Налаштування мережевого обладнання – це процес, який іноді може здаватися складним. Проблема не стільки в самій конфігурації, скільки в її підтримці та забезпеченні певної стандартизації. Згадую, як на початку нової роботи зіткнувся з тим, що кожен з десятків мережевих комутаторів мав свою унікальну конфігурацію. Це значно ускладнювало процес пошуку та усунення несправностей. Сьогоднішні нормативні вимоги, такі як PCI/DSS, SOX та інші, роблять наявність ефективної системи управління конфігурацією важливішою, ніж будь-коли.
Саме тут у нагоді стають спеціалізовані інструменти та програмне забезпечення для налаштування. Найкращі з них не тільки допоможуть стандартизувати ваші конфігурації, але й забезпечать їх відповідність нормативним вимогам. Ці інструменти також мають важливу функцію безпеки. Хакери часто починають свої атаки, змінюючи конфігурацію пристроїв, щоб отримати доступ до мережі. Багато інструментів можуть захистити вас від несанкціонованих змін або принаймні сповістити про них. Зважаючи на все це, ми підготували наш список найкращих інструментів та програмного забезпечення для налаштування мережі.
Ми розпочнемо з обговорення інструментів і програмного забезпечення для конфігурації мережі, розберемось, що це таке, як вони працюють і навіщо вони потрібні. Потім ми розглянемо основні функції цих інструментів. Функціонал інструментів може суттєво відрізнятися, але є певний базовий набір можливостей, який можна очікувати від кожного з них. З цим розібравшись, ми перейдемо до огляду деяких з найкращих інструментів і програмного забезпечення для конфігурації мережі, які ми змогли знайти.
Інструменти та програмне забезпечення для конфігурації мережі: їхнє призначення
Інструменти конфігурації мережі – це програмні засоби, розроблені для того, щоб допомогти адміністраторам у керуванні конфігурацією їхніх мереж. Все доволі просто. Але що саме означає керування конфігурацією мережі? Відповідь на це питання не така однозначна, бо кожен, здається, має своє уявлення про це. Є кілька ключових елементів керування конфігурацією мережі. Насамперед, це документування або збереження даних про конфігурацію пристрою. Коли мережевий комутатор виходить з ладу і потребує заміни, набагато краще скористатися заархівованою конфігурацією, ніж створювати її з нуля. Це економить час і зменшує ризик помилок.
Керування конфігурацією також допомагає впроваджувати стандартні конфігурації пристроїв. Це полегшує обслуговування, а також спрощує процес усунення несправностей. Окрім стандартизації, управління конфігурацією допомагає виконувати нормативні вимоги. У багатьох нормативних рамках, таких як PCI/DSS, є чіткі вказівки щодо того, як повинні бути налаштовані комутатори. Керування конфігурацією дозволяє перевірити комутатори та продемонструвати їхню відповідність цим вимогам.
І якщо вже заговорили про аудит, то процеси управління конфігурацією також допоможуть перевірити конфігурацію комутатора на наявність несанкціонованих змін. Всім відомі випадки, коли зловмисники намагалися отримати доступ до корпоративних мереж, спочатку змінивши конфігурацію мережевих пристроїв для створення “чорного входу”. Чи є це реальним ризиком, чи це просто міська легенда – можна дискутувати, але перевірка конфігурації пристрою на наявність несанкціонованих змін є стандартною процедурою управління конфігурацією. Навіть якщо ви не є прихильником теорій змови, перевірка допоможе вам контролювати внесення змін до конфігурації.
Критерії вибору інструментів конфігурації мережі
Хоча інструменти конфігурації мережі можуть істотно відрізнятися, всі вони повинні мати базовий набір функцій. Ці функції вважаються необхідними, і кожен інструмент буде їх містити, навіть якщо реалізація може відрізнятися. Ось деякі з основних функцій, які варто очікувати від інструменту для налаштування мережі.
Він повинен забезпечувати можливість встановлення базової конфігурації. Він також повинен виконувати резервне копіювання конфігурацій. Як уже зазначалося, він повинен здійснювати моніторинг конфігурації, щоб сповіщати адміністраторів про несанкціоновані зміни. Хороший інструмент конфігурації мережі також повинен забезпечувати можливість легкого відкату змін і, що не менш важливо, він повинен допомагати у поширенні оновлень мікропрограми.
На додаток до цих основних функцій, кращі інструменти конфігурації мережі пропонують додаткові можливості. Серед найпоширеніших та найкорисніших – аудит відповідності стандартам. Масове оновлення конфігурацій та управління оновленнями мікропрограми також є дуже корисними додатковими функціями.
Огляд найкращих інструментів налаштування мережі
Ми склали список найкращих інструментів налаштування мережі. Основним критерієм вибору була наявність у інструментах хоча б всіх основних функцій. Багато з них виходять далеко за рамки цього і включають не тільки додаткові можливості, які ми згадували, але й навіть більше. Це не рейтинг, тому не варто вважати, що порядок інструментів у списку є показником їхньої якості. Усі представлені тут інструменти є чудовими і їх можна рекомендувати. Вибір оптимального варіанту залежатиме від ваших індивідуальних потреб та вподобань. Ваш вибір також може залежати від конкретної функції, яка вам особливо сподобалася.
1. SolarWinds Network Configuration Manager (БЕЗКОШТОВНА ПРОБНА ВЕРСІЯ)
SolarWinds протягом багатьох років створює одні з найкращих інструментів адміністрування мережі. Їхні інструменти для моніторингу продуктивності мережі та аналізу трафіку NetFlow є одними з кращих пакетів для моніторингу SNMP та аналізу NetFlow, які можна знайти. SolarWinds також пропонує корисні безкоштовні інструменти, наприклад, калькулятор підмереж або сервер TFTP.
Коли йдеться про інструменти налаштування мережі, SolarWinds Network Configuration Manager або NCM, є одним з найкращих варіантів. Наприклад, він допоможе вам стандартизувати конфігурації всього обладнання. Ви можете використовувати цей інструмент для масового розгортання змін конфігурації на тисячі мережевих пристроїв. З точки зору безпеки, цей інструмент виявляє несанкціоновані зміни, які можуть свідчити про зловмисне втручання в конфігурацію. Для забезпечення безпеки цей продукт також має функції оцінки вразливостей та інтеграцію з Національною базою даних вразливостей, що дозволяє отримувати інформацію про найновіші вразливості, наявні у ваших пристроях Cisco.
SolarWinds Network Configuration Manager допоможе вам швидко відновитися після збоїв, відновивши попередні конфігурації. Звісно, цей інструмент також створює резервні копії конфігурацій. Ви також можете використовувати його функції управління змінами, щоб швидко визначити, що змінилося у файлі конфігурації. Інструмент надає стандартні звіти для демонстрації відповідності регуляторним вимогам.
Якщо у вашій мережі є брандмауери Cisco ASA або комутатори Cisco Nexus, ви зможете скористатися розширеними можливостями. Network Insight для Cisco ASA, вбудована функція NCM, виявляє контексти безпеки, створює резервні копії та відновлює файли конфігурації, візуалізує списки контролю доступу та спрощує керування оновленнями мікропрограм для пристроїв Cisco ASA. Аналогічно, Network Insight для Nexus надасть вам детальніший огляд комутаторів вашого центру обробки даних, дозволить фільтрувати, шукати та ідентифікувати зміни конфігурації для списків керування доступом, а також переглядати фрагменти конфігурації інтерфейсу та отримувати підтримку контексту віртуального пристрою (VDC).
Ціни на SolarWinds Network Configuration Manager починаються з 2895 доларів США і залежать від кількості керованих вузлів. Доступна 30-денна безкоштовна пробна версія.
2. ManageEngine Network Configuration Manager
ManageEngine – ще одне відоме ім’я серед адміністраторів мережі. Їхній Network Configuration Manager є комплексним пакетом, який забезпечує цілісність вашої мережі. Інструмент можна використовувати для керування конфігурацією більшості мережевого обладнання, незалежно від постачальника. Він також відповідає стандартам NCCCM (Network Change, Configuration, and Compliance Management).
ManageEngine Network Configuration Manager автоматично створює резервні копії конфігурацій ваших пристроїв на регулярній основі. Він порівнює кожну наступну резервну копію з попередньою, відстежує зміни конфігурації та попереджає вас про неавторизовані. Він також може створювати звіти про відмінності конфігурації між подібними пристроями.
ManageEngine Network Configuration Manager має функцію ведення журналу, яка фіксує кожну зміну, а також користувача, який її вніс. Облікові записи користувачів, які здійснюють несанкціоновані зміни, можуть бути автоматично заблоковані. Система також сповіщає про підозри на зламування облікового запису користувача.
Програмне забезпечення, яке встановлюється на Windows і Linux, доступне в безкоштовній версії, яка обмежена двома пристроями. Для більшої кількості пристроїв ціни починаються від 595 доларів США за 10 керованих пристроїв і залежать від їх кількості. Для платних ліцензій доступна 30-денна пробна версія.
3. WhatsUp Gold Network Configuration Management Add-on
WhatsUp Gold завжди був інструментом моніторингу. Протягом багатьох років він постійно розвивався і додавав нові функції, щоб перетворитися на повноцінну систему моніторингу мережі. Однією з чудових особливостей WhatsUp Gold є можливість розширювати його функціональність за допомогою додатків. Одним з таких доповнень є модуль управління конфігурацією.
Додаток управління конфігурацією WhatsUp Gold дозволяє підтримувати цілісність ваших мережевих пристроїв. Інструмент сканує всі ваші пристрої та зберігає їх конфігурації у своїй базі даних. Після цього він може порівнювати поточні конфігурації з базовими, щоб виявити неавторизовані зміни. Програмне забезпечення також дозволяє легко відкочувати ці зміни та відновлювати початкову конфігурацію.
Додаток управління конфігурацією WhatsUp Gold доступний як доповнення до видань Premium, MSP та Distributed. Також доступна безкоштовна 30-денна пробна версія.
4. ConfiBack
Ми вирішили включити ConfiBack до цього списку, попри те, що йому бракує деяких функцій повноцінного інструменту налаштування мережі. Це хороший приклад того, як може виглядати простіший інструмент керування конфігурацією. Це безкоштовна система резервного копіювання конфігурацій пристроїв з Чехії, яка працює в основному на Linux. Хоча вона має обмежену функціональність порівняно з трьома попередніми інструментами, це цікавий варіант для малого бізнесу та неприбуткових організацій, які хочуть отримати деякі переваги від управління конфігурацією, не витрачаючи великі суми.
Резервне копіювання ConfiBack потрібно запускати вручну, але ви можете запланувати їх на регулярній основі. Інструмент також допоможе виявити несанкціоновані зміни, хоча й вручну. Вам потрібно порівняти дві резервні копії конфігурації пристрою за допомогою команди diff. Diff виявить усі відмінності між двома файлами, показуючи усі зміни. Вам потрібно буде вирішити, чи є ця зміна легітимною чи ні.
На цьому все, що ви отримаєте з ConfiBack. Це дуже простий продукт, але для багатьох цього буде достатньо. І його вартість є неперевершеною.
5. rConfig
Наступним у нашому списку є інструмент rConfig. Цей інструмент має обмежені можливості, але він працює дуже добре. Він автоматично виявляє всі ваші мережеві пристрої та створює резервні копії їхніх конфігурацій у текстові файли. Резервне копіювання можна запускати вручну або за розкладом. Однією з корисних функцій є групування пристроїв за категоріями. Це дозволяє адміністраторам виконувати дії на окремих пристроях, на пристроях у межах категорії або на всіх пристроях. Перевірка несанкціонованих змін конфігурації є ручним процесом, як і у ConfiBack.
rConfig можна використовувати для швидкого розгортання стандартизованих конфігурацій на пристрої окремо або в категоризованих групах. Стандартну конфігурацію зі сховища файлів можна передати на пристрої. Цей інструмент також надає деякі функції аудиту відповідності. Політики, що відповідають конкретним вимогам до відповідності, або ваші власні корпоративні практики можна встановити в rConfig. Менеджер відповідності конфігурації може перевірити конфігурації на відповідність встановленим політикам та продемонструвати відповідність.
rConfig доступний у безкоштовній версії для спільноти або у професійній версії з безкоштовною підтримкою та виправленнями помилок за трохи менше 500 євро на рік. Він працює лише на CentOS та RedHat Enterprise Linux.
6. Net LineDancer
Попри свою незвичайну назву, Net LineDancer, яку часто називають NetLD, є чудовим інструментом від постачальника LogicVein з усіма функціями, які можна очікувати від менеджера конфігурації. Цей інструмент може керувати тисячами пристроїв за допомогою автоматизованих процесів. Спочатку продукт виявляє всі ваші пристрої та створює їхній знімок конфігурації, встановлюючи базову лінію. Цю базову лінію потім можна використовувати для визначення змін у конфігурації кожного пристрою.
Окрім створення резервних копій конфігурацій, збережені файли можна використовувати для пакетного налаштування обладнання. Це можна робити за типом пристрою або окремо. Звітність в NetLD також на високому рівні. Він може, наприклад, повідомляти про те, який користувач вніс яку зміну конфігурації, що є корисною функцією для аудиту відповідності.
Net LineDancer може працювати на серверах Windows, CentOS або RedHat Enterprise Linux. Він також доступний як віртуальний пристрій від WMware ESX або як хмарний сервіс. Інформація про ціни недоступна, але можна отримати 30-денну пробну версію.
7. TrueSight Network Automation
TrueSight Network Automation – це нова назва BladeLogic Network Automation від BMC Software. Постачальник оновив програмне забезпечення та перетворив його на ефективну систему управління конфігурацією. Особлива увага була приділена відповідності продукту стандартам.
Аудит відповідності здійснюється за допомогою політик. Інструмент постачається з попередньо розробленими політиками для таких нормативних вимог, як HIST, HIPAA, PCI/DSS, DIS, SOX або SCAP. TrueSight Network Automation використовує політику для перевірки конфігурацій пристроїв на відповідність. Він також може автоматично застосовувати стандарти, змінюючи конфігурації за потреби.
Як і багато подібних інструментів, програмне забезпечення спочатку сканує мережу, виявляє всі пристрої, перевіряє їх на відповідність і, за потреби, коригує їхні конфігурації. Потім він створює резервні копії конфігурацій та використовує їх для виявлення несанкціонованих змін.
TrueSight Network Automation дозволяє створювати користувачів та групи, а також розподіляти різні розділи інтерфейсу користувача для різних груп. Ви можете мати різні інформаційні панелі для різних користувачів. Ще однією потужною функцією є масові зміни конфігурації або оновлення мікропрограми. Система також має можливості управління виправленнями.
TrueSight Network Automation можна встановити на Windows Server, RedHat Enterprise Linux та Ubuntu. Інформацію про ціни можна отримати, звернувшись до відділу продажів постачальника. Безкоштовна пробна версія, на жаль, недоступна.
8. Lan-Secure Configuration Center
Останній інструмент у нашому списку – Lan-Secure Configuration Center. Це надійна система управління конфігурацією мережі. Вона має всі необхідні функції і навіть більше. Як і більшість аналогічних інструментів, вона спочатку сканує вашу мережу, щоб виявити всі мережеві пристрої та створити резервні копії їх конфігурацій. Далі ви можете перевірити свої конфігурації та визначити правильну політику для потреб вашої організації.
Ви можете використовувати Lan-Secure Configuration Center для оновлення конфігурацій або зміни налаштувань усіх пристроїв, окремих типів пристроїв або окремих пристроїв. Інструмент також періодично перевіряє конфігурації пристроїв, порівнюючи їх з резервними копіями, щоб виявити неавторизовані зміни. Такі зміни можуть викликати сповіщення або автоматично повертатися до початкового значення. Інструмент можна використовувати для управління віддаленими сайтами з централізованих місць, використовуючи SSH для безпечного зв’язку.
Lan-Secure Configuration Center доступний у версії для робочої групи за 99 доларів США, що дозволяє керувати до десяти пристроїв. Для більшої кількості пристроїв доступна версія Enterprise, ціна якої залежить від кількості керованих пристроїв. Для обох версій доступна 30-денна пробна версія.