Analizatory sieci - monitoring i bezpieczeństwo

Gdy użytkownicy skarżą się, że sieć jest powolna, często przyczyną nie jest sama sieć, lecz problem tkwi w aplikacji lub dotyczy bezpieczeństwa (np. atak DoS). Analizatory protokołów oraz ich starsi bracia - narzędzia do monitorowania klasy enterprise pomagają utrzymywać nowoczesne sieci w dobrej kondycji i bezpieczeństwie.

Analizatory protokołów są bardzo pomocne wtedy, gdy sieć nie działa poprawnie. Doświadczeni administratorzy sieci za ich pomocą mogą badać w czasie rzeczywistym ruch w sieci lub analizując zapisany plik z przechwytanymi pakietami dowiedzieć się, dlaczego połączenia są przerywane, użytkownicy skarżą się na powolność sieci lub brak dostępu do serwera plików, czy problemy z VoIP.

Podczas gdy sieciowi guru od rozwiązywania problemów i debugowania nadal używają przenośnych analizatorów uruchamianych na swoich laptopach, narzędzia klasy enterprise pozwalają na stałe monitorowanie stanu i bezpieczeństwa sieci, oraz złożonych i wrażliwych na opóźnienia aplikacji biznesowych działających w firmowej sieci.

Zobacz również:

  • DRC - czym jest i kto powinien się nim zainteresować?

Na początku był sniffer

To co znamy, jako analizatory protokołów dotychczas powszechnie określało się (i nadal tak się czasami robi) jako packet sniffers - narzędzia do przechwytywania pakietów, choć Sniffer obecnie to marka produktów firmy NetScout Systems. Obecnie analizatory wyewoluowały do poziomu daleko wykraczającego poza możliwości tylko przechwytywania pakietów, które określała początkowa nazwa.

Mike Chapple, doradca wiceprezesa na Uniwersytecie Notre Dame wskazuje analogię między analizatorami protokołów a ewolucją firewalli. "Mieliśmy filtrowanie pakietów w zaporach, a następnie inspekcję stanu pakietów (stateful inspection) i proxy aplikacji. Narzędzia do analizowania sieci przebyły podobną ewolucję, zaczynającą się od wychwytywania pojedynczych pakietów pozbawionych kontekstu - bez zrozumienia, co było przed, a co po. Obecnie narzędzia potrafią rozpoznawać kontekst".

Protokoły analizatorów przechwytują dane (za pomocą spanning tool) z określonego portu lub segmentu sieci, powielają je w czytelnej formie oraz zapewniają pewien poziom analizy, eksponując kluczowe informacje. Są to przede wszystkim narzędzia do rozwiązywania problemów w sieci i debugowania, pomagające wyjaśnić przyczynę problemów z wydajnością, błędów protokołu, nie działających usług sieciowych (np. DHCP), czy nieprawidłowo przekierowywanego ruchu w wirtualnej sieci.

Są one często stosowane przy wprowadzaniu nowej usługi lub dokonywaniu zmian w już działającej, kiedy błędy związane z wdrażaniem i konfigurowaniem są najbardziej prawdopodobne. W niektórych przypadkach winowajcą może być nawet źle napisana lub niekompletna dokumentacja, dlatego administratorzy muszą z bliska przyjrzeć się ruchowi w sieci, aby dokładnie dowiedzieć się, co się dzieje.

Przenośne analizatory protokołów to przede wszystkim narzędzia sieciowe, ale są również przydatne przy rozwiązywaniu problemów oraz dostrajaniu produktów bezpieczeństwa, takich jak zapory ogniowe i systemy wykrywania wtargnięć (IDS). W działającym systemie z analizatorem podłączonym po obu stronach zapory, widać dokładnie, które pakiety przechodzą i można ustalić, co jest przyczyną problemów z dostępem: nieprawidłowo blokowany autoryzowany ruch, czy też jest to nieupoważniony lub potencjalnie szkodliwy ruch, który powinien być wyeliminowany.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200