Мониторинг, анализ и управление — Сеть ННЦ
/**/
@import "/mw/skins/monobook/IE50Fixes.css";
@import "/mw/skins/monobook/IE55Fixes.css";
@import "/mw/skins/monobook/IE60Fixes.css";
/**/
Мониторинг, анализ и управление
Материал из Сеть ННЦ.
Содержание препринта
Для управления большими корпоративными сетями передачи данных чрезвычайно важна возможность получения достоверной информации о структуре потоков данных, о природе этих потоков, о приложениях, генерирующих эти потоки и потребляющих дефицитные сетевые ресурсы. Предотвращение утечек этих ресурсов из-за наличия в сети компьютеров с аномальным поведением, в том числе зараженных или взломанных, использованием в сети изощренных файлообменных приложений, также является актуальной задачей.
Перечень задач анализа состояния СПД и управления сетью определяется ее предназначением и функциями обслуживающих сеть подразделений и служб.
Важнейшей задачей для оперативного управления сетью и перспективного планирования ее развития, является задача учета потребления ресурсов сети на значительных временных интервалах (часы, сутки, недели, месяцы) различными группами пользователей - определенных либо статически (некоторый абонент; региональный научный центр как единое целое), либо динамически (участники видеоконференции из разных организаций, участники традиционных конференций и/или собраний). Другая важная задача, обычно упускаемая из вида при построении систем сетевого мониторинга, связана с оперативным отслеживанием состояния сети и ее компонентов с целью обнаружения аномального поведения, которое может быть следствием атак на сеть или нарушениями порядка использования сетевых ресурсов абонентами. Принимая во внимание высокую ценность сетевых ресурсов (в первую очередь — пропускной способности внешних каналов), следует, прежде всего, обеспечить возможность оперативного и ретроспективного анализа нерегулярностей и аномалий. Таким образом, система мониторинга должна также рассматриваться, как важная компонента системы обеспечения безопасности корпоративной сети.
Системы сетевого мониторинга должны разрабатываться также с учетом возможных помех различного рода (зашумление исходных данных) и непосредственных атак на эти системы. В силу явной недостаточности традиционной классификации по протоколам/номерам портов необходимо привлекать дополнительную информацию более высоких семантических уровней. В современных сетях практически повсеместно используется протокол SNMP, который действительно прост по своей сути, но требует заметных дополнительных усилий для обеспечения постоянного сбора, хранения, анализа данных и визуализации результатов этого анализа. В сетях достаточно большого масштаба эти усилия и затраты становятся настолько значительными, что поверхностный подход к построению системы сбора и анализа статистики приводит к неэффективным, немасштабируемым решениям.
Следует признать, что современное состояние системы мониторинга сети не полностью удовлетворяет перечисленным требованиям. Развитие системы для более полного соответствия этим требованиям запланировано на ближайшее будущее.
Рассматривая ситуацию по организации мониторинга и сбора сетевой статистики в СПД СО РАН, можно отметить, что эти задачи в целом, во всем спектре приложений, практически нигде не решены в достаточной степени. В основном задачи мониторинга сводятся к задачам биллинга — подсчету некоторых интегральных характеристик сетевого трафика за определенные интервалы времени, и только в отдельных научных центрах (Иркутск, Тюмень, Якутск) сформулированы цели мониторирования сети в реальном масштабе времени. Используемые в СПД СО РАН системы сетевого мониторинга базируются, как правило, на технологии Cisco Netflow для подсчета трафика (задачи биллинга), и на приложениях, использующих протокол SNMP для оперативного опроса различных параметров сетевых устройств, которые впоследствии визуализируются известными пакетами (МRTG, RRDTools, Cricket). Для более детального анализа сетевого трафика в Иркутском научном центре предложено использование системы Cisco NBAR (Network Based Application Recognition). К сожалению, это решение привязано к конкретной сетевой платформе и не может быть использовано, например, в Тюменском научном центре, где используется сетевое оборудование других производителей.
В сети Красноярского научного центра внедрена система автоматизированного мониторинга и оповещения. При пропадании контролируемых соединений система выдает тревожное сообщение администраторам сети по электронной почте и на мобильные телефоны.
Сеть Омского научного центра объединяет территориально удаленные друг от друга организации, в которых, как правило, нет квалифицированных сетевых администраторов. В связи с этим создана и продолжает развиваться технология удаленного администрирования узлов сети и биллинговой системы учета использования ресурсов КС ОКНО. Эта система позволяет автоматически сохранять конфигурации серверов удаленного узла для восстановления их работоспособности после аварий и отслеживать состояние каналов связи; работоспособность основных сервисов и т.п.
В Тюменском научном центре основной задачей сетевого мониторинга является отслеживание состояния связности сетей и доступности серверов и сервисов, для чего используется система мониторинга Nagios. Администраторы также оповещаются о всех изменениях состоянии узлов с помощью электронной почты.
Учет потребления ресурсов и мониторинг состояния сети Якутского научного центра осуществляется на основе информационной системы, ядром которой является база данных сетевых устройств NetDB, разработанная в ЯНЦ. Система учета потребления ресурсов и выявления аномального поведения машин в качестве исходных данных использует потоки NetFlow-данных, поступающие с маршрутизаторов и информацию, собираемую с устройств сети по SNMP. В случае обнаружения аномальных всплесков сетевой активности или сбоев в работе сети, как в КрНЦ и ТюмНЦ, производится автоматическое оповещение соответствующего сетевого администратора.
С задачами мониторинга тесно связана проблема обеспечения безопасности сети в целом и отдельных ее абонентов. Техническая сторона обеспечения информационной безопасности базируется на использовании специального оборудования (сетевых экранов) и программных средств (например, средств антивирусного контроля).
Организационная сторона определяется рядом нормативных документов (международных, национальных и ведомственных), задающих политику безопасности копоративной СПД СО РАН, которая, в свою очередь, определяет комплекс мероприятий, направленных на обеспечение сотрудников организаций-абонентов Сети возможностью выполнять свои должностные обязанности круглый год, 7 дней в неделю, 24 часа в сутки. К таким мероприятиям относятся:
обеспечение безопасного доступа к локальным информационным ресурсам;
обнаружение фактов несанкционированного их использования;
выявление и устранение фактов нецелевого использования ресурсов;
выявление и блокировка сетевых атак и недопустимых действий в сети.
Эти мероприятия проводятся на постоянной основе, в режиме, не препятствующем нормальному рабочему процессу в организациях.
Любое использование сетевых ресурсов, не разрешенное явным образом, запрещено. Каждый пользователь (индивидуальный или коллективный) имеет доступ только к тем ресурсам, которые необходимы для его работы. Перечень ресурсов, доступных пользователю, определяется его организацией и фиксируется в ее анкете. Несанкционированный доступ к сетевой инфраструктуре или конфиденциальной информации, а также нецелевое использование инфокоммуникационных ресурсов не допускаются и должны пресекаться администраторами всех уровней.
Безопасность сети обеспечивается всеми ее субъектами. Пользователи сети отвечают за корректное использование сетевых служб, а также за своевременное оповещение администраторов о замеченных запрещенных действиях в сети. Организации должны, строго следуя политике безопасности СПД, разрабатывать ее локальную реализацию и обеспечивать соблюдение ее положений. Правила доступа сотрудников к ресурсам сетей организаций (в том числе к информации пользователей) определяются внутренней политикой абонента. К локальным ресурсам абонента имеют доступ только сотрудники этой организации.
Администраторы организаций-абонентов Сети — поддерживают сетевые службы на выделенных им участках и выполняют мероприятия, определенные политикой безопасности, систематически проводят мониторинг и обновляют программное обеспечение систем безопасности узлов СПД РАН.
Сотрудники ЦУС исследуют безопасность СПД, формулируют базовые положения политики безопасности, контролируют ее реализацию, а также координируют взаимодействие сетевого сообщества по вопросам безопасности. Определение уровней доступа к ресурсам, предназначенным для внешнего использования (mail, WWW, FTP серверы и т.п.) и контроль за использованием этих ресурсов, возлагается на абонента — собственника этих ресурсов. Конкретные шаги по выполнению этих обязанностей определяются Регламентом использования Информационнотелекоммуникационных ресурсов СО РАН, утвержденном Постановлением Президиума СО РАН от от 25.11.99 № 320 и опубликованном на сайте Отделения.
Сетевая инфраструктура управляется только уполномоченными на это администраторами сети. Работа других лиц, требующая доступа к ресурсам сети и прав на управление какими-либо устройствами, возможна только по разрешению руководства ЦУС. Удаленный доступ администраторов к сети для целей управления возможен при условии выполнения жестких требований аутентификации и шифрования.
Удаленный доступ пользователей к локальной сети абонента определяется внутренними нормативными документами его организации и должен не противоречить нормативным документам СПД. Конфигурация персональных компьютеров пользователей сети, находящихся за ее пределами, должна удовлетворять требованиям СПД СО РАН по обеспечению безопасности.
Следует отметить, однако, что прогресс в области инфокоммуникаций ведет к постоянному возникновению и обнаружению новых угроз, принуждает к совершенствованию средств защиты. Поэтому даже в перспективе едва ли можно говорить о завершенности подобных работ, структур и систем, но поддержание вероятности реализации какой-либо из известных угроз информационной безопасности сети на приемлемо низком уровне вполне реально.
Ниже рассматриваются наиболее типичные подходы к обеспечению информационной безопасности СПД, реализованные в региональных научных центрах. Особое внимание уделено двум аспектам — это защита от нежелательной корреспонденции (спам) и от вирусных атак. Проблема спама является едва ли не самой актуальной проблемой службы электронной почты. Эта проблема порождает существенное нецелевое расходование емкости каналов связи, вычислительных мощностей почтовых серверов, дискового пространства, рабочего времени пользователей.
Одним из наиболее эффективных методов борьбы со спамом в СПД СО РАН стала общепринятая в мировой практике технология “GreyListing”. Она заключается в том, что при попытке передачи письма почтовому серверу отправитель получает специальную диагностику, означающую временную невозможность принять это сообщение, после чего он должен повторить попытку отправления через некоторое время. Как правило, отправители спама не делают такой попытки. Тем самым пресекается рапространение нежелательной корреспонденции.
Соображения безопасности приводят к необходимости выделения автономных сегментов сети для административные служб (бухгалтерия, планово-финансовая группа, отдел кадров и т.п.), имеющих ограниченную коннективность и ограниченную возможность выхода в Internet.
На большинстве маршрутизаторов СПД СО РАН специально настроенные сетевые фильтры отсекают потенциально опасную часть трафика и разграничивают доступность различных сетевых сервисов. Использование адресного пространства Интранет и выход в Интернет через трансляцию адресов и кэш-сервер закрывают доступ к пользовательским компьютерам из внешних сетей. Постоянный сбор IP-статистики позволяет выявлять и расследовать причины инцидентов, связанных с несанкционированным доступом на узлы сети.
Антивирусная проверка всей почтовой корреспонденции, поступающей на сервер электронной почты, выполняентся с помощью серверной версии антивирусного пакета, базы данных которого обновляются несколько раз в сутки.
В ряде региональных научных центров работают Централизованные службы обновления операционных систем и антивирусного программного обеспечения.
Получено с http://www.ac-tel.ru/mw/index.php/%D0%9C%D0%BE%D0%BD%D0%B8%D1%82%D0%BE%D1%80%D0%B8%D0%BD%D0%B3%2C_%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7_%D0%B8_%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5
Просмотры
СтатьяОбсуждениеПросмотрИстория
Личные инструменты
Представиться системе
Навигация
Сеть ННЦ
Сообщество
Текущие события
Свежие правки
Справка
Поиск
Инструменты
Ссылки сюда
Связанные правки
Загрузить файл Спецстраницы Версия для печати
Последнее изменение этой страницы: 08:09, 3 февраля 2006. К этой странице обращались 1496 раз(а). Описание Сеть ННЦ Отказ от ответственности
master
kyiv apartments service
kyiv apartments service
kyiv apartments service
kyiv apartments service
kyiv apartments service
kyiv apartments service
kyiv apartments service
kyiv apartments service
kyiv apartments service
kyiv apartments service
kyiv apartments service
kyiv apartments service
dunlup 205 55 r16
thuraya sg 2520
ubiquam
.
nokia 8910
shell omala
6131
ariston
qtek
kyiv apartaments rent
thuraya sg 2520