Iot Prot
Iot Prot
Iot Prot
啟動可視化之力量 . 網路一覽無遺
1 技術觀念介紹
3 智慧型流量過濾− GigaSMART®
4 GigaVUE-OS管理界面
5 GigaVUE-FM管理界面
封包調適, 運用, 轉換
GigaSMART® – 進階智能流量處理
CPU – Hardware-based
GigaSMART
Engine – Full line rate, non-blocking
– Low latency (< 3 µs)
10Gb
mgmt
mgmt
CPU CPU
CPU 20G
– GigaStream can be split across modules
CPU 40Gb
Rear
• 從64到 9000位元組的偏移量覆蓋數據封包資訊
Masking • 隱藏包括金融和醫療資訊在內的隱私、機敏資訊 (符合PCI及HIPAA規範)
• 透過Offset及Pattern設定實現遮罩功能
• 採用 IP/UDP或L2GRE封裝,把遠端網站的數據封包發送至中心的監測工具設備
IP Tunneling • 建議過濾回傳數據為Lights-out Data Center及Remote Sites
• 擴大Physical及虛擬流量監測及分析、轉送已篩選過的流量至網路監測及安全工具設備中
• 終止ERSPAN隧道,整合、過濾和轉發相關ERSPAN通訊
ERSPAN • 將 ERSPAN III時間戳記轉換成一種監測工具設備可識別的格式(僅支援於GigaVUE H Series系列
Termination 設備
• 提供對加密Session的可視性
• 發送加密數據封包至多種頻外工具設備:IDS (入侵偵測系統)、DLP (資料外洩防護系統)、APM
SSL Decryption (應用性能管理)、CEM (客戶體驗管理) 等
• 透過加密和基於不同角色的存取控制來保護Private keys
• 對活躍行動使用者設備進行流量辨識採樣篩選,選擇性減少轉送監測工具設備和分析工具設備的
流量,已提升工具設備的處理性能
FlowVUE™ • 即時減少資料分析輸送量,維持或提高 CEM (客戶體驗 管理)水準
• 將巨量資料轉化為可管理的可視化資料,瞬間可以獲取重要關鍵資訊, etc., 基於Subscriber
usage patterns
Built-in /
Blade SMT-HD0 SMT-HC0-R Built-in
SMT-HC0-X16
3 Front / 4 Front, 1
Blades/Chassis 2 (HD4) or 4 (HD8) N/A
Rear
Ports/Blade 0 0 / 16 N/A
Network
Management
Application
Performance
Flow Mapping® GigaSMART®
Virtual
GigaVUE-VM
Security
GigaVUE-VM
• 減少封包大小,來提升系統處理及監測吞吐量
• 在派送至工具設備前,透過移除機敏資訊,達到符合合規及機密需求
• 經過減少不必要的封包資料收集,延長後端工具設備儲存空間,並優
化網路鑑識佈建收集
– 小量封包資訊 = 小量儲存空間需求
– 只保留部分封包派送給後端分析設備使用
• 針對協議或來源資料,自定義固定或變動的偏移量
• 在接收流量的Ingress Ports套用裁切規則
Web Server
Ethernet IP TCP Date: 15122017 | Card: 1482-6047-2581-3489 | Exp 7/18
APM
14 bytes
TCP欄位偏移20bytes之後,資料裁切
6 bytes
• SLICING功能
客戶來源IP 客戶目的IP
10 bytes
16 bytes
14 bytes TCP欄位偏移40bytes之後,資料裁切
©2017 Gigamon. All rights reserved. 23
去除重複封包
當收集各節點網路封包出現重複封包時,啟動去除重複封包,優化工具分析速度
• 減少重複封包,提升分析工具設備精準度
• 可選擇Drop或Count來處理重複封包
Packet 1 (in)
Packet 2 (out)
Packet 2 (in)
Packet 3 (out)
Packet 3 (in)
Customer
Physical
Experience
ABACCABACB
Management
(CEM)
AB Application
ABACCABACB
C Performance
Flow Mapping® De-duplication
Virtual
GigaVUE-VM
Billings
ABACCABACB
Monitor
GigaVUE-VM
Based on 2015 Gigamon buffer of 0.5ms – the largest buffer for de-duplication in the industry.
The closest competitor is 5000ms
©2017 Gigamon. All rights reserved. 25
去除重複封包應用
減少多達 50% 不需要的監測流量
• 在派送至工具設備前,透過資料遮罩方式,達到符合法規及機密需求
– 隱蔽相關的機敏資料 (包含Financial及Medical資訊)
– 符合PCI及HIPAA規範
• 當偏移量及Pattern符合規則時,立即進行機敏資料遮罩
• 針對某些特定協定,支援定義相關字元及本地端敏感資料流
• 篩選資料樣本(Pattern),以覆蓋方式,遮罩相關封包
• 在接收流量的Ingress Ports套用資料遮罩規則
Web Server
Ethernet IP TCP Date: 15122017 | Card: 1482-6047-2581-3489 | Exp 7/18
APM
TCP欄位偏移20bytes之後,
使用『ff』字元,遮罩100bytes敏感資料
• Masking功能
客戶來源IP 客戶目的IP
14 bytes
6 bytes
10 bytes
16x5 bytes
10 bytes
• 針對相關路由路徑,封裝封包並轉送到工具設備中
• 針對ERSPAN會談,提供隧道終止技術,將資料合併、過濾並轉送相關的ERSPAN流量
• 將感興趣的流量轉送至中央監測工具中做進一步分析
• 透過封裝技術(GMIP or ERSPAN)也能將虛擬機中的流量轉送至實體的工具設備中
GigaSMART
GigaVUE-VM GigaSMART
Switch
•
Packet
Phone Number
• Health Record Identifier
• Etc.
– … 機敏資料可被隱藏
Customer
Physical
Lost Packets
Buffered
所有連續性的會談封包
Packets
ACK – 需比對大量的串流資料量
Data – 有時會忽略某些資料封包
– 可能會讓資安工具造成誤判
Pattern Found • Buffering 開啟
– 只比對前 3-20 packets,一直到Pattern符合, 然
Forwarded
後轉送所有封包會談
Packets
– APF的進階功能
ATM Packet
使SSL流量達可視化 存在的限制
客戶帶來的效益
• 透過GigaSMART智慧型過濾,可達到關鍵資訊的可視性
• 針對加密資料提供加解密後,主動可視化視野更寬廣
• GigaSMART的進階智慧型過濾使得流量分配的視野更具靈活性
• “Decryption as a Service” 使得基礎建設的分析工具設備更有效率
• GigaSMART 客戶透過SSL加解密的可視化,可省去單一設備軟體或硬體的升級
對內部(Inbound)加密應用流量進行解密 對外部(Outbound)加密應用流量進行解密
1. 當監測到SSL數據
– 使用流量映射(Flow Mapping®)去挑選需要解密的數據
– 被挑選的資料會被發送到GigaSMART®處理
2. GigaVUE® 識別到Public keys互換時
3. 網路管理員上載Private keys 3
– 最多能上載2000-4000個Private Keys,並加密保存 2
– 為了更安全,全部利用額外密碼
4
– 只允許RBAC權限
4. 使用Keys去做解密
– 不只針對TCP 443埠的封包
– 可以改變成TCP 80埠
5. GigaVUE 把已解密的封包發送給各個工具設備 – 5
and/or 與其它GigaVUE應用智能連動使用
– Flow Mapping™
– 其它GigaSMART的功能
2 • Corporate servers
Active, Inline Passive, Out-of-Band
• Diffie-Hellman (DH), PFS key exchange Appliance(s) Appliance(s)
SSL Session
Leg 3 Inline 工具群負載平衡
(encrypted) (decrypted traffic)
4
效益:
Web Monitor 工具 • 不管Servers/Clients 位於內部或外部
(decrypted traffic)
• 不需要採用Private keys
1 • 而是採用RSA, DH, PFS
SSL Session 2 • 可同時支援多個Inline與Out-of-band
Leg 1 工具, 並可篩選分流,工具間輕鬆
(encrypted) Bypass、負載平衡、支援客製化工具
間Heartbeat檢測標準
2
旁接式工具
(decrypted traffic) 加密流量
己解密流量
Any forward-looking indication of plans for products is preliminary and all future release dates are tentative and subject to change.
監控
封包切片
遙距節點所收
集到的流量轉
Flow SSL 發到 DLP 分析
Mapping® 封包解密
Virtual
GigaVUE-VM
敏感資料 誇越全網虛擬伺服
通道終結點 遮罩 器間的流量轉發到
GigaVUE-VM IDS 分析
• 利用封包切片,在轉發去分析系統前,把封包中含有敏感資料的部份移除。
• 利用封包切片,在轉發去分析系統前,把封包中敏感資料的部份遮罩,例如信用卡卡號,身份證號等。
©2017 Gigamon. All rights reserved. 47
全網NetFlow / IPFIX Generation
NetFlow / IPFIX
Generation
資安訊息派送平台產生不同需要的NETFLOW METADATA內容
• 可以選用輸出URL訊息至所產生的客製化格式中如
• 至多可以同時輸出6個不同NetFlow v5/v9 and IPFIX的接收/分析設備
Advanced Information
Elements • 可結合LLDP/CDP 定位資料傳輸來源介面
User
* Planned Any forward-looking indication of plans for products is preliminary and all future release dates are tentative and subject to change.
Low
Performance
1010101000
1110010101
DNS, SSL,
0100011100 High
1010101000
HTTP, RDP,
1010101000
PowerShell
1110010101 Costs
0100011101
Low Visibility
SIEM Poor Security
Network
High
Performance
1010101000
1110010101
DNS, SSL,
0100011100 DNS, SSL,
Low
1010101000
HTTP, RDP,
1010101000
PowerShell
1110010101 HTTP, RDP Costs
0100011101
Network
DNS LOGGING
Local
DNS
Server SIEM
Low High
Performance Costs
Local
DNS
Server SIEM
進入Map設定畫面->GSOP點選要使用的Gigasmart功能
進入Map設定畫面
進入Map設定畫面
• 說明Netflow參數的幾種用法
• 敘述NetFlow Generation的流程
• 透過CLI設定NetFlow Generation
• 透過Fabric Manager Web GUI設定NetFlow Generation
Security
Application
Performance
Service Provider
NetFlow
Flow Mapping®
Generation
Customer
Experience
Management
(CEM)
NetFlow v5
一般來說, v5是目前最常見的Flow Protocol版本.
• NetFlow Version 5 為
一個固定的格式
• 一個Packet至少包含
30種NetFlow
version 5 flow
summary records
x x x Template
Choosing a NetFlow Version
71
©2017 Gigamon. All rights reserved. 71
NetFlow Generation的產生流程
• Flow 摘要會從Tunneled N
Record
Tool Port傳送至1個或多個Collectors
Flow Cache
Exporter
TT
apps netflow record alias NetFlow9-record Creates a GigaSMART® NetFlow Record arbitrarily named NetFlow9-record.
netflow-version netflow-v9 Configures the Record to use NetFlow version 9 field choices
match add ipv4 protocol Configures the first Match field in the Record to be the IPv4 protocol field.
Additional Match fields are omitted here.
collect add counter bytes Configures the first Collect field in the Record to be a counter for bytes seen.
Additional Collect fields are omitted here.
apps netflow exporter alias v9-flows Creates a GigaSMART NetFlow Exporter arbitrarily named v9-flows
destination ip4addr 192.168.51.41 Configures the Exporter destination Collector IP address to be 192.168.51.41
netflow-version netflow-v9 Configures the Exporter to prepare flow summaries using NetFlow version 9 flexible
NetFlow records
template-refresh-interval 300 Configures the Exporter to send a NetFlow record description template every five
minutes
apps netflow monitor alias GS51-NetFlowMonitor Creates a GigaSMART® NetFlow Monitor arbitrarily named GS51-NetFlowMonitor
cache timeout active 60 Configures the timeout value for a still-active flow to 1 minute (60 seconds)
record add NetFlow9-record Configures the NetFlow Monitor to use the NetFlow Record definition named
NetFlow9-record as the basis for managing and updating the flow cache database
gsgroup alias GS51 port-list 1/5/e1 Configures the specified GigaSMART engine group for use, and arbitrarily names it
GS51
tunneled-port 1/1/x5 ip 192.168.51.91 255.255.255.0 Creates a Tunnel on port 5 using IP address 192.168.51.91 as a source with a /24
gateway 192.168.51.1 mtu 1500 port-list GS51 mask, 192.168.51.1 as a router, sets the MTU at 1500, and uses GigaSMART®
engine group GS51
tunneled-port 1/1/x5 netflow-exporter add v9-flows Configures the Tunnel on port 5 to use the NetFlow Exporter named v9-flows
gsparams gsgroup GS51 Opens the GigaSMART engine group parameter list for GS51
netflow-monitor add GS51-NetFlowMonitor Configures the GS51 engine group to use the NetFlow Monitor definition named
GS51-NetFlowMonitor
gsop alias v9NetFlow flow-ops netflow port-list GS51 Creates a GigaSMART Operation for NetFlow Generation arbitrarily named
v9NetFlow on GigaSMART engine group GS51
rule add pass ipver 4 Configures a map filter to pass all IP version 4 traffic
to 1/1/x5 Configures the map to use Tunneled Tool port 5
from 1/1/x1 Configures the map to receive traffic on port 1
78
©2017 Gigamon. All rights reserved. 78
NetFlow Generation – CLI (5)
下面畫面為CLI, 說明如何新增一個GigaSMART® NetFlow Generation 設定方式
79
©2017 Gigamon. All rights reserved. 79
NetFlow Generation – CLI (6)
下面畫面為CLI, 說明如何新增一個GigaSMART® NetFlow Generation 設定方式
• Configure GS Group
• Make sure proper GS Engine
is pre-selected
• Verify NetFlow Monitor
• Click Save
• Add GS Operation
• Click Create
• Enter GS operation
parameters
• Click Save
Network Tool
Map