Компания Ixia, поставщик решений для тестирования, мониторинга и защиты сетей, выпустила продукт Vision ONE — высокопроизводительный интеллектуальный network packet broker.
Vision ONE имеет 48 портов 1/10GbE SFP+ и 4 порта 40GbE QSFP+.
Дальнейшее описание под катом.
Vision ONE выступает в качестве первого шага к безопасности, обеспечивая надежную in-line связь для подключения инструментов безопасности, таких как IPS, DLP и брандмауэры. Он одновременно соединяет средства мониторинга, системы обнаружения вторжений (IDS) и системы записи/хранения данных.
В этом решении компания Ixia сконцентрировала самые передовые возможности прозрачности и контроля трафика, включая возможности процессора Ixia ATI (Application and Threat Intelligence). Среди них — дешифровка трафика SSL и глубокий анализ пакетов (DPI), выходящий далеко за рамки простой проверки совпадения с регулярным выражением и обеспечивающий точную идентификацию трафика приложений. Также Vision ONE выполняет различные функции обработки пакетов (например, их дедупликацию, усечение (trimming), временные метки…) и балансировку нагрузки на включаемые inline устройства ИБ (межсетевые экраны, IPS и др.). Данное устройство может работать как с inlinе, так и out-of-band устройствами одновременно.
Решение быстро разворачивается и оперативно включается в рабочий процесс благодаря интуитивно понятному графическому пользовательскому интерфейсу. Это позволяет ИТ-специалистам компании сосредоточиться на повышении уровня безопасности, не тратя время на конфигурирование.
Немного подробней о функциях умной обработки пакетов Vision ONE
Advanced Packet Processing (AFM) features:
Дедупликация — только одна копия пакета отправляется к анализатору
Откуда появляются повторяющиеся пакеты?
Несколько тапов агрегируют в один и тот же анализатор
Один SPAN порт обычно генерирует повторяющиеся пакеты
Снятие заголовков — обнаруживает и удаляет протоколы тунелирования из заголовка, для анализа инструментами, которые не поддерживают данные протоколы.
Примеры использования:
• Translation: Удаляет заголовки протоколов, которые не понимает анализатор и отдает пакет в поддерживаемом формате.
— MPLS, VNTag, FabricPath, etc.
• vTap Termination: Терминирует трафик от Phantom vTap
• ERSPAN termination: Терминирует трафик из удаленных офисов/филиалов
Усечение (Packet Trimming) — усечение пакетов до определенного размера и опционально вставляет «trailer» чтоб добиться исходного размера пакета перед отправкой на анализатор.
Примеры использования
• Эффективность анализатора: Снижение размера пакета для отправки на анализатор.
— Удалить SSL-encrypted payloads перед анализом
— Удалить payloads для анализаторов которые изучают только заголовки
• Безопасность: Если payload пакета не нужен для анализа, то эта функция может быть использована для защиты от раскрытия конфиденциальной информации, такой как личная информация (Personally Identifiable Information — PII) в соответствии с требованиями многих мандатов, таких как PCI.
Маскировка данных — Позволяет скрыть определенные данные, с сохранением общего размера фрейма, чтоб личная информация (Personally Identifiable Information — PII) не передавалась на анализатор.
Примеры использования
• Защита PII: Предприятия часто имеют рекомендации/обязательства, которые обязуют их не хранить, передавать или другим образом раскрывать PII внутренних или внешних пользователей. Примерами таких мандатов являются PCI (Payment Card Industry) или HIPAA в области здравоохранения в США. Нарушения часто приводят к многомиллионным штрафам.
Временные метки (Packet Timestamping) – Добавляет в каждый пакет раздел содержащий временную метку, для детального изучения задержки анализаторами.
Vision ONE использует PTP или NTP для получения эталонного времени
Примеры использования
• Задержка: Анализатор может определить задержку между любыми тапами в сети, путем сравнения временных меток в одном и том же пакете из разных мест сети.
Защита от «всплесков» (Burst Protection) – Добавляет дополнительный буфер к 1G интерфейсам для обеспечения защиты от таких событий как microburst и позволяет избежать потери данных.
Примеры использования
• Агрегация: Когда трафик агрегируется из разных участков сети в один 1G анализатор, возможно кратковременное превышение 1Gbps трафика.
• Трансляция скорости: При фильтрации 1G данных из 10G линка/интерфейса, данный функционал может обезопасить от кратковременного «всплеска» анализатор с производительностью 1G.
Ixia ATI (Application and Threat Intelligence) — точная интеллектуальная обработка трафика приложений на основе глубокого анализа пакетов (DPI) и дешифровка трафика SSL.
(приложения и их активность, геолокация, ОС устройств, браузер и т.д.)
Фильтрация приложений
Поиск RegEx и маскировка данных
Гибкая обработка трафика
ATIP – понимание SSL
• Пассивная дешифровка – не влияет на производительность приложений
• Простая настройка – только импорт сертификатов/ключей
• Все популярные шифры:
3DES, RC4, AES, SHA1/521/384/256/224, MD5.
• Поддержка дешифровки SSL/TLS:
— Версии SSL/TLS: SSL3.0, TLS1.0, TLS1.1 и TLS1.2.
— Обмен асимметричными ключами: RSA и ECDH.
— Симметричные ключи: AES, 3DES и RC4.
— Алгоритмы хэширования: SHA и MD5.
— Максимальное число одновременных сессий: более 1 000 000.
— Хранение частного ключа: в зашифрованном виде с атрибутом write only.
• Репорт деталей шифрования — Netflow
Работа с inline-устройствами
• Поддерживает параллельное (для балансировки нагрузки) и последовательное подключение inline-устройств, а также любые комбинации этих видов подключения.
• Для выявления отказавших inline-устройств с целью автоматического преодоления отказов используются одноуровневая (single-stage) и многоуровневая (multi-stage) передача heartbeat-пакетов.
• Два режима преодоления отказа:
— Перераспределение сессий с отказавшего inline-устройства по всем активным inline-устройствам.
— Переключение всех активных сессий с отказавшего inline-устройства на резервное inline-устройство.
Быстрое обнаружение отказов — Heartbeats
Обнаружение отказов
• Heartbeats между bypass switch и NPB
• Heartbeats между NPB и устройством
• Отсутствие heartbeats указывает об отказе
Ключевые возможности
• Предустановленные heartbeats для проверки разных устройств
• Настраиваемые heartbeats для сложных ситуаций
• Поддержка single-stage (blue) или multistage (red) heartbeats
В итоге имеем масштабируемое, высокопроизводительное устройство с широким набором функций и работающее на line-rate.
По вопросам о решениях IXIA обращаться: dcs@muk.ua.
Дистрибуция решений IXIA в Украине, Беларуси, странах СНГ.
МУК-Сервис — все виды ИТ ремонта: гарантийный, не гарантийный ремонт, продажа запасных частей, контрактное обслуживание
Vision ONE имеет 48 портов 1/10GbE SFP+ и 4 порта 40GbE QSFP+.
Дальнейшее описание под катом.
Vision ONE выступает в качестве первого шага к безопасности, обеспечивая надежную in-line связь для подключения инструментов безопасности, таких как IPS, DLP и брандмауэры. Он одновременно соединяет средства мониторинга, системы обнаружения вторжений (IDS) и системы записи/хранения данных.
В этом решении компания Ixia сконцентрировала самые передовые возможности прозрачности и контроля трафика, включая возможности процессора Ixia ATI (Application and Threat Intelligence). Среди них — дешифровка трафика SSL и глубокий анализ пакетов (DPI), выходящий далеко за рамки простой проверки совпадения с регулярным выражением и обеспечивающий точную идентификацию трафика приложений. Также Vision ONE выполняет различные функции обработки пакетов (например, их дедупликацию, усечение (trimming), временные метки…) и балансировку нагрузки на включаемые inline устройства ИБ (межсетевые экраны, IPS и др.). Данное устройство может работать как с inlinе, так и out-of-band устройствами одновременно.
Решение быстро разворачивается и оперативно включается в рабочий процесс благодаря интуитивно понятному графическому пользовательскому интерфейсу. Это позволяет ИТ-специалистам компании сосредоточиться на повышении уровня безопасности, не тратя время на конфигурирование.
Немного подробней о функциях умной обработки пакетов Vision ONE
Advanced Packet Processing (AFM) features:
Дедупликация — только одна копия пакета отправляется к анализатору
Откуда появляются повторяющиеся пакеты?
Несколько тапов агрегируют в один и тот же анализатор
Один SPAN порт обычно генерирует повторяющиеся пакеты
Снятие заголовков — обнаруживает и удаляет протоколы тунелирования из заголовка, для анализа инструментами, которые не поддерживают данные протоколы.
Примеры использования:
• Translation: Удаляет заголовки протоколов, которые не понимает анализатор и отдает пакет в поддерживаемом формате.
— MPLS, VNTag, FabricPath, etc.
• vTap Termination: Терминирует трафик от Phantom vTap
• ERSPAN termination: Терминирует трафик из удаленных офисов/филиалов
Усечение (Packet Trimming) — усечение пакетов до определенного размера и опционально вставляет «trailer» чтоб добиться исходного размера пакета перед отправкой на анализатор.
Примеры использования
• Эффективность анализатора: Снижение размера пакета для отправки на анализатор.
— Удалить SSL-encrypted payloads перед анализом
— Удалить payloads для анализаторов которые изучают только заголовки
• Безопасность: Если payload пакета не нужен для анализа, то эта функция может быть использована для защиты от раскрытия конфиденциальной информации, такой как личная информация (Personally Identifiable Information — PII) в соответствии с требованиями многих мандатов, таких как PCI.
Маскировка данных — Позволяет скрыть определенные данные, с сохранением общего размера фрейма, чтоб личная информация (Personally Identifiable Information — PII) не передавалась на анализатор.
Примеры использования
• Защита PII: Предприятия часто имеют рекомендации/обязательства, которые обязуют их не хранить, передавать или другим образом раскрывать PII внутренних или внешних пользователей. Примерами таких мандатов являются PCI (Payment Card Industry) или HIPAA в области здравоохранения в США. Нарушения часто приводят к многомиллионным штрафам.
Временные метки (Packet Timestamping) – Добавляет в каждый пакет раздел содержащий временную метку, для детального изучения задержки анализаторами.
Vision ONE использует PTP или NTP для получения эталонного времени
Примеры использования
• Задержка: Анализатор может определить задержку между любыми тапами в сети, путем сравнения временных меток в одном и том же пакете из разных мест сети.
Защита от «всплесков» (Burst Protection) – Добавляет дополнительный буфер к 1G интерфейсам для обеспечения защиты от таких событий как microburst и позволяет избежать потери данных.
Примеры использования
• Агрегация: Когда трафик агрегируется из разных участков сети в один 1G анализатор, возможно кратковременное превышение 1Gbps трафика.
• Трансляция скорости: При фильтрации 1G данных из 10G линка/интерфейса, данный функционал может обезопасить от кратковременного «всплеска» анализатор с производительностью 1G.
Ixia ATI (Application and Threat Intelligence) — точная интеллектуальная обработка трафика приложений на основе глубокого анализа пакетов (DPI) и дешифровка трафика SSL.
(приложения и их активность, геолокация, ОС устройств, браузер и т.д.)
Фильтрация приложений
Поиск RegEx и маскировка данных
Гибкая обработка трафика
ATIP – понимание SSL
• Пассивная дешифровка – не влияет на производительность приложений
• Простая настройка – только импорт сертификатов/ключей
• Все популярные шифры:
3DES, RC4, AES, SHA1/521/384/256/224, MD5.
• Поддержка дешифровки SSL/TLS:
— Версии SSL/TLS: SSL3.0, TLS1.0, TLS1.1 и TLS1.2.
— Обмен асимметричными ключами: RSA и ECDH.
— Симметричные ключи: AES, 3DES и RC4.
— Алгоритмы хэширования: SHA и MD5.
— Максимальное число одновременных сессий: более 1 000 000.
— Хранение частного ключа: в зашифрованном виде с атрибутом write only.
• Репорт деталей шифрования — Netflow
Работа с inline-устройствами
• Поддерживает параллельное (для балансировки нагрузки) и последовательное подключение inline-устройств, а также любые комбинации этих видов подключения.
• Для выявления отказавших inline-устройств с целью автоматического преодоления отказов используются одноуровневая (single-stage) и многоуровневая (multi-stage) передача heartbeat-пакетов.
• Два режима преодоления отказа:
— Перераспределение сессий с отказавшего inline-устройства по всем активным inline-устройствам.
— Переключение всех активных сессий с отказавшего inline-устройства на резервное inline-устройство.
Быстрое обнаружение отказов — Heartbeats
Обнаружение отказов
• Heartbeats между bypass switch и NPB
• Heartbeats между NPB и устройством
• Отсутствие heartbeats указывает об отказе
Ключевые возможности
• Предустановленные heartbeats для проверки разных устройств
• Настраиваемые heartbeats для сложных ситуаций
• Поддержка single-stage (blue) или multistage (red) heartbeats
В итоге имеем масштабируемое, высокопроизводительное устройство с широким набором функций и работающее на line-rate.
По вопросам о решениях IXIA обращаться: dcs@muk.ua.
Дистрибуция решений IXIA в Украине, Беларуси, странах СНГ.
МУК-Сервис — все виды ИТ ремонта: гарантийный, не гарантийный ремонт, продажа запасных частей, контрактное обслуживание