Gestionarea setărilor echipamentelor de rețea poate reprezenta uneori o adevărată provocare. Nu atât configurația în sine este dificilă, ci mai degrabă menținerea ei și asigurarea unei anumite uniformități. Îmi amintesc că, la un nou loc de muncă, am constatat că zeci de switch-uri de rețea aveau configurații ușor diferite, ceea ce făcea depanarea problemelor extrem de complicată. În contextul reglementărilor actuale, precum PCI/DSS, SOX și altele, este acum mai important ca niciodată să avem un proces bine definit de gestionare a configurațiilor.
Aici, instrumentele și software-ul de configurare devin foarte utile. Cele mai bune dintre aceste instrumente nu numai că asigură standardizarea configurațiilor, dar pot fi folosite și pentru a demonstra conformitatea cu reglementările. De asemenea, aceste instrumente au un rol important în securitate. Este des întâlnit în zilele noastre ca hackerii să inițieze atacuri prin modificarea configurațiilor dispozitivelor pentru a obține acces la rețele. Multe instrumente te protejează împotriva modificărilor neautorizate sau cel puțin te avertizează despre acestea. Din toate aceste motive, vom prezenta lista noastră cu cele mai bune instrumente și software pentru configurarea rețelei.
Începem călătoria noastră analizând instrumentele și software-ul de configurare a rețelei. Vom discuta despre ce sunt, cum funcționează și de ce sunt necesare. Apoi, vom prezenta principalele caracteristici ale acestor instrumente. Deși funcționalitățile variază mult, există anumite elemente de bază pe care le veți găsi în fiecare instrument. Având acestea în vedere, vom trece la subiect și vom analiza cele mai bune instrumente și software de configurare a rețelei pe care le-am identificat.
Instrumente și Software pentru Configurarea Rețelei – Ce Sunt Acestea?
Instrumentele de configurare a rețelei sunt aplicații software care ajută administratorii în gestionarea setărilor rețelei. Simplu spus, asta fac. Dar ce este mai exact gestionarea configurației rețelei? Răspunsul la această întrebare este mai complex, deoarece se pare că fiecare are propria definiție. Gestionarea configurației rețelei are mai multe aspecte. În primul rând, este vorba despre documentarea și/sau păstrarea într-un fel a datelor de configurare a dispozitivelor. Când un switch de rețea se defectează și trebuie înlocuit, preferăm să extragem configurația dintr-o arhivă în loc să o refacem de la zero, ceea ce ar putea cauza întârzieri și neconcordanțe.
Gestionarea configurației ajută și la implementarea setărilor standard ale dispozitivelor. Acest lucru simplifică întreținerea și facilitează depanarea. Dar, pe lângă configurațiile standard, gestionarea configurației contribuie și la respectarea reglementărilor. Multe cadre de reglementare, precum PCI/DSS, au cerințe stricte cu privire la modul în care trebuie configurate switch-urile. Gestionarea configurației vă ajută să auditați switch-urile și să demonstrați conformitatea acestora.
Și, tot legat de auditare, procesele de gestionare a configurației pot ajuta și la auditarea configurației switch-urilor pentru modificări neautorizate. Cu toții am auzit despre utilizatori rău intenționați care încearcă să obțină acces în rețelele corporative prin modificarea setărilor dispozitivelor de rețea pentru a crea porți ascunse. Dacă acesta este un risc real sau doar o legendă urbană este discutabil, dar niciodată nu ești prea atent și auditarea configurației dispozitivelor pentru modificări neautorizate este o sarcină standard de gestionare a configurației. Chiar dacă nu sunteți atât de suspicios, este util să vă asigurați că se respectă procesele de gestionare a schimbărilor.
Ce să Căutați în Instrumentele de Configurarea Rețelei
Deși instrumentele de configurare a rețelei variază foarte mult, toate au un set de caracteristici de bază. Acestea sunt considerate elemente esențiale și fiecare instrument le va include, chiar dacă implementarea lor diferă de la un instrument la altul. Iată câteva dintre caracteristicile comune pe care ar trebui să le găsiți într-un instrument de configurare a rețelei:
Ar trebui să ofere o modalitate de a stabili o configurație de bază. De asemenea, ar trebui să se ocupe de backup-urile configurației. Așa cum am menționat anterior, ar trebui să ofere o formă de monitorizare a configurației pentru a alerta administratorii în legătură cu modificările neautorizate. Un instrument bun de configurare a rețelei ar trebui să ofere o modalitate de a anula rapid modificările și, nu în ultimul rând, ar trebui să ajute la distribuirea actualizărilor de firmware.
Pe lângă aceste elemente esențiale, cele mai bune instrumente de configurare a rețelei vor include funcții suplimentare. Printre cele mai comune – și cele mai utile – se numără auditarea conformității cu standardele. Actualizările de configurare în bloc și gestionarea patch-urilor de firmware sunt, de asemenea, caracteristici opționale foarte utile.
Cele Mai Bune Instrumente de Configurarea Rețelei
Am întocmit o listă cu cele mai bune instrumente de configurare a rețelei. Criteriul nostru principal de selecție a fost ca instrumentele să includă cel puțin toate caracteristicile de bază. Multe produse merg mult dincolo de asta și includ nu numai toate caracteristicile opționale pe care le-am menționat, ci și altele. Aceasta nu este o listă ordonată și nu trebuie să considerați că poziția unui instrument indică valoarea sa în comparație cu celelalte. Toate instrumentele sugerate aici sunt excelente și le-am recomanda cu încredere. Alegerea celui care vi se potrivește cel mai bine va fi probabil o chestiune de preferință personală. Alegerea dvs. ar putea fi influențată de o caracteristică unică a unui instrument care vă atrage în mod special.
1. SolarWinds Network Configuration Manager (ÎNCERCARE GRATUITĂ)
SolarWinds produce de mulți ani unele dintre cele mai bune instrumente de administrare a rețelei. Monitorul său de performanță a rețelei și Analizorul de trafic NetFlow sunt unele dintre cele mai bune pachete de monitorizare a rețelei SNMP, colectoare și analizoare NetFlow disponibile. SolarWinds oferă și câteva instrumente gratuite excelente care abordează nevoi specifice, cum ar fi un calculator de subrețea sau un server TFTP.
Când vine vorba de instrumente de configurare a rețelei, SolarWinds Network Configuration Manager, sau NCM, este unul dintre cele mai bune pachete disponibile. De exemplu, vă ajută să vă asigurați că toate configurațiile echipamentelor sunt standardizate. Puteți folosi acest instrument pentru a aplica modificări de configurare în bloc pentru mii de dispozitive de rețea. Din punct de vedere al securității, instrumentul va detecta modificările neautorizate care ar putea indica o încercare de modificare rău intenționată a configurației. Tot în sfera securității, acest produs are câteva caracteristici interesante de evaluare a vulnerabilităților, iar integrarea sa cu National Vulnerability Database îi permite să acceseze cele mai actuale vulnerabilități comune (CVE) pentru a identifica punctele slabe din dispozitivele dumneavoastră Cisco.
SolarWinds Network Configuration Manager vă poate ajuta să vă recuperați rapid după defecțiuni prin restaurarea configurațiilor anterioare. Și, desigur, instrumentul va face și backup-uri ale configurațiilor. De asemenea, puteți utiliza caracteristicile sale de gestionare a modificărilor pentru a identifica rapid modificările dintr-un fișier de configurare și pentru a evidenția diferențele. În plus, acest instrument vă va permite să demonstrați conformitatea și să treceți auditurile de reglementare datorită rapoartelor sale încorporate, standard ale industriei.
Dacă rețeaua dvs. include firewall-uri Cisco ASA sau switch-uri Cisco Nexus, veți beneficia de funcții și mai avansate. Network Insight pentru Cisco ASA, o caracteristică încorporată a NCM, va descoperi contexte de securitate, va face backup și va restaura fișierele de configurare; va identifica, vizualiza și audita listele de control al accesului și va gestiona cu ușurință actualizările de firmware pentru dispozitivele Cisco ASA. De asemenea, Network Insight pentru Nexus, inclusă și ea, vă va oferi o vizibilitate mai profundă asupra switch-urilor din centrul dvs. de date și vă va permite să filtrați, să căutați și să identificați modificările de configurare pentru ACL-uri, precum și să vizualizați fragmente de configurare a interfeței și să obțineți suport Virtual Device Context (VDC) pentru detectarea relației părinte/copil.
Prețurile pentru SolarWinds Network Configuration Manager încep de la 2.895 USD și variază în funcție de numărul de noduri gestionate, cu șapte niveluri de licențiere. Dacă doriți să testați software-ul înainte de a-l cumpăra, este disponibilă o perioadă de încercare nelimitată, complet funcțională, de 30 de zile.
2. ManageEngine Network Configuration Manager
ManageEngine este un alt nume familiar administratorilor de rețea. Network Configuration Manager este un pachet complet care vă poate ajuta să asigurați integritatea rețelei dumneavoastră. Instrumentul poate fi folosit pentru a gestiona configurația majorității echipamentelor de rețea, indiferent de furnizor. În plus, este compatibil cu standardele NCCCM (Network Change, Configuration, and Compliance Management).
ManageEngine Network Configuration Manager va gestiona automat backup-urile configurațiilor dispozitivelor dvs. în mod regulat. Va compara fiecare copie de rezervă succesivă cu cea anterioară, căutând modificări de configurare și vă va avertiza cu privire la cele neautorizate. De asemenea, poate genera rapoarte despre discrepanțele de configurare între dispozitive similare.
ManageEngine Network Configuration Manager include o funcție de înregistrare care stochează fiecare modificare făcută, precum și utilizatorul care a făcut-o. Conturile utilizatorilor care efectuează modificări neautorizate pot fi suspendate automat. De asemenea, sistemul vă va avertiza atunci când suspectează că un cont de utilizator a fost compromis.
Software-ul, care se instalează pe Windows și Linux, este disponibil într-o versiune gratuită, limitată la două dispozitive. Pentru mai multe dispozitive, prețurile încep de la 595 USD pentru până la 10 dispozitive gestionate și variază în funcție de numărul de dispozitive gestionate. O încercare gratuită de 30 de zile este disponibilă pentru licențele plătite.
3. Add-on pentru Gestionarea Configurației Rețelei WhatsUp Gold
WhatsUp Gold a existat dintotdeauna ca un instrument de monitorizare de tip „sus sau jos”. De-a lungul timpului, a evoluat constant și a continuat să adauge mai multe funcții pentru a ajunge acolo unde este acum: un sistem complet de monitorizare a rețelei. Un aspect excelent la WhatsUp Gold este că funcționalitatea sa poate fi extinsă prin utilizarea suplimentelor. Unul dintre aceste suplimente se numește Configuration Management Add-on.
Add-on-ul WhatsUp Gold Configuration Management vă permite să mențineți integritatea dispozitivelor dvs. de rețea. Instrumentul va scana inițial toate dispozitivele și va stoca configurația acestora în baza de date. De atunci, poate audita configurațiile pentru conformitate sau poate compara cea actuală cu cea de referință pentru a detecta modificări neautorizate. De asemenea, software-ul vă va permite să anulați cu ușurință aceste modificări și să restabiliți configurația originală.
Suplimentul de gestionare a configurației WhatsUp Gold este disponibil ca supliment pentru edițiile Premium, MSP și distribuite ale WhatsUp Gold și este inclus cu ediția WhatsUp Gold Total Plus și pachetul de administrator de rețea WhatsUp Gold. Este disponibilă și o perioadă de încercare gratuită de 30 de zile.
4. ConfiBack
Am considerat că merită să includem ConfiBack pe această listă, deși îi lipsesc unele dintre caracteristicile unui instrument de configurare a rețelei complet. Este un bun exemplu despre cum poate arăta un instrument mai simplu de gestionare a configurației. Este un sistem gratuit de backup pentru configurația dispozitivelor, dezvoltat în Republica Cehă, care rulează în principal pe Linux. Deși are o funcționalitate limitată în comparație cu primele trei opțiuni, este totuși o opțiune interesantă pentru întreprinderile mai mici și organizațiile non-profit care doresc să se bucure de unele dintre avantajele gestionării configurației fără a cheltui sume mari de bani.
Backup-urile ConfiBack trebuie inițiate manual, dar le puteți programa să aibă loc în mod regulat. Instrumentul vă ajută și la detectarea modificărilor neautorizate, dar printr-un proces manual. Trebuie să comparați manual două copii de rezervă ale configurației unui dispozitiv folosind o comandă diff. Diff va identifica fiecare diferență între cele două fișiere, evidențiind astfel orice linie care s-a schimbat. Apoi, dvs. trebuie să decideți dacă modificarea este legitimă sau nu.
Cam atât este ce veți obține cu ConfiBack. Este un produs foarte simplu, dar, din nou, ar putea fi suficient pentru nevoile dvs. Iar prețul său nu poate fi egalat.
5. rConfig
Următorul pe lista noastră este un instrument numit rConfig. Acest instrument interesant are caracteristici limitate, dar funcționează foarte bine. Va identifica automat toate dispozitivele dvs. de rețea și va face backup-uri ale configurațiilor acestora în fișiere text. Backup-urile pot fi executate manual sau în mod programat. O caracteristică pe care am considerat-o utilă este gruparea dispozitivelor pe categorii. Le permite administratorilor să efectueze acțiuni fie pe dispozitive individuale, fie pe dispozitive dintr-o categorie, fie pe toate dispozitivele. Verificarea și auditarea modificărilor neautorizate de configurare sunt un proces manual, la fel ca în cazul ConfiBack.
rConfig poate fi folosit pentru a aplica rapid configurații standardizate la dispozitive, fie individual, fie în grupuri clasificate. Configurația standard din depozitul de fișiere poate fi trimisă la dispozitive. Acest instrument oferă și unele funcții de auditare a conformității. Politicile care corespund cerințelor specifice de conformitate sau propriilor practici corporative pot fi setate în rConfig. Managerul de conformitate a configurației, care face parte din sistem, vă poate verifica apoi configurațiile în raport cu politicile stabilite și poate demonstra conformitatea acestora.
rConfig este disponibil într-o versiune comunitară gratuită sau într-o versiune pro cu suport gratuit și remedieri de erori, la puțin sub 500 de euro pe an. Funcționează doar pe CentOS și RedHat Enterprise Linux.
6. Net LineDancer
În ciuda numelui său neobișnuit, Net LineDancer, adesea numit simplu NetLD, este un instrument excelent de la furnizorul LogicVein, cu toate caracteristicile la care v-ați aștepta de la un manager de configurație. Acest instrument poate gestiona mii de dispozitive prin procese automate. Produsul va identifica inițial toate dispozitivele dvs. și va face o captură a setărilor acestora, stabilind o configurație de bază. Această configurație de bază poate fi apoi utilizată pentru a identifica modificările aduse configurației fiecărui dispozitiv.
Pe lângă furnizarea unui backup al configurațiilor, fișierele stocate pot fi folosite pentru a configura echipamentele în loturi. Acest lucru se poate face în funcție de tipul de dispozitiv sau individual. Raportarea este, de asemenea, foarte bună în NetLD. Poate, de exemplu, să raporteze ce utilizator a făcut ce modificare de configurare, o caracteristică utilă pentru auditarea conformității.
Net LineDancer poate rula pe servere Windows sau pe CentOS și RedHat Enterprise Linux. Este disponibil și ca un dispozitiv virtual de la WMware ESX sau ca un serviciu cloud. Informațiile privind prețurile nu sunt disponibile cu ușurință, dar se poate obține o probă de 30 de zile.
7. TrueSight Network Automation
TrueSight Network Automation este noul nume al BladeLogic Network Automation de la BMC Software. Furnizorul a actualizat și software-ul și l-a transformat într-un sistem de gestionare a configurației destul de bun. Se pare că s-a acordat multă atenție caracteristicilor de conformitate cu standardele ale produsului.
Auditul de conformitate se face prin politici. Instrumentul vine cu mai multe politici prefabricate pentru cerințe de reglementare precum HIST, HIPAA, PCI/DSS, DIS, SOX sau SCAP. TrueSight Network Automation va folosi politicile pentru a verifica configurațiile dispozitivelor pentru conformitate. De asemenea, poate aplica automat standardele, modificând configurațiile după cum este necesar.
La fel ca multe instrumente similare, software-ul scanează inițial rețeaua pentru a identifica toate dispozitivele, le verifică conformitatea și, dacă este necesar, le ajustează configurațiile. Apoi va face un backup al configurațiilor și le va folosi ca punct de comparație pentru a detecta modificările neautorizate ale configurației.
TrueSight Network Automation vă permite să creați utilizatori și grupuri și să alocați diferite secțiuni ale interfeței sale de utilizator diferitelor grupuri de utilizatori. Puteți avea diferite tablouri de bord pentru diferiți utilizatori. O altă caracteristică puternică a acestui instrument sunt modificările în bloc de configurare sau actualizările de firmware. Sistemul are și capacități de gestionare a patch-urilor.
TrueSight Network Automation poate fi instalat pe Windows Server, RedHat Enterprise Linux și Ubuntu. Informațiile privind prețurile pot fi obținute contactând departamentul de vânzări al vânzătorului și o probă gratuită nu pare să fie disponibilă.
8. Lan-Secure Configuration Center
Ultima noastră opțiune este Lan-Secure Configuration Center, un sistem destul de bun de gestionare a configurației rețelei. Are toate caracteristicile esențiale și multe altele. La fel ca majoritatea celorlalte instrumente, va scana inițial rețeaua pentru a descoperi toate dispozitivele din rețea și va face copii de siguranță ale configurațiilor acestora. Apoi, puteți să vă analizați configurațiile și să decideți politicile corecte pentru nevoile și obligațiile organizației dvs.
Puteți utiliza Lan-Secure Configuration Center pentru a actualiza configurațiile sau pentru a modifica setările tuturor dispozitivelor, ale anumitor tipuri de dispozitive sau ale dispozitivelor individuale. Instrumentul efectuează și verificări periodice ale configurațiilor dispozitivelor în raport cu backup-urile pentru a descoperi modificări neautorizate. Astfel de modificări pot fie să declanșeze o alertă, fie să fie retrogradate automat la valoarea inițială. Instrumentul poate fi folosit pentru a gestiona site-uri la distanță din locații centralizate și utilizează SSH pentru a comunica în siguranță cu site-urile la distanță, chiar și prin circuite nesecurizate.
Lan-Secure Configuration Center este disponibil într-o versiune Workgroup pentru 99 USD. Aceasta este limitată la gestionarea a până la zece dispozitive. Pentru mai multe dispozitive, versiunea Enterprise este disponibilă la prețuri care variază în funcție de numărul de dispozitive gestionate. O încercare gratuită de 30 de zile este disponibilă pentru oricare dintre versiuni.