Capacity ATA
Información Extraída del TechNet
dentro de la infraestructura de seguridad, tenemos esta nueva herramienta, bastante accesible para algunos clientes, y es añadir una capa adicional de seguridad a nuestras infraestructuras, con lo que podemos crear reportes sobre posibles ataques, o diversificación de la seguridad. Recordad que entre mas capas y reportes de nuestras infraestructuras no ayudaran a capacitar nuestra infraestructura a la toma de decisiones, o mitigar riesgos.
Evaluación del tamaño del centro ATA
El centro ATA requiere un mínimo de 30 días de acumulación de datos para poder analizar el comportamiento de los usuarios. Aquí se especifica el espacio en disco necesario para la base de datos de ATA por cada controlador de dominio. Si tiene varios controladores de dominio, sume el espacio en disco requerido por cada controlador de dominio para calcular la cantidad total de espacio necesario para la base de datos de ATA.
| Paquetes por segundo* | CPU (núcleos**) | Memoria (GB) | Almacenamiento de base de datos por día (GB) | Almacenamiento de base de datos por mes (GB) | E/S por segundo* * * |
|---|---|---|---|---|---|
| 1.000 | 2 | 32 | 0,3 | 9 | 30 (100) |
| 10,000 | 4 | 48 | 3 | 90 | 200 (300) |
| 40,000 | 8 | 64 | 12 | 360 | 500 (1,000) |
| 100,000 | 12 | 96 | 30 | 900 | 1,000 (1,500) |
| 400.000 | 40 | 128 | 120 | 1,800 | 2,000 (2,500) |
*Número medio diario total de paquetes por segundo de todos los controladores de dominio supervisados por todas las puertas de enlace de ATA.
- *Esto incluye los núcleos físicos, no los núcleos con Hyper-Threading.
-
- *Promedios (Cantidades máximas)
Elegir el tipo de puerta de enlace correcto para la implementación
En una implementación de ATA se admite cualquier combinación de los tipos de puerta de enlace de ATA:
- Solo puertas de enlace de ATA
- Solo puertas de enlace ligeras de ATA
- Una combinación de ambas
Al decidir el tipo de implementación de puerta de enlace, tenga en cuenta lo siguiente:
| Tipo de puerta de enlace | Ventajas | Coste | Topología de implementación | Uso de controlador de dominio |
|---|---|---|---|---|
| Puerta de enlace de ATA | La implementación Fuera de banda dificulta que los atacantes detecten que ATA está presente | Superior | Instalada junto al controlador de dominio (fuera de banda) | Admite un máximo de 50.000 paquetes por segundo |
| Puerta de enlace ligera de ATA | No requiere un servidor dedicado ni la configuración de creación de reflejo del puerto | Minúscula | Instalada en el controlador de dominio | Admite un máximo de 10.000 paquetes por segundo |
A continuación, se exponen ejemplos de escenarios en los que la puerta de enlace ligera de ATA debería cubrir los controladores de dominio:
- Sucursales
- Controladores de dominio virtuales implementados en la nube (IaaS)
A continuación, se exponen ejemplos de escenarios en los que la puerta de enlace de ATA debería cubrir los controladores de dominio:
- Centros de datos de sedes centrales (con controladores de dominio con más de 10.000 paquetes por segundo)
Tamaño de la puerta de enlace ligera de ATA
Una puerta de enlace ligera de ATA puede admitir la supervisión de un controlador de dominio según la cantidad de tráfico de red que genera el controlador de dominio.
| Paquetes por segundo* | CPU (núcleos**) | Memoria (GB)*** |
|---|---|---|
| 1.000 | 2 | 6 |
| 5 000 | 6 | 16 |
| 10,000 | 10 | 24 |
*Número total de paquetes por segundo en el controlador de dominio supervisados por la puerta de enlace ligera de ATA específica.
**Cantidad total de núcleos que no funcionen con Hyper Threading que tiene instalada el controlador de dominio.
Aunque Hyper Threading es aceptable para la puerta de enlace ligera de ATA, al planear la capacidad, debe contar núcleos reales y no núcleos que funcionan con Hyper Threading.
***Cantidad total de memoria que tiene instalada el controlador de dominio.
Evaluación del tamaño de la puerta de enlace de ATA
Tenga en cuenta lo siguiente al decidir cuántas puertas de enlace de ATA necesita implementar.
- Bosques y dominios de Active Directory
ATA puede supervisar el tráfico de varios dominios de un único bosque de Active Directory. Para supervisar varios bosques de Active Directory se necesitan implementaciones de ATA independientes. No se recomienda configurar una única implementación de ATA para supervisar el tráfico de red de controladores de dominio de diferentes bosques. - Duplicación de puertos
Consideraciones sobre la creación de reflejo del puerto pueden requerir que implemente varias puertas de enlace de ATA por centro de datos o sucursal. - Capacidad
Una puerta de enlace de ATA permite supervisar varios controladores de dominio, según la cantidad de tráfico de red hacia y desde los controladores de dominio bajo supervisión.
| Paquetes por segundo* | CPU (núcleos**) | Memoria (GB) |
|---|---|---|
| 1.000 | 1 | 6 |
| 5 000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50.000 | 16 | 48 |
*Número medio total de paquetes por segundo de todos los controladores de dominio supervisados por la puerta de enlace de ATA específica durante la hora del día más ocupada.
- La cantidad total del tráfico con puerto reflejado del controlador de dominio no puede superar la capacidad de la NIC de captura en la puerta de enlace de ATA.
*Hyper-Threading debe estar deshabilitado.
Estimación del tráfico del controlador de dominio
Hay varias herramientas que puede usar para detectar el promedio de paquetes por segundo de los controladores de dominio. Si no dispone de herramientas que lleven un seguimiento de este contador, puede usar el Monitor de rendimiento para recopilar la información necesaria.
Para averiguar el número de paquetes por segundo, haga lo siguiente en cada controlador de dominio:
- Abra el Monitor de rendimiento.
- Expanda Conjuntos de recopiladores de datos.
- Haga clic con el botón derecho en Definido por el usuario y seleccione Nuevo > Conjunto de recopiladores de datos.
- Escriba un nombre para el conjunto de recopiladores y seleccione Crear manualmente (avanzado).
- En ¿Qué tipo de datos desea incluir?, seleccione Crear registros de datos – Contador de rendimiento.
- En ¿Qué contadores de rendimiento desea registrar?, haga clic en Agregar.
- Expanda Adaptador de red, seleccione Paquetes/s y seleccione la instancia adecuada. Si no está seguro, puede seleccionar <Todas las instancias> y hacer clic en Agregar y Aceptar.
Nota
Para ello, en una línea de comandos, ejecute
ipconfig /allpara ver el nombre del adaptador y la configuración.
- Cambie el Intervalo de muestra a 1 segundo.
- Indique la ubicación en la que quiera guardar los datos.
- En ¿Desea crear el conjunto de recopiladores de datos?, seleccione Iniciar ahora este conjunto de recopiladores de datos y haga clic en Finalizar.De este modo, ahora debería ver el conjunto de recopiladores de datos que acaba de crear con un triángulo verde, señal de que funciona.
- Transcurridas 24 horas, detenga el conjunto de recopiladores de datos; para ello, haga clic con el botón derecho en él y seleccione Detener.
- En el Explorador de archivos, vaya a la carpeta donde guardó el archivo .blg y haga doble clic en él para abrirlo en el Monitor de rendimiento.
- Seleccione el contador Paquetes/s y registre los valores promedio y máximo.
En los siguientes días comprobaremos como instar y configurar con mas detalles de como realizar esta herramienta de mucha utilidad.
