Build your monitoring network by leveraging the advanced DPI/SDN technology

1. Build Your Monitoring Network
tony.wang@packetx.biz
2016/3/7

2. 資訊安全 網路效能 應用效能 法規符合
數位行為稽核 使用者行為分析 …
每一議題皆有相應的產品方案, 其共通點如下
A. 以網路流量為主要分析標的
ps:故底下將此類產品統稱”網路封包分析裝置”, 簡稱”分析裝置”
B. 以價格/流量 為比較依據, 分析裝置比一般網路設備更昂貴!
C. 多種分析裝置已列入企業”MUST-BUY”的清單內,
但效益與整體擁有成本多半蒙昧不明
ps: 最常見must-buy的為資安類的IDS, IPS等等
企業網路的關鍵議題

3. 流量來源與分析裝置的
多對多網絡 圖引自: ESG Market Report July 11, 2012
分析裝置建置時經常輕忽的
事…
分析裝置如何取得網路流量
以進行分析?
傳統作法
交換機(L2/L3 switch)透過mirror
port將流量複製到多個分析裝置
時, 如此會產生如右圖密集複雜
的網絡…

4. 如果說網路封包是行李,
網路分析裝置就如同X-ray設備,
那聰明的你會關心這些:
- 挑出較可疑的行李優先處理?!
- 迅速打開多層的行李包裹!?
- 如何用最少的X-ray設備處裡最多行
李…
2016/3/7

5. 在資安投資不斷升高的今日
所有企業都須建立一個可協助優化
分析裝置效能的監測網路
(Monitoring Network), 而GRISM將扮
演一個關鍵角色….
2016/3/7

6. 2016/3/7
新型態監測網路
媒合mirror port與分析裝置
的監測網路(monitoring
network)
依各分析裝置之需求精確派
送封包: 提升分析裝置執行效
益並降低敏感資訊外流的風
險
進行封包分析前置處理(ex.
MPLS/VLAN tag removal/HTTS
bypass ),大幅減輕分析裝置負
擔

7. • In-line 封包處理與辨識
以透通方式將link聚合後
分配到平行的分析裝置
• 大數據資料萃取
Netflow V5
Application Flow Log :
辨識每一session屬於那種服務
• 監測網路流量側錄
於近端或遠端寫錄PCAP檔
• 精準過濾與分配
Many-to-Many port mapping and aggregation
L2-L4 header value & L4-L7 pattern matching
Session-based Load Balance
平等分配: 過濾條件交集封包複製
• Out-of-band 封包預處理
Tag移除 or 再封裝: QinQ, MPLS, GRE, GTP…
Packet Slicing : 切除封包部分內容
敏感資料遮罩: 自定內容遮罩(如身份證pattern)
• In-line 封包處理與辨識
以透通方式將link聚合
條件式分配到平行的In-line分析裝置
智慧型“部分旁路”機制
:= NPB + DPI + SDN

8. CASE STUDY
2016/3/7

9. 2016/3/7
Case 1: 監測網路基礎建設
精準過濾與分配
-L2-L4 header value
-Load Balance
-平等分配
右圖之IDS與APM均會
收到port 80, port 443的
封包
大數據資料萃取
- 產出Netflow V5
(with packet deduplication)
以強化網管機制與行為
分析能力且無須犧牲
Router/Switch的效能

10. Case 2: In-line共享資源
2016/3/7
1G
1G
1G
10G
1G
1G
1G
10G
1G
1G
1G 1G
1G
1G
10G10G
10G10G
10G
Aggregation &
Load Balance
10G
IPS
IPS
In-line 封包處理
與辨識
以透通方式將
network link聚合c.
後再分配到平行
的In-line分析裝置
如此可將數條獨
立的link共享有限
的分析資源

11. 1G1G
1G
L3 Switch
L2 Switch
1G
1G
1G IPS1G
1G
Content-based
bypass
Others
Multi-Media or
Encrypted
(User Selected)
WholeTraffic
70%30%
Case 3: 多媒體流量旁路
Youtube與多媒體串流
將bypass資安設備
In-line 封包處理與辨識
多媒體流量(如YouTube)多半不具安全威脅, 可豁免其進入WAF/IPS,
以保留分析資源對付真正有威脅性的流量
DEMO Show
主題 智慧旁路
時間 16:40-17:00
地點 103

12. 2016/3/7
Case 5:監測網路虛擬化的實踐
Transportation Network
Switch
Switch
Switch
Switch APM
DLP
IDS
Tunnel
Tunnel
不受場域距離限制的監測能力
Production network的規劃經常遷就資安設備, 只因mirror流量傳輸能力有限; 運用GRISM的VxLAN
或X-tunnel 技術可以輕易地透過既有L2/L3/L4網路來傳輸mirror流量至分析資源集中地

13. 2016/3/7
Case 4 : 封包中的敏感資料遮罩
基於多種分析的需要,
網路封包會複製到多個裝置與
單位, 於是Syslog, VoIP message
(如SIP的電話號碼)或 DB Query
(可能只是為了效能調降)封包
內的敏感資訊也將因此曝光給
多個”其實並不需要這些資訊”
的裝置與有心人…
請用GRISM將其遮罩掉
右邊是遮罩身分證號碼的案例
Taiwan ID pattern:
b[a-zA-Z][1-2]{1}[0-9]{8 
Example: H123456789 , F129134567……
Original
Packets
After
Mask
DEMO Show
主題 敏感資料遮罩
時間 16:40-17:00
地點 103

14. Thank You!!
tony.wang@packetx.biz
2016/3/7