To co dzisiaj nazywamy analizatorami protokołów jeszcze niedawno określano mianem "snifferów". Obecnie Sniffer jast marką produktów NetScout Systems, a ponadto analizatory protokołów rozwinęły się i ich funkcje daleko wykraczają poza możliwość wychwytywania pakietów. Analizatory protokółów wychwytują dane na szczególnych portach lub w segmentach sieci, przetwarzają je i pozwalają na szczegółową analizę.

Tak jak każde inne narzędzie, również analizatory protokołów wymagają umiejętnej implementacji.

Zobacz również:

• Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania

Wiedza

Potrzebujemy specjalistów dysponujących wiedzą odnośnie efektywnego wykorzystania narzędzi analizy protokołów do lokalizowania problemów sieciowych, strojenia zapór ogniowych i innych urządzeń bezpieczeństwa, a także śledzenia przypadków atakowania sieci przedsiębiorstwa.

Zobacz też: Jeśli coś działa, lepiej zostaw to w spokoju

W dużych organizacjach łatwiej można znaleźć fachowców z odpowiednimi kwalifikacjami, gwarantujących możliwość efektywnego użycia tych narzędzi, ale generalnie są oni rzadkością. Wielu administratorów sieci może mieć trudności z wykorzystaniem informacji dostarczanej przez takie narzędzie. Na wagę złota będą specjaliści z dużym doświadczeniem w konfigurowaniu zapór sieciowych i systemów wykrywania wtargnięć. Osoby takie powinny wykazywać się gruntowną znajomością protokołów i zasad ich działania, aby móc szybko sprawdzać wychwycone pakiety,lokalizować problem i usuwać go.

Poszukiwać należy osób biegle posługujących się schematem modelu OSI - pracownicy działów IT to często "wąscy" specjaliści: np. programiści specjalizujący się w warstwie aplikacyjnej czy zespół operacji sieciowych, który zna sieć i warstwę transportową. Jednak przy lokalizowaniu problemów trzeba bardzo szybko i sprawnie nawigować przez cały stos protokołów - od warstwy fizycznej do warstwy aplikacyjnej.

Polecamy: Dziewięć zasad wytrawnego administratora Uniksa

Jeżeli nie dysponujemy dostatecznymi umiejętnościami w zakresie analizy protokołów, pozwalającymi efektywnie analizować wszystkie operacje sieciowe, warto rozważyć wynajęcie konsultanta, zwłaszcza przy nowych projektach, obejmujących wprowadzenie nowych usług, lub do prowadzenia śledztw po większych incydentach związanych z bezpieczeństwem.

Odpowiednia skala narzędzia

W dużych, rozproszonych środowiskach i przy braku dostatecznej liczby własnych analityków, waro inwestować w analizatory protokołów lub produkty monitorowania i analizy klasy enterprise. Luka umiejętności w tym zakresie stale się powiększa i scenariusz, w którym technicy wyposażeni w analizatory są przerzucani z jednego oddziału zamiejscowego do innego jest już dzisiaj anachroniczny.

Specjalizowane urządzenia analizujące dla przedsiębiorstw pozwalają na przechwytywanie i gromadzenie danych z całej sieci, wykonywanie pewnych analiz automatycznie i lokalizowanie problemów z dowolnego miejsca sieci przedsiębiorstwa.

Analizator nie od parady

Wielu użytkowników korzysta z tych narzędzi w ostateczności - przechwytywanie pakietów to ostatnia rzecz, o jakiej myślą. Często jest też tak, że przez dłuższy czas nie mają nawet ustawionego portu lustrzanego do wychwytywania ruchu. Te narzędzia mają pomagać a nie być ozdobą. Należy je traktować jako integralne części swojej sieci, aplikacji i procedur bezpieczeństwa.

Poziom odniesienia

Ustalimy poziom odniesienia dla normalnego ruchu sieciowego i zachowań aplikacji, aby można było szybko i dokładnie ocenić na czym polega problem, poinformować odpowiednią osobę, odpowiedzialną za bezpieczeństwo, i uruchomić odpowiednie procedury śledzące i naprawcze. Aby skorzystać z analizatora musimy wiedzieć, co jest normą, a co od niej odbiega. Zaleca się więc przechowywanie plików z danymi przechwyconymi w normalnym dniu pracy, które mogą pomóc w analizie (porównawczej) problemu.