SENSOR DE PAQUETE PARA WANGUARD Y WANSIGHT

INFORMACIÓN
GENERAL:
El componente Sensor de paquetes (Packet Sensor) de Wanguard y Wansight es un analizador de paquetes que inspecciona paquetes IP y genera análisis pormenorizados sobre el tráfico. El núcleo del mismo lo constituye un motor de correlación de tráfico de gran escalabilidad capaz de monitorizar continuamente cientos de miles de direcciones IP. Sofisticados algoritmos estadísticos incorporan datos sobre el tráfico a fin de ofrecer una imagen precisa y detallada, tanto en tiempo real como en el pasado, de los flujos de tráfico que recorren la red.

PRINCIPALES
PRESTACIONES Y
CARACTERÍSTICAS:  
  • Contiene un motor de análisis de tráfico IP totalmente escalable para monitorizar en tiempo real decenas de miles de rangos y direcciones IPv4 e IPv6
  • Gestión y elaboración de informes a través de una avanzada Console web que ofrece una presentación unificada e integral
  • Detecta todas las anomalías de tráfico relacionadas con el ancho de banda (cuando se utiliza con una licencia de Wanguard), como:
    • Ataques distribuidos de denegación de servicio (DDoS), ataques volumétricos DoS desconocidos
    • Ataques por amplificación NTP, ataques de inundación UDP (UPD flood) genéricos, ataques de inundación ICMP (ICMP flood), ataques SMURF
    • Ataques de inundación SYN (SYN flood), puerto 0 TCP/UPD, LOIC, ataques P2P
    • Escaneos y gusanos que envían tráfico a direcciones ilegales o no adjudicadas, lo que provoca pérdida de tráfico desde y hacia servicios cruciales
  • Opciones flexibles en punto de conexión de reacción ante amenazas (cuando se utiliza con una licencia de Wanguard), como:
    • Activar la solución de mitigación de ataques DDoS en la propia infraestructura local del cliente con el Filtro de Wanguard (Wanguard Filter)
    • Enviar anuncios de agujeros negros BGP remotamente accionados (RTBH) mediante el uso de comunidades FlowSpec (RFC 5575) o de enrutamiento nulo
    • Enviar anuncios de uso del protocolo BGP para desviar (off-ramp) / volver a introducir (on-ramp) el tráfico en la red a servicios de mitigación de ataques DDoS instalados en la infraestructura local del cliente / en la nube
    • Enviar alertas por correo electrónico con plantillas dinámicas definidas por el usuario
    • Enviar mensajes Syslog personalizados a servidores de registro remotos o sistemas SIEM
    • Capturar una muestra de tráfico para utilizarla en investigaciones forenses
    • Ampliar las capacidades integradas mediante la ejecución de scripts personalizados con acceso a una API de fácil manejo que muestra más de 80 parámetros internos
  • Ofrece informes sobre contabilización del tráfico y gráficas por IP, subred o grupo IP para cada uno de los siguientes decodificadores de tráfico (clases): total, tcp, tcp+syn, tcp+rst, tcp+ack, tcp+syn+ack, tcp-null, udp, icmp, other, bad, flows, flows+syn, http, https, ssl, mail, dns, sip, ntp, rdp, snmp, ssh, ipsec, ssdp, facebook, youtube, netflix, hulu. Es compatible con decodificadores personalizados
  • Genera tops y gráficas para elementos que reciben datos (talkers), IP externas, grupos de IP, sistemas autónomos (basados en GeoIP), sistemas autónomos de tránsito (basados en archivos BGP MTR), países (basados en GeoIP), puertos TCP, puertos UDP, protocolos IP y otros
  • Establecer la precisión a corto plazo de las gráficas de ancho de banda en periodos que van de 5 segundos a 10 minutos. Establecer la precisión a largo plazo en cualquier intervalo de años
  • Los usuarios pueden guardar volcados de paquetes para su uso en investigaciones forenses, conocimiento de la situación en la red, así como ayudar en la resolución de problemas que surjan en la red. Los volcados de paquetes pueden descargarse o visualizarse online en una interfaz parecida a la de Wireshark. Muestra las capturas de paquetes en datos ASCI y hexadecimales sin procesar para su inclusión en expresiones regulares
  • Admite su ejecución en modo clúster, en el que las cargas de múltiples instancias de Sensores de paquetes se equilibran entre distintos servidores o núcleos de CPU
  • Implementar cualquier número de instancias en servidores a través de la red
  • Puede utilizar libpcap, DPDK, PF_RING (vanilla or ZC) y Netmap para análisis de paquetes en interfaces de 10Gbit sin pérdida de paquetes
  • Admite proceso MPLS en modo espejo, eliminación de etiquetado VLAN y de doble etiquetado VLAN, desencapsulación de túneles GRE y PPPoE
  • Instalación fácil y sin molestias en hardware genérico
  • La herramienta de detección de ataques DDoS y análisis distribuido de tráfico- basado en análisis de paquetes más asequible del mercado

FICHA DE DATOS:

Captura de tráfico
Tecnología:
  • Analizador de paquetes que se ejecuta en: Servidores Linux implementados en la ruta de datos principal, routers, firewalls u otros dispositivos
  • Puertos espejo (SPAN - Switched Port Analyzer, RSPAN, Roving Analysis Port)
  • TAP de red
Capacidad / Instancia de Sensor: 10 Gigabit Ethernet, 14 Mpackets/s, no limitado por el número de conexiones entre direcciones IP
Tiempo de detección de ataques DDoS: ≤ 1 segundo
Precisión de las gráficas IP: ≥ 5 segundos
Opciones de validación del tráfico: lases IP, direcciones MAC, redes virtuales VLAN, BFP

REQUISITOS
DE HARDWARE:
   

Packet Sniffing Capacity:     10 Gbit/s (~14 Mpkts/s) 40 Gbit/s (~30 Mpkts/s)
Architecture: Intel Xeon 64 bit, dedicated server Intel Xeon 64 bit, dedicated server
CPU: 2.4 GHz 10-core Xeon E5-2640v4 2.4 GHz 12-core Xeon E5-2680v4
RAM: 8 GB DDR4 quad-channel 16 GB DDR4 quad-channel
Network Cards: 1 x 10 GbE adapter (Myricom, Intel 82599+ or DPDK supported chipset)
1 x Fast Ethernet for management
1 x 40 GbE adapter (Intel XL710+ or other DPDK supported chipset)
1 x Fast Ethernet for management
Operating System*:  Red Hat / CentOS 7; Debian 7 to 10; Ubuntu Server 14 to 18 Red Hat / CentOS 7; Debian 7 to 10; Ubuntu Server 14 to 18
Disk Space: 10 GB (including OS) 10 GB (including OS)
* Other Linux distributions might work but have not yet been tested.

En redes conmutadas, únicamente los paquetes dirigidos a un dispositivo concreto llegan a la tarjeta de red del dispositivo. Si el servidor en el que se ejecuta el Sensor de paquetes (Packet Sensor) no se ha implementado en línea (en la ruta de datos principal), entonces debe utilizarse un TAP de red, switch o router que disponga de un puerto de monitorización o un puerto espejo..

El Sensor de paquetes (Packet Sensor) puede ejecutarse con su carga equilibrada entre múltiples núcleos de CPU, únicamente cuando se utilice con:
  • Adaptadores de red con chipset Intel 82599, como Intel X520, Intel X540, HP X560 o Silicom PE310G4DBi9-T
  • Adaptadores de red Myricom con licencia de Sniffer (Analizador) de 10G
  • PF_RING (con o sin ZC): framework para E/S de paquetes a alta velocidad
  • Netmap: framework para E/S de paquetes a alta velocidad
A fin de incrementar la capacidad de análisis de paquetes a 40Gbit/s, 100Gbit/s o más, defina un Clúster de sensores (Sensor Cluster) que agregue múltiples Sensores de paquetes (Packet Sensors) ejecutándose en distintos servidores equipados con adaptadores de red de 10 Gbit/s.

INFORMACIÓN
ADICIONAL:
Puede descargar y probar Packet Sensor durante 30 días solicitando una licencia de evaluación.
Puede comprar licencias de Packet Sensor a través de la tienda en línea.
Encontrará una respuesta a las preguntas más frecuentes en la Base de conocimientos (Knowledge Base) y la Guía de usuario (User Guide).
En caso de que necesite más información, no dude en ponerse en contacto con nosotros.