Выбрать язык


Выбрать язык | Show only


Русский | English


четверг, 31 марта 2016 г.

SPAN-aggregation and packet brokers. Packets deduplication


One may ask: is it real to be so stupid implementing TAPs and brokers that packets are duplicated? Yes, of course, and it doesn't indicate architects' stupidity. E.g. we need the datacenter traffic analysis. So, it is necessary to mirror datacenter uplinks (no matter Internet or corporate) to have an incoming/outgoing traffic visibility, and aggregation/service layer links according to the datacenter network design. Inbound/outbound packet has no duplicates if it is going to some segment connected via dedicated physical lines, no router/firewall on a stick etc.

SPAN-агрегация и пакетные брокеры. Дедупликация пакетов


Может возникнуть вопрос: как нужно так неправильно строить систему зеркалирования трафика, чтобы пакеты дублировались? Да запросто. Предположим, при необходимости анализа трафика ЦОД отзеркаливаем линки в ЦОД извне (независимо от того, Интернет это или остальная часть корпоративной сети), чтобы видеть внешние подключения, и линки на уровне распределения либо сервисного уровня ЦОД в зависимости от модели, по которой построена сеть. Пакет, влетающий извне, не продублируется только если в ЦОД есть сегмент, взаимодействующий только с остальными сегментами ЦОД, и недоступный снаружи, подключенный физически через другие линки.

вторник, 29 марта 2016 г.

IDS/IPS implementation phase 3. Open source vs proprietary

The previous part called "Throughput Metering" was described here.

According to the calculations it is possible to define which solution may be appropriate for some network segment with the bandwidth requirements. Then we must decide if we implement some proprietary solution or use an open source one. Commercial product must satisfy the functional requirements and it's weight points also contain such parameters as a solution price, technical support level, conditions and cost. We also need to decide what to use: hardware appliance, software product or a virtual appliance. In the case of soft/VM we must include an additional money for the hardware resources used by the solution. In the case of hardware it is important to understand a government import/export policy and a vendor ability to provide a faulty device replacement in the SLA-defined terms.

четверг, 24 марта 2016 г.

IXIA ThreatArmor: особенности работы

Не рекламы ради (вендор мне, к сожалению, не доплачивает), но ознакомления с технологией для. 
И снова анализ решения, предлагаемого IXIA.

Есть устройство, которое топологически может быть установлено в двух местах корпоративной сети: на стыке с Интернет, и на входе в инфраструктуру ИБ с "внутренней" стороны. ThreatArmor позволяет осуществлять фильтрацию по IP-адресам источника (со стороны Интернет в направлении корпоративных ресурсов) либо назначения (изнутри корпоративной сети в мир).

Так выглядит картинка предлагаемой архитектуры.


Слева - корпоративная сеть, справа - Интернет.

среда, 23 марта 2016 г.

Виртуализация рабочих мест. Предыстория :)

Когда на заводе по сборке ПК с конвейера сходил слабый и больной системный блок - его сбрасывали в пропасть. Выжившие становились тонкими клиентами.

 

http://emailmarket.ru/blog/wp-content/uploads/2015/06/%D0%A1%D0%9F%D0%90%D0%A0%D0%A2%D0%90-1-750x422.jpg

воскресенье, 20 марта 2016 г.

Packet brokers throughput math realism

This post was inspired by the IXIA seminar. As long as such events usually contain some advertising information it is necessary to search an information myself to have a material for analysis.

According to my hands-on experience with some SPAN-aggregation solutions I can observe several mismatches.
Let me analyze a piece of information according to particular IXIA product. This information is also actual for another vendors using the same math.

1. Throughput. 
Let's try IXIA xStream 10. According to the datasheet one can see that the hardware throughput is 480 Gbps


but there are only 24 10G-interfaces in it.

пятница, 18 марта 2016 г.

Реалистичность математики производительности пакетных брокеров

Навеяно, опять же, семинаром IXIA. Поскольку на таких мероприятиях часто рассказывают некоторые довольно рекламные вещи, приходится потом искать информацию самостоятельно, чтобы перепроверить и проанализировать.

Я заметил на опыте работы с решениями SPAN-агрегации определенные несовместимости.
Рассмотрим на примере одной из моделей IXIA, но это применимо и к другим производителям, использующих ту же математику.

1. Пропускная способность. 
Возьмем решение, к примеру, IXIA xStream 10. В спецификации говорится, что пропускная способность фабрики - 480 Gbps


при количестве портов 24 по 10 Gbps.

четверг, 17 марта 2016 г.

PHDays-2013. Мой доклад: SPAN-агрегация и анализ сетевого трафика на наличие угроз


Был вчера на семинаре IXIA. Вспомнил, что 3 года назад я рассказывал нечто похожее, но не ставил целью рекламу или продажу продукции какого-то вендора.

Видео и презентация моего доклада прилагаются. При необходимости могу ответить на уточняющие вопросы.

воскресенье, 6 марта 2016 г.

Безопасная настройка Cisco IDS/IPS


Системы обнаружения вторжений обеспечивают безопасность благодаря глубокому анализу трафика на наличие аномалий или атак, однако интерфейсы управления IDS/IPS тоже должны быть правильно сконфигурированы во избежание несанкционированного доступа.

вторник, 1 марта 2016 г.

Cisco IPS + RADIUS


При работе с большим количеством сетевых сенсоров становится актуальной необходимость централизованного управления учетными записями пользователей.