Ixia випустила інтелектуальний network packet broker — ONE Vision

Компанія Ixia, постачальник рішень для тестування, моніторингу і захисту мереж, випустила продукт Vision ONE — високопродуктивний інтелектуальний network packet broker.



Vision ONE має 48 портів 1/10GbE SFP+ і 4 порти 40GbE QSFP+.
Подальший опис під катом.

Vision ONE виступає в якості першого кроку до безпеки, забезпечуючи надійну in-line зв'язок для підключення інструментів безпеки, таких як IPS, DLP і брандмауери. Він одночасно поєднує засоби моніторингу, системи виявлення вторгнень (IDS) і системи запису/збереження даних.

У цьому рішенні компанія Ixia сконцентрувала самі передові можливості прозорості і контролю трафіку, включаючи можливості процесора Ixia ATI (Application and Threat Intelligence). Серед них — дешифрування трафіку SSL і глибокий аналіз пакетів (DPI), що виходить далеко за рамки простої перевірки збіги з регулярним виразом і забезпечує точну ідентифікацію трафіку додатків. Також Vision ONE виконує різні функції обробки пакетів (наприклад, їх дедупликацию, усічення (trimming), тимчасові мітки...) і балансування навантаження включаються inline пристрою ІБ (міжмережеві екрани, IPS та ін). Даний пристрій може працювати як з inlinе, так і out-of-band пристроями одночасно.



Рішення швидко розгортається і оперативно включається в робочий процес завдяки інтуїтивно зрозумілого графічного інтерфейсу. Це дозволяє ІТ-спеціалістам компанії зосередитися на підвищенні рівня безпеки, не витрачаючи час на конфігурування.



Трохи детальніше про функції розумною обробки пакетів Vision ONE



Advanced Packet Processing (AFM) features:

Дедупликация — тільки одна копія пакету відправляється до аналізатору



— Звідки з'являються повторювані пакети?

Кілька тапов агрегує в один і той же аналізатор

Один SPAN порт зазвичай генерує повторювані пакети

Зняття заголовків — виявляє і видаляє протоколи тунелірованія з заголовка, для аналізу інструментами, які не підтримують дані протоколи.





Приклади використання:
• Translation: Видаляє заголовки протоколів, які не розуміє аналізатор і віддає пакет в підтримуваному форматі.
— MPLS, VNTag, FabricPath, etc.
• vTap Termination: Термінирує трафік від Phantom vTap
• ERSPAN termination: Термінирує трафік з віддалених офісів/філій

Усікання (Packet Trimming) — усічення пакетів до певного розміру і опціонально вставляє «trailer» щоб досягти початкового розміру пакета перед відправкою на аналізатор.



Приклади використання
• Ефективність аналізатора: Зниження розміру пакета для відправки на аналізатор.
— Видалити SSL-encrypted payloads перед аналізом
— Видалити payloads для аналізаторів які вивчають тільки заголовки
• Безпека: Якщо payload пакета не потрібен для аналізу, то ця функція може бути використана для захисту від розкриття конфіденційної інформації, такої як особиста інформація (Personally Identifiable Information — PII) у відповідності з вимогами багатьох мандатів, таких як PCI.

Маскування данихх — Дозволяє приховати певні дані, із збереженням загального розміру кадру, щоб особиста інформація (Personally Identifiable Information — PII) не передавалася на аналізатор.



Приклади використання
• Захист PII: Підприємства часто мають рекомендації/зобов'язання, які зобов'язують їх не зберігати, передавати або іншим чином розкривати PII внутрішніх або зовнішніх користувачів. Прикладами таких мандатів є PCI (Payment Card Industry) або HIPAA в області охорони здоров'я в США. Порушення часто призводять до багатомільйонних штрафів.

Тимчасові мітки (Packet Timestamping) – Додає кожен пакет розділ містить мітку, для детального вивчення затримки аналізаторами.

Vision ONE використовує PTP або NTP для отримання еталонного часу



Приклади використання
• Затримка: Аналізатор може визначити затримку між будь-якими тапамі в мережі, шляхом порівняння часових міток в одному і тому ж пакеті з різних місць мережі.

Захист від сплесків» (Burst Protection) – Додає додатковий буфер до 1G інтерфейсів для забезпечення захисту від таких подій як microburst і дозволяє уникнути втрати даних.



Приклади використання
• Агрегація: Коли трафік агрегується з різних ділянок мережі 1G аналізатор, можливо короткочасне перевищення 1Gbps трафіку.
• Трансляція швидкості: При фільтрації 1G даних з 10G лінка/інтерфейсу, даний функціонал може убезпечити від короткочасного сплеску» аналізатор з продуктивністю 1G.

Ixia ATI (Application and Threat Intelligence) — точна інтелектуальна обробка трафіку додатків на основі глибокого аналізу пакетів (DPI) і дешифрування трафіку SSL.
(додатки і їх активність, геолокація, ОС пристроїв, браузер і т. д.)



Фільтрація додатків





Пошук RegEx і маскування даних



Гнучка обробка трафіку





ATIP – розуміння SSL

• Пасивна дешифрування – не впливає на продуктивність додатків
• Проста настройка – тільки імпорт сертифікатів/ключів
• Всі популярні шифри:
3DES, RC4, AES, SHA1/521/384/256/224, MD5.
• Підтримка дешифрування SSL/TLS:
— Версії SSL/TLS: SSL3.0, TLS1.0, TLS1.1 і TLS1.2.
— Обмін асиметричними ключами: RSA і ECDH.
— Симетричні ключі: AES, 3DES і RC4.
— Алгоритми хешування: SHA і MD5.
— Максимальне число одночасних сесій: більше 1 000 000.
— Зберігання приватного ключа: у зашифрованому вигляді з атрибутом write only.
• Репорт деталей шифрування — Netflow



Робота з inline-пристроями

• Підтримує паралельне (для балансування навантаження) і послідовне підключення inline-пристроїв, а також будь-які комбінації цих видів підключення.
• Для виявлення відмовили inline-пристроїв з метою автоматичного подолання відмов використовуються однорівнева (single-stage) і багаторівневий (multi-stage) передача heartbeat-пакетів.
• Два режими подолання відмови:
— Перерозподіл сесій з відмовив inline-пристрої по всім активним inline-пристроїв.
— Перемикання всіх активних сесій з відмовив inline-пристрої на резервне inline-пристрій.





Швидке виявлення відмов — Heartbeats

Виявлення відмов
• Heartbeats між bypass switch і NPB
• Heartbeats між NPB і пристроєм
• Відсутність heartbeats вказує про відмову

Ключові можливості
• Передвстановлені heartbeats для перевірки різних пристроїв
• Настроювані heartbeats для складних ситуацій
• Підтримка single-stage (blue) або multistage (red) heartbeats





У підсумку маємо масштабоване, високопродуктивне пристрій з широким набором функцій і працює на line-rate.




З питань про рішення IXIA звертатися: dcs@muk.ua.
Дистрибуція рішень IXIA Україні, Білорусі, країнах СНД.

МУК-Сервіс — всі види ІТ ремонту: гарантійний, не гарантійний ремонт, продаж запасних частин, контрактне обслуговування

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.