Contenu connexe Similaire à IXIA NVS Vision one (20) IXIA NVS Vision one1. 1© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
VISION ONE
Паливода Александр
Системный инженер
opali@muk.ua
2. 2© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ВНЕДРЕНИЕ БЕЗОПАСНОСТИ – НЕ ПРОСТО
CONSTANT CHANGE
Threats
Laws
Applications
SINGLE PURPOSE TOOLS
EXPENSIVE
3. 3© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
БЕЗОПАСНОСТЬ ПОСТОЯННО МЕНЯЕТСЯ
Всегда много составляющих
4. 4© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
See Everything
Интуитивно-
понятный UI и
запатентованный
компилятор
фильтров
Look Within
ATI для SSL
дешифровки & App
intelligence
Virtualize
Управление
трафиком от
физических и
виртуальных
тапов
Layered Defense
Flexibly deploy
tools inline and
out-of-band
Optimize
ZERO-loss
advanced packet
processing
5. 5© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ЭВОЛЮЦИЯ УМНОЙ VISIBILITY
Все пакеты
TAP
Raw Packets
Только трафик 10.0.0.0/8
Только трафик TCP Port 25
L2-4 Filters
NPB
Все уникальные пакеты идущие к 10.0.0.0/8
Только первые 128 bytes пакета, TCP Port 25
Hardware AFM
NPB
Adv. Packet Processing
Весь трафик из Грузии
Весь голосовой трафик из HTC One
Кто-то из ЮАР смотрит «Карточный
домик» на Netflix, на iPhone через сеть
Vodacom
NPB –
App Brokering
Meta Data
App Filtering
6. 6© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ФИЛЬТРАЦИЯ: ТВОЙ ВЫБОР
Трудный путьПростой путь
Использование фильтров других вендоров “…мы потратили
около четырех часов и определенное количество проб и
ошибок чтоб получить карту фильтров, ее применение и
определение.”
“Ixia функционал - Dynamic Filtering , с другой стороны, отнял
всего 10 минут чтоб сделать те же задачи в наших тестах.”
7. 7© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
VLAN 1-3
VLAN 3-6
TCP
Автоматически определяет совпадающие фильтры и
создает правило
3. Что делает автоматический копилятор правил
АВТОМАТИЧЕСКИЙ КОМПИЛЯТОР ПРАВИЛ IXIA
Network
SPAN
Port
Tool Port #1
Tool Port #2
Tool Port #3
Трафик распространяется из одного SPAN порта в 3
системы
TCP
No. Criteria Action
0 VLAN 3 + TCP Tool 1, 2 & 3
1 VLAN 1-3 + TCP Tool 1 & 2
2 VLAN 4-6 + TCP Tool 2 & 3
3 VLAN 3 Tool 1 & 3
4 VLAN 1-2 Tool 1
5 VLAN 4-6 Tool 3
6 TCP Tool 2
7 Null Drop
Автоматически исправляет совпадающие
правила. Значительно упрощает то, что тебе
нужно.
Изменения «на ходу» – нет потери пакетов
Одновременные изменения разными
администраторами
Простота интеграции со сторонними
системами провижининга – автоматизация
4. Почему это так важно
1. Что ты хочешь
Ввести 3 простых фильтра в Network Tool Control Panel
2. Что ты делаешь
8. 8© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
УМНАЯ ОБРАБОТКА ПАКЕТОВ
Выделенные аппаратные средства добавляют данные либо убирают ненужные
без потери информации
на основе per packet
Все уникальные пакеты
идущие к 10.0.0.0/8
Только первые 128 bytes пакета,
TCP Port 25
Hardware AFM
NPB
Adv. Packet Processing
Advanced Packet Processing (AFM) Features
• Дедупликация
• Снятие заголовков
• Усечение (Trimming)
• Маскировка данных
• Временные метки
• Защита от «всплесков»
9. 9© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ПРОДВИНУТАЯ ОБРАБОТКА ПАКЕТОВ В VISION ONE
• Вызов
• Необходимость гарантированной производительности
обработки пакетов,
но не на каждом порту
• Решение
• Hardware-based гарантированная производительность
обработки
• Назначается портам – каждые 10G
• Полная производительность при множестве функций
• Выгоды
• Возможности окупают стоимость
• Надежная производительность
• Каждый порт может иметь AFM
• Увеличивает возможность ATIP/DPI путем AFM
предфильтрации
16x10G Shared AFM
10. 10© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ДЕДУПЛИКАЦИЯ
Deduplication – только одна копия пакета отправляется к анализатору
Откуда появляются повторяющиеся пакеты?
– Несколько тапов агрегируют в один и тот же анализатор
– Один SPAN порт обычно генерирует повторяющиеся пакеты
( )
11. 11© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
СНЯТИЕ ЗАГОЛОВКОВ
Header Stripping – обнаруживает и удаляет протоколы тунелирования из заголовка, для
анализа инструментами, которые не поддерживают данные протоколы.
PayloadIP Header
Header Stripping
MPLS Label
Примеры использования:
• Translation: Удаляет заголовки протоколов, которые не
понимает анализатор и отдает пакет в поддерживаемом
формате.
– MPLS, VNTag, FabricPath, etc.
• vTap Termination: Терминирует трафик от Phantom vTap
• ERSPAN termination: Терминирует трафик из удаленных
офисов/филиалов
12. 12© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
УСЕЧЕНИЕ ПАКЕТОВ
Packet Trimming – усечение пакетов до определенного размера и опционально вставляет «trailer»
чтоб добиться исходного размера пакета перед отправкой на анализатор.
Примеры использования
• Эффективность анализатора: Снижение размера пакета для отправки на анализатор.
– Удалить SSL-encrypted payloads перед анализом
– Удалить payloads для анализаторов которые изучают только заголовки
• Безопасность: Если payload пакета не нужен для анализа, то эта функция может быть
использована для защиты от раскрытия конфиденциальной информации, такой как личная
информация (Personally Identifiable Information - PII) в соответствии с требованиями многих
мандатов, таких как PCI.
PayloadIP Header
Packet Slicing
13. 13© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
МАСКИРОВКА ДАННЫХ
Data Masking – Позволяет скрыть определенные данные, с сохранением общего размера
фрейма, чтоб личная информация (Personally Identifiable Information - PII) не передавалась на
анализатор.
Примеры использования
• Защита PII: Предприятия часто имеют рекомендации/обязательства, которые обязуют их не хранить,
передавать или другим образом раскрывать PII внутренних или внешних пользователей. Примерами
таких мандатов являются PCI (Payment Card Industry) или HIPAA в области здравоохранения в США.
Нарушения часто приводят к многомиллионным штрафам.
PayloadIP Header
Data Masking
XXXX
14. 14© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ВРЕМЕННЫЕ МЕТКИ
Packet Timestamping – Добавляет в каждый пакет раздел содержащий временную метку,
для детального изучения задержки анализаторами.
Примеры использования
• Задержка: Анализатор может определить задержку между любыми тапами в сети, путем
сравнения временных меток в одном и том же пакете из разных мест сети.
PayloadIP Header
Packet Timestamping
Timestamp
Vision ONE использует PTP
или NTP для получения
эталонного времени
15. 15© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ЗАЩИТА ОТ «ВСПЛЕСКОВ»
Burst Protection – Добавляет дополнительный буфер к 1G интерфейсам для
обеспечения защиты от таких событий как microburst и позволяет избежать потери
данных.
Примеры использования
• Агрегация: Когда трафик агрегируется из разных участков сети в один 1G анализатор,
возможно кратковременное превышение 1Gbps трафика.
• Трансляция скорости: При фильтрации 1G данных из 10G линка/интерфейса, данный
функционал может обезопасить от кратковременного «всплеска» анализатор с
производительностью 1G.
16. 16© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
IXIA – ВСЕГДА ПРОДВИНУТАЯ ОБРАБОТКА ПАКЕТОВ НА
ПОЛНОЙ СКОРОСТИ
«На гребне волны»
Ixia всегда поддерживает работу на full-rate
Независимо от размера фрейма
Независимо от количества задействованных
функций
See Tolly Test Report #216100
Full Rate Advanced Packet Processing
17. 17© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ENTERPRISE – УМНАЯ ОБРАБОТКА ПРИЛОЖЕНИЙ
• ATI Processor (ATIP) – Интеллектуальная видимость приложений
• Форвардинг на основе приложений, географии и соответствия RegEx
• Real-time dashboard
• Rich NetFlow / IPFIX generation
– Device OS
– Browser
– Carrier BGP AS#
– Geolocation
• Data Masking
• Stateful SSL decryption
Весь трафик из Грузии
Весь голосовой трафик от
HTC Ones
Кто-то из ЮАР смотрит
«Карточный домик» на Netflix,
на iPhone через сеть Vodacom
NPB –
App Brokering
Meta Data
App Filtering
18. 18© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ATIP – DEEP PACKET INSPECTION
Использование ATIP для выполнения Deep Packet Inspection
Распознавание
Applications
Application events
Handset OS
Browser
Geolocation
Подписка
Обновление каждые 3 недели
19. 19© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ФИЛЬТРАЦИЯ ПРИЛОЖЕНИЙ
Point and Click
Filter settings
Geographic Matching
Click map or country name
App Matching
Static, dynamic, customApp Groups
Category, OS, etc.
20. 20© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ПОИСК REGEX & МАСКИРОВКА ДАННЫХ
Easy Setup
Add to any filter
Predefined Patterns
Email, credit cards, SSN, etc.
Custom Patterns
Built in UI
Optional Masking
Partial or complete string
Fixed Offset
L2-L4 Header offset
21. 21© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ГИБКАЯ ОБРАБОТКА ТРАФИКА
Easy Setup
Forward, NetFlow, or both
Real-time Stats
For all filters
22. 22© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
RICH NETFLOW / IPFIX GENERATION
Easy Setup
One-click enable
Standard Fields
Including router offload IxFlow Extensions
Handset, browser, geo, SSL
High performance
Supports up to 10 collectors
23. 23© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ATIP – ПОНИМАНИЕ SSL
• Пассивная дешифровка – не влияет на производительность приложений
• Полностью совместимо с другими функциями ATIP:
Rich Netflow/IPFIX
Data Masking
Geolocation
• Простая настройка – только импорт сертификатов/ключей
• Все популярные шифры/алгоритмы:
RSA & DH Key Exchange
SHA1/521/384/256/224
MD5
• Application Filtering
• Handset/workstation type
• Browser identification
• 3DES
• RC4
• AES
• ECC (Elliptic Curve)
• Репорт деталей шифрования - Netflow
Hardware Encryption Offload
24. 24© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ATIP ПРИМЕРЫ ИСПОЛЬЗОВАНИЯ
SaaS Issue Correlation to Service Provider Granular VoIP Filtering
25. 25© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ДВЕ ГЛАВНЫХ ТОПОЛОГИИ VISIBILITY
Monitoring (out-of-band)
Анализаторы терминируют трафик и не
форвардят его обратно в сеть.
Типичные анализаторы:
Application Performance Monitoring
(APM)
Network Performance Monitoring (NPM)
Intrusion Detection System
Data recording
Inline (inband)
Решения анализируют и выборочно
отбрасывают трафик или форвардят
обратно в сеть.
Типичные inline анализаторы:
Intrusion Prevention System (IPS)
Data Loss Prevention (DLP)
Web Cache
SSL encrypt / decrypt
Firewall
26. 26© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
INLINE И МОНИТОРИНГ ВМЕСТЕ
Inline Monitoring
Inline
• IPS (multiple vendors)
Out-of-band Monitoring
• Data logging
27. 27© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
SERIAL INLINE DEPLOYMENT
Switch
1 2 3
28. 28© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ВНЕШНИЙ BYPASS
Почему использовать внешний vs
интегрированный Bypass?
1. Внешний – надежность в 5 раз лучше!
MTBF (Mean Time Between Failure in Hours)
Внешний Bypass: 450,000
Интегрированный Bypass: 80,000
2. Легче заменить вышедшие из строя
устройства
Нет риска «падения» сети
3. Такой же размер как и интегрированного
bypass
2U
29. 29© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ПРОЩЕ НАСТРОЙКА
Создание сложных топологий за несколько минут
Inline serial
Parallel load balanced
Inline serial & Parallel load balance together
30. 30© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
N+M ОТКАЗОУСТОЙЧИВОСТЬ АНАЛИЗАТОРОВ
Поддерживает любые варианты N+M
отказоустойчивости устройств
N+M Redundancy: M резервных устройств для
защиты N активных устройств
N+1 Redundancy: одно резервное устройство для
защиты N активных устройств
Поведение при неисправности устройств
Резервное устройство забирает трафик
неисправного устройства
Активное устройство возвращает себе трафик
после восстановления
Отказ устройства выявляется с помощью
heartbeat пакетов
31. 31© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
БЫСТРОЕ ОБНАРУЖЕНИЕ ОТКАЗОВ - HEARTBEATS
Обнаружение отказов
Heartbeats между bypass switch и NPB
Heartbeats между NPB и устройством
Отсутствие heartbeats указывает об отказе
Ключевые возможности
Предустановленные heartbeats для проверки разных устройств
Настраиваемые heartbeats для сложных ситуаций
Поддержка single-stage (blue) или multistage (red) heartbeats
32. 32© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
VISION ONE – БЕЗОПАСНОСТЬ БЕЗ ПОТЕРЬ
Intelligent
• ATIP: DPI for app awareness
• SSL decryption
• Reliable adv. packet processing
• Supports inline & monitoring
• Terminates physical & vTap traffic
Compact
• 1U high
• Connectivity
• 48 SFP+ for 1G or 10G
• 4 QSFP+ for 4x40G or 16x10G
• Growth via expansion slot
Reliable
• Based on NVOS 4.x
• Redundant, hot swappable power
supplies & fans
• NEBs capable
Multiuser ready
• Extensive role-based access control
• Automatic Filter Rule Compiler
• Intuitive GUI
• RESTful API
33. 33© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
#securitywithoutsacrifice
Amplify security without ever changing a cable.
See everything. Miss Nothing.
Notes de l'éditeur Deploying security is not easy
Networks are continuously at risk of exposure
Things are constantly changing…new threats, new compliance requirements, new applications.
And It takes many specialized tools to protect the network
And those tools are expensive
xxx
----------------------
Tools are single purpose
They are expensive
Network threats keep changing
Governance and compliance needs always changing….
New apps always emerging
Need to be adaptable
Every enterprise is under attack
To secure something you need to see it
Securing the enterprise is a hard job
Threats
Malware
Compliance
DLP To top it all ….
The network is constantly evolving….
BYOD – is adding many uncontrolled devices on the network
So much more traffic is encrypted….you don’t know what's hiding in that encryption
IoT is adding endpoints that need to be protected from attack and you never know which one could be compromised
With the cloud your data has gone off premise but you still have to protect it.
XXXXXXXXXXXXXX
Show the mega trends….
IoT
BYOD
Cloud services
Encryption
100,000 Hours for NPB
450,000 Hours for iBypass