Na redakční otázky odpovídá Mgr. Jan Herman, Project Leader, SyDesk Divison, StringData, s.r.o.

1. Jaké by měly být hlavní cíle monitoringu sítě?
 
Ideální představou pro každého správce sítí je taková síť, ve které "pořád všechno funguje", ať už z pohledu koncového uživatele, managementu i kritických business procesů. Aby bylo možné se k tomuto cíli alespoň částečně přiblížit, je nezbytné sledovat stav síťových prostředků využívaných koncovými uživateli, managementem a kritickými procesy, a to z několika hledisek:

• Sledování aktuálního stavu síťových prostředků umožňuje reagovat na nenadálé potíže na síti dříve, než na ně upozorní koncový uživatel, nebo pracovník helpdesku, což celkově zkracuje dobu řešení takové události.

• Sledování a vyhodnocování dlouhodobých trendů zatížení sítě usnadňuje identifikaci slabých míst v síti a umožňuje předcházet některým důsledkům přetížení sítě, např. dlouhým odezvám, zahazování paketů přetíženými síťovými prvky atd.

• Sbírání průkazných informací o stavu síťových prostředků je možné využívat pro reporting plnění SLA, ale také jako odpověď na poznámky typu "minulý týden to vůbec nefungovalo".

• A konečně, optimálně navržený monitoring nezpůsobuje citelné zvýšení zátěže sítě.
 
2. Co všechno lze z monitoringu sítě vyčíst z hlediska zajištění bezpečnosti?
 
Monitorovací systém sám o sobě diagnostikovat bezpečnostní incidenty nemusí, naopak, z hlediska jeho výkonu a aktualizace informací o nově se vyskytujícím riziku je to nepraktické. Záměrem při nasazování monitoringu by z hlediska sledování bezpečnostních atributů mělo být získávání informací ze serverů a síťových prvků, jejichž operační systémy jsou aktualizovány, aby byly připraveny čelit případným útokům.

Servery i firewally nám poskytují celou řadu informací o hrozícím nebezpečí. V případě serverů jsou důležité bezpečnostní události obvykle logovány. Parsováním logů lze získat například informace o neúspěšných pokusech o přihlášení, přičemž toto parsování je možné provádět buď lokálně pomocí měřícího agenta, nebo vzdáleně například prostřednictvím SNMP dotazů.

Velká část firewallů dokáže rozpoznat hrozící nebezpečí a o tomto nebezpečí umí informovat prostřednictvím SNMP dotazů nebo odesláním SNMP trapu. Obvykle jsou takto dostupné veškeré zásadní informace, které má firewall k dispozici, jako například informace o případném útoku (Ping of Death attack, Port Scan attack, ...).

Další možnosti monitoringu spočívají ve sledování charakteristik, které již nejsou tak těsně spjaty se sítěmi samotnými, ale které významně ovlivňují bezpečnost a funkčnost sítě jako celku. Z tohoto hlediska je důležité sledování stavu antivirových a antispamových systémů a získávání přehledu o aktuálnosti daných systémů, zejména o instalaci důležitých aktualizací a patchů na počítačích ve vnitřní síti.

3. Je vhodné propojit monitoring a řízení sítě, nebo jde o dvě nezávislé oblasti?
 
Chceme skutečně systém specializovaný na sledování sítí? Pokud ano, nástroje pro řízení sítě jistě správcům sítí usnadní život. Pokud však chceme komplexní monitorovací systém, který nám umožní jedním pohledem zjistit stav sítí, síťových služeb, serverů, procesů, databází i aplikací, pak se nedá spojení monitoringu a řízení sítí očekávat.

4. Jak správně přistupovat k monitoringu sítě? Jaké a jak nasadit technologie/prostředky?
 
Monitoring lze rozdělit na dva základní typy, které můžeme označit jako diagnostický a dlouhodobý. Dlouhodobý monitoring nás dostatečně informuje o celkové funkčnosti sítě a jejích klíčových charakteristikách, zatímco diagnostický monitoring je specializovaný monitoring, úzce zaměřený na cílovou oblast, jehož cílem je ve většině případů odhalit příčiny potíží zjištěných v rámci monitoringu dlouhodobého. Diagnostický monitoring je pro dlouhodobé užívání nevhodný, kvůli časově náročnému masovému nasazení a také kvůli velkému množství informací, které může být problém dlouhodobě uchovávat. V dalším textu se budeme zabývat pouze monitoringem dlouhodobým.

Pro nastavení monitoringu sítí lze stanovit některé obecné zásady. Platí, že ještě před výběrem monitorovacího systému je vhodné specifikovat charakteristiky, které budeme chtít sledovat. Tato specifikace by měla vycházet z potřeb koncových uživatelů, managementu a kritických procesů. Vytipované charakteristiky by neměly být příliš podrobné, zároveň však musí být dostatečně informativní, aby nás upozornily na to, že se "něco děje". Volba optimální úrovně podrobnosti a vytipování správných charakteristik, které budou sledovány, je zcela zásadní pro realizaci monitoringu. Když zvolíme málo podrobný monitoring, případně, pokud si pro sledování vybereme nevhodné charakteristiky, budou nám výsledky měření takřka k ničemu, protože nás neupozorní na vzniklé potíže. Když naopak zvolíme monitoring příliš podrobný, strávíme u nastavování monitoringu zbytečně moc času a skladování naměřených dat bude zbytečně náročné. Společnosti, které monitoring nabízejí, by měly být schopny s výběrem optimálních charakteristik pomoci.

Vybraný monitorovací systém by měl být co nejvíce komplexní, tzn. měl by pokud možno pokrývat celou oblast, kterou nyní chceme a v budoucnu budeme chtít sledovat (od sítí až po aplikace). Výběr takového nástroje hned na začátku významně usnadní nasazení komplexního monitoringu v budoucnosti. Takovým komplexním systémem je i SyDesk, poskytovaný naší společností. Jedná se o komplexní ITSM systém sloužící k definici, sledování a vyhodnocování dostupnosti a výkonnosti IT služeb, systémů, aplikací i infrastruktury. Je v něm především kladen důraz na provázání uživatelského vnímání chování aplikací a technické infrastruktury (end-to-end dohled).

Je zajímavé, že v mnoha případech i velké společnosti zavádějí monitoring následujícím způsobem: jednoúčelové monitorovací utility vlastní výroby a jednoduché volně stažitelné programy → zavedení různých monitorovacích systémů izolovaně, na každém oddělení zvlášť → nasazení komplexního monitorovacího systému.

U monitoringu je také více než kde jinde třeba volit takové řešení, které má zajištěnu kvalitní podporu. V málokteré společnosti je možné, aby zaměstnanci zodpovědní za chod sítě, trávili celé dny hledáním informací rozptýlených na internetu, nebo experimentováním s nezdokumentovanými nástroji.

Další postup je následující:

1. Na základě charakteristik, které chceme sledovat, zvolíme strukturu monitoringu (rozmístění měřících agentů). Centralizovaná struktura monitoringu (měření se uskutečňuje ze serveru monitorovacího systému nebo z několika málo počítačů) nám usnadní nastavení a správu měřících agentů, zatímco decentralizovaná struktura monitoringu (měření se uskutečňuje přímo na počítačích, které jsou sledovány) zajistí, že v případě výpadku konektivity o naměřená data nepřijdeme (budou zaslána po opětovném navázání konektivity).

2. Nastavování rozsáhlého monitoringu je vhodné rozdělit na menší samostatné části.

3. U monitoringu sítě je klíčovou vlastností jistý druh autonomie, který nám zajistí jeho funkčnost i v případě nefunkční sítě. Nejdůležitější je, aby byl správce sítě na případný výpadek v síti ihned upozorněn například zasláním SMS notifikace přímo ze serveru monitorovacího systému.

4. Pro monitoring obecně je vhodné používat aktivní přístup zjišťování aktuálního stavu. Zatímco SNMP trapy nás informují pouze o změně stavu zařízení (odeslání trapu nelze vyvolat), skrze SNMP dotazy získáváme informace o aktuálním stavu zařízení vždy když potřebujeme. Podobný přístup je možné uplatňovat i na ostatní systémy.

Monitoring | Sítě | Škodlivé kódy