Минимальные системные требования для Сервера сетевого перехвата

Основной рекомендацией является выделение отдельного сервера (или нескольких серверов) для Сервера сетевого перехвата.

• Процессор: 2 ГГц и выше, 2 ядра и более
• Два сетевых адаптера: 100 Мбит/1 Гбит
• Оперативная память: не менее 6 ГБ (+ 0,5 ГБ на каждые 100 отслеживаемых рабочих станций)
• Жесткий диск: 100 МБ свободного пространства

• Операционная система: Microsoft Windows Server 2008R2

Прочие замечания

1. Не рекомендуется устанавливать данный компонент на контроллер домена или сервер, на котором выполняются какие-либо иные задачи, кроме перехвата. В больших сетях при пиковых нагрузках вычислительных ресурсов сервера может быть недостаточно для обработки больших объемов данных.
2. Наиболее рекомендуемый вариант установки компонентов системы – установка Сервера сетевого перехвата, Центрального сервера и Сервера контроля рабочих станций на отдельных физических серверах, а также выведение всех компонентов в отдельный сегмент, чтобы при обмене трафиком между ними не создавалась дополнительная нагрузка на точку перехвата. Для этого необходимо обеспечить, чтобы все серверы были подключены к существующему коммутатору, а не к коммутатору с портом зеркалирования.
3. Сервер, на котором установлен Сервер сетевого перехвата, должен иметь два сетевых адаптера: первый – для приема зеркалируемого трафика, второй – для взаимодействия с другими серверными компонентами и клиентскими приложениями продукта.
4. Информация, извлеченная из трафика и полученная от агентов контроля конечных станций, записывается в базу данных по сети. При этом трафик и данные от агентов контроля рабочих станций не рекомендуется направлять через устройство перехвата, т.к. они будут вновь проходить через порт зеркалирования, что создаст дополнительную нагрузку на Сервер сетевого перехвата.
5. Консоль администратора и Консоль пользователя могут быть установлены на любых рабочих станциях сети. При этом трафик этих рабочих станций также будет перехватываться.

Порядок установки

Для установки программы используется установщик Windows (Windows Installer), который входит в состав операционной системы Windows. Microsoft Windows Server 2012R2 может требовать подключения к Интернету для проверки цепочки сертификатов.

Минимальные требования для установки: Windows Installer 3.0, Windows .Net Framework 4.8. Если компонент «.Net Framework» не установлен, то его необходимо установить, запустив файл ndp48-x86-x64-allos-enu.exe из папки Preinstall дистрибутива системы.

Кроме того, для корректной работы сервера сетевого перехвата необходим компонент MS Visual C++ Redistributable Package. Если компьютер, на котором производится установка системы, имеет подключение к Интернету, данный компонент будет скачан и установлен автоматически. Если подключение к Интернету отсутствует, необходимо установить данный компонент, запустив поочередно файлы vc_redist.x64.exe и vc_redist.x86.exe из папки Preinstall дистрибутива системы.

1. Запустите файл FalcongazeSecureTowerInterceptionServerSetup.exe из комплекта поставки для начала работы Мастера установки Сервера сетевого перехвата.

2. В открывшемся окне приветствия нажмите кнопку Далее, чтобы продолжить установку программы Falcongaze SecureTower Interception Server на данный компьютер.

3. Ознакомьтесь с условиями лицензионного соглашения. Если вы принимаете условия лицензионного соглашения, нажмите кнопку Далее.

4. Выберите папку установки и нажмите кнопку Далее.

5. Укажите адрес Центрального Сервера в формате ip-адрес:порт или Имя компьютера:порт и нажмите кнопку Далее.

6. Для начала процесса установки программы Falcongaze SecureTower нажмите кнопку Установить.

7. Дождитесь завершения процесса и нажмите кнопку Завершить.

Настройка сетевых адаптеров

На Сервере сетевого перехвата должно быть два сетевых адаптера: первый – для приема зеркалируемого трафика, второй – для взаимодействия с другими сервисами и клиентами продукта.

Для того чтобы обеспечить работу Сервера сетевого перехвата, в окне дополнительных настроек сетевого адаптера, выделенного для приема перехваченного трафика, необходимо отключить опцию Large Send Offload. Данная опция отвечает за снижение нагрузки на процессор компьютера при передаче больших IP-пакетов. Если она отключена, перед отправкой на сетевой адаптер IP-пакеты размером более 64 Кб разбиваются операционной системой компьютера на множество пакетов размером 1,5 Кб и передаются сетевому адаптеру. Если же данная опция включена, большие IP-пакеты направляются сетевому адаптеру напрямую без предварительной обработки операционной системой. Учитывая, что единственная задача, выполняемая Сервером сетевого перехвата – получение и обработка сетевого трафика, включение данной опции не представляется необходимым. Отключение опции Large Send Offload является существенным условием для работы Сервера сетевого перехвата, т.к. Сервер сетевого перехвата не поддерживает работу с большими IP-пакетами, вследствие чего возможна потеря части трафика.

Особенности организации перехвата сетевого трафика

Рекомендуемая схема внедрения системы перехвата на базе Сервера сетевого перехвата в существующую сеть приведена ниже.

Такая схема позволит перехватывать весь внешний сетевой трафик, который будет дублироваться на Сервер сетевого перехвата через порт зеркалирования коммутатора. Данная схема внедрения системы является рекомендуемой, так как обеспечивает оптимальное распределение функций всех подсистем продукта по сети, а также позволяет избежать дополнительной нагрузки на Сервер сетевого перехвата.