Pro každého zkušeného správce sítě je konfigurace zařízení hračkou. Mnozí by to pravděpodobně dokázali ve spánku. Ale ačkoli se konfigurace může zdát jednoduchá, s moderními operačními systémy pro síťová zařízení – jako je Cisco IOS – mající spoustu možností, je zde velký prostor pro chyby. A čím větší je síť, tím větší prostor pro chyby se zdá být.
Co kdybyste spravovali řadu zařízení, nechtěli byste, aby měla podobné konfigurace? Nebyly by totožné, ale obecné možnosti by měly být pro všechna zařízení stejné. S dnešními předpisy, jako je PCI/DSS, SOX a další, jsou některé možnosti konfigurace povinné a musí být přítomny na všech zařízeních. Zde mohou pomoci nejlepší nástroje pro správu síťových konfigurací a o tom dnes budeme diskutovat.
Nejlepší z těchto nástrojů nejen zajistí normalizaci konfigurací vašeho zařízení, ale také prokážou jejich shodu s předpisy. Zabezpečení je také důležitým aspektem těchto nástrojů, protože hackeři často zahajují své útoky úpravou konfigurace zařízení, aby získali přístup k sítím. Mnoho nástrojů pro správu konfigurace sítě vás buď ochrání před neoprávněnými změnami, nebo vás na ně alespoň upozorní.
Začneme diskusí o správě konfigurace sítě. Podíváme se, co to je a proč to potřebujete. Poté budeme hovořit o základních prvcích nástrojů pro správu konfigurace sítě. I když se ve své sadě funkcí hodně liší, existuje společný základ, který můžete očekávat u každého dobrého. Nakonec přejdeme k jádru věci a probereme některé z nejlepších nástrojů pro správu síťových konfigurací.
Table of Contents
Vše, co potřebujete vědět o správě konfigurace sítě
Jednoduše řečeno, jakýkoli nástroj, který pomáhá správcům se správou konfigurace sítě, lze označit jako nástroj pro konfiguraci sítě, prostý a jednoduchý. Ale co přesně je správa konfigurace sítě? No, zdá se, že na to má každý svůj názor. Ale ve skutečnosti existuje mnoho prvků správy konfigurace sítě. V první řadě se tyto nástroje používají k dokumentaci a/nebo nějakému uchování konfiguračních dat zařízení. Kdykoli se nějaké zařízení rozbije a musí být vyměněno, je mnohem snazší vytáhnout jeho konfiguraci z nějakého archivu, než ji předělávat od začátku, což může vést ke zpožděním a nesrovnalostem.
Nasazení standardních konfigurací zařízení je dalším místem, kde mohou nástroje pro správu konfigurace sítě hodně pomoci. Standardní konfigurace značně usnadňuje údržbu a také pomáhá při odstraňování problémů. Kromě standardních konfigurací pomohou s dodržováním předpisů také nástroje pro správu konfigurace sítě. Mnoho regulačních rámců – jako PCI/DSS nebo SOX – má přísná pravidla, jak by měly být konfigurovány přepínače, jaké možnosti zabezpečení musí být povoleny atd. Nástroje pro správu konfigurace sítě mohou pomoci s auditem konfigurace zařízení a demonstrací shody.
A když už jsme u auditování, nástroje pro správu konfigurace sítě mohou také pomoci s auditováním konfigurace přepínače pro neoprávněné změny. Všichni jsme slyšeli o uživatelích se zlými úmysly, kteří se pokoušeli získat přístup k podnikovým sítím tím, že nejprve upravili konfiguraci síťových zařízení tak, aby zavedli zadní vrátka. Může to být jen městská legenda nebo sekvence z filmu, ale je to riziko, které jste ochotni podstoupit? Audit konfigurace síťového zařízení pro neoprávněné změny není jen pro paranoiky mezi námi, může být také užitečný pro ověření, že jsou dodržovány procesy řízení změn.
Typické prvky nástrojů pro konfiguraci sítě
Nástroje pro správu konfigurace sítě se sice velmi liší, ale všechny sdílejí alespoň společnou sadu základních funkcí. Jsou považovány za základní funkce a každý nástroj je bude obsahovat, i když se jejich implementace může nástroj od nástroje lišit. Zde jsou některé běžné funkce, které byste měli najít ve většině nástrojů pro správu konfigurace sítě.
Za prvé, nástroj by měl nabízet způsob, jak vytvořit výchozí konfiguraci. Měl by také zpracovávat zálohy konfigurace zařízení. Měl by poskytovat určitou formu monitorování konfigurace a upozorňovat administrátory nebo manažery na neoprávněné změny. Většina dobrých nástrojů pro správu konfigurace sítě také poskytne způsob, jak snadno vrátit změny zpět a v neposlední řadě by měla pomoci při distribuci aktualizací firmwaru, i když tento poslední prvek je méně obvyklý.
Kromě těchto náležitostí mohou nástroje pro správu konfigurace sítě obsahovat také další funkce. Mezi nejběžnější a nejužitečnější patří audit dodržování norem. Mezi nejužitečnější volitelné funkce patří také hromadné změny konfigurace, stejně jako aktualizace firmwaru a správa oprav.
Nejlepší nástroje pro správu konfigurace sítě
Pokusili jsme se sestavit seznam nejlepších nástrojů pro správu konfigurace sítě. Mnoho produktů dalece přesahuje základní funkce a zahrnuje nejen všechny volitelné funkce, které jsme zmínili dříve, ale ještě více než to. Všechny níže recenzované nástroje jsou vynikající nástroje, které bychom neváhali doporučit. Výběr toho, který vám nejlépe vyhovuje, bude pravděpodobně věcí osobních preferencí. Váš výběr by se mohl řídit jedinečnou funkcí nástroje, která vás obzvláště osloví. Mnoho nástrojů má bezplatnou zkušební verzi nebo bezplatnou verzi s omezeným počtem funkcí, takže je neváhejte vyzkoušet. Koneckonců, toto je nejlepší způsob, jak zjistit, zda je nástroj vhodný pro vaše potřeby.
1. Správce konfigurace sítě SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
SolarWinds už léta vyrábí jedny z nejlepších nástrojů pro správu sítě. Společnost si získala solidní reputaci u správců sítí. Jeho Network Performance Monitor a NetFlow Traffic Analyzer patří mezi nejlepší SNMP síťové monitorování a NetFlow kolektory a analyzátory. SolarWinds je také známý tím, že vytváří několik skvělých bezplatných nástrojů, které řeší specifické potřeby síťových administrátorů, jako je kalkulačka podsítě nebo TFTP server.
SolarWinds také vyrábí Správce konfigurace sítěnebo NCM, jeden z nejlepších nástrojů, které můžete najít. Nástroj má mnoho využití. Může vám pomoci zajistit, že všechny konfigurace zařízení jsou standardizované. Můžete jej také použít k prosazení hromadných změn konfigurace tisícům síťových zařízení. A z hlediska zabezpečení bude nástroj detekovat neoprávněné změny, které by mohly být známkou škodlivého zásahu do konfigurace. A aby byl ještě atraktivnější, tento produkt má také některé zajímavé funkce pro hodnocení zranitelnosti a jeho integrace s národní databází zranitelností mu umožňuje přístup k nejaktuálnějším běžným rizikům ohrožení zranitelností a identifikaci zranitelností ve vašich zařízeních.
The Správce konfigurace sítě SolarWinds vám může pomoci rychle se zotavit ze selhání obnovením předchozích konfigurací. To znamená, že nástroj bude také zálohovat konfigurace. A můžete použít jeho funkce pro správu změn k rychlé identifikaci změn v konfiguračním souboru a zvýraznění změn. Kromě toho vám tento nástroj umožní prokázat shodu a projít regulačními audity díky svým vestavěným standardním zprávám.
Pokud má vaše síť firewally Cisco ASA nebo přepínače Cisco Nexus, budete mít prospěch z ještě pokročilejších funkcí. Network Insight pro Cisco ASA, vestavěná funkce NCM, odhalí bezpečnostní kontexty, zálohuje a obnoví konfigurační soubory, objeví, vizualizuje a audituje seznamy řízení přístupu a snadno spravuje upgrady firmwaru pro zařízení Cisco ASA. Network Insight pro Nexus, který je součástí dodávky, vám poskytne hlubší přehled o přepínačích datového centra a umožní vám filtrovat, vyhledávat a identifikovat změny konfigurace, stejně jako zobrazovat úryvky konfigurace rozhraní a získat podporu virtuálního zařízení (VDC) pro rodiče/dítě. detekce.
Cena za Správce konfigurace sítě SolarWinds začíná na 2 895 $ až pro padesát uzlů a stoupá s počtem spravovaných uzlů. Pokud si chcete software před zakoupením vyzkoušet, je k dispozici bezplatná plně funkční 30denní zkušební verze bez omezení uzlů.
2. ManageEngine Network Configuration Manager
ManageEngine je další známý název pro správce sítě. Společnost také vyrábí širokou škálu nástrojů pro správu sítě. Své Správce konfigurace sítě je komplexní balíček, který může pomoci zajistit integritu vaší sítě. Tento nástroj lze použít ke správě konfigurace většiny síťových zařízení bez ohledu na dodavatele a je v souladu se standardy NCCCM (Network Change, Configuration and Compliance Management).
The ManageEngine Network Configuration Manager bude automaticky pravidelně zpracovávat zálohy konfigurací vašich zařízení. Porovná každou následující zálohu s předchozí, vyhledá změny konfigurace a upozorní vás na neoprávněné nebo podezřelé. Může také generovat zprávy o nesrovnalostech v konfiguraci mezi podobnými zařízeními.
Tento nástroj obsahuje funkci protokolování, která zaznamená každou provedenou změnu a také to, který uživatel ji provedl. Účty uživatelů provádějících neoprávněné změny mohou být automaticky pozastaveny. Systém vás také může upozornit, když má podezření, že byl prolomen uživatelský účet.
Software, který se instaluje na Windows nebo Linux, je k dispozici jako bezplatná verze, která je omezena na dvě zařízení. U větších instalací začínají ceny na 595 USD za až 10 spravovaných zařízení a liší se podle počtu spravovaných zařízení. U placených licencí je k dispozici bezplatná 30denní zkušební verze.
3. TrueSight Network Automation
TrueSight Network Automation ze softwaru BMC býval známý jako BladeLogic Network Automation. Nezměnili však pouze název produktu, ale prodejce také upgradoval software a proměnil jej ve velmi dobrý systém správy konfigurace. A velká pozornost byla věnována vlastnostem produktu splňujícím normy.
Audit shody se provádí prostřednictvím zásad. Nástroj je dodáván s několika předem připravenými zásadami pro takové regulační požadavky, jako jsou HIST, HIPAA, PCI/DSS, DIS, SOX nebo SCAP. The TrueSight Network Automation systém používá tyto zásady ke kontrole souladu konfigurace zařízení. Nekontroluje však pouze konfigurace, může také automaticky prosazovat standardy a upravovat konfigurace podle potřeby. Toto je výkonná funkce.
Po instalaci software provede úvodní skenování sítě, aby nalezl všechna zařízení, zkontroloval jejich shodu a v případě potřeby upravil jejich konfiguraci. Poté zálohuje konfigurace a použije je jako základní srovnávací bod pro detekci neoprávněných změn konfigurace.
TrueSight Network Automation vám umožňuje vytvářet uživatele a skupiny a můžete autorizovat různé skupiny uživatelů pro přístup k různým částem jejího uživatelského rozhraní. Tato funkce vám umožňuje mít různé řídicí panely pro různé uživatele. Další výkonnou funkcí produktu jsou hromadné změny konfigurace nebo aktualizace firmwaru. Systém má také možnosti správy záplat.
TrueSight Network Automation lze nainstalovat na Windows Server, RedHat Enterprise Linux a Ubuntu. Informace o cenách lze získat kontaktováním prodejního oddělení dodavatele a bezplatná zkušební verze zřejmě není k dispozici.
4. Lan-Secure Configuration Center
The Lan-Secure Configuration Center je další vynikající nástroj pro správu konfigurace sítě, který si zaslouží své místo na našem seznamu. Má všechny podstatné vlastnosti a ještě nějaké. Stejně jako většina jiných podobných nástrojů, i tento nejprve prohledá vaši síť, objeví síťová zařízení a provede zálohu jejich konfigurací. Poté lze tento nástroj použít ke zkoumání konfigurací a rozhodování o správných zásadách pro potřeby jejich organizace a regulační nebo smluvní závazky.
The Lan-Secure Configuration Center je velmi flexibilní a lze jej použít k aktualizaci konfigurací nebo úpravě nastavení všech zařízení, konkrétních typů zařízení nebo jednotlivých zařízení. Produkt může také provádět pravidelné kontroly konfigurací zařízení oproti zálohám, aby zjistil neoprávněné změny. Když je detekován, může buď spustit výstrahu, nebo je automaticky vrátit zpět do původního stavu. Tento nástroj lze použít ke správě vzdálených míst z centralizovaného umístění a používá SSH k bezpečné komunikaci se vzdálenými místy, a to i přes nezabezpečené okruhy.
The Lan-Secure Configuration Center je k dispozici v několika edicích. K dispozici je verze Workgroup, kterou lze zakoupit za 99 USD. Je však omezena na správu až deseti zařízení. Pro více zařízení je k dispozici verze Enterprise za ceny lišící se podle počtu spravovaných zařízení. K dispozici je bezplatná 30denní zkušební verze obou verzí.
5. Doplněk WhatsUp Gold Network Configuration Management
Kdo neví WhatsUp Gold? Je to už po věky jako nástroj pro monitorování nahoru nebo dolů. Produkt se nikdy nepřestal vyvíjet a neustále byly přidávány nové funkce a nyní se stal plnohodnotným systémem monitorování sítě, který je na stejné úrovni jako některé z nejlepších nástrojů v oboru. Jedna skvělá věc WhatsUp Gold je, že jeho funkčnost lze rozšířit pomocí doplňků. A jedním z těchto doplňků je Doplněk pro správu konfigurace.
The Doplněk WhatsUp Gold Configuration Management umožňuje správcům zachovat integritu jejich síťových zařízení. Jako mnoho podobných nástrojů zpočátku prohledá všechna zařízení a uloží jejich konfiguraci do své databáze. Od té doby může nástroj kontrolovat shodu konfigurací nebo porovnávat aktuální verzi s referenční a detekovat neoprávněné změny. Software vám také umožní snadno vrátit tyto změny zpět a obnovit původní konfiguraci.
The Doplněk WhatsUp Gold Configuration Management je k dispozici jako doplněk k edicím Premium, MSP a Distributed WhatsUp Gold a je součástí WhatsUp Gold Total Plus vydání a Balíček správce sítě WhatsUp Gold. A stejně jako u většiny produktů v této řadě je k dispozici bezplatná 30denní zkušební verze.
6. Net LineDancer
Jedna věc, kterou lze říci o našem dalším záznamu, je to, že určitě nese neobvyklé jméno. Navzdory tomu, Net LineDancer je vynikající nástroj od LogicVein a má všechny funkce, které byste očekávali od jakéhokoli správce konfigurace sítě. Lze jej použít ke správě tisíců zařízení prostřednictvím automatizovaných procesů. Produkt nejprve najde všechna zařízení a pořídí snímek jejich konfigurací, čímž vytvoří základní linii. Tato základní linie pak může být použita k identifikaci změn v konfiguraci každého zařízení. Toto je běžný vzor, který se nachází v mnoha takových nástrojích.
Co odlišuje Net LineDancer spočívá v tom, že kromě poskytování zálohy konfigurací lze uložené soubory použít také ke konfiguraci zařízení v dávkách. To lze provést podle typu zařízení nebo jednotlivě. Další silnou stránkou tohoto produktu je reporting. Může například hlásit, který uživatel provedl jakou změnu konfigurace, což je užitečná funkce pro audit.
Net LineDancer může běžet na serverech Windows nebo na CentOS a RedHat Enterprise Linux. Je k dispozici také jako virtuální zařízení pro VMware ESX nebo jako cloudová služba. Informace o cenách lze získat kontaktováním prodejců LogicVein a k dispozici je 30denní zkušební verze.
Na závěr
Pro správu konfigurace sítě je k dispozici mnoho různých nástrojů. Mnohem více, než zde můžeme vyjmenovat. pokusili jsme se zahrnout ty nejlepší nástroje, které jsme mohli najít, a neváhali bychom doporučit kterýkoli z nich. Vzhledem k tomu, že všechny zde recenzované nástroje kromě jednoho nabízejí bezplatnou 30denní zkušební verzi, není důvod, proč nevyzkoušet alespoň několik z nich, abyste zjistili, který nejlépe vyhovuje vašim potřebám.