Wiadomości
Analizatory protokołów: jak ich używać?
TAGI:
analizator protokołu, sniffer
Analizatory protokółów pozwalają zajrzeć do sieci. Zawartość pakietów i zmieniające się trendy mogą dostarczyć cennych informacji o jej kondycji czy nawet o atakach na nią. Jak je implementować w sieci?
WiresharkTak jak każde inne narzędzie, również analizatory protokołów wymagają umiejętnej implementacji.
Wiedza
Potrzebujemy specjalistów dysponujących wiedzą odnośnie efektywnego wykorzystania narzędzi analizy protokołów do lokalizowania problemów sieciowych, strojenia zapór ogniowych i innych urządzeń bezpieczeństwa, a także śledzenia przypadków atakowania sieci przedsiębiorstwa.
Zobacz też: Jeśli coś działa, lepiej zostaw to w spokoju
W dużych organizacjach łatwiej można znaleźć fachowców z odpowiednimi kwalifikacjami, gwarantujących możliwość efektywnego użycia tych narzędzi, ale generalnie są oni rzadkością. Wielu administratorów sieci może mieć trudności z wykorzystaniem informacji dostarczanej przez takie narzędzie. Na wagę złota będą specjaliści z dużym doświadczeniem w konfigurowaniu zapór sieciowych i systemów wykrywania wtargnięć. Osoby takie powinny wykazywać się gruntowną znajomością protokołów i zasad ich działania, aby móc szybko sprawdzać wychwycone pakiety,lokalizować problem i usuwać go.
Poszukiwać należy osób biegle posługujących się schematem modelu OSI - pracownicy działów IT to często "wąscy" specjaliści: np. programiści specjalizujący się w warstwie aplikacyjnej czy zespół operacji sieciowych, który zna sieć i warstwę transportową. Jednak przy lokalizowaniu problemów trzeba bardzo szybko i sprawnie nawigować przez cały stos protokołów - od warstwy fizycznej do warstwy aplikacyjnej.
Polecamy: Dziewięć zasad wytrawnego administratora Uniksa
Jeżeli nie dysponujemy dostatecznymi umiejętnościami w zakresie analizy protokołów, pozwalającymi efektywnie analizować wszystkie operacje sieciowe, warto rozważyć wynajęcie konsultanta, zwłaszcza przy nowych projektach, obejmujących wprowadzenie nowych usług, lub do prowadzenia śledztw po większych incydentach związanych z bezpieczeństwem.
Odpowiednia skala narzędzia
W dużych, rozproszonych środowiskach i przy braku dostatecznej liczby własnych analityków, waro inwestować w analizatory protokołów lub produkty monitorowania i analizy klasy enterprise. Luka umiejętności w tym zakresie stale się powiększa i scenariusz, w którym technicy wyposażeni w analizatory są przerzucani z jednego oddziału zamiejscowego do innego jest już dzisiaj anachroniczny.
Specjalizowane urządzenia analizujące dla przedsiębiorstw pozwalają na przechwytywanie i gromadzenie danych z całej sieci, wykonywanie pewnych analiz automatycznie i lokalizowanie problemów z dowolnego miejsca sieci przedsiębiorstwa.
Analizator nie od parady
Wielu użytkowników korzysta z tych narzędzi w ostateczności - przechwytywanie pakietów to ostatnia rzecz, o jakiej myślą. Często jest też tak, że przez dłuższy czas nie mają nawet ustawionego portu lustrzanego do wychwytywania ruchu. Te narzędzia mają pomagać a nie być ozdobą. Należy je traktować jako integralne części swojej sieci, aplikacji i procedur bezpieczeństwa.
Poziom odniesienia
Ustalimy poziom odniesienia dla normalnego ruchu sieciowego i zachowań aplikacji, aby można było szybko i dokładnie ocenić na czym polega problem, poinformować odpowiednią osobę, odpowiedzialną za bezpieczeństwo, i uruchomić odpowiednie procedury śledzące i naprawcze. Aby skorzystać z analizatora musimy wiedzieć, co jest normą, a co od niej odbiega. Zaleca się więc przechowywanie plików z danymi przechwyconymi w normalnym dniu pracy, które mogą pomóc w analizie (porównawczej) problemu.
Komentarze (1)
Kolejny art o oczywistych oczywistościach
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...