Współczesne sieci teleinformatyczne są bardzo rozbudowanymi strukturami, łączącymi zasoby sieciowe przedsiębiorstwa, często z wielu lokalizacji. Z uwagi na konieczność ciągłego dostępu do danych zasobów, infrastruktura sieci stała się jednym z krytycznych elementów firmy. Rozproszona architektura sieci oraz wysoki stopień jej skomplikowania powodują, że prawdopodobieństwo wystąpienia awarii znacznie wzrasta. Istotne jest więc dysponowanie odpowiednimi narzędziami służącymi do kontroli, analizowania i monitorowania sieci w czasie rzeczywistym oraz wykrywania błędów w konfiguracji i sygnalizowania o niepokojących zdarzeniach w sieci. Urządzenie lub oprogramowanie realizujące powyższe zadania jest nazywane analizatorem sieciowym. Należy zaznaczyć, że pod pojęciem analizatora sieciowego można rozumieć samo oprogramowanie do analizy sieci instalowane na niezależnej platformie sprzętowej lub urządzenie wraz z niezbędnym oprogramowaniem przeznaczone do analizowania sieci.
Główne zadania analizatora sieciowego:
- Analiza i monitorowanie sieci,
- Interpretowanie przechwyconych danych,
- Wykrywanie problemów sieciowych oraz analizy eksperckie,
- Raportowanie.
Analiza i monitorowanie sieci
Analizowanie oraz monitorowanie sieci w czasie rzeczywistym to podstawowe zadania analizatorów. Urządzenia umożliwiają obserwację wielu różnych aspektów sieci. Spośród wielu dostępnych opcji można wymienić następujące:
- Informacja o połączeniach między stacjami w danych warstwach sieciowych;
- Informacja o wielkości generowanego ruchu przez określone stacje lub połączenia;
- Informacja o używanych protokołach.
Użyteczną funkcją jest także możliwość gromadzenia statystyk. Niektóre urządzenia posiadają inną ciekawą opcję – możliwość zapisywania na dysk przechwytywanych danych w celu późniejszej ich analizy.
Interpretowanie przechwyconych danych
Profesjonalny analizator powinien interpretować w przejrzysty sposób to, co przechwytuje. Inaczej wyszukanie interesujących danych może okazać się bardzo czasochłonne. Istotnym parametrem każdego analizatora jest lista obsługiwanych warstw sieciowych, w których urządzenie może dekodować pakiety oraz interpretować otrzymane dane. Im więcej warstw urządzenie obsługuje, tym bardziej jest przydatne. Inny ważny parametr to liczba rozpoznawanych protokołów sieciowych, która w najbardziej funkcjonalnych urządzeniach liczona jest w setkach.
Wykrywanie problemów sieciowych oraz analizy eksperckie
Interpretowanie danych to nie wszystko, co oferują współczesne analizatory. Część z nich potrafi wykrywać problemy sieciowe (np. obecność w sieci pakietów o nieprawidłowym formacie, czy duplikacja adresów stacji), stawiać diagnozy oraz podpowiadać, co należy zrobić w celu usunięcia problemu. Są to tzw. analizy eksperckie. Ponadto niektóre modele potrafią przewidywać potencjalne przyszłe problemy oraz wykrywać zdarzenia mogące świadczyć o próbie ataku. Przykładem może być wykrywanie kilkukrotnego nieudanego logowania do domeny lub serwera plików dokonywane z jednej stacji.
Raportowanie
Generowanie przejrzystych raportów może być pomocne przy tworzeniu dokumentacji. Raporty mogą dotyczyć różnych aspektów, np. informacji o generowanym ruchu przez określoną stację. Często mają one postać graficzną w formie wykresów.
Typowy system analizy sieciowej składa się z urządzenia nasłuchowego (sondy) oraz konsoli zarządzającej. Konsola zarządzająca nie musi być bezpośrednio połączona z sondą, najczęściej komunikuje się ona z urządzeniem nasłuchowym poprzez sieć, co jest wygodnym rozwiązaniem dla administratorów, gdyż umożliwia zdalne zarządzanie. Sonda jest wpinana do sieci w miejscu, w którym przesyłane są dane przeznaczone do monitorowania. Zazwyczaj jest to switch, ruter lub hub. Należy zauważyć, że interfejsy sieciowe w sondach służące do nasłuchu nie posiadają przypisanych numerów IP (urządzenia są całkowicie „przezroczyste”), co powoduje, że są one trudno wykrywalne w sieci.
Sieci korporacyjne są często znacznie rozproszone, co wymusza zastosowanie wielu sond w różnych lokalizacjach. Zarządzanie zbiorem sond może odbywać się za pomocą jednej, centralnej konsoli.
Przykładową strukturę sieci oraz przykładowe rozmieszczenia sond i konsol zarządzających pokazano na rysunku poniżej.
Rys. Przykładowe rozmieszczenie sond oraz konsol zarządzających
Jednym z najlepszych urządzeń do analizy sieci jest Sniffer Distributed firmy NAI – lidera w dziedzinie analizy sieciowej.
Sniffer Distributed jest urządzeniem służącym do analizy sieci, pozwalającym na monitorowanie sieci oraz wykrywanie i diagnozowanie problemów sieciowych. Dzięki wbudowanemu modułowi Sniffer Expert można w krótkim czasie dokonać diagnozy niepokojących zdarzeń w sieci i przewidzieć potencjalne przyszłe problemy. Ponadto istnieje możliwość zapisywania określonego ruchu w celu późniejszej analizy.
Sniffer Distributed dekoduje większość współczesnych protokołów sieciowych oraz obsługuje popularne standardy sieciowe (LAN, WAN, ATM, Ethernet, Gigabit Ethernet, Token Ring itd.). Urządzenie może być zarządzane z dowolnej stacji w sieci, na której zainstalowana jest konsola zarządzająca.
Sniffer Distributed Appliance – urządzenie nasłuchowe. Jest to główny moduł systemu, odpowiedzialny za monitorowanie sieci, posiadający interfejsy do analizowanych sieci oraz konsoli zarządzającej.
Sniffer Distributed Console – konsola zarządzająca. Za pomocą konsoli zarządzającej można analizować dane przechwytywane przez urządzenie nasłuchowe (Sniffer Distributed Appliance). Konsola posiada intuicyjny i przejrzysty interfejs użytkownika i umożliwia obserwację różnych aspektów sieciowych. Wśród wielu dostępnych opcji można wymienić następujące punkty:
- Monitorowanie sieci w czasie rzeczywistym;
- Możliwość definiowania filtrów służących do przechwytywania określonych danych;
- Wykrywanie błędów sieciowych oraz ich diagnoza;
- Możliwość zapisywania przechwytywanych danych do późniejszej analizy;
- Generowanie statystyk sieciowych;
- Generowanie rozbudowanych raportów;
- Generowanie alarmów w wypadku wykrycia niepokojących zdarzeń sieciowych.
|
