Der Kunde stellt die Hardware.
Synapse Networks liefert die
Software.
Bei einer verteilten Analyse-Umgebung werden an den wichtigsten Netzwerk-Knotenpunkten Messpunkte eingerichtet via Switch Mirror Port.
Die zunächst wichtigsten Messpunkte sind: Domain Server, DMZ, Internet. Darüber hinaus: (ausgesuchte) Client-Subnetze, Außenstellen/Niederlassungen (landesweit, weltweit).
Analyse-Agenten
Typischerweise wird je Messpunkt im 19-Zoll-Schrank, der den zu überwachenden LAN-Switch enthält, eine „Pizza Box“ eingesetzt mit einem (ggf virtuellen) Windows-PC, der über zwei LAN-Adapter verfügt: Der erste Adapter wird mit dem Switch Mirror Port verbunden, der zweite mit dem vom Hausnetz getrennten Analyse-VLAN.
Auf dem Analyse-PC (Trace-PC) werden installiert: Die frei verfügbare Wireshark(TM)-Suite samt WinPCAP-Treiber sowie die Analyse-Software von Synapse Networks.
Die Synapse Analyse Software steuert die Aufzeichnung der LAN-Pakete über das Wireshark-Kommandozeilen-Modul (TShark). Die Parametrisierung erfolgt über den sog. CaptureWizard der Synapse-Software.
Sobald die Daten-Aufzeichnung gestartet ist, läuft auch die Daten-Auswertung über das Analyse-Experten-System. Bei Standard-Konfiguration werden immer die LAN-Pakete eines Tages analysiert, dann werden die Stastistiken, Tabellen, Liste, Error Logs in einem Tagesbericht gespeichert und abgelegt. Während der laufenden Analyse werden per Filter vorherbestimmte Ereignisse per Syslog und/oder E-Mail an eine (oder mehrere) zentrale Sammelstelle(n) versendet und dort gespeichert.
Forensische Analyse
Auf der Festplatte des Analyse-Agenten wird in der Daten-Aufzeichnung ein sog. Ring-Puffer betrieben: Ein bestimmtes Daten-Volumen ist für die Trace-Daten vorgesehen; ist dieses Volumen erreicht, werden die jeweils ältesten Trace-Dateien gelöscht, um Platz zu machen für die aktuell neu erzeugten Trace-Dateien.
In Abhängigkeit von der Festplatten-Kapazität und von der Datenmenge, die über den Mirror-Port abgegriffen und aufgezeichnet wird, kann das via Ring-Puffer beständig mitwandernde Zeitfenster einige Stunden, aber auch Tage oder Wochen umfassen.
Dies ist wichtig für forensische Analyse, wenn nach Eintritt eines Fehlers oder eines Sicherheits-Problems mittels der Trace-Daten das Ereignis beweiskräftig aufgeklärt werden soll.
Sollte ein solcher Fall eintreten, muss der Analyse-Agent bzw. die Daten-Aufzeichnung manuell gestoppt werden, um zu verhindern, dass über den Ring-Puffer-Mechanismus weiterhin die jeweils ältesten Trace-Dateien gelöscht werden.
Trace Log Collector
Der zentrale Trace Log Collector sammelt die eingehenden Syslog-Meldungen und legt sie auf der Festplatte ab.
Trace Log Filter
Der parallel zum Collector arbeitende Trace Log Filter ist eine Event Log Filter Engine. Gesteuert durch eine Filter-Bibliothek, werden die vom Collector gesammelten und abgelegten Ereignis-Meldungen non-stop durchmustert; je Filter-Definition werden die Filter-Ergebnisse in einem jeweils eigenen Festplatten-Verzeichnis abgelegt, und es werden die Filter-Ergebnisse (entweder einzeln, oder in Zusammenfassung) per E-Mail an hinterlegte Empfänger versendet.
Je Fehler-Filter können individuell mehrere Mail-Empfänger hinterlegt werden. Auf diese Weise wird sicher gestellt, dass jeder Fehler seinen zuständigen Bearbeiter bekommt – und dass nicht durch plansloses Verteilen der Filter-Ergebnisse an viele oder alle eine ineffiziente Beschäftigung aller mit allem erfolgt.
Trouble Ticket System
Darüber hinaus sollte jeder Fehler ein eigenes Trouble Ticket erhalten in der dafür vorgesehenen Datenbank (etwa: Sharepoint), und das jeweilige Trouble Ticket sollte einen Link enthalten auf das Ausgabe-Verzeichnis der Event Log Filter Engine. Das ist mit wenigen Mausklicks getan.
Falls dies geschieht, können alle IT-Mitarbeiter, die Leserecht im Trouble Ticket System haben, von dort aus per Mausklick ins Ausgabe-Verzeichnis der Fehler-Berichte wechseln und sofort die jüngsten Ergebnisse einsehen.
Die in den dortigen Filter-Logs vorhandenen oder abwesenden Fehler-Nachweise machen sofort klar, ob nach Handlungsbedarf besteht (oder eben nicht).
Hierdurch wird das Handeln der Techiker und Administratoren verifizierbar.
Fernzugriff via Internet
Im Falle von Managed Services übernimmt Synapse Networks das Sichten der Analyse-Ergebnisse sowie das Pflegen der Filter-Bibliothek sowie der Trouble Tickets.
Die Internet Firewall, über die von außen der Fernzugriff durchgeführt wird, sollte den Zugriff geben auf den Rechner, der den Trace Log Collector und den Trace Log Filter betreibt.
Sofern erforderlich, kann von diesem Zentral-Rechner aus per RDP auf die verteilt im Netzwerk stehenden Analyse-Agenten zugegriffen werden.
Im Falle von Managed Services übernimmt Synapse Networks auch die Software-Updates der Analyes-Agenten.