IXIA NVS Vision one
-
Upload
muk-extreme -
Category
Technology
-
view
268 -
download
5
Transcript of IXIA NVS Vision one
1© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
VISION ONE
Паливода АлександрСистемный инженер[email protected]
2© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ВНЕДРЕНИЕ БЕЗОПАСНОСТИ – НЕ ПРОСТО
CONSTANT CHANGE
ThreatsLawsApplications
SINGLE PURPOSE TOOLS
EXPENSIVE
3© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
БЕЗОПАСНОСТЬ ПОСТОЯННО МЕНЯЕТСЯ
Всегда много составляющих
4© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
See EverythingИнтуитивно-
понятный UI и запатентованный
компилятор фильтров
Look WithinATI для SSL
дешифровки & App intelligence
VirtualizeУправление трафиком от физических и виртуальных
тапов
Layered Defense
Flexibly deploy tools inline and
out-of-band
Optimize
ZERO-loss advanced packet
processing
5© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ЭВОЛЮЦИЯ УМНОЙ VISIBILITY
Все пакеты
TAP
Raw Packets
Только трафик 10.0.0.0/8
Только трафик TCP Port 25
L2-4 Filters
NPB
Все уникальные пакеты идущие к 10.0.0.0/8
Только первые 128 bytes пакета, TCP Port 25
Hardware AFM
NPBAdv. Packet Processing
Весь трафик из Грузии
Весь голосовой трафик из HTC One
Кто-то из ЮАР смотрит «Карточный домик» на Netflix, на iPhone через сеть Vodacom
NPB –App Brokering
Meta Data
App Filtering
6© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ФИЛЬТРАЦИЯ: ТВОЙ ВЫБОР
Трудный путьПростой путь
Использование фильтров других вендоров “…мы потратили около четырех часов и определенное количество проб и ошибок чтоб получить карту фильтров, ее применение и определение.”
“Ixia функционал - Dynamic Filtering , с другой стороны, отнял всего 10 минут чтоб сделать те же задачи в наших тестах.”
7© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
VLAN 1-3
VLAN 3-6
TCP
Автоматически определяет совпадающие фильтры и создает правило
3. Что делает автоматический копилятор правил
АВТОМАТИЧЕСКИЙ КОМПИЛЯТОР ПРАВИЛ IXIA
Network SPAN Port
Tool Port #1
Tool Port #2
Tool Port #3
VLAN 3-6
VLAN 1-3
Трафик распространяется из одного SPAN порта в 3 системы
TCP
No. Criteria Action0 VLAN 3 + TCP Tool 1, 2 & 31 VLAN 1-3 + TCP Tool 1 & 22 VLAN 4-6 + TCP Tool 2 & 33 VLAN 3 Tool 1 & 34 VLAN 1-2 Tool 15 VLAN 4-6 Tool 36 TCP Tool 27 Null Drop
Автоматически исправляет совпадающие правила. Значительно упрощает то, что тебе нужно.
Изменения «на ходу» – нет потери пакетов
Одновременные изменения разными администраторами
Простота интеграции со сторонними системами провижининга – автоматизация
4. Почему это так важно
1. Что ты хочешьВвести 3 простых фильтра в Network Tool Control Panel
2. Что ты делаешь
8© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
УМНАЯ ОБРАБОТКА ПАКЕТОВ
Выделенные аппаратные средства добавляют данные либо убирают ненужные без потери информации на основе per packet
Все уникальные пакеты идущие к 10.0.0.0/8
Только первые 128 bytes пакета, TCP Port 25
Hardware AFM
NPBAdv. Packet Processing
Advanced Packet Processing (AFM) Features
• Дедупликация• Снятие заголовков• Усечение (Trimming)• Маскировка данных• Временные метки• Защита от «всплесков»
9© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ПРОДВИНУТАЯ ОБРАБОТКА ПАКЕТОВ В VISION ONE Вызов
• Необходимость гарантированной производительности обработки пакетов,но не на каждом порту
Решение• Hardware-based гарантированная производительность обработки• Назначается портам – каждые 10G• Полная производительность при множестве функций
Выгоды• Возможности окупают стоимость• Надежная производительность• Каждый порт может иметь AFM• Увеличивает возможность ATIP/DPI путем AFM предфильтрации
16x10G Shared AFM
10© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ДЕДУПЛИКАЦИЯ
Deduplication – только одна копия пакета отправляется к анализатору
Откуда появляются повторяющиеся пакеты?– Несколько тапов агрегируют в один и тот же анализатор– Один SPAN порт обычно генерирует повторяющиеся пакеты
(http://blogs.cisco.com/security/span-packet-duplication-problem-and-solution)
11© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
СНЯТИЕ ЗАГОЛОВКОВ
Header Stripping – обнаруживает и удаляет протоколы тунелирования из заголовка, для анализа инструментами, которые не поддерживают данные протоколы.
PayloadIP Header
Header Stripping
MPLS Label
Примеры использования:• Translation: Удаляет заголовки протоколов, которые не
понимает анализатор и отдает пакет в поддерживаемом формате.
– MPLS, VNTag, FabricPath, etc.• vTap Termination: Терминирует трафик от Phantom vTap• ERSPAN termination: Терминирует трафик из удаленных
офисов/филиалов
12© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
УСЕЧЕНИЕ ПАКЕТОВ
Packet Trimming – усечение пакетов до определенного размера и опционально вставляет «trailer» чтоб добиться исходного размера пакета перед отправкой на анализатор.
Примеры использования• Эффективность анализатора: Снижение размера пакета для отправки на анализатор.
– Удалить SSL-encrypted payloads перед анализом– Удалить payloads для анализаторов которые изучают только заголовки
• Безопасность: Если payload пакета не нужен для анализа, то эта функция может быть использована для защиты от раскрытия конфиденциальной информации, такой как личная информация (Personally Identifiable Information - PII) в соответствии с требованиями многих мандатов, таких как PCI.
PayloadIP Header
Packet Slicing
13© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
МАСКИРОВКА ДАННЫХ
Data Masking – Позволяет скрыть определенные данные, с сохранением общего размера фрейма, чтоб личная информация (Personally Identifiable Information - PII) не передавалась на анализатор.
Примеры использования• Защита PII: Предприятия часто имеют рекомендации/обязательства, которые обязуют их не хранить,
передавать или другим образом раскрывать PII внутренних или внешних пользователей. Примерами таких мандатов являются PCI (Payment Card Industry) или HIPAA в области здравоохранения в США. Нарушения часто приводят к многомиллионным штрафам.
PayloadIP Header
Data Masking
XXXX
14© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ВРЕМЕННЫЕ МЕТКИ
Packet Timestamping – Добавляет в каждый пакет раздел содержащий временную метку, для детального изучения задержки анализаторами.
Примеры использования• Задержка: Анализатор может определить задержку между любыми тапами в сети, путем
сравнения временных меток в одном и том же пакете из разных мест сети.
PayloadIP Header
Packet Timestamping
Timestamp
Vision ONE использует PTP или NTP для получения
эталонного времени
15© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ЗАЩИТА ОТ «ВСПЛЕСКОВ»
Burst Protection – Добавляет дополнительный буфер к 1G интерфейсам для обеспечения защиты от таких событий как microburst и позволяет избежать потери данных.
Примеры использования• Агрегация: Когда трафик агрегируется из разных участков сети в один 1G анализатор,
возможно кратковременное превышение 1Gbps трафика.• Трансляция скорости: При фильтрации 1G данных из 10G линка/интерфейса, данный
функционал может обезопасить от кратковременного «всплеска» анализатор с производительностью 1G.
16© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
IXIA – ВСЕГДА ПРОДВИНУТАЯ ОБРАБОТКА ПАКЕТОВ НА ПОЛНОЙ СКОРОСТИ
«На гребне волны» Ixia всегда поддерживает работу на full-rate Независимо от размера фрейма Независимо от количества задействованных функций
See Tolly Test Report #216100
Full Rate Advanced Packet Processing
17© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ENTERPRISE – УМНАЯ ОБРАБОТКА ПРИЛОЖЕНИЙ
• ATI Processor (ATIP) – Интеллектуальная видимость приложений• Форвардинг на основе приложений, географии и соответствия RegEx
• Real-time dashboard• Rich NetFlow / IPFIX generation
– Device OS– Browser– Carrier BGP AS#– Geolocation
• Data Masking• Stateful SSL decryption
Весь трафик из Грузии
Весь голосовой трафик от HTC Ones
Кто-то из ЮАР смотрит «Карточный домик» на Netflix, на iPhone через сеть Vodacom
NPB –App Brokering
Meta Data
App Filtering
18© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ATIP – DEEP PACKET INSPECTION
Использование ATIP для выполнения Deep Packet Inspection
Распознавание Applications Application events Handset OS Browser Geolocation
Подписка Обновление каждые 3 недели
19© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ФИЛЬТРАЦИЯ ПРИЛОЖЕНИЙ
Point and ClickFilter settings
Geographic MatchingClick map or country name
App MatchingStatic, dynamic, customApp Groups
Category, OS, etc.
20© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ПОИСК REGEX & МАСКИРОВКА ДАННЫХEasy Setup
Add to any filterPredefined Patterns
Email, credit cards, SSN, etc.Custom Patterns
Built in UIOptional Masking
Partial or complete stringFixed Offset
L2-L4 Header offset
21© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ГИБКАЯ ОБРАБОТКА ТРАФИКА
Easy SetupForward, NetFlow, or both
Real-time StatsFor all filters
22© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
RICH NETFLOW / IPFIX GENERATION
Easy SetupOne-click enable
Standard FieldsIncluding router offload IxFlow Extensions
Handset, browser, geo, SSL
High performanceSupports up to 10 collectors
23© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ATIP – ПОНИМАНИЕ SSL Пассивная дешифровка – не влияет на производительность приложений
Полностью совместимо с другими функциями ATIP: Rich Netflow/IPFIX Data Masking Geolocation
Простая настройка – только импорт сертификатов/ключей
Все популярные шифры/алгоритмы: RSA & DH Key Exchange SHA1/521/384/256/224 MD5
• Application Filtering• Handset/workstation type• Browser identification
• 3DES• RC4
• AES• ECC (Elliptic Curve)
• Репорт деталей шифрования - NetflowHardware Encryption Offload
24© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ATIP ПРИМЕРЫ ИСПОЛЬЗОВАНИЯ
SaaS Issue Correlation to Service Provider Granular VoIP Filtering
25© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ДВЕ ГЛАВНЫХ ТОПОЛОГИИ VISIBILITY
Monitoring (out-of-band) Анализаторы терминируют трафик и не
форвардят его обратно в сеть. Типичные анализаторы:
Application Performance Monitoring (APM) Network Performance Monitoring (NPM) Intrusion Detection System Data recording
Inline (inband) Решения анализируют и выборочно
отбрасывают трафик или форвардят обратно в сеть.
Типичные inline анализаторы: Intrusion Prevention System (IPS) Data Loss Prevention (DLP) Web Cache SSL encrypt / decrypt Firewall
26© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
INLINE И МОНИТОРИНГ ВМЕСТЕ
Inline Monitoring
Inline• IPS (multiple vendors)
Out-of-band Monitoring• Data logging
27© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
SERIAL INLINE DEPLOYMENT
Switch
1 2 3
28© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ВНЕШНИЙ BYPASS
Почему использовать внешний vs интегрированный Bypass?
1. Внешний – надежность в 5 раз лучше! MTBF (Mean Time Between Failure in Hours)
Внешний Bypass: 450,000 Интегрированный Bypass: 80,000
2. Легче заменить вышедшие из строя устройства Нет риска «падения» сети
3. Такой же размер как и интегрированного bypass 2U
29© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ПРОЩЕ НАСТРОЙКА
Создание сложных топологий за несколько минут Inline serial Parallel load balanced Inline serial & Parallel load balance together
30© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
N+M ОТКАЗОУСТОЙЧИВОСТЬ АНАЛИЗАТОРОВ
Поддерживает любые варианты N+M отказоустойчивости устройств N+M Redundancy: M резервных устройств для
защиты N активных устройств N+1 Redundancy: одно резервное устройство
для защиты N активных устройств
Поведение при неисправности устройств Резервное устройство забирает трафик
неисправного устройства Активное устройство возвращает себе трафик
после восстановления Отказ устройства выявляется с помощью
heartbeat пакетов
31© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
БЫСТРОЕ ОБНАРУЖЕНИЕ ОТКАЗОВ - HEARTBEATSОбнаружение отказов Heartbeats между bypass switch и NPB
Heartbeats между NPB и устройством
Отсутствие heartbeats указывает об отказе
Ключевые возможности Предустановленные heartbeats для проверки разных устройств
Настраиваемые heartbeats для сложных ситуаций
Поддержка single-stage (blue) или multistage (red) heartbeats
32© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
VISION ONE – БЕЗОПАСНОСТЬ БЕЗ ПОТЕРЬ
Intelligent• ATIP: DPI for app awareness• SSL decryption• Reliable adv. packet processing• Supports inline & monitoring• Terminates physical & vTap traffic
Compact• 1U high• Connectivity
• 48 SFP+ for 1G or 10G• 4 QSFP+ for 4x40G or 16x10G
• Growth via expansion slot
Reliable• Based on NVOS 4.x• Redundant, hot swappable power supplies & fans• NEBs capable
Multiuser ready• Extensive role-based access control• Automatic Filter Rule Compiler• Intuitive GUI• RESTful API
33© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
#securitywithoutsacrifice
Amplify security without ever changing a cable. See everything. Miss Nothing.