No Image

Что такое мониторинг сети

СОДЕРЖАНИЕ
0 просмотров
22 января 2020

Эта статья или раздел нуждается в переработке.
  • Система управления и мониторинга (АСР — биллинг) Pyzzle.ISP
  • Система управления и мониторинга AGNEKO SNMPc
  • AggreGate Network Manager
  • NetXMS (Open Source)
  • TclMon (Open Source)
  • Big Brother
  • Caligare Flow Inspector — Анализатор NetFlow
  • Ipswitch Inc. WhatsUp Gold
  • ManageEngine OpManager
  • Netmon — Appliance based network monitoring suite with email and pager alert system.
  • Packet Analyzer: Network Traffic Monitoring, Analysis and Troubleshooting
  • NetVizor
  • HP OpenView Network Node Manager (NNM)
  • Cisco Works NMS
  • ProLAN-Эксперт
  • The Dude
  • Total Network Monitor (Freeware)
  • Fluke Networks — Visual Performance Manager
  • "10-Страйк: Мониторинг Сети"
  • "Orange System Equipment Manager"
  • ЭФРОС- Контроль и защита сетевого оборудования

Для улучшения этой статьи желательно ? :

  • Переработать оформление в соответствии с правилами написания статей.
  • Добавить иллюстрации.

Wikimedia Foundation . 2010 .

Смотреть что такое "Мониторинг компьютерной сети" в других словарях:

Мониторинг серверов — Стиль этой статьи неэнциклопедичен или нарушает нормы русского языка. Статью следует исправить согласно стилистическим правилам Википедии … Википедия

Мониторинг сети — Термином мониторинг сети называют работу системы, которая выполняет постоянное наблюдение за компьютерной сетью в поисках медленных или неисправных систем и которая при обнаружении сбоев сообщает о них сетевому администратору с помощью почты,… … Википедия

Компьютерные сети — Компьютерная сеть (вычислительная сеть, сеть передачи данных) система связи двух или более компьютеров и/или компьютерного оборудования (серверы, маршрутизаторы и другое оборудование). Для передачи информации могут быть использованы различные… … Википедия

Администратор вычислительной сети — (также называемый сетевой администратор, англ. network administrator) сотрудник, отвечающий за работу компьютерной сети предприятия в штатном режиме. В Общероссийском классификаторе занятий (ОКЗ) эта специальность входит в 2131 ю… … Википедия

Сравнение систем мониторинга сети — Следующая таблица позволяет оценить возможности различных систем для мониторинга/управления сетью. Для более подробного изучения функциональных характеристик отдельных продуктов смотрите соответствующую статью. Сводная информация Сравнение систем … Википедия

WhatsUp Gold — Тип Мониторинг компьютерной сети Разработчик Ipswitch, Inc. Операционная система Microsoft Windows Последняя версия 16.0 (2012 10 02 … Википедия

NetDecision — комплекс программных продуктов компании NetMechanica, предназначенных для управления сложными гетерогенными сетями любого масштаба. Ядром системы является продукт Network Manager, осуществляющий мониторинг сетевых элементов по протоколу SNMP.… … Википедия

Лаг (компьютерний термин) — Лаг (от англ. lag, [læɡ] опаздывание, задержка, торможение) жаргонное слово, означающее торможение или задержку вычислительных процессов компьютером из за плохой связи с сервером, несоответствия программы или компьютерной игры. Чаще всего… … Википедия

RRDtool — позволяет создавать графики на основании данных из базы RRD Автор Tobias Oetiker Написана на C … Википедия

Циклическая база данных — (англ. Round robin Database, RRD) база данных, объём хранимых данных которой не меняется со временем,[1] поскольку количество записей постоянно, в процессе сохранения данных они используются циклически.[2][3][4] Как правило,… … Википедия

Стабильная и слаженная работа всех отделов для современного бизнеса крайне важна. Для поддержания работоспособности оборудования и работников, на предприятии необходимо проводить мониторинги. Владельцы, оценившие достоинства этой услуги, отметили ее главные преимущества:

  1. Централизованное управление всеми процессами в нижних эшелонах руководства.
  2. Повышение производительности и работоспособности техники.
  3. Улучшение эксплуатационных качеств всего оборудования.

Что дает мониторинг сети? Клиенты, воспользовавшиеся услугами по мониторингу, отмечали удобство последующего контроля параметров оборудования. Здесь можете ознакомиться с графиком мониторинга сети: http://www.alp.ru/itsm/monitoring, он проводится в электронном формате – на почту или телефон постоянно приходят уведомления о состоянии приборов. Во избежание критических ситуаций на объекте ведется постоянная видеосъемка функционирования ИТ-инфраструктуры.

На какие еще параметры отказывает влияние мониторинг сети? Влияние распространяется, в первую очередь, на работу серверов и сетевые параметры. Правильно настроенная система позволяет руководству предприятия контролировать бюджетирование 1С, детальную информацию о котором можно посмотреть на специальных датчиках. Кроме этого, мониторинг систем повышает пропускную способность всей инфраструктуры, в том числе хостов и сетевых ресурсов. Качественный мониторинг сети позволит мгновенно вычислить вредоносную программу, повышающую нагрузку на сеть или способную привести к серьезным неполадкам в работе оборудования.

Мониторинг сети – это анализ трафика и его диагностика, загрузка сетевых устройств и соединений. Перечисленные процессы способствуют:

  • Получению эффективного контроля над возникающими проблемами в сети. К числу таких проблем относятся: сильная нагрузка узлов сети и снижение их пропускной способности.
  • Своевременному информированию владельца сети о перегрузке системы и других ошибках, связанных с деятельностью сетевых устройств.
  • Беспрерывному контролю над пропускной способностью сети.
  • Выбору оптимальных способов решения проблемы. Например, владелец сети может сбалансировать нагрузку в сети за счет распределения трафика или выключить неработающее устройство для уменьшения нагрузки на сеть.
  • Получению своевременной информации о том, какое оборудование следует улучшить и где его можно приобрести.
Читайте также:  Тач айди работает а кнопка домой нет

Таким образом, мониторинг сети позволяет улучшить работу сетевых устройств, снизить на них нагрузку. Кроме улучшения работы сетевых устройств, клиент получает рекомендации и советы по выбору программного обеспечения и технических параметров компьютеров для еще более эффективного управления сетью.

В последнее время в Интернете можно найти огромное кол-во материалов по теме анализа трафика на периметре сети. При этом все почему-то совершенно забыли об анализе локального трафика, который является не менее важным. Данная статья как раз и посещена этой теме. На примере Flowmon Networks мы вспомним старый добрый Netflow (и его альтернативы), рассмотрим интересные кейсы, возможные аномалии в сети и узнаем преимущества решения, когда вся сеть работает как единый сенсор. И самое главное — провести подобный анализ локально трафика можно совершенно бесплатно, в рамках триальной лицензии (45 дней). Если тема вам интересна, добро пожаловать под кат. Если же читать лень, то, забегая вперед, можете зарегистрироваться на предстоящий вебинар, где мы все покажем и расскажем (там же можно будет узнать о предстоящем обучении продукту).

Что такое Flowmon Networks?

Прежде всего, Flowmon это европейский ИТ-вендор. Компания Чешская, со штаб-квартирой в городе Брно (вопрос санкций даже не поднимается). В своем текущем виде компания представлена на рынке с 2007 года. До этого была известна под брендом Invea-Tech. Так что суммарно на разработку продуктов и решений потрачено почти 20 лет.

Flowmon позиционируется как бренд А-класса. Разрабатывает премиальные решения для корпоративных заказчиков и отмечен в квадратах Gartner по направлению Network Performance Monitoring and Diagnostics (NPMD). Причем, что интересно, из всех компаний в отчете, Flowmon – единственный вендор, отмеченный Gartner как производитель решений и для сетевого мониторинга, и для защиты информации (Network Behavior Analysis). Первого места пока не занимает, но за счет этого и не стоит как крыло от Боинга.

Какие задачи позволяет решить продукт?

Глобально, можно выделить следующий пул задач, решаемых продуктами компании:

  1. повышение стабильность работы сети, а также сетевых ресурсов за счет минимизации времени их простоя и недоступности;
  2. повышение общего уровня производительности сети;
  3. повышение эффективности работы администрирующего персонала, за счет:
    • использования современных инструментов инновационного сетевого мониторинга, основанных на информации об IP потоках;
    • предоставления детальной аналитики о функционировании и состоянии сети – пользователях и приложениях, работающих в сети, передаваемых данных, взаимодействующих ресурсах, сервисах и узлах;
    • реагирования на инциденты до того как они произойдут, а не после потери сервиса пользователями и клиентами;
    • сокращения времени и ресурсов, необходимых для администрирования сети и IT-инфраструктуры;
    • упрощения задач поиска неисправностей.
    • повышение уровня защищенности сети и информационных ресурсов предприятия, за счет использования несигнатурных технологий выявления аномальной и вредоносной сетевой активности, а также «атак нулевого дня» (zero-day);
    • обеспечение требуемого уровня SLA сетевых приложений и баз данных.

    Продуктовый портфель Flowmon Networks

    Теперь рассмотрим непосредственно портфель продуктов Flowmon Networks и узнаем, чем конкретно занимается компания. Как многие уже догадались из названия, основная специализация – на решениях для потокового flow мониторинга трафика, плюс ряд дополнительных модулей, расширяющих базовый функционал.

    По факту, Flowmon можно назвать компанией одного продукта, или вернее – одного решения. Давайте разбираться, хорошо это или плохо.

    Ядром системы является коллектор, отвечающий за сбор данных по всевозможным flow протоколам, как NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX… Вполне логично, что для компании не аффилированной ни с одним из производителей сетевого оборудования – важно предложить рынку универсальный продукт, не привязанный к какому-то одному стандарту или протоколу.


    Flowmon Collector

    Коллектор выпускается как в виде аппаратного сервера, так и в виде виртуальной машины (VMware, Hyper-V, KVM). Кстати, аппаратная платформа реализована на кастомизированных серверах DELL, что автоматически снимает большую часть вопросов с гарантией и RMA. Собственной аппаратной составляющей являются разве что FPGA платы захвата трафика, разработаные дочерней компанией Flowmon, и позволяющие осуществлять мониторинг на скоростях до 100 Gbps.

    Читайте также:  Что делать если отстают электронные часы

    Но что делать, если на существующем сетевом оборудовании нет возможности генерировать качественный flow? Или же нагрузка на оборудование слишком высока? Не проблема:


    Flowmon Prob

    На этот случай Flowmon Networks предлагает использовать собственные зонды (Flowmon Probe), которые подключаются в сеть через SPAN порт коммутатора или с использованием пассивных TAP разветвителей.


    SPAN (mirror port) и TAP варианты внедрения

    В этом случае «сырой» трафик, поступающий на Flowmon Probe, преобразуется в расширенный IPFIX, содержащий более 240 метрик с информацией. В то время как в стандартном NetFlow протоколе, генерируемом сетевым оборудованием, содержится не более 80 метрик. Это позволяет обеспечить видимость протоколов не только на 3 и 4 уровнях, но и на 7 уровне по модели ISO OSI. В итоге, сетевые администраторы могут осуществлять мониторинг функционирования таких приложений и протоколов, как e-mail, HTTP, DNS, SMB…

    Концептуально, логическая архитектура системы выглядит следующим образом:

    Центральной частью всей «экосистемы» Flowmon Networks является Collector, получающий трафик с существующего сетевого оборудования или собственных зондов (Probe). Но для Enterprise решения предоставлять функционал исключительно для мониторинга сетевого трафика было бы слишком просто. Это умеют делать и Open Source решения, пусть и не с такой производительностью. Ценностью Flowmon являются дополнительные модули, расширяющие базовый функционал:

    • модуль Anomaly Detection Security – выявление аномальной сетевой активности, включая атаки «нулевого дня», на основании эвристического анализа трафика и типового сетевого профиля;
    • модуль Application Performance Monitoring – контроль производительности сетевых приложений без установки «агентов» и влияния на целевые системы;
    • модуль Traffic Recorder – запись фрагментов сетевого трафика по набору предопределенных правил или по триггеру с модуля ADS, для дальнейшего траблшутинга и/или расследования инцидентов ИБ;
    • модуль DDoS Protection – защита периметра сети от волюметрических атак отказа в обслуживании DoS/DDoS, в том числе атак на приложения (OSI L3/L4/L7).

    В рамках данной статьи мы рассмотрим, как все работает вживую на примере 2 модулей – Network Performance Monitoring and Diagnostics и Anomaly Detection Security.
    Исходные данные:

    • сервер Lenovo RS 140 с гипервизором VMware 6.0;
    • образ виртуальной машины Flowmon Collector, который можно скачать тут;
    • пара коммутаторов с поддержкой flow протоколов.

    Шаг 1. Инсталляция Flowmon Collector

    Развертывание виртуальной машины на VMware происходит совершенно стандартным образом из OVF шаблона. В итоге получаем виртуальную машину под управлением CentOS и с готовым к работе ПО. Требования к ресурсам – гуманные:

    Остается только выполнить базовую инициализацию по команде sysconfig:

    Настраиваем IP на порту управления, DNS, время, Hostname и можем подключаться к WEB-интерфейсу.

    Шаг 2. Установка лицензии

    Триальная лицензия на полтора месяца генерируется и скачивается вместе с образом виртуальной машины. Подгружается через Configuration Center -> License. В итоге видим:

    Все готово. Можно приступать к работе.

    Шаг 3. Настройка ресивера на коллекторе

    На данном этапе нужно определиться, каким образом в систему будут поступать данные с источников. Как мы говорили раньше, это может быть один из flow протоколов или SPAN порт на коммутаторе.

    В нашем примере будем использовать прием данных по протоколам NetFlow v9 и IPFIX. В этом случае, в качестве таргета мы указываем IP адрес Management интерфейса – 192.168.78.198. Интерфейсы eth2 и eth3 (с типом Monitoring interface) используются для приема копии «сырого» трафика со SPAN порта коммутатора. Их пропускаем, не наш случай.
    Далее проверяем порт коллектора, куда должен поступать трафик.

    В нашем случае коллектор ожидает трафик на порту UDP/2055.

    Шаг 4. Настройка сетевого оборудования для экспорта flow

    Настройку NetFlow на оборудовании Cisco Systems, наверное, можно назвать совершенно обычным делом для любого сетевого администратора. Для нашего примера мы возьмем что-нибудь более необычное. Например, маршрутизатор MikroTik RB2011UiAS-2HnD. Да, как ни странно, такое бюджетное решение для малых и домашних офисов тоже поддерживает протоколы NetFlow v5/v9 и IPFIX. В настройках задаем таргет (адрес коллектора 192.168.78.198 и порт 2055):

    И добавляем все доступные для экспорта метрики:

    На этом можно сказать, что базовая настройка завершена. Проверяем, поступает ли в систему трафик.

    Читайте также:  0 80240017 Неопознанная ошибка windows 7

    Шаг 5. Проверка и эксплуатация модуля Network Performance Monitoring and Diagnostics

    Проверить наличие трафика от источника можно в разделе Flowmon Monitoring Center –> Sources:

    Видим, что данные поступает в систему. Спустя некоторое время после того, как коллектор накопит трафик, виджеты начнут отображать информацию:

    Построена система по принципу drill down. Тоесть, пользователь, выбирая интересующий его фрагмент на схеме или графике, «проваливается» до того уровня глубины данных, которые ему нужны:

    Вплоть до информации о каждом сетевом соединении и коннекте:

    Шаг 6. Модуль Anomaly Detection Security

    Этот модуль можно назвать, пожалуй, одним из самых интересных, благодаря использованию безсигнатурных методов обнаружения аномалий в сетевом трафике и вредоносной сетевой активности. Но это не аналог IDS/IPS систем. Работа с модулем начинается с его «обучения». Для этого в специальном визарде указываются все ключевые компоненты и службы сети, включая:

    • адреса шлюза, DNS, DHCP и NTP серверов,
    • адресация в сегментах пользователей и серверов.

    После этого система переходит в режим обучения, который в среднем длится от 2 недель до 1 месяца. За это время система формирует baseline трафика, характерного непосредственно для нашей сети. Проще говоря, система изучает:

    • какое поведение является характерным для узлов сети?
    • какие объемы данных обычно передаются и являются нормальными для сети?
    • какое время работы является типовым для пользователей?
    • какие приложения работают в сети?
    • и многое другое..

    В итоге мы получаем инструмент, выявляющий любые аномалии в нашей сети и отклонения от характерного поведения. Вот пара примеров, которые позволяет обнаружить система:

    • распространение в сети нового вредоносного ПО, не детектируемого сигнатурами антивирусов;
    • построение DNS, ICMP или других туннелей и передача данных в обход межсетевого экрана;
    • появление в сети нового компьютера, выдающего себя за DHCP и/или DNS сервер.

    Посмотрим, как это выглядит в живую. После того, как Ваша система прошла обучение и построила baseline трафика сети, она начинает детектировать инциденты:

    Главная страница модуля – временной график с отображением выявленных инцидентов. В нашем примере видим явный всплеск, примерно между 9 и 16 часами. Выделяем его и смотрим подробнее.

    Явно прослеживается аномальное поведение злоумышленника в сети. Начинается все с того, что хост с адресом 192.168.3.225 начал горизонтальное сканирование сети по порту 3389 (сервис Microsoft RDP) и находит 14 потенциальных «жертв»:

    Следующий зафиксированный инцидент – хост 192.168.3.225 начинает брутфорс атаку по перебору паролей на сервис RDP (порт 3389) на выявленных ранее адресах:

    В итоге атаки на одном из взломанных хостов фиксируется SMTP аномалия. Другими словами, началась рассылка СПАМ:

    Данный пример является наглядной демонстрацией возможностей работы системы и модуля Anomaly Detection Security, в частности. Об эффективности судите сами. На этом функциональный обзор решения мы завершаем.

    Заключение

    Резюмируем, какие выводы о Flowmon мы можем сделать в сухом остатке:

    • Flowmon – решение премиального уровня для корпоративных Заказчиков;
    • благодаря универсальности и совместимости, сбор данных доступен с любых источников: сетевого оборудования (Cisco, Juniper, HPE, Huawei…) или собственных зондов (Flowmon Probe);
    • возможности по масштабируемости решения позволяют наращивать функционал системы посредством добавления новых модулей, а также повышать производительность благодаря гибкому подходу к лицензированию;
    • за счет использования технологий безсигнатурного анализа, система позволяет обнаруживать даже не известные антивирусам и IDS/IPS системам zero-day атаки;
    • благодаря полной «прозрачности» с точки зрения установки и присутствия системы в сети – решение не влияет на работу других узлов и компонент Вашей ИТ инфраструктуры;
    • Flowmon – единственное на рынке решение, поддерживающее мониторинг трафика на скоростях до 100 Гбит/с;
    • Flowmon – решение для сетей любого масштаба;
    • лучшее соотношение цена / функционал среди аналогичных решений.

    В данном обзоре мы рассмотрели менее 10% общего функционала решения. В следующей статье мы расскажем про остальные модули Flowmon Networks. На примере модуля Application Performance Monitoring мы покажем как администраторы бизнес приложений могут обеспечить доступность на заданном уровне SLA, а также максимально быстро диагностировать проблемы.

    Также, хотим пригласить Вас на наш вебинар (10.09.2019), посвященный решениям вендора Flowmon Networks. Для предварительной регистрации просим Вас пройти регистрацию тут.
    На этом пока все, спасибо за Ваш интерес!

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Комментировать
    0 просмотров
    Комментариев нет, будьте первым кто его оставит

    Это интересно
    No Image Компьютеры
    0 комментариев
    No Image Компьютеры
    0 комментариев
    No Image Компьютеры
    0 комментариев
    No Image Компьютеры
    0 комментариев
    Adblock detector