Kategorie-Archive: Network Blog

Virtualisierungen gehören zur Zukunft der Netzwerke

Im Moment gibt es wohl kein heißeres Modewort in der Technologiebranche als Virtualisierung – und das aus gutem Grund. Organisationen wenden sich in Scharen der Virtualisierung zu, um Kapazitäts- und Energiekosten, die mit dem Betrieb eines herkömmlichen Hardwarenetzwerks einhergehen, zu reduzieren.

Dennoch haben fast 60 Prozent der Unternehmen nach einem Bericht von Nemertes Research eine Verlangsamung in ihren Virtualisierungsbemühungen erkennen können. Auch wenn Organisationen und Unternehmen einige der Vorteile der virtualisierten Netzwerke nutzen, schöpfen viele von ihnen wahrscheinlich nicht das Optimum ab.

Netzwerkingenieure wissen nur allzu gut, dass eine virtuelle Topologie sich von Architekturen aus der Vergangenheit grundlegend unterscheiden. In einem virtuellen Netzwerk kommt der Datenverkehr niemals mit dem physischen Netzwerk in Berührung, wo er leichter zu erfassen und zu analysieren ist. Mit anderen Worten: Netzwerküberwachung ist in einer virtuellen Umgebung ein vollständig anderes „Tier“, das den Einsatz ganz anderer Werkzeuge und Hilfsmittel erfordert.

Eine gute Netzwerküberwachung für virtuelle Umgebungen muss kritische Anwendungen überwachen können, die in virtuellen Umgebungen laufen und sollte die Fähigkeit haben, das IT-Personal schnellstmöglich zu benachrichtigen, wenn Probleme auftreten. Savvius ‚OmniEngine arbeitet zum Beispiel als Anwendung auf einem virtuellen Netzwerk und kann den Datenverkehr, der zwischen einem physikalischen Host und virtuellen Maschinen fließt, analysieren. Auf diese Weise bleibt "unsichtbarer Datenverkehr" auch latent.

Da der Bandbreitenbedarf auch weiterhin steigt und Rechenzentren entsprechend dimensionieren, werden Virtualisierungen zunehmen. Neue Trends wie die Virtualisierung von Netzwerkfunktionen (NFV) und softwaredefiniertes Networking (SDN) gewinnen an Fahrt, wodurch die Überwachung unkonventioneller Netze noch dramatischer voranschreitet. Ein kürzlich veröffentlichter Bericht von Research & Markets zeigt auf, dass der NFV-, SDN- und Wireless-Networkinfrastrukturmarkt auf 21 Milliarden Dollar bis 2020 wachsen wird.

Die Wahrscheinlichkeit ist groß, dass Ihre EDV-Struktur entweder bereits mit einem virtuellen Netzwerk ausgeführt oder in naher Zukunft umgestaltet wird. Stellen Sie sicher, dass Sie das Optimum erhalten. Die OmniPeek Netzwerk-Analysesoftware ist Savvius preisgekrönte Lösung zur Überwachung, Analysierung und Fehlerbehebung von Netzwerken aller Art. Wie der Name schon sagt, wurde OmniPeek entwickelt, um umfassende Transparenz im Netzwerkverkehr zu gewährleisten: Lokal und remote, LAN und WLAN sowie für Netzwerke mit allen Geschwindigkeiten.

TCP Latency für Dummies

Der Einfluss von Paketverlust und Latenz auf den TCP-Durchsatz

Als Latenz (auch Latenzzeit) wird die Zeit bezeichnet, die benötigt wird, um ein Datenpaket über ein Netzwerk zu senden. Latenz kann auf unterschiedliche Weise gemessen werden: bidirektional (beide Richtungen), monodirektional (eine Richtung), usw.

Die Latenzzeit kann von jedem Teilstück der Kommunikationsverbindung, über welche das Datenpaket gesendet wird, beeinflusst werden: den Arbeitsplatz, die WAN-Verbindungen, Router, lokale Netzwerke (LAN), Server … und letztendlich kann diese – für große Netzwerke – durch die Lichtgeschwindigkeit begrenzt sein. 

Die Durchsatzrate ist definiert als gesendete/empfangene Datenmenge innerhalb einer definierten Zeiteinheit. Die UDP-Durchsatzrate wird von der Latenz nicht beeinflusst.  

UDP ist ein Protokoll, das verwendet wird, um Daten über ein IP-Netzwerk zu senden. Eines der Prinzipien von UDP ist, dass angenommen wird, dass die gesendeten Pakete vom Empfänger auch empfangen werden (oder eine entsprechende Steuerung findet auf einer anderen Schicht, beispielsweise einer Anwendung, statt).  

Theoretisch bzw. für bestimmte Protokolle (bei welchen auf keiner anderen Schicht eine Steuerung stattfindet – beispielsweise bei monodirektionalen Übertragungen) wird die Rate, zu der Datenpakete durch den Sender gesendet werden können, nicht von der Zeit, die zur Auslieferung an den Empfänger benötigt wird (=Latenz), beeinflusst.

Der Sender wird unabhängig von dieser eine definierte Anzahl an Datenpaketen pro Sekunde senden, die wiederum von anderen Faktoren abhängt (Anwendung, Betriebssystem, Ressourcen, …).

Warum wird TCP direkt von der Latenz beeinflusst?

  • TCP dagegen ist ein komplexeres Protokoll, da es einen Mechanismen integriert, der prüft, ob sämtliche Datenpakete auch korrekt geliefert werden. Dieser Mechanismus wird Bestätigung (engl. acknowledgement) genannt: Er veranlasst den Empfänger, an den Sender ein spezifisches Paket oder Flag (ACK-Paket bzw. ACK-Flag) zu senden, das den korrekten Empfang des Datenpakets bestätigt.
    Der Effizienz wegen werden nicht alle Datenpakete einzeln bestätigt: Der Sender wartet entsprechend nicht auf eine Bestätigung nach jedem einzelnen Paket, um die nächsten Datenpakete zu senden. Tatsächlich wird die Anzahl der Datenpakete, die gesendet werden können, bevor ein korrespondierendes Bestätigungspaket erhalten werden muss, von einem Wert, der als TCP Sendefenster (engl. TCP Congestion Window) bezeichnet wird, gesteuert.
TCP-Durchsatz vs Latenz
TCP-Durchsatz vs Latenz

Round trip latency TCP Throughput
0ms 93.5 Mbps
30ms 16.2 Mbps
60ms 8.07 Mbps
90ms 5.32 Mbps

Nehmen wir hypothetisch an, dass kein Paket verloren geht:

  • Der Sender wird ein erstes Kontingent an Datenpaketen gleichzeitig senden (entsprechend dem TCP Congestion Window). Erhält der Sender das Bestätigungspaket, wird das TCP Congestion Window vergrößert. Sukzessiv wird also die Anzahl an Paketen, die in einem bestimmten Zeitraum gleichzeitig gesendet werden können, steigen (Durchsatzrate). Die Verzögerung, mit welcher die Bestätigungspakete empfangen werden (=Latenz), hat einen Einfluss darauf, wie schnell das TCP Congestion Window vergrößert wird (entsprechend auch auf die Durchsatzrate). 
    Ist die Latenz hoch, bedeutet dies, dass der Sender länger untätig ist (keine neuen Pakete sendet), was wiederum die Geschwindigkeit, mit welcher die Durchsatzrate steigt, reduziert. 
    Die Testwerte (Quelle: http://smutz.us/techtips/NetworkLatency.html) sind sehr deutlich: Warum wird TCP durch wiederholte Paketsendungen (Retransmissions) und Datenverlust beeinflusst?

Der TCP Congestion Window Mechanismus geht folgendermaßen mit fehlenden Bestätigungspaketen um:

  • Bleibt das Bestätigungspaket nach einer fest definierten Zeit (Timer) aus, wird das Paket als verloren eingestuft und das TCP Congestion Window, also die Anzahl der gleichzeitig gesendeten Pakete, wird halbiert (die Durchsatzrate entsprechend auch – dies korrespondiert mit der Wahrnehmung einer restringierten Kapazität irgendwo auf dem Verbindungsweg seitens des Senders); die Größe des TCP Windows kann wieder ansteigen, wenn die Bestätigungspakete korrekt empfangen werden.

Datenverlust hat zwei Effekte auf die Geschwindigkeit der Datenübertragung:

  • Die Pakete müssen erneut gesendet werden (selbst wenn lediglich das Bestätigungspaket verloren gegangen ist, die Datenpakete aber empfangen wurden) und das TCP Congestion Window wird keine optimale Durchsatzrate zulassen: Dies gilt unabhängig vom Grund für den Verlust der Bestätigungspakete (Überlastung, Serverprobleme, Art der Paketschnürung, …) Ich hoffe, dies hilft Ihnen dabei, die Auswirkungen von Retransmissions/Datenverlusten auf die Effektivität Ihrer TCP-Anwendungen zu verstehen.

Der Einfluss von Paketverlust und Latenz auf den TCP-Durchsatz
Bei 2% Paketverlust ist der TCP-Durchsatz zwischen 6 und 25 niedriger als ohne Paketverlust.

Round trip latency TCP Throughput with no packet loss TCP Throughput with 2% packet loss
0 ms 93.5 Mbps 3.72 Mbps
30 ms 16.2 Mbps 1.63 Mbps
60 ms 8.7 Mbps 1.33 Mbps
90 ms 5.32 Mbps 0.85 Mbps

Datendiebstahl kann jeden treffen

Ein Verlust oder Diebstahl von Daten kann eine besorgniserregende Erfahrung für jedes Unternehmen sein. Wie dies auch schon große Einzelhändler, einschließlich Home Depot, Staples und Kmart, aber auch Banken und Gesundheitsorganisationen im letzten Jahr schon zu spüren bekommen haben, können Cyberangriffe jederzeit auftreten und von einer beliebigen Quelle stammen.

Leider können Sie in der modernen Welt nicht alles haben, denn es ist unmöglich Ihre Daten zu automatisieren und wettbewerbsfähig zu bleiben, wenn Sie sich von der digitalen Technologie abschotten. Die Datenerfassung ist einfach ein Bestandteil der heutigen Lebensweise, die wir alle akzeptieren müssen, aber dennoch müssen Unternehmen zunehmend eine hohe Sicherheit garantieren und die Privatsphäre von Einzelpersonen schützen.

Zum Glück kann ein Datendiebstahl manchmal vermieden oder auch einfach nur auf ein Minimum reduziert werden. Es folgt eine Liste derjenigen Dinge, welche Unternehmen tun können, um einen Datendiebstahl zu vermeiden:

  • Das Teilen von Daten mit Dritten begrenzen
  • Online Zahlungsseiten verschlüsseln
  • Verdächtige oder unbekannte E-Mails ignorieren
  • Beschränken Sie die Anzahl der Seiten, mit denen Sie Ihre Kreditkarteninformationen Teilen
  • Vermeiden Sie zu viele persönliche Informationen auf Social Media Seiten preiszugeben
  • Ändern Sie PINs und Passwörter häufig
  • Frieren Sie Konten ein, von welchen Sie annehmen, dass diese 
  • Überwachen Sie Konten auf fragwürdige Gebühren

Sobald Sie diese einfachen Richtlinien übernommen haben, ist es wichtig, dass Sie auch weiterhin wachsam gegenüber einem Datendiebstahl sind, um auch weiterhin, denn Hacker auf alle Arten von Methoden zurückgreifen, um in Datenbanken von Unternehmen einzudringen. Um Ihre Datenbanken so gut wie möglich schützen, sollten Sie die folgenden fünf Schritte anwenden, wenn ein Datendiebstahl vermutet wird:

  • Kommunikation ist ein wichtiger Faktor nach einem Datendiebstahl: Informieren Sie alle Mitarbeiter darüber, dass eine Datenverletzung aufgetreten ist, und Sie als Unternehmen die Verantwortung dafür übernehmen. Seien Sie ebenfalls auch offen und klar darüber, warum dieser Datendiebstahl geschehen konnte. Danach sollten Sie die betroffenen Nutzer darüber informieren, wie sie die Auswirkungen eines Datendiebstahls aufklären können. Schließlich sollten Sie mit Ihren Mitarbeitern auch eine ehrliche Diskussion über die Quelle des Problems führen, in dem Bemühen, das ähnliche Probleme in der Zukunft vermieden werden.
  • Ziehen Sie Ihre IT-Ingenieure zu rat: Die Spurensicherung ist von entscheidender Bedeutung, um den Netzwerkverkehr zu analysieren und herauszufinden, warum eine solche Datenverletzung aufgetreten ist. Deshalb sollten Sie proaktiv sein und den gesamten Datenverkehr Ihres Unternehmens, einschließlich aller Datenpakete, für eine spätere Analyse speichern. Der archivierte Verkehr kann dann durch Sicherheitsexperten geprüft werden, um Anomalien zu erkennen und festzustellen, wo und wann eine Datenverletzung entstanden ist.
  • Verwenden Sie ein proaktives Sicherheitssystem: Obwohl Firewalls bestimmte Arten von externen Angriffen verhindern können, werden diese nichts gegen Malware ausrichten, welche in das Netzwerk des Unternehmens eingedrungen ist. Eine vielschichtige Vorgehensweise, welche eine hierarchische Suche nach Datum, Ereignis, IP-Adresse und Schadensausmaß umfasst, ist die beste Lösung, um Sicherheitslösungen anzusprechen.
  • Überprüfen Sie die Daten, die gestohlen wurden, um das Ausmaß des Schadens zu bestimmen: Ändern Sie alle Passwörter und kontaktieren Sie Ihre Auskunfteien, um diese zu informieren, dass ein Datendiebstahl stattgefunden hat, sodass entsprechende Maßnahmen unternommen werden können. Wenden Sie sich ebenfalls unverzüglich an alle Finanzinstitute, wie Banken und Kreditkartenunternehmen, um unautorisierte Transaktionen zu verhindern.
  • Schließlich haben die meisten Länder Gesetze verabschiedet, welche sich mit Datenschutzverletzungen befassen, wobei diese zum Beispiel umfassen, dass eine Person, welche ein Opfer von Datendiebstahl geworden ist, unmittelbar darüber informiert werden muss. Stellen Sie sicher, dass Ihre Mitarbeiter ebenfalls eine Vertraulichkeits- und Geheimhaltungsvereinbarung unterzeichnet haben, um eine weitergehende Haftung zu vermeiden, falls ein Mitarbeiter für den Datendiebstahl verantwortlich sein sollte. Außerdem wird die einer Datenschutzerklärung der erste Schritt sein, um Daten in der Zukunft zu schützen.
  • Während ein Diebstahl von Unternehmensdaten sich in Anzahl und Schwere erhöht, ist ein Zugang zu den ursprünglichen Datenpaketen entscheidend, um schnell die Quelle und das Ausmaß der Sicherheitsvorfälle im Netzwerk zu erkennen. Mit seiner einzigartigen Fähigkeit, den kritischen Netzwerkverkehr von Hunderten von Warnungen pro Tag zu erfassen und zu speichern, ist Savvius Vigil 2.0 die einzige Lösung, um eine Spurensicherung von Netzwerken im Falle eines Datendiebstahls zu ermöglichen, welcher so weit in der Vergangenheit zurückliegt, dass der stattgefundene Netzwerkverkehr mit herkömmlichen Lösungen nicht mehr verfügbar ist.

Netzwerkanalyse – Packet Capturing

netzwerk-analyse_packet-capturing

Die Netzwerk-Paketanalyse ist eine großartige Methode für die Diagnose von Netzwerkproblemen. Dabei werden die Daten im Netzwerk oder auf den betroffenen Geräten aufgezeichnet und mit speziellen Analysegeräten untersucht.

Durch diese Technik bekommt man einen tiefen Einblick in die Datenpakete und kann so, sehr präzise Fehler identifizieren und beheben. Die Netzwerkanalyse mittels „capturing“ Verfahren gehört zu den zuverlässigsten Analysemethoden, da Sie dabei unverfälschte Informationen aus den entsprechenden Netzwerkverbindungen zu Ihrem Netzwerk, Server, Client und Applikation erhalten und diese Daten verlustfrei und ohne Beeinträchtigung auswerten können.

Dabei werden die zu analysierenden Daten vollständig und transparent unter Beibehaltung der Datenintegrität von sogenannten Netzwerk-TAPs zum Analysegerät weitergereicht.

Messpunkt – Single oder Multiple?

Als Messpunkt kommt oft ein SPAN-Port zum Einsatz, da hier der geringste Installationsaufwand betrieben werden muss, um an die relevanten Netzwerkdaten heranzukommen.

Der bessere Messpunkt ist jedoch ein Netzwerk-TAP. Die Vorteile von Netzwerk(Ethernet)-TAPs habe ich in meinem vorherigen Beitrag beschrieben und gehe davon aus, dass diese bekannt sind. Sicherlich ist es möglich mittels einem einzelnen Messpunkt im Netzwerk die Ursache des Problems zu untersuchen, doch, um die Position des Problems zu bestimmen, können weitere Messpunkte von Vorteil sein.

Je nachdem wo man die Daten aufzeichnet, bekommt man ein unterschiedliches Bild über die Kommunikation. Speziell um „one-way-delay“ oder den Ort von Paketverlusten zu ermitteln, ist es ratsam mehrere Messpunkte in Betracht zu ziehen.

Zudem kann durch die Nutzung von mehreren Analysepunkten die Qualität der Messung und Problemanalyse deutlich gesteigert werden.

So kann man die aufgezeichneten Daten bequem miteinander vergleichen und dabei Latenz, one-way-delay, Paketverluste und andere wichtige Parameter ermitteln. Ohne Zweifel lassen sich auch mit nur einem Messpunkt Standard Fehler eingrenzen bzw. diagnostizieren, aber aufgrund von immer komplexeren Netzwerkinfrastrukturen, ergeben sich wesentliche Vorteile der Mehrpunktanalyse.

Sie selbst bestimmen die Capture Punkte und können so einfacher und genauer den Transportweg der Pakete analysieren und die Identifizierung von Problemstellen schneller diagnostizieren. Anomalien erkennen und Ihrem Netzwerk wieder auf die Sprünge helfen wird dadurch zum Kinderspiel.

Wie funktioniert eine Multi-Segment Analyse?

Bei dieser Methode werden die Netzwerkdaten an mehreren Stellen im Netzwerk untersucht und miteinander verglichen. Gerade aber bei der Multi-Segment-Analyse ist die Zeitsynchronisierung immens wichtig, da das Ergebnis durch unsaubere Methoden stark beeinflusst und verfälscht wird.

Wenn ich Latenz und Delays präzise und akkurat messen möchte, dann benötige ich eine Hardware womit ich die Pakete Nanosekundengenau erfassen und mit einer absoluten Zeit versehen kann. Mit speziellen Netzwerk Capture Karten die mittels FPGA die Daten aufnehmen, kann man heute Datenpakete mit 8ns Genauigkeit aufzeichnen. Diese Methode wird auch Timestamping genannt und wird von allen professionellen Analyse und Messwerkzeugen unterstützt.

Aber auch ohne solche FPGA Karten kann man Mehrpunkt Analysen durchführen, nämlich indem man die Daten an einem Analysepunkt korreliert, z.B. mit Link-Aggregation-TAPs, aufnimmt oder OmniPeek Enterprise zur Analyse verwendet. Werden die Daten beim Abgriff aggregiert ist es wichtig, den Datenverkehr vorher mit einem VLAN Tag zu markieren oder man kennzeichnet die Messpunkte direkt beim Capturen, um so die Herkunft der Daten bei der Analyse erkennen zu können.

Nicht selten kommt es vor, dass man aus zeitlichen Gründen, den schnellen Weg zum Capturen von Daten bevorzugt und die Netzwerkdaten auf den betroffenen Systemen sammelt. Dabei kann man auf Tools wie TCPDump oder Wireshark (PCAP) zurückgreifen oder aber auch den OmniPeek Remote Assistant zur Hilfe heranziehen.

Liegen die Trace Daten nun von verschieden Systemen (TAP, Client, Server etc.) vor, bedarf es einer Korrektur der absoluten Zeit, da sonst eine Analyse nahezu unmöglich ist. Eine spezielle Funktion in OmniPeek Enterprise erlaubt es mittels Offset Anpassungen die Zeitdifferenzen von den verschiedenen Trace Files manuell zu korrigieren. Gerne übernimmt OmniPeek diese Aufgabe für Sie und synchronisiert die Zeitabstände, damit Sie sich auf das Wesentliche konzentrieren können.

Je mehr Messpunkte ich im Netzwerk ausrollen möchte, desto mehr Netzwerk Schnittstellen benötigt man auf dem Analyse Rechner. Wir gehen in unserem Beispiel von wir 4 Messpunkten aus. Bei diesem Setup liegen die Daten in 4 facher Form vor und müssen entsprechend weggeschrieben werden. Ist man aber nur an den Daten einer einzelnen Applikation interessiert, kann man mit Filtern den ungewünschten Traffic vor dem Capturen ignorieren und die Last auf dem Analysetool reduzieren.

Welchen Vorteil bringt mir die Multi-Segment Analyse?

Nun es geht darum die Qualität der Messung zu erhöhen und wertvolle Informationen aus dem Netzwerk zu gewinnen. Idealerweise greift man die Daten einmal am Client und einmal am Server ab und die anderen Messpunkte platziert man im Netzwerk z.B. im Distribution und Core Bereich.

Damit wären wir technisch in der Lage die Datenpakete und Transaktionen von einem bestimmten Client zum Server genauestens zu analysieren und den Ort von möglichen Fehlern zu lokalisieren. Proxy’s und viele andere Security Tools können aufgrund von Performance Problemen Latenzen erzeugen oder andere kritische Fehler verursachen, diese gilt es festzustellen.

Warum treten Retransmissions auf und wodurch werden diese verursacht. Wo treten Paketverluste auf und was ist die Ursache; liegt es an passiven Komponenten oder sind Netzwerkkomponenten Schuld? Habe ich Latenz oder Jitter dann möchte ich wissen wo genau diese entstehen. Diese und viele andere Fragen lassen sich mittels einer Multi-Segment Analyse beantworten.

Anwendung der Multi-Segment-Analyse

Heutzutage gibt es Analysetools, die eine automatisierte Multi-Segment Analyse ermöglichen und das manuelle Durchforsten von Paketen überflüssig machen. Erfreulicherweise unterstützt das Produkt OmniPeek die Multi-Segment Analyse und zeigt Ihnen die Laufwege der Pakete grafisch an und vereinfacht so die Auswertung dieser Daten.

Die Netzwerkdaten werden korreliert auf einem Bildschirm gemeinsam mit den Paketpfaden und den einzelnen Hops angezeigt. Dabei sieht man auf einem Blick, ohne intensiv analysieren zu müssen, die verursachten Latenzen und aufgetretenen Paketverluste.

Das Wertvolle daran ist, man sieht sofort wo die Latenzen und Paketverluste entstehen und vor allem in welcher Richtung. Ferner lassen sich so die Routen und Hops von Netzwerkpaketen analysieren und man könnte damit die Laufzeiten oder die Qualität bzw. Konvergenzzeit von HA Verbindungen messen. Insbesondere bei Echtzeitanwendungen wie VoIP möchte ich wissen, wo Jitter bzw. Delay entsteht.

Gerade bei VoIP ist es nicht schwierig Qualitätsprobleme zu erkennen, diese aber präzise zu orten stellt einen Netzwerk Administrator meist vor schwierigen Herausforderungen. Auch die Latenzzeit oder andere Netzwerkfehler zwischen dem WLAN und dem LAN Netzwerk kann man mit OmniPeek’s Multi-Segment Analyse messen und diagnostizieren.

Proaktiv nicht reaktiv

Daher ist es bei Netzwerkanalysen- und Troubleshooting-Aufgaben vorteilhaft feste Messpunkte im Netzwerk zu haben, worüber man unkompliziert im Bedarfsfall an die Netzwerkpakete heran kommt. Des Weiteren ist eine proaktive Analyse sehr hilfreich, da Fehler oftmals auftreten und kurze Zeit später wieder verschwinden.

Insbesondere bei sporadisch auftretenden Fehlern ist es sehr ratsam feste Messpunkte zu haben und die Daten für einen bestimmten Zeitraum aufzuzeichnen. Dies erleichtert die Fehlersuche enorm und erlaubt es in der Vergangenheit aufgetretene Fehler rasch zu identifizieren. Andernfalls tap(p)t man im Dunkeln und kann gegebenenfalls den Fehler nicht eingrenzen, da dieser nicht mehr vorhanden ist oder nur bei bestimmten Events auftritt.

Thank you for your upload