טכניקות אוטומציה של מערכות רשת

(של ג'ורג'יו טוסי)
08 / 11 / 21

ההתייחסות לשימוש בטכניקות אוטומציה ואולי AI (בינה מלאכותית) הפכה לפרקטיקה נפוצה בטיפול בבעיות ניתוח נתונים רבות שמהן ניתן לשאוב מידע על ההתנהגות העתידית של מערכות מורכבות.

במציאות, האפשרות של מערכת להגיב באופן אוטונומי לאירועים מסוימים על מנת לתקן התנהגות קיימת במכשירים רבים מזה זמן מה. בהערות אלו נבחן דוגמה לפונקציונליות הזמינה בחלק מהצמתים של הרשתות הארגוניות (עד היום הכל מבוסס על פרוטוקול IP) המאפשרות:

הכרה באירוע מסוים

יצירת מדיניות שתחול במקרה שהאירוע הנדון מתרחש

החלת המדיניות על המערכת עם השינוי הבא של התנהגותה.

כל הספקים הגדולים של התקני רשת IP (Cisco Systems, Juniper Networks, Arista Networks,...) מציעים, בשמות שונים, פונקציונליות כזו.

מבלי להיכנס לפרטים הספציפיים של כל מערכת, ברצוני פשוט להמחיש את עקרון הפעולה כדי להציע מושג כיצד יש, אפילו בתחום של התקני רשת, כלים ופונקציות המאפשרים אוטומציה של התנהגות הצמתים מול אירועים ספציפיים.

התפשטות הכלים הללו יכולה להוביל גם לפתרונות שבסינרגיה עם טכניקות אבטחה מבוססות בינה מלאכותית (קרא מאמר) מאפשרים להתערב ביעילות מול בעיות ספציפיות תוך הימנעות מכך שהאיום או ניסיון הפשרה יכולים להגיע למערכות הסופיות (שרתים או תחנות עבודה בודדות).

לכן אתייחס להתקן רשת היפותטי. הצומת המדובר מספק סביבת פיתוח המתמקדת ביישום תכונות אוטומציה.

לעתים קרובות מאוד סביבה זו מפותחת על בסיס מערכת לינוקס המותאמת להפעלה על מעבד "עזר" בתוך צומת הרשת. היתרון הגדול של פתרון כזה נובע מהיכולת לנצל רבות (אם כי לא את כולן) מהספריות והשפות הזמינות בלינוקס. בנוסף לכך, יש להוסיף את האפשרות, המוצעת על ידי יצרני צומת הרשת, לגשת למאפייני השימוש העיקריים של הצומת עצמו מסביבת לינוקס זו.

לכן ניתן לגשת לפרמטרים ספציפיים של הממשקים דרך ספרייה (שמסופק על ידי היצרן) המאפשרת לדעת, למשל, את מספר החבילות שהועברו בקלט-פלט מיציאה ספציפית או לזהות מנות פגומות (גדולות מדי או קטן מדי או עם שגיאות, ...). תכונות אלו אינן מוגבלות למאפייני הממשק, אלא יכולות להשפיע על תת-מערכות אחרות של הצומת כגון רמת הניתוב או חלק מהמאפיינים הפיזיים של המערכת (טמפרטורה, מצב מאוורר וכו').

לכן אני יכול להגדיר אירוע ספציפי על סמך התרחשות של מצב שנקבע מראש: חריגה ממספר שגיאות ה-CRC ביציאה, שינוי טבלת ניתוב, חריגה מערך סף לגבי טמפרטורת המערכת, מעבד העומס או עיסוק בזיכרון.

בשלב זה, האירוע שהוגדר כך יכול לשמש כטריגר לפעולה ספציפית (מדיניות): השבתת דלת, שליחת הודעה (בדרכים שונות) למנהל המערכת, התערבות בתצורה כדי לשנות ברירת מחדל של מסלול וכדומה. עַל.

ניתן לבצע את כל הפעולות באמצעות סקריפטים או תוכנות הפעלה: בדרך כלל מערכות מציעות את האפשרות להשתמש בשפות הראשיות, לכן Python, Perl, Ruby וסביבה מקורית המבוססת על ממשק פקודה משלה.

תכונה זו פותחת שורה שלמה של השלכות אפשריות מאוד מעניינות גם מנקודת מבט של אבטחת הרשת.

אם ניתן היה, באמצעות כלים חיצוניים למערכת ומבוססים על AI, בפרספקטיבה שהוגדרה במאמר הנ"ל, להורות ולהעביר כראוי את נוכחותו של איום מזוהה אפשרי למערכת, ניתן היה להתערב באופן מיידי (או בזמן קצר במיוחד). לכן ההתערבות המשוערת תחסום את החיבור הספציפי, ובמקביל תטמיע מדיניות ספציפית שהוגדרה קודם לכן, ובכך תתערב בתצורת המערכת עצמה.

בדרך זו ניתן יהיה, למשל, לבודד תחום ספציפי, הנחשב לא אמין, תוך הבטחת תחזוקה של קישוריות גלובלית.

מטבע הדברים, הסינרגיות בין ציוד הרשת ומערכות האבטחה נתונות לניתוח ופיתוח על ידי כל הספקים העיקריים המסוגלים להציע כלים לזיהוי והכלה של איומי סייבר, שכאשר הם מוגדרים ומשתמשים נכון, הם יעילים מאוד.

הגנת rheinmetal