Decoder : Configurer la fonction 10G

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Destinée aux administrateurs, cette rubrique explique comment configurer un Packet Decoder spécifiquement pour capturer des paquets à vitesse élevée.  

Ce guide s'applique à la capture sur une carte d'interface 10G. La capture de paquets à vitesse élevée nécessite une configuration minutieuse et pousse le matériel du Decoder jusqu'à ses dernières limites. Aussi, lisez attentivement cette rubrique lorsque vous mettez en œuvre une solution de capture 10G.

RSA Security Analytics Version 10.6 permet d'effectuer une collecte à grande vitesse sur le Decoder. Vous pouvez capturer des données de paquets réseau issues de réseaux de vitesse supérieure et optimiser votre décodeur de paquets pour capturer le trafic réseau pouvant atteindre 8 Gbits/s en débit soutenu et 10 Gbits/s lors d'un pic de charge, en fonction des analyseurs et des flux que vous avez activés.

RSA Security a validé le contenu spécifique à analyser à vitesse élevée. Pour plus d'informations Analyse à vitesses élevées pour plus d'informations.

Pour plus d’informations sur la personnalisation des analyseurs avec votre propre contenu, reportez-vous à la section Bonnes pratiques du service 10G  ».

Remarque : vous pouvez ignorer l'étape Configuration du service 10G Decoder si vous démarrez avec le nouveau matériel de la gamme 5.

Voici les améliorations apportées pour faciliter la fonctionnalité de capture dans ces environnements :

• Utilisation de la fonctionnalité du pilote pf_ring capture afin d'exploiter les atouts de la carte réseau 10G Intel et d'obtenir des captures à grande vitesse.

• Présentation de la configuration assembler.parse.valve. La configuration désactive automatiquement les analyseurs d'application lorsque certains seuils sont dépassés pour limiter les risques de perte de paquets. Une fois désactivés, les analyseurs de la couche réseau restent toujours actifs. Une fois que les statistiques chutent sous les seuils dépassés, les analyseurs d'application sont automatiquement réactivés.

• Présentation de la configuration parallel.values sur le service Concentrator pour l'optimisation d'une requête.

Matériel requis

  • Decoder série 4S
  • Carte Ethernet fibre Intel 82599, comme Intel x520. Toutes les cartes RSA 10G fournies répondent à ces exigences. Plusieurs ports peuvent être utilisés sur une seule carte 10G, mais l'association de 10G avec une carte 1G n’est pas prise en charge.
  • 96 Go de mémoire DD3-1600 sous forme de modules DIMM à double rangée. Les modules DIMM à simple rangée peuvent réduire les performances à hauteur de 10 %. Pour déterminer la vitesse et le nombre de rangées des modules DIMM installés, exécutez la commande dmidecode -t 17.
  • Espace de stockage suffisamment volumineux et rapide pour répondre aux besoins de capture. Les considérations relatives au stockage sont abordées plus loin dans cette rubrique.

Logiciels requis

  • Module de noyau Linux fourni par RSA. Seuls les modules de noyau Linux fournis par RSA sont pris en charge.
  • Package pfring correspondant au noyau installé. La version du noyau doit correspondre exactement à la version du package pfring.

Installation du service Decoder 10G

Procédez comme suit pour installer Security Analytics 10.6 10G Decoder :

Conditions préalables

• Plate-forme SA-S4H-P-DEC ou SMC-S4H-P-DEC intégrée à la plate-forme Dell R620

• Carte réseau fibre SMC-10GE-* 10G Intel 520 (disponible auprès de RSA)

• Décodeurs de paquets avec la mise à jour 10.6

• Chaque décodeur de paquets doit être configuré avec un minimum de 2 DAC ou une connectivité SAN.

Remarque : Reportez-vous aux sections suivantes Considérations relatives au stockage dans ce document avant d'effectuer la mise à jour, car un recâblage physique peut être nécessaire.

• BIOS Dell R620 v1.2.6 ou version ultérieure. Il est recommandé que les clients effectuent une mise à jour vers le tout-dernier BIOS v2.2.3, mais il n'est pas nécessaire pour 10G s'ils exécutent la version 1.2.6 ou supérieure.

Remarque : les révisions du BIOS antérieures à la version 1.2.6 ont du mal à identifier correctement l'emplacement de la carte de capture 10G au sein du système. Il est important de mettre à jour le BIOS avant d'installer des packages, étant donné que les packages utilisent les informations fournies par le BIOS pour initialiser le système.

Éléments à prendre en compte pour l'analyse et le contenu dans le cadre de la capture de paquets

La capture et l'exécution d'un enrichissement sur les paquets bruts peuvent représenter des défis spécifiques à n'importe quel taux de capture. Avec des taux de paquets et de sessions supérieurs en mode 10G, l'efficacité de l'analyse est primordiale. Un seul analyseur peut avoir un effet préjudiciable sur le système, ce qui, au final, entraîne des pertes de paquets. Les tests effectués pour la capture 10G comprenaient des analyseurs de base, ainsi que des combinaisons de flux, des règles et d'autres contenus accessibles via RSA Live. Si un client met à jour un système actuellement déployé ou déploie un nouveau système, il est recommandé qu'il utilise les bonnes pratiques suivantes afin de minimiser les risques de perte de paquets. Il y a cependant une réserve dans le cas de la mise à jour d'un déploiement 10G sans ajouter de trafic supplémentaire. Par exemple, un Decoder actuel capturant une carte 10G avec un débit soutenu 2G ne doit voir aucune différence de performances, sauf si la procédure de mise à jour ajoute un trafic supplémentaire pour la capture.

Bonnes pratiques du service 10G

1. Intégrer les analyseurs de base (sauf SMB/Webmail, qui ont généralement une utilisation CPU élevée) et surveiller les pertes de paquets potentielles.

2. Si vous ajoutez d'autres analyseurs, ajoutez un seul ou de deux analyseurs à la fois.

3. Mesurer l'impact sur les performances du contenu nouvellement ajouté, particulièrement durant les pics de trafic.

• Si des suppressions surviennent alors qu'il n'y en avait pas auparavant, désactivez tous les analyseurs nouvellement ajoutés et n'activez qu'un seul analyseur à la fois pour mesurer son impact. Cela permet de repérer individuellement les analyseurs à l'origine des effets préjudiciables sur les performances. Pour obtenir des performances optimales, remaniez ou réduisez les fonctionnalités de chaque analyseur en fonction des besoins du client.

• Bien que leur impact sur les performances soit minime, les flux doivent également être réexaminés et ajoutés à une approche progressive afin de mesurer l'impact des performances.

• Généralement, les règles d'application impactent également les performances, donc une fois encore, il est conseillé de ne pas ajouter un grand nombre de règles en une seule fois, sans mesurer au préalable leur impact.

Enfin, les modifications de configuration recommandées décrites dans la section Configuration permettent de réduire les problèmes potentiels

Instructions d’installation du BIOS

1. Téléchargez le BIOS v2.2.3 depuis l’emplacement suivant :

http://www.dell.com/support/home/us/en/19/Drivers/DriversDetails?driverId=V7P04

2. Téléchargez le fichier Update Package for Red Hat Linux.

3. Copiez le fichier sur le serveur Security Analytics.

4. Connectez-vous en tant qu’utilisateur racine.

5. Modifiez les autorisations dans le fichier à Exécuter.

6. Supprimez le fichier suivant :

./BIOS_V7P04_LN_2.2.3.BIN

7. Une fois terminé, le système devra être redémarré.

Remarque : la procédure d'installation du BIOS dure environ 10 minutes.

Mise à jour 10G Decoder

1. Effectuez une mise à jour de l'appliance Decoder vers la version 10.6, y compris de tous les correctifs du système d'exploitation. La version minimale du correctif de sécurité appliqué est RSA Security Analytics Version 10.6. Cette version nécessite un module de noyau Linux :

kernel- 2.6.32-573.12.1.el6.x86_64, qui est la version du noyau de RSA Security Analytics Version 10.6.

2. Vérifiez que les versions kernel, pfring et numactl se présentent comme suit :

kernel- 2.6.32-573.12.1.el6.x86_64

pfring-6.0.3-8598.2.6.32.573.12.1.el6.x86_64.rpm

numactl-2.0.9-2.el6 .x86_64.rpm

Installer 10G Decoder

Télécharger la dernière version du module pfring rpm à partir de smcupdate

pfring-6.0.3-8598.2.6.32.573.12.1.el6.x86_64.rpm

Pour plus d'informations, reportez-vous à la section RSA SecurCare : https://knowledge.rsasecurity.com.

2. Via ssh, installez les packages à l'aide de la commande suivante une fois les fichiers traités par scp dans le Decoder :

rpm -ivh pfring*

Remarque : REMARQUE : effectuez les vérifications suivantes :

a. Recherchez el6 rpm à l'aide de la commande suivante :

rpm –qa |grep numactl*

b. Vérifiez que la version correspond à numactl-2.0.9-2.el6. x86_64.rpm

Remarque : si l'étape de mise à jour ci-dessus est exécutée avant la mise à niveau du BIOS, les étapes suivantes devront être effectuées :

• Désinstaller les modules via la commande rpm –e.

• Mettre à jour le BIOS vers la version 2.2.3

• Exécuter les commandes rpm pour installer à nouveau les packages requis.

3. Vérifiez que les versions kernel, pfring et numactl se présentent comme suit :

kernel- 2.6.32-573.12.1.el6.x86_64

pfring-6.0.3-8598.2.6.32.573.12.1.el6.x86_64.rpm

numactl-2.0.9-2.el6 .x86_64.rpm

4. Redémarrez l'appliance Decoder (le redémarrage du système complet est nécessaire pour s'assurer que les pilotes pf_ring sont chargés correctement).

5. Au redémarrage du Decoder, vous pouvez vérifier que l'installation est réussie si vous voyez d'autres interfaces PFRINGZC disponibles sous les options de l'Interface de capture sélectionnée (voir ci-dessous).

Configurer 10G Decoder

Une fois la mise à jour effectuée, procédez comme suit pour configurer 10G Decoder :

1. Dans la vue Explorateur de Decoder, cliquez avec le bouton droit sur Decoder et sélectionnez Propriétés.

2. Dans le menu déroulant des propriétés, sélectionnez reconfig et saisissez les paramètres suivants :

update=1 op=10g

3. Dans la vue Explorateur de Decoder, cliquez avec le bouton droit sur database et sélectionnez Propriétés.

4. Dans le menu déroulant des propriétés, sélectionnez reconfig et saisissez les paramètres illustrés dans la capture d'écran suivante :

update=1 op=10g

5. Sélectionnez l'adaptateur de port de capture. Les options disponibles sont :

a. Capture de port unique : PFRINGZC,p1p1 ou PFRINGZC,p1p2

b. Capture désactivée sur les deux ports :

i. Sélectionnez PFRINGZC,P1P1

ii. Dans la vue Explorateur, définissez capture.device.params = device=zc:p1p2,zc:p1p1

c. Assurez-vous que le matériel de capture sélectionné est sur le nœud NUMA correct.

À partir d'une session ssh sur l'appliance, exécutez l'instruction suivante :

cat /sys/class/net/<interface_name>/device/numa_node

<interface_name> est l’interface de capture sélectionnée (par exemple, p1p1).

Si le résultat est 0 (zéro), aucune configuration supplémentaire n'est nécessaire.

Si ce n'est pas le cas, ajoutez le résultat en tant que paramètre principal aux paramètres de capture, comme indiqué ci-dessous :

/decoder/config/capture.device.params: core=1

Cette modification nécessite un redémarrage du service pour prendre effet.

Remarque : REMARQUE : Selon la configuration matérielle, les ports de capture peuvent être identifiés avec un nom différent autre que p1p1/p1p2 mais toujours avec le préfixe PFRINGZC. Par exemple, sur certaines appliances, ces ports peuvent être identifiés en tant que eth4 / eth5. Pour effectuer une capture à partir de eth4, sélectionnez PFRINGZC,eth4. Pour effectuer une capture à partir de eth5, sélectionnez PFRINGZC,eth5.

6. Si le thread d'écriture rencontre des difficultés à maintenir la vitesse de capture, vous pouvez procéder comme suit :

Passez /datebase/config/packet.integrity.flush en mode normal.

Remarque : Vous pouvez essayer d'ajuster le paramètre packet.file.size pour qu'il soit supérieur, mais conservez la taille du fichier à moins de 10 Go, comme tout le fichier est mis en mémoire tampon à ces vitesses-là.

7. (Facultatif) L'analyse d'application sollicite de manière très intensive le CPU et peut entraîner le Decoder à supprimer des paquets. Pour atténuer les suppressions induites par l'analyse d'application d'analyse, le paramètre /decoder/config/assembler.parse.valve peut être défini sur la valeur true. Ce qui engendre les conséquences suivantes :

• Lorsque l'analyse de sessions provoque un goulot d'étranglement, les analyseurs d’applications (HTTP, SMTP, FTP, etc.) sont temporairement désactivés.

• Les sessions ne sont pas interrompues lorsque les analyseurs d'applications sont désactivés, mais la fidélité de l'analyse réalisée sur ces sessions peut laisser à désirer.

• Les sessions analysées lorsque les analyseurs d'application sont désactivés ont toujours un méta-réseau associé (Analyseur RÉSEAU).

• La statistique /decoder/parsers/stats/blowoff.count affiche le nombre total de sessions ayant contourné les analyseurs d'application (l'analyse réseau est toujours effectuée).

• Lorsque l'analyse des sessions n'est plus à l'état de goulot d'étranglement, les analyseurs d'application sont automatiquement réactivés.

8. Le pool de sessions de l'assembleur doit être suffisamment grand pour ne pas contraindre les sessions.

• Pour déterminer si les sessions sont contraintes par la statistique /decoder/parsers/stats/blowoff.count (augmentation) et /decoder/stats/assembler.sessions sera compris entre plusieurs centaines de /decoder/stats/assembler.sessions.

• Le site de test RSA Security utilisait la configuration suivante à un peu moins de 10G :

/decoder/config/assembler.session.pool a été défini sur 1000000

et /decoder/stats/assembler.sessions avoisinerait 630K.

Une autre méthode pour les étapes 1 à 4 présentées ci-dessus peut être utilisée pour configurer 10G Decoder en exécutant les étapes 1, 2, 3 et 4 décrites ci-dessous. Les étapes 5 à 8 ci-dessus sont obligatoires si vous utilisez cette méthode.

1. Effectuez une mise à jour des paramètres des pools de sessions et de paquets en utilisant les valeurs suivantes (sous /decoder/config) :

a. pool.packet.pages = 1000000

b. pool.session.pages = 300000

2. Il convient de définir la taille de bloc d'écriture de paquets (/database/config/packet.write.block.size) à 4 Go exactement, ou pour la version 10.6+, d'utiliser filesize.

Remarque : Cela permet de configurer le Decoder pour mettre en mémoire tampon les pages volumineuses du fichier et d'y accéder en écriture à l'aide des E/S directes pour des performances maximales.

3. Effectuez une mise à jour des paramètres des threads d'analyse en utilisant les valeurs suivantes (sous /decoder/config).

a. parse.threads =12

4. Sélectionnez l'adaptateur de port de capture. Les options disponibles sont :

a. Port de capture unique - PFRINGZC,p1p1 ou PFRINGZC,p1p2

b. Capture désactivée sur les deux ports –

i. Sélectionnez PFRINGZC, P1P1

ii. Dans la vue Explorateur, définissez capture.device.params = capture=zc:p1p2,zc:p1p1

Remarque : Selon la configuration matérielle, les ports de capture peuvent être identifiés avec un nom différent autre que p1p1/p1p2 mais toujours avec le préfixe PFRINGZC. Par exemple, sur certaines appliances, ces ports peuvent être identifiés en tant que eth4 / eth5. Pour effectuer une capture à partir de eth4, sélectionnez PFRINGZC,eth4. Pour effectuer une capture à partir de eth5, sélectionnez PFRINGZC,eth5.

Considérations relatives au stockage

Lors d'opérations de capture à une cadence de 10G, le système de stockage qui héberge les bases de données de paquets et de méta doit être en mesure de supporter un débit d'écriture de 1 400 Mo/s. Les options prises en charge pour les configurations DAC et SAN sont présentées ci-dessous.

Utilisation du matériel de la gamme 4S (avec deux ou plusieurs unités DAC)

L'unité de tête de lecture du Decoder est équipée d'une carte contrôleur matériel-RAID SAS fournissant la connectivité à l'unité DAC. Dans la plupart des déploiements, elles sont configurées de sorte que les unités DAC ne sont pas reliées en cascade à un port unique de la carte SAS. Pour prendre en charge les environnements de vitesse supérieure, un minimum de deux DAC est requis par Decoder, et chacun doit être connecté directement à la carte SAS. Pour prendre en charge deux DAC, connectez le premier DAC à un port de la carte SAS et ensuite connectez un autre DAC à l'autre port de la carte SAS. Pour les environnements comportant plus de deux DAC, ne les reliez pas à chaque port de manière équilibrée. Un recâblage des DAC dans un déploiement existant peut être nécessaire, mais sans avoir d'incidence sur les données qui ont déjà été capturées sur le Decoder.

Si vous souhaitez renforcer la capacité de stockage, utilisez le script actuellement disponible NwMakeArray pour provisionner les unités DAC. Le script ajoute automatiquement un DAC par exécution (par exemple, si vous ajoutez trois DAC, alors le script doit être exécuté trois fois), en les ajoutant à la configuration de NwDecoder10G comme points de montage distincts. Les points de montage indépendants sont importants, car ils permettent à NwDecoder10G de distinguer les E/S en écriture de la capture des E/S en lecture requises pour répondre aux demandes de contenu de paquet.

Utilisation du stockage SAN

Le Decoder accepte toutes les configurations de stockage pouvant satisfaire les besoins en débit soutenu. Notez que la liaison FC 8 Gbits standard sur un SAN n'est pas suffisante pour lire et écrire des données de paquet avec 10G. Par conséquent, les environnements utilisant un SAN doivent configurer la connectivité pour le SAN en utilisant plusieurs FC.

Agrégation d'un 10G Decoder à d'autres composants de Security Analytics

Avec la version initiale, l'agrégation entre le décodeur de paquets et un Concentrator est prise en charge. Les déploiements utilisant Malware Analytics, Event Stream Analysis, Warehouse Connector et Reporting Engine sont susceptibles d'avoir un impact sur les performances et peuvent entraîner une perte de paquets. En raison du volume élevé de taux de sessions, les modifications de configuration suivantes sont recommandées :

• L'agrégation nice sur le Concentrator limite l'impact sur les performances sur le 10G Decoder

/concentrator/config/aggregate.nice = true

• En raison du volume élevé de sessions sur le Concentrator, vous pouvez envisager d'activer le mode Valeurs parallèles sur le Concentrator en attribuant la valeur true au paramètre /sdk/config/parallel.values. Cela permet d'améliorer les performances de la procédure d'enquête lorsque le nombre de sessions par seconde est supérieur à 30 000.

Une révision du contenu et analyse ultérieures seront requises pour les déploiements où vous souhaitez obtenir les taux d'utilisation des autres composants SA (par exemple, Warehouse, Malware Analysis, ESA et Reporting Engine).

Un Decoder 10G peut assurer l'agrégation sur un seul Concentrator tout en fonctionnant à des vitesses de 10G. 

  1. Le Concentrator agrège les données à une cadence de 45 à 70 000 sessions/s.
  2. Le Decoder 10G capture des données à un débit de 40 à 50 000 sessions/s.
    Avec le contenu défini ci-dessus, cela représente environ 1,5 à 2 millions de méta/s.
  3. Activez l'option Agrégation simple sur le Concentrator pour limiter l'impact sur les performances du Decoder
    /concentrator/config/aggregate.nice=true
  4. En raison du volume élevé de sessions sur le Concentrator, vous pouvez envisager d'activer le mode Valeurs parallèles sur le Concentrator en attribuant la valeur true au paramètre /sdk/config/parallel.values. Cela améliore les performances d'investigation lorsque le nombre de sessions par seconde dépasse 30 000.

Si des flux d'agrégation multiples sont nécessaires, l'impact sera moindre lorsque l'agrégation est réalisée sur le Decoder.

Analyse à vitesses élevées

Il va sans dire que l'analyse de paquets bruts à vitesses élevées présente des défis spécifiques. Étant donnés les forts débits de sessions et de paquets, l'efficacité de l'analyse est fondamentale. Si la productivité d'un seul analyseur n'est pas satisfaisante (examen trop long des paquets), le système entier peut être ralenti au point que des paquets sont éludés au niveau de la carte. Pour réaliser un test initial à 10G, lancez uniquement les analyseurs natifs (sauf SMB/WebMail). Utilisez les analyseurs natifs pour déterminer les performances de base, avec un nombre limité ou nul de paquets éludés. Ne téléchargez pas de contenu Live avant cette opération. Il convient de vérifier que le système ne rencontre pas de problèmes au cours de la capture à vitesses élevées.

Dès que le système est opérationnel et fonctionne parfaitement, vous pouvez ajouter peu à peu du contenu Live, notamment des analyseurs. Les performances peuvent considérablement varier en fonction des analyseurs. Voici quelques règles d'or :

Contenu Live testé

Les analyseurs suivants peuvent tous (mais pas individuellement) être exécutés à 10G sur notre jeu de données de test :

  • Contenu MA (7 analyseurs lua, 1 feed, 1 règle d'application)
  • 4 feeds (alert ids info, nwmalwaredomains, warning et suspicious)
  • 41 règles d'application
  • DNS_verbose_lua (disable DNS)
  • fingerprint_javascript_lua
  • fingerprint_pdf_lua
  • fingerprint_rar_lua
  • fingerprint_rtf_lua
  • MAIL_lua (disable MAIL)
  • SNMP_lua (disable SNMP)
  • spectrum_lua
  • SSH_lua (disable SSH)
  • TLS_lua
  • windows_command_shell
  • windows_executable

NON TESTÉ :

  • SMB_lua, SMB natif désactivé par défaut
  • html_threat

AUTRE :

HTTP_lua, réduit le taux de capture en le faisant passer de >9G à <7G. À un débit tout juste inférieur à 5G, cet analyseur peut remplacer le natif sans dégrader les performances (en plus des éléments répertoriés dans la liste ci-dessus). Avec xor_executable, les ressources de CPU seront utilisées à 100 % lors de l'analyse, et les performances du système peuvent considérablement chuter au moment de la sauvegarde.

You are here
Table of Contents > Procédures supplémentaires > Configurer la fonction 10G

Attachments

    Outcomes