Upload
proidea
View
89
Download
0
Embed Size (px)
DESCRIPTION
Krystian Baniak is a Senior Security Consultant with over 14 years of industry experience from both telco and enterprise domains. Having started his professional career as a software developer, he continued as network engineer, penetration testing specialist and security auditor. Today he is a senior consultant and security solutions architect. Krystian Baniak professional experience has been acquired on numerous international engagements. From educational standpoint, Krystian Baniak has a PhD in telecommunication, MSc in information system security and received certifications from ISC2, F5 and Cisco. Topic of Presentation: Value Added Services Platform Language: Polish Abstract: Value Added Platform as a tool for service provider’s infrastructure monetization. Practical presentation of Infradata VAS platform solution architecture with a demo of the Content Injection and Parental Control services.
Citation preview
Platforma Value Added Services
Krystian BaniakSenior Security Solutions Architect, CISSP
Infradata
Wprowadzenie
Perspektywa Operatora UsługUsługi dodane bezpieczeństwa – szansa czy problem?
*ARPU – Average Revenue Per user
Perspektywa Operatora UsługRozwiązanie problemu?
Dedykowana platforma usług dodanych
Koncentracja kluczowych funkcjonalności
VASvideo
VASkompresja
VASURL filtering
VASvideo
VASkompresja
VASURL filtering
Specjalizowane systemy VAS dla różnych obszarów
VASvideo
STEROWANIE RUCHEM
VASKontrola Rodz.
Dedykowana platforma usług dodanych
STEROWANIE RUCHEM
Koncentracja kluczowych funkcjonalności
˥ Wydajność i wysoka dostępność
˥ Load balancing, routing, ICAP
˥ QoS, polityka kontroli pasma
˥ Elastyczność i rozszerzalność (API, skrypty użytkownika)
Dedykowana Platforma Usług DodanychKluczowe wymogi funkcjonalne:Precyzyjna kontrola użytkowników oraz aplikacji
Internet
NASPGW
NASCMTS
NASBRAS
NASGGSN
RADIUS
DHCP/IPAMAAA
Baza użytkownikówLokalnie statycznieZewnętrzne repozytorium (PCRF)
Dedykowana Platforma Usług DodanychKluczowe wymogi funkcjonalne: Elastyczna oraz dynamiczna polityka tworzenia usług
Internet
Pan Kowalski
+48***100000 :
VAS1 VAS2 VAS3
VAS2.1
Repozytorium Polityki
• Lokalnie definiowalna
• 3GPP PCRF Gx
• RESTfull API
• LDAP
Dedykowana Platforma Usług DodanychKluczowe wymogi funkcjonalne: Raportowanie oraz Billing
Internet
Raportowanie i MonitorowanieWydajne logowanie (HSRL)SIEM / systemy analityczne
Billing & Charging w przypadku 3GPPPrzykład: Gy / OCS Quota management
Dedykowana Platforma Usług DodanychKluczowe wymogi funkcjonalne: Elastyczność integracyjna
Internet
Prosta rozbudowa funkcjonalności rozwiązania
• iRules
• API do integracji z systemami OSS/BSS
• Monitorowanie stanu zdrowia platformy• Automatyzacja procesów provisioningu
Dedykowana Platforma Usług DodanychArchitektura rozwiązania
Architektura platformy
Kluczowy element układanki• Element wykonawczy (PCEF) to Application
Delivery Controller (LTM lub PEM)• Modularna platforma - skalowalność
• Wysoka wydajność przetwarzania w warstwie 7
• Programowalność/rozszerzalność – iRules
• Bogata oferta API służących do integracji z ekosystemem operatora
• Możliwość realizacji podstawowych funkcji VAS na samej platformie
• TCP optimization
• Bandwidth control
• WAF/Gi firewall
Architektura platformy
Internet
ADC
VAS service
Pass through
VAS service
Data plane
Control plane
Subscribertable
Policy logic
RADIUSIPAM
Subscriber aware
PCRFLDAPPolicy
RepositoryAPI
Provision, Orchestrate, Manage
Architektura platformy
Panel kontrolny platformy VAS
Architektura platformy
Integracja z istniejącą infrastrukturąObsługiwane metody i interfejsy
• Wykrywanie oraz identyfikacja abonentów• Radius Accounting
• DHCP• API (podejście niestandardowe)
• Pobieranie polityki VAS• PCRF Gx (Diameter)• LDAP
• HTTP REST API
• Diagnostyka i panel kontrolny• Wsparcie dla analizy problemów, testy akceptacyjne
Architektura platformy
Integracja z istniejącą infrastrukturą• Umiejscowienie w ścieżce ruchu abonentów
• Sterowanie poprzez dynamiczny routing
Wysoka dostępność• Redundantne centra przetwarzania ruchu• Monitorowanie dostępności
• Fail pass w przypadku przeciążenia
VAS VAS
Architektura platformy
Skalowalność platformy
• Czynniki wpływające na wymiarowanie• Przepływność oraz struktura ruchu
• Ilość aktywnych połączeń
• Ilość zapytań / transakcji dla danej aplikacji
• Populacja abonentów poddanych usłudze• Realizowanie usługi na samej platformie ADC
Dedykowana Platforma Usług DodanychPrzykłady usług
Przykłady popularnych usług dodanych w skali operatorskiej
• Optymalizacja TCP• Wykorzystanie architektury typu full-proxy
• Osobne profile TCP (bufory, congestion control, window scaling) dla strony klienckiej i serwerowej
• Optymalizacja ruchu Video
• Content Injection• Kampanie reklamowe oraz informacyjne
• Kontrola treści oraz rodzicielska• Kontrola treści w ruchu http
Przykładowa usługa dodanaContent Injection
• Kampanie reklamowe• Reklama kontekstowa: lokalizacja, typ abonenta, kontekst przeglądanej
strony
• Kanał informacyjny dla subskrybentów• Przesyłanie informacji o stanie konta
• Notyfikacje o zdarzeniach
• Dodatkowa metoda interakcji z abonentem usługi• Propozycje zmiany planu taryfowego
• Opt in / opt out dla usług
Content Injection
F5 LTMApplication Delivery
ControllerNetwork Access Server
PCRFLDAPPolicy
Repository
RADIUSIPAM
IP addressprovisioning
Internet
ContentServer
Web Server
1
2
3
5b
4
4
5a
2
3
1 New subscriber is registered in network
F5 LTM is notified about new user in network
F5 checks with policy server which services are assigned
Subscriber starts web browser
F5 LTM applies Content Injection service by inserting javascript into Web server’s response
5bJavascript fetches media content and Content Server shares media that match user profile
5a
Content Injection Workflow
Przykładowa usługa dodanaContent Injection
Banner reklamowy lub informacyjny
Komunikat o oczekującej wiadomości od operatora usługi
Aktywator panelu wiadomości od operatora
Przykładowa usługa dodanaContent Injection
Banery reklamowe• Kontrolowane zachowanie zwijania reklamy• Reklama statyczna lub dynamicznie
pobierana z serwera w zależności od kontekstu
Panel komunikatów od operatora usługi• Wiadomości o różnym poziomie ważności• Komunikaty pobierane z serwera przez
skrypt
Przykładowa usługa dodanaKontrola treści / kontrola rodzicielska
• Bezpieczny dostęp do Internetu
• Blokowanie konkretnych typów aplikacji• Blokowanie grup witryn per klasyfikacja• Blokowanie usług typu Google Search, Youtube
• Kontrola wykorzystania zasobów Internetowych w organizacji
• Jako usługa typu managed service ze strony ISP
• Przechwytywanie sesji https
Przykładowa usługa dodanaKontrola treści / kontrola rodzicielska
Traffic redirection & Load balancing
URL Filtering Malware Scanning
Internet
URL Filtering Updates
Cloud Services
URL
DB
Przykładowa usługa dodanaKontrola treści / kontrola rodzicielska
• Dokładność oraz jakość klasyfikacji
• Rosnący udział treści zaszyfrowanych • SSL Proxy z przechwytywaniem treści
Dedykowana Platforma Usług DodanychDemo
Propozycja Infradaty˥ Architektury referencyjne dla operatorów usług
˥ Jesteśmy ambasadorami rozwiązań, o których wartości jesteśmy przekonani
˥ Stawiamy na sprawdzone rozwiązania liderów rynkowych
˥ Zapewniamy profesjonalne usługi doradcze, projektowe oraz wdrożeniowe
˥ Nasi eksperci
˥ Doświadczeni architekci oraz inżynierowie na poziomie eksperckim
˥ Placówki w Holandii, Polsce oraz Belgii
˥ Profesjonalna opieka serwisowa
˥ Nasze Referencje
Kontakt:
http://www.infradata.pl
Dziękuję za uwagę
Krystian [email protected]