Kopie síťového provozu pro analýzu

SPAN (Switch Port Analyzer)

Port mirroring posílá všechny pakety, které jsou na jednom portu a ty posílá na jiný port k následné analýze.
·         SPAN mají low priority
·         Poskytuje přístup k packetům k analýze na portu
·         Použití SPANu může vést ke změně latence z důvodu změny v časování time frime
Cisco – použít SPAN pouze v malém množství a pokud možno, nejlepší je použít řešení napojené na traffic

TAPS

Malé přenosné nebo highdensity rack (lze nakonfigurovat až 4 moduly, jeden modul až 4 TAP)
K přenosným se dává montážní kit pro zapojení až 4 do racku
Malé mají plug&play jednotky pro řešení problémů na místě
Modulární (pro budoucí rozvoj) high density šasi mají CLU a GUI, Hot swapp a podporu jumbo frames

Mody

·         Breakout – každá ze strany provozu dostává vlastní port
·         Agregace – celý datový tok do jednoho portu (snížení nákladů)
·         Bypass režim – Při výpadku inline zařízení (porucha, aktualizace) jej obejde a posílá tok dál, čímž nedojde k výpadku celé sítě
·         Filtrace – Pravidla pro data, která budou odesílána na monitoring, z důvodu zabránění přetížení

Monitoring

·         Wireshark: Open-source packet analyzér, troubleshooting
·         Network Analyzer: Monitor pro LAN, WAN a SAN poskytuje analýzu sítě a metriky výkonosti sítě (Netscout, Anritsu)
·         APM (Application Performance Monitoring): Detekce problémů, výkon a správa software aplikací (Riverbed, Accedian, Dynatrace, Solarwinds)
·         SIEM (Security & Information Event Management): transformuje SIM, SEM logy do dat, real-time analýza (Humio, Sumo logic, Splunk, Rapid7)
·         DPI (Deep Packet inspection): Systém odhalení průniku, průzkum adres portů, lokalizace a detekování packetů (Cisco, F5, Solarwinds, Bluecoat)
·         Lawful Intercept Solutions: elektronický dohled vykonaný úřady, telekomunikační sítě (Synesis)
·         PacketCapture, Forensics, Content Filter, Packet Injection, Network Packet broker