Autor: Peter Kovalčík, Pruduct Manager IT Security, DNS a.s.

Medzi súčasné trendy moderných počítačových LAN sietí patrí jednoznačne prudký nárast aplikácií typu klient-server. Aplikácie sa presúvajú z personálnych staníc na dedikované servere, vznikajú obrovské dátové úložiská; vďaka virtualizácii a cloud computingu sa služby dostávajú pod jedno prístupové miesto. Vplyvom týchto zmien sa výrazne mení spôsob využívania siete - množstvo informácií prenášaných skrz sieť výrazne stúpa, vzniká veľké množstvo spojení, záťaž sa koncentruje v miestach dátových centier. Architektúra a návrh sietí sa musí týmto požiadavkám neustále prispôsobovať a byť v plnom súlade s požiadavkami biznisu. Zabezpečenie vysokej dostupnosti a bezpečnosti siete je priamo kritické a ich strata má často krát za následok nemalé finančné straty pre firmu. A práve preto je permanentné monitorovanie stavu siete, analýza týchto dát, riadenie a plánovanie rozvoja nevyhnuté.

Ciele

Medzi hlavné ciele monitoringu siete patrí:
• Zabezpečenie vysokej dostupnosti siete
• Zabezpečenie bezpečnosti siete
• Reporting

Zabezpečenie vysokej dostupnosti siete je tou najkritickejšou požiadavkou. Je nutné permanentne monitorovať stav jednotlivých serverov, dátových úložísk, aktívnych prvkov a dátových liniek. Administrátor musí mať možnosť monitorovať stavy a aktivity všetkých staníc, sledovať dátové toky v sieti a vyťaženosť jednotlivých liniek. Moderný monitorovací systém musí byť schopný sledovať aktivity všetkých užívateľov, umožniť im nastaviť profily správania, detekovať anomálie v ich chovaní a následne tak pomáhať identifikovať rôzne druhy DoS útokov, úniku firemných dát, šírenie spamu, červov, vírusov a malware. Veľmi dôležitým faktorom je schopnosť integrácie monitorovacieho systému so zariadeniami tretích strán a to hlavne za účelom zberu logov a prevencie bezpečnostných incidentov. V takomto prípade, by mal systém ponúkať možnosť zberu dát, korelácie a analýzy jednotlivých bezpečnostných udalostí.

Monitoring a riadenie siete

Ako sme už v úvode zmienili, architektúra a návrh sietí sa musí neustále prispôsobovať požiadavkám biznisu. Ak chceme spĺňať tieto požiadavky, musíme sieť za týmto účelom riadiť -  to bez dôkladného monitoringu bohužiaľ nejde. Monitoring nám poskytuje informácie o súčasnom stave siete, aktivitách, využívaní jednotlivých zdrojov, bezpečnosti a o tom, či dostupnosť a efektivita služieb skutočne odpovedajú požiadavkám biznisu. Tieto informácie potom slúžia ako vstupné dáta auditným, alebo analytickým tímom, ktorí na základe nich navrhujú zmeny a plánovanie siete.
 
Prístup, technológie a prostriedky

Pri technologickom návrhu monitoringu siete je dôležité si položiť otázku, čo všetko a akým spôsobom chceme monitorovať. Chceme monitorovať len stavy jednotlivých sieťových aktív? Alebo aj dostupnosti a reakčné doby IT služieb? Analýzu sieťovej prevádzky? Vyťaženosť liniek? Detekciu anomálneho chovania? Detekciu bezpečnostných prienikov? Zber a koreláciu bezpečnostných logov?  Reporting?

Práve od týchto požiadaviek sa odvíja návrh a voľba technologických prostriedkov. Základnou požiadavkou pre monitorovací systém je schopnosť zberu dát zo všetkých zariadení na sieti. Pre analýzu sieťovej prevádzky a vyťaženosti liniek môžeme použiť informácie získané z routerov, switchov alebo sieťových sond (napr. pomocou technológie netflow). V prípade, že máme požiadavky na monitorovanie bezpečnosti , kombinácia systémov IPS/IDS (Intrusion Prevention/Detection System)  a SIEM (Security Information and Event Management) ponúka možnosti detekcie pokusov o prienik, zber logov, ich analýzu a vzájomnú koreláciu. Výsledkom sú bezpečnostné incidenty na, ktoré je možné ihneď reagovať. Súčasťou každého kvalitného SIEM  je možnosť hĺbkovej analýzy sieťovej prevádzky, jednotlivých dátových tokov a incidentov, detekcie anomálneho chovania a komplexný reporting.

V súčasnosti je na trhu veľké množstvo ako open-source, tak komerčných nástrojov. Dôležitými kritériami pre voľbu nástroja sú jednoznačne užívateľské požiadavky na monitoring, robustnosť nástroja, možnosti podpory a v neposlednom rade aj jeho cena.