Na redakční otázky odpovídá Jiří Tobola, obchodní ředitel, INVEA-TECH

1) Jaké by měly být hlavní cíle monitoringu sítě?

Dlouhá léta byl synonymem pro monitorování sítě protokol SNMP, který ale poskytuje pouze základní informace typu kolik paketů prošlo kterou linkou. Dnes však existují modernější a daleko efektivnější nástroje, které umožňují detailní pohled do síťového provozu a výsledkem jejich nasazení je nejen detailní přehled o dění v síti, ale také zvýšení bezpečnosti, odhalení vnitřních i vnějších bezpečnostních hrozeb, optimalizace síťové infrastruktury, dohled nad využitím sítě (Internet/WAN/LAN) či efektivnější správa sítě a troubleshooting. Cílem pro nasazení takovýchto pokročilých monitorovacích systémů jsou vždy úspora financí vynaložených na správu a provoz počítačové sítě, usnadnění práce síťových administrátorů a zvýšení spokojenosti koncových uživatelů a zákazníků.

2) Co všechno lze z monitoringu sítě vyčíst z hlediska zajištění bezpečnosti?

Mnoho administrátorů považují monitoring a bezpečnost za dvě různé disciplíny, nicméně opak je pravdou. Pokročilý monitoring síťového provozu umožňuje nejen detekovat klasické vnější útoky typu DOS, DDOS či útoky vůči různým službám, ale umožňuje navíc velmi efektivní boj s útoky vnitřními. Zatímco perimetr většiny organizací bývá dobře zabezpečen (firewall, IDS/IPS, UTM), vnitřní síť většinou skrývá mnoho hrozeb a přitom není nijak monitorována ani zabezpečena. Příkladem těchto hrozeb jsou například zavirované počítače, počítače rozesílající spamy nebo i vlastní uživatelé lokálních sítí provádějící nežádoucí aktivity.

Velmi důležitým bodem jsou také behaviorální analýza síťového provozu a detekce anomálií. Mnoho průzkumů ukázalo, že nejslabším článkem zabezpečení IT infrastruktury je lidský faktor a pokud se někomu podaří získat například pomocí sociálního inženýrství heslo uživatele tak následné stažení databáze se všemi důležitými firemními informacemi nemůže být firewallem či IDS systémem rozpoznáno. Při behaviorální analýze se monitorovací systém naučí jak vypadají standardní komunikace jednotlivých prvků v síti a pokud dojde k výrazné změně chování, tak je administrátor či bezpečnostní technik okamžitě upozorněn.

3) Je vhodné propojit monitoring a řízení sítě, nebo jde o dvě nezávislé oblasti?

Toto propojení je samozřejmě účelné tam, kde zákazník naráží na nedostatečnou přenosovou kapacitu linek, například u připojení k internetu. V lokální síti spíše platí, že pokud se objeví problém, je nutné jej efektivně detekovat a odstranit na zdroji, tj. tam kde vzniká.

4) Jak správně přistupovat k monitoringu sítě? Jaké a jak nasadit technologie/prostředky?

Určitě je vhodné obrátit se na odborníky z dané oblasti, neb jejich zkušenosti finálně zákazníkovi ušetří spoustu času i peněz. Při výběru systémového integrátora by si měl být zákazník jistý, že daný partner má v oblasti monitoringu potřebné know-how. Pokud bude partner tvrdit že tím nej je SNMP protokol, tak určitě doporučuji obrátit se na jiného partnera, kterému nejsou cizí pojmy jako monitorování toků či moderní technologie NetFlow.

Lidský faktor | Monitoring