The Possessor. Делаем аналог СОРМ-2 на Linux и RouterOS - «Новости»

В этой работе я делаю акцент на СОРМ-2, так как имен­но ее при­меня­ют для кон­тро­ля содер­жимого интернет‑соеди­нений. Я рас­ска­жу о зер­калиро­вании тра­фика и о том, как стро­ится вир­туаль­ный канал свя­зи, а затем с прак­тичес­кой точ­ки зре­ния про­демонс­три­рую про­цесс работы СОРМ-2 с сох­ранени­ем копии тра­фика из легитим­ной поль­зователь­ской сети.

На руках у меня нет никаких образцов СОРМ, и наше тво­рение ни в коей мере не пре­тен­дует на замену офи­циаль­ному обо­рудо­ванию. Наша работа будет чис­то экспе­римен­таль­ной, а цель — все­го лишь поуп­ражнять­ся в нас­трой­ке обо­рудо­вания на занима­тель­ном при­мере.

warning

Статья име­ет озна­коми­тель­ный харак­тер и пред­назна­чена для спе­циалис­тов по информа­цион­ной безопас­ности и сис­темных адми­нис­тра­торов. Автор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с при­мене­нием изло­жен­ной информа­ции. Рас­простра­нение вре­донос­ных прог­рамм, наруше­ние работы сис­тем и наруше­ние тай­ны перепис­ки прес­леду­ются по закону.

Архитектура

Вот общая схе­ма того, что нам пред­сто­ит сде­лать.

• 
  
• 
  ПУ (пульт управле­ния) — при­емник зер­калиро­ван­ного тра­фика, который отправ­ляет­ся из кли­ент­ской сети.
• 
  
• 
  Съ­емник — устрой­ство, которое обес­печива­ет зер­калиро­вание тра­фика. Им может быть девайс, нап­рямую под­клю­чен­ный к пог­ранич­ному мар­шру­тиза­тору, либо сам пог­ранич­ный мар­шру­тиза­тор, если он под­держи­вает SPAN-зер­калиро­вание.
• 
  
• 
  Ка­нал свя­зи — вир­туаль­ный канал свя­зи, внут­ри которо­го будет переда­вать­ся зер­кало. О безопас­ности зер­калиру­емо­го тра­фика нуж­но позабо­тить­ся осо­бо. Пло­хая прак­тика, ког­да зер­кало идет до ПУ и при этом дан­ные або­нен­тов не защище­ны.
• 
  

На самом деле струк­тура СОРМ-2 край­не прос­та: пог­ранич­ный мар­шру­тиза­тор генери­рует копию легитим­ного тра­фика и отправ­ляет его в сто­рону СОРМ. Затем СОРМ будет обра­баты­вать получен­ный тра­фик и перенап­равлять его в сто­рону ПУ. Реали­зация СОРМ-2 в про­дак­шене инди­виду­аль­на: есть слу­чаи, где обо­рудо­вание СОРМ помеща­ют физичес­ки пря­мо в ЦОД, есть слу­чаи, где нуж­но передать зер­кало поверх интерне­та, одна­ко сто­ит учи­тывать дли­ну магис­тра­ли до при­емни­ка, что­бы избе­жать боль­ших задер­жек.

Зеркало

Зер­калиро­вание тра­фика — это про­цесс, при котором сни­мает­ся копия тра­фика с того или ино­го интерфей­са на пог­ранич­ном мар­шру­тиза­торе. Для это­го сущес­тву­ют спе­циаль­ные про­токо­лы, самые популяр­ные из них — ERSPAN и TZSP. Так как я вос­поль­зуюсь RouterOS, работать будем с под­держи­ваемым там TZSP. Он мало чем отли­чает­ся от ERSPAN, раз­ве что тех­нологи­ями инкапсу­ляции: TZSP исполь­зует UDP, а в ERSPAN при­меня­ется GRE-инкапсу­ляция с Proto Type 0x88BE.

TZSP (TaZmen Sniffer Protocol) тран­сли­рует зер­кало поверх L3-соеди­нений с помощью UDP-слоя (UDP/37008). Это часть сис­темы Packet Sniffer в RouterOS. Про­токол доволь­но прос­той, и его работа сво­дит­ся к тому, что он обо­рачи­вает исходный тра­фик в свои заголов­ки.

Экспериментальная сеть

На­ша лабора­тор­ная сеть будет тре­хуров­невой, с пог­ранич­ным мар­шру­тиза­тором RouterOS. В качес­тве при­емни­ка зер­калиру­емо­го тра­фика у нас выс­тупит машина на Debian. Цель для зер­калиро­вания — тра­фик из кли­ент­ских под­сетей 10.10.120.0/24 и 10.10.140.0/24 (VLAN 120 и VLAN 140 соот­ветс­твен­но).

Ос­новная кон­цепция — зер­калиро­вать тра­фик и переда­вать его через безопас­ный канал свя­зи для пос­леду­ющей обра­бот­ки и хра­нения.

Виртуальный канал связи S2S