Analizatory sieci - monitoring i bezpieczeństwo

Są też bardzo pomocne przy analizowaniu ataków, określając, jaki rodzaj ataku DoS (denial-of-service) jest podejmowany na sieć, co pozwala skutecznie mu przeciwdziałać. Z drugiej (negatywnej) strony, może się nimi posłużyć użytkownik o złych intencjach, instalując analizator, aby podsłuchiwać ruch w sieci przedsiębiorstwa.

Dostępnych jest wiele darmowych komercyjnych analizatorów, takich jak: Capsa Network Analyzer, Microsoft Network Monitor czy narzędzie wiersza polecenia tcpdump. Są również komercyjne analizatory, jak np. NetScout. Natomiast standardem de facto dla przenośnych analizatorów protokołów stał się darmowy, open-source’owy Wireshark. Urządzenie to jest znane m.in. z: filtra języka, interfejsu użytkownika, wsparcia dla ponad 1100 protokołów - podkreśla jego twórca - Gary Combs, dyrektor projektów open-source w Riverbed Technology.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach

Czas na monitoring korporacyjny i zaawansowaną analizę

Nie umniejszając zalet przenośnych analizatorów protokołów, to jednak nie zaprojektowano ich do używania w skali całej sieci przedsiębiorstwa, zwłaszcza gdy weźmie się pod uwagę wiele wyzwań z nią związanych, w tym: ogromne natężenie ruchu, obsługa zróżnicowanych i złożonych aplikacji (od zarządzania ryzykiem w przedsiębiorstwie po media społecznościowe), szybkość transmisji 10 Gb/s i powyżej, wymagania wydajnościowe, bezpieczeństwa oraz w zakresie dostępności związane z obsługą transakcji finansowych, VoIP, streaming wideo itd. Trudno sobie obecnie wyobrazić ich ręczną analizę.

Żeby dowiedzieć się, co jest nie tak z daną transakcją i otrzymać pełny obraz sytuacji, trzeba przyjrzeć się kompleksowo 20 lub 100 pakietom - mówi Joel Snyder, konsultant z firmy doradczej IT Opus One. I tak, Wireshark jest integrowany z urządzeniami typu appliance firmy Riverbed , które mogą być rozmieszczane w kluczowych punktach w przedsiębiorstwie w celu monitorowania i analizowania ruchu w całej sieci.

Również NetScout oferuje w ramach swojej serii Sniffer urządzenie nadające się do analizy w skali przedsiębiorstwa, a Colasoft sprzedaje wersję enterprise narzędzia Capsa. Segment enterprise obejmuje wiele bardzo silnych produktów korporacyjnych i zestawów takich dostawców, jak: Opnet Technologies, NetScout, HP, CA, Quest, Compuware, IBM, Oracle i Nimsoft. Pozwalają one monitorować wydajność aplikacji i problemy występujące na dużą skalę w szybkich sieciach.

"Zazwyczaj to nie w sieci tkwi problem", mówi Steve Shalita, wiceprezes ds. marketingu w NetScout. "Tak naprawdę istotny jest kontekst przepływów aplikacji. Mając do czynienia z ogromnymi strumieniami danych, konieczna jest automatyzacja i posiadanie pełnego obrazu transakcji i aplikacji, a nie poszczególnych pakietów".

Narzędzia klasy enterprise uwzględniają rozległe statystyki aplikacji, obejmujące: średni czas transakcji ruchu HTTP, kwerendy DNS i czas reakcji serwera SQL, wskaźniki retransmisji, oraz kto najwięcej komunikuje się w sieci - dodaje Snyder

Narzędzia innych producentów, w tym Solera Networks, NetWitness, Niksun i Endace, zaprojektowano do przechwytywania i analizowania każdego pakietu, który przemierza sieć, zapewniając stały monitoring i pełne dane o sieci, aplikacjach i użytkownikach. Obok już wymienionych funkcji (monitorowanie aplikacji i stanu sieci), odgrywają również ważną rolę w zakresie bezpieczeństwa.

Szerokie i szczegółowe informacje, których dostarczają te rozwiązania, mogą również zostać wykorzystane przez inne narzędzia, takie jak: firewalle, systemy wykrywanie i zapobiegania włamaniom (IDS i IPS), systemy zabezpieczania informacji i monitorowania zdarzeń oraz przy analizach złośliwego oprogramowania. Dostawcy przekonują, że taki poziom widoczności jest niezbędny przy radzeniu sobie ze złożonymi problemami w zakresie bezpieczeństwa, takimi jak: zaawansowane powtarzające się zagrożenia, robak Stuxnet , szkodliwe wewnętrzne działania, boty czy wyrafinowane złośliwe oprogramowanie.


TOP 200