摘 要:摘要:虚拟化、云设施为网络设计提供了更高的灵活性,而且在部署中节约了成本。但是,与此同时,这种灵活性也制造了掩盖非法活动的机会,还有可能阻挠或延迟执法(合法监听Lawful Interception)。现有技术的局限性需要更实用的措施推行。
关键词:关键词:虚拟化;云设施;合法监听
中图分类号:TP39 文献标识码:A 文章编号:
1. 引言
虚拟化、云设施为网络设计提供了更高的灵活性,而且在部署中节约了成本。但是,与此同时,这种灵活性也制造了掩盖非法活动的机会,还有可能阻挠或延迟执法(合法监听Lawful Interception)。因为虚拟主机可以跨地域或跨法律管辖区地移动。
合法监听指可以满足政府对路由器数据进行监听的需要。那么则需要通过运用适当的工具和相关知识,来解决融合虚拟化和云设施环境下面临的合法监听和合规挑战,以及采取措施来阻止“司法管辖权越区”。
2. 虚拟化、云设施环境下的合法监听遇到的挑战。
2.1 监控威胁。在当前环境下,执法机构和服务供应商需要面临巨大的压力,他们面对的恐怖分子或恶意入侵者,通常具备精湛的技术能力和丰富的资源。例如,在早些年,我们能够比较简单地识别点到点应用程序或者使用已知端口号的对话框,但是现在的流量模式已经改变,并且现在大多数应用程序使用标准HTTP和SSL来通信,这对合法监听系统而言无疑是巨大的负担,他们需要从大量数据中识别更多目标,而过滤选项少之又少。社交网络无疑更是雪上加霜,让不法分子可以利用各种加密通信通道来进行犯罪活动。有效的法律监听技术必须能够以前所未有的高速度和高精准度来收集流量和处理数据。
2.2 网络威胁。根据法律规定,服务供应商必须提供必要的设备以及维护人员,来满足合法监听的高风险任务的独特需求。解决方案应该遵循合法监听标准,并且能够隔离可疑语音、视频或数据流,从而基于IP地址、MAC地址或其他参数进行监听。为了实现这一目标,合法监听对技术需要具备以下能力:
(1)通信流量中任何端点的网络流量都是可见的不能存在任何盲点;
(2)与网络带宽相匹配的足够的处理速度;
(3)不可检测性、不可观测性和缺乏性能降低;
(4)实时监控能力,因为时间是预防犯罪或攻击和收集证据的根本要素;(5)可以拦截所有符合特定目标的通信,而且没有覆盖盲区,包括丢包
(6)提供拦截信息作为证据的能力;
(7)对合法监听系统的流量的负载共享和负载均衡的技术;
此外,网络运营商和服务供应商也有各自的需要,包括成本效益、尽量降低对网络的影响、与享有技术的兼容性和可扩展性等。
2.3 缺乏可视性。为了有效地执行合法监听,执法机构和服务供应商需要对整个网络具有可视性,包括数据中心、核心网络和远程分支机构等。任何不可见的部分都是容易受到攻击的。缺乏对虚拟机内流量的能见度降低了对虚拟服务器间传输的数据的审计的能力,这样最终也无法确定资源虚拟化问题。直到最近,虚拟化本身还是隐形的代名词,带来很大的安全、监控和合规风险。
2.4 技术局限性。随着虚拟化、云设施的普及,网络变得越来越复杂。网络抖动、超额认购和阻塞等问题在万兆网络中都被放大了。提高速率会产生链路饱和与过载问题,目前的工具和手段根本无法跟上。当队列超出物理硬件缓冲区的大小时,会发生交换过载及丢包的情况。即使在较低流量或平均流量,过载可能造成排队,导致短期内的最大带宽占用。延时和抖动也具有风险,因为交换机的每个物理输出端口只能传输一个数据包。资源冲突则是另一个对性能的威胁,当来自不同输入端口的两个数据包在同一时间到达同一个输出端口时可能出现资源冲突。
现有的虚拟监控解决方案需要混杂模式和利用交换端口分析器(SPAN)端口。但是交换级的监控要降低vSwitch 50%的吞吐量,因此这种方法需要多个vSwitch来重复创建足够的吞吐能力。而使用SPAN端口会暴露所有流量。此外,镜像流量不支持过滤功能,因此无法捕获限定的所需流量。
3. 解决措施和方法。
当今迅速增长的数据量以及虚拟化加快发展的步伐给服务供应商满足合法监听的要求带来了新的挑战。虚拟化虽然为企业创造了惊人的效率和效益,但其本身也为非法活动和非法入侵创造了一片乐土。服务供应商有责任支持执法活动,对于合法监听要求,他们面临着确保虚拟环境具有相当灵活性和能见度的巨大压力。当务之急应该是将安全因素融入网络架构,而不是将安全视为点解决方案。具有成本效益的虚拟解决方案应该从能见度、合规性、可靠性和生命周期情报等方面来满足合法监听需求。
对于服务供应商而言,充分利用现有在1G工具上的投资并推迟购买新的昂贵的万兆监测工具,是非常不错的选择。为了在虚拟化环境执行合法监控任务,执法机构需要服务供应商提供一个虚拟化跨系统合法监控架构可以监测和关联vMigration;监控虚拟机间流量和保持多管理程序支持。网络虚拟Tap是服务供应商满足合法监听安全、性能监控和合规需求的理想资源。虚拟Tap会将双向链接分成两个数据流,传感器只有一个嗅探接口。然后Tap将流量集成到一个接口,合法监听解决方案还必须映射到虚拟机生命周期,这些都会对监测能力带来挑战。这些生命周期事件包括:
(1) 创建新服务器
(2) 转换,因为机器的IP地址会改变,所以监测可能通过vCenter与机器ID关联进行监测。
(3) 重定位,管理程序会在物理服务器间移动虚拟机。
(4)终止,尤其当虚拟机是为了应对高峰需求而建立的时候,其将被清除干净或返回到未知状态。
3.1 将重要流量通过隧道发送至物理平台
对于需要将物理分路器(Tap)拓展到整个局域网/广域网/云架构的网络来说,高吞吐量隧道工具能够处理虚拟监控机发送的压缩网络流量。这一工具针对原始网络流量的点对点转移进行了优化,能够将来自虚拟分路器和其他加密隧道设备的流量以全双工10GB线速进行解压。这一应用的全面部署能力将能够帮助远程位置捕获相关流量,即使在容量低的地方也无需设置本地实现层或配备IT人员。相关流量会解压并发送到解决方案中的集中位置,这无疑是托管式服务提供商的理想选择。
3.2 负载均衡解决过载问题、合理利用1G工具
负载均衡是一种在多个工具间共享网络数据负载的巧妙策略。借助更多终端的集中智能性,负载均衡还能够利用现有的(相对较为昂贵的)1G工具,这就为
服务提供商规划未来发展提供了更充裕的时间。
数据包深度检测(DPI)的预过滤功能能够在所有端口实现目标流量检测。借助数据包深度检测,用户可以识别相关数据并将其转发至适当的监测/记录工具。当用于合法监听时,用户可以捕获和提取通信内容(CC)和监听相关信息(IRI)。数据包深度检测的过滤功能还可以将符合查询主题的相关信息与偶然收集到信息分离开来,然后将信息调整为预定义的发送格式。总之,虚拟分路器(Tap)能够提供全面可视性、可扩展性、灵活性和可靠性,以应对高容量虚拟网络中的合法监听挑战。虚拟分路还支持先进的负载均衡和数据包深度监测,从而优化1G监测能力。
参考文献:
.电信科学,2010.