Blog

GigaSMART Application Session Filtering – Filtriranje prometa regularnim izrazima

Gigamon Visibility Fabric više nije novost u svijetu agregacije i replikacije mrežnog prometa uz inteligentnu distribuciju već se nameće kao vodeće rješenje koje omogućuje vidljivost kompletnog prometa u mreži. Inteligentna distribucija prometa očituje se u tome da određena sigurnosna rješenja odnosno potrošači prometa dobiju samo onaj promet koji je namijenjen njima. Primjerice e-mail sigurnosno rješenje ne mora vidjeti youtube ili facebook promet.

Kada to gledamo tako nameću nam se razna pitanja:

  • Koliki je postotak prometa koji dolazi koji dolazi na vaša sigurnosna rješenja, a nije namijenjen njima?
  • Koliki je postotak tog prometa video/facebook/windows update?
  • Koliko je procesorsko i bandwidth opterećenje na ta rješenja?
  • Možemo li to optimizirati?

Možemo.

GigaSMART Application Session Filtering

ASF omogućuje pretraživanje paketa skroz do aplikacijskog sloja na temelju zadanog uzorka te može usmjeriti kompletnu sesiju prema određenom sigurnosnom rješenju čak iako paket koji je sadržao zadani uzorak nije bio prvi paket uspostavljene sesije. Ta funkcionalnost se postiže s pohranjivanjem do maksimalno 20 paketa u privremenu memoriju (buffer) što se ispostavilo kao dovoljna brojka s obzirom na to da se traženi uzorak uvijek pojavi u prvih nekoliko paketa određene sesije.

Filtriranje prometa

U prošlosti je vrlo lako bilo prema portu zaključiti o kojem se protokolu radi i tako određeni promet poslati na inspekciju ili ga odbaciti. Dolaskom facebooka, youtubea, netflixa i drugih servisa koji generiraju velike količine prometa, prvenstveno video prometa, alati za monitoring i rješenja za security zatrpana su prometom koji ih uopće na zanima. Uz Gigamon rješenje s ASF-om možemo smanjiti opterećenje na ta rješenja i time ostvariti znatne uštede.

Primjer. Filtriranje youtube prometa

Na port 1 dolazi nam kompletan mrežni promet bilo sa SPAN ili TAP porta i taj port postavljamo u network način rada.

Iza porta 5 nalazi se alat za monitoring ili neko od security rješenja za inspekciju web prometa i taj port postavljamo u tool način rada.

Kreiranjem GigaSMART grupe omogućujemo ASF funkcionalnosti. Kako ne želimo kompletan mrežni promet na virtualnom portu GigaSMART grupe kreiramo mapu kojom ćemo na taj port dovesti samo web promet na portovima 80 i 443. Unutar GigaSMART grupe kreiramo još jednu mapu gdje primjenom regularnih izraza i pretragom paketa izdvajamo taj promet i kreiramo pravilo kojim taj promet odbacujemo i stvaramo jos jednu mapu kojom ostali promet šaljemo na collector koji taj promet prosljeđuje na port 5.

Primjer regularnih izraza za filtriranje youtube prometa:

(config map alias youtube_filter) # gsrule add drop pmatch protocol tcp pos 1 RegEx “youtube|ytimg|yt3.ggpht|tubeMogul|tmogulyoutu” 0..1000
(config map alias youtube_filter) # gsrule add drop pmatch protocol tcp pos 1 string “Content-Type: video” 0..1000
(config map alias youtube_filter) # gsrule add drop pmatch protocol tcp pos 1 string “octet-stream” 0..1750

Kuharicu za Application Session Filtering možete pronaći ovdje.

Više o Gigamon rješenjima.

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter