Analizatory protokołów: jak ich używać?
- Józef Muszyński,
- IDG News Service,
- 22.06.2011, godz. 08:45
Analizatory protokółów pozwalają zajrzeć do sieci. Zawartość pakietów i zmieniające się trendy mogą dostarczyć cennych informacji o jej kondycji czy nawet o atakach na nią. Jak je implementować w sieci?
Tak jak każde inne narzędzie, również analizatory protokołów wymagają umiejętnej implementacji.
Zobacz również:
Wiedza
Potrzebujemy specjalistów dysponujących wiedzą odnośnie efektywnego wykorzystania narzędzi analizy protokołów do lokalizowania problemów sieciowych, strojenia zapór ogniowych i innych urządzeń bezpieczeństwa, a także śledzenia przypadków atakowania sieci przedsiębiorstwa.
Zobacz też: Jeśli coś działa, lepiej zostaw to w spokoju
W dużych organizacjach łatwiej można znaleźć fachowców z odpowiednimi kwalifikacjami, gwarantujących możliwość efektywnego użycia tych narzędzi, ale generalnie są oni rzadkością. Wielu administratorów sieci może mieć trudności z wykorzystaniem informacji dostarczanej przez takie narzędzie. Na wagę złota będą specjaliści z dużym doświadczeniem w konfigurowaniu zapór sieciowych i systemów wykrywania wtargnięć. Osoby takie powinny wykazywać się gruntowną znajomością protokołów i zasad ich działania, aby móc szybko sprawdzać wychwycone pakiety,lokalizować problem i usuwać go.
Poszukiwać należy osób biegle posługujących się schematem modelu OSI - pracownicy działów IT to często "wąscy" specjaliści: np. programiści specjalizujący się w warstwie aplikacyjnej czy zespół operacji sieciowych, który zna sieć i warstwę transportową. Jednak przy lokalizowaniu problemów trzeba bardzo szybko i sprawnie nawigować przez cały stos protokołów - od warstwy fizycznej do warstwy aplikacyjnej.
Polecamy: Dziewięć zasad wytrawnego administratora Uniksa
Jeżeli nie dysponujemy dostatecznymi umiejętnościami w zakresie analizy protokołów, pozwalającymi efektywnie analizować wszystkie operacje sieciowe, warto rozważyć wynajęcie konsultanta, zwłaszcza przy nowych projektach, obejmujących wprowadzenie nowych usług, lub do prowadzenia śledztw po większych incydentach związanych z bezpieczeństwem.
Odpowiednia skala narzędzia
W dużych, rozproszonych środowiskach i przy braku dostatecznej liczby własnych analityków, waro inwestować w analizatory protokołów lub produkty monitorowania i analizy klasy enterprise. Luka umiejętności w tym zakresie stale się powiększa i scenariusz, w którym technicy wyposażeni w analizatory są przerzucani z jednego oddziału zamiejscowego do innego jest już dzisiaj anachroniczny.
Specjalizowane urządzenia analizujące dla przedsiębiorstw pozwalają na przechwytywanie i gromadzenie danych z całej sieci, wykonywanie pewnych analiz automatycznie i lokalizowanie problemów z dowolnego miejsca sieci przedsiębiorstwa.
Analizator nie od parady
Wielu użytkowników korzysta z tych narzędzi w ostateczności - przechwytywanie pakietów to ostatnia rzecz, o jakiej myślą. Często jest też tak, że przez dłuższy czas nie mają nawet ustawionego portu lustrzanego do wychwytywania ruchu. Te narzędzia mają pomagać a nie być ozdobą. Należy je traktować jako integralne części swojej sieci, aplikacji i procedur bezpieczeństwa.
Poziom odniesienia
Ustalimy poziom odniesienia dla normalnego ruchu sieciowego i zachowań aplikacji, aby można było szybko i dokładnie ocenić na czym polega problem, poinformować odpowiednią osobę, odpowiedzialną za bezpieczeństwo, i uruchomić odpowiednie procedury śledzące i naprawcze. Aby skorzystać z analizatora musimy wiedzieć, co jest normą, a co od niej odbiega. Zaleca się więc przechowywanie plików z danymi przechwyconymi w normalnym dniu pracy, które mogą pomóc w analizie (porównawczej) problemu.