Компания Ixia, поставщик решений для тестирования, мониторинга и защиты сетей, выпустила продукт Vision ONE — высокопроизводительный интеллектуальный network packet broker.
![](https://habrastorage.org/files/89b/82d/f4b/89b82df4bf2048ff87d5feae899724db.jpg)
Vision ONE имеет 48 портов 1/10GbE SFP+ и 4 порта 40GbE QSFP+.
Дальнейшее описание под катом.
Vision ONE выступает в качестве первого шага к безопасности, обеспечивая надежную in-line связь для подключения инструментов безопасности, таких как IPS, DLP и брандмауэры. Он одновременно соединяет средства мониторинга, системы обнаружения вторжений (IDS) и системы записи/хранения данных.
В этом решении компания Ixia сконцентрировала самые передовые возможности прозрачности и контроля трафика, включая возможности процессора Ixia ATI (Application and Threat Intelligence). Среди них — дешифровка трафика SSL и глубокий анализ пакетов (DPI), выходящий далеко за рамки простой проверки совпадения с регулярным выражением и обеспечивающий точную идентификацию трафика приложений. Также Vision ONE выполняет различные функции обработки пакетов (например, их дедупликацию, усечение (trimming), временные метки…) и балансировку нагрузки на включаемые inline устройства ИБ (межсетевые экраны, IPS и др.). Данное устройство может работать как с inlinе, так и out-of-band устройствами одновременно.
![](https://habrastorage.org/files/cdf/0f0/897/cdf0f0897cd14178b6019814e8890e8b.png)
Решение быстро разворачивается и оперативно включается в рабочий процесс благодаря интуитивно понятному графическому пользовательскому интерфейсу. Это позволяет ИТ-специалистам компании сосредоточиться на повышении уровня безопасности, не тратя время на конфигурирование.
![](https://habrastorage.org/files/f7e/1c3/764/f7e1c3764c2f4ac6b3a8a9952e3ade62.png)
Немного подробней о функциях умной обработки пакетов Vision ONE
![](https://habrastorage.org/files/e06/d6e/743/e06d6e7438d5477486b047b3c0dce338.png)
Advanced Packet Processing (AFM) features:
Дедупликация — только одна копия пакета отправляется к анализатору
![](https://habrastorage.org/files/e1b/73a/980/e1b73a980ee249c88e32d40b114f0a41.png)
Откуда появляются повторяющиеся пакеты?
Несколько тапов агрегируют в один и тот же анализатор
Один SPAN порт обычно генерирует повторяющиеся пакеты
Снятие заголовков — обнаруживает и удаляет протоколы тунелирования из заголовка, для анализа инструментами, которые не поддерживают данные протоколы.
![](https://habrastorage.org/files/1c8/5c4/50c/1c85c450ce15440ab7df36ad26c07d92.png)
![](https://habrastorage.org/files/1bb/3de/654/1bb3de65451a4a73bf8b163743d9971f.png)
Примеры использования:
• Translation: Удаляет заголовки протоколов, которые не понимает анализатор и отдает пакет в поддерживаемом формате.
— MPLS, VNTag, FabricPath, etc.
• vTap Termination: Терминирует трафик от Phantom vTap
• ERSPAN termination: Терминирует трафик из удаленных офисов/филиалов
Усечение (Packet Trimming) — усечение пакетов до определенного размера и опционально вставляет «trailer» чтоб добиться исходного размера пакета перед отправкой на анализатор.
![](https://habrastorage.org/files/ecc/d34/fae/eccd34fae7c14d1e8ba4f2014be7d36e.png)
Примеры использования
• Эффективность анализатора: Снижение размера пакета для отправки на анализатор.
— Удалить SSL-encrypted payloads перед анализом
— Удалить payloads для анализаторов которые изучают только заголовки
• Безопасность: Если payload пакета не нужен для анализа, то эта функция может быть использована для защиты от раскрытия конфиденциальной информации, такой как личная информация (Personally Identifiable Information — PII) в соответствии с требованиями многих мандатов, таких как PCI.
Маскировка данных — Позволяет скрыть определенные данные, с сохранением общего размера фрейма, чтоб личная информация (Personally Identifiable Information — PII) не передавалась на анализатор.
![](https://habrastorage.org/files/8be/0cd/48a/8be0cd48adcc425f8471ee78b1eb7a03.png)
Примеры использования
• Защита PII: Предприятия часто имеют рекомендации/обязательства, которые обязуют их не хранить, передавать или другим образом раскрывать PII внутренних или внешних пользователей. Примерами таких мандатов являются PCI (Payment Card Industry) или HIPAA в области здравоохранения в США. Нарушения часто приводят к многомиллионным штрафам.
Временные метки (Packet Timestamping) – Добавляет в каждый пакет раздел содержащий временную метку, для детального изучения задержки анализаторами.
Vision ONE использует PTP или NTP для получения эталонного времени
![](https://habrastorage.org/files/e01/841/b7a/e01841b7a6564711a44cd1330a1ef72f.png)
Примеры использования
• Задержка: Анализатор может определить задержку между любыми тапами в сети, путем сравнения временных меток в одном и том же пакете из разных мест сети.
Защита от «всплесков» (Burst Protection) – Добавляет дополнительный буфер к 1G интерфейсам для обеспечения защиты от таких событий как microburst и позволяет избежать потери данных.
![](https://habrastorage.org/files/1cd/0b8/d50/1cd0b8d5026a447ebde46773bd58a2f2.png)
Примеры использования
• Агрегация: Когда трафик агрегируется из разных участков сети в один 1G анализатор, возможно кратковременное превышение 1Gbps трафика.
• Трансляция скорости: При фильтрации 1G данных из 10G линка/интерфейса, данный функционал может обезопасить от кратковременного «всплеска» анализатор с производительностью 1G.
Ixia ATI (Application and Threat Intelligence) — точная интеллектуальная обработка трафика приложений на основе глубокого анализа пакетов (DPI) и дешифровка трафика SSL.
(приложения и их активность, геолокация, ОС устройств, браузер и т.д.)
![](https://habrastorage.org/files/586/f45/135/586f45135d1940bb9ded655e0906d3a7.png)
Фильтрация приложений
![](https://habrastorage.org/files/09b/564/ee6/09b564ee650948cd9e48ff08706000e9.png)
![](https://habrastorage.org/files/bd7/dc1/10d/bd7dc110d8fc48e68685b2e0329ac161.png)
Поиск RegEx и маскировка данных
![](https://habrastorage.org/files/253/b80/bd1/253b80bd1e9b4c3cb03c45f2d7e60c2c.png)
Гибкая обработка трафика
![](https://habrastorage.org/files/d2d/260/52d/d2d26052d0144ae5bcf0a228cb2ce7e9.png)
![](https://habrastorage.org/files/72f/d40/179/72fd4017978e406c9ba9f00c7ff63031.png)
ATIP – понимание SSL
• Пассивная дешифровка – не влияет на производительность приложений
• Простая настройка – только импорт сертификатов/ключей
• Все популярные шифры:
3DES, RC4, AES, SHA1/521/384/256/224, MD5.
• Поддержка дешифровки SSL/TLS:
— Версии SSL/TLS: SSL3.0, TLS1.0, TLS1.1 и TLS1.2.
— Обмен асимметричными ключами: RSA и ECDH.
— Симметричные ключи: AES, 3DES и RC4.
— Алгоритмы хэширования: SHA и MD5.
— Максимальное число одновременных сессий: более 1 000 000.
— Хранение частного ключа: в зашифрованном виде с атрибутом write only.
• Репорт деталей шифрования — Netflow
![](https://habrastorage.org/files/bb1/1f6/9ec/bb11f69ec869465b90bff4923645a95a.png)
Работа с inline-устройствами
• Поддерживает параллельное (для балансировки нагрузки) и последовательное подключение inline-устройств, а также любые комбинации этих видов подключения.
• Для выявления отказавших inline-устройств с целью автоматического преодоления отказов используются одноуровневая (single-stage) и многоуровневая (multi-stage) передача heartbeat-пакетов.
• Два режима преодоления отказа:
— Перераспределение сессий с отказавшего inline-устройства по всем активным inline-устройствам.
— Переключение всех активных сессий с отказавшего inline-устройства на резервное inline-устройство.
![](https://habrastorage.org/files/2b7/6a6/74c/2b76a674c05844b3b493d25eb57b83b4.png)
![](https://habrastorage.org/files/ee2/0d2/dda/ee20d2ddacc64f4689e3c71fdc4d45bc.png)
Быстрое обнаружение отказов — Heartbeats
Обнаружение отказов
• Heartbeats между bypass switch и NPB
• Heartbeats между NPB и устройством
• Отсутствие heartbeats указывает об отказе
Ключевые возможности
• Предустановленные heartbeats для проверки разных устройств
• Настраиваемые heartbeats для сложных ситуаций
• Поддержка single-stage (blue) или multistage (red) heartbeats
![](https://habrastorage.org/files/6e9/252/0b9/6e92520b974545f9aaa0dbca5727b7c6.png)
![](https://habrastorage.org/files/03c/56e/98a/03c56e98a8b04725a4251c36fe74cea6.png)
В итоге имеем масштабируемое, высокопроизводительное устройство с широким набором функций и работающее на line-rate.
![](https://habrastorage.org/files/c54/950/ed4/c54950ed441c4dfa9fd9e71e0e8f478c.png)
По вопросам о решениях IXIA обращаться: dcs@muk.ua.
Дистрибуция решений IXIA в Украине, Беларуси, странах СНГ.
МУК-Сервис — все виды ИТ ремонта: гарантийный, не гарантийный ремонт, продажа запасных частей, контрактное обслуживание
![](https://habrastorage.org/files/89b/82d/f4b/89b82df4bf2048ff87d5feae899724db.jpg)
Vision ONE имеет 48 портов 1/10GbE SFP+ и 4 порта 40GbE QSFP+.
Дальнейшее описание под катом.
Vision ONE выступает в качестве первого шага к безопасности, обеспечивая надежную in-line связь для подключения инструментов безопасности, таких как IPS, DLP и брандмауэры. Он одновременно соединяет средства мониторинга, системы обнаружения вторжений (IDS) и системы записи/хранения данных.
В этом решении компания Ixia сконцентрировала самые передовые возможности прозрачности и контроля трафика, включая возможности процессора Ixia ATI (Application and Threat Intelligence). Среди них — дешифровка трафика SSL и глубокий анализ пакетов (DPI), выходящий далеко за рамки простой проверки совпадения с регулярным выражением и обеспечивающий точную идентификацию трафика приложений. Также Vision ONE выполняет различные функции обработки пакетов (например, их дедупликацию, усечение (trimming), временные метки…) и балансировку нагрузки на включаемые inline устройства ИБ (межсетевые экраны, IPS и др.). Данное устройство может работать как с inlinе, так и out-of-band устройствами одновременно.
![](https://habrastorage.org/files/cdf/0f0/897/cdf0f0897cd14178b6019814e8890e8b.png)
Решение быстро разворачивается и оперативно включается в рабочий процесс благодаря интуитивно понятному графическому пользовательскому интерфейсу. Это позволяет ИТ-специалистам компании сосредоточиться на повышении уровня безопасности, не тратя время на конфигурирование.
![](https://habrastorage.org/files/f7e/1c3/764/f7e1c3764c2f4ac6b3a8a9952e3ade62.png)
Немного подробней о функциях умной обработки пакетов Vision ONE
![](https://habrastorage.org/files/e06/d6e/743/e06d6e7438d5477486b047b3c0dce338.png)
Advanced Packet Processing (AFM) features:
Дедупликация — только одна копия пакета отправляется к анализатору
![](https://habrastorage.org/files/e1b/73a/980/e1b73a980ee249c88e32d40b114f0a41.png)
Откуда появляются повторяющиеся пакеты?
Несколько тапов агрегируют в один и тот же анализатор
Один SPAN порт обычно генерирует повторяющиеся пакеты
Снятие заголовков — обнаруживает и удаляет протоколы тунелирования из заголовка, для анализа инструментами, которые не поддерживают данные протоколы.
![](https://habrastorage.org/files/1c8/5c4/50c/1c85c450ce15440ab7df36ad26c07d92.png)
![](https://habrastorage.org/files/1bb/3de/654/1bb3de65451a4a73bf8b163743d9971f.png)
Примеры использования:
• Translation: Удаляет заголовки протоколов, которые не понимает анализатор и отдает пакет в поддерживаемом формате.
— MPLS, VNTag, FabricPath, etc.
• vTap Termination: Терминирует трафик от Phantom vTap
• ERSPAN termination: Терминирует трафик из удаленных офисов/филиалов
Усечение (Packet Trimming) — усечение пакетов до определенного размера и опционально вставляет «trailer» чтоб добиться исходного размера пакета перед отправкой на анализатор.
![](https://habrastorage.org/files/ecc/d34/fae/eccd34fae7c14d1e8ba4f2014be7d36e.png)
Примеры использования
• Эффективность анализатора: Снижение размера пакета для отправки на анализатор.
— Удалить SSL-encrypted payloads перед анализом
— Удалить payloads для анализаторов которые изучают только заголовки
• Безопасность: Если payload пакета не нужен для анализа, то эта функция может быть использована для защиты от раскрытия конфиденциальной информации, такой как личная информация (Personally Identifiable Information — PII) в соответствии с требованиями многих мандатов, таких как PCI.
Маскировка данных — Позволяет скрыть определенные данные, с сохранением общего размера фрейма, чтоб личная информация (Personally Identifiable Information — PII) не передавалась на анализатор.
![](https://habrastorage.org/files/8be/0cd/48a/8be0cd48adcc425f8471ee78b1eb7a03.png)
Примеры использования
• Защита PII: Предприятия часто имеют рекомендации/обязательства, которые обязуют их не хранить, передавать или другим образом раскрывать PII внутренних или внешних пользователей. Примерами таких мандатов являются PCI (Payment Card Industry) или HIPAA в области здравоохранения в США. Нарушения часто приводят к многомиллионным штрафам.
Временные метки (Packet Timestamping) – Добавляет в каждый пакет раздел содержащий временную метку, для детального изучения задержки анализаторами.
Vision ONE использует PTP или NTP для получения эталонного времени
![](https://habrastorage.org/files/e01/841/b7a/e01841b7a6564711a44cd1330a1ef72f.png)
Примеры использования
• Задержка: Анализатор может определить задержку между любыми тапами в сети, путем сравнения временных меток в одном и том же пакете из разных мест сети.
Защита от «всплесков» (Burst Protection) – Добавляет дополнительный буфер к 1G интерфейсам для обеспечения защиты от таких событий как microburst и позволяет избежать потери данных.
![](https://habrastorage.org/files/1cd/0b8/d50/1cd0b8d5026a447ebde46773bd58a2f2.png)
Примеры использования
• Агрегация: Когда трафик агрегируется из разных участков сети в один 1G анализатор, возможно кратковременное превышение 1Gbps трафика.
• Трансляция скорости: При фильтрации 1G данных из 10G линка/интерфейса, данный функционал может обезопасить от кратковременного «всплеска» анализатор с производительностью 1G.
Ixia ATI (Application and Threat Intelligence) — точная интеллектуальная обработка трафика приложений на основе глубокого анализа пакетов (DPI) и дешифровка трафика SSL.
(приложения и их активность, геолокация, ОС устройств, браузер и т.д.)
![](https://habrastorage.org/files/586/f45/135/586f45135d1940bb9ded655e0906d3a7.png)
Фильтрация приложений
![](https://habrastorage.org/files/09b/564/ee6/09b564ee650948cd9e48ff08706000e9.png)
![](https://habrastorage.org/files/bd7/dc1/10d/bd7dc110d8fc48e68685b2e0329ac161.png)
Поиск RegEx и маскировка данных
![](https://habrastorage.org/files/253/b80/bd1/253b80bd1e9b4c3cb03c45f2d7e60c2c.png)
Гибкая обработка трафика
![](https://habrastorage.org/files/d2d/260/52d/d2d26052d0144ae5bcf0a228cb2ce7e9.png)
![](https://habrastorage.org/files/72f/d40/179/72fd4017978e406c9ba9f00c7ff63031.png)
ATIP – понимание SSL
• Пассивная дешифровка – не влияет на производительность приложений
• Простая настройка – только импорт сертификатов/ключей
• Все популярные шифры:
3DES, RC4, AES, SHA1/521/384/256/224, MD5.
• Поддержка дешифровки SSL/TLS:
— Версии SSL/TLS: SSL3.0, TLS1.0, TLS1.1 и TLS1.2.
— Обмен асимметричными ключами: RSA и ECDH.
— Симметричные ключи: AES, 3DES и RC4.
— Алгоритмы хэширования: SHA и MD5.
— Максимальное число одновременных сессий: более 1 000 000.
— Хранение частного ключа: в зашифрованном виде с атрибутом write only.
• Репорт деталей шифрования — Netflow
![](https://habrastorage.org/files/bb1/1f6/9ec/bb11f69ec869465b90bff4923645a95a.png)
Работа с inline-устройствами
• Поддерживает параллельное (для балансировки нагрузки) и последовательное подключение inline-устройств, а также любые комбинации этих видов подключения.
• Для выявления отказавших inline-устройств с целью автоматического преодоления отказов используются одноуровневая (single-stage) и многоуровневая (multi-stage) передача heartbeat-пакетов.
• Два режима преодоления отказа:
— Перераспределение сессий с отказавшего inline-устройства по всем активным inline-устройствам.
— Переключение всех активных сессий с отказавшего inline-устройства на резервное inline-устройство.
![](https://habrastorage.org/files/2b7/6a6/74c/2b76a674c05844b3b493d25eb57b83b4.png)
![](https://habrastorage.org/files/ee2/0d2/dda/ee20d2ddacc64f4689e3c71fdc4d45bc.png)
Быстрое обнаружение отказов — Heartbeats
Обнаружение отказов
• Heartbeats между bypass switch и NPB
• Heartbeats между NPB и устройством
• Отсутствие heartbeats указывает об отказе
Ключевые возможности
• Предустановленные heartbeats для проверки разных устройств
• Настраиваемые heartbeats для сложных ситуаций
• Поддержка single-stage (blue) или multistage (red) heartbeats
![](https://habrastorage.org/files/6e9/252/0b9/6e92520b974545f9aaa0dbca5727b7c6.png)
![](https://habrastorage.org/files/03c/56e/98a/03c56e98a8b04725a4251c36fe74cea6.png)
В итоге имеем масштабируемое, высокопроизводительное устройство с широким набором функций и работающее на line-rate.
![](https://habrastorage.org/files/c54/950/ed4/c54950ed441c4dfa9fd9e71e0e8f478c.png)
По вопросам о решениях IXIA обращаться: dcs@muk.ua.
Дистрибуция решений IXIA в Украине, Беларуси, странах СНГ.
МУК-Сервис — все виды ИТ ремонта: гарантийный, не гарантийный ремонт, продажа запасных частей, контрактное обслуживание