Мониторинг и анализ локальных сетей

Программное обеспечение анализатора состоит из ядра, поддерживающего работу сетевого адаптера и программного обеспечения, декодирующего протокол канального уровня, с которым работает сетевой адаптер, а также наиболее распространенные протоколы верхних уровней, например IP, TCP, ftp, telnet, HTTP, IPX, NCP, NetBEUI, DECnet и т. п. В состав некоторых анализаторов может входить также экспертная система, которая позволяет выдавать пользователю рекомендации о том, какие эксперименты следует проводить в данной ситуации, что могут означать те или иные результаты измерений, как устранить некоторые виды неисправности сети.

Анализаторы протоколов имеют некоторые общие свойства.

· Возможность (кроме захвата пакетов) измерения среднестатистических показателей трафика в сегменте локальной сети, в котором установлен сетевой адаптер анализатора.

· Обычно измеряется коэффициент использования сегмента, матрицы перекрестного трафика узлов, количество хороших и плохих кадров, прошедших через сегмент.

· Возможность работы с несколькими агентами, поставляющими захваченные пакеты из разных сегментов локальной сети. Эти агенты чаще всего взаимодействуют с анализатором протоколов по собственному протоколу прикладного уровня, отличному от SNMP или CMIP.

· Наличие развитого графического интерфейса, позволяющего представить результаты декодирования пакетов с разной степенью детализации.

· Фильтрация захватываемых и отображаемых пакетов. Условия фильтрации задаются в зависимости от значения адресов назначения и источника, типа протокола или значения определенных полей пакета. Пакет либо игнорируется, либо записывается в буфер захвата. Использование фильтров значительно ускоряет и упрощает анализ, так как исключает захват или просмотр ненужных в данный момент пакетов.

· Использование триггеров. Триггеры -- это задаваемые администратором некоторые условия начала и прекращения процесса захвата данных из сети. Такими условиями могут быть: время суток, продолжительность процесса захвата, появление определенных значений в кадрах данных. Триггеры могут использоваться совместно с фильтрами, позволяя более детально и тонко проводить анализ, а также продуктивнее расходовать ограниченный объем буфера захвата.

· Многоканальность. Некоторые анализаторы протоколов позволяют проводить одновременную запись пакетов от нескольких сетевых адаптеров, что удобно для сопоставления процессов, происходящих в разных сегментах сети.

Возможности анализа проблем сети на физическом уровне у анализаторов протоколов минимальные, поскольку всю информацию они получают от стандартных сетевых адаптеров. Поэтому они передают и обобщают информацию физического уровня, которую сообщает им сетевой адаптер, а она во многом зависит от типа сетевого адаптера.

Некоторые сетевые адаптеры сообщают более детальные данные об ошибках кадров и интенсивности коллизий в сегменте, а некоторые вообще не передают такую информацию верхним уровням протоколов, на которых работает анализатор протоколов.

С распространением серверов Windows NT все более популярным становится анализатор Network Monitor фирмы Microsoft. Он является частью сервера управления системой SMS, а также входит в стандартную поставку Windows NT Server, начиная с версии 4.0 (версия с усеченными функциями). Network Monitor в версии SMS является многоканальным анализатором протоколов, поскольку может получать данные от нескольких агентов Network Monitor Agent, работающих в среде Windows NT Server, однако в каждый момент времени анализатор может работать только с одним агентом, так что сопоставить данные разных каналов с его помощью не удастся. Network Monitor поддерживает фильтры захвата (достаточно простые) и дисплейные фильтры, отображающие нужные кадры после захвата (более сложные). Экспертной системой Network Monitor не располагает.

2.3 Сетевые анализаторы.

Сетевые анализаторы представляют собой эталонные измерительные приборы для диагностики и сертификации кабелей и кабельных систем. Они могут с высокой точностью измерить все электрические параметры кабельных систем, а также работают на более высоких уровнях стека протоколов. Сетевые анализаторы генерируют синусоидальные сигналы в широком диапазоне частот, что позволяет измерять на приемной паре амплитудно-частотную характеристику и перекрестные наводки, затухание и суммарное затухание. Сетевой анализатор представляет собой лабораторный прибор больших размеров, достаточно сложный в обращении.

Многие производители дополняют сетевые анализаторы функциями статистического анализа трафика -- коэффициента использования сегмента, уровня широковещательного трафика, процента ошибочных кадров, а также функциями анализатора протоколов, которые обеспечивают захват пакетов разных протоколов в соответствии с условиями фильтров и декодирование пакетов.

3. Аудит и его необходимость.

Аудит (аудит информационных систем), как таковой, является комплексной проверкой, исследованием всей ИТ-инфраструктуры и ее сегментов на вашем предприятии, для оценки ее состояния на момент аудита, уровня соответствия современным требованиям и безнес-процессам компании.

Необходимость ИТ Аудита очевидна — качество и соответствие требованиям вашей ИТ-инфраструктуры напрямую влияет на производительность труда персонала компании. От правильности настройки и работы даже одного компьютера, порой зависит организация рабочего дня целого отдела.

Кроме этого, ИТ Аудит поможет выявить слабые места в организации безопасности ваших сетей, определить необходимые действия для защиты ваших коммерческих тайн.

3.1 Производительность системы.

Одна из целей ИТ Аудита — определение производительность вашей системы. Иногда руководитель не подозревает, сколько времени впустую тратит сотрудник, работающие на устаревшим или неправильно настроенном оборудовании, только на то, чтобы работать параллельно с 1С или дождаться документа, посланного на сетевой принтер.

Исследования показывают, что от неправильно настроенного или устаревшего оборудования, один сотрудник может терять от 10% до 30% рабочего времени, а это от 18 до 52 рабочих часов в месяц! То есть, один ваш сотрудник в среднем 35 часов в месяц может работать абсолютно не эффективно. 4 с половиной рабочих дня!

Именно поэтому модернизацию ИТ-инфраструктуры нельзя рассматривать как затраты. Очевидно, что это ваши инвестиции в свой эффективный бизнес, повышение производительности труда ваших сотрудников. Именно для выявления таких недочетов ИТ-инфраструктуре и существует наш ИТ Аудит.

3.2 Комплексный аудит сети.

Комплексный аудит сети включает как пассивный мониторинг так и тест на проникновение и позволяет обеспечить наиболее высокую степень экспертной оценки уровня защищенности сети. При проведении данных работ специалисты не ограничиваются только поиском уязвимостей в отдельных узлах сети, а выполняют анализ всей сетевой инфраструктуры заказчика и формируют рекомендации по ее оптимизации с точки зрения обеспечения информационной безопасности.

Результатом комплексного аудита может быть проект оптимизированной архитектуры корпоративной сети заказчика либо рекомендации по доработкам существующей архитектуры с учетом текущих требований.

 

4. Общесистемное управление.

Как ни парадоксально это звучит, на производительность сети влияет не только сеть, но и другое оборудование. Кроме отслеживания работы самой сети, следует большое внимание уделять жестким дискам и оперативной памяти на серверах.

Жесткий диск. Из трех перечисленных выше инструментов, для отслеживания характеристик жесткого диска наиболее полезен Performance Monitor. Обычно отслеживаются следующие характеристики: оставшееся дисковое пространство, скорость обработки запросов (это и средняя пропускная способность, и количество переданных данных), частота занятости диска (как частота его работы, так и среднее количество запросов в очереди диска). При мониторинге необходимо обратить внимание, какой диск отслеживается: физический или логический. Также не все счетчики будут доходить до 100%, так как считывание с многих логических дисков может давать суму свыше 100% для всего физического диска. Иногда требуется использовать средний результат. (Внимание: перед использованием счетчиков дисков следует исполнить команду diskperf).

Оперативная память. Оперативная память сервера требуется для обслуживания входящих запросов. Windows NT спроектирована так, чтобы сбрасывать из памяти на диск (в swap file) не используемые в данный момент данные. Если серверу приходится сбрасывать на диск слишком много данных, имеет смысл установить дополнительную память. Существует два типа ошибок обращения к странице. Программные ошибки происходят, когда данные удалены из рабочего множества (working set) программы и перемещены в другую область физической памяти. Операция по возвращению данных в рабочее множество является очень быстро. Аппаратные ошибки обращения к странице происходят когда данные убраны после того, как долго оставались неиспользованными, или когда имеется такая недостача физической памяти, что данные программ фактически хранятся на диске. Считывание данных с диска занимает на порядок больше времени, чем считывание из памяти. Таким образом, важно измерять частоту появления ошибок обращения к странице памяти.

4.1 Управление безопасностью сети.

Управление безопасностью сети направлено на защиту данных и оборудования в сети. Оно включает в себя аппаратные, программные и административные средства для уменьшения опасности изнутри или снаружи организации. Можно привести некоторые примеры опасностей:

- несанкционированный внутренний  или внешний доступ к документам  организации;

- воровство или уничтожение  данных;

- воровство, несанкционированное  использование или повреждение  компьютеров и сетевых устройств.

Управление безопасностью сети решает следующие задачи:

- определение возможных  опасностей и их последствий;

- разработка и внедрение  политики защиты компьютерной  сети;

- администрирование учетных  записей пользователей;

- использование различных  средств для слежения за деятельностью пользователей и оповещения о сомнительных действиях пользователей.

Для реализации политики защиты необходимо идентифицировать пользователей и ресурсы сети с помощью различных схем сетевого наименования.

Схемы сетевого наименования. Каждому компьютеру в сети должно быть присвоено имя, чтобы он мог взаимодействовать с другими компьютерами в сети. Кроме того, имена нужны пользователям сети для работы с разделенными (shared) ресурсами. Сетевые имена могут быть разделены на следующие категории: учетные записи, компьютеры, ресурсы.

Учетные записи. Учетная запись представляет собой объединение всей информации, относящейся к пользователю или группе пользователей в сети. Обычно она состоит из имени пользователя, пароля, прав пользователя и сведений об участии в группах. Учетные записи создаются администратором. Пользователь не должен предоставлять другим пользователям свой пароль.

Имена компьютеров. Каждый компьютер в сети может иметь много имен в зависимости от того, какой процесс, протокол или устройство взаимодействует с ним в данный момент. Поскольку не все части сети используют одинаковые схемы наименования, необходима система, преобразующая (разрешающая) одни типы имен и адресов в другие. Существует несколько стандартов разрешения имен.

Компьютерные имена NetBIOS. Каждый компьютер в сети Microsoft использует компьютерное имя, длиной до 15 символов (также его называют именем NetBIOS). Эти имена относят к прикладному уровню OSI. Сети, использующие стек TCP/IP должны разрешить имя компьютера в адрес IP, прежде чем сможет произойти сетевое взаимодействие. Windows Internet Name Service (WINS) или Domain Name Service (DNS) могут быть использованы для разрешения компьютерных имен в адреса.

Windows Internet Name Service. WINS – служба, разрешающая компьютерные имена NetBIOS в адреса IP. Эта служба запускается на сервере Windows NT в сети и динамически разрешает имена так, чтобы компьютеры могли взаимодействовать друг с другом. WINS – это служба типа клиент-сервер, клиент регистрирует свое компьютерное имя на сервере WINS в процессе загрузки. Когда клиенту WINS нужно обнаружить компьютер в сети, он может запросить сервер WINS.

Domain Name Service. Служба DNS похожа на WINS в том что она также разрешает компьютерные имена в адреса IP. В DNS эти имена называются именами хостов (host names) или fully qualified domain names (FQDN – полное имя узла). Если компьютерные имена NetBIOS состоят из одной части, то стек TCP/IP опирается на соглашение по наименованию, известное как Domain Name System. FQDN представляет собой иерархическое имя, использующее формат hostname.domainname, например microsoft.com. Windows NT может сочетать компьютерное имя NetBIOS с именем домена DNS для формирования FQDN. В Windows NT 4.0 DNS представляет собой статическую службу, то есть необходимо вручную ввести имена и адреса IP прежде чем сервер DNS сможет их разрешить. Сервер DNS может также запрашивать другие серверы DNS, чтобы получить частичное разрешение для имени компьютера. Например, один сервер может разрешить часть имени kirov.ru, другой – разрешить часть vspu.

В дополнение к WINS и DNS, для разрешения имен в адреса IP могут быть использованы файлы LMHOSTS и HOSTS.

Файлы LMHOSTS и HOSTS

Эти файлы хранятся обычно на клиентском компьютеры. Они должны быть вручную созданы или изменены и помещены в соответствующий каталог (в Windows95 – каталог Windows, в Windows NT - %systemroot%\System32\Drivers\etc). Файл LMHOSTS обычно отвечает за разрешение имен NetBIOS в адреса IP. Файл HOSTS – разрешает имена хостов и имена FQDN в адреса IP.

Имена ресурсов. Каждый ресурс можно идентифицировать по имени. Например, «Принтер, установленный в 411 кабинете». Лучше назначать имена, по которым пользователи легко могут понять, к какому объекту они получают доступ. Обычно именованными ресурсами бывают принтеры, диски и каталоги.