IXIA ThreatArmor для SOC: экономическая эффективность

И снова анализ решения, предлагаемого IXIA. Не для рекламы, а для общего развития. На этом месте мог оказаться любой вендор, и еще окажется неоднократно. Хотя, учитывая количество постов, сгенерированное семинаром IXIA, могут закрасться подозрения.

IXIA предлагает ThreatArmor как некоторое устройство, которое топологически может быть установлено в двух местах корпоративной сети: на входе из Интернет (стык с пограничным роутером или firewall), и на входе в инфраструктуру ИБ с "внутренней" стороны.

Более подробно и официально рассказано на сайте производителя и дистрибьютора. Кроме того, я в своем блоге также описывал некий блиц-анализ работы этого решения с моей точки зрения.

Вкратце: ThreatArmor позволяет осуществлять фильтрацию по IP-адресам источника (со стороны Интернет в направлении корпоративных ресурсов) либо назначения (изнутри корпоративной сети в мир). База IP-адресов категоризируется по странам, видам вредоносных воздействий и т. п. командой Application and Threat Intelligence Team. Обновление происходит каждые 5 минут.

Попробуем вычислить экономическую эффективность подобного решения.

SPAN-агрегация и пакетные брокеры. Удаление лишних заголовков, или Protocol Stripping

Зачем нужен этот функционал?

Как известно, у модели OSI 7 уровней, и каждый из них привносит в пакет свой дополнительный объем. В самом простом случае, на который рассчитаны все анализаторы сетевого трафика, пакет содержит MAC-адреса отправителя и получателя, затем идут IP-адреса. В то же время, по зеркалируемым линкам влета в ЦОД и уровня распределения может идти 802.1q-тегированный трафик либо MPLS с метками. Оба этих вида заголовка помещаются между заголовками канального и сетевого уровней. На моей практике случалось, что анализирующие устройства либо просто не понимали их и игнорировали (лучший случай), либо начинали неверно интерпретировать информацию более высокого уровня (худший случай, когда зашитые алгоритмы для увеличения пропускной способности устройства при вычислениях используют побитовое смещение относительно начала пакета). 

То есть, если у нас явным образом не стоит задача определения номера VLAN/VXLAN, метки MPLS, GTP и т.п., можно удалить их с помощью пакетного брокера.

SPAN-агрегация и пакетные брокеры. Дедупликация пакетов

Может возникнуть вопрос: как нужно так неправильно строить систему зеркалирования трафика, чтобы пакеты дублировались? Да запросто. Предположим, при необходимости анализа трафика ЦОД отзеркаливаем линки в ЦОД извне (независимо от того, Интернет это или остальная часть корпоративной сети), чтобы видеть внешние подключения, и линки на уровне распределения либо сервисного уровня ЦОД в зависимости от модели, по которой построена сеть. Пакет, влетающий извне, не продублируется только если в ЦОД есть сегмент, взаимодействующий только с остальными сегментами ЦОД, и недоступный снаружи, подключенный физически через другие линки.

IXIA ThreatArmor: особенности работы

Не рекламы ради (вендор мне, к сожалению, не доплачивает), но ознакомления с технологией для. 

И снова анализ решения, предлагаемого IXIA.

Есть устройство, которое топологически может быть установлено в двух местах корпоративной сети: на стыке с Интернет, и на входе в инфраструктуру ИБ с "внутренней" стороны. ThreatArmor позволяет осуществлять фильтрацию по IP-адресам источника (со стороны Интернет в направлении корпоративных ресурсов) либо назначения (изнутри корпоративной сети в мир).

Так выглядит картинка предлагаемой архитектуры.

Слева - корпоративная сеть, справа - Интернет.

Реалистичность математики производительности пакетных брокеров

Навеяно, опять же, семинаром IXIA. Поскольку на таких мероприятиях часто рассказывают некоторые довольно рекламные вещи, приходится потом искать информацию самостоятельно, чтобы перепроверить и проанализировать.

Я заметил на опыте работы с решениями SPAN-агрегации определенные несовместимости.

Рассмотрим на примере одной из моделей IXIA, но это применимо и к другим производителям, использующих ту же математику.

1. Пропускная способность. 

Возьмем решение, к примеру, IXIA xStream 10. В спецификации говорится, что пропускная способность фабрики - 480 Gbps

при количестве портов 24 по 10 Gbps.

PHDays-2013. Мой доклад: SPAN-агрегация и анализ сетевого трафика на наличие угроз

Был вчера на семинаре IXIA. Вспомнил, что 3 года назад я рассказывал нечто похожее, но не ставил целью рекламу или продажу продукции какого-то вендора.

Видео и презентация моего доклада прилагаются. При необходимости могу ответить на уточняющие вопросы.

Проектирование и внедрение инфраструктуры IDS/IPS. Этап 3. Выбор решения

На основании проведенных расчетов производится выбор решения, удовлетворяющего потребности данного участка сети.

После определения требований к производительности одним из первых возникает вопрос о том, использовать коммерческое решение или Open Source.

Для коммерческих продуктов, кроме соответствия функциональным требованиям, учитываются стоимость решения, а также уровень, условия и стоимость технической поддержки.

Также принимается решение о том, использовать программный продукт либо программно-аппаратную платформу. В случае использования программного решения необходимо учесть дополнительные расходы на оборудование и (опционально) операционную систему.