TAP-пристроїв різним системам моніторингу та безпеки:
● Network Performance Monitoring (NPM) — для вимірювання і аналізу різних параметрів мережі. ● Application Performance Monitoring (APM) — для вивчення ефективності додатків у мережі. ● Network Behavior Anomaly Detection Tools — для виявлення аномальної поведінки в мережі та виявлення потенційних загроз безпеці. ● Security Information and Event Management (SIEM) — для аналізу подій і забезпечення безпеки мережі. ● Data Loss Prevention (DLP) — для моніторингу та управління витоками конфіденційної інформації. ● Intrusion Detection and Prevention Systems (IDS/IPS) — для виявлення та запобігання вторгненням у мережу. ● Firewall/Next-Gen Firewall — для контролю та фільтрації трафіку, а також організації безпеки. ● Web Application Firewall (WAF) — для захисту вебдодатків від атак.

Мережеві пакетні брокери відіграють вирішальну роль у підвищенні продуктивності, безпеки та можливостей моніторингу мережі. Вони можуть маніпулювати даними пакетів, нарізаючи або маскуючи певні частини, виявляти та усувати дублікати пакетів, а також інтелектуально розподіляти мережевий трафік на основі певних сеансів або з'єднань.

Особливості роботи брокера мережевих пакетів

Мережевий пакетний брокер розвʼязує проблеми, пов'язані з управлінням, моніторингом та оптимізацією мережевого трафіку, роблячи його більш ефективним та доступним для аналізу різними інструментами без значних втрат даних. Ось деякі з цих проблем:
● Перевантаження інструментів моніторингу та безпеки. Надто великий потік даних може перевантажувати системи нерелевантною інформацією. NPB виконує такі функції, як дедуплікація та балансування навантаження, оптимізуючи використання інструментів моніторингу та підвищуючи точність аналізу мережі. ● Сліпі зони. Інструменти моніторингу не бачать деякі ділянки в мережі, часто через нездатність перехоплювати або аналізувати певні типи трафіку. NPB фільтрують і пересилають мережеві пакети до інструментів моніторингу, покращуючи видимість і гарантуючи, що інструменти аналізу отримують доступ до потрібних їм даних, тим самим усуваючи сліпі зони в мережі. Ефективно розподілені дані також дозволяють адміністраторам швидко виявляти інциденти безпеки та реагувати на них.● Використання великої кількості інструментів і складність управління ними. NPB допомагає консолідувати інструменти моніторингу та безпеки. Вони можуть розподіляти мережевий трафік між декількома інструментами, що забезпечує рішення відповідною часткою навантаження даних і запобігає виникненню вузьких місць. NPB також спрощує управління такими інструментами та підвищує ефективність. ● Перевантаження трафіку. NPB можуть ефективно агрегувати та розподіляти мережевий трафік, запобігаючи перевантаженню певних мережевих каналів та забезпечуючи збалансований потік даних. Цим самим вони збільшують продуктивність і зменшують потенційні простої. Також завдяки цьому компанії можуть зекономити кошти: вам не знадобиться збільшувати ресурс рішення з моніторингу чи безпеки, тобто не треба буде купувати додаткові ліцензії. ● Організація безпеки. Виявлення загроз безпеці в режимі реального часу може бути складним завданням без повної видимості мережевого трафіку. NPB дозволяє пристроям безпеки перевіряти відповідні пакети, полегшуючи виявлення аномалій, зловмисних дій і потенційних порушень безпеки. На додачу, деякі пакетні брокери здатні блокувати злоякісний трафік і не пропускати його далі. ● Забезпечення конфіденційності даних. Через мережу може передаватися чутлива інформація, що створює ризики для безпеки. NPB може вибірково фільтрувати або маскувати такі дані, захищаючи конфіденційність і забезпечуючи відповідність нормам захисту даних. ● Усунення несправностей та аналіз. Визначення першопричини мережевих проблем може зайняти багато часу без детального аналізу на рівні пакетів. NPB забезпечує видимість на рівні пакетів, що дозволяє мережевим інженерам ефективніше усувати несправності та аналізувати потік даних через мережу.
 Отже, мережеві пакетні брокери відіграють вирішальну роль у подоланні проблем, пов'язаних з прозорістю, безпекою, продуктивністю та ефективністю мережі. Завдяки інтелектуальному керуванню та розподіленню мережевого трафіку, NPB сприяють підвищенню загальної надійності та ефективності сучасних мережевих інфраструктур.

З чого складається NPB?

Зазвичай NPB складається з такого набору характеристик:
● Порт даних — з 1GE, 10GE, 40GE, 100GE швидкостями з відповідними модулями SFP, SFP+, QSFP+ і CFP. ● Порт управління — найчастіше це порти RJ-45 10/100/1000. Управління зазвичай здійснюється віддалено через API, CLI, GUI, за протоколами HTTP, SSH, Telnet або SNMP. ● Базові та розширені функції — базовими функціями вважаються агрегація трафіку та фільтрація за полями, тоді як до розширених відносять балансування навантаження, віддзеркалення трафіку, модифікацію та класифікацію даних.

Розширені функції пакетних брокерів

NPB-пристрої дозволяють вибірково переадресовувати певні пакети на основі певних критеріїв, що дозволяє ефективно використовувати мережеві ресурси та гарантує, що до інструментів моніторингу потрапляють лише релевантні дані.

Генерація NetFlow/IPFIX

Генерація NetFlow/IPFIX означає збір широкого переліку статистики по трафіку, що проходить, і його передавання на засоби аналізу.
NetFlow — це протокол, який забезпечує видимість мережевого трафіку шляхом збору та експорту інформації про IP-потоки в мережі. Він включає такі деталі, як IP-адреси джерела та призначення, порти, типи протоколів та обсяги передачі даних.
IPFIX — це стандартизована версія NetFlow, визначена IETF (Internet Engineering Task Force). Цей протокол забезпечує загальний формат для експорту інформації про потік, що робить його сумісним з різними мережевими пристроями та постачальниками.
● Моніторинг та аналіз. Виявлення тенденцій та виконання аналізу безпеки дозволяє мережевим адміністраторам отримати уявлення про структуру трафіку, виявити аномалії та усунути несправності. ● Інтеграція з системами управління мережею і колекторами потоку. Покращує загальну видимість мережі і полегшує кореляцію даних про потік з іншими показниками продуктивності мережі. ● Оптимізація ресурсів. Це дозволяє адміністраторам ухвалювати обґрунтовані рішення щодо використання пропускної здатності, продуктивності додатків і загального стану мережі.

Фільтрація пакетів (packet filtering)

Вхідні пакети можна фільтрувати за допомогою заданих правил. Фільтрація пакетів є ключовою функцією, яка допомагає контролювати, які пакети перенаправляються до інструментів моніторингу або пристроїв безпеки. Ось деякі загальні критерії, що використовуються для фільтрації пакетів NPB:
●  IP-адреса джерела та призначення — дозволяє NPB пропускати лише ті пакети, які відповідають зазначеним адресам. Це може бути корисно для спрямування трафіку з або до певних сегментів мережі. ● Тип протоколу (наприклад, TCP, UDP, ICMP) — дозволяє NPB зосередитися на конкретних типах трафіку для аналізу або моніторингу. ● Номери портів джерела або призначення — часто використовується для спрямування трафіку, пов'язаного з певними програмами або сервісами. ● Розмір пакетів — NPB керує трафіком, дозволяючи або блокуючи пакети певного діапазону розмірів. ● Час доби — дозволяє адміністраторам визначати конкретні періоди часу, протягом яких застосовуються певні правила фільтрації.

Застосовуючи правила фільтрації пакетів, NPB допомагають оптимізувати використання інструментів моніторингу та безпеки, спрямовуючи на них лише релевантний трафік. Це особливо важливо в мережах з високим трафіком, де непрактично надсилати всі пакети кожному інструменту моніторингу. Фільтрація пакетів підвищує ефективність і результативність мережевого моніторингу, аналізу та операцій із забезпечення безпеки.

Модифікація трафіку

Модифікація трафіку — це здатність NPB змінювати певні аспекти мережевого трафіку, що проходить через них. Ця функція дозволяє брокерам мережевих пакетів адаптувати, оптимізувати або покращувати потік трафіку відповідно до конкретних вимог інструментів моніторингу, систем безпеки або інших мережевих пристроїв. Нижче наведено кілька варіантів модифікації трафіку задля зниження навантаження на засоби аналізу та підвищення їх ефективності:
● Видалення payload. Фактично payload є сміттям, тому його видалення надає додатковий простір засобам аналізу. ● Детунелювання. Це видалення заголовків, що позначають та ідентифікують тунелі. ● Видалення частини заголовків пакетів. Це такі частини, як MPLS-мітки, VLAN, специфічні поля стороннього обладнання тощо. ● Маскування частини заголовків. Це забезпечує анонімізацію трафіку. ● Додавання в пакет службової інформації. Це такі дані, як мітки часу, вхідного порту, мітки класу трафіку тощо.

Зменшення пакетів (packet slicing)

Деяким пристроям моніторингу потрібна певна інформація з пакета, його певна частина. Водночас перегляд усього пакета займе зайві ресурси. Packet slicing використовується для зменшення обсягу даних, які обробляються цими інструментами, тим самим оптимізується їх продуктивність і використання ресурсів. Ось як зазвичай працює нарізка пакетів в NPB:
● Зменшення розміру пакета. Замість того, щоб пересилати весь пакет, NPB зменшує його, видаляючи певну частину корисного навантаження. Це може передбачати відкидання частини пакета з початку або з кінця. ● Збереження заголовка. Часто заголовок пакета (який містить важливу інформацію, таку як адреси джерела та призначення, тип протоколу тощо) зберігається під час розбиття на частини корисного навантаження. Це гарантує, що важлива інформація залишається доступною для аналізу. ● Кастомний аналіз. NPB зазвичай надає адміністраторам гнучкість у налаштуванні параметрів аналізу відповідно до їхніх конкретних вимог. Це може охоплювати встановлення розміру збереженої частини, визначення того, чи має відбуватися нарізка на початку або в кінці пакета тощо.

Нарізка пакетів корисна в тих випадках, коли повний вміст кожного пакета не є необхідним для аналізу або моніторингу. Надсилаючи лише зменшені пакети до інструментів, NPB можуть допомогти оптимізувати використання пропускної здатності, зменшити накладні витрати на обробку та продовжити термін служби інструментів моніторингу та аналізу.
Варто зазначити, що хоча нарізка пакетів може бути корисною для певних випадків використання, вона може не підходити для додатків, які вимагають перевірки всього корисного навантаження пакета, наприклад, глибокої перевірки пакетів з метою безпеки. Адміністратори повинні ретельно враховувати свої конкретні потреби в моніторингу та аналізі під час налаштування нарізки пакетів в NPB.

Маркування портів (port stamping)

Маркування портів передбачає додавання метаданих або тегів до мережевих пакетів, коли вони проходять через NPB. NPB ідентифікує порти джерела та призначення, пов'язані з кожним мережевим пакетом, додає метадані або теги до пакета, вказуючи інформацію про порт джерела та/або призначення. Ось як це може бути корисним:
● Покращена видимість. Маркуючи пакети, інструменти моніторингу можуть легко ідентифікувати мережеві порти, пов'язані з кожним пакетом. Це покращує видимість мережі та допомагає в аналізі шаблонів трафіку. ● Сприяння балансуванню навантаження. Додаючи метадані, пов'язані з портами, NPB може допомогти рівномірно розподілити мережевий трафік між декількома інструментами моніторингу або безпеки, підключеними до різних портів. ● Спрощене усунення несправностей. Маркування надає контекст про шляхи зв'язку між мережевими пристроями, полегшуючи виявлення потенційних проблем.

Маркування портів — це форма маніпуляції з пакетами, яка покращує видимість і керованість мережевого трафіку для цілей моніторингу, аналізу та безпеки. Конкретні функції та можливості маркування портів можуть відрізнятися в різних рішеннях NPB, і адміністратори можуть налаштовувати маркування портів відповідно до своїх конкретних вимог до моніторингу та архітектури мережі.

Маркування часу (time stamping)

Маркування часу передбачає додавання позначки часу або інформації, пов'язаної з часом, до мережевих пакетів, коли вони проходять через NPB. Ця позначка часу надає точну часову інформацію про те, коли пакет був захоплений або оброблений. Відмітка часу є важливою функцією в моніторингу та аналізі мережі з різних причин:
● Точний аналіз часу — допомагає діагностувати проблеми затримки, відстежувати мережевий джиттер і аналізувати загальну продуктивність мережі. ● Кореляція подій — допомагає відновити хронологічний порядок подій для більш точного аналізу. ● Усунення несправностей і криміналістика — дозволяє проводити детальний криміналістичний аналіз, а саме визначити, коли відбулися певні події, і простежити послідовність дій. ● Синхронізація між інструментами — відмітка часу в NPB гарантує, що пакети, які пересилаються до інструментів, мають узгоджені та синхронізовані часові мітки, що полегшує скоординований аналіз. ● Відповідність та звітність — забезпечує достовірний запис того, коли відбулися події в мережі, що часто необхідне для аудиторських звітів та комплаєнсу. ● Моніторинг якості обслуговування (QoS) — допомагає забезпечити відповідність мережевих служб вимогам до продуктивності та угодам про рівень обслуговування (SLA).

Точність позначки часу є критично важливою, і сучасні NPB часто використовують точні годинникові механізми для досягнення синхронізації з мережевими протоколами часу (такими як NTP або PTP).

Дедуплікація пакетів (packet dedublication)

Дедуплікація пакетів — це процес виявлення та усунення дублікатів мережевих пакетів у потоці трафіку. Дублікати пакетів можуть виникати в мережевому трафіку з різних причин, таких як мережеві петлі, надлишкові шляхи або конфігурації віддзеркалення. Дедуплікація допомагає оптимізувати використання інструментів моніторингу та аналізу, гарантуючи, що ці інструменти обробляють тільки унікальні пакети, зменшуючи непотрібну обробку і підвищуючи загальну ефективність. Ось як це зазвичай працює:
● Ідентифікація дублікатів пакетів. NPB досліджує вхідний мережевий трафік і виявляє пакети, які ідентичні до тих, що вже оброблені або переслані. Дублювання може відбуватися через топологію мережі, віддзеркалення пакетів або інші фактори. ● Хешування або порівняння. NPB часто використовує алгоритми хешування або методи прямого порівняння пакетів, щоб визначити, чи є пакет дублікатом. Це передбачає створення унікального хеш-значення для кожного пакета і перевірку його за базою даних вже відомих хешів. ● Усунення дублікатів. Після виявлення дублікатів пакетів, NPB видаляє або усуває їх з потоку трафіку. Потім дедуплікований трафік перенаправляється до інструментів моніторингу або аналізу.

Важливо відзначити, що хоча дедуплікація пакетів корисна в багатьох сценаріях, можуть бути специфічні випадки використання, коли дублікати пакетів навмисно зберігаються для цілей аналізу. У таких випадках адміністратори можуть налаштувати NPB на пропуск дедуплікації для певних потоків трафіку.

Дешифрування SSL-трафіку

Дешифрування SSL-трафіку дозволяє перевіряти зашифрований трафік, надаючи інструментам безпеки видимість, необхідну для виявлення та реагування на потенційні загрози безпеці в зашифрованих SSL-комунікаціях. Ця функція працює за умови попереднього завантаження сертифіката і ключів у брокер мережевих пакетів і надає такі переваги:
● Поглиблена перевірка пакетів. Після дешифрування SSL-трафіку NPB може виконувати глибоку перевірку пакетів, що дозволяє інструментам безпеки аналізувати вміст трафіку на наявність потенційних загроз, шкідливого програмного забезпечення або інших проблем з безпекою. ● Аналіз та моніторинг безпеки. Дешифрований SSL-трафік надає інструментам безпеки необхідну видимість для виявлення та зменшення загроз безпеці в зашифрованому зв'язку. Це передбачає виявлення зловмисних дій, перевірку корисного навантаження на наявність шкідливого програмного забезпечення та застосування політик безпеки. ● Впровадження політики безпеки. Дешифрування SSL-трафіку також уможливлює застосування політик безпеки, дозволяючи організаціям впроваджувати фільтрацію вмісту, запобігання втраті даних (DLP) та інші заходи безпеки для зашифрованого трафіку.

Види брокерів мережевих пакетів

NPB — це активні пристрої, які надсилають пакети необроблених даних до певних мережевих інструментів з моніторингу та безпеки. Проте всі брокери діляться на три категорії:

● Стаціонарні мережеві брокери пакетів — пристрої невеликого формату, які вписуються в чітко визначену мережеву топологію для об'єднання зовнішніх пасивних TAP, портів SPAN і пристроїв безпеки/моніторингу. Вони забезпечують специфічні функції, такі як агрегація трафіку, фільтрація або балансування навантаження. Зазвичай вони пропонують виділені апаратні ресурси для ефективної обробки пакетів, легко розгортаються з мінімальними вимогами до конфігурації. ● Модульні мережеві брокери пакетів — єдиний багатоцільовий пристрій, який організації можуть налаштовувати відповідно до конкретних вимог до моніторингу. Він складається з взаємозамінних модулів, які можна додавати або модернізувати для масштабування, гнучкості функцій і можливостей, адаптації до вимог мережі, що змінюються. Модульний NPB часто пропонує розширені функції, такі як глибокий аналіз пакетів і перетворення протоколів. ● Гібридний пакетний брокер/bypass — комбінований пристрій "все в одному”, що поєднує в собі функції та переваги bypass-комутаторів і пакетних брокерів, забезпечуючи цим широкі можливості фільтрації, розподілу, агрегації та віддзеркалення пакетів для будь-якого сегмента мережі. Гібридний NPB/bypass забезпечує високу доступність та безперебійне підключення до мережі під час збоїв, а також мережеву безпеку завдяки перехопленню та аналізу мережевого трафіку.