Aktualita: Flowmon Packet Investigator

Ondrej Kis

Product Manager - Security

ondrej.kis@alef.com

Flowmon Packet Investigator (FPI) je nástroj pre automatický audit sieťového prevádzky, ktorý zachytáva pakety a interpretuje dáta v nich. Vďaka kombinácií automatických analytických metód a implementácii odborných znalostí, sú správcovia schopní pochopiť vzniknuté problémy. Zároveň sú k dispozícii návrhy na vyriešenie, čím sa ušetri hodiny až dny manuálneho prehľadávania.

Na čo možno Packet Investigator použiť:

  • On-demand záznam sieťovej prevádzky (L2-L7) pre dôkladný troubleshooting.
  • Automatická paketové analýza zachytených udalostí prostredníctvom vstavaných expertných znalostí.
  • Urýchlenie troubleshootingu pomocou vysvetlenia udalostí a návrhov na vyriešenie udalostí.

Vlastnosti a výhody

  • Automatická analýza - Autonómna investigácia DHCP, DNS, FTP, IMAP, IMF, POP, SIP, SLAAC, SMB, SMTP, IP, TCP, SSL, HTTP pre vyriešenie prevádzkových problémov s kompatibilitou atd.
  •  Vstavané znalosti - FPI používa analytický modul na identifikáciu príčin problémov, ku ktorým podáva jasné vysvetlenie a ponúka kroky na ich vyriešenie.
  • Jasné dôkazy vždy po ruke - Relevantné pakety možno zachytávať v rýchlostiach 1G, 10G, 40G a 100G prostredníctvom vstavaných záznamových funkcií, alebo možno nahrať PCAP súbory z externých zdrojov.
  • Cyklický buffer - Daný počet paketov pre každý tok zostáva v pamäti po stanovenú dobu a v prípade potreby je zaznamenaný.
  •  Automatické triggery - Detekcia udalosti môže automaticky spustiť záznam paketov a získať dáta pre dôkladnú analýzu.
  •  Konsolidácia nástrojov - Dostupnosť, kapacita, troubleshooting, compliance a forénzna analýza - všetko v jednom užívateľskom rozhraní.

Automatická PCAP analýza

Paketové analýza je nenahraditeľná v situáciách, keď sieťová telemetria neposkytuje dostatočne detailné informácie a je preto potrebné nahliadnuť do obsahu komunikácie. Nástroje ako Wireshark síce dokážu zaznamenať prevádzku, ale vyžadujú rozsiahle znalosti k interpretácii zistených udalostí. FPI je o krok ďalej tým, že pakety sa analyzujú automaticky.

Jeho analytický modul interpretuje sieťové protokoly, ich závislosti, RFC špecifikácie a chyby. Vďaka tomu podáva administrátorom jasný obraz o vzniknutých problémoch aj návrhy na ich riešenie.

FPI výrazne redukuje MTTR v prípadoch ako:

  • Problémy so sieťovým pripojením (komunikácia zablokovaná firewallom, nedostupnosť ciele, chyby TCP atď.)
  • Porucha alebo nesprávna konfigurácia kritických sieťových služieb (ARP, DNS, DHCP)
  • Problémy kompatibility šifrovanie medzi klientom a serverom (SSL / TLS verzia, šifrovacie algoritmy, certifikáty atď.)
  • Problémy zásobníka aplikačných protokolov (HTTP, SAMBA, FTP, IMAP, POP atď.)

Packet Investigator vs. Wireshark

Ako Packet Investigator funguje

  1. On-demand záchyt paketov na základe automatického, manuálneho alebo plánovaného triggeru. Rovnako možno nahrať vlastné PCAP súbory.
  2. Inteligentná analýza pomocou automatizovaného rozhodovacieho stromu.
  3. FPI hľadá odchýlky od RFC špecifikácií aj neočakávané správanie a k nájdeným problémom podáva vysvetlenie.
  4. Výsledky sú zobrazené na dashboardu spolu s počtom nájdených problémov a ich závažnosti s možnosťou drill-down.

V prípade záujmu o bližšie informácie kontaktujte našich obchodníkov a oni s vami prekonzultujú možné použitie technológie

 kontaktujte nás na   SK-sales@alef.com