Traffic Shaping
Traffic Shaping
Il Traffic Shaping è una soluzione di gestione del traffico di rete eccessivo che consente agli amministratori di rete di garantire il corretto sfruttamento della banda disponibile sulla Intranet ed Extranet, privilegiando le performance dei servizi core; questo a discapito di una ottimizzazione di costi verso un investimento di banda più performante.
In particolare le soluzioni di Traffic Shaping agiscono su:
- Associazione dei dispositivi agli utenti.
- Specifica per l'utente le politiche del protocollo layer-7
- Protezione della rete da malware e connessioni da/verso destinazioni non sicure
- larghezza di banda Internet distribuita in modo uniforme per prevenire eventuali disservizi
Aggiungi qui il testo dell'intestazione
Traffic Shaping e disponibilità garantita
Il Traffic Shaping aiuta gli amministratori di rete a garantire un funzionamento fluido e controllato di reti complesse e a gestire con precisione i diversi dispositivi connessi che competono per accedere a Internet.
L’accesso a Internet è quasi sempre limitato dalle larghezze di banda di download e upload fornite dall’Internet Service Provider (ISP) e tali larghezze di banda diventano facilmente sature, soprattutto quando molti dispositivi accedono a Internet.
Una situazione abbastanza comune che rivela l’utilità del Traffic Shaping si verifica ad esempio nei luoghi affollati, come bar, ristoranti, navi da crociera, dove in presenza di una rete pubblica anche solo un singolo dispositivo ha il potenziale per compromettere la rete e influenzare negativamente la qualità dell’esperienza (Qoe) di tutti gli altri dispositivi.
Ciò avviene perché c’è troppo traffico sulla rete e questi fornitori utilizzano un unico gateway che generalmente è lo stesso utilizzato anche dal personale alberghiero. Questo può causare problemi o ritardi nel caso in cui si abbia bisogno di una connessione di rete per effettuare le normali operazioni commerciali.
In questi casi il Traffic Shaping fornisce un’intuitiva interfaccia grafica Web-Based per controllare come viene utilizzata la larghezza di banda Internet disponibile tra i dispositivi.
Oggi le operazioni critiche come i pagamenti Point-of-Sale (POS), le prenotazioni e la contabilità devono essere eseguite online e un accesso Internet rotto quasi immediatamente si traduce in una perdita di denaro.
La larghezza di banda massima di download e upload può essere controllata facilmente per qualsiasi dispositivo con una manciata di clic. Allo stesso modo, attraverso le soluzioni di Traffic Shaping è possibile impostare una politica per la velocità minima garantita di upload e download per ogni dispositivo.
Le soluzioni di Traffic Shaping aiutano a proteggere le operazioni business-critical identificando automaticamente gli ospiti normali e dipendenti dando priorità al loro traffico in base alle diverse politiche. Così, ad esempio, si può garantire una larghezza di banda minima per il personale, e consentire agli ospiti di eseguire a piena larghezza di banda solo quando il personale è inattivo.
Inoltre, la larghezza di banda degli ospiti può essere divisa in modo uniforme tra tutti gli ospiti attivi, in modo che un singolo utente non sia in grado di compromettere l’accesso a Internet.
Per un ulteriore controllo, alcuni protocolli che consumano banda come Bittorrent possono anche essere disabilitati o ridotti a una porzione molto piccola della larghezza di banda totale disponibile.
- Condivisione della velocità di upload e download disponibile in modo uniforme tra tutti i dispositivi collegati alla rete
- Condivisione del 70% della larghezza di banda disponibile in modo uniforme tra i client, e l'altro 30% in modo uniforme tra lo staff
- Riserva almeno il 50% della banda di download ai dispositivi importanti
- Permette anche un controllo di banda più sottile che tiene conto anche degli utenti umani (piuttosto che solo dei dispositivi) e dei protocolli applicativi Layer-7
- Le policy di livello-7 possono essere impostate rapidamente per esempio per impedire l'uso di Tor o per strozzare Bittorrent, solo per citarne alcuni
Ma come funziona il Traffic Shaping?
La soluzione di Traffic Shaping si aspetta di proteggere una Local Area Network (LAN), la cosiddetta Edge. In genere, i client e le risorse digitali che richiedono protezione risiedono nella LAN e devono passare attraverso la WAN per navigare in Internet.
Si crea poi un ponte trasparente tra due interfacce di rete, una collegata a una LAN e l’altra a una WAN , operando attraverso il ponte dove vengono applicate le policy di rete configurate.
Il sistema tratta il traffico e decide quale traffico deve essere instradato e quale traffico deve essere scartato. Sono supportate più interfacce WAN per consentire anche decisioni su quale interfaccia WAN debba essere utilizzata per il routing.
Il Traffic Shaping è dunque la soluzione giusta per voi se siete alla ricerca di un modo rapido e trasparente per proteggere le comunicazioni LAN-WAN senza dover riconfigurare alcun dispositivo o indirizzo IP.
Inoltre, il traffic Shaping è funzionale se si desidera creare un router (single-LAN o multi-WAN) che instrada il traffico per dispositivo e per applicazioni Layer-7.
Traffic Shaping e blocco del traffico non sicuro in linea
Le soluzioni di Traffic Shaping intervengono anche per salvaguardare le situazioni in cui c’è troppo traffico sulla rete, integrando DNS sicuri con IP e elenchi di domini, fornendo una protezione continua. Se qualcuno sta cercando di contattare un host dannoso o se un host dannoso sta cercando di raggiungere qualcuno sulla rete grazie al Traffic Shaping si genererà automaticamente un avviso e bloccherà le comunicazioni che coinvolgono un peer dannoso.
La sua tecnologia sfrutta gli elenchi IP e domini prodotti e costantemente aggiornati dalle aziende leader nel settore della cyber-sicurezza per assicurare che nemmeno un singolo byte venga scambiato con host potenzialmente dannosi. Le liste attualmente supportate sono quelle fornite da Malware Domain List e Emerging Threats e vengono aggiornate ogni giorno.
Le nostre soluzioni di Traffic Shaping includono anche la possibilità essere informati in tempo reale sulle minacce in corso, è sufficiente configurare l’integrazione Slack per ricevere avvisi sullo smartphone!
Contattaci per maggiori informazioni!
Traffic Shaping e blocco di siti non sicuri basati su DNS
Il Traffic Shaping permette inoltre di applicare in modo semplice e trasparente l’uso di server DNS sicuri. Ogni richiesta DNS visto è forzatamente instradato per assicurarsi che sia gestito da un DNS affidabile e sicuro per proteggersi dalle minacce informatiche più comuni. Diversi server DNS forniti da aziende di sicurezza informatica sono pronti per essere scelti e possono essere utilizzati gratuitamente all’interno del software ntopng Edge.
E se siete preoccupati per qualcuno che potrebbe provare a forzare manualmente un DNS arbitrario, non preoccupatevi! ntopng Edge vede e instrada ogni richiesta DNS al DNS sicuro. Una protezione aggiuntiva è offerta anche per i bambini con DNS Child-Safe speciale, per salvaguardarli dall’accesso a materiale violento o esplicito.
Traffic Shaping e applicazioni layer 7 traffic
Le piccole e medie imprese (PMI) spesso lottano per proteggere le loro reti da protocolli applicativi di livello 7 indesiderati. Le norme interne (ad esempio, le regole di etica e condotta aziendale) o le norme esterne (ad esempio, il GDPR) possono imporre limiti ai siti web visitati e ai protocolli applicativi Layer-7 utilizzati nella rete.
Ad esempio, l’archiviazione su cloud potrebbe non essere consentita per impedire ai dipendenti di caricare dati sensibili nel cloud. Allo stesso modo, l’accesso a siti ricreativi come Facebook e Youtube può essere limitato o non consentito durante il normale orario di ufficio.
Attraverso il Traffic Shaping è possibile applicare tali tipi di regole e regolamenti senza richiedere modifiche nella topologia di rete che possono essere costose e creare conflitti con apparecchiature e configurazioni preesistenti.
Inoltre, attraverso il Traffic Shaping possono anche generare avvisi quando un nuovo dispositivo si connette alla rete e bloccare protocolli potenzialmente pericolosi come quelli di condivisione file, traffico SSL senza certificato e tunnel VPN.
Le applicazioni del layer 7 traffic sono fondamentali per la sicurezza. Pensate ai dispositivi IoT che sono sempre collegati ad internet, come le telecamere di sorveglianza, per esempio.
Tali dispositivi sono spesso forniti con vecchi firmware obsoleti e raramente ricevono aggiornamenti di sicurezza. Quindi, hanno il potenziale per aprire violazioni della sicurezza nella rete. Essere in grado di far rispettare una serie di applicazioni Layer-7 sicure e permesse avvolgerà i dispositivi IoT insicuri in un ambiente protetto e sicuro che rimane davanti alle minacce.
Tuttavia, essere in grado di impostare le politiche su determinati dispositivi è solo una parte della storia. In quanto esseri umani tendiamo a ragionare meno in termini di dispositivi e a pensare all’accesso a internet in termini di azioni che vengono compiute da persone.
Il vantaggio del Traffic Shaping è che permette di applicare le politiche direttamente su Internet client.
Quindi alle applicazioni layer 7 traffic non importa se Simone sta usando il suo iPad, il suo iPhone o la sua Xbox. Simone è solo un umano che sta accedendo ad Internet. Questo permette di far rispettare le policy per Simone, politiche che sono applicate in modo trasparente a tutti i suoi dispositivi attraverso un unico processo.
Le applicazioni del layer 7 traffic sugli “utenti” possono includere anche restrizioni di accesso a determinate aree della navigazione in precise fasce di ora consentendo magari, l’attività dei soli aggiornamenti dei dispositivi.
Servizi di micro-segmentazione e Traffic Shaping
Con la micro-segmentazione dei servizi, gli amministratori creano politiche che permettono esplicitamente di scambiare solo alcuni tipi di traffico. Politiche, impostazioni di sicurezza sono personalizzati su base host, a seconda del ruolo e della funzione di ciascuno.
In questo modello di sicurezza zero-trust, ntopng Edge il software che sfrutta le potenzialità del Traffic Shaping ti permetterà di impostare le policy. Ad esempio, può costringere i sensori IoT a parlare solo MQTT, o server i Web per parlare solo HTTP/HTTPS con i client e Mysql con i server di database backend.
Il traffic Shaping permette inoltre di effettuare una micro-segmentazione molto accurata per isolare in modo sicuro host e servizi critici dal traffico indesiderato o imprevisto. I firewall tradizionali, i sistemi di prevenzione delle intrusioni (IPS) e altri sistemi di sicurezza sono progettati per ispezionare e proteggere il traffico extratranet, ma non riescono a limitare le attività potenzialmente dannose extranet, per esempio quando gli hacker ottengono l’accesso attraverso una violazione della sicurezza. ntopng Edge micro-segmentazione dà maggiore controllo e protezione su questo tipo di attività, consentendo solo alcuni tipi di traffico da scambiare con qualsiasi host controllato. L’obiettivo finale è quello di ridurre la superficie di attacco della rete: applicando le regole di segmentazione fino al singolo host, il rischio di minacce interne è notevolmente ridotto.
Le politiche tipiche che permettono di ottenere la micro-segmentazione attraverso il traffic shaping sono:
- Consenso ad un solo server Web di comunicare il traffico HTTP/HTTPS con i client, e a Mysql con i server di database di backend
- Consenso solo agli interruttori di parlare SNMP e sflow con un dato collettore
- Consenso solo a un POS di comunicare via HTTPS con i siti web delle banche
Riconoscimento dei dispositivi attivi e silenziosi con Traffic Shaping
Le soluzioni di traffic shaping consentono di individuare e classificare in maniera puntuale e tempestiva tutti i dispositivi connessi alla rete, compresi quelli silenziosi. La scoperta e l’identificazione producono una ricca serie di informazioni che includono il tipo di dispositivo, la famiglia e (quando possibile) il modello e il sistema operativo. Rileva anche i nuovi dispositivi connessi alla rete e può inviare avvisi quando si tratta di dispositivi sconosciuti.
Network Device Discovery Scoperta attiva
La Network Device Discovery sin dalla sua introduzione nel 1998, è stato uno strumento di monitoraggio di rete passivo puro (oltre alla risoluzione degli indirizzi DNS se abilitato). Recentemente è stato completato con la scoperta attiva dei dispositivi per capire se ci sono dispositivi silenziosi nella nostra rete e quali servizi/sistemi operativi i nostri dispositivi sono dotati.
Funzionalità aggiuntive della soluzione Traffic Shaping TechnoInside
- Captive portal
- Autenticazione degli utenti con una pagina di login prima di consentire loro di accedere a Internet. L'autenticazione facilita l'associazione tra un utente e i suoi/i dispositivi, e la conseguente applicazione delle policy configurate.
- Bilanciamento del carico e failover
- In modalità router, quando sono configurati più WAN, è possibile implementare potenti policy per controllare le attività degli utenti
A differenza di comuni soluzioni di tipo statico, la soluzione di Traffic Shaping di TechnoInside è dinamica: in assenza di traffico Internet tutta la banda può essere allocata alla singola utenza, o suddivisa su molte utenze in maniera automatica così da prevenire le situazioni in cui il traffico di rete eccessivo causi dei rallentamenti ai servizi che si allacciano sulla rete.