4 x 100G-Datennetze Metadaten sichern schnelle Netze

Die Bedrohung in unserer vernetzten Welt beruht darauf, dass sich bösartige Codes in einer Flut von Daten durch die vielen Millionen Netzwerke weltweit verbergen können. Metadaten sind ein entscheidendes Instrument im Kampf gegen diese Bedrohung.

In Carrier-Scale-Netzen mit einem aggregierten Datenverkehr von mehreren Hunderttausenden oder Millionen einzelner Endpunkte, Kunden oder IoT-Knoten ist es eine ziemliche Herausforderung, einen bösartigen Code im allgemeinen Datenverkehr zu identifizieren, Der Schadcode kann in Tausenden bösartiger Datenflüsse verborgen sein, die sich alle in einer Flut legitimer Netzwerkaktivitäten verstecken. Wie lässt sich dieser Herausforderung begegnen?

Metadaten erstellen

Netzwerk-Metadaten sind eine Zusammenfassung jedes Pakets des Netzwerkverkehrs. Die Informationen umfassen IP-Quell- und Zieladressen, Ports und Protokolle bis hin zu SSL-Zertifikaten (Secure Sockets Layer), DNS-Anfragen/Antworten (Domain Name System) und HTTP-Hostnamen (HyperText Transfer Protocol), auf die zugegriffen wird. Hinzu kommen Zeitstempel und die Menge der übertragenen Daten. Netzwerk-Metadaten bieten einen Überblick über die Vorgänge in einem Netzwerk, ohne die gesamte Nutzlast zu speichern, und sorgen so für eine effektive, verlustbehaftete Komprimierung.

Ein Betreiber eines Carrier-Scale-Netzes kann aus verschiedenen Gründen an einem bestimmten Datenfluss (Flow) interessiert sein. Dieser kann als Teil eines Cyber-Angriffs böswillig sein, was sich in Form eines Denial-of-Service-Angriffs (DoS) oder einer Kommunikation mit einem bekannten Befehls- und Steuerungsserver bemerkbar macht. Ein Flow ist möglicherweise nicht böswillig, kann aber anomal sein. Eine Anomalie in einem Netzwerk kann ein Grundverhalten in einem anderen Netzwerk sein. Alternativ kann ein Flow weder böswillig noch anomal sein, sondern die Kommunikation eines bestimmten Nutzers, der sich dafür interessiert. Entscheidend ist, dass jeder Flow aus irgendeinem Grund von Interesse sein kann. Daher ist es unbedingt erforderlich, dass Metadaten aus jedem einzelnen Paket extrahiert werden. Dies wird als Überwachung des nicht abgetasteten Datenverkehrs bezeichnet.

Man sollte auch bedenken, dass es nicht nur eine einzige Datenleitung für das Internet gibt. Es gibt Milliarden von Eingangs- und Ausgangspunkten mit einer Vielzahl von Routen, die von den Datenströmen genommen werden können, um von einem Eingang zu einem Ausgang zu gelangen. Während das Netz eines Netzbetreibers in der Regel mehrere »Cores« enthält, gibt es nun auch Edge-Computing, Edge-Rechenzentren, die Cloud und mobiles Breitband in 3G, 4G und 5G. Tabelle 1 gibt einen Überblick über die Entwicklung des weltweiten Datenverkehrs und Bild 1 zeigt das globale Wachstum bei Geräten und Verbindungen.

Hochleistungsfähige Datenüberprüfung erforderlich

Das Extrahieren von Netzwerk-Metadaten mit 4 x 100 Gbit/s erfordert eine sehr hohe Verarbeitungsgeschwindigkeit. Diese lässt sich nur mit einem Field Programmable Gate Array (FPGA) oder einem ASIC (Application-Specific Integrated Circuit) erzielen. Ein FPGA ist ein programmierbarer Logikbaustein, der sich über einen Bitstrom konfigurieren lässt, um bestimmte Funktionen zu implementieren. Es ist üblich, den FPGA-Bitstrom (oder einen Teil davon) im On-Board-Flash-Speicher abzulegen, um das FPGA beim Einschalten zu konfigurieren. ASICs ähneln FPGAs, sind jedoch normalerweise nicht programmierbar. Stattdessen werden sie mit einer festen Implementierung hergestellt, die sich nicht ändern lässt. FPGAs und ASICs kommen zum Einsatz, um Berechnungen oder die Verarbeitungsgeschwindigkeit zu beschleunigen, und können zusammen mit Prozessoren Systemengpässe beseitigen und so die Gesamtleistungsfähigkeit erhöhen [1].

In diesem Zusammenhang bezieht sich 4 x 100 Gbit/s auf vier separate Abgriffe oder Netzwerkschnittstellen mit einer Bandbreite von jeweils 100 Gbit/s. Zu beachten ist, dass sich 4 x 100 GBit/s von 1 x 400 Gbit/s unterscheidet, was sich auf eine einzelne Netzwerkschnittstelle mit einer Bandbreite von 400 Gbit/s beziehen würde. Aus technischen Gründen wird also die Netzwerkschnittstelle weiterhin als 4 x 100 GBit/s bezeichnet.

Bei Spitzenauslastung können bei 4 x 100G-Ethernet-Verbindungen bis zu 560 Mio. Pakete pro Sekunde eingehen. Um vollständige Sichtbarkeit zu gewährleisten, muss nichtabgetasteter Datenverkehr in Echtzeit verarbeitet werden. Dies ist aus forensischer Sicht besonders wichtig. Der Versuch, einen einzelnen böswilligen Datenstrom unter anderen böswilligen Datenströmen im 4 x100GbE-Verkehr zu finden, entspricht der Suche nach der Nadel im Heuhaufen.

Es gibt viele softwarebasierte Lösungen zur Extraktion von Metadaten, die jedoch auf mehrere Gbit/s oder auf 10 Gbit/s beschränkt sind. Software-basierte Lösungen haben ihren Platz, da sie schnell auf jeder Standardhardware installiert werden können – aber sie sind von Natur aus in ihrer Datenrate beschränkt, da sie durch die Geschwindigkeit eingeschränkt sind, mit der die Standardhardware die Software ausführen kann. Prozessoren sind flexibel und führen alle Anweisungen aus, die ihnen gegeben werden. Bezüglich ihrer Geschwindigkeit, mit der sie arbeiten, gibt es jedoch eine Grenze. Der Versuch, das Extrahieren und Anreichern von Metadaten mit Datenraten von mehr als 10 Gbit/s durchzuführen, ohne dass Datenströme verloren gehen, ist selbst mit den heutigen High-End-Prozessoren eine enorme Herausforderung.

Das Extrahieren von Metadaten über den Netzwerkverkehr wird durch Virtual-LAN-(VLAN-)Tags oder das Tunneln erschwert, wobei die Daten, die von Interesse sind, in einer äußeren Schicht eingekapselt werden. Ein VLAN ist ein virtuelles lokales Netzwerk innerhalb eines Netzwerks und wird verwendet, um den Datenverkehr im selben physischen lokalen Netzwerk (LAN) zu isolieren oder anders zu routen.

»Flow Probes« liefern schnellere Ergebnisse

Telesoft liefert seit 2016 100G-Flow-Probes aus und hat seitdem den Durchsatz und den Funktionsumfang weiter gesteigert. Bei Telesoft Technologies handelt es sich um ein im Privatbesitz befindliches britisches Technologieunternehmen, das Cyber-Sicherheit, Netzwerk-Test-Tools und Infrastrukturen für Behörden entwickelt.

Der Netzwerkverkehr mit 4 x 100 Gbit/s wird direkt in das FPGA eingespeist, das die Metadaten-Extraktion durchführt. Die Metadaten werden dann an mehrere Verarbeitungs-Threads übergeben, in denen die Paket-Metadaten zu Flows zusammengefasst werden. Schließlich werden diese mit zusätzlichen Informationen angereichert (Bild 2).

Das 4 x 100GbE-Flow-Probe-System von Telesoft überwacht Netzwerke in Echtzeit, erzeugt nicht-abgetastete Datenflüsse und ist vollständig passiv. Das Herzstück des Systems ist ein Stratix-10-FPGA von Intel.

Die Flaggschiff-FPGAs Stratix 10 wurden entwickelt, um die enormen An forderungen von Systemen mit hohem Durchsatz zu erfüllen, wie z.B. der 4 x 100-GbE-Flow-Probe von Telesoft. Die Transceiver unterstützen Datentransfers bis zu 28,3 Gbit/s für Chip-Modul-, Chip-to-Chip- und Backplane-Anwendungen, sowie bis zu 10 TFLOPS Gleitkomma-Rechenleistung.

 

Die Stratix 10 GX FPGAs basieren auf Intels 14-nm-Tri-Gate-Prozess und einer Kachel-Architektur (Bild 3), sodass der Chip selbst aus mehreren kleineren Chips (Kacheln, Tiles) besteht. Die Logik befindet sich auf einem monolithischen Chip, während sich die Transceiver auf separaten Tiles in Gruppen von 24 Kanälen befinden. Diese Architektur führt zur höchsten Transceiver-Zahl aller FPGAs (mit 144 Vollduplex-Kanälen). Intel bietet verschiedene Arten von Transceiver-Tiles an, von denen einige neben den Transceiver-Kanälen selbst über PCIe Gen3 x16 Hard-IP sowie einige über 100G-Ethernet-MAC Hard-IP verfügen, die beide von Telesoft verwendet werden. Mit Hard-IP können Entwickler diese Schnittstellen einsetzen, ohne sich Gedanken darüber machen zu müssen, ob sie die Leistungsanforderungen erfüllen. Darüber hinaus ist keine FPGA-Logik im Baustein erforderlich, um diese Funktionen zu implementieren. Die Logik steht damit für andere Funktionen bereit. Die Kachel-Architektur wird durch Intels EMIB (Embedded Multi-Die Interconnect Bridge) ermöglicht.

Die FPGAs Stratix 10 GX verfügen auch über große On-Chip-Speicher, sodass Daten auf dem Baustein und nicht im Off-Chip-Speicher gespeichert werden können, was die Zugriffszeiten verkürzt und von Telesoft in großem Umfang genutzt wird. Darüber hinaus unterstützen Stratix-10-FPGAs auch DDR4-Speicher und verfügen über festverdrahtete Speichercontroller.