Konfigurace síťového zařízení může být někdy problém. Ve skutečnosti to není tak náročná konfigurace samotná, ale spíše její údržba a zajištění, že je do jisté míry standardizovaná. Vzpomínám si, jak jsem začínal novou práci a zjistil jsem, že všechny z desítek síťových přepínačů měly poněkud odlišnou konfiguraci. To dělalo z řešení problémů královskou bolest. A vzhledem k dnešním předpisům, jako jsou PCI/DSS, SOX a další, je důležitější než kdy jindy zavést nějaký proces správy konfigurace.
Zde se mohou hodit konfigurační nástroje a software. Nejlepší z těchto nástrojů zajistí nejen normalizaci vašich konfigurací, ale lze je také použít k prokázání jejich souladu s předpisy. Tyto nástroje mají také bezpečnostní prvek. V dnešní době je až příliš běžné vidět, jak hackeři zahajují své útoky úpravou konfigurace zařízení, aby získali přístup k sítím a mnoho nástrojů vás buď ochrání před neoprávněnými změnami, nebo vás na ně alespoň upozorní. Ze všech těchto důvodů budeme sdílet náš seznam nejlepších nástrojů a softwaru pro konfiguraci sítě.
Začneme diskusí o nástrojích pro konfiguraci sítě a softwaru. Podíváme se na to, o čem jsou, jak fungují a proč je potřebujete. Poté představíme některé z hlavních funkcí těchto nástrojů. Nástroje se velmi liší v sadě funkcí, ale existuje základ, který můžete očekávat v každém nástroji. Když už to máme za sebou, skočíme do jádra věci a zkontrolujeme některé z nejlepších nástrojů a softwaru pro konfiguraci sítě, které jsme mohli najít.
Table of Contents
Nástroje a software pro konfiguraci sítě – o čem jsou
Nástroje pro konfiguraci sítě jsou softwarové nástroje, které pomáhají správcům se správou konfigurace sítě. To je dost jednoduché. Ale co přesně je správa konfigurace sítě? Zodpovědět tuto otázku je poněkud těžší, protože se zdá, že každý má na to svůj vlastní názor. Správa konfigurace sítě má několik prvků. V první řadě to souvisí s dokumentováním a/nebo nějakým uchováním konfiguračních dat zařízení. Kdykoli se síťový přepínač porouchá a je třeba jej vyměnit, raději vytáhneme jeho konfiguraci z nějakého archivu, než abychom jej předělávali od začátku, což může vést ke zpožděním a nekonzistentnostem.
Správa konfigurace také pomáhá s nasazením standardních konfigurací zařízení. To značně usnadňuje údržbu a také pomáhá při odstraňování problémů. Ale kromě standardních konfigurací pomůže s dodržováním předpisů také správa konfigurace. Mnoho regulačních rámců – jako například PCI/DSS, abychom jmenovali jeden příklad – má přísná pravidla, jak by měly být přepínače konfigurovány. Správa konfigurace vám pomůže provést audit přepínačů a prokázat jejich shodu.
A pokud jde o auditování, procesy správy konfigurace mohou také pomoci s auditováním konfigurace přepínače pro neoprávněné změny. Všichni jsme slyšeli o uživatelích se zlými úmysly, kteří se pokoušeli získat přístup k podnikovým sítím tím, že nejprve upravili konfiguraci síťových zařízení tak, aby zavedli zadní vrátka. O tom, zda se jedná o skutečné riziko nebo o městskou legendu, lze diskutovat, ale nikdy nejsme příliš opatrní a auditování konfigurace zařízení z hlediska neoprávněných změn je běžný úkol správy konfigurace. A i když nejste tak paranoidní, je to také užitečné pro zajištění dodržování procesů řízení změn.
Co hledat v nástrojích pro konfiguraci sítě
I když se nástroje pro konfiguraci sítě značně liší, všechny sdílejí alespoň základní sadu funkcí. Ty jsou považovány za základní funkce a každý nástroj je bude obsahovat, i když se jejich implementace může nástroj od nástroje lišit. Zde jsou některé běžné funkce, které byste měli najít v nástroji pro konfiguraci sítě.
Měl by poskytnout způsob, jak vytvořit základní konfiguraci. Měl by také zvládnout zálohování konfigurace. Jak bylo uvedeno dříve, měl by poskytovat určitou formu monitorování konfigurace, aby upozornil administrátory na neoprávněné změny. Dobrý nástroj pro konfiguraci sítě by měl také poskytovat způsob, jak snadno vrátit změny zpět a v neposlední řadě by měl pomáhat při distribuci aktualizací firmwaru.
Kromě těchto náležitostí budou nejlepší nástroje pro konfiguraci sítě obsahovat také další funkce. Mezi nejběžnější – a nejužitečnější – audit dodržování standardů patří skvělá funkce. Mezi nejužitečnější volitelné funkce patří také hromadné aktualizace konfigurace a také správa oprav firmwaru.
Nejlepší nástroje pro konfiguraci sítě
Sestavili jsme seznam nejlepších nástrojů pro konfiguraci sítě. Naším hlavním kritériem výběru bylo, aby nástroje obsahovaly alespoň všechny základní funkce. Mnoho produktů jde daleko za to a zahrnuje nejen všechny volitelné funkce, které jsme zmínili, ale ještě více než to. Toto není seřazený seznam a nepředpokládejte, že pozice nástroje je ukazatelem jeho hodnoty ve srovnání s ostatními. Všechny zde navrhované nástroje jsou vynikající nástroje, které bychom neváhali doporučit. Výběr toho, který vám nejlépe vyhovuje, bude pravděpodobně věcí osobních preferencí. Váš výběr by se mohl řídit jedinečnou funkcí nástroje, která vás obzvláště osloví.
1. Správce konfigurace sítě SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
SolarWinds už léta vyrábí jedny z nejlepších nástrojů pro správu sítě. Jeho Network Performance Monitor a NetFlow Traffic Analyzer jsou jedny z nejlepších balíčků pro monitorování SNMP sítě a NetFlow kolektory a analyzátory, které můžete najít. SolarWinds také vyrábí některé vynikající bezplatné nástroje, které řeší specifické potřeby, jako je kalkulačka podsítě nebo server TFTP.
Pokud jde o nástroje pro konfiguraci sítě, Správce konfigurace sítě SolarWindsnebo NCM, je jedním z nejlepších balíčků, které můžete najít. Pomůže vám například zajistit, aby byly všechny konfigurace zařízení standardizovány. Tento nástroj můžete použít k prosazení hromadných změn konfigurace tisícům síťových zařízení. A z hlediska zabezpečení bude nástroj detekovat neoprávněné změny, které by mohly být známkou škodlivého zásahu do konfigurace. Pokud jde o bezpečnost, tento produkt má také některé zajímavé funkce pro hodnocení zranitelnosti a jeho integrace s národní databází zranitelností mu umožňuje přístup k nejaktuálnějším společným rizikům zranitelnosti, aby bylo možné identifikovat zranitelnosti ve vašich zařízeních Cisco.
The Správce konfigurace sítě SolarWinds vám může pomoci rychle se zotavit ze selhání obnovením předchozích konfigurací. A nástroj samozřejmě také zálohuje konfigurace. Můžete také použít jeho funkce správy změn k rychlé identifikaci změn v konfiguračním souboru a zvýraznění změn. Kromě toho vám tento nástroj umožní prokázat shodu a projít regulačními audity díky svým vestavěným standardním zprávám.
Pokud má vaše síť firewally Cisco ASA nebo přepínače Cisco Nexus, budete mít prospěch z ještě pokročilejších funkcí. Network Insight pro Cisco ASA, vestavěná funkce NCM, bude objevovat bezpečnostní kontexty, zálohovat a obnovovat konfigurační soubory; objevovat, vizualizovat a auditovat seznamy řízení přístupu a snadno spravovat upgrady firmwaru pro zařízení Cisco ASA. Podobně i Network Insight pro Nexus, který je součástí dodávky, vám poskytne hlubší přehled o přepínačích datového centra a umožní vám filtrovat, vyhledávat a identifikovat změny konfigurace pro seznamy ACL, stejně jako zobrazovat úryvky konfigurace rozhraní a získat podporu pro kontext virtuálního zařízení (VDC). pro detekci rodiče/dítěte.
Ceny za Správce konfigurace sítě SolarWinds začínají na 2 895 USD a liší se podle počtu spravovaných uzlů se sedmi úrovněmi licencí. Pokud si chcete software před zakoupením vyzkoušet, je k dispozici bezplatná plně funkční neomezená 30denní zkušební verze.
2. ManageEngine Network Configuration Manager
ManageEngine je další známý název pro správce sítě. Své Správce konfigurace sítě je komplexní balíček, který může pomoci zajistit integritu vaší sítě. Tento nástroj lze použít ke správě konfigurace většiny síťových zařízení bez ohledu na dodavatele. Kromě toho je v souladu se standardy NCCCM (Network Change, Configuration, and Compliance Management).
The ManageEngine Network Configuration Manager bude automaticky pravidelně zpracovávat zálohy konfigurací vašich zařízení. Porovná každou následující zálohu s předchozí, vyhledá změny konfigurace a upozorní vás na neoprávněné. Může také generovat zprávy o nesrovnalostech v konfiguraci mezi podobnými zařízeními.
The ManageEngine Network Configuration Manager obsahuje funkci protokolování, která zaznamenává každou provedenou změnu a také to, který uživatel ji provedl. Účty uživatelů provádějících neoprávněné změny mohou být automaticky pozastaveny. Systém vás také upozorní, když bude mít podezření na prolomení uživatelského účtu.
Software, který se instaluje na Windows a Linux, je k dispozici jako bezplatná verze, která je omezena na dvě zařízení. U více zařízení začínají ceny na 595 USD za až 10 spravovaných zařízení a liší se podle počtu spravovaných zařízení. U placených licencí je k dispozici bezplatná 30denní zkušební verze.
3. Doplněk WhatsUp Gold Network Configuration Management
WhatsUp Gold existuje odjakživa jako monitorovací nástroj typu nahoru nebo dolů. V průběhu věků se neustále vyvíjel a neustále přidával další funkce, aby se dostal tam, kde je nyní: plnohodnotný systém monitorování sítě. Ale jedna skvělá věc na WhatsUp Gold je, že jeho funkčnost lze rozšířit pomocí doplňků. A jeden z těchto doplňků se nazývá doplněk Configuration Management Add-on.
Doplněk WhatsUp Gold Configuration Management vám umožňuje udržovat integritu vašich síťových zařízení. Nástroj nejprve prohledá všechna vaše zařízení a uloží jejich konfiguraci do své databáze. Od té doby může kontrolovat shodu konfigurací nebo porovnávat současnou s referenční, aby odhalil neoprávněné změny. Software vám také umožní snadno vrátit tyto změny zpět a obnovit původní konfiguraci.
Doplněk WhatsUp Gold Configuration Management Add-on je k dispozici jako doplněk k edicím Premium, MSP a Distributed WhatsUp Gold a je součástí edice WhatsUp Gold Total Plus a balíčku správce sítě WhatsUp Gold. K dispozici je také bezplatná 30denní zkušební verze.
4. ConfiBack
Mysleli jsme, že to zahrneme ConfiBack na tomto seznamu navzdory skutečnosti, že postrádá některé funkce bona fide síťového konfiguračního nástroje. Je to dobrý příklad toho, jak může vypadat jednodušší nástroj pro správu konfigurace. Jedná se o bezplatný systém zálohování konfigurace zařízení z České republiky, který běží převážně na Linuxu. Přestože má ve srovnání s předchozími třemi položkami omezenou funkčnost, stále jde o velmi zajímavou možnost pro menší podniky a neziskové organizace, které chtějí využívat některé z výhod správy konfigurace, aniž by utrácely tisíce dolarů.
ConfiBack zálohování je třeba spouštět ručně, ale můžete je naplánovat tak, aby probíhaly pravidelně. Nástroj také pomáhá s odhalováním neoprávněných změn, i když pomocí ručního procesu. Je třeba ručně porovnat dvě zálohy konfigurace zařízení pomocí příkazu diff. Diff najde každý rozdíl mezi těmito dvěma soubory, čímž zvýrazní každý řádek, který se změnil. Je pak na vás, abyste určili, zda je změna oprávněná nebo ne
To je v podstatě vše, co s ConfiBack získáte. Je to velmi základní produkt, ale na druhou stranu může být pro vaši potřebu dostačující. A jeho cena se prostě nedá překonat.
5. rConfig
Další na našem seznamu je nástroj s názvem rConfig. Tento zajímavý nástroj má omezené funkce, ale funguje velmi dobře. Automaticky detekuje všechna vaše síťová zařízení a zálohuje jejich konfigurace do textových souborů. Zálohování lze spouštět ručně nebo plánovaně. Jednou z užitečných funkcí je seskupování zařízení do kategorií. Umožňuje správcům provádět akce buď na jednotlivých zařízeních, na zařízeních v rámci kategorie nebo na všech zařízeních. Ověřování a auditování neoprávněných změn konfigurace je ruční proces, podobně jako tomu bylo u ConfiBack.
rConfig lze použít k rychlému předání standardizovaných konfigurací do zařízení buď jednotlivě, nebo v kategorizovaných skupinách. Standardní konfiguraci z úložiště souborů lze odeslat do zařízení. Tento nástroj také poskytuje některé funkce auditu shody. V rConfig lze nastavit zásady odpovídající konkrétním požadavkům na shodu nebo vašim vlastním firemním postupům. Configuration Compliance Manager, který je součástí systému, pak může ověřit vaše konfigurace podle nastavených zásad a prokázat jejich shodu.
rConfig je k dispozici v bezplatné komunitní verzi nebo v profesionální verzi s bezplatnou podporou a opravami chyb za necelých 500 eur ročně. Běží pouze na CentOS a RedHat Enterprise Linux.
6. Net LineDancer
Navzdory svému neobvyklému názvu je Net LineDancer, často jednoduše nazývaný NetLD, skvělým nástrojem od dodavatele LogicVein se všemi funkcemi, které byste od správce konfigurace očekávali. Tento nástroj dokáže spravovat tisíce zařízení prostřednictvím automatizovaných procesů. Produkt nejprve najde všechna vaše zařízení a pořídí snímek jejich konfigurací, čímž vytvoří základní linii. Tato základní linie pak může být použita k identifikaci změn v konfiguraci každého zařízení.
Kromě poskytování zálohy konfigurací lze uložené soubory použít ke konfiguraci zařízení v dávkách. To lze provést podle typu zařízení nebo jednotlivě. Reportování je také velmi dobré NetLD. Může například hlásit, který uživatel provedl jakou změnu konfigurace, což je užitečná funkce pro audit shody.
Net LineDancer může běžet na serverech Widows nebo na CentOS a RedHat Enterprise Linux. Je k dispozici také jako virtuální zařízení od WMware ESX nebo jako cloudová služba. Informace o cenách nejsou snadno dostupné, ale lze získat 30denní zkušební verzi.
7. TrueSight Network Automation
TrueSight Network Automation je nový název BladeLogic Network Automation od BMC Software. Prodejce také upgradoval software a udělal z něj docela dobrý systém správy konfigurace. Zdá se, že velká pozornost byla věnována vlastnostem produktu splňujícím normy.
Audit shody se provádí prostřednictvím zásad. Nástroj je dodáván s několika předem připravenými zásadami pro takové regulační požadavky, jako jsou HIST, HIPAA, PCI/DSS, DIS, SOX nebo SCAP. TrueSight Network Automation bude používat zásady ke kontrole souladu konfigurace zařízení. Může také automaticky prosazovat standardy a podle potřeby upravovat konfigurace.
Stejně jako mnoho podobných nástrojů software nejprve prohledá síť, aby našel všechna vaše zařízení, zkontroluje jejich shodu a v případě potřeby upraví jejich konfigurace. Poté zazálohuje konfigurace a použije je jako srovnávací bod pro detekci neoprávněných změn konfigurace.
TrueSight Network Automation vám umožňuje vytvářet uživatele a skupiny a přidělovat různé části uživatelského rozhraní různým skupinám uživatelů. Můžete mít různé řídicí panely pro různé uživatele. Další výkonnou funkcí tohoto nástroje jsou hromadné změny konfigurace nebo aktualizace firmwaru. Systém má také možnosti správy záplat.
TrueSight Network Automation lze nainstalovat na Windows Server, RedHat Enterprise Linux a Ubuntu. Informace o cenách lze získat kontaktováním prodejního oddělení dodavatele a bezplatná zkušební verze zřejmě není k dispozici.
8. Lan-Secure Configuration Center
Náš poslední záznam je Lan-Secure Configuration Center, docela dobrý systém pro správu konfigurace sítě. Má všechny základní funkce a další. Stejně jako většina ostatních takových nástrojů zpočátku prohledá vaši síť, aby objevil všechna vaše síťová zařízení a vytvořil zálohy jejich konfigurací. Dále můžete prozkoumat své konfigurace a rozhodnout o správných zásadách pro potřeby a povinnosti vaší organizace.
Konfigurační centrum Lan-Secure můžete použít k aktualizaci konfigurací nebo úpravě nastavení všech zařízení, konkrétních typů zařízení nebo jednotlivých zařízení. Nástroj také pravidelně kontroluje konfigurace zařízení oproti zálohám, aby zjistil neoprávněné změny. Takové změny mohou buď spustit výstrahu, nebo být automaticky vráceny zpět na původní hodnotu. Tento nástroj lze použít ke správě vzdálených míst z centralizovaných míst a používá SSH k bezpečné komunikaci se vzdálenými místy, a to i přes nezabezpečené okruhy.
Lan-Secure Configuration Center je k dispozici ve verzi Workgroup za 99 USD. To je omezeno na správu až deseti zařízení. Pro více zařízení je k dispozici verze Enterprise za ceny lišící se podle počtu spravovaných zařízení. Pro obě verze je k dispozici bezplatná 30denní zkušební verze.