Налаштування мережевого обладнання іноді може бути складним завданням. Насправді, не сама конфігурація є такою складною, а радше підтримувати її та гарантувати, що вона дещо стандартизована. Я пам’ятаю, як почав нову роботу і виявив, що всі десятки мережевих комутаторів мають дещо іншу конфігурацію. Це зробило вирішення проблем царським болем. І з сьогоднішніми правилами, такими як PCI/DSS, SOX та інші, як ніколи важливо мати певний процес керування конфігурацією.
Тут можуть стати в нагоді інструменти налаштування та програмне забезпечення. Найкращі з цих інструментів не тільки забезпечать нормалізацію ваших конфігурацій, але й можуть бути використані для демонстрації їх відповідності нормативним вимогам. У цих інструментах також є елемент безпеки. Зараз дуже часто можна побачити, як хакери починають свої атаки, змінюючи конфігурацію пристрою, щоб отримати доступ до мереж, і багато інструментів захистять вас від несанкціонованих змін або принаймні попередять про них. З усіх цих причин ми збираємося поділитися нашим списком найкращих інструментів і програмного забезпечення для налаштування мережі.
Ми розпочнемо нашу подорож з обговорення інструментів і програмного забезпечення для налаштування мережі. Ми розглянемо, про що вони, як вони працюють і навіщо вони вам потрібні. Далі ми представимо деякі з основних функцій цих інструментів. Інструменти сильно відрізняються за своїм набором функцій, але є база, яку можна очікувати в кожному інструменті. Маючи все це позаду, ми перейдемо до суті справи та розглянемо деякі з найкращих інструментів і програмного забезпечення для конфігурації мережі, які ми могли знайти.
Інструменти та програмне забезпечення для конфігурації мережі – для чого вони потрібні
Інструменти конфігурації мережі — це програмні засоби, які допомагають адміністраторам керувати конфігурацією мережі. Це досить просто. Але що таке керування конфігурацією мережі? Відповісти на це питання дещо важче, оскільки, здається, у кожного своя думка з цього приводу. Існує кілька елементів керування конфігурацією мережі. Перш за все, це стосується документування та/або якось збереження даних конфігурації пристрою. Щоразу, коли мережевий комутатор ламається і його потрібно замінити, ми воліємо витягти його конфігурацію з якогось архіву, ніж переробляти його з нуля, що може призвести до затримок і невідповідностей.
Керування конфігурацією також допомагає у розгортанні стандартних конфігурацій пристроїв. Це значно полегшує обслуговування, а також допомагає усунути неполадки. Але крім стандартних конфігурацій, управління конфігурацією також допоможе у дотриманні нормативних вимог. У багатьох нормативно-правових базах — наприклад, PCI/DSS, якщо навести один приклад — є строгі вказівки щодо того, як слід налаштовувати комутатори. Керування конфігурацією допоможе вам перевірити комутатори та продемонструвати їх відповідність.
І якщо йдеться про аудит, процеси керування конфігурацією також можуть допомогти перевірити конфігурацію комутатора на предмет несанкціонованих змін. Усі ми чули про зловмисників, які намагаються отримати доступ до корпоративних мереж, спочатку змінивши конфігурацію мережевих пристроїв, щоб створити бекдор. Про те, чи є це справжнім ризиком чи міською легендою, можна обговорювати, але ми ніколи не надто обережні, і перевірка конфігурації пристрою на предмет несанкціонованих змін є поширеним завданням керування конфігурацією. І навіть якщо ви не такий параноїк, це також корисно для забезпечення дотримання процесів управління змінами.
Що шукати в інструментах конфігурації мережі
Хоча інструменти конфігурації мережі сильно відрізняються, усі вони мають принаймні базовий набір функцій. Вони вважаються важливими функціями, і кожен інструмент включатиме їх, навіть якщо їх реалізація може відрізнятися від інструмента до інструмента. Ось деякі з загальних функцій, які ви повинні знайти в інструменті налаштування мережі.
Він повинен забезпечити спосіб встановлення базової лінії конфігурації. Він також повинен обробляти резервні копії конфігурації. Як зазначалося раніше, він повинен забезпечувати певну форму моніторингу конфігурації, щоб попередити адміністраторів про несанкціоновані зміни. Хороший інструмент конфігурації мережі також повинен забезпечувати спосіб легкого відкату змін і, останнє, але не в останню чергу, він повинен допомагати у поширенні оновлень мікропрограми.
На додаток до цих основних функцій, найкращі інструменти конфігурації мережі також містять додаткові функції. Серед найпоширеніших — і найкорисніших — аудит відповідності стандартам є чудовою функцією. Масове оновлення конфігурації, а також керування виправленнями мікропрограми також є одними з найкорисніших додаткових функцій.
Найкращі інструменти налаштування мережі
Ми склали список найкращих інструментів налаштування мережі. Наш основний критерій вибору полягав у тому, щоб інструменти містили принаймні всі основні характеристики. Багато продуктів виходять далеко за межі цього і включають не тільки всі додаткові функції, які ми згадували, але навіть більше. Це не відсортований список і не припускайте, що позиція інструмента є показником його цінності порівняно з іншими. Усі запропоновані тут інструменти є чудовими інструментами, які ми без вагань рекомендуємо. Вибір того, що вам найбільше підходить, буде залежати від особистих переваг. Ваш вибір може керуватися унікальною особливістю інструменту, який вам особливо подобається.
1. Менеджер конфігурації мережі SolarWinds (БЕЗКОШТОВНА ПРОБНА ОПЕРАЦІЯ)
SolarWinds протягом багатьох років створює одні з найкращих інструментів адміністрування мережі. Монітор продуктивності мережі та аналізатор трафіку NetFlow є одними з найкращих пакетів для моніторингу мережі SNMP та колекторів і аналізаторів NetFlow, які ви можете знайти. SolarWinds також створює чудові безкоштовні інструменти, які відповідають конкретним потребам, наприклад, калькулятор підмережі або сервер TFTP.
Коли справа доходить до інструментів налаштування мережі, то Менеджер конфігурації мережі SolarWindsабо NCM, є одним із найкращих пакетів, які ви можете знайти. Це, наприклад, допоможе вам гарантувати, що всі конфігурації обладнання стандартизовані. Ви можете використовувати цей інструмент для надсилання масових змін конфігурації на тисячі мережевих пристроїв. І з точки зору безпеки, інструмент виявить несанкціоновані зміни, які можуть бути ознакою зловмисного втручання в конфігурацію. Що стосується безпеки, то цей продукт також має деякі цікаві функції оцінки вразливостей, а його інтеграція з Національною базою даних уразливостей дає йому доступ до найновіших поширених уразливостей для виявлення вразливостей у ваших пристроях Cisco.
The Менеджер конфігурації мережі SolarWinds може допомогти вам швидко відновитися після збоїв, відновивши попередні конфігурації. І, звичайно, інструмент також створить резервні копії конфігурацій. Ви також можете використовувати його функції керування змінами, щоб швидко визначити, що змінилося у файлі конфігурації, і виділити зміни. Крім того, цей інструмент дозволить вам продемонструвати відповідність і пройти регуляторні аудити завдяки вбудованим стандартним звітам.
Якщо у вашій мережі є брандмауери Cisco ASA або комутатори Cisco Nexus, ви зможете скористатися ще більш розширеними функціями. Network Insight для Cisco ASA, вбудована функція NCM, він виявить контексти безпеки, створить резервні копії та відновить файли конфігурації; відкривайте, візуалізуйте та перевіряйте списки контролю доступу та легко керуйте оновленнями мікропрограм для пристроїв Cisco ASA. Аналогічно, Network Insight для Nexus, який також включено, надасть вам більш глибокий огляд комутаторів вашого центру обробки даних і дозволить вам фільтрувати, шукати й ідентифікувати зміни конфігурації для списків керування доступом, а також переглядати фрагменти конфігурації інтерфейсу та отримувати підтримку контексту віртуального пристрою (VDC). для виявлення батьків/дітей.
Ціни на Менеджер конфігурації мережі SolarWinds починаються з 2895 доларів США і змінюються залежно від кількості керованих вузлів із сімома рівнями ліцензування. Якщо ви хочете спробувати програмне забезпечення перед його покупкою, доступна безкоштовна повнофункціональна необмежена 30-денна пробна версія.
2. Менеджер конфігурації мережі ManageEngine
ManageEngine – це ще одне ім’я, знайоме адміністраторам мережі. Його Менеджер конфігурації мережі це комплексний пакет, який може допомогти забезпечити цілісність вашої мережі. Інструмент можна використовувати для керування конфігурацією більшості мережевого обладнання, незалежно від постачальника. Крім того, він відповідає стандартам NCCCM (Network Change, Configuration, and Compliance Management).
The Менеджер конфігурації мережі ManageEngine автоматично оброблятиме резервні копії конфігурацій ваших пристроїв на регулярній основі. Він порівнюватиме кожну наступну резервну копію з попередньою, шукає зміни конфігурації та попереджає вас про неавторизовані. Він також може створювати звіти про розбіжності конфігурації між подібними пристроями.
The Менеджер конфігурації мережі ManageEngine включає функцію ведення журналу, яка записує кожну внесену зміну, а також користувач, який її зробив. Облікові записи користувачів, які здійснюють несанкціоновані зміни, можуть бути автоматично призупинені. Система також попередить вас, коли підозрює, що обліковий запис користувача зламано.
Програмне забезпечення, яке встановлюється на Windows і Linux, доступне як безкоштовна версія, яка обмежена двома пристроями. Для більшої кількості пристроїв ціни починаються від 595 доларів США за до 10 керованих пристроїв і змінюються залежно від кількості керованих пристроїв. Для платних ліцензій доступна безкоштовна 30-денна пробна версія.
3. Надбудова керування конфігурацією мережі WhatsUp Gold
WhatsUp Gold завжди існував як інструмент моніторингу, що підвищується або знижується. Протягом століть він постійно розвивався і постійно додавав нові функції, щоб досягти того, де він є зараз: повноцінну систему моніторингу мережі. Але одна чудова особливість WhatsUp Gold полягає в тому, що його функціональність можна розширити за допомогою доповнень. І одне з цих доповнень називається надбудовою керування конфігурацією.
Додатковий компонент керування конфігурацією WhatsUp Gold дозволяє підтримувати цілісність ваших мережевих пристроїв. Інструмент спочатку просканує всі ваші пристрої та збереже їх конфігурацію у своїй базі даних. Відтоді він може перевіряти конфігурації на відповідність або порівнювати поточну з еталонною, щоб виявити несанкціоновані зміни. Програмне забезпечення також дозволить вам легко відкотити ці зміни та відновити початкову конфігурацію.
Доповнення керування конфігурацією WhatsUp Gold доступне як доповнення до Premium, MSP та Distributed випусків WhatsUp Gold і входить до версії WhatsUp Gold Total Plus та пакету адміністратора мережі WhatsUp Gold. Також доступна безкоштовна 30-денна пробна версія.
4. ConfiBack
Ми думали, що включимо ConfiBack у цьому списку, незважаючи на той факт, що в ньому відсутні деякі функції добросовісного інструмента налаштування мережі. Це хороший приклад того, як може виглядати простіший інструмент керування конфігурацією. Це безкоштовна система резервного копіювання конфігурації пристрою з Чеської Республіки, яка працює в основному на Linux. Хоча він має обмежену функціональність у порівнянні з трьома попередніми записами, він все ще є дуже цікавим варіантом для невеликого бізнесу та неприбуткових організацій, які хочуть мати можливість користуватися деякими перевагами керування конфігурацією, не витрачаючи тисячі доларів.
ConfiBack резервне копіювання потрібно запускати вручну, але ви можете запланувати їх виконання на регулярній основі. Інструмент також допомагає виявляти несанкціоновані зміни, хоча й вручну. Вам потрібно вручну порівняти дві резервні копії конфігурації пристрою за допомогою команди diff. Diff знайде всі відмінності між двома файлами, виділивши тим самим будь-який рядок, який змінився. Тоді вам вирішувати, чи є зміна законною чи ні
Це майже все, що ви отримаєте з ConfiBack. Це дуже простий продукт, але знову ж таки, його може бути достатньо для ваших потреб. І його ціну просто не перевершити.
5. rConfig
Наступним у нашому списку є інструмент під назвою rConfig. Цей цікавий інструмент має обмежені можливості, але він працює дуже добре. Він автоматично визначить усі ваші мережеві пристрої та створить резервні копії їхніх конфігурацій у текстові файли. Резервне копіювання можна запускати вручну або за розкладом. Однією з функцій, які ми виявили корисною, є групування пристроїв за категоріями. Це дозволяє адміністраторам виконувати дії на окремих пристроях, на пристроях у межах категорії або на всіх пристроях. Перевірка та аудит несанкціонованих змін конфігурації є ручним процесом, так само, як це було з ConfiBack.
rConfig можна використовувати для швидкого просування стандартизованих конфігурацій на пристрої окремо або в категоризованих групах. Стандартну конфігурацію зі сховища файлів можна передати на пристрої. Цей інструмент також надає деякі функції аудиту відповідності. Політики, що відповідають конкретним вимогам до відповідності, або ваші власні корпоративні практики можна встановити в rConfig. Менеджер відповідності конфігурації, який є частиною системи, може потім перевірити ваші конфігурації на відповідність встановленим політикам і продемонструвати їх відповідність.
rConfig доступний у безкоштовній версії для спільноти або в професійній версії з безкоштовною підтримкою та виправленнями помилок за трохи менше 500 євро на рік. Він працює лише на CentOS і RedHat Enterprise Linux.
6. Net LineDancer
Незважаючи на свою незвичайну назву, Net LineDancer, яку часто називають просто NetLD, є чудовим інструментом від постачальника LogicVein з усіма функціями, які можна очікувати від менеджера конфігурації. Цей інструмент може керувати тисячами пристроїв за допомогою автоматизованих процесів. Спочатку продукт знайде всі ваші пристрої та зробить знімок їх конфігурації, встановивши базову лінію. Цю базову лінію потім можна використовувати для визначення змін у конфігурації кожного пристрою.
На додаток до створення резервної копії конфігурацій, збережені файли можна використовувати для пакетного налаштування обладнання. Це можна зробити за типом пристрою або окремо. Звітність також дуже гарна в NetLD. Він може, наприклад, повідомляти про те, який користувач вніс яку зміну конфігурації, що є корисною функцією для аудиту відповідності.
Net LineDancer може працювати на серверах Widows або на CentOS і RedHat Enterprise Linux. Він також доступний як віртуальний пристрій від WMware ESX або як хмарний сервіс. Інформація про ціни недоступна, але можна отримати 30-денну пробну версію.
7. Автоматизація мережі TrueSight
Автоматизація мережі TrueSight це нова назва BladeLogic Network Automation від BMC Software. Постачальник також оновив програмне забезпечення і перетворив його на досить хорошу систему керування конфігурацією. Схоже, велика увага була приділена особливостям відповідності продукту стандартам.
Аудит відповідності здійснюється за допомогою політик. Інструмент постачається з кількома попередньо розробленими політиками для таких нормативних вимог, як HIST, HIPAA, PCI/DSS, DIS, SOX або SCAP. Автоматизація мережі TrueSight використовуватиме політику для перевірки конфігурації пристрою на відповідність. Він також може автоматично застосовувати стандарти, змінюючи конфігурації за потреби.
Як і багато подібних інструментів, програмне забезпечення спочатку сканує мережу, щоб знайти всі ваші пристрої, перевіряє їх на відповідність і, якщо потрібно, коригує їх конфігурації. Потім він створить резервну копію конфігурацій і використає їх як точку порівняння для виявлення несанкціонованих змін конфігурації.
TrueSight Network Automation дозволяє створювати користувачів і групи та розподіляти різні розділи свого інтерфейсу користувача для різних груп користувачів. Ви можете мати різні інформаційні панелі для різних користувачів. Іншою потужною функцією цього інструменту є масові зміни конфігурації або оновлення мікропрограми. Система також має можливості керування виправленнями.
TrueSight Network Automation можна встановити на Windows Server, RedHat Enterprise Linux та Ubuntu. Інформацію про ціни можна отримати, зв’язавшись із відділом продажів постачальника, і безкоштовна пробна версія, схоже, недоступна.
8. Центр конфігурації Lan-Secure
Наш останній запис – це Центр конфігурації Lan-Secure, досить хороша система управління конфігурацією мережі. Він має всі необхідні характеристики та багато іншого. Як і більшість інших таких інструментів, він спочатку сканує вашу мережу, щоб виявити всі ваші мережеві пристрої та зробити резервні копії їх конфігурацій. Далі ви можете перевірити свої конфігурації та визначити правильну політику для потреб та зобов’язань вашої організації.
Ви можете використовувати Lan-Secure Configuration Center, щоб оновити конфігурації або змінити налаштування всіх пристроїв, окремих типів пристроїв або окремих пристроїв. Інструмент також періодично перевіряє конфігурації пристроїв із резервними копіями, щоб виявити несанкціоновані зміни. Такі зміни можуть або викликати сповіщення, або автоматично повертатися до початкового значення. Інструмент можна використовувати для управління віддаленими сайтами з централізованих місць і використовує SSH для безпечного зв’язку з віддаленими сайтами, навіть через незахищені канали.
Lan-Secure Configuration Center доступний у версії для робочої групи за 99 доларів США. Це обмежується керуванням до десяти пристроїв. Для більшої кількості пристроїв доступна версія Enterprise за ціною, яка залежить від кількості керованих пристроїв. Для будь-якої версії доступна безкоштовна 30-денна пробна версія.