Günümüzde ağlarımız büyüdü, uygulama sayılarımız arttı. Bu büyüme de doğal olarak performans sorunlarının yanı sıra, kurumsal ağlarımızda görünürlüğü de zorlaştırdı. Oluşan performans sorunları kullanıcı deneyimlerini, görünürlükte ki karmaşıklaşma ise güvenliği olumsuz yönde etkiledi.

Bu şartlarda karşımıza Network Packet Broker (NPB) teknolojisi ortaya çıkıyor. NPB ürünleri ile birlikte ağınızda görünürlüğü sağlarken, L2’den L7 seviyesinde ağınızı filtreleme ve trafik optimizasyonu sağlar.

NPB’nin neden bir ihtiyaç olarak önümüze geldiğini ve temel mantığına değindikten sonra sektörde ki bilinen NPB markaları ise şöyle; Gigamon, Ixia (Keysight), Arista, NetScout ve Niagara gibi markalar, Network Packet Broker dendiğinde ilk duyacağımız markalar arasında. Bu yazıda (belki de yazı serisinde) Gigamon markasını ele almaya çalışacağım.

Eksiksiz Ağ Görünürlüğü

Gigamon; fiziksel, sanal ve bulut ortamlarınızda ki trafik için görünürlüğü ve analitiği sağlamayı hedefleyen bir çözüm. Yukarıda temel olarak NPB’i açıklamaya çalıştım. Peki temelde Gigamon NPB Ne yapar?

Ağ Trafiğini Kopyalama ve Yönlendirme

Gigamon, fiziksel veya sanal ağdan trafiği filtreleyerek alır. Araçlara (IDS, IPS, SIEM vb.) yönlendirir. Trafiği filtrelediği içinde gönderdiği analiz veya aksiyon araçlarında performans ve ölçeklendirebilirlik sağlar.

Trafik Filtreleme

L2 veya L7 seviyesinde filtrelemeler yapabilir ve gereksiz trafiği eleme yöntemi ile güvenlik ve izleme araçlarının yüklerini azaltır.

L2 katmanında MAC adresleri, VLAN etiketleri ve EthernetType (IPv4, IPv6, MPLS vb.) gibi L2 katmanında ki elementleri seçerek yapabilir.

L7’de ise URL, HTTP, SSL, Protokol (SIP vb.) veya uygulama tanıma (YouTube, OneDrive vb.) ile DPI motoru sayesinde derinlemesine analiz eder.

L2 ve L7 dışında da L3-L4 katmanında kaynak ve hedef IP adresleri, protokol (TCP, ICMP, UDP vb.) ve port numarasına göre de filtrelemeler yapılabilir.

Trafik Optimizasyonu

Gigamon, üzerinde barındırdığı entegre TAP devreleri sayesinde trafik optimizasyonu yapar.

• Tekilleştirme: Ağ’da eğer aynı paketin birden fazla TAP veya SPAN portundan gelmesi durumunda bunu fark ederek, bir kez iletir. Bunu ise her paketin timestamp, IP Header ve TCP/UDP bilgilerini kullanarak bir hash üretir. Belirli bir zaman içerisinde aynı hash bilgisine sahip paket gelirse, bu paket red edilir. Böylece paketi gönderdiği analiz araçlarında ki yük azaltılır.
• Paket Kırpma (Packet Truncation): Gelen veri paketinin sadece analizinin yapılması gereken kısmı alarak, paketin diğer kısmını atar. Bu genelde ilgili paketin ilk 64, 128 veya 256 bytes gibi boyutlarını alarak yapılır. TCP/IP başlığının yanı sıra uygulama katmanının küçük bir kısmı alınır ve payload kısmı atılır. Böylece trafiğin hacmi azaltılır. Bu özellik genellikle forensic veya metadata analizlerinde kullanılır.
• Başlık Soyma (Header Stripping): Paket üzerinde ki kapsül olarak adlandırılan VLAN (802.1Q, QinQ), tünelleme protokolleri (VXLAN vb.), MPLS etiketleri, ERPSAN ve VPSAN gibi üst bilgiler kaldırılır. Böylece outheader olarak adlandırılan katmanlar çıkartılarak, paket içerisinde ki orijinal IP paketi veya payload ortaya çıkarılarak IPS/IDS ve DPI sistemlerinin paketleri daha doğru analiz etmesi sağlanırken tünellenmiş trafikte çözümlenmiş olur.
• Yük Dengeleme (Load Balancing): Ağ trafiği birden fazla analiz cihazlarına eşit ve bütünselliği bozulmadan gönderir. Bu da analiz sistemlerinde ölçeklendirebilirlik açısından avantaj sağlarken, performans iyileştirmeleri de sağlar. LB stratejileri ise Hash-Based (Kaynak IP, Hedef IP, Kaynak Port, Hedef Port ve protokoller), Round-Robin (Eşit dağılım ilkesi), Session-Aware (İlgili oturumun tüm paketleri aynı cihaza gönderilmesi) olarak 3 çeşittir.
• Zaman Damgası (Time Stamping): Adli bilişim (Forensics), trafik analizi, performans ölçümü ve oturum süreçleri için ilgili network paketinin ağa ne zaman geldiği tespit edip, damga ekler. Bu özellikle zaman hassasiyeti gerektiren (E-ticaret, Trader işlemleri vb.) sistemlerde kritiktir.
• NetFlow/IPFIX Üretimi: Trafik hacimlerinin azaltılması, SIEM ve flow analiz sistemlerinin entegrasyonu için ham paketlerden özet veri üretir. Bunu da TCP/UDP, başlangıç/bitiş ve bayt/paket sayılarını kayıt ederek yaparak NetFlow, IPFIX ve sFlow gibi formatlarda rapor olarak sunar.

GigaVUE VM / V Serisi

Fiziksel ağ ekipmanlarının dışında, kurumun envanterinde bulunan sanal makinelerinde trafiklerini gözlemlemek için kullanılan çözümdür. Eski adı GigaVUE-VM olan bu çözümü sanal sunucu olarak sisteme entegre edebiliriz. Sanal TAP olarak çalışarak yazılımsal trafik kopyalama görevini görür. VMware, KVM, Azure, AWS, GCP ve Kubernetes gibi platformlarında çalışır. Guest VM olarak çalışır ve böylece fiziksel TAP’a ihtiyaç kalmaz.

Threat Insight

NPB ve V serisi ile ağ trafiğini topladık. Threat Insight ile de response kısmı yani NDR kısmı başlar. Bu süreç aşağıdaki gibi işler;

1. Trafiğin Toplanması
   • NPB, TAP ve SPAN’lar sayesinde alınan trafik, Threat Insight’a gönderilir.
2. İşleme
   • Her veri, akışlarına ayrılır (Flow): Kaynak/Hedef IP, Kaynak/Hedef Port, Protokol + Zaman Bilgisi
3. Analiz
   • Her akış, DPI, istatistiksel analiz ve davranışsal analiz modellemesine girer.
4. Tehdit Tespiti
   • Şüpheli bir trafik veya davranış varsa etiket eklenir.
5. Alarm ve Müdahale
   • Güvenlik ekiplerine SIEM araçları ile bilgi gönderilir. Eğer yapı da SOAR varsa müdahale gerçekleştirilir.

Application Intelligence

Ağ üzerinden geçen uygulama trafiğini tanıma, ayrıştırma ve ortaya çıkan veriden metadata (anlamlı veri) çıkarma işlemi uygulama zekası (Application Intelligence) üzerinden gerçekleştirilir. Örnek olarak ise web sunucusu + database + API arasında iletişimin daha detaylı bir şekilde gösterilerek; nerede, ne zaman, nasıl çalıştığının görünürlüğü sağlanır.

Nasıl Çalışır?

1. Application Detection (Uygulama Tanıma)
   • Gelen trafik analiz edilerek hangi pakete ait olduğu DPI motoru ile ve protokol imzaları ile algılanır. Örnek olarak TCP 443 trafiği > TLS > OneDrive, SalesForce vb. uygulamalarla eşleştirilir.
2. Katmanlar Arası Görünürlük
   • Uygulamalar, tek sunucu üzerinden hizmet vermez. Genellikle Browser > API > Uygulama Sunucusu > Veritabanı bileşenleriyle gerçekleşir.
   • Application Intelligence, bu katmanlar arasında ki tüm trafiği ve bileşenleri tanımlar ve ayrıştırır. Böylece hangi servis, neyle konuşuyor, ne kadar veri gönderiyor gibi detaylar çıkarılır.
3. Metadata Üretimi
   • Bu adımda ise özet bilgi yani metadata çıkarılır. Çıkardığı metadata’ları ise SIEM ve SOAR gibi sistemlere iletebilir. Metadata içerisinde;
     • Uygulama Adı
     • IP/Port Bilgisi
     • User-Agent Bilgisi
     • DNS Sorgusu
     • Giriş zamanı, oturum süresi, veri miktarı,
     • TLS SNI
4. Filtreleme
   • Tanınan uygulamalar özelinde işlemler yapılabilir. Örneğin Zoom uygulamasını IDS’e gönder, YouTube uygulamasını dışla.
5. Görselleştirme
   • Tanınan uygulamaların veri akış yönü, yoğunluğu, hangi servisler kimle konuşuyor gibi verilerle bir dashboard üzerinden görsellerle sunar.

Böylelikle performans sorunlarının tespiti, ağ trafiğinin optimize edilmesi ve uygulama davranışların anlaşılması işlemleri gerçekleştirilebilir.

Flow Mapping

Ağ’dan gelen yüksek hızlı ham trafiğin belirli kurallara göre analiz araçlarına gönderilmesi ile al, seç ve yönlendir prensibiyle yönettiği temel işlevdir. Ingress olarak adlandırılan giriş portlarından TAP veya SPAN portlarından gelen trafikten paketler incelenerek, kurallara göre Egress olarak adlandırılan çıkış portlarından IDS, SIEM gibi analiz araçlarına yönlendirilir.

Örnek olarak;

• VLAN ID’si 300 olan trafiği IDS’e yönlendir.
• TCP üzerinden 443 olan trafiği SSL çözümleyiciye gönder.
• Source IP’si 10.10.10.10 olan trafiği SIEM’e gönder.
• UDP üzerinden 53 port trafiğini DNS analizine gönder.

Böylece büyük ağlarda tek noktadan çok araca veri yönlendirilmesi yapılarak, analiz araçlarının performansı artırılır.

Inline Bypass

Inline Bypass modülü sayesinde gelen trafik önce ilgili araca gider ve incelenir. Paket eğer kurallara uygunsa karşı tarafa iletilir. Fakat bu tip merkezi durumda olan cihazlarda herhangi bir sorunda trafikte sorun oluşturacağı için Gigamon Inline Bypass modülü ile trafiği direk geçirir ve böylece ağ kesintisi yaşanmaz.

Bu işlem otomatik veya manuel olarak gerçekleştirilir.

GigaSecure Security Delivery Platform (SDP)

Trafiğin analiz sistemlerine temiz bir şekilde, optimize ederek IDS, IPS, NDR, DLP, SIEM gibi sistemlere akıllı bir şekilde yönlendirme ve işleme için platformdur.

Temelde trafiğin alınması, filtrelenmesi, dönüştürülmesi ve dağıtılması için NPB, toplanan trafik üzerinde gelişmiş işlemler için GigaSMART, uygulama katmanında ki bilgilerin çıkarılması için Application Intelligence ve trafiği kesintisiz bir şekilde güvenlik araçlarına dağıtmak için Inline Bypass bileşenlerinden oluşur.

Sonuç olarak çalışma mantığı:

1. TAP, SPAN veya bulut mirroring ile trafik NPB’ye gelir,
2. SDP bu trafiği aşağıdaki şekilde işler;
   • Gereksiz trafiğin filtrelenmesi,
   • Paketlerin truncate edilmesi,
   • Uygulama seviyesinde analiz,
   • Şifreli trafiğin çözümlenmesi,
   • Trafiğin güvenlik araçlarına yönlendirilmesi
3. Böylece güvenlik araçları sadece gerekli olan verileri temiz bir şekilde alır ve böylece performans artışının yanı sıra false-positive azalması gerçekleşir.

Olayı basitleştirmek gerekirse GigaSecure SDP’yi trafik kontrol kulesi olarak tanımlayabiliriz.

GigaVUE-FM

Fabric Manager (FM) ile Gigamon altyapısındaki tüm fiziksel ve sanal bileşenlerin tek bir arayüzden yönetilmesi sağlanır. RESTful API desteği ile SIEM gibi güvenlik araçlarına entegrasyon gerçekleşir.

Gigamon TA

TA serisini temel düzeyde NPB olarak açıklayabilir. TA serisi cihazlarda sadece trafik toplanır ve Flow Mapping ile yönlendirme yapılır.

Gigamon H

H serisi, TA serilerinden daha gelişmiş çözümler sunuyor. İçerisinde NPB ve GigaSMART özelliklerini barındıran modüler bir platform. HC1, HC1+ ve HC3 olarak üç adet cihaz bulunmakta ve 600 Gbps’ten 1.8 Tbps arası yüksek performans sunuyor.