IXIA NVS Vision one

1© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |

VISION ONE

Паливода АлександрСистемный инженер[email protected]


ВНЕДРЕНИЕ БЕЗОПАСНОСТИ – НЕ ПРОСТО

CONSTANT CHANGE

ThreatsLawsApplications

SINGLE PURPOSE TOOLS

EXPENSIVE


БЕЗОПАСНОСТЬ ПОСТОЯННО МЕНЯЕТСЯ

Всегда много составляющих


See EverythingИнтуитивно-

понятный UI и запатентованный

компилятор фильтров

Look WithinATI для SSL

дешифровки & App intelligence

VirtualizeУправление трафиком от физических и виртуальных

тапов

Layered Defense

Flexibly deploy tools inline and

out-of-band

Optimize

ZERO-loss advanced packet

processing


ЭВОЛЮЦИЯ УМНОЙ VISIBILITY

Все пакеты

TAP

Raw Packets

Только трафик 10.0.0.0/8

Только трафик TCP Port 25

L2-4 Filters

NPB

Все уникальные пакеты идущие к 10.0.0.0/8

Только первые 128 bytes пакета, TCP Port 25

Hardware AFM

NPBAdv. Packet Processing

Весь трафик из Грузии

Весь голосовой трафик из HTC One

Кто-то из ЮАР смотрит «Карточный домик» на Netflix, на iPhone через сеть Vodacom

NPB –App Brokering

Meta Data

App Filtering


ФИЛЬТРАЦИЯ: ТВОЙ ВЫБОР

Трудный путьПростой путь

Использование фильтров других вендоров “…мы потратили около четырех часов и определенное количество проб и ошибок чтоб получить карту фильтров, ее применение и определение.”

“Ixia функционал - Dynamic Filtering , с другой стороны, отнял всего 10 минут чтоб сделать те же задачи в наших тестах.”


VLAN 1-3

VLAN 3-6

TCP

Автоматически определяет совпадающие фильтры и создает правило

3. Что делает автоматический копилятор правил

АВТОМАТИЧЕСКИЙ КОМПИЛЯТОР ПРАВИЛ IXIA

Network SPAN Port

Tool Port #1

Tool Port #2

Tool Port #3

VLAN 3-6

VLAN 1-3

Трафик распространяется из одного SPAN порта в 3 системы

TCP

No. Criteria Action0 VLAN 3 + TCP Tool 1, 2 & 31 VLAN 1-3 + TCP Tool 1 & 22 VLAN 4-6 + TCP Tool 2 & 33 VLAN 3 Tool 1 & 34 VLAN 1-2 Tool 15 VLAN 4-6 Tool 36 TCP Tool 27 Null Drop

Автоматически исправляет совпадающие правила. Значительно упрощает то, что тебе нужно.

Изменения «на ходу» – нет потери пакетов

Одновременные изменения разными администраторами

Простота интеграции со сторонними системами провижининга – автоматизация

4. Почему это так важно

1. Что ты хочешьВвести 3 простых фильтра в Network Tool Control Panel

2. Что ты делаешь

https://www.google.com/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=apEZOlAKFOw2TM&tbnid=cvUnG3V7pLqFLM:&ved=0CAUQjRw&url=https://www.iconfinder.com/icons/47043/computer_monitor_screen_icon&ei=m4t1UsbIKYjx2AWk5ID4Aw&bvm=bv.55819444,d.b2I&psig=AFQjCNHC1YNSpZQvpdy4Uupx7h8MFjW7mA&ust=1383521442978985

http://www.google.com/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=kcFIFMgGGWAJsM&tbnid=vXTk7ulTbDjd8M:&ved=0CAUQjRw&url=http://www.dreamstime.com/royalty-free-stock-photo-ecg-pulse-heartbeat-blue-line-image14070195&ei=GY11UrPyBKvs2AWurYCwBA&psig=AFQjCNEwOfKL2oWW-NpXcpuaMf3EucUfcg&ust=1383521919760793






УМНАЯ ОБРАБОТКА ПАКЕТОВ

Выделенные аппаратные средства добавляют данные либо убирают ненужные без потери информации на основе per packet

Все уникальные пакеты идущие к 10.0.0.0/8

Только первые 128 bytes пакета, TCP Port 25

Hardware AFM

NPBAdv. Packet Processing

Advanced Packet Processing (AFM) Features

• Дедупликация• Снятие заголовков• Усечение (Trimming)• Маскировка данных• Временные метки• Защита от «всплесков»


ПРОДВИНУТАЯ ОБРАБОТКА ПАКЕТОВ В VISION ONE Вызов

• Необходимость гарантированной производительности обработки пакетов,но не на каждом порту

Решение• Hardware-based гарантированная производительность обработки• Назначается портам – каждые 10G• Полная производительность при множестве функций

Выгоды• Возможности окупают стоимость• Надежная производительность• Каждый порт может иметь AFM• Увеличивает возможность ATIP/DPI путем AFM предфильтрации

16x10G Shared AFM


ДЕДУПЛИКАЦИЯ

Deduplication – только одна копия пакета отправляется к анализатору

Откуда появляются повторяющиеся пакеты?– Несколько тапов агрегируют в один и тот же анализатор– Один SPAN порт обычно генерирует повторяющиеся пакеты

(http://blogs.cisco.com/security/span-packet-duplication-problem-and-solution)

http://blogs.cisco.com/security/span-packet-duplication-problem-and-solution

http://blogs.cisco.com/security/span-packet-duplication-problem-and-solution


СНЯТИЕ ЗАГОЛОВКОВ

Header Stripping – обнаруживает и удаляет протоколы тунелирования из заголовка, для анализа инструментами, которые не поддерживают данные протоколы.

PayloadIP Header

Header Stripping

MPLS Label

Примеры использования:• Translation: Удаляет заголовки протоколов, которые не

понимает анализатор и отдает пакет в поддерживаемом формате.

– MPLS, VNTag, FabricPath, etc.• vTap Termination: Терминирует трафик от Phantom vTap• ERSPAN termination: Терминирует трафик из удаленных

офисов/филиалов


УСЕЧЕНИЕ ПАКЕТОВ

Packet Trimming – усечение пакетов до определенного размера и опционально вставляет «trailer» чтоб добиться исходного размера пакета перед отправкой на анализатор.

Примеры использования• Эффективность анализатора: Снижение размера пакета для отправки на анализатор.

– Удалить SSL-encrypted payloads перед анализом– Удалить payloads для анализаторов которые изучают только заголовки

• Безопасность: Если payload пакета не нужен для анализа, то эта функция может быть использована для защиты от раскрытия конфиденциальной информации, такой как личная информация (Personally Identifiable Information - PII) в соответствии с требованиями многих мандатов, таких как PCI.

PayloadIP Header

Packet Slicing


МАСКИРОВКА ДАННЫХ

Data Masking – Позволяет скрыть определенные данные, с сохранением общего размера фрейма, чтоб личная информация (Personally Identifiable Information - PII) не передавалась на анализатор.

Примеры использования• Защита PII: Предприятия часто имеют рекомендации/обязательства, которые обязуют их не хранить,

передавать или другим образом раскрывать PII внутренних или внешних пользователей. Примерами таких мандатов являются PCI (Payment Card Industry) или HIPAA в области здравоохранения в США. Нарушения часто приводят к многомиллионным штрафам.

PayloadIP Header

Data Masking

XXXX


ВРЕМЕННЫЕ МЕТКИ

Packet Timestamping – Добавляет в каждый пакет раздел содержащий временную метку, для детального изучения задержки анализаторами.

Примеры использования• Задержка: Анализатор может определить задержку между любыми тапами в сети, путем

сравнения временных меток в одном и том же пакете из разных мест сети.

PayloadIP Header

Packet Timestamping

Timestamp

Vision ONE использует PTP или NTP для получения

эталонного времени


ЗАЩИТА ОТ «ВСПЛЕСКОВ»

Burst Protection – Добавляет дополнительный буфер к 1G интерфейсам для обеспечения защиты от таких событий как microburst и позволяет избежать потери данных.

Примеры использования• Агрегация: Когда трафик агрегируется из разных участков сети в один 1G анализатор,

возможно кратковременное превышение 1Gbps трафика.• Трансляция скорости: При фильтрации 1G данных из 10G линка/интерфейса, данный

функционал может обезопасить от кратковременного «всплеска» анализатор с производительностью 1G.


IXIA – ВСЕГДА ПРОДВИНУТАЯ ОБРАБОТКА ПАКЕТОВ НА ПОЛНОЙ СКОРОСТИ

«На гребне волны» Ixia всегда поддерживает работу на full-rate Независимо от размера фрейма Независимо от количества задействованных функций

See Tolly Test Report #216100

Full Rate Advanced Packet Processing


ENTERPRISE – УМНАЯ ОБРАБОТКА ПРИЛОЖЕНИЙ

• ATI Processor (ATIP) – Интеллектуальная видимость приложений• Форвардинг на основе приложений, географии и соответствия RegEx

• Real-time dashboard• Rich NetFlow / IPFIX generation

– Device OS– Browser– Carrier BGP AS#– Geolocation

• Data Masking• Stateful SSL decryption

Весь трафик из Грузии

Весь голосовой трафик от HTC Ones

Кто-то из ЮАР смотрит «Карточный домик» на Netflix, на iPhone через сеть Vodacom

NPB –App Brokering

Meta Data

App Filtering


ATIP – DEEP PACKET INSPECTION

Использование ATIP для выполнения Deep Packet Inspection

Распознавание Applications Application events Handset OS Browser Geolocation

Подписка Обновление каждые 3 недели


ФИЛЬТРАЦИЯ ПРИЛОЖЕНИЙ

Point and ClickFilter settings

Geographic MatchingClick map or country name

App MatchingStatic, dynamic, customApp Groups

Category, OS, etc.


ПОИСК REGEX & МАСКИРОВКА ДАННЫХEasy Setup

Add to any filterPredefined Patterns

Email, credit cards, SSN, etc.Custom Patterns

Built in UIOptional Masking

Partial or complete stringFixed Offset

L2-L4 Header offset


ГИБКАЯ ОБРАБОТКА ТРАФИКА

Easy SetupForward, NetFlow, or both

Real-time StatsFor all filters


RICH NETFLOW / IPFIX GENERATION

Easy SetupOne-click enable

Standard FieldsIncluding router offload IxFlow Extensions

Handset, browser, geo, SSL

High performanceSupports up to 10 collectors


ATIP – ПОНИМАНИЕ SSL Пассивная дешифровка – не влияет на производительность приложений

Полностью совместимо с другими функциями ATIP: Rich Netflow/IPFIX Data Masking Geolocation

Простая настройка – только импорт сертификатов/ключей

Все популярные шифры/алгоритмы: RSA & DH Key Exchange SHA1/521/384/256/224 MD5

• Application Filtering• Handset/workstation type• Browser identification

• 3DES• RC4

• AES• ECC (Elliptic Curve)

• Репорт деталей шифрования - NetflowHardware Encryption Offload


ATIP ПРИМЕРЫ ИСПОЛЬЗОВАНИЯ

SaaS Issue Correlation to Service Provider Granular VoIP Filtering


ДВЕ ГЛАВНЫХ ТОПОЛОГИИ VISIBILITY

Monitoring (out-of-band) Анализаторы терминируют трафик и не

форвардят его обратно в сеть. Типичные анализаторы:

Application Performance Monitoring (APM) Network Performance Monitoring (NPM) Intrusion Detection System Data recording

Inline (inband) Решения анализируют и выборочно

отбрасывают трафик или форвардят обратно в сеть.

Типичные inline анализаторы: Intrusion Prevention System (IPS) Data Loss Prevention (DLP) Web Cache SSL encrypt / decrypt Firewall


INLINE И МОНИТОРИНГ ВМЕСТЕ

Inline Monitoring

Inline• IPS (multiple vendors)

Out-of-band Monitoring• Data logging


SERIAL INLINE DEPLOYMENT

Switch

1 2 3


ВНЕШНИЙ BYPASS

Почему использовать внешний vs интегрированный Bypass?

1. Внешний – надежность в 5 раз лучше! MTBF (Mean Time Between Failure in Hours)

Внешний Bypass: 450,000 Интегрированный Bypass: 80,000

2. Легче заменить вышедшие из строя устройства Нет риска «падения» сети

3. Такой же размер как и интегрированного bypass 2U


ПРОЩЕ НАСТРОЙКА

Создание сложных топологий за несколько минут Inline serial Parallel load balanced Inline serial & Parallel load balance together


N+M ОТКАЗОУСТОЙЧИВОСТЬ АНАЛИЗАТОРОВ

Поддерживает любые варианты N+M отказоустойчивости устройств N+M Redundancy: M резервных устройств для

защиты N активных устройств N+1 Redundancy: одно резервное устройство

для защиты N активных устройств

Поведение при неисправности устройств Резервное устройство забирает трафик

неисправного устройства Активное устройство возвращает себе трафик

после восстановления Отказ устройства выявляется с помощью

heartbeat пакетов


БЫСТРОЕ ОБНАРУЖЕНИЕ ОТКАЗОВ - HEARTBEATSОбнаружение отказов Heartbeats между bypass switch и NPB

Heartbeats между NPB и устройством

Отсутствие heartbeats указывает об отказе

Ключевые возможности Предустановленные heartbeats для проверки разных устройств

Настраиваемые heartbeats для сложных ситуаций

Поддержка single-stage (blue) или multistage (red) heartbeats


VISION ONE – БЕЗОПАСНОСТЬ БЕЗ ПОТЕРЬ

Intelligent• ATIP: DPI for app awareness• SSL decryption• Reliable adv. packet processing• Supports inline & monitoring• Terminates physical & vTap traffic

Compact• 1U high• Connectivity

• 48 SFP+ for 1G or 10G• 4 QSFP+ for 4x40G or 16x10G

• Growth via expansion slot

Reliable• Based on NVOS 4.x• Redundant, hot swappable power supplies & fans• NEBs capable

Multiuser ready• Extensive role-based access control• Automatic Filter Rule Compiler• Intuitive GUI• RESTful API


#securitywithoutsacrifice

Amplify security without ever changing a cable. See everything. Miss Nothing.

IXIA NVS Vision one

Technology

Transcript of IXIA NVS Vision one