Embed Size (px)
Citation preview
Новый инфраструктурный уровень доступа к трафику
Системы зеркалирования трафика
Паливода АлександрСистемный инженер[email protected]
Технологические партнеры
ИБ
APM
NPM
Партнеры
Production Network
NMS/SIEMАвтоматизация
• SPAN Ports• Taps• Inline Bypass
• SPAN Ports• Taps
• SPAN Ports• Taps• Inline Bypass
Core
Существующие ограничения доступа к трафику
Data Center
Campus ROBO
DMZЦентры обработки данных
Узлы связи и коммутации
Распределенные сети
Системы мониторинга
Управлениесетью
Сетевые анализаторы
СОРМ
IDS, DLP…
Анализ качества
APM
SIEM
Рерсурсовне хватит
January 18, 2014
Комплексная архитектура зеркалирования и обработки трафика
Carrier NetworksWired and Mobile
Data CenterPrivate Cloud
Virtualization
Core
Remote OfficeBranch Office
Campus
Network Operations
Performance Management
Security Admin
Server Admin
Audit & Privacy
Forensics
Visibility Architecture
AppAware
Out of BandNPB
Сплиттер
ElementMgmt
Virtual & CloudAccess
PolicyMgmt
InlineNPBInline
Bypass
SessionAware
Data CenterAutomation
Network Access
PacketBrokers Applications Management
January 18, 20145
Campus
Branch
Data CenterCore
Cloud
Network Monitoring ToolsProtocolAnalyzer
ApplicationPerformance
PacketCapture
WebApplication
IDSIPS
DatabaseSecurity DoS
Lawful Intercept
SPAN SPAN
SPAN SPAN
2G 10G 1G 1G 10G 2G 10G 2G
Стандартный сценарий
January 18, 20146
Campus
Branch
Data CenterCore
Cloud
Network Monitoring ToolsProtocolAnalyzer
ApplicationPerformance
PacketCapture
WebApplication
IDSIPS
DatabaseSecurity DoS
Lawful Intercept
SPAN SPAN
SPAN SPAN
10G 1G 1G 1G 10G 2G
TAP
TAP
TAP
TAP
BYPASS
BYPASS
TAP
vTAP
TAP
2G
10G
10G10G
10G
10G 10G
Сценарий с применением сплиттеров
January 18, 20147
Campus
Branch
Data CenterCore
Cloud
Network Monitoring ToolsProtocolAnalyzer
ApplicationPerformance
PacketCapture
WebApplication
IDSIPS
DatabaseSecurity DoS
Lawful Intercept
SPAN SPAN
SPAN SPAN
TAP
TAP
TAP
TAP
BYPASS
BYPASS
TAP
vTAP
TAP
10G 1G 1G 1G 10G 2G2G 10G2G2G 1G
Filtering
Flow Linking
Aggregation
Regeneration
Load Balancing
Burst Protection
Trimming & Stripping
Time Stamping
De-duplication
Ixia Network Packet Brokers
Полноценная система захвата и зеркалирования
January 18, 2014
Эволюция умной Visibility
Все пакеты
TAP
Raw Packets
Только трафик 10.0.0.0/8
Только трафик TCP Port 25
L2-4 Filters
NPB
Все уникальные пакеты идущие к 10.0.0.0/8
Только первые 128 bytes пакета, TCP Port 25
Hardware AFM
NPBAdv. Packet Processing
Весь трафик из Грузии
Весь голосовой трафик из HTC One
Кто-то из ЮАР смотрит «Карточный домик» на Netflix, на iPhone через сеть Vodacom
NPB –App Brokering
Meta Data
App Filtering
January 18, 2014
Фильтрация: твой выбор
Трудный путьПростой путь
Использование фильтров других вендоров “…мы потратили около четырех часов и определенное количество проб и ошибок чтоб получить карту фильтров, ее применение и определение.”
“Ixia функционал - Dynamic Filtering , с другой стороны, отнял всего 10 минут чтоб сделать те же задачи в наших тестах.”
January 18, 201410
Умная обработка пакетов
Выделенные аппаратные средства добавляют данные либо убирают ненужные• без потери информации• на основе per packet
Все уникальные пакеты идущие к 10.0.0.0/8
Только первые 128 bytes пакета, TCP Port 25
Hardware AFM
NPBAdv. Packet Processing
Advanced Packet Processing (AFM) Features• Дедупликация• Снятие заголовков• Усечение (Trimming)• Маскировка данных• Временные метки• Защита от «всплесков»
January 18, 201411
Дедупликация
Deduplication – только одна копия пакета отправляется к анализатору
Откуда появляются повторяющиеся пакеты?– Несколько тапов агрегируют в один и тот же анализатор– Один SPAN порт обычно генерирует повторяющиеся пакеты
(http://blogs.cisco.com/security/span-packet-duplication-problem-and-solution)
January 18, 201412
Снятие заголовков
Header Stripping – обнаруживает и удаляет протоколы туннелирования из заголовка, для анализа инструментами, которые не поддерживают данные протоколы.
PayloadIP Header
Header Stripping
MPLS Label
Примеры использования:• Translation: Удаляет заголовки протоколов,
которые не понимает анализатор и отдает пакет в поддерживаемом формате.
– MPLS, VNTag, FabricPath, etc.• vTap Termination: Терминирует трафик от Phantom
vTap• ERSPAN termination: Терминирует трафик из
удаленных офисов/филиалов
January 18, 201413
Усечение пакетов
Packet Trimming – усечение пакетов до определенного размера и опционально вставляет «trailer» чтоб добиться исходного размера пакета перед отправкой на анализатор.
Примеры использования• Эффективность анализатора: Снижение размера пакета для отправки на анализатор.
– Удалить SSL-encrypted payloads перед анализом– Удалить payloads для анализаторов которые изучают только заголовки
• Безопасность: Если payload пакета не нужен для анализа, то эта функция может быть использована для защиты от раскрытия конфиденциальной информации, такой как личная информация (Personally Identifiable Information - PII) в соответствии с требованиями многих мандатов, таких как PCI.
PayloadIP Header
Packet Slicing
January 18, 201414
Маскировка данных
Data Masking – Позволяет скрыть определенные данные, с сохранением общего размера фрейма, чтоб личная информация (Personally Identifiable Information - PII) не передавалась на анализатор.
Примеры использования• Защита PII: Предприятия часто имеют рекомендации/обязательства, которые обязуют их не
хранить, передавать или другим образом раскрывать PII внутренних или внешних пользователей. Примерами таких мандатов являются PCI (Payment Card Industry) или HIPAA в области здравоохранения в США. Нарушения часто приводят к многомиллионным штрафам.
PayloadIP Header
Data Masking
XXXX
January 18, 201415
Временные метки
Packet Timestamping – Добавляет в каждый пакет раздел содержащий временную метку, для детального изучения задержки анализаторами.
Примеры использования• Задержка: Анализатор может определить задержку между любыми тапами в сети,
путем сравнения временных меток в одном и том же пакете из разных мест сети.
PayloadIP Header
Packet Timestamping
Timestamp
использует PTP или NTP для получения эталонного времени
January 18, 201416
Защита от «всплесков»
Burst Protection – Добавляет дополнительный буфер к 1G интерфейсам для обеспечения защиты от таких событий как microburst и позволяет избежать потери данных.
Примеры использования• Агрегация: Когда трафик агрегируется из разных участков сети в один 1G
анализатор, возможно кратковременное превышение 1Gbps трафика.• Трансляция скорости: При фильтрации 1G данных из 10G линка/интерфейса,
данный функционал может обезопасить от кратковременного «всплеска» анализатор с производительностью 1G.
January 18, 201417
ATIP – Deep Packet Inspection
Использование ATIP для выполнения Deep Packet Inspection
Распознавание• Applications• Application events• Handset OS• Browser• Geolocation
Подписка• Обновление каждые 3 недели
January 18, 2014
Две главных топологии Visibility
Monitoring (out-of-band) Анализаторы терминируют трафик и не
форвардят его обратно в сеть. Типичные анализаторы:
– Application Performance Monitoring (APM)– Network Performance Monitoring (NPM)– Intrusion Detection System– Data recording
Inline (inband) Решения анализируют и выборочно
отбрасывают трафик или форвардят обратно в сеть.
Типичные inline анализаторы:– Intrusion Prevention System (IPS)– Data Loss Prevention (DLP)– Web Cache– SSL encrypt / decrypt– Firewall
January 18, 201419
Внешний Bypass
Почему использовать внешний vs интегрированный Bypass?
1. Внешний – надежность в 5 раз лучше!
• MTBF (Mean Time Between Failure in Hours)
o Внешний Bypass: 450,000o Интегрированный Bypass: 80,000
2. Легче заменить вышедшие из строя устройства
• Нет риска «падения» сети
3. Такой же размер как и интегрированного bypass• 2U
January 18, 201420
N+M отказоустойчивость анализаторов
Поддерживает любые варианты N+M отказоустойчивости устройств N+M Redundancy: M резервных устройств для
защиты N активных устройств N+1 Redundancy: одно резервное устройство
для защиты N активных устройств
Поведение при неисправности устройств Резервное устройство забирает трафик
неисправного устройства Активное устройство возвращает себе трафик
после восстановления Отказ устройства выявляется с помощью
heartbeat пакетов
January 18, 201421
Быстрое обнаружение отказов - Heartbeats
Обнаружение отказов Heartbeats между bypass switch и NPB Heartbeats между NPB и устройством Отсутствие heartbeats указывает об отказе
Ключевые возможности Предустановленные heartbeats для проверки разных
устройств Настраиваемые heartbeats для сложных ситуаций Поддержка single-stage (blue) или multistage (red)
heartbeats
Сплиттеры. Медные и оптические ответвители.
Innovative FlexTap 1-100G SM and MM High density design saves rack space All-optical Flexible deployment, up to 24 Taps in 1U
Secure, intelligent remote management and ProPush™ statistics
Zero delay technology eliminates packet drop Single and high density bypass configurations Multi-stream heartbeat with micro second response
StrengthsDeployment Flexibility Security and Reliability Industry Leading Recovery Times
Ixia TAPs and Bypass Switches Provide the Industry’s Broadest and Most Robust Access Portfolio
FlexTap (1 / 10 / 40 / 100G)Gig Zero Delay Tap
iBypass HD 10 GigaBit Regeneration Tap
iTap Dual Port Aggregator
1Gigabit
10Gigabit
40Gigabit
100Gigabit
January 18, 201423
Продуктовая линейка IXIA NTO
211x5204
Carrier-Class/NEBS
High Performance 10/40/100G
Advanced1/10G
Entry
• Flexible, scalable, high density
• 100G, 40G & 10G• 4x 100G, 16 x 40G, or 64 x
10G
• High-density, Carrier-Grade
• 100G, 40G & 10G (NEBS)• 4x 100G, 16 x 40G, or 64 x
10G
EnterpriseCapability
5236 5273
5288 5293
• 10G networks (NEBS)• 24 x 10G
• High-performance 10G• 24 x 10G
• Small Enterprise• 4 x 10G + 20 x
1G
Flexible & Scalable
10/40/100G • ControlTower Architecture• 16 x 40G, or 64 x 10G
5268
• Medium Enterprise
• 10/1G + Advanced
• ControlTower Architecture• 16 x 40G, or 64 x 10G
5260/3
StrengthsRich Feature Set Carrier Class Reliability Easy Configuration and Management
NTO Packet Brokers Bring Intelligence and Scalability to Visibility Architectures to Maximize Tool Capability
NTO 7300 Platform Summary
7U Chassis with 6 SlotsBest Density in the Industry! (584G/U)
384 Ports of 10Gb (via 40Gb breakout)288 Ports of Native 10Gb SFP+96 Ports of 40Gb24 Ports of 100Gb
High Availability Design Redundant FansRedundant DC Power (1U AC Shelf)Redundant FabricsHot-Swap Capable (Post-RTS)
Switching Capacity: 3.8Tb/sControl Tower ReadyNEBS 3 Ready
Ready at Initial Ship:
• 6 Slot Chassis w/non-block Fabric• 48 port 1/10G Line Card• 16 port 40G Card• 4.0 Application Feature set• NEBS• AC or DC Power
January 18, 2014
Продуктовая линейка IXIA - Netoptics
Product Key Benefits
10G Load BalancingxBalancer
• Combined feature set: Tap, Aggregation, Regeneration, Dynamic Load Balancing
• Distribute traffic to multiple tools for parallel processing
Timestamping
Director xStream Pro
• Combined feature set: Tap, Aggregation, Regeneration, Static Load Balancer, Timestamping
10G Monitoring Switch
Director xStream
• Combined feature set: Tap, Aggregation, Regeneration, Static Load Balancer
1G Monitoring Switch
Director and Director Pro
• Aggregation, Regeneration• Deep Packet Inspection• L2-7 Filtering
10G AggregationiLink Agg xStream
• Aggregates multiple traffic streams for monitoring by a single tool
StrengthsHigh Performance Broad Feature Sets Kernel Level Software
Forward relevant network traffic from multiple links to multiple monitoring tools for monitoring and analysis
25
January 18, 2014
Vision ONE – безопасность без потерь
Intelligent• ATIP: DPI for app awareness• SSL decryption• Reliable adv. packet processing• Supports inline & monitoring• Terminates physical & vTap
traffic
Compact• 1U high• Connectivity
• 48 SFP+ for 1G or 10G• 4 QSFP+ for 4x40G or 16x10G
• Growth via expansion slot
Reliable• Based on NVOS 4.x• Redundant, hot swappable power
supplies & fans• NEBs capable
Multiuser ready• Extensive role-based access control• Automatic Filter Rule Compiler• Intuitive GUI• RESTful API
January 18, 201427
Virtualization and Cloud Platforms: Visibility for Virtualized Environments
HypervisorSupport:
StrengthsHighest Performance Cross Platform Certified Kernel Level Software
Supports multiple hypervisors in the same management server - VMware and KVM
Сохраняет производительность, емкость, пропускную способность для всех технологий
Снижает уровень инвестиций в виртуальные средства путем перехода от физики до виртуализации
Обеспечивает передачу данных от ЦОД до систем мониторинга
Включает мониторинг виртуального сетевого трафика в виртуальной среде которая не может обработать VN-Tags
January 18, 201428
GTP Session Controller - GSC 7433
Первый в индустрии GTP Session Controller
GSC 7433
Полная видимость GTP сессий Разгружает системы мониторинга от корреляции GTP сессий Сохраняет GTP сессии от нескольких пробников Session Distiller предоставляет выбор уникальной GTP На основе проверенного Anue software interface
Масштабируемое решение для балансировки нагрузки Распределение более 50 млн пользовательских сессий Масштабируется от 32 до 64 ports в одном шасси 2RU Session Safety Net обнаруживает отказ пробника и перераспределяет трафик до
восстановления Доступность операторского класса
NEBS Level 3 Certified Product Front to Back Air Flow Redundant Management Ports
StrengthsHighest Performance Robust Load Balancin High Reliability
The Most Advanced GTP Session Capabilities Available in the Market
January 18, 2014
Visibility Architecture Management
StrengthsGlobal Management Capability Complete Portfolio Coverage
Visibility Management Allows Deployment of Global Visibility Architectures and Advanced Automation
Решение Ixia GMS отвечает потребностям пользователей NTO в трех ключевых областях:• NTO Inventory Management• NTO Performance and Fault
Monitoring• Multi-NTO Configuration
Management
Ixia GMS ManagementNetOptics VMS• Автообнаружение и настройкаNet Optics устройств(Director, Director Pro, iTap)
• Собирает статистику используя ProPush™ технологию и SNMP
• Планировщик для устройств и управления политиками
