Profitap IOTA 1G
Flinker Messdiener
Veröffentlicht in Ausgabe 08/2022 - TESTS
Viele Applikationen reagieren empfindlich auf hohe Latenzen und Paketverluste – etwa Audio- und Videodaten. Bei Problemen mit solchen Anwendungen ist zunächst einzugrenzen, ob der Fehler auf Server- oder Clientseite der Applikation, dem eigenen Netzwerk oder dem WAN des Cloudanbieters liegt. Capture-Tools wie Wireshark kommen bei hohen Datenraten an ihre Grenzen. Zudem ist die Installation einer solchen Software in vielen Organisationen nicht gestattet. Der niederländische Hersteller Profitap möchte mit seiner Analyse-Appliance IOTA 1G den genannten Herausforderungen mit einer einfachen Aufzeichnung und Auswertung der statistischen Daten begegnen.
Portabel für kleine Netze
Der Testkandidat kam mit 12-Volt-Netzteil, Patchkabel und Quick Start Guide in einer wattierten Kunststoffbox. Das Gerät ist mit Maßen von 105 x 124 x 38 mm und einem Gewicht von 424 g klar für den mobilen und schnellen Einsatz konzipiert. Dies unterscheidet es von schwergewichtigen, im 19-Zoll-Rack montierbaren Varianten etwa von Viavi oder NetScout. Ziel des Produkts ist die Möglichkeit des Versands an kleinere Standorte, wo die Mitarbeiter über kein umfassendes Netzwerk-Know-how verfügen.
Das IOTA 1G lässt sich vor einem Endpunkt, etwa einem PC, einem Telefon oder Netzwerkdrucker, aber auch am WAN-Übergang in kleinen Außenstellen einschleifen. Die Appliance kann so je nach Anschlussort sowohl für eine Performance- als auch eine Security-Analyse Verwendung finden. Mit ihr ist es nach einem vorherigen Baselining möglich, ungewöhnliche Datenströme zu erkennen. Das integrierte Hardware-Timestamping ermöglicht zudem sehr akkurate Zeitstempel, was das Gerät für den Einsatz in Umgebungen mit Time-Sensitive-Networking qualifiziert.
Viele Applikationen reagieren empfindlich auf hohe Latenzen und Paketverluste – etwa Audio- und Videodaten. Bei Problemen mit solchen Anwendungen ist zunächst einzugrenzen, ob der Fehler auf Server- oder Clientseite der Applikation, dem eigenen Netzwerk oder dem WAN des Cloudanbieters liegt. Capture-Tools wie Wireshark kommen bei hohen Datenraten an ihre Grenzen. Zudem ist die Installation einer solchen Software in vielen Organisationen nicht gestattet. Der niederländische Hersteller Profitap möchte mit seiner Analyse-Appliance IOTA 1G den genannten Herausforderungen mit einer einfachen Aufzeichnung und Auswertung der statistischen Daten begegnen.
Portabel für kleine Netze
Der Testkandidat kam mit 12-Volt-Netzteil, Patchkabel und Quick Start Guide in einer wattierten Kunststoffbox. Das Gerät ist mit Maßen von 105 x 124 x 38 mm und einem Gewicht von 424 g klar für den mobilen und schnellen Einsatz konzipiert. Dies unterscheidet es von schwergewichtigen, im 19-Zoll-Rack montierbaren Varianten etwa von Viavi oder NetScout. Ziel des Produkts ist die Möglichkeit des Versands an kleinere Standorte, wo die Mitarbeiter über kein umfassendes Netzwerk-Know-how verfügen.
Das IOTA 1G lässt sich vor einem Endpunkt, etwa einem PC, einem Telefon oder Netzwerkdrucker, aber auch am WAN-Übergang in kleinen Außenstellen einschleifen. Die Appliance kann so je nach Anschlussort sowohl für eine Performance- als auch eine Security-Analyse Verwendung finden. Mit ihr ist es nach einem vorherigen Baselining möglich, ungewöhnliche Datenströme zu erkennen. Das integrierte Hardware-Timestamping ermöglicht zudem sehr akkurate Zeitstempel, was das Gerät für den Einsatz in Umgebungen mit Time-Sensitive-Networking qualifiziert.
Stromversorgung auch über PoE
Das von uns getestete Modell verfügte über zwei 1-GBit/s-Kupferports für die aufzuzeichnenden Nutzdaten. Ein dritter GBit/s-Port auf der Rückseite fungiert als Managementschnittstelle. Über sie griffen wir auf die webbasierte Verwaltungsoberfläche zu. Dieser Port ermöglicht zudem eine Port-basierte Authentifizierung gemäß IEEE 802.1X mit EAP-MD5 und EAP-TLS. Die erforderlichen Clientzertifikate ließen sich problemfrei importieren. Ein Management über WLAN ist nicht möglich.
Der hintere Anschluss erlaubt auch die optionale Stromversorgung über PoE statt über das Netzteil. Der Hersteller gibt hier bis zu 15,4 Watt an, wobei wir laut unserem PoE-Switch unter Last rund 10 Watt gemessen haben. Zudem verfügte die Appliance über zwei USB-3.0-Ports, die aktuell jedoch nur für zukünftige Anwendungszwecke bereitstehen.
Was den Massenspeicher angeht, ist eine 1-TByte-SSD verbaut, wovon aufgrund des Betriebssystems und der Applikationen nur rund 880 GByte nutzbar waren. Die mitgeschnittenen Daten liegen per AES 256 verschlüsselt auf dem Flash-Speicher, der per Standardeinstellung als eine Art Ringspeicher funktioniert – bei einem Füllstand von 80 Prozent löscht das IOTA die ältesten Daten.
Inline- oder SPAN-Modus
Vor der Analyse der Netzwerkdaten steht natürlich zunächst deren Mittschnitt an. Hierzu bietet die Appliance zwei Modi an: Inline oder SPAN. Im Inline-Modus wird sie direkt in den Kommunikationspfad eingeschliffen, beispielsweise zwischen Switch (Port A) und Endgerät (Port B). Beine Anschlüsse waren per Default auf den Inline-Modus gestellt. Es findet also eine Weiterleitung von empfangenen Paketen auf den danebenliegenden Port statt. Die zusätzliche Latenz und der erzeugte Jitter waren im Test nur minimal und kaum messbar.
Um eine Downtime beim Ausfall der Stromversorgung zu vermeiden, bietet das IOTA eine Fail-Safe-Durchschaltung. Die Ports sind dann direkt durchgeschliffen, ohne dass das Gerät den Traffic mitschneidet. Dies funktionierte im Test sehr gut und unterscheidet das Produkt von jenen der Mitbewerber – aufgrund der fehlenden redundanten Stromversorgung aus unserer Sicht ein wichtiges Feature. Zudem beherrscht das Gerät PoE-Passthrough. In unserem Aufbau funktionierte die PoE-Versorgung eines IP-Telefons und des IOTAs selbst hervorragend.
| Produkt |
Appliance zur Erfassung, Messung und Analyse des Netzwerkverkehrs.
|
|---|---|
| Hersteller |
Profitap
|
| Preis |
Das IOTA 1G kostet rund 5000 US-Dollar inklusive einem Jahr Support und Updates. Jedes weitere Jahr schlägt mit 500 US-Dollar zu Buche.
|
| Systemanforderungen |
10/100/1000-MBit/s-Ethernet-RJ45Port (bei SPAN für die Datenquelle, im Inline-Modus beidseitig) sowie ein weiterer Ethernet-Anschluss für das Management per Webinterface, das einen aktuellen Browser voraussetzt.
|
| Technische Daten |
Der SPAN-Modus – die Umschaltung zwischen den Modi erfordert nur wenige Sekunden – ist hingegen vorgesehen, um auf beiden Ports (A und B) Daten von einem Switch Port Analyzer (SPAN) zu erhalten. Um eine Überlastung und somit fehlende Pakete zu vermeiden, sollte beim Spiegeln nur jeweils eine Richtung (RX oder TX) auf einen Zielport geleitet werden.
Zertifikatimport mit Licht und Schatten
Über das Management-Interface erreichten wir den TLS-verschlüsselnden Webserver auf Port 3000, seine IP-Adresse erhält das Gerät per DHCP. Zusätzlich steht mit 169.254.1.1 eine lokale Fallback-IP-Adresse bereit. Diese findet Verwendung, wenn im gewünschten Netzsegment kein DHCP-Server zur Verfügung steht oder eine Back-to-Back-Verbindung zu einem Management-PC besteht. Die Metadaten liegen in einer Elasticsearch-Datenbank. Das IOTA erstellt beim Aufzeichnen immer alle 30 Sekunden oder beim Erreichen des Schwellenwerts von 4 GByte eine PCAPNG-Datei. Danach werden in den gleichen Intervallen auch jeweils die Metadaten in der Datenbank hinterlegt.
Das selbstsignierte Zertifikat ließ sich in unserem Test zunächst nicht durch ein eigenes ersetzen. Eine aussagekräftige Fehlermeldung erhielten wir in der GUI jedoch nicht, lediglich ein "invalid". Nur der Hersteller fand in den Tiefen der Logs die Ursache: Nach Ergänzung eines passenden Subject Alternative Name und der Serverauthentifizierung in den erweiterten Schlüsselverwendungen funktionierte der Import. Erfreulicherweise ließ sich jedoch ein 802.1X-Zertifikat problemlos importieren, um es in entsprechend gesicherten Netzen einzusetzen.
Solide Menüstruktur
Nach dem ersten Login begrüßte uns die auf Grafana basierende GUI mit dem anpassbaren "Home Dashboard" und am linken Rand mit dem Menübaum. Im rechten oberen Bereich boten sich zunächst Möglichkeiten zum Hinzufügen von Panels und Favoriten sowie zum Teilen, Speichern und Wechseln der Ansicht.
Bei Analysen kann es in einigen Konstellationen sinnvoll sein, aufgrund von grafischen Ausschlägen eine konkrete Auswahl des Zeitraums zu treffen. Hierzu steht eine Funktion zum Hereinzoomen und Markieren über die linke Maustaste über dem gewünschten Zeitbereich zur Verfügung. Zudem stellt es kein Problem dar, einzelne Bestandteile von Dashboards auf andere per Copy & Paste zu übertragen. Im Menübaum ermöglicht das Plus/Create-Symbol das Anlegen neuer Dashboards und sogar Importe bestehender Definitionen. Das Neuanlegen stellte sich jedoch in unserem Test als ein Thema für geübte Anwender heraus. Im darunter befindlichen Dashboard-Menü mit den vier Kacheln lassen sich Dashboards verwalten.
Besonders für ein kontinuierliches Monitoring interessant sind Playlisten. Diese erlauben das Hinterlegen unterschiedlicher Dashboards, die in einer bestimmten Reihenfolge und in Zeitintervallen abgespielt werden. Wer also wiederkehrend bestimmte Performance- oder Security-Metriken benötigt, ist hier richtig. Zudem gibt es die aus Grafana bekannten Snapshots, also frei verfügbare interaktive Dashboards ohne sensitive Daten. Der Empfänger benötigt lediglich einen Snapshot-Link ohne Credentials, um auf diese Informationen zuzugreifen. Dies bietet sich beispielsweise bei Bandbreitengrafiken an, wie sie beispielsweise beim Einsatz an WAN-Links vorkommen.
Vielfältige Capture- und Geräteeinstellungen
Im Capture-Menü nimmt der Nutzer das erwähnte Umschalten zwischen SPAN- und Inline-Modus vor. Auch die Auto Negotiation der Capture-Interfaces ist hier einstellbar. Ein interessantes Feature stellt ferner das sogenannte Packet Slizing dar. Ist die reine Auswertung von Header-Daten gefragt, spielt also der Payload keine Rolle, lassen sich die aufgezeichneten Pakete auf 128 Byte beschneiden, um Speicherplatz zu sparen. Sind die Capture-Interfaces im Menü einmal vorbereitet, lässt sich das Capturing auch softwareseitig starten. Hinter dem Tresorsymbol versteckt sich das "Data Vault"-Menü. Darin finden sich die abgelegten Captures sowie Im- und Exporte sowie Cleanups – hierzu später mehr.
Über das IOTA-Symbol fanden sich die Geräteeinstellungen, darunter NTP- sowie Zeitzonen sowie die IP-Settings des Management-Interfaces. Die Parametrisierung der Zeitzone sollte direkt zu Beginn erfolgen, damit die erstellten Zeitstempel passen. Aber auch ein rudimentäres Firewalling wie Restriktionen des Managementszugriffs auf das lokale Subnetz oder Freigaben auf Remote-Subnetze waren möglich. Ergänzend hätten wir uns hier noch eine Einschränkungsmöglichkeit auf spezifische Quellnetze erhofft.
Weiterhin lassen sich in diesem Menü Aktualisierungen der Firmware und Lizenzen hochladen. Die Updates konnten wir neben dem Upload als Datei vom Management-PC aus direkt von den Servern des Herstellers beziehen. Außerdem beinhaltet der Menüpunkt das Management des bereits erwähnten Webserverzertifikats, samt den genannten IEEE-802.1X-Einstellungen inklusive Import der Zertifikate. In diesem Menübereich finden sich zudem die System- und Applikationslogs sowie die Syslog-Konfiguration. Nicht zuletzt lässt sich dort der Remotezugriff über den SDN/VPN-Dienst ZeroTier einrichten.
Über das Zahnradsymbol ist das Konfigurationsmenü erreichbar. Darin kann der Nutzer die Datenquellen definieren, aber auch die Grafana-Plug-ins sowie API-Keys. Etwas unlogisch erschien uns die Aufteilung des Nutzermanagements zwischen Konfigurations- und dem darunter befindlichen Server-Admin-Menü. User müssen in Letzterem angelegt werden, die Rollen- und Teamverwaltung hingegen erfolgt im Konfigurationsmenü.
Dashboards für jeden Zweck
Das IOTA bringt neben dem anpassbaren Home-Dashboard noch einige interessante weitere Ansichten mit – darunter das Serverlatenz-Dashboard, das die maximale Applikationslatenz sowie die maximale initiale Round Trip Time (iRTT) zum jeweiligen Server anzeigt. Es besteht also nicht wie üblich die Notwendigkeit, diese aus dem TCP-Handshake auszulesen.
Aussagekräftiger waren diese iRTTs aus unserer Sicht aber im TCP-Troubleshoot-Dashboard. Darin waren ohne zusätzliche Filter die jeweiligen Sockets mit Quell- und Ziel-IP-Adresse sowie Ports und zugehöriger iRTT dargestellt. Zudem fanden sich darin auch statistische Daten zu TCP-Flags. So können wiederholte SYNs im Netzwerk auf fehlerhafte oder wiederholte Aufbauversuche der Kommunikationsbeziehung hinweisen. Eine erhöhte Anzahl an TCP-Resets wiederum lässt auf abgelehnte oder abgebrochene Kommunikationen schließen.
Das Hosts-Dashboard bietet eine grafische Lokationszuordnung der jeweiligen Client- und Server-IP-Adressen über Karten von OpenStreetMap. Ist das IOTA wie in unserem Test nur in einem LAN positioniert, ließ sich die Clientlokation jedoch nicht korrekt zuweisen, was aufgrund der RFC1918-IP-Adressen verständlich ist. Ein Feature für ein manuelles Mapping des Standorts zu IP-Ranges wäre hier hilfreich.
Um bei der Analyse der Applikationsperformance noch tiefer einzusteigen, wählten wir "User Experience – Application Latency". Es bot uns auch durchschnittliche Latenzwerte zu einzelnen Clients und Applikationen, also nicht nur die Maximalwerte aus dem TCP-Troubleshoot- und Server-Latency-Dashboard.
Im kommenden Firmware-Release 2.3 soll eine erweiterte Analysefunktion für VoIP-Traffic, das OT-Protokoll Modbus sowie eine ausgebaute TLS-Analyse mit Servernamen, Ciphers und SSL Events kommen.
Filter bedürfen Einarbeitung
Die GUI stellt drei unterschiedliche Such- beziehungsweise Filtermöglichkeiten bereit. Im linken Bereich findet sich die "Custom search", die auf der Lucene-Suche aufbaut und lediglich die Ansicht filtert. Dabei ist auch eine "Oder-Verknüpfung" in der Suche möglich. Ein nachfolgender Klick auf eine IP-Adresse oder ein Protokoll führt folglich zu einem Download aller Daten ohne Filter. Der Hersteller liefert allerdings keine vollständige Liste der filterbaren Datenfelder, sodass diese Vorgehensweise einige Übung erfordert.
Der Punkt "Filters" erlaubt hingegen das Hinterlegen von Ansichts- und PCAP-Filtern, darunter unter anderem die Filterung nach Stärke der TLS-Ciphers oder TLS-Hostnamen sowie Layer-7-Protokollname. Hier gibt es bei den Filtern eine Autovervollständigung. Der BPF-Filter filtert hingegen nur den Download und nicht die Ansicht. Diese Konstellation verwirrt zu Beginn etwas, bietet jedoch im späteren Gebrauch einige flexible Möglichkeiten.
Ein Wechsel des Dashboards oben links führte im Test zum Verlust der zuvor konfigurierten Filter, was jedoch gemäß Produktanleitung das Standardverhalten darstellt. Die Filter blieben nur bei einer Auswahl eines neuen Dashboards über den "Goto"-Button im rechten Bereich erhalten. Das von uns unter die Lupe genommene 1G-Modell beherrscht nur Anzeigefilter, um die einmal aufgezeichneten Daten gezielter zu analysieren. Capture-Filter, also Filter, die schon direkt bei der Aufzeichnung die Daten sortieren und nicht nur die Darstellung oder den Export, sind der 10G-Variante vorbehalten.
Die Performance der GUI empfanden wir insgesamt als gut. Das Filtern über das Plus-Symbol mittels eines Hover-Elements erschein uns jedoch gewöhnungsbedürftig. Zudem erwarteten wir beim Klick auf eine IP-Adresse in den Metadaten eben genauere Infos zur IP-Adresse. Dies führte jedoch immer zum Download der entsprechenden PCAPNG-Dateien. Insgesamt braucht es also etwas Eingewöhnung.
Eingeschränktes Rechte- und Rollenmodell
Das IOTA verfügt über eine Untergliederung nach Organisationen und Teams. Diesen lassen sich wiederum helle oder dunkle Themes sowie Start-Dashboards nach dem Login und Zeitzonen zuweisen. Um ein Dashboard zur Auswahlliste hinzuzufügen, bedarf es zuvor jedoch einer Markierung des jeweiligen Dashboards als Favorit. Um eine Rechtevergabe vorzunehmen, stehen drei Rollen zur Verfügung: Admin, Editor und Viewer. Der Editor kann im Gegensatz zu Administrator keine Benutzer verwalten. Die Viewer-Berechtigung erklärt sich von selbst.
Das Analysetool bietet im Bereich der Authentifizierung und Autorisierung lediglich die Möglichkeit, lokale Nutzer anzulegen. Protokolle wie RADIUS, TACACS oder LDAP suchten wir jedoch vergeblich. RADIUS und TACACS+ stehen laut Hersteller allerdings auf der Roadmap für das Produkt, eine Zwei-Faktor-Authentifizierung hingegen nicht.
Aufräumen, PCAPNG-Import und Remote Access
Da der Speicherplatz der 1-TByte-SSD endlich ist, hat der Hersteller ein automatisches Aufräumen eingebaut. Dieser Cleanup löschte in unserem Test zuverlässig Aufzeichnungen und/oder Metadaten nach einer gewissen Zeit. Für eine konsistente Speicherung empfahl uns der Hersteller das gleichmäßige Tilgen von Metadaten und Aufzeichnungen. Zusätzlich besteht die Möglichkeit, stunden-, tage- oder wochenweise bestimmte Zeitintervalle zu löschen.
Was den Umgang mit PCAPNG-Dateien betrifft, zeigte das Werkzeug im Test vielfältige Möglichkeiten. Über die Auswahl eines Zeitrahmens und entsprechende Anzeigefilter erfolgte über einen Klick auf IP-Adressen oder Protokolle direkt der korrespondierende Download. Zusätzlich bestand die Möglichkeit, alle Captures im 30 Sekunden Zeitintervall per WebDAV oder FTP zu exportieren, was problemfrei funktionierte. Eine Variante für SMB oder verschlüsseltes SFTP sowie SCP gab es leider nicht. Das Exportintervall ließ sich nicht anpassen und es gab leider auch keine Option zur Filterung der zu exportierenden Daten. Zusätzlich wurde bei Eingabe der Credentials bis zum Klick auf "Apply" das Kennwort im Klartext angezeigt. Bestehende PCAPNG-Files ließen sich ohne Probleme importieren und analysieren. Bei der Wahl des passenden Zeitfensters ist jedoch Vorsicht geboten, da das PCAPNG-File mit den originalen Zeitstempeln importiert wurde.
Für Automatisierer hat das IOTA eine RESTful-API an Bord. Zur Nutzung mussten wir zunächst im Administrationsbereich ein API-Key generieren. Als Antwort erhielten wir JSON-formatierte Daten. Da das Gerät dafür konzipiert ist, dass Mitarbeiter ohne tiefes Know-how es an entfernten Standorten in Betrieb nehmen, stellte sich in unserem Test auch die Frage nach einem externen Zugriff. Hier überraschte das IOTA mit der unkonventionellen Implementierung von ZeroTier anstatt klassischer VPN-Technologien wie IPSec oder OpenVPN.
Vorteil von ZeroTier ist, dass der Tunnel per Management-Interface über eine ausgehende Verbindung auf UDP-Port 9993 aufgebaut wird. Somit sind keine Port-Forwardings am dezentralen Standort notwendig. Die Verbindung funktionierte verblüffend problemlos.
Sämtliche erwähnten Features sind übrigens in der Basislizenz im Bundle mit dem Gerät enthalten, es bedarf keiner weiteren kostenpflichtigen Freischaltungen.
Fazit
Insgesamt stellt das IOTA in Troubleshooting-Szenarien ein sinnvolles Hilfsmittel dar. An vielen Funktionen, etwa dem Fail-Safe-Modus, der Spannungsversorgung über PoE oder dem Hardwareknopf zum Starten von PCAP-Aufzeichnungen, zeigt sich, dass sich der Hersteller einige Gedanken gemacht hat und sein Handwerk versteht. Für die Applikationsanalyse bietet die Appliance vielfältige Statistikdaten. Als Unterstützung für den Analysten fehlte es uns jedoch an integrierten Interpretationen für Fehlverhalten – das wäre ein deutlicher Mehrwert im Vergleich zu quelloffenen Produkten und Mitbewerbern.
(ln)
| Bewertung | |
|---|---|
| Dieses Produkt eignet sich |
optimal für Firmen, die an kleinen Standorten oder direkt an einem Geräteport Datenströme erfassen, speichern und analysieren möchten.
bedingt für die Applikationsanalyse anhand umfangreicher aufgezeichneter Datenmengen..
nicht für den Einsatz in Rechenzentren. Die 1-GBit/s-Datenrate und der begrenzte Speicher sind hierfür nicht ausreichend.
|