Académique Documents
Professionnel Documents
Culture Documents
M
e
j
o
r
a
r
e
l
r
e
n
d
i
m
i
e
n
t
o
A
u
m
e
n
t
a
r
l
a
E
f
i
c
i
e
n
c
i
a
Alguna vez
le han encargado reducir los costes WAN pero no dispona de la
visibilidad global para conseguir el objetivo?
le han exigido resolver problemas de red en el momento que ocurren?
le han presionado para ampliar el ancho de banda de los enlaces sin
saber si esto resolvera el problema?
ha tenido que identificar rpidamente los viruses
y usuarios infectados?
Solucin: ReporterAnalyzer
Sistema escalable de uno o varios
appliances depende del nmero de
interfaces a monitorizar
Informes en tiempo real e histricos
altamante customizables
Alertas SNMP e email
Funcionalidades de anlisis fornsico
para completar un sistema de seguridad
Instalacin en menos de 2 h.
Data Storage Appliances
1650
PowerEdge
1650
PowerEdge
1650
PowerEdge
NETFLOW
Colector
NetFlow Manager
ReporterAnalyzer
1650
PowerEdge
1650
PowerEdge
C
o
n
s
u
l
t
a
t
i
e
m
p
o
r
e
a
l
I
n
f
o
r
m
e
s
h
i
s
t
r
i
c
o
s
Solucin: ReporterAnalyzer
Guarda una extensa cantidad de informacin necesario para poder realizar una
planificacin adecuada basndose en datos histricos.
Tiempo real: En la ltima hora se dispone de una granularidad de 1 minuto en los
datos
Anlisis Fornsico: 100% de los protocolos y 100% de los usuarios/conversaciones en
las ltimas 4 h.
Histrico: informacin de protocolos hasta 13 meses con 15 min. de resolucin.
(top 200 protocolos de cada 15 minutos)
informacin de conversaciones hasta 2 meses con 15 min. de resolucin.
(top 15 conversaciones para cada uno de los 15 top protocolos + los top 50 conversaciones globales = 275)
Cada colector soporta entre 20 y 200 routers (un total de 1 milln de flujos por minuto)
Interfaz de usuario: Pantalla inicial
Top
interfaces por
trfico total
Top interfaces
trfico de entrada
Top interfaces trfico
de salida
Top Protocols
Top usuarios
Interfaz de usuario: Pantalla inicial
enviar el informe
por email
cambiar los umbrales
de los indicadores
indicadores de la cantidad de trfico
clic para informacin
detallada de ste
interfaz
Interfaz de usuario: Pantalla inicial
Clic para informacin
detallada de
ste interfaz
clic para ver los top
interfaces y top
protocolos para ste
usuario
clic para top interfaces y top
usuarios de ste protocolo
Interfaz de usuario: Informacin detallada
de un interfaz
clic para ver
hosts
o conversaciones
Protocolos
en ste
interfaz
histricos
de trfico
por protocolo
periodos y
filtros de
tiempo
Tipo de grfico
Informes avanzados: Tabla comparativa
Por qu ste interfaz muestra menos consumo de
ancho de banda?
Comparacin de los
ltimos 6 meses o
6 semanas
Flow Forensics: Informes de seguridad
Ejemplos de anlisis
Cundo ha ocurrido y cunto ha durado?
Qu interfaces han soportado un trfico NetBIOS de ms de un 70% en el
ltimo mes en horario laboral?
Algunos clientes referencia
Caso prctico: Planificacin de ancho de banda
Caso real ocurrido en un cliente:
Las aplicaciones a travs de un enlace transocenico experimentan
una rendimiento muy bajo.
Las estadsticas SNMP del router muestran un trfico muy elevado
Se propone un incremento de ancho de banda con un coste adicional
de 120.000 al ao
Desde la pantalla inicial confirmamos que el enlace en
cuestin (Houston a Singapore) presenta un 90% de consumo
de ancho de banda.
clic para ver detalles del interfaz
Caso prctico: Planificacin de ancho de banda
ste enlace est en la lista de los top interfaces con ms
trfico.
Clic para ver un grfico de calendario con los consumos de
ancho de banda.
Caso prctico: Planificacin de ancho de banda
El grfico calendario muestra que el excesivo consumo de ancho de
banda comenz el 8 de Abril y ha continuado as desde entonces.
Clic para ms detalles.
Caso prctico: Planificacin de ancho de banda
La distribucin de protocolos muestra que el 70% del trfico es
HTTP.
Clic en H para ver los usuarios de ste protocolo.
Caso prctico: Planificacin de ancho de banda
Posibilidad
de mejora
El servidor proxy US Web Proxy Server es el dispositivo que ms trfico HTTP
recibe/genera en el enlace a Singapur.
Esto no debera ser as pues los empleados en Asia tienen su propia salida a
Internet.
Conclusin: alguin modific la configuracin proxy en los exploradores web para
tener un acceso a Internet ms rpido.
Caso prctico: Planificacin de ancho de banda
El problema se pudo resolver en unos pocos minutos.
En este ejemplo real ReporterAnalyzer ahorr en un nico
incidente 120.000.
Adems ayud a prevenir futuros incidentes de ste tipo
al sentirse los usuarios advertidos y saber que el
departamento de comunicaciones puede conocer el
trfico en la red.
Caso prctico: Planificacin de ancho de banda
Case Study: Traffic Analysis
Caso prctico: Deteccin de virus
Caso real ocurrido en un cliente:
Los usuarios de repente empiezan a quejarse de que no pueden
acceder a la red y a sus aplicaciones crticas de negocio ubicadas en
un CPD en Londres.
Seleccionamos los informes en tiempo real y visualizamos en enlace
Con Londres.
Detectamos un incremento drstico de ancho de banda hace apenas
10 minutos - > Clic para ms detalles.
Caso prctico: Deteccin de virus
Durante el intervalo de 3 minutos seleccionado el protocolo
principal causante del trfico fu ms-sql-m, originando un 92%
del consumo.
Una rpida bsqueda en la web nos informa que el protocolo
en realidad es un virus, el SQL Slammer virus.
Caso prctico: Deteccin de virus
Detectada la razn de los problemas debemos ahora identificar los
usuarios infectados.
Utilizamos las herramientas Flow Forensics de ReporterAnalyzer para
generar un informe con los infectados.
Caso prctico: Deteccin de virus
El informe nos muestra todos los usuarios que en las ltimas 4 h
han generado trfico ms-sql-m con una tasa anormalmente alta.
Caso prctico: Deteccin de virus
Para prevenir prximas infecciones y vigilar la posible propagacin de este
virus se programa una alerta.
Recibiremos un trap SNMP de forma automtica cuando se detecte de
nuevo un exceso de trfico de ste protocolo.
Caso prctico: Deteccin de virus
Utilizando la informacin en tiempo real se pudo detectar
la causa del problema, identificndolo como un virus.
Se localizaron los usuarios infectados para aislarlos y
eliminar el virus. Adems se program una alerta para
avisar de prximas infecciones.
ReporterAnalyzer permiti una rpida resolucin del
problema, previniendo una posible perdida de datos y de
productividad de los empleados.
Caso prctico: Deteccin de virus
Un poco de customizacin ofrece
nuevas posibilidades! (1)
Un poco de customizacin permite mejorar la representacin de los
datos.
A menudo aplicaciones como web tienen diversos usos
dependiendo a donde vayan.
Por ejemplo si salen a Internet o van
al proxy lo lgico es poner
Internet Web como descripcin.
Sin embargo si va a la Intranet, lo
lgico sera utilizar Internet.
Finalmente si fuese el interfaz de
usuario de una aplicacin de negocio
lo ms til sera ponerle ese nombre.
De sta forma aparecern como aplicaciones separadas y ser ms
fcil identificarlas.
Un poco de customizacin ofrece
nuevas posibilidades! (2)
Algunas aplicaciones no utilizan todo un rango de puertos
customizados. Estos puertos incluso podran ser utilizados por otra
aplicacin en otro servidor para otros usos.
Podemos mapear el trfico hacia un servidor a una descripcin
que elijamos.
De esta forma ser sencillo identificar
el trfico y tendremos los diferentes
protocolos bajo la misma descripcin.
Un poco de customizacin ofrece
nuevas posibilidades! (3)
Otras aplicaciones como VoIP no utilizan a menudo unos puertos
UDP predeterminados. Pueden utilizar prcticamente cualquier
puerto.
En este caso podemos utilizar la informacin de priorizacin (TOS
Type of Service) para mapear la aplicacin a una descripcin.
VoIP suele priorizarse y tiene por lo tanto un TOS diferente con lo
que resulta sencilla esta operacin.
Preguntas?
Les enviaremos por correo el enlace donde
podr descargar esta web.
Demostracin real
del ReporterAnalyzer
Gracias por participar en este seminario
Le enviaremos por email el sitio donde podr
descargar la presentacin
Por favor, no se olviden de rellenar las
encuestas