Рад всех вас здесь приветствовать, уважаемые хабровчане!
Сразу пропускаю вводную часть про актуальность защиты информации и про рост инцидентов ИБ. Для экономии места и времени. Предлагаю для обсуждения новую старую идею гаджетов инфобеза, в первую очередь межсетевых экранов, функционирующих на уровне L1 модели OSI. Да-да, именно на том уровне, на котором находятся патч-корды и розетки RJ-45 ;-).
Очень жду Ваших мнений в голосовалке внизу.
Откуда интерес к такой странноватой теме? Наша компания, в числе прочих активностей, занимается разработкой аппаратных платформ для защиты информации, и это не «псевдороссийские» офисные материнки на Атомах и Селиках. С одной стороны, эти платформы ощутимо проще, чем материнская плата на х86, а с другой стороны – гораздо более «наши», в смысле полноты контроля и понимания, что там происходит и как. Ну нету у нас IME (Intel Management Engine) и не надо.
В ходе одной из таких разработок мы стали обладателями аппаратной платформы, умеющей прозрачно разбирать и собирать LAN трафик на L1. Можно также в разветвление и сбор между несколькими портами. Можно попробовать придумать что-то не совсем необычное <тег ирония>, межсетевой экран, например <тег /ирония>.
Итак, сетевое устройство, работающее на L1. Сомнительно даже, что можно его назвать сетевым. Сетевой это ведь L3. Так что устройство получается физическим. Не в том философском смысле, что физически существует, как Вы, я, и объективная реальность, данная нам в ощущениях, а в самом что ни на есть ППСТСКФ (попробуйте представить себе тачку, спешащую к финишу).
Какие несомненные плюсы есть у такого устройства? Самый главный – это нулевая поверхность атаки. Ну то есть совсем нулевая. Попробуйте атаковать патч-корд. Без кусачек и физического доступа. В этом месте моя фантазия отказывает.
Второе – такое устройство без проблем может работать на скорости провода. Вернее сказать, исполнять принятые решения за время, не превышающее межкадровый интервал L2. Без eBPF и DPDK, за более скромный прайс. Есть в этом что-то от SDN, вы не находите? Switching Plane, мечущее на скорости провода пакеты, и Control Plane, заполняющее первому таблицу потоков. Как по мне, так определённая аналогия проглядывается
Плюсов не бывает без минусов, увы. Как по мне, так самый главный минус – это то, что такой гаджет не умеет в сокрытие ресурсов находящейся за ним сети. Никаких NAT и NAPT не имеется, и в теории хосты за этим гаджетом видны, как они есть, с родными MAC и IP. Широковещательный трафик L2 дальше ближайшего коммутатора не уйдёт, понятное дело, но вот broadcast L3 будет виден, как на ладони. Инвестигируй как хочется :-( ДДОСить тоже можно прицельно, а не граничный Router и/или Firewall.
Ну предположим ДДОС в большинстве случаев можно рассмотреть и на L1 и пристрелить, NAPT поднять на отдельной железке, она же отсечёт и широковещание L3. Правда, тогда непонятно, чего же мы в результате добились – устройство L1 закрывает собой устройство L3, скрывающее сеть, и чем всё это вместе отличается от классического FW? Сложностью настройки? Пониженной надёжностью, из-за того, что устройств было одно, а стало два? Повышенной ценой за два устройства вместо одного? Пониженной ценой, поскольку цена производительности вычислительных платформ растёт нелинейно, и две железки, поделивших функции, при той же производительности стоят дешевле?
Не получается ли тогда у нас Неуловимый Джо? Не в том смысле, что его поймать нельзя, а в том, что он нафиг никому не нужен?
А какое Ваше мнение по этой теме? Приглашаю в комментарии, ну или в личку, если что-то не особо печатное :-)