Datenverkehr nach Portnummer klassifizieren (NTA-Anwendungen)

Sie können Datenverkehr im Netzwerk in der NTA-Anwendungsbibliothek markieren (mit Tags versehen), damit er einfacher zu verwalten, bestimmten Diensten oder Anwendungen zuzuweisen und in NOC-Dashboards und detaillierten Berichten zu erkennen ist. Sie können Datenverkehr auch in Fällen markieren, in denen der gleiche Port von zwei verschiedenen Diensten oder unterschiedlichen Dienstinstanzen der gleichen Anwendung, die in getrennten Netzwerksegmenten oder Subnetzen ausgeführt werden, verwendet wird.

Tip: Nach der Markierung können Sie überprüfen, ob die Quellen Datenverkehr, der diesen Regeln entspricht, aufweisen. Nutzen Sie dazu den Bericht Top-n-Anwendungen oder Top-n-Konversationen. Umgekehrt sollte der Datenverkehr aufgrund dieser Anwendungszuordnungen nicht mehr im Bericht Nicht klassifizierter Datenverkehr erscheinen.

Regeln für zwei Dienste, die Port 8383 verwenden, in der Anwendungsbibliothek definieren (Abbildung mit Port-Filter auf „8383“)

Mit NTA-Anwendungen können Sie Netzwerkdatenverkehr anhand folgender Kriterien aktivieren:

Zuordnungen aus der NTA-Anwendungsbibliothek verwenden

In der NTA-Anwendungsbibliothek sind bereits die häufigsten Anwendung-zu-Port- und Übertragungsprotokollverknüpfungen enthalten. Bei vielen davon handelt es sich um verbreitete Anwendungen, die in den häufig verwendeten Portdefinitionen der IETF (einer Liste der Unternehmen, die eine bestimmte Portnummer beim IETF-Normierungsinstitut beantragt haben) beschrieben werden.

Benutzerdefinierte Zuordnungen verwenden

Wenn Sie eine genauere Bezeichnung bereitstellen möchten, als die Standardverknüpfungen der NTA-Anwendungen enthalten, können Sie diese Standardverknüpfungen im gesamten Netzwerk oder in bestimmten Subnetzen überschreiben oder sie für andere Übertragungsprotokolle (z. B. UDP oder TCP) umdefinieren.

Important: Wenn Sie eine Portverknüpfung (NTA-Anwendung) für ein Subnetz angeben, setzt NTA alle globalen Anwendungsfälle (Verknüpfungen, bei denen kein Subnetz angegeben wurde) für Daten innerhalb des angegebenen Subnetzbereichs außer Kraft.

So fügen Sie eine Portzuordnung hinzu:

  1. Öffnen Sie die NTA-Anwendungsbibliothek (Einstellungen > Netzwerkdatenverkehrsanalyse > NTA-Anwendungen).

    Es erscheint das Dialogfeld „NTA-Anwendungsbibliothek“.

  2. Klicken Sie auf „Hinzufügen“ oder wählen Sie eine vorhandene Definition aus und klicken Sie auf „Bearbeiten“.
    • Anwendung. Geben Sie einen Namen/eine Bezeichnung ein, der/die dem Port zugeordnet werden soll. Beispiel: Apache Tomcat.
    • Port oder Bereich. Fügen Sie einen Port oder einen Bereich hinzu. Beispiel: 8088
    • TCP/UDP/SCTP/DCCP. Erwartetes Transportprotokoll (wählen Sie eines aus). Beispiel: TCP
    • Subnetze. Wenn diese Regeln nur für bestimmte Netzwerksegmente gelten sollen, fügen Sie Subnetz-IPs hinzu.

      Important: Geben Sie ein Subnetz in CIDR-Schreibweise an. Beispiel: Zur Angabe von Host-Datenverkehr im Netzwerkbereich 192.0.2.x müssen Sie den Bereich folgendermaßen angeben: 192.0.2.0/24. Dieser Wert gilt für den IP-Adressbereich 192.0.2.0 bis 192.0.2.255.

  3. Fügen Sie weitere Ports hinzu und klicken Sie auf Speichern. Wenn keine weiteren Ports hinzugefügt werden sollen, können Sie auch nur auf Speichern klicken.
  4. Überprüfen Sie die Berichtsdaten aus Berichten wie Top-n-Anwendungen oder Top-n-Konversationen hinsichtlich der von Ihnen angewendeten Zuordnung. Umgekehrt sollte der Datenverkehr aufgrund dieser Anwendungszuordnungen nicht mehr im Bericht Nicht klassifizierter Datenverkehr erscheinen.

Anwendung für ein bestimmtes Subnetz festlegen (in der Abbildung Port für iMail-Web-Benutzeroberfläche)

Best Practice: Anwendungen (Ports) aus dem Flow nur mit einem bestimmten Subnetz verknüpfen

Wenn ein häufig verwendeter Port/eine häufig verwendete Anwendung außer Kraft gesetzt oder eine genauere Beschriftung dafür verwendet wird, gilt es als Best Practice, dies in der NTA-Anwendungsbibliothek im kleinstmöglichen Umfang (d. h. auf Subnetzebene) vorzunehmen und diese Änderung im Rahmen des Netzwerkbetriebs zu dokumentieren.

Angegebenes Subnetz

Angegebener Port

Verhalten

192.0.2.0/24

8383 (Admin-Benutzeroberfläche für iMail)

Nur Datenverkehr, der in einem bestimmten Subnetz erfasst wird, wird als Anwendung „Admin-Benutzeroberfläche für Ipswitch-iMail“ in NTA-Berichten und ‑Dashboards gekennzeichnet. Datenverkehr außerhalb des Subnetzbereichs, für den auch die anderen häufig verwendeten Portverknüpfungen nicht zutreffen, wird als Nicht klassifiziert eingestuft.

Note: Wenn kein Subnetz angegeben wird, wird die NTA-Anwendungsportzuweisung global. Das bedeutet, sie wird auf den gesamten NTA-Datenverkehr angewendet.

Globaler Anwendungsfall: Kein Subnetz angegeben

Angegebenes Subnetz

Angegebener Port

Verhalten

8383 (Admin-Benutzeroberfläche für Ipswitch-iMail)

Der gesamte erkannte Datenverkehr wird als Anwendung „Admin-Benutzeroberfläche für Ipswitch-iMail“ in NTA-Berichten und ‑Dashboards gekennzeichnet.

Note: Wenn kein Port angegeben wird, wird die NTA-Anwendungsportzuweisung global. Das bedeutet, sie wird auf den gesamten NTA-Datenverkehr angewendet.

Note: Netzwerkdatenverkehrsanalyse-Netzwerkdatenverkehr gilt als „nicht klassifiziert“, wenn sowohl Quell- als auch Zielport außerhalb des bekannten Portbereichs liegen oder wenn die Ports nicht in der Anwendungsbibliothek klassifiziert sind.

Tip: Nutzen Sie allgemeine NTA-Anwendungsregeln (z. B. Port 8383 = TCP) für große Netzwerksegmente. Fügen Sie dann spezifische Regeln für den gleichen Port hinzu und passen Sie die Port-IDs für bestimmte Subnetze an, bei denen dies sinnvoll ist (z. B. kann für ein kleineres Netzwerksegment Port = 8383 und Subnetz = 192.0.2.0/24 z. B. als Ipswitch iMail gekennzeichnet werden).

See Also

Netzwerkdatenverkehrsanalyse

Erste Netzwerkanalyse

Vor Beginn der Überwachung

Funktionen und Vorteile von NTA

Auswahl der NTA-Quellen

Konfigurieren und Aktivieren der Erfassung an Quellen

Aggregierte Quellen erstellen

Zusammenführen von Quellen

Gruppieren von Datenverkehr

Hinzufügen benutzerdefinierter Kennzeichnungen für Diensttyp-IDs (ToS)

Wartung der Collector-Datenbank

Reduzieren und Analysieren von Datenverkehr mit dem erweiterten Filter

Einstellungen für die Netzwerkdatenverkehrsanalyse

IP-Bewertungsbibliothek

Einstellungen für Listener-Port, Erfassung und Speicherung