Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity

Co se děje v síti? Co všechno o ní víme a co jsme (či naopak nejsme) schopni zjistit? Máme situaci zcela pod kontrolou, nebo jen žijeme ve sladkém nevědomí jen proto, že nemáme odpovídající informace? Na to všechno může odpovědět monitoring sítě...

Co to je monitoring?

Z technického hlediska představuje monitoring provádění periodicky či nárazově (typicky jako reakce na nějakou změnu nebo stav) prováděných testů či dotazů na jednotlivé síťové prvky/služby. Jedná se tedy o mechanismus, který slouží k získávání vstupních dat o tom, jaký je právě stav celého systému.

Tato data jsou zaznamenávána do provozních protokolů – čímž vlastně celý systém monitoringu končí. Ale jen teoreticky, prakticky na něj pochopitelně navazuje vyhodnocování dat, protože data, ze kterých nemáme informace, jsou zcela zbytečná. Vyhodnocování dat může probíhat on-line nebo off-line. V prvním případě probíhá v reálném čase, ve druhém případě probíhá dodatečně. První příkaz se používá k okamžité ochraně, druhý případ spíše k pozdější analýze nějakého stavu nebo incidentu. Samozřejmě, že v případě několik sekund trvajícího útoku je zapotřebí reagovat extrémně rychle a nějaká dodatečně provedená analýza nebrání problému, nýbrž už jen umožňuje zpětně se ohlédnout a vyhodnotit „kde nechal tesař díru“.

Monitorovat lze prakticky cokoliv: od elektronické pošty, chodu serverů, místa na discích, stav zálohování, detekci škodlivých kódů, průniky do sítě, pokusy o neoprávněná přihlášení, provoz na síti, výpadky zařízení, využití služeb apod. Přitom je ovšem vždy zapotřebí si stanovit přesný a jasný cíl – a tomu podřídit charakter a podobu získávaných dat. Abychom ony kýžené informace v konečném důsledku získali.

Úkoly monitoringu

S pomocí monitoringu sítě v první řadě zjišťujeme dostupnost jednotlivých prvků sítě. Pokud jsou nedostupné, nemohou pochopitelně plnit svoje základní funkce, není možné je spravovat, řídit, jakkoliv jinak s nimi operovat. Snaha předcházet výpadkům (analýzou dat, která výpadku předcházela) nebo přinejmenším výpadky zkracovat na nezbytně nutné minimum pomáhá právě monitoring.

Ruku v ruce s dostupností jednotlivých prvků sítě jde kontrola dostupnosti aplikačních služeb. Tedy skutečnost, zdali jednotlivé prvky poskytují služby, které mají plnit. Třetím sledovaným parametrem v pořadí je kontrola provozních parametrů jednotlivých prvků sítě: tyto jsou dostupné a poskytují očekávané služby – ale poskytují je v požadované kvalitě? Pokud ne, pak to s pomocí monitoringu nejen zjistíme, ale zároveň budeme mít (bychom měli mít) data, která nám mají ukázat, proč tomu tak není.

Monitoring dále zajišťuje kontrolu reakční doby aplikačních služeb. Což v podstatě přímo souvisí s kontrolou kvality, ale reakční doba má natolik výsadní postavení, že je nutné ji sledovat speciálně. Důvodem je nutnost zajistit kontinuitu provozu pro mnoho služeb, u kterých hraje přesné časování významnou roli. Typicky se jedná o VoIP aplikace, kde jsou z hlediska kvality přenášeného hlasu nepřípustné prodlevy či nepravidelnosti v dodávkách paketů.

Měření přenosu dat na jednotlivých rozhraních je další oblastí využití monitoringu. Odpovídá na otázky „kudy data tečou sítí (a proč)“ či „kde jsou slabá místa sítě (a proč)“. Monitoring v tomto případě pomáhá odhalit „úzká hrdla“ systému. Bez jejich znalosti totiž budeme slepě vylepšovat různé prvky a služby, aniž bychom se přitom dočkali kýženého výsledku.

Monitoring dále pomáhá zjistit kontrolu chybovosti jednotlivých tras – a opět: zpětné zpracování dat nám pomáhá zjistit (poté, co na chybovost přijdeme a její přesné místo ukážeme!), kde a jakého charakteru je problém. Stejně tak ale můžeme odhalit trasy, které nejsou dostatečně saturované: na ně pak můžeme velmi snadno přesunout část provozu nebo z nich odebrat hardware a služby, které následně nasadíme jinde. Monitoring je tak prodlouženou rukou optimalizace. (A to nemluvíme třeba o získávání podkladů pro reklamace u ISP, poskytovatelů služeb či dodavatelů přenosových tras.)

V neposlední řadě monitoring sbírá podklady pro aktivní systémy IDS/IPS (Intrusion Detection/Prevention System), pro archivní logy (soulad s normami či legislativou aj.) či pro aktivaci obsluhy v případě mimořádných událostí. Do budoucna pak pomáhá předvídat potřeby růstu síťového provozu sledováním aktuálních trendů a dodává podklady pro koncepci dalšího rozvoje.

Hlavní je zpracování dat

Na závěr jen připomínáme, že pro monitoring není nutné budovat zcela nový systém „sám pro sebe“. Šikovným výběrem a nasazením technologií lze v maximální možné míře využít již existující infrastruktury (firewally a další prvky) k provedení kvalitního monitoringu. Mnohem důležitější, než technická stránka věci, je totiž právě zpracování dat a k tomu používané algoritmy. Jejich (ne)kvalita totiž v konečném důsledku rozhoduje o tom, které události vidíme, která data se navzájem korelují a co nám proteče nepovšimnuto mezi prsty...