Konfigurace síťového zařízení může být někdyvýzva. Ve skutečnosti to není samotná konfigurace, která je tak náročná, ale spíše její údržba a zajištění, že je poněkud standardizovaná. Vzpomínám si, že jsem začal novou práci a zjistil jsem, že všechny desítky síťových přepínačů měly poněkud odlišnou konfiguraci. To způsobilo problémy s řešením královskou bolestí. A s dnešními předpisy, jako jsou PCI / DSS, SOX a další, je důležitější než kdy jindy mít nějaký proces správy konfigurace.
Zde jsou konfigurační nástroje a softwaremůže přijít vhod. To nejlepší z těchto nástrojů nejen zajistí, že vaše konfigurace budou normalizovány, ale mohou být také použity k prokázání jejich souladu s předpisy. Součástí těchto nástrojů je také bezpečnostní prvek. V dnešní době je až příliš běžné, když hackeři zahajují útoky úpravou konfigurace zařízení tak, aby získali přístup k sítím. Mnoho nástrojů vás buď ochrání před neoprávněnými změnami, nebo vás alespoň upozorní. Ze všech těchto důvodů budeme sdílet náš seznam nejlepších nástrojů a softwaru pro konfiguraci sítě.
Začneme naší cestou diskutováním o sítikonfigurační nástroje a software. Podíváme se na to, o čem jsou, jak fungují a proč je potřebujete. Poté představíme některé z hlavních funkcí těchto nástrojů. Nástroje se ve své sadě funkcí velmi liší, ale v každém nástroji můžete najít základnu, kterou můžete najít. Se vším, co za námi, skočíme do jádra věci a prozkoumáme některé z nejlepších nástrojů pro konfiguraci sítě a softwaru, které jsme našli.
Nástroje a software pro konfiguraci sítě - o čem jsou všichni
Nástroje pro konfiguraci sítě jsou softwarové nástrojekteré pomáhají správcům při správě konfigurace sítě. To je dost jednoduché. Co je to však správa konfigurace sítě? Odpověď na tuto otázku je poněkud těžší, protože se zdá, že o tom má každý svůj vlastní názor. Správa síťových konfigurací má několik prvků. V první řadě to souvisí s dokumentováním a / nebo nějakým uchováním konfiguračních dat zařízení. Kdykoli dojde k přerušení síťového přepínače a je třeba ho vyměnit, raději bychom jeho konfiguraci vytáhli z nějakého archivu, než aby jsme ji opakovali od nuly, což může vést ke zpoždění a nesrovnalostem.
Pomáhá také správa konfiguracenasazení standardních konfigurací zařízení. Díky tomu je údržba mnohem snazší a také pomáhá při řešení problémů. Ale kromě standardních konfigurací pomůže správa konfigurace také s dodržováním předpisů. Mnoho regulačních rámců - například PCI / DSS, abychom jmenovali jen jeden příklad - mají přísná pravidla ohledně toho, jak by měly být přepínače konfigurovány. Správa konfigurace vám pomůže auditovat přepínače a prokázat jejich shodu.
A zatímco na téma auditu,procesy správy konfigurace mohou také pomoci s auditováním konfigurace přepínačů pro neoprávněné změny. Všichni jsme slyšeli o škodlivých uživatelích, kteří se pokoušejí získat přístup k podnikovým sítím tak, že nejprve upraví konfiguraci síťových zařízení tak, aby se vrátili zpět. Ať už se jedná o skutečné riziko nebo o městskou legendu, je otevřena debata, ale nikdy nejsme příliš opatrní a auditování konfigurace zařízení pro neoprávněné změny je běžnou úlohou správy konfigurace. A i když nejste tak paranoidní, je také užitečné zajistit, aby byly dodržovány procesy řízení změn.
Co hledat v nástrojích pro konfiguraci sítě
Zatímco nástroje pro konfiguraci sítě se velmi liší,všichni sdílejí alespoň základní sadu funkcí. Ty jsou považovány za základní funkce a každý nástroj je bude zahrnovat, i když jejich implementace se může u jednotlivých nástrojů lišit. Zde jsou některé z běžných funkcí, které byste měli najít v nástroji pro konfiguraci sítě.
Měl by poskytnout způsob, jak stanovitzákladní konfigurace. Měl by také zpracovávat zálohování konfigurace. Jak bylo uvedeno výše, mělo by poskytovat určitou formu monitorování konfigurace, která upozorní správce na neoprávněné změny. Dobrý nástroj pro konfiguraci sítě by měl také poskytnout způsob, jak snadno vrátit změny a v neposlední řadě by měl pomoci při distribuci aktualizací firmwaru.
Kromě těchto základů, nejlepší síťkonfigurační nástroje budou také obsahovat další funkce. Mezi nejběžnější - a nejužitečnější - audity dodržování norem je skvělá funkce. Hromadné aktualizace konfigurace a správa oprav firmwaru patří mezi nejužitečnější volitelné funkce.
Nejlepší nástroje pro konfiguraci sítě
Sestavili jsme seznam nejlepších sítíkonfigurační nástroje. Naše hlavní výběrové kritérium bylo, že nástroje obsahují alespoň všechny základní vlastnosti. Mnoho produktů jde nad rámec toho a zahrnuje nejen všechny volitelné funkce, které jsme zmínili, ale ještě více. Nejedná se o tříděný seznam a nepředpokládá se, že pozice nástroje je ukazatelem jeho hodnoty ve srovnání s ostatními. Všechny zde navrhované nástroje jsou vynikajícími nástroji, které bychom neváhali doporučit. Sbírání toho, který vám nejlépe vyhovuje, bude pravděpodobně věcí osobní preference. Váš výběr by se mohl řídit jedinečnou vlastností nástroje, který vás obzvláště osloví.
1. SolarWinds Network Configuration Manager (ZKUŠEBNÍ VERZE ZDARMA)
SolarWinds dělal některé z nejlepšíchnástroje pro správu sítě pro roky. Jeho Network Performance Monitor a NetFlow Traffic Analyzer jsou jedny z nejlepších SNMP monitorování sítě a NetFlow sběratelských a analyzátorových balíčků, které můžete najít. SolarWinds také vyrábí některé vynikající bezplatné nástroje, které řeší specifické potřeby, jako je kalkulačka podsítě nebo server TFTP.
Pokud jde o nástroje pro konfiguraci sítě, SolarWinds Network Configuration Manager, nebo NCM, je jedním z nejlepších balíčků, které můžete najít. Například vám pomůže zajistit, aby všechny konfigurace zařízení byly standardizovány. Pomocí tohoto nástroje můžete posunout hromadné změny konfigurace do tisíců síťových zařízení. Z bezpečnostního hlediska bude nástroj detekovat neautorizované změny, které by mohly být známkou nedovoleného zásahu do konfigurace. V rámci zabezpečení má tento produkt také některé zajímavé funkce pro posouzení zranitelnosti a jeho integrace s národní databází zranitelností umožňuje přístup k nejaktuálnějším běžným expozicím pro zranitelnost za účelem identifikace zranitelností ve vašich zařízeních Cisco.
The SolarWinds Network Configuration Manager vám může pomoci rychle se zotavit z poruchobnovení předchozích konfigurací. Nástroj samozřejmě také zálohuje konfigurace. Můžete také použít jeho funkce správy změn k rychlé identifikaci změn uvnitř konfiguračního souboru a zvýraznění změn. Tento nástroj vám dále umožní prokázat shodu a absolvovat regulační audity díky vestavěným zprávám v průmyslovém měřítku.
Pokud vaše síť obsahuje brány firewall Cisco ASA nebo přepínače Cisco Nexus, budete těžit z ještě pokročilejších funkcí. Network Insight pro Cisco ASA, vestavěnou funkci systému NCM, zjistí bezpečnostní kontexty, zálohu aobnovit konfigurační soubory; objevovat, vizualizovat a auditovat seznamy řízení přístupu a snadno spravovat aktualizace firmwaru pro zařízení Cisco ASA. Síťové Insight pro Nexus, které je také součástí, vám také poskytne hlubší viditelnost do přepínačů vašeho datového centra a umožní vám filtrovat, vyhledávat a identifikovat změny konfigurace pro seznamy ACL a také zobrazit úryvky konfigurace rozhraní a získat podporu kontextu virtuálních zařízení (VDC). pro detekci rodičů / dětí.
Ceny za SolarWinds Network Configuration Manager začněte na 2 895 $ a liší se podle počtuspravovaných uzlů se sedmi úrovněmi licencí. Pokud chcete software před zakoupením vyzkoušet, je k dispozici bezplatná plně funkční, neomezená 30denní zkušební verze.
2. ManageEngine Network Configuration Manager
ManageEngine je další známé jménosprávci sítě. Jeho Network Configuration Manager je komplexní balíček, který vám může pomoci zajistit integritu vaší sítě. Tento nástroj lze použít ke správě konfigurace většiny síťových zařízení bez ohledu na výrobce. Kromě toho je v souladu se standardy NCCCM (Network Change, Configuration and Compliance Management).
The ManageEngine Network Configuration Manager bude automaticky zpracovávat zálohy vašehokonfigurace zařízení pravidelně. Porovná každou následující zálohu s předchozí, hledá změny konfigurace a upozorní vás na neautorizované. Může také generovat zprávy o konfiguračních nesrovnalostech mezi podobnými zařízeními.
The ManageEngine Network Configuration Manager obsahuje funkci protokolování, která zaznamenává každýprovedená změna a také to, který uživatel ji provedl. Účty uživatelů provádějících neoprávněné změny mohou být automaticky pozastaveny. Systém vás také upozorní, pokud má podezření, že byl uživatelský účet napaden.
Software, který se instaluje na Windows a Linuxje k dispozici jako bezplatná verze, která je omezena na dvě zařízení. U více zařízení ceny začínají na 595 USD až pro 10 spravovaných zařízení a liší se v závislosti na počtu spravovaných zařízení. U placených licencí je k dispozici bezplatná 30denní zkušební verze.
3. Doplněk WhatsUp Gold Network Configuration Management
WhatsUp Gold byl navždy jakotyp monitorovacího nástroje nahoru nebo dolů. V průběhu věků se neustále vyvíjel a přidával další funkce, aby se dostal tam, kde je nyní: plnohodnotný síťový monitorovací systém. Ale jedna skvělá věc na WhatsUp Gold je, že jeho funkčnost může být rozšířena pomocí doplňků. Jeden z těchto doplňků se nazývá doplněk Configuration Management.
Doplněk WhatsUp Gold Configuration Managementumožňuje udržovat integritu síťových zařízení. Tento nástroj nejprve prohledá všechna vaše zařízení a uloží jejich konfiguraci do své databáze. Od té doby může provádět audit shody konfigurací nebo porovnávat aktuální s referenčním, aby zjistil neautorizované změny. Software vám také umožní tyto změny snadno vrátit a obnovit původní konfiguraci.
Doplněk WhatsUp Gold Configuration Managementje k dispozici jako doplněk k edicím Premium, MSP a Distributed of WhatsUp Gold a je součástí vydání WhatsUp Gold Total Plus a balíčku pro správu sítě WhatsUp Gold. K dispozici je také bezplatná 30denní zkušební verze.
4. ConfiBack
Mysleli jsme si, že zahrneme ConfiBack do tohoto seznamunavzdory skutečnosti, že postrádá některé funkce nástroje pro konfiguraci sítě v dobré víře. Je to dobrý příklad toho, jak může vypadat jednodušší nástroj pro správu konfigurace. Jedná se o bezplatný záložní systém konfigurace zařízení z České republiky, který běží hlavně na Linuxu. Ačkoli má ve srovnání se třemi předchozími položkami omezenou funkčnost, stále je to velmi zajímavá možnost pro menší obchodní a neziskové organizace, které si chtějí užít některé z výhod správy konfigurace bez utrácení tisíců dolarů.
ConfiBack zálohy je třeba spustit ručně, ale můžeteplánujte je tak, aby se prováděly pravidelně Nástroj také pomáhá s detekcí neautorizovaných změn, i když prostřednictvím ručního procesu. Je třeba porovnat dvě zálohy konfigurace zařízení ručně pomocí příkazu diff. Rozdíl najde všechny rozdíly mezi těmito dvěma soubory, čímž zvýrazní každý řádek, který se změnil. Je tedy na vás, abyste určili, zda je změna oprávněná nebo ne
To je skoro všechno, co dostanete s ConfiBackem. Je to velmi základní produkt, ale pak to zase stačí pro vaši potřebu. A jeho cenu prostě nelze porazit.
5. rConfig
Další na našem seznamu je nástroj zvaný rConfig. Tento zajímavý nástroj má omezené funkce, ale funguje velmi dobře. Automaticky detekuje všechna vaše síťová zařízení a zálohuje jejich konfigurace do textových souborů. Zálohy lze spouštět ručně nebo plánovaným způsobem. Jednou z funkcí, které jsme považovali za užitečné, je seskupení zařízení do kategorií. Umožňuje správcům provádět akce na jednotlivých zařízeních, na zařízeních v kategorii nebo na všech zařízeních. Ověření a audit neautorizovaných změn konfigurace je ruční proces, podobně jako u ConfiBacku.
rConfig lze použít k rychlému standardizacikonfigurace zařízení jednotlivě nebo v kategorizovaných skupinách. Standardní konfiguraci z úložiště souborů lze vytisknout na zařízení. Tento nástroj také poskytuje některé funkce auditování souladu. V rConfig lze nastavit zásady odpovídající specifickým požadavkům na dodržování předpisů nebo vašim vlastním podnikovým postupům. Správce souladu s konfiguracemi, který je součástí systému, pak může ověřit vaše konfigurace na základě stanovených zásad a prokázat jejich shodu.
rConfig je k dispozici v bezplatné komunitní verzi nebo v profesionální verzi s bezplatnou podporou a opravami chyb za méně než 500 EUR ročně. Běží pouze na CentOS a RedHat Enterprise Linux.
6. Čistý LineDancer
Přes své neobvyklé jméno, Net LineDancer, kteréČasto se nazývá NetLD, je skvělým nástrojem od dodavatele LogicVein se všemi funkcemi, které byste očekávali od správce konfigurace. Tento nástroj může spravovat tisíce zařízení prostřednictvím automatizovaných procesů. Produkt nejprve najde všechna vaše zařízení a provede snímek jejich konfigurace a vytvoří základní linii. Tato základní linie pak může být použita k identifikaci změn v konfiguraci každého zařízení.
Kromě zálohování konfigurací lze uložené soubory použít ke konfiguraci zařízení v dávkách. To lze provést podle typu zařízení nebo jednotlivě. Hlášení je také velmi dobré NetLD. Může například informovat o tom, co uživatel provedl, což se změnilo v konfiguraci, což je užitečná funkce pro audit shody.
Net LineDancer může běžet na serverech Widows nebo naCentOS a RedHat Enterprise Linux. Je také k dispozici jako virtuální zařízení od WMware ESX nebo jako cloudová služba. Informace o cenách nejsou snadno dostupné, ale lze získat 30denní zkušební období.
7. TrueSight Network Automation
TrueSight Network Automation je nový názevAutomatizace sítě BladeLogic od softwaru BMC. Prodejce také upgradoval software a změnil jej na docela dobrý systém správy konfigurace. Vypadá to, že byla věnována velká pozornost vlastnostem produktu v souladu s normami.
Audit dodržování předpisů se provádí prostřednictvím zásad. Tento nástroj přichází s několika předem připravenými politikami pro takové regulační požadavky, jako jsou HIST, HIPAA, PCI / DSS, DIS, SOX nebo SCAP. Automatizace sítě TrueSight použije zásady ke kontrole shody konfigurací zařízení. Může také automaticky vymáhat standardy a podle potřeby upravovat konfigurace.
Stejně jako mnoho podobných nástrojů, software původněprohledá síť a najde všechna vaše zařízení, zkontroluje jejich shodu a v případě potřeby upraví jejich konfigurace. Poté zazálohuje konfigurace a použije je jako srovnávací bod k detekci neautorizovaných změn konfigurace.
Síťová automatizace TrueSight vám umožňuje vytvářetuživatelé a skupiny a přiřadit různé části svého uživatelského rozhraní různým skupinám uživatelů. Mohli byste mít různé dashboardy pro různé uživatele. Další výkonnou funkcí tohoto nástroje jsou hromadné změny konfigurace nebo aktualizace firmwaru. Systém má také možnosti správy oprav.
Je možné nainstalovat TrueSight Network AutomationWindows Server, RedHat Enterprise Linux a Ubuntu. Informace o cenách lze získat kontaktováním prodejního oddělení dodavatele a zdá se, že bezplatná zkušební verze není k dispozici.
8. Lan-Secure Configuration Center
Naše poslední položka je konfigurace Lan-SecureCentrum, docela dobrý systém řízení konfigurace sítě. Má všechny základní funkce a další. Stejně jako většina jiných takových nástrojů, bude nejprve prohledávat vaši síť, aby objevila všechna vaše síťová zařízení a vytvořila zálohu jejich konfigurací. Dále si můžete prohlédnout své konfigurace a rozhodnout se o správných zásadách pro potřeby a povinnosti vaší organizace.
Můžete použít konfigurační centrum Lan-Secureaktualizovat konfigurace nebo upravovat nastavení všech zařízení, konkrétních typů zařízení nebo jednotlivých zařízení. Nástroj také provádí pravidelné kontroly konfigurace zařízení proti zálohám, aby zjistil neoprávněné změny. Tyto změny mohou buď vyvolat výstrahu, nebo je lze automaticky vrátit zpět na původní hodnotu. Tento nástroj lze použít ke správě vzdálených webů z centralizovaného systému umístění a používá SSH pro bezpečnou komunikaci se vzdálenými weby, a to i přes nezajištěné obvody.
K dispozici je konfigurační centrum Lan-Secureve verzi Workgroup za 99 $. To je omezeno na správu až deseti zařízení. U více zařízení je verze Enterprise dostupná za ceny, které se liší v závislosti na počtu spravovaných zařízení. V každé verzi je k dispozici bezplatná 30denní zkušební verze.
Komentáře