Kulcsszavak

- hálózati forgalom monitorozás, analizálás
- (át)láthatóság - visibility
- Network Packet Broker (NPB)
- forgalom tükrözés
- hálózati 'Tap' eszközök (optikai és rezes)
 

Rövid ismertető magyarul

A komplex, összetett vállalati és szolgáltatói hálózatok üzemeltetése esetén komoly kihívást jelent a hálózaton átvitt forgalom átláthatósága (visibility), ez az a képesség, mely lehetővé teszi, hogy a hálózat minden pontján – vagy legalábbis a kritikus kapcsolatok esetében – pontos képet kapjunk arról mi és hogyan halad át a hálózati infrastruktúrán. Nyilvánvaló, hogy ezen képesség hiánya nagyban megnehezíti illetve lelassítja a hiba keresést és elhárítást (növelve ezzel az üzemeltetési költségeket), de az is könnyedén belátható, hogy a hálózat biztonsági kockázatot is növeli (a 2015 Trustwave Global Security Report-ból kiderül, hogy a megtámadott hálózatok tulajdonosainak 81%-a nem is tudott a támadás tényéről, melynek áldozatául esett). A hálózat monitorozó eszközök csak magukról a hálózati eszközökről és az eszközök között lévő kapcsolatokról nyújtanak információt, esetleg statisztikai adatokat (pl. sFlow) gyűjtenek a hálózati forgalomról, de a hálózati forgalmat ritkán és korlátozottan képesek analizálni – nem is elsődleges céljuk.

A hálózati forgalom analizálására a piacon kifinomult alkalmazások és megoldások érhetőek el, melyek mélyreható vizsgálatokat tudnak biztosítani magára az adatforgalomra (pl WireShark), specializáltan valamely szolgáltatásra (pl. VoIP analizáló megoldások) vagy éppen a hálózatbiztonságra (pl. SIEM, IPS rendszerek). Azonban ezek az eszközök csak akkor tudnak hatékonyak lenni, ha minden, számukra releváns forgalmat analizálni tudnak.

A hálózati forgalom tükrözése az analizáló eszközök felé esetenként megoldható magukkal a hálózati eszközökkel is (SPAN port), de ebben az esetben nem garantálható, hogy minden szükséges forgalom tükrözésre kerül. Egy 1 Gbps-os full-duplex kapcsolat garantáltan teljes tükrözése például nem valósítható meg egy másik 1GE sebességű kapcsolaton. Távoli tükrözés (Remote SPAN) esetén pedig ugyanazon forgalom többszörösen kerül továbbításra a hálózaton, ami plusz terhelést jelent az infrastruktúra számára. A forgalom tükrözés emellett a switch forgalomtovábbítási teljesítményét is befolyásolja és konfiguráció módosítást igényelhet, amely kritikus infrastruktúrák esetében problámás lehet.

Ezért a hatékony tükrözés érdekében ún. out-of-band tükrözést célszerű megvalósítani, amikor is a kritikus (pl. uplink) kapcsolatok forgalmát dedikált forgalom tükröző eszközökkel ún. tap-ekkel továbbítjuk az analizáló eszközök felé. Ezek a hálózati tap-ek optikai kapcsolatok esetében teljesen passzív eszközök is lehetnek, melyek a kapcsolat sebességétől függetlenül az 1GE, 10GE vagy akár 100GE sebességű kapcsolatok optikai jeleit egy monitorozó eszköz felé is továbbítják. Természetesen rezes és akár virtuális tap-ek is elérhetőek, de mindegyikre jellemző, hogy az adattovábbító hálózat szempontjából teljesen transzparensek.

A tap-ekből érkező kitükrözött forgalmat ezután aggregáló eszközökbe ún. Network Packet Broker-ekbe (NPB) célszerű továbbítani, melyek a nagy kapacitású aggregálás mellett szelektálják és előfeldolgozást végeznek a kitükrözött adathalmazban. Segítségükkel biztosítható, hogy az analizáló alkalmazások felé csak a számukra releváns forgalom kerüljön továbbításra. A szelektálás/filterezés mellett, a fejlettebb NPB megoldások deduplikációt, SSL kititkosítást, a bizalmas forgalom adat maszkolását, terhelés elosztást, stb. is képesek biztosítani, mindezt a teljes beérkező (akár 10-40 Gbps-os) forgalomra, csomagvesztés nélkül. Ezáltal biztosítható, hogy az analizálást végző eszköz a teljes (számára releváns) adatforgalommal tud dolgozni, ugyanakkor nem terhelődik túl az irreleváns adatcsomagokkal. 

 Visibility_IXIA_v2

A fejlettebb NPB megoldások (pl. IXIA Vision ONE) akár az alkalmazás rétegig terjedő szűréseket is képesek megvalósítani, mint például: alkalmazások szerinti szűrés, geolokáció ahonnan az alkalmazást használják, használt eszköz típus (tabletek, laptopok, okos eszközök stb.), használt böngésző típus stb. Az NPB eszközök a tükrözött forgalmat egyidejűleg akár több eszköz felé is továbbítani tudják (pl. IPS, tűzfal, snifferek, alkalmazás performancia monitorozó - APM megoldások), csomagvesztés mentes disztribúciót is végeznek.
 

Short summary

Visibility is the term used to describe a data distribution layer that intelligently connects raw, unprocessed incoming data to your analytics and security tools. It is not some sort of data analytics or monitoring application, or even deep packet inspection. Visibility is pure and simple data distribution with the ability to intelligently direct and load-balance data flows to optimize security and network performance. For network or application visibility, we are talking about removing blind spots that are hiding the ability to readily see (or quantify) the performance of the network and/or the applications running over the network. This visibility is what enables IT to quickly isolate security threats and resolve performance issues; ultimately ensuring the best possible end user experience.
 
The starting point of your architecture is to make sure you have proper access to the data you need. This typically involves using taps, virtual taps, and bypass switches to access data from relevant segments of your network. This removes the bottle neck caused by limited access points (like SPAN ports). However, SPANs can still be used, if necessary.
 
Next, you’ll want to have a filtering component to maximize the flow of relevant information to your monitoring tools. Enterprises can maximize their monitoring investment by utilizing powerful network packet brokers (NPBs).  These devices give greater control to network operators and enable the ability to extend the life of existing network, application, and security tools; even as you migrate to higher speed 10GE, 40GE, or 100GE networks. NPBs are responsible for data aggregation, filtering, deduplication, and load balancing of Layer 2 through 4 (of the OSI model) packet data. These features ensure the tools get the data they need without being overwhelmed.
 
The next set of capabilities is the application intelligence layer. This functionality allows filtering and analysis further up the OSI stack at the application layer, i.e. Layer 7. These capabilities give you quick access to information about your network and help to maximize the efficiency of your tools. This is only available in certain NPBs. Depending upon your needs, this feature can be quite useful as you can collect the following information:  the types of applications running on your network, the bandwidth each application is consuming, the geolocation of application usage, device types and browsers in use on your network, and the ability to filter data to monitoring tools based upon the application type. You can also perform SSL decryption at this layer.
 
The final layer is made up of your security and monitoring tools. These devices perform the analysis function on the security and monitoring data. They are typically special purpose tools (e.g. IPS, firewall, sniffer, APM, etc.) that are designed to analyze specific data. The output from these tools is typically used by network engineers to make their decisions.

Infobox

- Tudta, hogy azon ügyfelek, akik megfelelő visibility infrastruktúrát építettek akár 80%-al is csökkenteni tudták a hálózati teljesítmény problémák elhárításához szükséges időt?
- Tudta-e Ön, hogy egy komplex hálózatban nem is olyan könnyű eldönteni, ellenőrizni, hogy milyen forgalom halad keresztül a hálózaton? 
- Tudta-e Ön, hogy a hálózati tap-ek segítségével az összes forgalom tükrözhető, beleértve a kapcsolati réteg hiba üzeneteit is? 
- Tudta-e Ön, hogy az NPB megoldásokat in-line módban akár tűzfal megoldásokkal kombinálva is használhatja a hálózat biztonság növelése érdekében?
- Tudta, hogy az adatközpontokba (DC) szánt NPB megoldások (pl. IXIA Vision E100) akár 128 db 10GE/25GE vagy akár 32 db 40G/100G tükrözött kapcsolatot is kezelni tudnak (a támogatott filterezési és előfeldolgozó funkciókkal együtt)?
- Tudta-e Ön, hogy bizonyos gyártók esetében az NPB eszközök SDN vezérlők segítségével is menedzselhetőek, melynek köszönhetően akár Software Defined Data Centre (SDDC) környezetben is jól integrálhatóak?
 

Gartner Magic quadrant
 
Sajnos ebben a kategóriában nem áll rendelkezésünkre Gartner elemzés. 
 
Kérdések, melyek segíthetnek eldönteni, hogy mennyire átlátható és biztonságos a hálózata
 
- komplex hálózati infrastruktúrával rendelkezik, mely több féle, magas rendelkezésre állást és állandó teljesítményt igénylő kritikus alkalmazást és szolgáltatást szolgál ki?
- vannak hálózati hibaelhárításra szánt analizáló eszközei, de nem tudja biztosítani, hogy minden releváns információ elérhető legyen számukra?
- fontos önnek a gyors, illetve akár proaktív hibaelhárítás a hálózati környezetében?
- ügyfeleitől elvárt a szolgáltatás minőségének állandó monitorozása?
- üzletileg kritikus alkalmazásai, IT hálózata van, ahol akár egy rövid ideig tartó szolgáltatás kiesés is óriási károkat okoz? 
- újabb hálózat biztonsági analizáló megoldást szeretne az infrastruktúrába illeszteni, de nem tudja biztosítani, hogy minden forgalom megérkezzen az analizáló eszközére?
- az élesben működő hálózat biztonsági eszközei mellett, szeretne egy tesztelési környezetet létre hozni új megoldások validálására, amit az Ön hálózatában megjelenő valós forgalommal tud tesztelni anélkül, hogy az éles hálózat működésében bárminemű változtatást kelljen eszközölni?
- Virtuális és SDN vezérlővel integrált környezetben is szeretne átláthatóságot és automatizált működést biztosítani?
 
Általunk forgalmazott megoldások
Ixia visibility termékcsalád - hálózati tap-ek, nagy teljesítményű NPB megoldások akár alkalmazás rétegig terjedő funkciókkal
 
Kapcsolódó gyártók:

Ixia logo