Pro každého zkušeného administrátora sítě představuje konfigurace síťových zařízení rutinní záležitost, kterou mnozí zvládnou i bez většího soustředění. Ačkoli se tento proces může jevit jako snadný, moderní operační systémy pro síťová zařízení, jako je Cisco IOS, nabízejí rozsáhlé možnosti, což s sebou přináší i potenciál pro chyby. Navíc, s rostoucí velikostí sítě se riziko výskytu omylů zvyšuje.
Uvažte situaci, kdy spravujete rozsáhlou síť. Nebylo by žádoucí, aby všechna zařízení sdílela podobné nastavení? Nemusela by být naprosto identická, avšak klíčové parametry by měly být sjednoceny. S ohledem na aktuální legislativu, jako jsou PCI/DSS, SOX a další, se určité aspekty konfigurace stávají povinnými a musejí být implementovány na všech zařízeních. Právě zde mohou být neocenitelné sofistikované nástroje pro správu síťových konfigurací, o kterých si dnes povíme více.
Špičkové nástroje nejenže zajistí jednotnost nastavení vašich zařízení, ale také prokáží jejich soulad s platnými předpisy. Zabezpečení je dalším zásadním aspektem, neboť útočníci často cílí na konfiguraci zařízení, aby si neoprávněně zajistili přístup do sítě. Řada nástrojů pro správu konfigurace sítě vám dokáže zajistit ochranu před neautorizovanými zásahy, nebo vás na ně alespoň upozorní.
Nejprve si probereme samotný koncept správy konfigurací sítě. Objasníme si, co tento pojem zahrnuje a proč je důležitý. Dále se zaměříme na klíčové rysy, které by měly mít kvalitní nástroje pro správu síťových konfigurací. Ačkoli se jednotlivé nástroje liší, existují určité společné prvky, které by měl každý solidní nástroj splňovat. Nakonec si představíme několik z nejlepších dostupných nástrojů pro správu konfigurace sítě.
Vše, co potřebujete vědět o správě konfigurace sítě
Jednoduše řečeno, jakýkoli nástroj, který administrátorům usnadňuje správu síťové konfigurace, lze označit za nástroj pro konfiguraci sítě. Co ale přesně představuje správa konfigurace sítě? Odpovědi se mohou lišit, ale existuje několik zásadních aspektů. Především tyto nástroje slouží k dokumentaci a archivaci konfiguračních dat zařízení. V případě poruchy a nutnosti výměny zařízení je mnohem efektivnější načíst jeho konfiguraci z archivu, než ji vytvářet znovu, což může vést ke zpoždění a nekonzistenci.
Standardizace konfigurací zařízení je dalším klíčovým přínosem těchto nástrojů. Jednotná konfigurace výrazně zjednodušuje údržbu a odstraňování problémů. Kromě toho pomáhají nástroje pro správu konfigurace sítě dodržovat předpisy. Mnoho regulačních rámců, jako PCI/DSS a SOX, vyžaduje striktní pravidla pro konfiguraci přepínačů, specifikuje požadované bezpečnostní prvky a podobně. Nástroje pro správu konfigurace sítě vám mohou pomoci s auditem konfigurace zařízení a prokázat soulad s předpisy.
V oblasti auditování mohou nástroje pro správu konfigurace sítě detekovat neautorizované změny konfigurace přepínačů. Jak jistě víte, někteří uživatelé se zlými úmysly se snaží proniknout do firemních sítí úpravou nastavení síťových zařízení, čímž si vytvářejí zadní vrátka. I když se to může zdát jako scénář z filmu, je to reálné riziko. Pravidelná kontrola konfigurací síťových zařízení není jen pro paranoidní jedince, ale je to také efektivní metoda pro ověření dodržování interních procesů správy změn.
Typické prvky nástrojů pro konfiguraci sítě
Nástroje pro správu konfigurace sítě se mohou v mnoha aspektech lišit, avšak všechny sdílejí několik základních funkcí. Tyto funkce jsou považovány za esenciální a měly by být součástí každého nástroje, i když se implementace u jednotlivých produktů může lišit. Mezi typické funkce, které byste měli v nástrojích pro správu konfigurace sítě najít, patří:
Především by nástroj měl umožňovat vytváření standardní konfigurace a měl by také zajišťovat zálohy konfigurací zařízení. Dále je zásadní monitorování konfigurace a upozorňování administrátorů na neautorizované změny. Většina kvalitních nástrojů by měla umožňovat i snadné vrácení změn a v neposlední řadě by měly usnadňovat distribuci aktualizací firmwaru, i když tento poslední aspekt nebývá tak častý.
Kromě těchto základních funkcí mohou nástroje pro správu konfigurace sítě obsahovat další užitečné doplňky. Mezi nejpřínosnější funkce patří audit dodržování standardů, hromadné změny konfigurace a aktualizace firmwaru a správa oprav.
Nejlepší nástroje pro správu konfigurace sítě
Sestavili jsme seznam nejlepších dostupných nástrojů pro správu konfigurace sítě. Mnohé z nich nabízejí více než jen základní funkce, včetně všech volitelných funkcí zmíněných výše a ještě více. Všechny níže uvedené nástroje jsou špičkové a můžeme je s jistotou doporučit. Výběr toho pravého pro vás závisí na vašich osobních preferencích a specifických požadavcích. Může vás oslovit nějaká konkrétní funkce. Většina těchto nástrojů nabízí bezplatnou zkušební verzi nebo bezplatnou verzi s omezenou funkcionalitou, takže je neváhejte otestovat. To je totiž nejlepší způsob, jak zjistit, zda daný nástroj odpovídá vašim potřebám.
1. Správce konfigurace sítě SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
SolarWinds je dlouhodobě známý jako výrobce špičkových nástrojů pro správu sítí. Společnost si vybudovala skvělou reputaci u správců sítí. Mezi jejich nejznámější produkty patří Network Performance Monitor a NetFlow Traffic Analyzer, které jsou považovány za jedny z nejlepších nástrojů pro monitorování SNMP a NetFlow. SolarWinds je také proslulý tvorbou užitečných bezplatných nástrojů, které řeší specifické potřeby administrátorů, jako je například kalkulačka podsítí nebo TFTP server.
Společnost SolarWinds nabízí také nástroj Správce konfigurace sítě, známý jako NCM, který je jedním z nejlepších nástrojů v této kategorii. Tento nástroj je velmi všestranný. Pomůže vám zajistit, že konfigurace všech vašich zařízení budou standardizovány. Můžete ho také využít k provedení hromadných změn konfigurace u tisíců síťových zařízení. Z hlediska zabezpečení dokáže nástroj detekovat neautorizované změny, které by mohly signalizovat škodlivý útok na konfiguraci. Aby toho nebylo málo, tento produkt disponuje také pokročilými funkcemi pro hodnocení zranitelností a díky integraci s národní databází zranitelností má přístup k nejnovějším informacím o běžných rizikových zranitelnostech a dokáže identifikovat slabá místa ve vašich zařízeních.
Správce konfigurace sítě SolarWinds vám umožní rychlé zotavení po selhání díky obnovení předchozích konfigurací. Nástroj také automaticky zálohuje konfigurace. Jeho funkce pro správu změn umožňují rychle identifikovat změny v konfiguračním souboru a zvýraznit modifikované části. Navíc tento nástroj pomáhá s prokázáním souladu a úspěšným absolvováním regulačních auditů díky svým předdefinovaným standardním reportům.
Pokud ve své síti používáte firewally Cisco ASA nebo přepínače Cisco Nexus, získáte ještě více pokročilých funkcí. Funkce Network Insight pro Cisco ASA, která je součástí NCM, odhalí bezpečnostní kontexty, zálohuje a obnoví konfigurační soubory, objeví, vizualizuje a audituje seznamy řízení přístupu a usnadní správu aktualizací firmwaru pro zařízení Cisco ASA. Funkce Network Insight pro Nexus nabízí hlubší přehled o přepínačích datových center, umožňuje filtrovat, vyhledávat a identifikovat změny konfigurace a zobrazovat výřezy konfigurace rozhraní. Navíc poskytuje podporu virtuálních zařízení (VDC) pro detekci rodičovských a dceřiných vztahů.
Cena nástroje Správce konfigurace sítě SolarWinds začíná na 2 895 USD pro padesát uzlů a zvyšuje se s počtem spravovaných uzlů. Pokud si chcete software vyzkoušet před zakoupením, je k dispozici plně funkční 30denní zkušební verze bez omezení počtu uzlů.
2. ManageEngine Network Configuration Manager
ManageEngine je dalším významným jménem v oblasti správy sítí. Společnost se specializuje na vývoj široké škály nástrojů pro správu sítě. Jejich produkt Správce konfigurace sítě je komplexní balík, který napomáhá zajistit integritu vaší sítě. Tento nástroj lze použít ke správě konfigurace většiny síťových zařízení bez ohledu na výrobce a splňuje standardy NCCCM (Network Change, Configuration and Compliance Management).
ManageEngine Network Configuration Manager automaticky vytváří pravidelné zálohy konfigurací vašich zařízení. Každou novou zálohu porovná s předchozí, detekuje změny konfigurace a upozorní vás na neoprávněné nebo podezřelé úpravy. Dokáže také generovat reporty o nesrovnalostech v konfiguraci mezi podobnými zařízeními.
Tento nástroj obsahuje funkci protokolování, která zaznamenává každou provedenou změnu a také to, který uživatel ji provedl. Účty uživatelů, kteří provádějí neoprávněné změny, mohou být automaticky pozastaveny. Systém vás také může upozornit, pokud má podezření na narušení uživatelského účtu.
Software, který se instaluje na Windows nebo Linux, je dostupný i jako bezplatná verze, která je však omezena na dvě zařízení. U větších instalací začínají ceny na 595 USD za až 10 spravovaných zařízení a liší se v závislosti na celkovém počtu spravovaných zařízení. K placeným licencím je k dispozici bezplatná 30denní zkušební verze.
3. TrueSight Network Automation
TrueSight Network Automation od BMC Software, dříve známý jako BladeLogic Network Automation, nejenže změnil svůj název, ale také prošel výraznou modernizací a stal se vynikajícím systémem pro správu konfigurace. Společnost věnovala velkou pozornost dodržování standardů.
Audit souladu probíhá prostřednictvím zásad. Nástroj je dodáván s několika předem připravenými zásadami pro regulativní požadavky, jako jsou HIST, HIPAA, PCI/DSS, DIS, SOX nebo SCAP. TrueSight Network Automation používá tyto zásady pro kontrolu souladu konfigurací zařízení. Nejenže provádí kontrolu konfigurací, ale také dokáže automaticky vynucovat standardy a upravovat konfigurace podle potřeby, což je velmi silná funkce.
Po instalaci software provede úvodní skenování sítě, aby nalezl všechna zařízení, zkontroloval jejich soulad a případně upravil jejich konfiguraci. Následně zálohuje konfigurace a použije je jako výchozí srovnávací bod pro detekci neoprávněných změn konfigurace.
TrueSight Network Automation umožňuje vytvářet uživatele a skupiny a autorizovat různé skupiny uživatelů pro přístup k různým částem uživatelského rozhraní. Tato funkce umožňuje mít různé řídicí panely pro různé uživatele. Dalšími silnými stránkami produktu jsou hromadné změny konfigurace a aktualizace firmwaru. Systém nabízí také možnosti správy záplat.
TrueSight Network Automation lze instalovat na Windows Server, RedHat Enterprise Linux a Ubuntu. Informace o cenách získáte kontaktováním prodejního oddělení dodavatele, bezplatná zkušební verze není zřejmě dostupná.
4. Lan-Secure Configuration Center
Lan-Secure Configuration Center je dalším výjimečným nástrojem pro správu konfigurace sítě, který si zaslouží své místo v našem seznamu. Disponuje všemi podstatnými funkcemi a nabízí i něco navíc. Stejně jako většina podobných nástrojů, i tento nejprve prohledá síť, objeví síťová zařízení a provede zálohu jejich konfigurací. Následně můžete tento nástroj použít k analýze konfigurací a k vytvoření optimálních zásad pro potřeby vaší organizace a k dodržení regulativních a smluvních požadavků.
Lan-Secure Configuration Center je velmi flexibilní a lze ho použít k aktualizaci konfigurací nebo úpravě nastavení všech zařízení, konkrétních typů zařízení nebo jednotlivých zařízení. Produkt dokáže provádět pravidelné kontroly konfigurací zařízení srovnáním se zálohami, aby odhalil neoprávněné změny. V případě detekce může buď spustit výstrahu, nebo automaticky obnovit původní stav. Tento nástroj lze použít ke správě vzdálených lokací z centralizovaného umístění a k zabezpečené komunikaci se vzdálenými lokalitami, i přes nezabezpečené okruhy, využívá SSH.
Lan-Secure Configuration Center je dostupný v několika edicích. Verze Workgroup je k dispozici za 99 USD, ale je omezena na správu maximálně deseti zařízení. Pro větší sítě je určena verze Enterprise, jejíž cena se liší podle počtu spravovaných zařízení. K dispozici je bezplatná 30denní zkušební verze obou verzí.
5. Doplněk WhatsUp Gold Network Configuration Management
Kdo by neznal WhatsUp Gold? Tento nástroj je dlouhodobě oblíbený pro sledování dostupnosti a výkonu sítě. Produkt se však neustále vyvíjí a přidávají se do něj nové funkce. Dnes se jedná o komplexní monitorovací systém, který se vyrovná i těm nejlepším nástrojům v oboru. Jednou z výhod WhatsUp Gold je možnost rozšíření funkcionality pomocí doplňků. Jedním z těchto doplňků je právě Doplněk pro správu konfigurace.
Doplněk WhatsUp Gold Configuration Management umožňuje administrátorům chránit integritu jejich síťových zařízení. Podobně jako mnoho jiných nástrojů nejprve prohledá všechna zařízení a uloží jejich konfiguraci do databáze. Následně může nástroj ověřovat shodu konfigurací nebo porovnávat aktuální verzi s referenční a detekovat neoprávněné změny. Software vám také umožní snadno vrátit změny zpět a obnovit původní konfiguraci.
Doplněk WhatsUp Gold Configuration Management je dostupný jako doplněk k edicím Premium, MSP a Distributed WhatsUp Gold a je také součástí edice WhatsUp Gold Total Plus a Balíčku správce sítě WhatsUp Gold. Stejně jako u většiny produktů z této řady je k dispozici bezplatná 30denní zkušební verze.
6. Net LineDancer
Náš další nástroj má poněkud neobvyklé jméno. Nicméně Net LineDancer od LogicVein je vynikající nástroj, který splňuje všechny požadavky na kvalitní správu síťové konfigurace. Lze ho využít ke správě tisíců zařízení pomocí automatizovaných procesů. Produkt nejprve vyhledá všechna zařízení a uloží snímek jejich konfigurací, čímž vytvoří výchozí bod. Tento základní snímek je pak využit k identifikaci změn v konfiguraci jednotlivých zařízení. Jedná se o standardní postup, který je využíván u mnoha podobných nástrojů.
Silnou stránkou Net LineDancer je, že uložené konfigurační soubory lze použít nejen pro zálohování, ale také pro hromadnou konfiguraci zařízení. To lze provést podle typu zařízení nebo individuálně. Další výhodou tohoto produktu je reporting. Může například generovat reporty, které zaznamenávají, který uživatel provedl jakou změnu konfigurace, což je užitečné pro účely auditu.
Net LineDancer lze provozovat na serverech Windows nebo na CentOS a RedHat Enterprise Linux. Je k dispozici také jako virtuální zařízení pro VMware ESX nebo jako cloudová služba. Informace o cenách získáte kontaktováním prodejců LogicVein, k dispozici je 30denní zkušební verze.
Na závěr
Existuje mnoho nástrojů pro správu konfigurace sítě, mnohem více, než jsme zde mohli zmínit. Snažili jsme se zahrnout ty nejlepší, které jsme našli a doporučujeme kterýkoliv z nich. Vzhledem k tomu, že všechny zde uvedené nástroje kromě jednoho nabízejí 30denní zkušební verzi, nic vám nebrání vyzkoušet si několik z nich a vybrat si ten, který nejlépe vyhovuje vašim potřebám.