Для досвідченого адміністратора мереж налаштування обладнання – це звична, хоч і відповідальна задача. Багато хто здатний виконати її майже автоматично. Проте, навіть якщо конфігурація здається простим процесом, сучасні операційні системи мережевого обладнання, як-от Cisco IOS, пропонують широкий спектр опцій, що збільшує ризик виникнення помилок. І чим більша мережа, тим вища ймовірність цих помилок.
Уявіть, що ви керуєте кількома пристроями. Чи не було б зручно, якби їхні налаштування були схожі? Звичайно, вони не будуть ідентичними, але основні параметри повинні бути узгоджені між усіма. Сучасні стандарти, як-от PCI/DSS, SOX та інші, визначають обов’язкові конфігураційні параметри, які повинні бути на всіх пристроях. Саме тут стануть у пригоді якісні інструменти для управління мережевими конфігураціями, про які ми й поговоримо сьогодні.
Провідні інструменти цього типу не тільки забезпечують стандартизацію конфігурацій, але й допомагають перевірити їхню відповідність нормативним вимогам. Безпека також є важливим аспектом, оскільки зловмисники часто намагаються отримати доступ до мереж, змінюючи конфігурації пристроїв. Ефективні інструменти управління конфігурацією мережі захищають від таких несанкціонованих змін або принаймні попереджають про них.
Спочатку ми розглянемо, що таке управління конфігурацією мережі та чому воно потрібне. Потім обговоримо ключові елементи, характерні для таких інструментів. Хоча вони можуть відрізнятися функціоналом, кожен якісний інструмент має певний спільний набір можливостей. Нарешті, ми перейдемо до розгляду конкретних, найкращих інструментів для управління мережевими конфігураціями.
Ключові аспекти управління конфігурацією мережі
Простіше кажучи, будь-який інструмент, що допомагає адміністраторам керувати налаштуваннями мережі, можна назвати інструментом конфігурації. Але що саме являє собою управління конфігурацією? Здається, що кожен має власну думку. Однак існує ряд основних аспектів. Перш за все, ці інструменти призначені для документування та/або збереження даних конфігурації пристроїв. У випадку поломки обладнання, відновлення його налаштувань з архіву значно простіше, ніж переналаштування з нуля, що може призвести до затримок і невідповідностей.
Розгортання стандартних конфігурацій – ще одна сфера, де інструменти управління конфігурацією мережі є надзвичайно корисними. Стандартизація конфігурацій спрощує обслуговування та допомагає усувати несправності. Крім того, ці інструменти допомагають у дотриманні нормативних вимог. Багато стандартів, як-от PCI/DSS або SOX, містять чіткі вказівки щодо налаштування комутаторів, параметрів безпеки тощо. Інструменти управління конфігурацією мережі допомагають в аудиті конфігурацій і підтверджують відповідність вимогам.
Якщо говорити про аудит, ці інструменти також дозволяють перевіряти конфігурацію комутаторів на предмет несанкціонованих змін. Всім відомо про зловмисників, які намагаються отримати доступ до мереж, змінюючи налаштування мережевих пристроїв, щоб створити “чорний хід”. Це може здаватися вигадкою, але чи варто ризикувати? Перевірка конфігурації на наявність неавторизованих змін корисна не лише для параноїків, але й для перевірки дотримання процедур управління змінами.
Основні елементи інструментів конфігурації мережі
Інструменти управління конфігурацією мережі можуть істотно відрізнятися, але всі вони мають спільний набір базових функцій. Ці функції є критично важливими, і кожен якісний інструмент буде їх містити, хоча реалізація може відрізнятися. Ось деякі з загальних функцій, які повинні бути присутні у більшості інструментів управління конфігурацією мережі.
По-перше, інструмент повинен забезпечувати встановлення базової конфігурації. Він також повинен виконувати резервне копіювання конфігурації пристроїв. Важливим є моніторинг конфігурацій та сповіщення адміністраторів про несанкціоновані зміни. Більшість хороших інструментів також надають можливість легкого відкоту змін. І, нарешті, хоча ця функція є менш поширеною, інструмент може сприяти розгортанню оновлень мікропрограми.
Крім основних функцій, інструменти управління конфігурацією мережі часто пропонують додаткові можливості. Серед них найбільш корисними є аудит відповідності стандартам, масові зміни конфігурації, оновлення мікропрограми та управління виправленнями.
Найкращі інструменти для управління конфігурацією мережі
Ми підібрали список найкращих інструментів для управління конфігурацією мережі. Багато з них виходять за рамки базових функцій та включають не лише згадані додаткові можливості, а й багато інших. Усі інструменти, наведені нижче, заслуговують на увагу, і ми сміливо їх рекомендуємо. Вибір конкретного інструменту залежить від ваших особистих уподобань. Він може ґрунтуватися на певній унікальній функції, яка вам особливо потрібна. Багато інструментів пропонують безкоштовні пробні версії або безкоштовні варіанти з обмеженим функціоналом, тому не вагайтеся їх спробувати. Це найкращий спосіб переконатися, що інструмент відповідає вашим потребам.
1. SolarWinds Network Configuration Manager (БЕЗКОШТОВНА ПРОБНА ВЕРСІЯ)
SolarWinds протягом багатьох років є виробником одних з найкращих інструментів для адміністрування мереж. Компанія має солідну репутацію серед адміністраторів. Її монітор продуктивності мережі та аналізатор трафіку NetFlow є одними з найкращих інструментів для моніторингу SNMP та аналізу NetFlow. SolarWinds також відомий розробкою чудових безкоштовних інструментів, що задовольняють конкретні потреби мережевих адміністраторів, як-от калькулятор підмереж чи TFTP-сервер.
SolarWinds також пропонує Network Configuration Manager, або NCM, один з найкращих інструментів у своєму класі. Він має широкий спектр застосувань. З його допомогою можна гарантувати стандартизацію конфігурацій обладнання. Він також дозволяє масово розгортати зміни конфігурації на тисячі мережевих пристроїв. З точки зору безпеки, інструмент виявляє несанкціоновані зміни, які можуть свідчити про зловмисне втручання. Додатково, продукт має можливості оцінки вразливостей та інтеграцію з Національною базою даних уразливостей, що надає доступ до актуальних відомостей про загальні загрози та дозволяє виявляти вразливості на ваших пристроях.
SolarWinds Network Configuration Manager дозволяє швидко відновлюватися після збоїв, відновлюючи попередні конфігурації. Це означає, що інструмент автоматично створює резервні копії конфігурацій. Функції управління змінами допомагають швидко визначити, що саме було змінено у файлі конфігурації. Крім того, інструмент надає вбудовані стандартні звіти для підтвердження відповідності вимогам.
Для мереж з брандмауерами Cisco ASA або комутаторами Cisco Nexus, доступні додаткові розширені функції. Network Insight для Cisco ASA дозволяє виявляти контексти безпеки, створювати резервні копії та відновлювати файли конфігурації, виявляти, візуалізувати та проводити аудит списків контролю доступу, а також керувати оновленнями мікропрограм. Network Insight для Nexus забезпечує глибокий огляд комутаторів центру обробки даних, дозволяючи фільтрувати, шукати та ідентифікувати зміни конфігурації, переглядати фрагменти конфігурації інтерфейсу та отримувати підтримку контексту віртуальних пристроїв (VDC) для батьківських/дочірніх пристроїв.
Ціна на SolarWinds Network Configuration Manager починається від $2895 за 50 вузлів, і збільшується залежно від кількості керованих вузлів. Для ознайомлення з програмним забезпеченням доступна безкоштовна повнофункціональна 30-денна пробна версія без обмеження кількості вузлів.
2. ManageEngine Network Configuration Manager
ManageEngine – ще одне знайоме ім’я для мережевих адміністраторів. Компанія пропонує широкий спектр інструментів адміністрування. Її Network Configuration Manager – це комплексний пакет, який забезпечує цілісність вашої мережі. Інструмент можна використовувати для управління конфігурацією більшості мережевого обладнання, незалежно від виробника, і він відповідає стандартам NCCCM (Network Change, Configuration and Compliance Management).
ManageEngine Network Configuration Manager автоматично створює резервні копії конфігурацій ваших пристроїв на регулярній основі. Він порівнює кожну наступну резервну копію з попередньою, шукає зміни конфігурації та попереджає про неавторизовані або підозрілі зміни. Він також може створювати звіти про відмінності конфігурацій між схожими пристроями.
Інструмент має функцію реєстрації, яка записує кожну внесену зміну та ідентифікує користувача, який її вніс. Облікові записи користувачів, які вносять несанкціоновані зміни, можуть бути автоматично призупинені. Система також може попередити про підозру щодо зламаного облікового запису.
Програмне забезпечення, яке встановлюється на Windows або Linux, доступне у безкоштовній версії для двох пристроїв. Для більших інсталяцій ціни починаються від $595 за 10 керованих пристроїв і залежать від їх кількості. Для платних ліцензій доступна безкоштовна 30-денна пробна версія.
3. TrueSight Network Automation
TrueSight Network Automation від BMC Software, раніше відоме як BladeLogic Network Automation. Компанія не лише змінила назву продукту, але й оновила програмне забезпечення, перетворивши його на ефективну систему управління конфігурацією. Особлива увага приділяється вимогам відповідності стандартам.
Аудит відповідності здійснюється за допомогою політик. Інструмент постачається з попередньо налаштованими політиками для таких вимог, як HIST, HIPAA, PCI/DSS, DIS, SOX або SCAP. TrueSight Network Automation використовує ці політики для перевірки конфігурацій пристроїв на відповідність. Крім того, він може не лише перевіряти, а й автоматично застосовувати стандарти, змінюючи конфігурації за потреби. Це потужна функціональність.
Після встановлення програмне забезпечення сканує мережу, знаходить усі пристрої, перевіряє їх на відповідність та налаштовує їх конфігурації, якщо це необхідно. Потім створює резервні копії конфігурацій, використовуючи їх як відправну точку для виявлення несанкціонованих змін.
TrueSight Network Automation дозволяє створювати користувачів і групи, надаючи різним групам доступ до різних розділів інтерфейсу. Це дозволяє налаштовувати інформаційні панелі для різних користувачів. Додаткові потужні можливості включають масові зміни конфігурацій, оновлення мікропрограми та управління виправленнями.
TrueSight Network Automation можна встановити на Windows Server, RedHat Enterprise Linux та Ubuntu. Інформацію про ціни можна отримати, зв’язавшись з відділом продажів постачальника, безкоштовна пробна версія, на жаль, недоступна.
4. Lan-Secure Configuration Center
Lan-Secure Configuration Center – ще один чудовий інструмент для управління конфігурацією мережі. Він має всі основні функції та навіть більше. Як і більшість аналогічних інструментів, він сканує мережу, виявляє мережеві пристрої та створює резервні копії їхніх конфігурацій. Потім ви можете використовувати інструмент для аналізу конфігурацій та визначення відповідних політик для потреб вашої організації та нормативних вимог.
Lan-Secure Configuration Center є дуже гнучким. Він дозволяє оновлювати конфігурації всіх пристроїв, окремих типів пристроїв або окремих пристроїв. Продукт періодично перевіряє конфігурації пристроїв з резервними копіями для виявлення несанкціонованих змін. У разі виявлення він може викликати сповіщення або автоматично відновлювати конфігурації до початкового стану. Цей інструмент можна використовувати для централізованого управління віддаленими сайтами. Він використовує SSH для безпечного з’єднання навіть через незахищені канали.
Lan-Secure Configuration Center доступний у кількох виданнях. Версію Workgroup можна придбати за $99, але вона обмежена управлінням десятьма пристроями. Для більшої кількості пристроїв доступна версія Enterprise, ціна якої залежить від кількості керованих пристроїв. Для будь-якої версії доступна 30-денна пробна версія.
5. WhatsUp Gold Network Configuration Management Add-On
Хто не знає WhatsUp Gold? Цей інструмент моніторингу існує вже багато років. Продукт постійно розвивається, додаються нові функції. Він перетворився на повноцінну систему моніторингу мережі, що стоїть в одному ряду з найкращими інструментами на ринку. Однією з переваг WhatsUp Gold є можливість розширювати функціонал за допомогою доповнень. Одним з них є Network Configuration Management Add-on.
WhatsUp Gold Network Configuration Management Add-on дозволяє адміністраторам забезпечити цілісність своїх мережевих пристроїв. Як і багато аналогічних інструментів, він сканує всі пристрої та зберігає їхні конфігурації у своїй базі даних. Потім інструмент перевіряє конфігурації на відповідність або порівнює поточну версію з базовою для виявлення несанкціонованих змін. Програмне забезпечення також дозволяє легко скасувати ці зміни та відновити початкову конфігурацію.
WhatsUp Gold Network Configuration Management Add-on доступний як доповнення до версій Premium, MSP та Distributed WhatsUp Gold, а також входить до складу видання WhatsUp Gold Total Plus та WhatsUp Gold Network Admin Suite. Для більшості продуктів цієї категорії доступна безкоштовна 30-денна пробна версія.
6. Net LineDancer
Наш наступний інструмент відрізняється незвичною назвою. Net LineDancer – це чудовий продукт від LogicVein, який має всі необхідні функції для управління конфігурацією мережі. Його можна використовувати для автоматизованого управління тисячами пристроїв. Продукт спочатку виявляє всі пристрої та робить знімок їхніх конфігурацій, встановлюючи базовий рівень. Ця базова лінія потім використовується для виявлення змін у конфігурації кожного пристрою. Це типова модель, яка використовується у багатьох інструментах цього типу.
Net LineDancer відрізняється тим, що крім створення резервних копій конфігурацій, збережені файли можна використовувати для пакетного налаштування обладнання, як за типом пристрою, так і окремо. Звітність також є сильною стороною цього продукту. Він може, наприклад, звітувати про те, який користувач вніс які зміни до конфігурації, що корисно для аудитів.
Net LineDancer може працювати на серверах Windows або CentOS та RedHat Enterprise Linux. Він також доступний як віртуальний пристрій для VMware ESX або як хмарний сервіс. Інформацію про ціни можна отримати, зв’язавшись із відділом продажів LogicVein. Доступна 30-денна пробна версія.
Підсумки
Для управління конфігурацією мережі доступно багато різних інструментів, набагато більше, ніж ми можемо тут перерахувати. Ми постаралися представити найкращі інструменти, які змогли знайти, і рекомендуємо будь-який з них. Оскільки майже всі інструменти, що розглянуті тут, пропонують безкоштовні 30-денні пробні версії, немає причин не спробувати хоча б кілька з них, щоб визначити, який з них найкраще відповідає вашим потребам.