etechblog

8 nejlepších nástrojů a softwaru pro konfiguraci sítě

Photo of author

By etechblogcz

Nástroje pro správu konfigurace sítě: Přehled a výběr

Konfigurace síťových zařízení představuje často složitý úkol. Nejde ani tak o samotný proces konfigurace, jako spíše o její následnou správu a zajištění jednotnosti napříč celou infrastrukturou. Vzpomínám si na své začátky v nové firmě, kdy jsem narazil na desítky síťových přepínačů s odlišnými konfiguracemi. To výrazně komplikovalo řešení jakýchkoli problémů. Dnes, s ohledem na platné předpisy jako PCI/DSS nebo SOX, je zavedení efektivního procesu správy konfigurace nezbytné.

Právě zde přicházejí na řadu specializované konfigurační nástroje a software. Ty nejlepší z nich nejenže zaručují standardizaci konfigurací, ale také usnadňují prokazování souladu s předpisy. Mají rovněž bezpečnostní prvek. V dnešní době je běžné, že hackeři útočí prostřednictvím modifikace konfigurací zařízení, aby získali neoprávněný přístup k sítím. Konfigurační nástroje vás buď ochrání před takovými zásahy, nebo vás na ně alespoň upozorní. Z těchto důvodů vám v tomto článku představíme náš výběr nejlepších nástrojů a softwaru pro konfiguraci sítě.

Nejprve se zaměříme na popis těchto nástrojů, na to, jak fungují a proč jsou důležité. Následně probereme klíčové funkce, které by měly tyto nástroje nabízet. I když se liší rozsahem funkcí, existuje určitý základ, který můžete očekávat u každého z nich. Poté se podíváme na konkrétní nástroje a software pro konfiguraci sítě, které se nám jeví jako nejlepší.

Co jsou nástroje pro konfiguraci sítě?

Nástroje pro konfiguraci sítě jsou softwarové aplikace určené pro usnadnění správy konfigurace sítě správcům. Jak už název napovídá, to je celkem jasné. Ale co přesně zahrnuje správa konfigurace sítě? Na to není tak snadné odpovědět, protože zdá se, že každý má na to svůj vlastní pohled. Správa konfigurace má několik aspektů. Za prvé, souvisí s dokumentováním nebo nějakým způsobem uchováváním konfiguračních dat zařízení. Pokud dojde k selhání síťového přepínače a je potřeba jej vyměnit, je mnohem efektivnější obnovit jeho konfiguraci z archivu, než ji vytvářet od začátku. Tím se zabrání zbytečným prodlevám a nekonzistencím.

Správa konfigurace dále pomáhá při nasazování standardizovaných konfigurací pro jednotlivá zařízení. To usnadňuje údržbu a také odstraňování problémů. Mimo standardních konfigurací vám však správa konfigurací pomůže také s dodržováním předpisů. Řada regulačních rámců, například PCI/DSS, má přísná pravidla pro konfiguraci síťových přepínačů. Správa konfigurace vám umožní provádět audity těchto přepínačů a prokazovat jejich soulad s předpisy.

Pokud jde o audity, správa konfigurací může také pomoci při kontrole konfigurací přepínačů a odhalovat neautorizované změny. Víme o případech, kdy se uživatelé se zlými úmysly pokoušeli získat přístup k firemním sítím tím, že nejprve upravili konfiguraci síťových zařízení a vytvořili si zadní vrátka. To, zda se jedná o skutečné riziko, nebo spíše městskou legendu, je předmětem diskuse, ale nikdy není na škodu být opatrný a kontrola konfigurace zařízení kvůli neoprávněným změnám je běžnou součástí správy konfigurace. I pokud nejste paranoidní, je to užitečné pro zajištění dodržování procesů řízení změn.

Klíčové vlastnosti nástrojů pro správu konfigurace sítě

Přestože se nástroje pro správu konfigurace sítě mohou výrazně lišit, sdílejí některé základní funkce. Tyto funkce by měly být v každém nástroji, i když se mohou lišit v implementaci. Zde jsou některé z běžných funkcí, které byste měli hledat:

  • Schopnost vytvořit základní konfiguraci.
  • Zálohování konfigurace.
  • Monitorování konfigurace pro detekci neoprávněných změn.
  • Snadné obnovení konfigurace.
  • Podpora aktualizací firmwaru.

Kromě těchto základních funkcí, nejlepší nástroje pro správu konfigurace sítě nabízejí i další užitečné funkce. Mezi nejběžnější patří audity dodržování standardů, hromadné aktualizace konfigurací a také správa oprav firmwaru.

Nejlepší nástroje pro konfiguraci sítě

Sestavili jsme seznam nejlepších nástrojů pro konfiguraci sítě. Hlavním kritériem při výběru bylo, aby nástroje obsahovaly alespoň všechny základní funkce. Mnohé z produktů jdou nad rámec toho a zahrnují nejen zmíněné volitelné funkce, ale i další. Tento seznam není seřazený a neimplikuje, že pozice nástroje je ukazatelem jeho hodnoty v porovnání s ostatními. Všechny zde uvedené nástroje jsou excelentní a můžeme je doporučit. Výběr toho, který vám bude nejvíce vyhovovat, bude pravděpodobně otázkou osobních preferencí a specifických potřeb vaší sítě. Mohl by se řídit i jedinečnými funkcemi nástroje, které vás obzvlášť zaujmou.

1. SolarWinds Network Configuration Manager (ZKUŠEBNÍ VERZE ZDARMA)

SolarWinds je známý výrobce kvalitních nástrojů pro správu sítě. Jejich Network Performance Monitor a NetFlow Traffic Analyzer patří k nejlepším řešením pro monitorování SNMP sítě. Společnost SolarWinds také nabízí několik užitečných bezplatných nástrojů pro specifické potřeby, jako je kalkulačka podsítě nebo server TFTP.

Pokud jde o nástroje pro konfiguraci sítě, SolarWinds Network Configuration Manager, zkráceně NCM, patří k tomu nejlepšímu, co je na trhu. Pomáhá například standardizovat konfigurace zařízení. Tento nástroj umožňuje provádět hromadné změny konfigurace na tisících síťových zařízení. Z hlediska bezpečnosti NCM detekuje neoprávněné změny, které by mohly být indikátorem škodlivých zásahů do konfigurace. Produkt nabízí i pokročilé funkce pro hodnocení zranitelnosti a díky integraci s národní databází zranitelností má přístup k nejnovějším informacím o zranitelnostech, což umožňuje identifikovat slabá místa ve vašich Cisco zařízeních.

SolarWinds Network Configuration Manager vám může pomoci rychle obnovit síť po selhání obnovením předchozích konfigurací. Samozřejmostí je i zálohování konfigurací. Funkce správy změn pak pomáhá rychle identifikovat a zvýrazňovat změny v konfiguračních souborech. Nástroj také zjednodušuje prokazování souladu s předpisy díky vestavěným standardním sestavám.

Pokud vaše síť zahrnuje firewally Cisco ASA nebo přepínače Cisco Nexus, získáte přístup k ještě pokročilejším funkcím. Network Insight pro Cisco ASA, vestavěná funkce NCM, automaticky objevuje bezpečnostní kontexty, zálohuje a obnovuje konfigurační soubory, prohledává, vizualizuje a audituje seznamy řízení přístupu a zjednodušuje upgrady firmwaru pro zařízení Cisco ASA. Podobně Network Insight pro Nexus vám poskytne hlubší přehled o přepínačích datového centra, umožní vám filtrovat a vyhledávat změny konfigurace seznamů ACL, zobrazovat výstřižky konfigurace rozhraní a nabízí podporu pro kontext virtuálního zařízení (VDC).

Cena SolarWinds Network Configuration Manager začíná na 2 895 USD a liší se podle počtu spravovaných uzlů. Je k dispozici bezplatná plně funkční 30denní zkušební verze.

2. ManageEngine Network Configuration Manager

ManageEngine je dalším známým jménem v oblasti správy sítí. Jejich Network Configuration Manager je komplexní balík, který pomůže udržet integritu vaší sítě. Tento nástroj lze použít pro správu konfigurace většiny síťových zařízení bez ohledu na dodavatele. Kromě toho je v souladu se standardy NCCCM (Network Change, Configuration, and Compliance Management).

ManageEngine Network Configuration Manager automaticky a pravidelně zálohuje konfigurace vašich zařízení. Porovnává každou následující zálohu s předchozí, detekuje změny konfigurace a upozorní vás na neoprávněné změny. Dále generuje zprávy o nesrovnalostech v konfiguraci mezi podobnými zařízeními.

ManageEngine Network Configuration Manager zahrnuje funkci protokolování, která zaznamenává všechny provedené změny, včetně informace o uživateli, který změnu provedl. Uživatelské účty provádějící neoprávněné změny mohou být automaticky pozastaveny. Systém vás také upozorní, pokud bude mít podezření na kompromitaci uživatelského účtu.

Software je dostupný pro Windows a Linux. Je k dispozici bezplatná verze, která je omezena na dvě zařízení. Ceny za více zařízení začínají na 595 USD za až 10 spravovaných zařízení a liší se podle počtu spravovaných zařízení. Pro placené licence je k dispozici bezplatná 30denní zkušební verze.

3. WhatsUp Gold Network Configuration Management Add-on

WhatsUp Gold je již delší dobu známý jako monitorovací nástroj pro zjišťování dostupnosti zařízení. Postupem času se neustále vyvíjel a přidával nové funkce, až se stal plnohodnotným systémem pro monitorování sítě. Jednou z výhod WhatsUp Gold je, že jeho funkčnost lze rozšiřovat pomocí doplňků. Jeden z těchto doplňků se nazývá Configuration Management Add-on.

Doplněk WhatsUp Gold Configuration Management vám umožňuje udržovat integritu vašich síťových zařízení. Nástroj nejprve prohledá všechna vaše zařízení a uloží jejich konfiguraci do své databáze. Od této chvíle může kontrolovat shodu konfigurací, nebo porovnávat současnou konfiguraci s referenční, a odhalovat tak neoprávněné změny. Software vám také umožňuje snadno vrátit tyto změny a obnovit původní konfiguraci.

Doplněk WhatsUp Gold Configuration Management Add-on je dostupný jako doplněk pro edice Premium, MSP a Distributed WhatsUp Gold a je součástí edice WhatsUp Gold Total Plus a balíčku správce sítě WhatsUp Gold. Je k dispozici i bezplatná 30denní zkušební verze.

4. ConfiBack

Rozhodli jsme se do tohoto seznamu zařadit i ConfiBack, i když mu chybí některé pokročilejší funkce, které jsou typické pro síťové konfigurační nástroje. Je to dobrý příklad toho, jak může vypadat jednoduchý nástroj pro správu konfigurace. Jedná se o bezplatný systém pro zálohování konfigurace zařízení, který je vyvíjen v České republice a běží převážně na Linuxu. I když má omezenou funkčnost v porovnání s předchozími třemi položkami, stále se jedná o velmi zajímavou možnost pro menší podniky a neziskové organizace, které chtějí využívat výhody správy konfigurace, aniž by musely utrácet velké peníze.

ConfiBack vyžaduje manuální spouštění zálohování, ale je možné naplánovat, aby probíhalo pravidelně. Nástroj také pomáhá s odhalováním neoprávněných změn, i když také prostřednictvím manuálního procesu. Pro kontrolu je třeba ručně porovnat dvě zálohy konfigurace zařízení pomocí příkazu diff. Diff najde rozdíly mezi dvěma soubory, čímž zvýrazní každý řádek, který se změnil. Je pak na uživateli, aby určil, zda je změna oprávněná, nebo ne.

To je v podstatě vše, co s ConfiBack získáte. Jedná se o základní nástroj, ale pro některé potřeby může být naprosto dostačující. A jeho cena je bezkonkurenční.

5. rConfig

Dalším nástrojem v našem seznamu je rConfig. Tento nástroj má sice omezené funkce, ale funguje velmi dobře. Automaticky detekuje všechna vaše síťová zařízení a zálohuje jejich konfigurace do textových souborů. Zálohování lze spouštět manuálně nebo naplánovat. Užitečnou funkcí je seskupování zařízení do kategorií. Správci mohou provádět akce buď na jednotlivých zařízeních, na zařízeních v rámci dané kategorie, nebo na všech zařízeních. Ověřování a auditování neoprávněných změn konfigurace je manuální proces, podobně jako u ConfiBack.

rConfig lze použít pro rychlé předávání standardizovaných konfigurací do zařízení, a to buď jednotlivě, nebo v rámci kategorizovaných skupin. Standardní konfiguraci lze odeslat do zařízení z úložiště souborů. Nástroj také poskytuje funkce auditu shody. V rConfig můžete nastavit zásady, které odpovídají specifickým požadavkům na shodu nebo firemním postupům. Správce ověřování shody, který je součástí systému, pak může ověřit konfigurace na základě nastavených zásad a prokázat jejich soulad.

rConfig je dostupný v bezplatné komunitní verzi nebo v profesionální verzi, která zahrnuje bezplatnou podporu a opravy chyb za cenu necelých 500 eur ročně. Běží pouze na CentOS a RedHat Enterprise Linux.

6. Net LineDancer

Navzdory svému neobvyklému názvu je Net LineDancer, často zkráceně NetLD, skvělým nástrojem od společnosti LogicVein, který nabízí všechny funkce, které byste od správce konfigurace očekávali. Tento nástroj dokáže spravovat tisíce zařízení pomocí automatizovaných procesů. Produkt nejprve vyhledá všechna vaše zařízení a pořídí snímek jejich konfigurací, čímž vytvoří základní linii. Tato základní linie je poté použita pro identifikaci změn v konfiguraci každého zařízení.

Kromě zálohování konfigurací lze uložené soubory použít pro dávkovou konfiguraci zařízení. To lze provést podle typu zařízení nebo jednotlivě. Reporting je v NetLD na velmi dobré úrovni. Může například hlásit, který uživatel provedl jaké změny konfigurace, což je užitečná funkce pro audit shody.

Net LineDancer může běžet na serverech Windows nebo na CentOS a RedHat Enterprise Linux. Je k dispozici také jako virtuální zařízení od VMware ESX nebo jako cloudová služba. Informace o cenách nejsou snadno dostupné, ale je možné získat 30denní zkušební verzi.

7. TrueSight Network Automation

TrueSight Network Automation je nový název pro BladeLogic Network Automation od společnosti BMC Software. Výrobce rovněž upgradoval software a vytvořil z něj kvalitní systém pro správu konfigurace. Zdá se, že velký důraz byl kladen na vlastnosti produktu, které odpovídají normám.

Audit shody se provádí pomocí zásad. Nástroj je dodáván s předem připravenými zásadami pro regulační požadavky, jako jsou HIST, HIPAA, PCI/DSS, DIS, SOX nebo SCAP. TrueSight Network Automation bude používat zásady pro kontrolu shody konfigurace zařízení. Může také automaticky prosazovat standardy a upravovat konfigurace podle potřeby.

Stejně jako mnoho podobných nástrojů, software nejprve prohledá síť, aby našel všechna zařízení, zkontroluje jejich shodu a případně upraví jejich konfiguraci. Poté zálohuje konfigurace a používá je jako srovnávací bod pro detekci neoprávněných změn konfigurace.

TrueSight Network Automation vám umožňuje vytvářet uživatele a skupiny a přidělovat různé části uživatelského rozhraní různým skupinám uživatelů. Můžete mít různé řídicí panely pro různé uživatele. Dalšími užitečnými funkcemi tohoto nástroje jsou hromadné změny konfigurace nebo aktualizace firmwaru. Systém má také možnosti správy oprav.

TrueSight Network Automation lze nainstalovat na Windows Server, RedHat Enterprise Linux a Ubuntu. Informace o cenách získáte po kontaktu s obchodním oddělením výrobce a zdá se, že bezplatná zkušební verze není k dispozici.

8. Lan-Secure Configuration Center

Naším posledním nástrojem je Lan-Secure Configuration Center, který je velmi dobrým systémem pro správu konfigurace sítě. Má všechny základní funkce a i některé navíc. Stejně jako většina ostatních nástrojů tohoto typu, nejprve prohledá vaši síť, aby objevil všechna síťová zařízení a vytvořil zálohy jejich konfigurací. Dále můžete prozkoumat konfigurace a určit vhodné zásady pro potřeby a povinnosti vaší organizace.

Konfigurační centrum Lan-Secure můžete použít pro aktualizaci konfigurací nebo pro úpravu nastavení všech zařízení, specifických typů zařízení nebo jednotlivých zařízení. Nástroj také pravidelně kontroluje konfigurace zařízení s ohledem na zálohy, aby se ujistil, že nedošlo k neoprávněným změnám. Takové změny mohou spustit upozornění, nebo je lze automaticky vrátit na původní hodnotu. Nástroj lze použít ke správě vzdálených lokalit z centralizovaných míst a používá SSH pro bezpečnou komunikaci, a to i přes nezabezpečené okruhy.

Lan-Secure Configuration Center je k dispozici ve verzi Workgroup za 99 USD. Tato verze je omezena na správu deseti zařízení. Pro více zařízení je k dispozici verze Enterprise, která se liší cenou podle počtu spravovaných zařízení. Pro obě verze je k dispozici 30denní zkušební verze.

Tweet
Share
Share
Pin

Jak změnit jednotky pravítka v aplikaci Microsoft Word

Jak uložit Sticky Notes v Linuxu pomocí indikátoru Stickynotes