Для будь-якого досвідченого адміністратора мережі конфігурація пристроїв — це непроста справа. Багато хто міг зробити це уві сні. Але хоча конфігурація може здатися простою, з сучасними операційними системами мережевого обладнання, такими як Cisco IOS, є багато опцій, є багато можливостей для помилок. І чим більше мережа, тим більше можливостей для помилок.
Що якби ви керували кількома пристроями, чи не хотіли б ви, щоб вони мали подібні конфігурації? Вони не будуть ідентичними, але загальні параметри мають бути однаковими для всіх пристроїв. Відповідно до сучасних правил, таких як PCI/DSS, SOX та інші, деякі параметри конфігурації є обов’язковими і повинні бути присутніми на всіх пристроях. Тут можуть допомогти найкращі інструменти для керування мережевими конфігураціями, і саме про це ми сьогодні поговоримо.
Найкращі з цих інструментів не тільки забезпечать нормалізацію конфігурації вашого обладнання, але й продемонструють їх відповідність нормативним вимогам. Безпека також є важливим аспектом цих інструментів, оскільки хакери часто починають свої атаки, змінюючи конфігурації пристроїв, щоб отримати доступ до мереж. Багато інструментів керування конфігурацією мережі або захистять вас від несанкціонованих змін, або принаймні попередять про них.
Ми почнемо з обговорення управління конфігурацією мережі. Ми розглянемо, що це таке і навіщо він вам потрібен. Потім ми поговоримо про основні елементи інструментів керування конфігурацією мережі. Незважаючи на те, що вони сильно відрізняються за своїм набором функцій, є спільна база, яку можна очікувати в кожному хорошому. Нарешті, ми перейдемо до суті питання та розглянемо деякі з найкращих інструментів для керування мережевими конфігураціями.
Все, що вам потрібно знати про керування конфігурацією мережі
Простіше кажучи, будь-який інструмент, який допомагає адміністраторам керувати конфігурацією мережі, можна назвати інструментом конфігурації мережі, простим і зрозумілим. Але що таке керування конфігурацією мережі? Ну, здається, у кожного своя думка з цього приводу. Але насправді існує багато елементів керування конфігурацією мережі. Перш за все, ці інструменти використовуються для документування та/або якось збереження даних конфігурації пристрою. Щоразу, коли частина обладнання ламається і його потрібно замінити, набагато легше витягнути його конфігурацію з якогось архіву, ніж переробити з нуля, що може призвести до затримок і невідповідностей.
Розгортання стандартних конфігурацій пристроїв – це ще одне місце, де інструменти керування конфігурацією мережі можуть дуже допомогти. Наявність стандартних конфігурацій значно полегшує обслуговування, а також допомагає усунути неполадки. Окрім стандартних конфігурацій, інструменти керування конфігурацією мережі також допоможуть у дотриманні нормативних вимог. У багатьох нормативно-правових базах, таких як PCI/DSS або SOX, є строгі вказівки щодо того, як мають бути налаштовані комутатори, які параметри безпеки мають бути увімкнені тощо. Інструменти керування конфігурацією мережі можуть допомогти з аудитом конфігурації пристрою та демонстрацією відповідності.
І якщо йдеться про аудит, інструменти керування конфігурацією мережі також можуть допомогти перевірити конфігурацію комутатора на предмет несанкціонованих змін. Усі ми чули про зловмисників, які намагаються отримати доступ до корпоративних мереж, спочатку змінивши конфігурацію мережевих пристроїв, щоб створити бекдор. Це може бути просто міська легенда чи епізод з фільму, але чи готові ви піти на ризик? Перевірка конфігурації мережевого пристрою на предмет несанкціонованих змін призначена не тільки для параноїків серед нас, вона також може бути корисною для перевірки того, що процеси управління змінами дотримуються.
Типові елементи інструментів конфігурації мережі
Хоча інструменти керування конфігурацією мережі сильно відрізняються, усі вони мають принаймні загальний набір основних функцій. Вони вважаються важливими функціями, і кожен інструмент буде включати їх, навіть якщо їх реалізація може відрізнятися від інструмента до інструмента. Ось деякі з загальних функцій, які ви повинні знайти в більшості інструментів керування конфігурацією мережі.
По-перше, інструмент повинен запропонувати спосіб встановлення базової лінії конфігурації. Він також повинен обробляти резервні копії конфігурації пристрою. Він повинен забезпечувати певну форму моніторингу конфігурації та сповіщати адміністраторів або менеджерів про несанкціоновані зміни. Більшість хороших інструментів керування конфігурацією мережі також забезпечать спосіб легкого відкату змін і, останнє, але не менш важливе, це повинно допомогти у розповсюдженні оновлень мікропрограми, хоча цей останній елемент є менш поширеним.
На додаток до цих основних функцій інструменти керування конфігурацією мережі можуть також включати додаткові функції. Серед найпоширеніших і найкорисніших аудит відповідності стандартам є чудовою функцією. Масові зміни конфігурації, а також оновлення мікропрограми та управління виправленнями також є одними з найкорисніших додаткових функцій.
Найкращі інструменти для керування конфігурацією мережі
Ми спробували скласти список найкращих інструментів керування конфігурацією мережі. Багато продуктів виходять далеко за рамки базових функцій і включають не тільки всі додаткові функції, про які ми згадували раніше, але навіть більше. Усі наведені нижче інструменти є чудовими інструментами, які ми без вагань рекомендуємо. Вибір того, що вам найбільше підходить, буде залежати від особистих переваг. Ваш вибір може керуватися унікальною особливістю інструменту, який вам особливо подобається. Багато інструментів мають безкоштовну пробну версію або безкоштовну версію зі зниженими функціями, тому не соромтеся спробувати їх. Зрештою, це найкращий спосіб перевірити, чи підходить інструмент для ваших потреб.
1. Менеджер конфігурації мережі SolarWinds (БЕЗКОШТОВНА ПРОБНА ОПЕРАЦІЯ)
SolarWinds протягом багатьох років створює одні з найкращих інструментів адміністрування мережі. Компанія здобула міцну репутацію серед адміністраторів мережі. Монітор продуктивності мережі та аналізатор трафіку NetFlow є одними з найкращих засобів моніторингу мережі SNMP, а також збирачів і аналізаторів NetFlow. SolarWinds також відомий створенням кількох чудових безкоштовних інструментів, які відповідають конкретним потребам мережевих адміністраторів, таких як калькулятор підмережі або сервер TFTP.
SolarWinds також робить Менеджер конфігурації мережіабо NCM, один із найкращих інструментів, які ви можете знайти. Засіб має багато застосувань. Це може допомогти вам гарантувати, що всі конфігурації обладнання стандартизовані. Ви також можете використовувати його для надсилання масових змін конфігурації на тисячі мережевих пристроїв. І з точки зору безпеки, інструмент виявить несанкціоновані зміни, які можуть бути ознакою зловмисного втручання в конфігурацію. І щоб зробити його ще більш привабливим, цей продукт також має кілька цікавих функцій оцінки вразливостей, а його інтеграція з Національною базою даних уразливостей дає йому доступ до найновіших поширених ризиків уразливостей та ідентифікувати вразливості на ваших пристроях.
The Менеджер конфігурації мережі SolarWinds може допомогти вам швидко відновитися після збоїв, відновивши попередні конфігурації. Це означає, що інструмент також створить резервні копії конфігурацій. І ви можете використовувати його функції керування змінами, щоб швидко визначити, що змінилося у файлі конфігурації, і виділити зміни. Крім того, цей інструмент дозволить вам продемонструвати відповідність і пройти регуляторні аудити завдяки вбудованим стандартним звітам.
Якщо у вашій мережі є брандмауери Cisco ASA або комутатори Cisco Nexus, ви зможете скористатися ще більш розширеними функціями. Network Insight для Cisco ASA, вбудована функція NCM, дозволить виявляти контексти безпеки, створювати резервні копії та відновлювати файли конфігурації, виявляти, візуалізувати та аудити списки контролю доступу, а також легко керувати оновленнями мікропрограм для пристроїв Cisco ASA. Network Insight для Nexus, який також включено, надасть вам глибший огляд комутаторів центру обробки даних і дозволить вам фільтрувати, шукати й ідентифікувати зміни конфігурації, а також переглядати фрагменти конфігурації інтерфейсу та отримувати підтримку контексту віртуального пристрою (VDC) для батьків/дочірніх. виявлення.
Ціна за Менеджер конфігурації мережі SolarWinds починається від 2 895 доларів США до п’ятдесяти вузлів і збільшується разом із кількістю керованих вузлів. Якщо ви хочете випробувати програмне забезпечення, перш ніж його придбати, доступна безкоштовна повнофункціональна 30-денна пробна версія без обмежень для вузлів.
2. Менеджер конфігурації мережі ManageEngine
ManageEngine – це ще одне ім’я, знайоме адміністраторам мережі. Компанія також виробляє широкий спектр інструментів адміністрування мережі. Його Менеджер конфігурації мережі це комплексний пакет, який може допомогти забезпечити цілісність вашої мережі. Інструмент можна використовувати для керування конфігурацією більшості мережевого обладнання, незалежно від виробника, і він відповідає стандартам NCCCM (Network Change, Configuration and Compliance Management).
The Менеджер конфігурації мережі ManageEngine автоматично оброблятиме резервні копії конфігурацій ваших пристроїв на регулярній основі. Він порівнюватиме кожну наступну резервну копію з попередньою, шукає зміни конфігурації та попереджає вас про неавторизовані чи підозрілі. Він також може створювати звіти про розбіжності конфігурації між подібними пристроями.
Цей інструмент містить функцію реєстрації, яка реєструє кожну внесену зміну, а також користувач, який її зробив. Облікові записи користувачів, які здійснюють несанкціоновані зміни, можуть бути автоматично призупинені. Система також може попередити вас, коли підозрює, що обліковий запис користувача зламано.
Програмне забезпечення, яке встановлюється на Windows або Linux, доступне як безкоштовна версія, яка обмежена двома пристроями. Для більших установок ціни починаються від 595 доларів США для 10 керованих пристроїв і змінюються залежно від кількості керованих пристроїв. Для платних ліцензій доступна безкоштовна 30-денна пробна версія.
3. Автоматизація мережі TrueSight
Автоматизація мережі TrueSight від програмного забезпечення BMC, раніше відомого як BladeLogic Network Automation. Але вони не лише змінили назву продукту, постачальник також оновив програмне забезпечення та перетворив його на дуже хорошу систему керування конфігурацією. І велика увага приділялася вимогам відповідності стандартам особливостей продукту.
Аудит відповідності здійснюється за допомогою політик. Інструмент постачається з кількома попередньо розробленими політиками для таких нормативних вимог, як HIST, HIPAA, PCI/DSS, DIS, SOX або SCAP. The Автоматизація мережі TrueSight система використовує ці політики для перевірки конфігурації пристроїв на відповідність. Але він не тільки перевіряє конфігурації, він також може автоматично застосовувати стандарти, змінюючи конфігурації за потреби. Це потужна функція.
Після встановлення програмне забезпечення виконає початкове сканування мережі, щоб знайти всі пристрої, перевірити їх на відповідність і, якщо потрібно, налаштувати їх конфігурації. Потім він створить резервну копію конфігурацій і використає їх як базову точку порівняння для виявлення несанкціонованих змін конфігурації.
TrueSight Network Automation дозволяє створювати користувачів і групи, і ви можете авторизувати різні групи користувачів на доступ до різних розділів інтерфейсу користувача. Ця функція дозволяє мати різні інформаційні панелі для різних користувачів. Іншою потужною особливістю продукту є масові зміни конфігурації або оновлення мікропрограми. Система також має можливості керування виправленнями.
TrueSight Network Automation можна встановити на Windows Server, RedHat Enterprise Linux та Ubuntu. Інформацію про ціни можна отримати, зв’язавшись із відділом продажів постачальника, і безкоштовна пробна версія, схоже, недоступна.
4. Центр конфігурації Lan-Secure
The Центр конфігурації Lan-Secure це ще один чудовий інструмент керування конфігурацією мережі, який вартий свого місця в нашому списку. Він має всі основні характеристики, а потім і деякі. Як і більшість інших подібних інструментів, цей спочатку сканує вашу мережу, щоб виявити мережеві пристрої, і виконує резервне копіювання їх конфігурацій. Потім можна використовувати інструмент для вивчення конфігурацій і прийняття рішення щодо правильної політики для потреб організації та нормативних або договірних зобов’язань.
The Центр конфігурації Lan-Secure є дуже гнучким і може використовуватися для оновлення конфігурацій або зміни налаштувань усіх пристроїв, окремих типів пристроїв або окремих пристроїв. Продукт також може періодично перевіряти конфігурації пристроїв із резервними копіями, щоб виявити несанкціоновані зміни. При виявленні він може або викликати сповіщення, або автоматично повернути їх до початкового стану. Цей інструмент можна використовувати для управління віддаленими сайтами з централізованого розташування, і він використовує SSH для безпечного зв’язку з віддаленими сайтами, навіть через незахищені канали.
The Центр конфігурації Lan-Secure доступний у кількох видах. Є версія Workgroup, яку можна придбати за 99 доларів. Однак він обмежується керуванням до десяти пристроїв. Для більшої кількості пристроїв доступна версія Enterprise за ціною, яка залежить від кількості керованих пристроїв. Доступна безкоштовна 30-денна пробна версія будь-якої версії.
5. Надбудова керування конфігурацією мережі WhatsUp Gold
Хто не знає WhatsUp Gold? Він існував протягом багатьох років як інструмент моніторингу вгору або вниз. Продукт ніколи не припинявся розвиватися, а нові функції постійно додавались, і тепер він став повноцінною системою моніторингу мережі, нарівні з одними з найкращих інструментів у бізнесі. Одна чудова річ WhatsUp Gold полягає в тому, що його функціональність можна розширити за допомогою доповнень. І одним з цих доповнень є Доповнення керування конфігурацією.
The Доповнення для керування конфігурацією WhatsUp Gold дозволяє адміністраторам зберегти цілісність своїх мережевих пристроїв. Як і багато подібних інструментів, він спочатку сканує всі пристрої та зберігає їх конфігурацію у своїй базі даних. Відтоді інструмент може перевіряти конфігурації на відповідність або порівнювати поточну версію з еталонною та виявляти несанкціоновані зміни. Програмне забезпечення також дозволить вам легко відкотити ці зміни та відновити початкову конфігурацію.
The Доповнення для керування конфігурацією WhatsUp Gold доступний як доповнення до версії Premium, MSP і Distributed WhatsUp Gold і входить до складу WhatsUp Gold Total Plus видання та Набір мережевого адміністратора WhatsUp Gold. Як і для більшості продуктів цього асортименту, доступна безкоштовна 30-денна пробна версія.
6. Net LineDancer
Одне, що можна сказати про наш наступний запис, це те, що він, безперечно, має незвичайну назву. Незвачаючи на те, Net LineDancer є чудовим інструментом від LogicVein і має всі функції, які ви очікуєте від будь-якого менеджера конфігурації мережі. Його можна використовувати для керування тисячами пристроїв за допомогою автоматизованих процесів. Спочатку продукт знаходить усі пристрої та робить знімок їх конфігурації, встановлюючи базовий рівень. Цю базову лінію потім можна використовувати для визначення змін у конфігурації кожного пристрою. Це звичайна модель, яка зустрічається в багатьох таких інструментах.
Що відрізняє Net LineDancer полягає в тому, що на додаток до створення резервної копії конфігурацій, збережені файли також можна використовувати для пакетного налаштування обладнання. Це можна зробити за типом пристрою або окремо. Звітність – ще одна сильна сторона цього продукту. Він може, наприклад, повідомляти про те, який користувач вніс яку зміну конфігурації, що є корисною функцією для аудиту.
Net LineDancer може працювати на серверах Windows або на CentOS і RedHat Enterprise Linux. Він також доступний як віртуальний пристрій для VMware ESX або як хмарний сервіс. Інформацію про ціни можна отримати, зв’язавшись із відділом продажів LogicVein, і доступна 30-денна пробна версія.
У висновку
Для керування конфігурацією мережі доступно багато різних інструментів. Набагато більше, ніж ми можемо тут перерахувати. ми постаралися включити найкращі інструменти, які могли знайти, і без вагань рекомендуємо будь-який з них. Оскільки всі інструменти, крім одного, розглянуті тут, пропонують безкоштовну 30-денну пробну версію, немає причин, чому б не спробувати принаймні кілька з них, щоб побачити, який найкраще відповідає вашим потребам.