Мониторинг компьютерных сетей

Под мониторингом компьютерных сетей принято понимать работу системы, осуществляющей непрерывное наблюдение за их функционированием с целью обнаружения медленно действующих или нерабочих систем. В задачу мониторинга входит в случае обнаружения неисправностей оповещения о них сетевого администратора заранее установленным способом — с помощью сообщения на электронную почту, мессенджер, пейджер и т.п. Выполнение данной задачи является одним из основных аспектов управления компьютерной сетью.

Если система обнаружения вторжений должна следить за возникновением внешних угроз, то мониторинг компьютерных сетей нужен для наблюдения за ними в поисках сбоев, которые были вызваны перегрузкой и (или) отказом серверов, других устройств и сетевых соединений. Например, чтобы определить текущее состояние веб-сервера, осуществляющая наблюдение программа может с определенной периодичностью отправлять HTTP-запрос на получение тестовой страницы; почтовые серверы проверяют путем отправки тестового сообщения по SMPT и получения по POP3 или IMAP.

Если запрос не удался (когда, например, сетевое соединение не может быть установлено, происходит его завершение по определенному тайм-ауту, или сообщение не доставляется), то это заставляет систему мониторинга компьютерных сетей реагировать согласно установленным заранее правилам:

• отправляется сигнал тревоги системному администратору;
• в автоматическом режиме активируется работа системы защиты от сбоев, задачей которой становится временное выведение проблемного сервера из эксплуатации, пока сбой не будет устранен, и т.п.

Мониторинг Cisco сетей

Система мониторинга и реагирования на реальные угроз безопасности компьютерных сетей Cisco MARS отвечает за ведение мониторинга устройств, чьей задачей является сетевая защита, и хост-приложений, произведенных фирмой Cisco и остальными провайдерами.

Преимущества мониторинга Cisco сетей

• существенное снижение числа ложных срабатываний контроля безопасности путем ведения пистонного сквозного обзора компьютерной сети;
• выявление отклонений при помощи Network Behaviour Analysis с использованием NetFlow;
• нахождение самый действенных методов устранения выявленных и предполагаемых угроз, базирующихся на особенностях топологии и конфигурации сетей;
• обеспечение оперативного и легкого доступа к системе проверке отчетности, в которой уже содержатся более полутора сотен готовых форм настраиваемых отчетов;
• предоставление полезных рекомендаций, помогающих устранять угрозы, включая визуализацию предполагаемого пути сетевой атаки и выявления возможных источников угроз путем использования точных топологических диаграмм, значительно упрощающих реагирование на втором и более высоком уровнях техподдержки.

Система мониторинга Cisco сетей и Cisco Security Manager — система управления — являются компонентами общей системы управления безопасностью Cisco Security Management Suite, обеспечивающей администрирование и соблюдение политик безопасности для имеющей самозащиту сети Cisco.

Аппаратная комплексная платформа Cisco Security Monitoring, Analysis and Response System (система мониторинга, анализа и ответной реакции Cisco MARS) позволяет вести строгое наблюдение и контроль над действующей системой безопасности. Являясь основным звеном управления безопасностью, платформа предоставляет ИТ службе компании широкие возможности для своевременного выявления, управления и обезвреживания угроз безопасности информационной системы.

Мониторинг Cisco сетей обнаруживает и изолирует элементы, нарушающие нормальное функционирование сети, и дает администраторам ценные рекомендации для их полного устранения. Также система поддерживает соответствие политикам безопасности и может как составляющая входить в комплекс общей системы соблюдения соответствия нормативным актам.

Какие проблемы должны решать администраторы сети?

• Невысокий уровень эффективности имеющихся в наличии средств выявления, определения приоритетов и ответных действий сетевых атак и сбоев.
• Усложненность использования системы безопасности и сети.
• Требования соблюдения норм соответствия и формирования отчетности.
• Повышенный уровень сложности, огромная скорость распространения и большая цена ликвидации последствий удавшихся атак.
• Недостаток квалифицированных специалистов по ИТ безопасности и финансовых возможностей.

Мониторинг компьютерных сетей Cisco MARS решает представленные выше проблемы путем:

• интеграции в сеть интеллектуальных функций с целью увеличения эффективности действия механизма корреляции сетевых аномалий и событий безопасности;
• отражения атак с помощью задействования имеющихся преимуществ сетевой инфраструктуры сети и системы безопасности;
• визуализации подтвержденных нарушений безопасности и автоматизации их расследования;
• ведения мониторинга конечных узлов, сетей и действий службы безопасности с целью обеспечения их соответствия действующим нормам;
• предоставления масштабируемого и несложного в реализации и эксплуатации устройства с минимумом совокупных затрат владения.

Система Cisco способна обеспечить преобразование отправляемой сетью и службой безопасности необработанной информации о чужеродной активности в понятные данные, которые могут быть использованы для ликвидации подтвержденных нарушений сетевой безопасности, а также обеспечения соответствия существующим нормам. Удобные в эксплуатации аппаратные средства отражения угроз позволяют администраторам сети централизованно выявлять, определять степень приоритетности и оперативно отражать опасные угрозы при помощи используемых в инфраструктуре устройств.

Возможность быстрого развертывания и масштабируемого управления

Cisco устанавливается в сетях TCP/IP, осуществляя передачу, а также прием системных журналов и SNMP-запросов. Система предоставляет возможность проводить безопасные сеансы с сетевыми устройствами при помощи стандартных и предписанных производителем протоколов безопасной передачи данных. Инсталляция и развертывание Cisco MARS не требует использования каких-либо новых аппаратных средств, обновления ОС, лицензий и услуг, также она не нуждается и в длительном специальном обслуживании. Необходимо связать узлы, где должны будут регистрироваться события, с платформой и определить нужную сеть либо источник при помощи наглядного веб-интерфейса, поддерживающего ролевое управление. Глобальный контроллер предоставляет возможность централизованно управлять расширенными операциями по поддержанию безопасности.