IXIA NVS Vision one packet broker

1. 1© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
VISION ONE
Паливода Александр
Системный инженер
opali@muk.ua

2. 2© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ВНЕДРЕНИЕ БЕЗОПАСНОСТИ – НЕ ПРОСТО
CONSTANT CHANGE
Threats
Laws
Applications
SINGLE PURPOSE TOOLS
EXPENSIVE

3. 3© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
БЕЗОПАСНОСТЬ ПОСТОЯННО МЕНЯЕТСЯ
Всегда много составляющих

4. 4© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
See Everything
Интуитивно-
понятный UI и
запатентованный
компилятор
фильтров
Look Within
ATI для SSL
дешифровки & App
intelligence
Virtualize
Управление
трафиком от
физических и
виртуальных
тапов
Layered Defense
Flexibly deploy
tools inline and
out-of-band
Optimize
ZERO-loss
advanced packet
processing

5. 5© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ЭВОЛЮЦИЯ УМНОЙ VISIBILITY
Все пакеты
TAP
Raw Packets
Только трафик 10.0.0.0/8
Только трафик TCP Port 25
L2-4 Filters
NPB
Все уникальные пакеты идущие к 10.0.0.0/8
Только первые 128 bytes пакета, TCP Port 25
Hardware AFM
NPB
Adv. Packet Processing
Весь трафик из Грузии
Весь голосовой трафик из HTC One
Кто-то из ЮАР смотрит «Карточный
домик» на Netflix, на iPhone через сеть
Vodacom
NPB –
App Brokering
Meta Data
App Filtering

6. 6© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ФИЛЬТРАЦИЯ: ТВОЙ ВЫБОР
Трудный путьПростой путь
Использование фильтров других вендоров “…мы потратили
около четырех часов и определенное количество проб и
ошибок чтоб получить карту фильтров, ее применение и
определение.”
“Ixia функционал - Dynamic Filtering , с другой стороны, отнял
всего 10 минут чтоб сделать те же задачи в наших тестах.”

7. 7© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
VLAN 1-3
VLAN 3-6
TCP
Автоматически определяет совпадающие фильтры и
создает правило
3. Что делает автоматический копилятор правил
АВТОМАТИЧЕСКИЙ КОМПИЛЯТОР ПРАВИЛ IXIA
Network
SPAN
Port
Tool Port #1
Tool Port #2
Tool Port #3
Трафик распространяется из одного SPAN порта в 3
системы
TCP
No. Criteria Action
0 VLAN 3 + TCP Tool 1, 2 & 3
1 VLAN 1-3 + TCP Tool 1 & 2
2 VLAN 4-6 + TCP Tool 2 & 3
3 VLAN 3 Tool 1 & 3
4 VLAN 1-2 Tool 1
5 VLAN 4-6 Tool 3
6 TCP Tool 2
7 Null Drop
 Автоматически исправляет совпадающие
правила. Значительно упрощает то, что тебе
нужно.
 Изменения «на ходу» – нет потери пакетов
 Одновременные изменения разными
администраторами
 Простота интеграции со сторонними
системами провижининга – автоматизация
4. Почему это так важно
1. Что ты хочешь
Ввести 3 простых фильтра в Network Tool Control Panel
2. Что ты делаешь

8. 8© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
УМНАЯ ОБРАБОТКА ПАКЕТОВ
Выделенные аппаратные средства добавляют данные либо убирают ненужные
без потери информации
на основе per packet
Все уникальные пакеты
идущие к 10.0.0.0/8
Только первые 128 bytes пакета,
TCP Port 25
Hardware AFM
NPB
Adv. Packet Processing
Advanced Packet Processing (AFM) Features
• Дедупликация
• Снятие заголовков
• Усечение (Trimming)
• Маскировка данных
• Временные метки
• Защита от «всплесков»

9. 9© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ПРОДВИНУТАЯ ОБРАБОТКА ПАКЕТОВ В VISION ONE
• Вызов
• Необходимость гарантированной производительности
обработки пакетов,
но не на каждом порту
• Решение
• Hardware-based гарантированная производительность
обработки
• Назначается портам – каждые 10G
• Полная производительность при множестве функций
• Выгоды
• Возможности окупают стоимость
• Надежная производительность
• Каждый порт может иметь AFM
• Увеличивает возможность ATIP/DPI путем AFM
предфильтрации
16x10G Shared AFM

10. 10© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ДЕДУПЛИКАЦИЯ
Deduplication – только одна копия пакета отправляется к анализатору
Откуда появляются повторяющиеся пакеты?
– Несколько тапов агрегируют в один и тот же анализатор
– Один SPAN порт обычно генерирует повторяющиеся пакеты
( )

11. 11© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
СНЯТИЕ ЗАГОЛОВКОВ
Header Stripping – обнаруживает и удаляет протоколы тунелирования из заголовка, для
анализа инструментами, которые не поддерживают данные протоколы.
PayloadIP Header
Header Stripping
MPLS Label
Примеры использования:
• Translation: Удаляет заголовки протоколов, которые не
понимает анализатор и отдает пакет в поддерживаемом
формате.
– MPLS, VNTag, FabricPath, etc.
• vTap Termination: Терминирует трафик от Phantom vTap
• ERSPAN termination: Терминирует трафик из удаленных
офисов/филиалов

12. 12© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
УСЕЧЕНИЕ ПАКЕТОВ
Packet Trimming – усечение пакетов до определенного размера и опционально вставляет «trailer»
чтоб добиться исходного размера пакета перед отправкой на анализатор.
Примеры использования
• Эффективность анализатора: Снижение размера пакета для отправки на анализатор.
– Удалить SSL-encrypted payloads перед анализом
– Удалить payloads для анализаторов которые изучают только заголовки
• Безопасность: Если payload пакета не нужен для анализа, то эта функция может быть
использована для защиты от раскрытия конфиденциальной информации, такой как личная
информация (Personally Identifiable Information - PII) в соответствии с требованиями многих
мандатов, таких как PCI.
PayloadIP Header
Packet Slicing

13. 13© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
МАСКИРОВКА ДАННЫХ
Data Masking – Позволяет скрыть определенные данные, с сохранением общего размера
фрейма, чтоб личная информация (Personally Identifiable Information - PII) не передавалась на
анализатор.
Примеры использования
• Защита PII: Предприятия часто имеют рекомендации/обязательства, которые обязуют их не хранить,
передавать или другим образом раскрывать PII внутренних или внешних пользователей. Примерами
таких мандатов являются PCI (Payment Card Industry) или HIPAA в области здравоохранения в США.
Нарушения часто приводят к многомиллионным штрафам.
PayloadIP Header
Data Masking
XXXX

14. 14© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ВРЕМЕННЫЕ МЕТКИ
Packet Timestamping – Добавляет в каждый пакет раздел содержащий временную метку,
для детального изучения задержки анализаторами.
Примеры использования
• Задержка: Анализатор может определить задержку между любыми тапами в сети, путем
сравнения временных меток в одном и том же пакете из разных мест сети.
PayloadIP Header
Packet Timestamping
Timestamp
Vision ONE использует PTP
или NTP для получения
эталонного времени

15. 15© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ЗАЩИТА ОТ «ВСПЛЕСКОВ»
Burst Protection – Добавляет дополнительный буфер к 1G интерфейсам для
обеспечения защиты от таких событий как microburst и позволяет избежать потери
данных.
Примеры использования
• Агрегация: Когда трафик агрегируется из разных участков сети в один 1G анализатор,
возможно кратковременное превышение 1Gbps трафика.
• Трансляция скорости: При фильтрации 1G данных из 10G линка/интерфейса, данный
функционал может обезопасить от кратковременного «всплеска» анализатор с
производительностью 1G.

16. 16© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
IXIA – ВСЕГДА ПРОДВИНУТАЯ ОБРАБОТКА ПАКЕТОВ НА
ПОЛНОЙ СКОРОСТИ
 «На гребне волны»
Ixia всегда поддерживает работу на full-rate
Независимо от размера фрейма
Независимо от количества задействованных
функций
 See Tolly Test Report #216100
Full Rate Advanced Packet Processing

17. 17© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ENTERPRISE – УМНАЯ ОБРАБОТКА ПРИЛОЖЕНИЙ
• ATI Processor (ATIP) – Интеллектуальная видимость приложений
• Форвардинг на основе приложений, географии и соответствия RegEx
• Real-time dashboard
• Rich NetFlow / IPFIX generation
– Device OS
– Browser
– Carrier BGP AS#
– Geolocation
• Data Masking
• Stateful SSL decryption
Весь трафик из Грузии
Весь голосовой трафик от
HTC Ones
Кто-то из ЮАР смотрит
«Карточный домик» на Netflix,
на iPhone через сеть Vodacom
NPB –
App Brokering
Meta Data
App Filtering

18. 18© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ATIP – DEEP PACKET INSPECTION
 Использование ATIP для выполнения Deep Packet Inspection
 Распознавание
Applications
Application events
Handset OS
Browser
Geolocation
 Подписка
Обновление каждые 3 недели

19. 19© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ФИЛЬТРАЦИЯ ПРИЛОЖЕНИЙ
Point and Click
Filter settings
Geographic Matching
Click map or country name
App Matching
Static, dynamic, customApp Groups
Category, OS, etc.

20. 20© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ПОИСК REGEX & МАСКИРОВКА ДАННЫХ
Easy Setup
Add to any filter
Predefined Patterns
Email, credit cards, SSN, etc.
Custom Patterns
Built in UI
Optional Masking
Partial or complete string
Fixed Offset
L2-L4 Header offset

21. 21© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ГИБКАЯ ОБРАБОТКА ТРАФИКА
Easy Setup
Forward, NetFlow, or both
Real-time Stats
For all filters

22. 22© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
RICH NETFLOW / IPFIX GENERATION
Easy Setup
One-click enable
Standard Fields
Including router offload IxFlow Extensions
Handset, browser, geo, SSL
High performance
Supports up to 10 collectors

23. 23© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ATIP – ПОНИМАНИЕ SSL
• Пассивная дешифровка – не влияет на производительность приложений
• Полностью совместимо с другими функциями ATIP:
Rich Netflow/IPFIX
Data Masking
Geolocation
• Простая настройка – только импорт сертификатов/ключей
• Все популярные шифры/алгоритмы:
RSA & DH Key Exchange
SHA1/521/384/256/224
MD5
• Application Filtering
• Handset/workstation type
• Browser identification
• 3DES
• RC4
• AES
• ECC (Elliptic Curve)
• Репорт деталей шифрования - Netflow
Hardware Encryption Offload

24. 24© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ATIP ПРИМЕРЫ ИСПОЛЬЗОВАНИЯ
SaaS Issue Correlation to Service Provider Granular VoIP Filtering

25. 25© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ДВЕ ГЛАВНЫХ ТОПОЛОГИИ VISIBILITY
Monitoring (out-of-band)
 Анализаторы терминируют трафик и не
форвардят его обратно в сеть.
 Типичные анализаторы:
Application Performance Monitoring
(APM)
Network Performance Monitoring (NPM)
Intrusion Detection System
Data recording
Inline (inband)
 Решения анализируют и выборочно
отбрасывают трафик или форвардят
обратно в сеть.
 Типичные inline анализаторы:
Intrusion Prevention System (IPS)
Data Loss Prevention (DLP)
Web Cache
SSL encrypt / decrypt
Firewall

26. 26© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
INLINE И МОНИТОРИНГ ВМЕСТЕ
Inline Monitoring
Inline
• IPS (multiple vendors)
Out-of-band Monitoring
• Data logging

27. 27© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
SERIAL INLINE DEPLOYMENT
Switch
1 2 3

28. 28© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ВНЕШНИЙ BYPASS
Почему использовать внешний vs
интегрированный Bypass?
1. Внешний – надежность в 5 раз лучше!
MTBF (Mean Time Between Failure in Hours)
Внешний Bypass: 450,000
Интегрированный Bypass: 80,000
2. Легче заменить вышедшие из строя
устройства
Нет риска «падения» сети
3. Такой же размер как и интегрированного
bypass
2U

29. 29© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ПРОЩЕ НАСТРОЙКА
 Создание сложных топологий за несколько минут
Inline serial
Parallel load balanced
Inline serial & Parallel load balance together

30. 30© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
N+M ОТКАЗОУСТОЙЧИВОСТЬ АНАЛИЗАТОРОВ
Поддерживает любые варианты N+M
отказоустойчивости устройств
 N+M Redundancy: M резервных устройств для
защиты N активных устройств
 N+1 Redundancy: одно резервное устройство для
защиты N активных устройств
Поведение при неисправности устройств
 Резервное устройство забирает трафик
неисправного устройства
 Активное устройство возвращает себе трафик
после восстановления
 Отказ устройства выявляется с помощью
heartbeat пакетов

31. 31© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
БЫСТРОЕ ОБНАРУЖЕНИЕ ОТКАЗОВ - HEARTBEATS
Обнаружение отказов
 Heartbeats между bypass switch и NPB
 Heartbeats между NPB и устройством
 Отсутствие heartbeats указывает об отказе
Ключевые возможности
 Предустановленные heartbeats для проверки разных устройств
 Настраиваемые heartbeats для сложных ситуаций
 Поддержка single-stage (blue) или multistage (red) heartbeats

32. 32© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
VISION ONE – БЕЗОПАСНОСТЬ БЕЗ ПОТЕРЬ
 Intelligent
• ATIP: DPI for app awareness
• SSL decryption
• Reliable adv. packet processing
• Supports inline & monitoring
• Terminates physical & vTap traffic
 Compact
• 1U high
• Connectivity
• 48 SFP+ for 1G or 10G
• 4 QSFP+ for 4x40G or 16x10G
• Growth via expansion slot
 Reliable
• Based on NVOS 4.x
• Redundant, hot swappable power
supplies & fans
• NEBs capable
 Multiuser ready
• Extensive role-based access control
• Automatic Filter Rule Compiler
• Intuitive GUI
• RESTful API

33. 33© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
#securitywithoutsacrifice
Amplify security without ever changing a cable.
See everything. Miss Nothing.