Выбор анализатора сетевого трафика, производительности сети и приложений
В терминологии системных администраторов и специалистов по информационной безопасности часто встречается понятие — «анализаторы трафика». Под анализатором трафика понимается устройство или программа, которая перехватывает трафик и затем его анализирует. В сфере ИБ используется термин «сниффер». Как правило, снифферы «слушают» тот трафик, который проходит через сетевую карту. Одна из самых известных свободно распространяемых программ-снифферов – это Wireshark. Но хочется отметить, что на самом деле функционал анализаторов трафика уже давно «перерос» проблемы хакинга и информационной безопасности. Современные коммерческие анализаторы выпускаются как в виде программных решений, так и в виде аппаратных устройств и служат для комплексного анализа производительности крупных информационных сетей, а также пользовательских приложений.
С помощью анализаторов трафика системный администратор решает следующие задачи:
- находит проблемы в работе сети (задержки в передаче информации) и быстро их устраняет,
- обнаруживает постороннюю активность (несанкционированный доступ злоумышленников), атаки на корпоративные ресурсы и т.д.,
- «прослушивает сеть»,
- анализирует работоспособность пользовательских приложений,
- собирает статистику.
Существуют два основных метода анализа трафика:
- «В режиме реального времени»;
- «Ретроспективный анализ», который предполагает «захват трафика» и его сохранение, а затем изучение и получение отчетности.
В плане технических решений, существует методика анализа трафика, основанная на данных маршрутизатора. Т.е. используется определенный софт, который собирает данные маршрутизатора, анализирует их и представляет системному инженеру отчетность. Здесь можно упомянуть о Netflow (Cisco), который собирает IP-трафик. Есть методики, которые не основаны на маршрутизаторах, в этом случае устанавливается отдельное оборудование и программное обеспечение, которое и собирает данные из сети, анализирует их, предоставляя отчетность и экспертное решение по определенным проблемам.
Рассмотрим, как производится анализ трафика в реальных сетях на примере софта и оборудования компании Fluke Networks.
1. Сетевой анализатор Fluke Networks OptiView XG
В линейке оборудования компании Fluke Networks — это одно из наиболее удобных решений для системных администраторов. Оригинальность заключается в том, что этот анализатор изготовлен в виде планшета (10,25 — дюймовый дисплей), очень прост в использовании. Рядовой сотрудник ИТ-отдела без специальной подготовки сможет начать работу с помощью данного анализатора и провести анализ даже крупной сети. Этот прибор портативный, весит всего 2,5 кг, т.е. для специалиста в «полевых условиях» и в командировке незаменимый вариант. Итак, рассмотрим, как с помощью данного устройства системному администратору можно произвести анализ трафика в сети крупной организации.
Планшет Fluke Networks OptiView XG позволяет исследовать сеть Ethernet 10Гбит/c и также беспроводные сети 802.11a/b/g/n, оснащен двумя WiFi-адаптерами и одним встроенным адаптером Spectrum, работает под управлением Windows 7 (64 разрядная версия). Какие виды данных реально получить с помощью этого устройства? В «режиме реального времени» планшет способен отследить сразу до 30000 устройств, обеспечивает пропускную способность до 10 Гбит/c в этом режиме. Системный инженер может подключить его в любой точке сети. Например, бизнес-приложения (финансовые задачи) вызывают большую нагрузку на полосу пропускания, и отдельные пользователи получают данные с большой задержкой. Необходимо выяснить в каких узлах сети происходят такие задержки в передаче трафика, вероятно, что какое-либо приложение вызывает такую нагрузку на сеть или это результат неправильной настройки сети, протоколов или маршрутизации. Может даже система подверглась атаке или уязвима перед ней. Все это возможно отследить с помощью OptiView XG, причем данные будут предоставлены в удобной форме, в виде упорядоченных отчетов (формат HTML и PDF) и доступны для групповой работы сотрудникам различных служб компании. Есть возможность отследить, какие именно типы приложений больше всего нагружают полосу пропускания сети, например, видео-контент или P2P-трафик, которым слишком злоупотребляют некоторые сотрудники. Нередко для веб-ресурсов компании используются виртуальный сервер и другие средства виртуализации, в данном случае планшетный анализатор позволяет произвести исследования производительности виртуальной машины VMware.
Перечислим некоторые дополнительные функции, которые предоставляет планшет OptiView XG:
- Анализ пути и прикладной инфраструктуры;
- Функция Trace SwitchRoute;
- Netflow анализ;
- Контроль транкового трафика сетей VLAN;
- Функция сопоставления данных и поиск запрещенного в сети трафика;
- Встроенный анализатор ClearSight™ (обзор состояния всех приложений);
- Обнаружение проблем и сбоев в автоматическом режиме;
- Реконструкция контента VoIP, видео или писем электронной почты.
2. Fluke Networks OptiView NetFlow Tracker
OptiView NetFlow Tracker – представляет собой программный пакет, позволяющий администратору производить анализ трафика на основе подключения к маршрутизатору. Как мы уже писали выше, такой анализ трафика проводится с помощью встроенных опций маршрутизатора, а именно функции Netflow.
Выполнив анализ данных, которые предоставлены Netflow, системный инженер сможет обозначить для себя такие «узкие места» в работе сети, как увеличенная нагрузка на канал, например. C помощью OptiView NetFlow Tracker можно выяснить, есть ли вирусы в сети, правильно ли построена сеть, следуют ли пользователи политике безопасности, принятой в организации.
Требования к маршрутизаторам: c этим софтом совместимы модели маршрутизаторов и коммутаторов Cisco, Juniper и Nortel (поддержка опций NetFlow или IPFIX). В принципе, любое устройство, способное экспортировать NetFlow подойдет для работы с OptiView NetFlow Tracker, о форматах экспорта и других деталях стоит посоветоваться с нашими техническими специалистами. Приобрести этот программный пакет возможно с лицензией от 5 до 1000 устройств и с различными видами и сроками технической поддержки. OptiView NetFlow Tracker будет полезен в том случае, когда планируется проводить анализ трафика и производительности сети, используя имеющиеся в компании маршрутизаторы без дорогостоящей закупки специального оборудования. Конечно, системный администратор не получит такого расширенного анализа, как при использовании комплексных аппаратных решений, но для целого ряда организаций вполне достаточно и методики анализа трафика, основанной на данных маршрутизатора.
3. Fluke Networks Visual TruView
Visual TruView – это мощное серверное решение для комплексного анализа трафика. Позволяет рассчитать данные производительности сети, вести контроль приложений, а также анализировать VoIP. Посмотрим, какие основные инструменты может получить системный инженер, используя этот комплекс. Кроме обычного анализа пакетов и операций, есть возможность потоковой записи на диск (10 Gbps) и управления устройствами. Также доступен анализ трафика NetFlow, который используется в маршрутизаторах. И что особенно важно, так это удобная управляющая программа, которая сводит данные, полученные из разных источников в единый удобный формат отчетности «всё-в-одном». Надо отметить, что это самый удачный вариант для анализа трафика «в реальном времени».
Visual TruView выполнен в виде сервера, монтируется в стойку, технические характеристики можно выяснить на нашем сайте. С помощью этого анализатора системный администратор может провести полноценное «техническое расследование» в реальном времени на предмет замедленной и неэффективной работы приложений пользователя. Например, в крупном Call-центре, использующем средства VoIP или в большой торговой компании, которая использует CRM-систему.
4. Fluke Networks «Network Time Machine»
«Network Time Machine» – система для захвата и анализа трафика, наилучшее решение для «ретроспективного анализа». Система NTM захватывает весь трафик Ethernet (10/100 Мбит/с, 1 Гбит/с, 10 Гбит/с), осуществляет потоковую запись на диск с высокой скоростью.
Как происходит анализ трафика в этой системе? На первом этапе осуществляется захват трафика с помощью высокопроизводительных карт FPGA, затем все захваченные кадры сохраняются в дисковом массиве (PacketStore), причем все эти данные в реальном времени обрабатываются, классифицируются и упорядочиваются. Функция Atlas позволяет сделать углубленный сбор информации и проанализировать данные, передающиеся на транспортном и сетевом уровне (модель OSI). С помощью опции ClearSight Analyzer можно получить результаты анализа пакетов в сети, отобразить основные протоколы и быстро обнаружить неисправности.
Зададимся вопросом: «В каких случаях специалисту необходим ретроспективный анализ трафика, и чем он эффективнее анализа в реальном времени?». При эксплуатации корпоративных сетей, да еще и с высокопроизводительными приложениями часто возникает ситуация, когда ошибка или замедленная работа определенных программ или устройств повторяются неоднократно, причем в самых различных ситуациях. Этот «несистемный эффект» у специалистов называется «плавающей ошибкой». Такие уязвимости и ошибки не отследить «в реальном времени», а вот если тщательно проанализировать захваченный трафик, то можно выявить причину таких сбоев и устранить их навсегда.
Одна из ключевых функций NTM – это точный анализ видео и VoIP в реальном времени, что необходимо для крупных операторов IP телефонии. С помощью Network Time Machine системный инженер может «поднять» из массива данных и восстановить любой звонок, сделанный абонентом или любое видео, транслируемое он-лайн.
Очень интересная функция – это анализ и расшифровка туннельного трафика, причем поддерживаются почти все основные протоколы. Нужно отметить, что большинство программных бесплатных и даже коммерческих снифферов не справляется с туннельным трафиком, что было отмечено специалистами по ИБ во время тестирования таких программ.
Компания Fluke Networks выпускает свой комплекс NTM как в портативном варианте, так и в виде сервера, монтируемого в стойку. Естественно, портативные варианты удобнее для работы в «полевых условиях», серверные подойдут для корпоративных сетей. Для консультации и выбора правильной конфигурации Network Time Machine всегда можно обратиться к нашим специалистам.
В заключении хочется отметить, что анализаторы трафика и производительности приложений имеют самый широкий спектр применения и выпускаются в различном исполнении и с большим набором функций. Линейка оборудования и софта компании Fluke Networks может удовлетворить запросы любой организации в сфере системного администрирования и проблем ИБ.
См. также:
Материал подготовлен
техническими специалистами компании “СвязКомплект”.