Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
1© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
VISION ONE
Паливода Александр
Системный инженер
opali@muk.ua
2© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ВНЕДРЕНИЕ БЕЗОПАСНОСТИ – НЕ ПРОСТО
CONSTANT CHANGE
Threats
Laws...
3© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
БЕЗОПАСНОСТЬ ПОСТОЯННО МЕНЯЕТСЯ
Всегда много составляющих
4© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
See Everything
Интуитивно-
понятный UI и
запатентованный
компил...
5© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ЭВОЛЮЦИЯ УМНОЙ VISIBILITY
Все пакеты
TAP
Raw Packets
Только тра...
6© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ФИЛЬТРАЦИЯ: ТВОЙ ВЫБОР
Трудный путьПростой путь
Использование ф...
7© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
VLAN 1-3
VLAN 3-6
TCP
Автоматически определяет совпадающие филь...
8© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
УМНАЯ ОБРАБОТКА ПАКЕТОВ
Выделенные аппаратные средства добавляю...
9© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ПРОДВИНУТАЯ ОБРАБОТКА ПАКЕТОВ В VISION ONE
• Вызов
• Необходимо...
10© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ДЕДУПЛИКАЦИЯ
Deduplication – только одна копия пакета отправля...
11© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
СНЯТИЕ ЗАГОЛОВКОВ
Header Stripping – обнаруживает и удаляет пр...
12© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
УСЕЧЕНИЕ ПАКЕТОВ
Packet Trimming – усечение пакетов до определ...
13© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
МАСКИРОВКА ДАННЫХ
Data Masking – Позволяет скрыть определенные...
14© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ВРЕМЕННЫЕ МЕТКИ
Packet Timestamping – Добавляет в каждый пакет...
15© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ЗАЩИТА ОТ «ВСПЛЕСКОВ»
Burst Protection – Добавляет дополнитель...
16© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
IXIA – ВСЕГДА ПРОДВИНУТАЯ ОБРАБОТКА ПАКЕТОВ НА
ПОЛНОЙ СКОРОСТИ...
17© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ENTERPRISE – УМНАЯ ОБРАБОТКА ПРИЛОЖЕНИЙ
• ATI Processor (ATIP)...
18© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ATIP – DEEP PACKET INSPECTION
 Использование ATIP для выполне...
19© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ФИЛЬТРАЦИЯ ПРИЛОЖЕНИЙ
Point and Click
Filter settings
Geograph...
20© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ПОИСК REGEX & МАСКИРОВКА ДАННЫХ
Easy Setup
Add to any filter
P...
21© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ГИБКАЯ ОБРАБОТКА ТРАФИКА
Easy Setup
Forward, NetFlow, or both
...
22© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
RICH NETFLOW / IPFIX GENERATION
Easy Setup
One-click enable
St...
23© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ATIP – ПОНИМАНИЕ SSL
• Пассивная дешифровка – не влияет на про...
24© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ATIP ПРИМЕРЫ ИСПОЛЬЗОВАНИЯ
SaaS Issue Correlation to Service P...
25© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ДВЕ ГЛАВНЫХ ТОПОЛОГИИ VISIBILITY
Monitoring (out-of-band)
 Ан...
26© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
INLINE И МОНИТОРИНГ ВМЕСТЕ
Inline Monitoring
Inline
• IPS (mul...
27© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
SERIAL INLINE DEPLOYMENT
Switch
1 2 3
28© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ВНЕШНИЙ BYPASS
Почему использовать внешний vs
интегрированный ...
29© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
ПРОЩЕ НАСТРОЙКА
 Создание сложных топологий за несколько мину...
30© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
N+M ОТКАЗОУСТОЙЧИВОСТЬ АНАЛИЗАТОРОВ
Поддерживает любые вариант...
31© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
БЫСТРОЕ ОБНАРУЖЕНИЕ ОТКАЗОВ - HEARTBEATS
Обнаружение отказов
...
32© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
VISION ONE – БЕЗОПАСНОСТЬ БЕЗ ПОТЕРЬ
 Intelligent
• ATIP: DPI...
33© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. |
#securitywithoutsacrifice
Amplify security without ever changi...
Upcoming SlideShare
Loading in …5
×

IXIA NVS Vision one

478 views

Published on

IXIA NVS Vision one packet broker

Published in: Technology
  • Be the first to comment

IXIA NVS Vision one

  1. 1. 1© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | VISION ONE Паливода Александр Системный инженер opali@muk.ua
  2. 2. 2© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | ВНЕДРЕНИЕ БЕЗОПАСНОСТИ – НЕ ПРОСТО CONSTANT CHANGE Threats Laws Applications SINGLE PURPOSE TOOLS EXPENSIVE
  3. 3. 3© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | БЕЗОПАСНОСТЬ ПОСТОЯННО МЕНЯЕТСЯ Всегда много составляющих
  4. 4. 4© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | See Everything Интуитивно- понятный UI и запатентованный компилятор фильтров Look Within ATI для SSL дешифровки & App intelligence Virtualize Управление трафиком от физических и виртуальных тапов Layered Defense Flexibly deploy tools inline and out-of-band Optimize ZERO-loss advanced packet processing
  5. 5. 5© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | ЭВОЛЮЦИЯ УМНОЙ VISIBILITY Все пакеты TAP Raw Packets Только трафик 10.0.0.0/8 Только трафик TCP Port 25 L2-4 Filters NPB Все уникальные пакеты идущие к 10.0.0.0/8 Только первые 128 bytes пакета, TCP Port 25 Hardware AFM NPB Adv. Packet Processing Весь трафик из Грузии Весь голосовой трафик из HTC One Кто-то из ЮАР смотрит «Карточный домик» на Netflix, на iPhone через сеть Vodacom NPB – App Brokering Meta Data App Filtering
  6. 6. 6© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | ФИЛЬТРАЦИЯ: ТВОЙ ВЫБОР Трудный путьПростой путь Использование фильтров других вендоров “…мы потратили около четырех часов и определенное количество проб и ошибок чтоб получить карту фильтров, ее применение и определение.” “Ixia функционал - Dynamic Filtering , с другой стороны, отнял всего 10 минут чтоб сделать те же задачи в наших тестах.”
  7. 7. 7© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | VLAN 1-3 VLAN 3-6 TCP Автоматически определяет совпадающие фильтры и создает правило 3. Что делает автоматический копилятор правил АВТОМАТИЧЕСКИЙ КОМПИЛЯТОР ПРАВИЛ IXIA Network SPAN Port Tool Port #1 Tool Port #2 Tool Port #3 Трафик распространяется из одного SPAN порта в 3 системы TCP No. Criteria Action 0 VLAN 3 + TCP Tool 1, 2 & 3 1 VLAN 1-3 + TCP Tool 1 & 2 2 VLAN 4-6 + TCP Tool 2 & 3 3 VLAN 3 Tool 1 & 3 4 VLAN 1-2 Tool 1 5 VLAN 4-6 Tool 3 6 TCP Tool 2 7 Null Drop  Автоматически исправляет совпадающие правила. Значительно упрощает то, что тебе нужно.  Изменения «на ходу» – нет потери пакетов  Одновременные изменения разными администраторами  Простота интеграции со сторонними системами провижининга – автоматизация 4. Почему это так важно 1. Что ты хочешь Ввести 3 простых фильтра в Network Tool Control Panel 2. Что ты делаешь
  8. 8. 8© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | УМНАЯ ОБРАБОТКА ПАКЕТОВ Выделенные аппаратные средства добавляют данные либо убирают ненужные без потери информации на основе per packet Все уникальные пакеты идущие к 10.0.0.0/8 Только первые 128 bytes пакета, TCP Port 25 Hardware AFM NPB Adv. Packet Processing Advanced Packet Processing (AFM) Features • Дедупликация • Снятие заголовков • Усечение (Trimming) • Маскировка данных • Временные метки • Защита от «всплесков»
  9. 9. 9© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | ПРОДВИНУТАЯ ОБРАБОТКА ПАКЕТОВ В VISION ONE • Вызов • Необходимость гарантированной производительности обработки пакетов, но не на каждом порту • Решение • Hardware-based гарантированная производительность обработки • Назначается портам – каждые 10G • Полная производительность при множестве функций • Выгоды • Возможности окупают стоимость • Надежная производительность • Каждый порт может иметь AFM • Увеличивает возможность ATIP/DPI путем AFM предфильтрации 16x10G Shared AFM
  10. 10. 10© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | ДЕДУПЛИКАЦИЯ Deduplication – только одна копия пакета отправляется к анализатору Откуда появляются повторяющиеся пакеты? – Несколько тапов агрегируют в один и тот же анализатор – Один SPAN порт обычно генерирует повторяющиеся пакеты ( )
  11. 11. 11© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | СНЯТИЕ ЗАГОЛОВКОВ Header Stripping – обнаруживает и удаляет протоколы тунелирования из заголовка, для анализа инструментами, которые не поддерживают данные протоколы. PayloadIP Header Header Stripping MPLS Label Примеры использования: • Translation: Удаляет заголовки протоколов, которые не понимает анализатор и отдает пакет в поддерживаемом формате. – MPLS, VNTag, FabricPath, etc. • vTap Termination: Терминирует трафик от Phantom vTap • ERSPAN termination: Терминирует трафик из удаленных офисов/филиалов
  12. 12. 12© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | УСЕЧЕНИЕ ПАКЕТОВ Packet Trimming – усечение пакетов до определенного размера и опционально вставляет «trailer» чтоб добиться исходного размера пакета перед отправкой на анализатор. Примеры использования • Эффективность анализатора: Снижение размера пакета для отправки на анализатор. – Удалить SSL-encrypted payloads перед анализом – Удалить payloads для анализаторов которые изучают только заголовки • Безопасность: Если payload пакета не нужен для анализа, то эта функция может быть использована для защиты от раскрытия конфиденциальной информации, такой как личная информация (Personally Identifiable Information - PII) в соответствии с требованиями многих мандатов, таких как PCI. PayloadIP Header Packet Slicing
  13. 13. 13© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | МАСКИРОВКА ДАННЫХ Data Masking – Позволяет скрыть определенные данные, с сохранением общего размера фрейма, чтоб личная информация (Personally Identifiable Information - PII) не передавалась на анализатор. Примеры использования • Защита PII: Предприятия часто имеют рекомендации/обязательства, которые обязуют их не хранить, передавать или другим образом раскрывать PII внутренних или внешних пользователей. Примерами таких мандатов являются PCI (Payment Card Industry) или HIPAA в области здравоохранения в США. Нарушения часто приводят к многомиллионным штрафам. PayloadIP Header Data Masking XXXX
  14. 14. 14© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | ВРЕМЕННЫЕ МЕТКИ Packet Timestamping – Добавляет в каждый пакет раздел содержащий временную метку, для детального изучения задержки анализаторами. Примеры использования • Задержка: Анализатор может определить задержку между любыми тапами в сети, путем сравнения временных меток в одном и том же пакете из разных мест сети. PayloadIP Header Packet Timestamping Timestamp Vision ONE использует PTP или NTP для получения эталонного времени
  15. 15. 15© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | ЗАЩИТА ОТ «ВСПЛЕСКОВ» Burst Protection – Добавляет дополнительный буфер к 1G интерфейсам для обеспечения защиты от таких событий как microburst и позволяет избежать потери данных. Примеры использования • Агрегация: Когда трафик агрегируется из разных участков сети в один 1G анализатор, возможно кратковременное превышение 1Gbps трафика. • Трансляция скорости: При фильтрации 1G данных из 10G линка/интерфейса, данный функционал может обезопасить от кратковременного «всплеска» анализатор с производительностью 1G.
  16. 16. 16© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | IXIA – ВСЕГДА ПРОДВИНУТАЯ ОБРАБОТКА ПАКЕТОВ НА ПОЛНОЙ СКОРОСТИ  «На гребне волны» Ixia всегда поддерживает работу на full-rate Независимо от размера фрейма Независимо от количества задействованных функций  See Tolly Test Report #216100 Full Rate Advanced Packet Processing
  17. 17. 17© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | ENTERPRISE – УМНАЯ ОБРАБОТКА ПРИЛОЖЕНИЙ • ATI Processor (ATIP) – Интеллектуальная видимость приложений • Форвардинг на основе приложений, географии и соответствия RegEx • Real-time dashboard • Rich NetFlow / IPFIX generation – Device OS – Browser – Carrier BGP AS# – Geolocation • Data Masking • Stateful SSL decryption Весь трафик из Грузии Весь голосовой трафик от HTC Ones Кто-то из ЮАР смотрит «Карточный домик» на Netflix, на iPhone через сеть Vodacom NPB – App Brokering Meta Data App Filtering
  18. 18. 18© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | ATIP – DEEP PACKET INSPECTION  Использование ATIP для выполнения Deep Packet Inspection  Распознавание Applications Application events Handset OS Browser Geolocation  Подписка Обновление каждые 3 недели
  19. 19. 19© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | ФИЛЬТРАЦИЯ ПРИЛОЖЕНИЙ Point and Click Filter settings Geographic Matching Click map or country name App Matching Static, dynamic, customApp Groups Category, OS, etc.
  20. 20. 20© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | ПОИСК REGEX & МАСКИРОВКА ДАННЫХ Easy Setup Add to any filter Predefined Patterns Email, credit cards, SSN, etc. Custom Patterns Built in UI Optional Masking Partial or complete string Fixed Offset L2-L4 Header offset
  21. 21. 21© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | ГИБКАЯ ОБРАБОТКА ТРАФИКА Easy Setup Forward, NetFlow, or both Real-time Stats For all filters
  22. 22. 22© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | RICH NETFLOW / IPFIX GENERATION Easy Setup One-click enable Standard Fields Including router offload IxFlow Extensions Handset, browser, geo, SSL High performance Supports up to 10 collectors
  23. 23. 23© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | ATIP – ПОНИМАНИЕ SSL • Пассивная дешифровка – не влияет на производительность приложений • Полностью совместимо с другими функциями ATIP: Rich Netflow/IPFIX Data Masking Geolocation • Простая настройка – только импорт сертификатов/ключей • Все популярные шифры/алгоритмы: RSA & DH Key Exchange SHA1/521/384/256/224 MD5 • Application Filtering • Handset/workstation type • Browser identification • 3DES • RC4 • AES • ECC (Elliptic Curve) • Репорт деталей шифрования - Netflow Hardware Encryption Offload
  24. 24. 24© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | ATIP ПРИМЕРЫ ИСПОЛЬЗОВАНИЯ SaaS Issue Correlation to Service Provider Granular VoIP Filtering
  25. 25. 25© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | ДВЕ ГЛАВНЫХ ТОПОЛОГИИ VISIBILITY Monitoring (out-of-band)  Анализаторы терминируют трафик и не форвардят его обратно в сеть.  Типичные анализаторы: Application Performance Monitoring (APM) Network Performance Monitoring (NPM) Intrusion Detection System Data recording Inline (inband)  Решения анализируют и выборочно отбрасывают трафик или форвардят обратно в сеть.  Типичные inline анализаторы: Intrusion Prevention System (IPS) Data Loss Prevention (DLP) Web Cache SSL encrypt / decrypt Firewall
  26. 26. 26© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | INLINE И МОНИТОРИНГ ВМЕСТЕ Inline Monitoring Inline • IPS (multiple vendors) Out-of-band Monitoring • Data logging
  27. 27. 27© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | SERIAL INLINE DEPLOYMENT Switch 1 2 3
  28. 28. 28© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | ВНЕШНИЙ BYPASS Почему использовать внешний vs интегрированный Bypass? 1. Внешний – надежность в 5 раз лучше! MTBF (Mean Time Between Failure in Hours) Внешний Bypass: 450,000 Интегрированный Bypass: 80,000 2. Легче заменить вышедшие из строя устройства Нет риска «падения» сети 3. Такой же размер как и интегрированного bypass 2U
  29. 29. 29© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | ПРОЩЕ НАСТРОЙКА  Создание сложных топологий за несколько минут Inline serial Parallel load balanced Inline serial & Parallel load balance together
  30. 30. 30© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | N+M ОТКАЗОУСТОЙЧИВОСТЬ АНАЛИЗАТОРОВ Поддерживает любые варианты N+M отказоустойчивости устройств  N+M Redundancy: M резервных устройств для защиты N активных устройств  N+1 Redundancy: одно резервное устройство для защиты N активных устройств Поведение при неисправности устройств  Резервное устройство забирает трафик неисправного устройства  Активное устройство возвращает себе трафик после восстановления  Отказ устройства выявляется с помощью heartbeat пакетов
  31. 31. 31© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | БЫСТРОЕ ОБНАРУЖЕНИЕ ОТКАЗОВ - HEARTBEATS Обнаружение отказов  Heartbeats между bypass switch и NPB  Heartbeats между NPB и устройством  Отсутствие heartbeats указывает об отказе Ключевые возможности  Предустановленные heartbeats для проверки разных устройств  Настраиваемые heartbeats для сложных ситуаций  Поддержка single-stage (blue) или multistage (red) heartbeats
  32. 32. 32© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | VISION ONE – БЕЗОПАСНОСТЬ БЕЗ ПОТЕРЬ  Intelligent • ATIP: DPI for app awareness • SSL decryption • Reliable adv. packet processing • Supports inline & monitoring • Terminates physical & vTap traffic  Compact • 1U high • Connectivity • 48 SFP+ for 1G or 10G • 4 QSFP+ for 4x40G or 16x10G • Growth via expansion slot  Reliable • Based on NVOS 4.x • Redundant, hot swappable power supplies & fans • NEBs capable  Multiuser ready • Extensive role-based access control • Automatic Filter Rule Compiler • Intuitive GUI • RESTful API
  33. 33. 33© 2016 IXIA AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. | #securitywithoutsacrifice Amplify security without ever changing a cable. See everything. Miss Nothing.

×