Интеллектуальные сетевые записывающие устройства EndaceProbe

Устройства EndaceProbe компании Endace предназначены для захвата, индексации и записи сетевого трафика без потерь пакетов вне зависимости от скорости передачи данных по сети и типа трафика. Эти критически важные инфраструктурные элементы работают с широким набором средств сетевого мониторинга и обеспечения информационной безопасности, являясь для них абсолютно точным источником захваченных пакетов.

Компании и организации используют интеллектуальные сетевые записывающие устройства EndaceProbe для ускорения диагностики проблем в работе сетей и приложений, обеспечения их информационной безопасности и соответствия нормативным требованиям. В отличие от многих традиционных систем мониторинга, обнаруживающих сбои в работе сети и угрозы информационной безопасности, устройства EndaceProbe помимо этого обеспечивают ретроспективный анализ работы сети.

Архитектура и базовый функционал EndaceProbe

Интеллектуальные сетевые записывающие устройства EndaceProbe основаны на высокопроизводительных серверных платформах и оборудовании ввода-вывода, которое поддерживает лучшую в своем классе фирменную технологию захвата и генерации данных DAG (Data Acquisition and Generation).

Устройства EndaceProbe работают с базовым веб-приложением EndaceVision, которое визуализирует захваченный трафик и в реальном масштабе времени отображает информацию о потреблении полосы пропускания сети. Кроме того, данные устройства могут анализировать пакеты с помощью входящего в комплект поставки веб-приложения EndacePackets, исполнять пользовательские приложения и приложения других фирм, благодаря поддержке виртуализированной среды для хостинга приложений Endace Application Dock, и пересылать удаленным системам захваченные пакеты, снабженные высокоточными временными метками.

Устройства EndaceProbe дают возможность анализировать (с помощью ПО EndaceVision) сетевой трафик до, в течение и после интересующего периода времени, в котором произошел инцидент информационной безопасности, сбой в работе сети или микровсплеск трафика.

• Интеллектуальные сетевые записывающие устройства EndaceProbe
• Платы захвата данных Endace DAG

Устройства EndaceProbe работают под управлением фирменной операционной системы OSm, которая обеспечивает значительную часть широкого функционала, сделавшего данные устройства столь популярными среди корпоративных заказчиков. В устройствах EndaceProbe функционирование оборудования, микропрограммного обеспечения и ПО оптимизировано для достижения исключительно высокой производительности.

Операционная система OSm содержит модуль DPI, распознающий трафик более 1200 различных приложений. Благодаря этому модулю, устройство EndaceProbe является «осведомленным» о работе приложений, а ПО EndaceVision может отслеживать и визуализировать трафик различных приложений и выполнять ряд других функций.

Из множества устройств EndaceProbe можно создать единую инфраструктуру сетевого мониторинга и записи сетевого трафика, обеспечивающую контроль трафика во всей крупномасштабной сети. Централизованное управление этой инфраструктурой обеспечивает продукт EndaceCMS (Central Management Server).

Основными функциональными возможностями интеллектуальных записывающих устройств EndaceProbe являются:

• Мониторинг нескольких сетевых каналов одновременно (поддерживаются каналы 1GbE, 10GbE и 40GbE).
• Захват и запись сетевого трафика на линейной скорости без потерь пакетов.
• Индексация трафика на линейной скорости, включая классификацию приложений на уровне 7.
• Основанные на оборудовании возможности фильтрации пакетов и управления ими.
• Быстрое нахождение и извлечение интересующих пакетов из многотерабайтных трассировочных файлов для анализа этих пакетов с помощью ПО EndacePackets.
• Экспорт трафика в другие приложения посредством открытого API.
• Простая интеграция с лучшими в отрасли решениями для обеспечения информационной безопасности (IDS, SIEM), мониторинга производительности сетей и приложений (NPM и APM).
• Возможность создания централизованно управляемой инфраструктуры мониторинга и записи сетевого трафика.
• Возможность исполнения пользовательских приложений и приложений других фирм, благодаря наличию среды для хостинга приложений Endace Application Dock.

Захват трафика на линейной скорости без потерь пакетов

Благодаря использованию технологии DAG, устройства EndaceProbe гарантируют захват (из сети) каждого пакета вне зависимости от его размера и линейной скорости, если она не выше 40 Гбит/с. При работе вместе c головной системой сетевого контроля EndaceAccess 100 с помощью устройств EndaceProbe можно контролировать трафик интенсивностью до 100 Гбит/с.

В отличие от мониторинговых решений на базе обычных сетевых плат, технология DAG использует эффективную методику прямого доступа к памяти (DMA) для захвата пакетов и продвижения их в оперативную память хост-сервера при минимальной нагрузке на его центральный процессор. Благодаря экономии ресурсов центрального процессора при захвате пакетов, больше этих ресурсов может быть использовано приложениями, работающими на устройстве EndaceProbe.

Индексация трафика

В процессе мониторинга сети захватываемые пакеты индексируются в реальном масштабе времени. Индексы хранятся в устройстве EndaceProbe (в дополнение к самим пакетам) и содержат широкий набор важных метаданных, включая тип приложения, адреса MAC и IP, временные метки и др., что дает возможность быстро находить интересующие пакеты среди всех других захваченных пакетов.

Интеллектуальная запись на диски

Устройство EndaceProbe записывает захваченный сетевой трафик (для его ретроспективного анализа) на диски SAS или SSD. Использование недорогих (в расчете на единицу емкости) дисков SAS — оптимальное решение для тех случаев, когда требуется большая емкость дисковой подсистемы. В устройствах EndaceProbe серии 9000 она составляет до 192 Тбайт. В тех случаях, когда необходима повышенная скорость записи трафика, рекомендуется использовать модели EndaceProbe серии 8100, оснащенные дисками SSD. Эти модели обеспечивают стабильную скорость записи до 40 Гбит/с.

Устройства EndaceProbe можно сконфигурировать для фильтрации пакетов на основе широкого набора параметров, относящихся ко всем уровням модели OSI (чтобы записывались только интересующие пакеты), а также для записи частей пакетов или только метаданных с информацией о приложениях (используются приложением EndaceVision для визуализации информации о работе сети). Возможность записи частей пакетов или только метаданных позволяет задействовать устройства EndaceProbe в тех сетях, где запрещено записывать пакеты целиком.

Репликация и дедупликация пакетов

Поскольку на устройстве EndaceProbe могут работать несколько приложений одновременно, часто требуется посылать одни и те же пакеты в два разных приложения. Для выполнения этого требования устройства EndaceProbe имеют функцию репликации пакетов. Может выполняться и функция дедупликации пакетов, когда это необходимо.

Высокоточные временные метки

Прикрепленные к пакетам высокоточные временные метки имеют большое значение для трейдеров и тех специалистов, которые занимаются расследованием сетевых инцидентов. Технология DAG, реализуемая во всех моделях EndaceProbe, присоединяет временные метки с разрешением ±7,5 нс и точностью ±50 нс к каждому пакету. С помощью технологий передачи внешних синхросигналов временные метки на многих устройствах EndaceProbe могут быть синхронизированы в пределах нескольких наносекунд.

Без наносекундного уровня точности на скорости 10 Гбит/с около 1500 пакетов получат одинаковые временные метки, что существенно затруднит расследование сетевого инцидента.

Идентификация протоколов в реальном масштабе времени

Возможность определения, к какому приложению относится тот или иной пакет, имеет большое значение для диагностики сетевых проблем. Благодаря интеграции модуля DPI в операционную систему OSm, под управлением которой работают устройства EndaceProbe, все потоки, захватываемые этим устройством, классифицируются в плане принадлежности к приложениям и информация об этом заносится в базу метаданных, которую использует приложение EndaceVision. Алгоритм идентификации трафика приложений может точно распознавать трафик более 1200 разных приложений. Обеспечивается постоянное обновление библиотеки признаков приложений.

Защита данных

Чтобы только авторизованный персонал мог осуществлять доступ к записанному сетевому трафику, устройства EndaceProbe поддерживают ролевой контроль доступа и протокол TACACS. Кроме того, для повышения уровня информационной безопасности в устройствах EndaceProbe предусмотрено аппаратное шифрование записываемого трафика.

Пересылка пакетов

В некоторых случаях требуется выводить пакеты из EndaceProbe и передавать их на другое устройство. EndaceProbe поддерживает программируемый XML-интерфейс, который обеспечивает фильтрацию и экспорт записанных пакетов почти в режиме реального времени. Пакеты можно экспортировать в формате ERF или PCAP на скорости до 10 Гбит/с.

Поддержка пользовательских приложений и приложений других фирм

Среда Endace Application Dock дает возможность запускать на устройстве EndaceProbe до шести пользовательских приложений и/или совместимых приложений других фирм одновременно. Благодаря тому, что устройство EndaceProbe захватывает трафик без потерь пакетов и фильтрует его, повышаются эффективность и скорость работы приложений в среде Endace Application Dock. Приложение, функционирующее в среде Endace Application Dock, может быть интегрировано с EndaceVision. Наличие среды Endace Application Dock позволяет компаниям и организациям задействовать на своих устройствах EndaceProbe именно те приложения для сетевого мониторинга, которые соответствуют специфическим требованиям этих организации.

vProbe — виртуальное устройство EndaceProbe

Продукт EndaceProbe vProbe — это устройство EndaceProbe, реализованное в виде виртуальной машины. Данный продукт предназначен для использования в качестве дополнения к физическим устройствам EndaceProbe в инфраструктуре сетевого мониторинга и записи сетевого трафика. Обеспечивая контроль трафика «восток — запад» в виртуальной инфраструктуре без использования физических устройств, vProbe идеально подходит для мониторинга функционирования и диагностики виртуализированных приложений.

vProbe собирает данные, ответвляя трафик из виртуальных коммутаторов или получая пакеты из выделенного сетевого адаптера в хост-сервере. Поскольку vProbe использует обычный сетевой адаптер или функцию захвата трафика из виртуального коммутатора, он не гарантирует захвата всех сетевых пакетов, в отличие от физических устройств EndaceProbe, поддерживающих технологию DAG. Тем не менее продукт vProbe может быть полезен для обеспечения мониторинга виртуализированных сред или контроля низкоскоростных сетевых каналов, которые по каким-либо причинам не могут контролироваться с помощью физических устройств.

Модельный ряд физических устройств EndaceProbe

Семейство аппаратных продуктов EndaceProbe состоит из модели начального уровня 404, серий компактных устройств 4000 и 4100, серии высокопроизводительных устройств 8100 и серии высокоемких устройств 9000.