5 melhores ferramentas para inspeção profunda de pacotes em 2021

As redes são difíceis de gerenciar e monitorar. É compreensível, o tráfego de rede acontece dentro de cabos de cobre ou fibras ópticas e não pode ser visto. Isso torna um pouco complicado para qualquer administrador ter uma ideia clara e definitiva do que está acontecendo com as redes que gerenciam. É aqui que entra o monitoramento de rede. E, quando se trata de monitoramento de rede, vários níveis estão disponíveis, cada um fornecendo mais informações sobre o tráfego. A inspeção profunda de pacotes é o nível superior de monitoramento que fornece a maioria das informações sobre o tráfego de rede. Para realizar uma inspeção profunda de pacotes, você precisa de ferramentas adequadas - e hoje, estamos analisando algumas das melhores ferramentas para uma inspeção profunda de pacotes.

Antes de começar, tentaremos explicar a inspeção profunda de pacotes. Parece que todo mundo tem uma ideia conflitante sobre o que é e o que deveria ser. A profunda inspeção de pacotes que nos interessa hoje tem a ver com monitoramento de rede, outro termo vago. Para tentar esclarecer o assunto, discutiremos o monitoramento em geral e a análise de fluxo em particular, pois constitui uma forma de inspeção profunda de pacotes. E como a tecnologia NetFlow da Cisco parece ser a mais prevalente, vamos examiná-la mais detalhadamente. Só então estaremos prontos para revelar quais são as melhores ferramentas para inspeção profunda de pacotes e oferecer a você uma breve revisão de cada uma.

Explicação da inspeção profunda de pacotes

A inspeção profunda de pacotes é definida como o ato, para um componente de infraestrutura de rede, de analisar o conteúdo dos pacotes de dados, além de simplesmente olhar o cabeçalho do pacote para reunir estatísticas sobre o tráfego de rede ou para fins de filtragem, priorização ou detecção de intrusão . Embora esta definição seja relativamente precisa, é um pouco genérica. Além disso, o que é uma inspeção profunda de pacotes pode variar de acordo com o que você está tentando realizar. A inspeção profunda de pacotes feita para fins de coleta de estatísticas, por exemplo, é diferente da inspeção profunda de pacotes feita para filtrar algum tráfego. No contexto deste artigo, o que nos interessa é principalmente a coleta de estatísticas. As ferramentas que revisaremos em breve são essencialmente ferramentas de monitoramento avançadas.

Sobre ferramentas de monitoramento

O monitoramento de rede, assim como a inspeção profunda de pacotes, não é um termo claramente definido. A forma mais básica de monitoramento de rede é o monitoramento de largura de banda. Normalmente, é feito usando o protocolo de gerenciamento de rede simples. Esse tipo de monitoramento é muito útil para obter uma imagem clara da utilização da rede, mas tem limitações. Embora forneça a utilização média da largura de banda em um ponto específico da rede, não fornece detalhes sobre o que está consumindo a largura de banda.

Para obter uma imagem mais clara de qual tráfego é transportado em uma rede, você precisa usar a análise de fluxo. A análise de fluxo é muito mais profunda do que o monitoramento da largura de banda e pode fornecer informações detalhadas. Ele depende dos próprios dispositivos de rede para enviar informações de tráfego para sistemas de monitoramento chamados coletores e / ou analisadores, que podem interpretar os dados de fluxo e apresentá-los de maneiras significativas. A análise de fluxo permitirá, por exemplo, que você visualize como o tráfego da rede é distribuído entre todas as origens e destinos. Ele informará sobre quais protocolos e tipos de tráfego são usados.

A análise de fluxo pode ser considerada uma inspeção profunda de pacotes, pois vai além de apenas olhar o cabeçalho para encontrar informações qualitativas sobre os dados reais que estão sendo transportados em uma rede. A mais comum de todas as tecnologias de análise de fluxo é certamente o NetFlow da Cisco. Vamos dar uma olhada mais profunda nisso.

Mais sobre o NetFlow

O NetFlow foi originalmente desenvolvido pela Cisco Systems e introduzido em seus roteadores com o objetivo de fornecer a capacidade de coletar informações de tráfego de rede IP conforme ele entra ou sai de uma interface. Sua intenção original era ser usada para construir listas de controle de acesso (ACL) melhores. Desde então, expandido para um sistema de controlo verdadeiro e o fluxo de dados recolhidos pelos dispositivos é agora exportados d ia.

A tecnologia NetFlow é composta essencialmente por três componentes. O primeiro é o exportador de fluxo que agrega pacotes em fluxos e exporta registros de fluxo para um ou mais coletores de fluxo. O próximo componente, o coletor de fluxo, é responsável pela recepção, armazenamento e pré-processamento dos dados de fluxo recebidos do componente anterior. Finalmente, o analisador de fluxo é usado para analisar os dados de fluxo recebidos. Essa análise pode ser usada para criação de perfil de tráfego ou solução de problemas de rede, entre outros usos. Muitas configurações modernas combinam o coletor de fluxo e o analisador em um único componente integrado.

Como funciona o NetFlow

Qualquer outro dispositivo compatível com NetFlow pode ser configurado para produzir dados de fluxo na forma de registros de fluxo e enviá-los a um coletor NetFlow. Um fluxo é uma conversa completa no sentido de IP. E pode haver muitos fluxos passando por uma interface a qualquer momento. O dispositivo de rede que prepara os registros de fluxo os envia ao coletor quando determina, seja por envelhecimento ou vendo o encerramento de uma sessão TCP, que o fluxo foi encerrado.

Um registro de fluxo típico contém muitas informações. Isso inclui as interfaces de entrada e saída, as marcas de tempo de início e término do fluxo, o número de bytes e pacotes que ele contém, os cabeçalhos da camada 3, o endereço IP de origem e destino e o número da porta, o protocolo IP e o TOS ( Valor Tipo de serviço). Os registros de fluxo não contêm os dados reais que constituíram o fluxo. Eles contêm apenas informações sobre o fluxo. Isso é importante do ponto de vista de segurança.

Na maioria dos ambientes, os coletores de fluxo para onde os registros são enviados também são os analisadores de fluxo. Apenas redes muito grandes e com vários locais se beneficiarão de coletores separados distribuídos em vários locais. Os coletores e analisadores usam as informações contidas nos registros de fluxo para apresentar dados sobre o tráfego de rede de uma forma que seja útil para administradores de rede. Na verdade, o principal fator de distinção entre as diferentes ferramentas é a maneira como podem dar sentido e apresentar os dados de maneira significativa.

As melhores ferramentas para inspeção profunda de pacotes

Do ponto de vista do monitoramento, a análise de fluxo é uma inspeção profunda de pacotes, portanto, as ferramentas que estamos analisando hoje são, de fato, analisadores NetFlow. Muitos deles farão mais do que isso e alguns são parte de uma solução completa de monitoramento.

1. SolarWinds NetFlow Traffic Analyzer (teste GRATUITO)

A SolarWinds, no caso improvável de você nunca ter ouvido falar da empresa, fabrica alguns dos melhores softwares para administração de rede e sistema. Um de seus principais produtos, o SolarWinds Network Performance Monitor, é considerado por muitos uma das melhores ferramentas de monitoramento de largura de banda de rede . E a SolarWinds também fabrica algumas ferramentas gratuitas excelentes, cada uma abordando uma tarefa específica dos administradores de rede. Dois exemplos dessas ferramentas gratuitas são uma calculadora de sub-rede avançada gratuita e um servidor syslog gratuito . E quando se trata de análise de tráfego NetFlow, o SolarWinds NetFlow Traffic Analyzer (NTA) é definitivamente um dos melhores coletores e analisadores NetFlow que você pode encontrar.

Entre os melhores recursos do produto, o SolarWinds NetFlow Traffic Analyzer pode monitorar o uso da largura de banda por aplicativo, protocolo e grupo de endereço IP. Ele pode monitorar não apenas o Cisco NetFlow, mas também Juniper J-Flow, sFlow, Huawei NetStream e IPFIX - algumas outras tecnologias de análise de fluxo baseadas no NetFlow - para identificar quais aplicativos e protocolos são os maiores consumidores de largura de banda. A ferramenta coleta dados de tráfego, os correlaciona em um formato utilizável e os apresenta ao usuário em um painel baseado na web. O produto oferece suporte ao Cisco NBAR2 para identificar quais aplicativos e categorias consomem mais largura de banda, dando a você uma visibilidade ainda melhor do tráfego de rede.

O SolarWinds NetFlow Traffic Analyzer é um complemento do Network Performance Monitor (NPM). Se você ainda não possui uma licença NPM, terá que considerar esse custo. Eles começam em US $ 2.955 para até 100 elementos. Quanto ao complemento NTA, sua licença deve corresponder ao número de nós de sua licença NPN e os preços começam em US $ 1.915. Se você preferir experimentar o produto antes de se comprometer com a compra, uma versão de avaliação gratuita está disponível na SolarWinds.

• AVALIAÇÃO GRATUITA: SolarWinds NetFlow Traffic Analyzer
• Link oficial para download: https://www.solarwinds.com/netflow-traffic-analyzer

2. SolarWinds Real-Time NetFlow Analyzer (download gratuito)

Se você precisar de uma solução em menor escala, o SolarWinds Real-Time NetFlow Analyzer pode ser exatamente o que você precisa. Esta é uma das famosas ferramentas gratuitas da SolarWind e, embora não seja tão completa quanto o NetFlow Traffic Analyzer, oferece algumas das mesmas funcionalidades básicas.

Ele pode capturar e analisar dados de fluxo em tempo real. E vai mostrar o tipo de tráfego transportado em sua rede, de onde está vindo e para onde está indo. Você também pode usá-lo - até certo ponto - para diagnosticar picos de tráfego e solucionar problemas de largura de banda.

O produto permitirá que você identifique quais usuários, dispositivos e aplicativos estão consumindo mais largura de banda; isolar o tráfego de rede por conversação, aplicativo, domínio, ponto de extremidade e protocolo; e ver o tráfego de rede por tipo e períodos de tempo especificados

Claro, você não pode esperar que este software livre faça tudo o que seu irmão mais velho faz. Ele tem algumas limitações severas e seu foco principal é o estado atual e muito recente de sua rede. Ele apenas coletará dados de uma interface NetFlow e manterá e analisará apenas os últimos 60 minutos de dados.

Se você precisar de uma visão rápida e precisa do uso da largura de banda, o Analisador de NetFlow em tempo real gratuito da SolarWinds fornecerá isso, mas não muito mais.

• Download grátis: SolarWinds Real-Time NetFlow Analyzer
• Link oficial para download: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer

3. ManageEngine NetFlow Analyzer

ManageEngine é outro nome conhecido no campo de ferramentas de gerenciamento de rede. Seu ManageEngine NetFlow Analyzer oferece aos administradores de rede uma visão detalhada da utilização da largura de banda da rede, bem como dos padrões de tráfego. O produto é controlado por uma interface baseada na web e oferece um número impressionante de visualizações diferentes em sua rede.

Por exemplo, o produto permitirá que você visualize o tráfego por aplicativo, por conversa, por protocolo e várias outras opções. Você também tem a possibilidade de definir alertas para avisá-lo de possíveis problemas. Você pode, por exemplo, definir um limite de tráfego em uma interface específica e ser alertado sempre que for excedido.

Mas os maiores pontos fortes dessa ferramenta são seus relatórios e painel. Ele vem com vários relatórios predefinidos muito úteis que são personalizados para fins específicos, como solução de problemas, planejamento de capacidade ou faturamento. E por melhor que sejam seus relatórios integrados, a ferramenta também permite que os administradores criem relatórios personalizados de acordo com sua preferência.

O painel do produto é tão impressionante quanto seus relatórios. Inclui vários gráficos de pizza com itens como os principais aplicativos, protocolos ou conversas principais. Ele também pode exibir uma espécie de mapa de calor com o status das interfaces monitoradas. E, assim como os relatórios, o painel também pode ser personalizado para incluir apenas as informações que você achar úteis. O painel também é onde os alertas são exibidos na forma de pop-ups. O administrador da rede em trânsito não se sentirá excluído, pois um aplicativo para smartphone está disponível e lhe dará acesso ao painel e aos relatórios.

O ManageEngine NetFlow Analyzer suporta a maioria das tecnologias de fluxo, incluindo NetFlow, IPFIX, J-flow, NetStream e alguns outros. Esta ferramenta também possui uma excelente integração com dispositivos Cisco, com a possibilidade de ajustar a modelagem de tráfego e / ou políticas de QoS diretamente da ferramenta.

O ManageEngine NetFlow Analyzer vem em duas versões. Existe uma versão gratuita que se limita a monitorar apenas duas interfaces de fluxos. Embora não seja muito, pode ser tudo de que você precisa. E essa versão gratuita permitirá dispositivos ilimitados durante os primeiros 30 dias, dando a você a chance de fazer um teste completo. Assim que o teste terminar, as licenças estarão disponíveis em vários tamanhos, de 100 a 2.500 interfaces ou fluxos, com preços a partir de cerca de US $ 600 mais taxas anuais de manutenção.

4. Paessler Router Traffic Grapher (PRTG)

O PRTG da Paessler é outra solução multifuncional bem conhecida, cujo objetivo principal é monitorar a utilização da largura de banda. Também é usado para monitorar a disponibilidade e a integridade de diferentes recursos de rede. Como tal, é outra ferramenta muito útil para administradores de rede. Mas, graças a um sensor NetFlow que está disponível para o produto, o PRTG também pode servir como um coletor e analisador NetFlow.

Na verdade, o PRTG não é apenas uma ferramenta de monitoramento de largura de banda ou um coletor e analisador NetFlow. Ele usa várias tecnologias para monitorar sistemas, dispositivos, tráfego e aplicativos. Entre eles, o produto usará SNMP com opções personalizadas e prontas para uso, contadores de desempenho WMI e Windows, SSH para sistemas Linux / Unix e MacOS, fluxos - como NetFlow ou sFlow - e farejamento de pacotes, solicitações HTTP, APIs REST retornando XML ou JSON, Ping, SQL e muitos mais.

Instalar o PRTG é fácil. Basta executar o instalador e, em seguida, o processo de descoberta automática descobrirá os dispositivos e configurará os sensores. Você fica então livre para adicionar sensores adicionais - como coletores NetFlow - manualmente. Há até um vídeo detalhado no site da Paessler que mostra como isso é feito.

O servidor funciona apenas no Windows, mas sua interface de usuário é baseada na web e pode ser acessada de qualquer navegador. Há também um aplicativo cliente móvel que você pode instalar em seu smartphone. O aplicativo cliente móvel tem um recurso exclusivo na forma de etiquetas QR que você pode imprimir e afixar em seus dispositivos. Em seguida, uma varredura do código do aplicativo móvel abrirá rapidamente os dados do sensor desse dispositivo.

Duas versões do PRTG estão disponíveis. Existe uma versão gratuita limitada a 100 sensores. Esteja ciente de que um sensor no jargão do PRTG não é um dispositivo. Em vez disso, é o elemento mais básico que pode ser monitorado. Por exemplo, monitorar cada porta de um switch de 48 portas requer 48 sensores e a coleta e análise do NetFlow requer um sensor por exportador de fluxo. Nesse ritmo, é óbvio que 100 sensores podem não ser tanto quanto pareciam à primeira vista. Se você precisar de mais de 100 sensores, precisará adquirir uma licença. Eles estão disponíveis em 500, 1000, 2500 ou 5000 sensores e também há uma licença ilimitada. Os preços variam de cerca de US $ 1.600 a pouco menos de US $ 15.000. A versão gratuita permitirá sensores ilimitados durante os primeiros 30 dias para que você possa se beneficiar de um test-drive completo do produto.

5. Examinador

O último de nossa lista é o Scrutinizer da Plixer, outro excelente NetFlow Analyzer. Na verdade, é muito mais do que isso e alguns o veem como um sistema completo de resposta a incidentes. O produto tem a capacidade de monitorar diferentes tipos de fluxo, como NetFlow, J-flow, NetStream e IPFIX, para que você não fique limitado a monitorar apenas dispositivos Cisco.

O Scrutinizer possui um design hierárquico que oferece coleta de dados simplificada e eficiente e permite que você comece pequeno e depois aumente até muitos milhões de fluxos por segundo. A rede costuma ser a primeira culpada sempre que algo dá errado. Com essa ferramenta, você pode encontrar rapidamente a causa real de quase todos os problemas de rede. O produto funciona com ambientes físicos e virtuais e vem com recursos avançados de relatórios.

O Scrutinizer  está disponível em quatro níveis de licença. Eles variam da versão gratuita básica ao nível SCR completo, que pode escalar até mais de 10 milhões de fluxos por segundo. A versão gratuita é limitada a 10 mil fluxos por segundo e manterá dados de fluxo brutos por apenas 5 horas, mas deve ser mais do que suficiente para solucionar problemas de rede. Você também pode tentar qualquer nível de licença por 30 dias, após o qual será revertido para a versão gratuita.