Embed Size (px)
Citation preview
資訊安全 網路效能 應用效能 法規符合 數位行為稽核 使用者行為分析 … 每一議題皆有相應的產品方案 , 其共通點如下A. 以網路流量為主要分析標的 ps: 故底下將此類產品統稱”網路封包分析裝置” , 簡稱”分析裝置”B. 以價格 / 流量 為比較依據 , 分析裝置比一般網路設備更昂貴 !
C. 多種分析裝置已列入企業” MUST-BUY” 的清單內 , 但效益與整體擁有成本多半蒙昧不明 ps: 最常見 must-buy 的為資安類的 IDS, IPS 等等
企業網路的關鍵議題
流量來源與分析裝置的多對多網絡 圖引自 : ESG Market Report July 11, 2012
分析裝置建置時經常輕忽的事…分析裝置如何取得網路流量以進行分析 ?
傳統作法交換機 (L2/L3 switch) 透過 mirror port 將流量複製到多個分析裝置時 , 如此會產生如右圖密集複雜的網絡…
05/03/2023
如果說網路封包是行李,網路分析裝置就如同X-ray設備,
那聰明的你會關心這些: - 挑出較可疑的行李優先處理?! - 迅速打開多層的行李包裹!? - 如何用最少的X-ray設備處裡最多行李…
05/03/2023
在資安投資不斷升高的今日所有企業都須建立一個可協助優化分析裝置效能的監測網路 (Monitoring Network), 而GRISM將扮演一個關鍵角色… .
05/03/2023
新型態監測網路媒合 mirror port 與分析裝置的監測網路 (monitoring network)
依各分析裝置之需求精確派送封包 : 提升分析裝置執行效益並降低敏感資訊外流的風險進行封包分析前置處理 (ex. MPLS/VLAN tag removal/HTTS
bypass ), 大幅減輕分析裝置負擔
圖改自 : ESG Market Report July 11, 2012
• In-line 封包處理與辨識 以透通方式將 link 聚合後 分配到平行的分析裝置 • 大數據資料萃取 Netflow V5 Application Flow Log : 辨識每一 session 屬於那種服務• 監測網路流量側錄 於近端或遠端寫錄 PCAP 檔
• 精準過濾與分配 Many-to-Many port mapping and aggregation L2-L4 header value & L4-L7 pattern matching Session-based Load Balance 平等分配 : 過濾條件交集封包複製 • Out-of-band 封包預處理 Tag 移除 or 再封裝 : QinQ, MPLS, GRE, GTP… Packet Slicing : 切除封包部分內容 敏感資料遮罩 : 自定內容遮罩 ( 如身份證 pattern)
• In-line 封包處理與辨識 以透通方式將 link 聚合 條件式分配到平行的 In-line 分析裝置 智慧型“部分旁路”機制
:= NPB + DPI + SDN
05/03/2023
CASE STUDY
05/03/2023
Case 1: 監測網路基礎建設 精準過濾與分配-L2-L4 header value -Load Balance- 平等分配 右圖之 IDS 與 APM 均會收到 port 80, port 443 的封包 大數據資料萃取- 產出 Netflow V5(with packet deduplication)以強化網管機制與行為分析能力且無須犧牲Router/Switch 的效能
05/03/2023
Case 2: In-line 共享資源1G
1G
1G
10G
1G
1G
1G
10G
1G
1G
1G 1G
1G
1G
10G10G
10G10G
10G
Aggregation &Load Balance
10G
IPS
IPS
In-line 封包處理與辨識 以透通方式將network link 聚合c. 後再分配到平行的 In-line 分析裝置如此可將數條獨立的 link 共享有限的分析資源
1G1G
1G
L3 Switch
L2 Switch
1G
1G
1G IPS1G
1G
Content-based bypass
Others
Multi-Media or Encrypted
(User Selected)
Whole Traffi
c70%
30%
Case 3: 多媒體流量旁路
Youtube 與多媒體串流將 bypass 資安設備
In-line 封包處理與辨識 多媒體流量 ( 如 YouTube) 多半不具安全威脅 , 可豁免其進入 WAF/IPS, 以保留分析資源對付真正有威脅性的流量 DEMO Show主題 智慧旁路時間 16:40-17:00地點 103
05/03/2023
Case 5: 監測網路虛擬化的實踐
Transportation NetworkSwitch
Switch
Switch
Switch APM
DLP
IDS
Tunnel
Tunnel
不受場域距離限制的監測能力 Production network 的規劃經常遷就資安設備 , 只因 mirror 流量傳輸能力有限 ; 運用 GRISM 的VxLAN 或 X-tunnel 技術可以輕易地透過既有 L2/L3/L4 網路來傳輸 mirror 流量至分析資源集中地
05/03/2023
Case 4 : 封包中的敏感資料遮罩 基於多種分析的需要 , 網路封包會複製到多個裝置與單位 , 於是 Syslog, VoIP message ( 如 SIP 的電話號碼 )或 DB Query ( 可能只是為了效能調降 ) 封包內的敏感資訊也將因此曝光給多個”其實並不需要這些資訊”的裝置與有心人… 請用 GRISM 將其遮罩掉右邊是遮罩身分證號碼的案例Taiwan ID pattern: \b[a-zA-Z][1-2]{1}[0-9]{8 Example: H123456789 , F129134567……
OriginalPackets
AfterMask
DEMO Show主題 敏感資料遮罩時間 16:40-17:00地點 103
