Контроль сети в современных условиях становится все более сложной, а иногда и трудно выполнимой задачей. Помимо всего прочего, с приходом Web 2.0 более 85% сетевого трафика идет через порт 80. Как результат, различить отдельные приложения друг от друга становится сложным. Для того, чтобы оптимизировать производительность и сохранить безопасность сети необходимо знать, когда и каким образом используются приложения (а также, кем) повсюду в организации.
Надежная идентификация на уровне Layer 7 приложений и протоколов с помощью DPI и поведенческого анализа.
StealthWatch FlowSensor использует комбинацию DPI (Deep Packet Inspection) и поведенческого анализа и надежно идентифицирует работающие приложения и протоколы вне зависимости о того, в каком виде эта информация - в виде простого текста или в виде надежно зашифрованных данных.
Обеспечивая полную видимость приложений на уровне Layer 7, FlowSensor собирает информацию о приложениях и данные URL совместно со сбором статистики производительности на пакетном уровне. Имея лучшую на рынке степень масштабируемости, FlowSensor может использоваться везде, от регионального офиса до крупного 10G-дата-центра, за небольшую долю стоимости традиционных систем на базе проб (зондов). FlowSensor может узнавать более, чем 900 вариантов приложений, таких как, в частности:
• Peer-to-Peer (т.е., BitTorrent, eDonkey и Kazaa) • Критичные для бизнеса (т.е., Exchange, LDAP и SAP) • Социальные медиа (т.е., Facebook, MySpace и LinkedIn) • Стриминг- аудио и видео (т.е., YouTube и Pandora) • Instant Messaging (т.е., Jabber и MSN) • Voice over IP (т.е., Skype, H.323 и SIP) • Мобильные (т.е., Blackberry) • Туннелирование (т.е., SSL, IPsec, L2TP и GRE) • Стандартные приложения (т.е., HTTP и DNS) • Игры (т.е., World of Warcraft и Xbox)
1 Полный список см. в StealthWatch FlowSensor Supported Applications Data Sheet.
Диагностирование проблем производительности: Приложения, сеть или безопасность.
Не зная, каковы типичные параметры производительности сети и приложений в физических и виртуальных средах, невозможно проактивно определить, когда задержка связана с какой-то проблемой. FlowSensor захватывает статистику производительности на пакетном уровне, которую StealthWatch анализирует для того, чтобы создать базовый профиль производительности приложений и сети. Если возникает деградация производительности, StealthWatch автоматически предупреждает операторов и помогает изолировать источник проблемы за несколько секунд, привязав ее к конкретному приложению, сети или факту нарушения защиты.
Кроме того, сетевые атаки, вирусы, черви и вредоносное ПО могут также влиять на производительность приложений. StealthWatch "всматривается" в любое необычное поведение и немедленно посылает сигнал с контекстной информацией, которая помогает персоналу службы безопасности быстро предпринять меры по предотвращению ущерба. Если причина находится в определенном хосте, StealthWatch может даже определить конкретного пользователя, который в это вовлечен. Используя уникальные аналитические возможности StealthWatch, оператор может перейти от идентификации проблемы к ее изоляции за несколько секунд, уменьшая таким образом Mean-Time-To-Know (MTTK), увеличивая операционную эффективность и снижая расходы.
Продвинутые данные URL
Lancope также добавляет информацию об URL в записи потоков, генерируемые FlowSensor. Ранее недоступные для большинства источников потоков, URL-данные позволяют администраторам точно видеть, на какие сайты "ходят" пользователи , а также адреса файлов, что позволяет быстрее определить, какое приложение вызвала проблемную ситуацию. Администраторы могут идентифицировать как имя хоста сервера, так и любое сообщение об ошибке внутри потока, что позволяет быстрее решить сетевую проблему.
URL-данные, полученные от StealthWatch помогают точно определить, какое приложение стало источником проблемы
Полная, масштабируемая визуализация на уровне пакетов для любых сетей - от регионального офиса до 10G дата-центров
FlowSensor доступен как в виде легкого устройства формата 1U, либо в виде виртуального устройства. Вы можете выбрать любое устройство из линейки, начиная с компактного FlowSensor 250, который обладает пропускной способностью 100 Мб/с и предназначен для сетей с нешироким каналом, заканчивая FlowSensor 3000 для мониторинга сетей класса 10G.
Для виртуальных сред с ограниченными системными ресурсами можно использовать FlowSensor VE (Virtual Edition), который позволяет операторам видеть детальную статистику трафика для своих виртуальных сетей, так же как и физических сетей, эффективно избавляясь от "слепых мест", которые часто ассоциируются с виртуальной средой.
Как это работает
Устройство FlowSensor легко подключается в существующую инфраструктуру через SPAN-, зеркальный порт или Ethernet TAP. FlowSensor VE просто инсталлируется на каждом хосте vSphere/ESXi и подключается к виртуальным коммутаторам. После инсталляции FlowSensor пассивно захватывает фреймы Ethernet из трафика и выбирает данные на пакетном уровне, содержащие ценную статистику сессии. По мере того, как FlowSensor следит за сетевым трафиком, он также высчитывает различную статистику производительности для каждого потока и экспортирует ее ("обогащенную2 метриками производительности и индикаторами поведения) в StealthWatch FlowCollector.
Поскольку FlowSensor контролирует трафик на уровне пакетов, он может рассчитывать метрики производительности, такие как round-trip time (RTT), время отклика сервера (server response time , SRT) и потери пакетов за TCP-сессию. Он включает в запись все эти дополнительные поля перед пересылкой ее в FlowCollector. Такие индикаторы производительности позволяют понять природу задержек, вызванные сетью, а также серверными приложениями.
Метрики производительности, такие как round-trip time (RTT), время отклика сервера (server response time , SRT), предоставляемые StealthWatch, мгновенно становятся доступными для сетевых администраторов
FlowSensor помогает организациям:
• Использовать глубокую инспекцию пакетов (deep packet inspection, DPI) для идентификации приложений Level7 в физической и виртуальной сетевой среде. • Идентифицировать зашифрованные или скрытые приложения и протоколы с помощью поведенческого анализа на пакетном уровне. • Собирать статистику производительности на пакетном уровне для всего IP-трафика, проходящего через сеть • Решать проблемы производительности приложений и сетевой задержки, быстро диагностируя и разрешая нарушения на уровне пользователя. • Получать информацию из областей сети, где нет данных потоков и где традиционная технология с использованием зондов (проб) чересчур дорогостояща. • Контролировать сетевые коммуникации вплоть до индивидуальных потоков, собирая информацию со всей сети и обеспечивая полную видимость процессов, связанных с трафиком. • Точно определять проблемы производительности, связанные с нарушением безопасности, путем сбора данных на пакетном уровне, которые StealthWatch анализирует для идентификации и выделения вредоносных сетевых коммуникаций, таких как ботнеты, черви, нарушения политик безопасности, неправильная конфигурация устройств. • Просматривать расширенные URL-данные для дальнейшего использования при разрешении проблем.
С помощью расширенных данных URL, администратор может видеть сообщения об ошибках внутри потока, которые могут использоваться для разрешения проблем
Дистрибьютором продуктов Lancope в России является компания Web Control. Решение на базе флагманского продукта Lancope - StealthWatch можно приобрести в Web Control, либо у его партнеров. Телефон для справки: +7 (495) 925-7794, e-mail: info@web-control.ru