Integrace monitorovacího systému počítačové sítě na b{zi open source a komerčních produktů

Mendelova univerzita v Brně Provozně ekonomická fakulta

Integrace monitorovacího systému počítačové sítě na b{zi open source a komerčních produktů Bakalářská práce

Vedoucí práce: Ing. Martin Pokorný, Ph.D.

Vypracoval: Lukáš Benda Brno 2011

Poděkování patří především vedoucímu bakalářské práce Ing. Martinu Pokornému, Ph.D za poskytnutí potřebných materiálů, literatury, prostředků a cenných rad. Dále bych chtěl poděkovat své rodině za podporu a trpělivost a v neposlední řadě, kamarádům za rady při řešení problémů.

Prohlašuji, že jsem bakalářskou práci na téma „Integrace monitorovacího systému počítačové sítě na bázi open source a komerčních produktů“ vypracoval samostatně s použitím zdrojů uvedených v literatuře. V Brně dne 26. 5. 2011

___________________

Abstract Integration of the monitoring system of the computer network on the opensource and comercial products basis. This thesis is dealing with comparation of various monitoring tools with emphasis on difference between open-source and comercial products. It describes various tools and their technical parameters. Next part shows real use of some of the products on simulated company network a presents their activity. The last part evaluates those products economicaly, including costs on deployment in company and running costs.

Key words Monitoring, Cacti, Zenoss, NTop, Network Administration Visualized, Zabbix, What’s up Gold, Solarwinds Orion NPM, Cisco Security Monitoring Analysis and Response System, NetCrunch, SNMP, Syslog

Abstrakt Benda, L. Integrace monitorovacího systému počítačové sítě na bázi open source a komerčních produktů. Bakalářská práce. Brno, 2011. Bakalářská práce se zabývá porovnáním jednotlivých monitorovacích nástrojů s důrazem na rozdíl mezi komerčními produkty a open-source produkty. Popisuje jednotlivé nástroje a jejich technické parametry. V další části je ukázáno reálné nasazení několika produktů na simulované firemní síti a prezentována jejich činnost. Na závěr jsou ekonomicky zhodnoceny jednotlivé produkty včetně nákladů na nasazení do firmy a nákladů na provoz.

Klíčová slova Monitoring, Cacti, Zenoss, NTop, Network Administration Visualized, Zabbix, What’s up Gold, Solarwinds Orion NPM, Cisco Security Monitoring Analysis and Response System, NetCrunch, SNMP, Syslog

Obsah

6

Obsah 1

Úvod .............................................................................................................. 11

2

Cíl práce ........................................................................................................ 11

3

Metodika zpracování ....................................................................................12

4

Použité technologie .......................................................................................12

5

4.1

Druhy monitorovacích nástrojů ............................................................12

4.2

Monitorovací technologie ......................................................................13

4.3

Monitorované veličiny ...........................................................................13

4.4

Reakce na události .................................................................................14

4.5

Monitoring – součást zabezpečení firemní sítě .................................... 15

Analýza monitorovacích nástrojů .................................................................16 5.1

Charakteristika monitorovacích nástrojů open-source ........................16

5.1.1 Cacti .....................................................................................................16 5.1.2 Zenoss .................................................................................................16 5.1.3 Ntop..................................................................................................... 17 5.1.4 Network Administration Visualized ................................................... 17 5.1.5 Zabbix ................................................................................................. 18 5.2

Charakteristika komerčních monitorovacích nástrojů .........................19

5.2.1 What’s up gold ....................................................................................19 5.2.2 Solarwinds Orion NPM ......................................................................19 5.2.3 Cisco Security Monitoring, Analysis and Response System ............. 20 5.2.4 NetCrunch ......................................................................................... 20 5.3

Technické parametry jednotlivých nástrojů ..........................................21

5.3.1 SNMP ..................................................................................................21 5.3.2 Služby serveru ................................................................................... 22 5.3.3 Sledování hodnot v reálném čase ...................................................... 22 5.3.4 Sledování Cisco zařízení .................................................................... 22 5.3.5 Syslog ................................................................................................. 23 5.3.6 Sledování MAC adres ........................................................................ 23 5.3.7 Komunikační protokoly ..................................................................... 23 5.3.8 Ukládání dat ...................................................................................... 23 5.3.9 HW nároky ........................................................................................ 24 5.3.10 Automatické objevování topologie .................................................. 24 5.3.11 Mapy sítě .......................................................................................... 24

Obsah

7

5.3.12 Závislosti zařízení ............................................................................ 25 5.3.13 Logické seskupování podle typu zařízení ........................................ 25 5.3.14 Maximální počet zařízení................................................................. 25 5.3.15 Zobrazení dat ................................................................................... 25 5.3.16 Ovládací prostředí............................................................................ 26 5.3.17 Technická podpora ........................................................................... 26 5.3.18 Náročnost instalace a konfigurace .................................................. 26 5.3.19 Platformy ......................................................................................... 27 5.3.20 Uživatelské účty............................................................................... 27 5.3.21 Alarmy .............................................................................................. 27 5.3.22 Reakce na události........................................................................... 28 5.3.23 Inventář zařízení.............................................................................. 28 5.3.24 WebApp (vzdálená správa) ............................................................. 28 5.3.25 Šablony ............................................................................................ 28 5.3.26 Předpověď přenosu dat ................................................................... 29 5.3.27 Pluginy ............................................................................................. 29 5.3.28 IP SLA .............................................................................................. 29 5.3.29 Rozložení sledování ......................................................................... 29 5.3.30 Geomap ........................................................................................... 29 5.3.31 Operační systémy ............................................................................. 30 6

Porovnání monitorovacích nástrojů .............................................................31 6.1

7

Hodnocení ..............................................................................................31

Ekonomické zhodnocení.............................................................................. 34 7.1

Licence .................................................................................................. 34

7.1.1 GPL licence ......................................................................................... 34

8

7.2

Zhodnocení nákladů na pořízení .......................................................... 34

7.3

Reálné náklady ...................................................................................... 36

Popis instalace jednotlivých programů ....................................................... 38 8.1

Cacti ....................................................................................................... 38

8.1.1 Instalace prerekvizit ........................................................................... 38 8.1.2 Nastavení před zahájením instalace .................................................. 38 8.1.3 Instalace poslední verze Cacti ........................................................... 39 8.1.4 Princip práce, konfigurace................................................................. 39 8.2

Zenoss ................................................................................................... 39

Obsah

8

8.2.1 Prerekvizity ........................................................................................ 39 8.2.2 Příkazy pro instalaci prerekvizit ....................................................... 39 8.2.3 Nastavení před instalací .................................................................... 40 8.2.4 Instalace ............................................................................................ 40 8.3

NTOP ..................................................................................................... 40

8.3.1 Prerekvizity: ........................................................................................41 8.3.2 Instalace: ............................................................................................41 8.4

NAV ....................................................................................................... 42

8.4.1 Minimální hardwarová konfigurace .................................................. 42 8.5

What’s up gold ...................................................................................... 42

8.5.1 Prerekvizity ........................................................................................ 43 8.5.2 Minimální hardwarové nároky ......................................................... 43 8.5.3 Instalace ............................................................................................ 43 9

Případová studie .......................................................................................... 44 9.1

Topologie pro testování monitorovacích nástrojů ............................... 44

9.1.1 Popis topologie ................................................................................... 45 9.2

Testované události ................................................................................ 45

9.3

Simulace reálného prostředí v laboratoři ............................................. 46

9.3.1 Ostinato .............................................................................................. 46 9.4

Realizace sledování sítě nástrojem Cacti .............................................. 47

9.4.1 Nastavení SNMP na klientovi ............................................................ 47 9.4.2 Nastavení Pooleru v operačním systému monitorovacího serveru .. 47 9.4.3 Začátek monitorování s Cacti ............................................................ 47 9.4.4 Monitoring simulované sítě v Cacti .................................................. 50 9.5

Realizace sledování sítě nástrojem What’s up Gold ............................. 54

9.5.1 Prerekvizity monitoringu a nastavení před začátkem ....................... 54 9.5.2 Začátek monitorování s What’s up Gold ........................................... 56 9.5.3 Monitoring simulované sítě v What’s up Gold ................................. 59 10

11

Diskuze a závěr ......................................................................................... 62

10.1

Diskuze............................................................................................... 62

10.2

Závěr .................................................................................................. 63

Literatura .................................................................................................. 64

Obsah

9

Seznam obrázků Obr. 1 Topologie simulované sítě

44

Obr. 2 Prostředí Cacti

48

Obr. 3 Přidání nového zařízení v Cacti

48

Obr. 4 Informace o přidaném zařízení v Cacti

49

Obr. 5 Vytvoření nového sledování v Cacti

49

Obr. 6 Seznam všech sledovaných zařízení v simulované síti v Cacti

50

Obr. 7 Přidání nové sledované veličiny chybového charakteru v Cacti

51

Obr. 8 Zobrazení výpadku serveru P05 v Cacti

51

Obr. 9 Sledování počtu přihlášených uživatelů na serveru P05 v závislosti na čase v Cacti

52

Obr. 10 Sledování využití fyzické paměti monitorovacího serveru v Cacti

52

Obr. 11 Sledování wi-fi přenosů monitorovacího serveru v závislosti na čase v Cacti

52

Obr. 12 Sledování vytížení CPU na serveru P05 v Cacti

53

Obr. 13 Sledování využití pevného disku na serveru P05 v Cacti

53

Obr. 14 Povolení místních zásad zabezpečení v operačním systému klienta pro přístup k datům operačního systému v What’s up Gold 55 Obr. 15 Povolení místních zásad zabezpečení v operačním systému klienta pro přístup k datům operačního systému – správa účtů v What’s up Gold 55 Obr. 16 Povolení přístupu monitorovacího systému k administrátorskému účtu monitorovacího serveru v What’s up Gold 56 Obr. 17 Nastavení oznámení – ukládání do databáze v What’s up Gold

56

Obr. 18 Nastavení oznámení přes Syslog v What’s up Gold

57

Obr. 19 Nastavení oznámení přes email v What’s up Gold

57

Obr. 20 Seznam monitorovaných zařízení – localhost v What’s up Gold

58

Obr. 21 Výběr monitorovaných veličin v What’s up Gold

58

Obr. 22 Seznam monitorovaných zařízení na simulované síti v What’s up Gold

59

Obr. 23 Upozornění o změně názvu uživatelského účtu emailem

60

Obr. 24 Upozornění o pádu aplikace Appache emailem

61

Obsah

10

Seznam tabulek Tab. 1 Seznam monitorovaných nástrojů a veličin

14

Tab. 2 Základní monitorované veličiny

21

Tab.3

22

Podporované technologie, hardwarové nároky 1

Tab. 4 Podporované technologie, HW nároky 2

23

Tab. 5 Práce s topologií a mapou sítě

24

Tab. 6 Uživatelská ergonomie 1

25

Tab. 7 Uživatelská ergonomie 2

26

Tab. 8 Rozšířené funkce 1

27


28

Tab. 10 Speciální funkce

29

Tab. 11 Operační systémy

30

Tab. 12 Hodnocení monitorovacích programů 1

32


32

Tab. 14 Hodnocení monitorovacích programů – výsledky

33

Tab. 15 Ekonomické zhodnocení 1

34


35

Tab. 17 Reálné náklady

36

1 Úvod Monitoring počítačové sítě je v dnešních podmínkách důležitou součástí každé firemní sítě, propojující více počítačových stanic. Je to nutná podmínka pro efektivní správu a bezpečnost sítě. Monitorovací nástroj je spuštěn na monitorovacím serveru, se speciálním nastavením a přístupovými právy, kam kvůli bezpečnosti má přístup pouze administrátor sítě a jím pověření zaměstnanci. Na tomto serveru se v databázi shromažďují informace, které v pravidelných, určitých časových intervalech, nebo v reálném čase, sbírá server o monitorovaných zařízeních. Monitoring se dělí na dvě hlavní části. První je sběr a uchovávání dat. Z těchto dat se dají vytvářet přehledné výstupy, tabulky, grafy, podle toho co nás aktuálně zajímá. Na základě těchto výstupů lze zhodnotit efektivnost sítě, její vytížení, vytížení serveru pro naplánování jeho dalšího využití apod. Další část monitoringu spočívá v okamžitém reagování na určité prahové hodnoty. Například pokud procesor serveru dosáhne příliš vysokého procenta využití, může se zapnout další server. Pokud se přetíží linka, nebo odpojí port na přepínači, systém okamžitě upozorní správce emailem nebo SMS. Důležitý je monitoring také z pohledu bezpečnosti. Lze historicky zjistit, jaká IP adresa byla kdy kam připojena, neoprávněné přístupy, nebo třeba podezřele časté opakování neúspěšného přihlašování z jednoho stroje. V případě zjištění útoku může monitorovací systém kromě upozornění administrátora okamžitě odpojit daný port, nebo jinak reagovat na situaci. Historická data, uložená v databázi monitorovacího programu, mohou být stěžejním podkladem při rekonstrukci, nebo modernizaci sítě. Síťový administrátor jednoduše najde slabé a nedostatečné prvky sítě a může z dat a grafů stanovit teoretické optimální hodnoty, které provoz na síti vyžaduje. V menší nebo středně velké firmě je výkonný, dobře nastavený monitorovací nástroj velice dobrým pomocníkem pro správu sítě, ulehčuje její management a předchází spoustě nechtěným událostem nebo útokům. V počítačové síti velké firmy, nebo korporace, je to však již nutností, pro správnou a bezpečnou funkci.

2 Cíl práce Cílem této práce je porovnat nejběžnější monitorovací nástroje z hlediska funkčnosti a použitelnosti v malé, nebo střední firmě, popsat jejich základní rysy, výhody a nevýhody. Dále vybrat z našich hledisek několik nejlepších produktů a ty aplikovat na simulovanou počítačovou síť, vytvořenou v síťové laboratoři MENDELU. Součástí práce je také simulace reálného provozu ve firemní síti a otestování vybraného nástroje v simulovaně reálných podmínkách, při běžném provozu a poté při překročení určitých hodnot, na které by měl program spolehlivě reagovat. Nechybí ani ekonomické zhodnocení všech zmíněných produktů a cena nasazení do reálné počítačové sítě.

Metodika zpracování a Použité technologie

3 Metodika zpracování Před zahájením práce bylo nutné prostudovat komplexní problematiku monitoringu, k čemuž jsem čerpal z knihy Cisco MARS, kde je podrobně popsán komerční, monitorovací nástroj od firmy Cisco, z internetových zdrojů, vytvořených většinou v anglickém jazyce a z oficiálních internetových stránek výrobců jednotlivých programů. Jediný internetový zdroj, psaný v českém jazyce, který stojí za zmínku a dal mi cenné informace nejen o monitoringu počítačových sítí a jednotlivých síťových technologiích, ale také o jednom významném monitorovacím open source nástroji je www.samuraj.cz. V další fázi práce jsem si stáhl instalační soubory, nebo zdrojové kódy pro kompilaci, jednotlivých zkoumaných produktů, nainstaloval jsem je v domácích podmínkách na operační systém Linux nebo Windows, provedl základní konfiguraci a vyzkoušel si na malé domácí síti, nebo v laboratoři, jejich základní funkčnost. Pomocí těchto zkušeností s programy, společně s informacemi získanými z internetových stránek výrobců a dokumentace jednotlivých produktů, jsem ohodnotil každý program a vybral, pro naše účely, nejlepší produkt. Dále bylo třeba navrhnout a sestavit síť v laboratoři MENDELU, která simuluje reálnou síť v malé nebo střední firmě, a najít nástroj, kterým by se dalo simulovat co nejreálnější prostředí, včetně probíhajícího přenosu dat, spuštěných služeb a krizových situací. Na této síti se dala realizovat případová studie, která testuje nejlépe hodnocený program v reálných podmínkách. Součástí této studie je také kompletní instalace a konfigurace monitorovacího systému. Závěrem práce nechybí ekonomické zhodnocení jednotlivých řešení, včetně ekonomického zhodnocení údržby.

4 Použité technologie 4.1

Druhy monitorovacích nástrojů

Monitorovacích nástrojů existuje spousta, dělí se na dvě hlavní skupiny. Do první skupiny patří programy, které jsou zdarma dostupné na internetu, většinou open source. Mezi nesporné výhody této skupiny určitě patří nulová pořizovací cena, ne pro každého je to však správná volba. Obecně platí, že je mnohem složitější a především časově náročnější instalace, ale hlavně konfigurace, pro danou síť. Open source nástroje a jejich aplikace vyžaduje pokročilé znalosti z oblasti síťových technologií, ale také programování a skriptování. Platí, že velkou část šablon a skriptů pro sběr dat si musí v daném prostředí open source nástroje síťový administrátor napsat sám, nebo využít již hotových šablon od jiných uživatelů, které však pravděpodobně nebudou splňovat konkrétní specifické požadavky pro požadovanou síť.

12

Použité technologie

13

Druhá skupina monitorovacích nástrojů, placené komerční produkty, se mohou dle počtu sledovaných zařízení vyšplhat až na cenu stovek tisíc korun. Je ovšem pravidlem, že instalace i konfigurace je otázkou jen pár hodin a zvládne ji i méně zkušený síťový administrátor. Což znamená úsporu spousty času a také peněz za programátory, administrátory. Logicky musí být tyto nástroje řešením poněkud více universálním, proto se může stát, že nebudou přesně do detailu splňovat naše požadavky. Samozřejmě existuje i zde mnoho volitelných, konfigurovatelných částí a možnost psát si vlastní skripty, placené programy, na tom ale nejsou založeny. Dále se mohou monitorovací nástroje dělit podle mnoha dalších kritérií. Například jaké technologie využívají ke sběru dat, nebo podle velikosti počítačové sítě, pro kterou jsou primárně určeny. Nejběžnější technologie sběru dat jsou získávání dat pomocí agenta, nainstalovaného na monitorovaném zařízení, nebo přímým testováním služeb pomocí standartních protokolů, z nichž nejběžnější je SNMP. 1

4.2 Monitorovací technologie Monitoring prostřednictvím agenta – na server, nebo jiné zařízení, které chceme monitorovat, je potřeba nainstalovat agenta přímo komunikujícího s monitorovacím serverem. Tento způsob má výhodu v podobě velkého množství dat, které můžeme o monitorovaném zařízení získat, data budou mít strukturu vhodnou pro konkrétní monitorovací nástroj a jednoduché zpracování. Nevýhodou však je samotná instalace další aplikace a to na všechny zařízení, které chceme monitorovat, což může způsobit problémy (pád aplikace, nekompatibilita). Agent musí být vytvořený speciálně pro daný operační systém, který je na sledovaném serveru nainstalován. Administrátor také potřebuje práva instalace nových aplikací, na všech monitorovaných strojích. Monitoring prostřednictvím standartních protokolů – ve většině případech efektivnější metoda, monitoring pomocí protokolů ( SNMP, WMI, IPMI ), z nichž nejčastější je SNMP. SNMP podporují všechny běžné operační systémy, stačí jej v daném systému povolit. Přes tento protokol má monitorovací server přístup ke všem základním monitorovaným údajům. Testování služeb a dostupnosti stanic probíhá přímo TCP komunikací s danou službu, nebo odesláním příkazu ping na sledované zařízení.

4.3 Monitorované veličiny Určit, co přesně chceme na sítí sledovat a jaké potřebujeme výstupy, je to nejdůležitější, co je potřeba udělat před výběrem monitorovacích nástrojů. Tabulka č. 1 popisuje všechny hlavní zařízení, která na síti můžeme chtít monitorovat a jednotlivé veličiny u daných zařízení. Veličiny, které nejsou psány kurzívou, jsou přímo sledovány prostřednictvím SNMP. Obsahuje kompletní přehled. Neznamená to, že všechny monitorovací nástroje dokáží všechny tyto veličiny 1

http://www.samuraj-cz.com/clanek/snmp-simple-network-management-protocol/


14

sledovat. Přehled dovedností jednotlivých programů se nachází v kapitole Analýza monitorovacích nástrojů. Tab. 1 Seznam monitorovaných nástrojů a veličin

Zařízení

Monitorované veličiny

Sever

Dostupnost serveru Dostupnost a funkčnost služeb Vytížení procesoru, paměti Teplota procesoru Volná kapacita pevného disku Procesy a aplikace Dostupnost routeru Vytížení procesoru, paměti Saturace rozhraní Teplota procesoru Dostupnost přepínače Stavy portů Vytížení procesoru, paměti Teplota procesoru Dostupnost Případně stejné parametry jako u serveru Wi-fi IP telefony Tiskárny - toner Bezpečnostní incidenty Analýza nestandartního chování Statistiky síťového provozu

Router

Switch

Koncová stanice Speciální oblasti

2

4.4 Reakce na události Veškerá monitorovaná data, uložená do databáze, je potřeba nějakým způsobem reprezentovat, aby se dala přehledně prohlížet a analyzovat. V tomto ohledu se jednotlivé programy mohou velmi lišit. Každý nástroj vyhovuje trochu jiným požadavkům sítě a potřebám správce sítě. Existují dvě základní skupiny dat. Data, která je potřeba historicky uchovávat v databázi a prezentovat je pomocí přehledných grafů, tabulek a hodnot, pro pozdější kontrolu a analýzu. Do další skupiny patří aktuální hodnoty veličin, které je potřeba sledovat v reálném čase a okamžitě na změnu, či překročení prahové hodnoty reagovat. Příkladem první skupiny je vytížení zdrojů. Zajímá nás vytížení v jednotlivých časových obdobích, vhodné zobrazení je grafem. Pokud se pomocí monitoringu například zjistí, že každý den ve večerních hodinách přesahuje vytížení 2

http://www.samuraj-cz.com/clanek/zaciname-s-monitoringem-site/


15

procesoru serveru vysoké procento a server se tím zpomaluje, bude vhodné z dlouhodobého hlediska, aby se na večerní hodiny uvedl do provozu další, záložní server. Naopak příkladem z druhé skupiny je stav portů na přepínači. Pro zobrazení stavů jednotlivých portů bude nejvhodnější tabulka. Jakmile se změní stav jednoho portu z připojeno (up), na nepřipojeno (down), je potřeba na danou událost okamžitě reagovat, například odesláním upozorňující SMS nebo emailu pověřené osobě. V možnostech reakce na události se jednotlivé monitorovací nástroje také liší. Některé umožňují pouze odeslání zmíněného emailu, jiné k této možnosti přidávají sms, peager nebo IM klienty. Ty sofistikovanější umožňují kromě upozornění na událost dokonce okamžitou reakci, jakou může být například, při zjištění pravděpodobného hackerského útoku, okamžitá změna stavu ohroženého portu z up na down.

4.5 Monitoring – součást zabezpečení firemní sítě Zabezpečení sítě by v dnešní době mělo být hlavní prioritou správce počítačové sítě ve firmě. Ať už společnost používá počítače a jejich vzájemné propojení k jakémukoliv účelu, vždy jsou na pevných discích počítačů, na serverech nebo médiích uložena citlivá data, ke kterým by měli mít přístup pouze pověřené osoby, většinou zaměstnanci firmy, nebo jen její vedení. V některých případech je dokonce nutné, aby měli zaměstnanci ke svým datům přístup nejen ze sídla firmy, ale také z domu, nebo z obchodních cest, prostřednictvím mobilního připojení. Jestliže firma používá ke svému provozu, nebo z jiného důvodu internet, což dnes platí o každé moderní firmě, vystavuje se vysokému nebezpečí úniku, nebo poškození těchto citlivých informací. Elementy zapojené do sítě internet denně zažívají mnoho pokusů o útok, ať už se jedná pouze o scanování nebo promyšlené, sofistikované útoky, zaměřené přímo na daný subjekt. Obecně rozšířenou nepravdou je, že když se na počítač nainstaluje běžný antivirový program, nebezpečí již nehrozí. Bezpečnost počítačové sítě se skládá z několika neodlučitelných prvků, jako je antivirový, anti-spywarový program, firewall, detekce spamu a obrana proti malware. Další nedílnou součástí síťové bezpečnosti je monitorovací nástroj, který má za úkol nejen předcházet a zabraňovat vnějším i vnitřním útokům na síť nebo její část, ale také vystopování a napravení následků případného útoku, detekce běžných výpadků a chyb sítě, síťových prvků, analýza sítě a nástroj pro zefektivnění a modernizaci sítě. Všechna data uchovává v historické databázi, dají se kdykoliv dohledat a na jakékoliv anomálie upozorňuje pověřené osoby. Je to výborný pomocník při správě, řízení a ochraně sítě.3

3

http://www.samuraj-cz.com/clanek/zaciname-s-monitoringem-site/

Analýza monitorovacích nástrojů

5


5.1

Charakteristika monitorovacích nástrojů open-source

16

5.1.1 Cacti Cacti je velice výkonný monitorovací nástroj, který je k dispozici zdarma, pod GPL licencí. Nemá mnoho funkcí, ale to co program umí, umí velmi dobře a v spolehlivosti předčí i placené komerční nástroje. Možnosti, které Cacti chybí, se dají poměrně jednoduše rozšířit pomocí pluginů, kterých je díky široké komunitě, vytvořené kolem produktu, mnoho zdarma dostupných. Program pracuje nad protokolem RRDTools (round-robin database). To je flexibilní systém sloužící pro ukládání údajů v závislosti na čase. Databázový soubor má konstantní velikost, starší data jsou dostupná s nižší rozlišovací schopností. Výsledný soubor dat je velice kompaktní. RRD je principiálně podobný jako MRTG, ale je propracovanější, má na výběr více typů grafů, více nastavení a možností, ale také je složitější na konfiguraci. Uživatel si nastaví data, která chce v databázi udržovat a z daných dat si potom může dělat libovolné výstupy a grafy. Na ukládání vedlejších dat používá Cacti MySQL databázi. Cacti je navrženo pro monitorování rozsáhlých sítí. Velikou výhodou je také řada šablon, které vytváří také komunita uživatelů. Značné množství jich je v Cacti i po klasické instalaci. Díky pluginu získáme další možnosti, jako monitorování MAC adres – do jakého portu je jaká připojená. Využívá se pro monitoring u providerů internetu, pro zjištění přenesených dat, zvládá stovky až tisíce zařízení monitorovat najednou. 4 5.1.2 Zenoss Zenoss nabízí svým uživatelům 3 úrovně licence, z nichž pouze první je zdarma – open source. Je možné stáhnout předkompilovanou instalaci pro několik systémů, nebo zdrojové kódy, které nabízí možnost optimalizace programu pro konkrétní hardware a nastavení serveru. Na stránkách zenoss.com je možné stáhnout i kompletní dokumentaci v angličtině. Program je uživatelsky příjemný. Na internetu se vyskytuje dostatečné množství pluginů a šablon, což rozšiřuje možnosti monitoringu a zjednodušuje jeho průběh. Během testování v síťové laboratoři MENDELU se však vyskytly problémy s kompatibilitou s Cisco zařízeními, i při použití pluginu pro Cisco. Nástroj sice zařízení bez problémů našel a monitoroval základní údaje, některé údaje přístupné přes SNMP však nezobrazoval. Instalace programu probíhala poměrně bez problémů, při konfiguraci jsem však narazil hned na několik problémů, které se mi pomocí rozsáhlého fóra podařilo vyřešit. Tyto skutečnosti však jen potvrzují, že open-source

4

http://www.samuraj-cz.com/clanek/cacti-snmp-monitoring-a-grafy/


17

programy mohou dosahovat vysokých výkonů, ale až po vylazení, nakonfigurování a vyřešené řady problémů.5 5.1.3 Ntop NTop je jednodušší program než jeho konkurenti, jak v možnostech sledování, monitorování informací, možnostech reakcí na ně, tak i v počtu monitorovaných zařízení. Je založen na knihovně libpcap, která umí odchytávat pakety na určitém síťovém rozhraní, z čehož se také odvíjí jeho možnosti. Je ideální k nasazení na menší nenáročné firemní síti, bez velkých požadavků a velkého počtu monitorovaných stanic. Dokáže se sice srovnávat i s konkurenčními produkty, ovšem pouze díky své rozšiřitelnosti pomocí pluginů. Díky pluginům Ntop může dosáhnout výborných možností i funkcí, nevýhodou je složitost a časová náročnost. Velikou výhodou tohoto nástroje, oproti konkurenčním produktům je, že vzhledem k úplné závislosti na knihovně libpcap, funguje na každé platformě, kde libpcap je. Díky tomu lze Ntop nainstalovat a spustit minimálně na všech operačních systémech, založených na Unix a win32, tj. všechny distribuce Linux, BSD, Solaris, MacOS i Windows, dokonce už od 95. Ovládání systému je podobně jako u ostatních podobných programů přes webový prohlížeč. Doporučovaný je Netscape, ale spolehlivě funguje i na Mozzile nebo Google Chrome. Ntop je specializovaný na nízké nároky, je to v podstatě jen nadstavba, neboli nástroj, pro práci s knihovnou. Díky tomu, minimální nároky na hardware jsou, stejně jako nároky na operační systém, velmi nízké. Nároky na operační paměť začínají na několika málo MB, rostou s počtem sledovaných stanic do stovek MB, což je pořád nepoměrně méně, nežli u konkurenčních produktů. I procesor je na tom podobně, výrobce udává, že u středně velké firmy by nemělo vytížení 1,8HGz procesoru přerůst 10%. Široká je také škála protokolů, které Ntop díky libpcap podporuje. Samozřejmostí je IPv4 a IPv6, zvládá také IPX, DECnet, AppleTalk, Netbios, OSI, DCL, ale tímto výčet zdaleka nekončí. Tyto vlastnosti dělají program NTOP velice nenáročným a universální programem, který lze nasadit prakticky kdekoliv, bez vyšších finančních prostředků, pokud pro účely sledování postačuje základní informace o síti a jejích entitách. Libpcap je knihovna, na které je postaveno mnoho známých programů včetně WireShark. Umožňuje nám zachycovat síťovou komunikaci a používat získaná data přímo v nadstavbových programech. 5.1.4 Network Administration Visualized NAV začal vznikat v roce 1999 jako soubor skriptů, používaných ke správě Norské univerzity vědy a techniky. V roce 2006 převzala vývoj NAV firma UNINNET a uspořádala jej do komplexního monitorovacího nástroje pod GPLv2 licencí. V Norsku se tento program stal velice oblíbeným a začaly ho využívat téměř všechny norské vysoké školy. Většina univerzit má na monitorovací programy podobné požadavky, snad s výjimkou rozsahu monitorovaných stanic, proto se NAV stal pro školy velice 5

http://www.zenoss.com/product/overview


18

jednoduše aplikovatelným, jelikož silná komunita jej přizpůsobila přesně na míru. Poslední verze tohoto zdarma dostupného nástroje je z roku 2011, což svědčí o neustálém vývoji a přizpůsobování se novým technologiím. Společnost UNINNET nabízí na domovském webu tohoto projektu možnost vyzkoušet si princip fungování systému na virtuálním Debian zařízení. V dnešní době je NAV vysoce výkonný monitorovací systém vhodný pro sledování až velice rozlehlých sítí. Struktura programu se skládá z osmnácti částí. Za zmínku stojí sekce Report tool (zprávy), je to v podstatě jednoduchý SQL manažer, který umožňuje výpis jednotlivé části rozsáhle SQL databáze. Tato část NAV je vysoce konfigurovatelná a je možné prakticky vypsat cokoliv pomocí jednotlivých SQL dotazů. Například pokud administrátor potřebuje vypsat všechny přepínače umístěné v Brně a jejich vytížení, stačí zadat dotaz. Zajímavé jsou také možnosti accountingu a šifrování. Umožňuje získávat data z radius serveru, podporuje automaticky i síť eduroam. Výborný nástroj pro přístup k uživatelským datům, synchronizaci s radius serverem a zpřehlednění informací.6 5.1.5 Zabbix Zabbix patří do kategorie open source monitorovacích programů, spadajících pod GPL licenci. Vyznačuje se svoji jednoduchostí, rychlostí a nekomplikovaným ovládáním. Kladem určitě je i jednoduchá instalace, což je u open- source produktu velkou výhodou. V systému se nevyskytují žádné nestandartní možnosti, ale od roku 2002, kdy Zabbix začal být vyvíjen, se dopracoval k stabilní a plně funkční verzi. Velikou nevýhodou je absence automatického objevování, což prakticky znemožňuje použití programu na rozlehlých sítích. Teoreticky by se tato možnost měla dát přidat pomocí pluginu, žádný takový plugin jsem ale nenašel. Oproti tomu škála dostupných šablon pro Zabbix je poměrně široká, což správci sítě může ulehčit práci při konfiguraci programu. Pro rozšíření možností sledování nabízí Zabbix speciálního agenta, který se nainstaluje na sledované zařízení. K dispozici je pouze pro operační systémy Windows a Linux. Není to ovšem nijak zásadní, ke klasickému monitoringu úplně postačují možnosti SNMP protokolu. Program je napsán v programovacím jazyce C, používá ke své funkci některou z SQL databází a webové rozhraní, pro ovládání je vytvořeno v php. Není problém se k administraci připojit i přes internet nebo intranet přes ssh. Zabbix je rozdělen na dva servery. Jeden má na starosti sběr dat přes snmp, nebo agenta a ukládání dat do databáze. Druhý má za úkol data zpřístupňovat přes webové rozhraní. Vše funguje spolehlivě, rozhraní je velmi jednoduché a jednoduše ovladatelné, nechybí mu však žádná zásadní funkce.7

6 7

https://launchpad.net/nav http://www.zabbix.com/downloads/ZABBIX%20Manual%20v1.4.pdf


19

5.2 Charakteristika komerčních monitorovacích nástrojů 5.2.1 What’s up gold Whats up Gold je komerční monitorovací nástroj, který se řadí na špičku žebříčku v poměru cena/výkon. Pracuje kompletně přes protokol SNMP, takže není potřeba na sledovaná zařízení instalovat žádné agenty. What’s up gold, stejně jako jeho nekomerční konkurence nabízí rozsáhlé možnosti nastavení, přizpůsobení a doinstalovaní funkcí pomocí pluginů. Největší přednost tohoto špičkového nástroje však tkví v tom, že nic z těchto rozšíření není nezbytné, stačí systém nainstalovat (ani instalace není nijak obtížná), provést základní konfiguraci dle manuálu a monitorovací systém je plně funkční a připraven pro nasazení do praxe. Je víceméně srovnatelný s jinými nástroji po několikahodinové konfiguraci a ladění. Další rozdíl oproti své konkurenci je vlastní rozhraní pro konfiguraci a správu, nepoužívá k tomuto účelu webový prohlížeč, ale vlastní nástroj. Umožňuje však použít i webové rozhraní pro vzdálený přístup. Vlastní rozhraní je založeno na Ajaxu, který je charakteristický perfektní správou uživatelů. Každý uživatel si může nastavit vlastní prostředí, práva, sledované veličiny i design. Výjimečný je What’s up gold také v počtu sériově nabízených šablon. Po základní instalaci, jich má uživatel na výběr více než 100. 8 5.2.2 Solarwinds Orion NPM Solarwinds nabízí komplexní řešení monitoringu počítačové sítě, určené pro všechny velikosti sítí, od malých firem až po gigantické společnosti, které potřebují monitorovat značně více než 2000 zařízení. Software je koncipován především na jednoduchost, rychlost a výkon. Nenabízí zbytečně mnoho funkcí, které by cíloví zákazníci pravděpodobně stejně nevyužili, na druhou stranu všechny základní dovednosti monitorovacího nástroje zvládá výborně. Z řady program vystupuje svou dokonalou podporou a kompatibilitou s Cisco zařízeními. Systém sám pozná přesně typ zařízení, načte si o něm všechny parametry a přes SNMP protokol využívá všechny možnosti sledování. Zajímavou možností, se kterou jsem se u jiného programu nesetkal, je posílaní kompletního výpisu nebo zprávy, dle nastavení v pdf formátu. To je výhodné proto, že příjemce nemusí mít nainstalovaný na počítači žádný program a může tento výpis bez problémů přečíst. Ostatní programy sice nabízejí odesílání upozornění emailem, nebo jiným způsobem, pro podrobný výpis chyby, předchozích stavů a dalších parametrů je již nutné spustit program. Co se týče ceny, v porovnání s konkurencí se řadí zhruba k průměru, pro určité zákazníky, kteří nevyžadují žádné nadstandartní schopnosti programu, ale preferují rychlost a jednoduchost při aplikaci i správě, může být produkt od Solarwinds tou správnou volbou.

http://www.whatsupgold.com/products/whatsup-gold-core/whatsup-goldpremium/index.aspx 8


20

5.2.3 Cisco Security Monitoring, Analysis and Response System MARS, což je zkratka názvu jednoho z nejvyspělejších a nejsofistikovanějších nástrojů monitoringu na světovém trhu, zdaleka nezvládá pouze monitoring, jak již napovídá název. Dle firmy Cisco, která patří v produkci síťových technologií ke světové špičce, je MARS komplexní řešení zabezpečení, monitoringu a interaktivního systému, který dokáže reagovat na útoky, výpadky a další anomálie vyskytující se v počítačové síti. Díky čemu je ale MARS výjimečný je to, jakým způsobem má propracovaný systém automatických reakcí na události. V případě útoku, dokáže ve své databázi identifikovat, o jaký druh útoku se jedná a provézt opatření pro nápravu a případné vypátrání hackera. Databáze možných útoků, virů a anomálií je dodávána se softwarem a pravidelně aktualizována společností Cisco. Dle rozsahu a komplexnosti této databáze se značně liší cena celkového produktu. Jednotlivým částem sítě a trasám lze určit priorita. MARS si sám síť rozdělí na vrstvy, kde se každá vrstva řídí speciálním bezpečnostním modelem. Tento profesionální nástroj se jistě vyplatí nasadit ve velké firmě, ve které je ochrana velkého množství velmi citlivých dat a osob, tou hlavní prioritou. Ochranný systém spouští tisíce kontrol každý den, které kontrolují všechny aktivní i pasivní prvky sítě, pomocí přednastavených pravidel a databáze nejnovějších červů, virů, trojských koní, spyware a dalšího škodlivého software. Systém je speciálně vyvinutý, aby se dal nasadit na stávající firemní síti bez potřebných úprav a změn. Dokáže spolupracovat se stávajícím zabezpečením. Malou nevýhodou programu lze vidět ve větších nárocích na hardware, protože MARS má větší objem přenesených referenčních dat, veškerá data si získává sám. Proto jsou všechny aktivní síťové prvky, jako routery, přepínače, ale i koncové stanice a servery trochu více zatěžovány, jejich procesory, operační paměti, ale i spoje mezi zařízeními jsou více využívány. MARS zpracovává tisíce NetFlow zpráv za minutu. Společně s dalšími referenčními zprávami vzniká obrovská databáze dat pro archivaci. Všechny události a zprávy není možné lidskými silami kontrolovat, proto je zde výborný systém určování priority a aktuálnosti dat, který zprávy rozděluje do tříd. Neaktuální data jsou pak archivována ve vysoké kompresi, kdykoliv však dohledatelná pro identifikaci anomálií, nebo pro analýzu sítě. K nejsilnějším stránkám MARS, patří schopnost prohlížení jednotlivých paketů v reálném čase a porovnávání s databází signatur. Na tuto činnost je ovšem potřeba velice výkonný hardware, který společnost Cisco také nabízí. 5.2.4 NetCrunch Tento uživatelsky velmi přívětivý nástroj sice patří mezi levnější varianty z množiny komerčních monitorovacích programů, neznamená to ovšem, že by byl špatnou volbou pro počítačovou síť ve středně velké firmě. Má velmi hezké grafické zpracování a originálně řešené ukazatele hodnot. V práci s grafickými mapami topologie sítě je NetCrunch jedinečný, systém prohlížení, vytváření i upravování map je do detailu propracovaný a nabízí spoustu možností. Je možné vlastnoručně vytvářet nebo upravovat grafické mapy, dávat odkazy do map na jiné mapy a další možnosti. Po najetí na zařízení se okamžitě zobrazí veškeré aktuální hodnoty a informace o


21

zařízení. Graficky je sice ukazování aktuálních hodnot velice hezky a líbivě řešené, občas by ale byla možná přehlednější obyčejná tabulka, než grafické budíčky. NetCrounch se svoji cenou řadí do kategorie levnějších nástrojů, netrpí však žádným výrazným neduhem. Pro sledování středně velké počítačové sítě by se pro některou firmu klidně mohl stát tím správným řešením, pokud bude vybírat mezi komerčními programy.9

5.3 Technické parametry jednotlivých nástrojů Tab. 2 Základní monitorované veličiny

Cacti Zenoss Ntop NAV Zabbix Nagios MRTG Whats up Gold Orion MARS NetCrunch

SNMP veličiny ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO

Služby serveru ANO ANO ANO ANO+ ANO ANO ANO ANO ANO ANO ANO

Sledování hodnot v reálném čase PLUGIN ANO PLUGIN ANO ANO PLUGIN ANO ANO ANO ČÁSTEČNĚ ANO

Sledování Cisco zařízení PLUGIN PLUGIN NE ANO PLUGIN PLUGIN NE PLUGIN ANO ANO PLUGIN

Tabulka 2 dává přehled o základních veličinách a hodnotách, které lze na síti monitorovat a sděluje nám, zda je monitorovací programy dokáží monitorovat. Pokud je u programu uvedeno ANO u SNMP, znamená to, že všechny veličiny, které lze pomocí SNMP protokolu monitorovat, program zvládá. Tyto veličiny jsou sepsány v tabulce 1. Jedná se o ty, které nejsou kurzívou. Jak je vidět, ANO je uvedeno u všech testovaných programů. Je to logické, bez této základní funkce by program ani neměl smysl. Znak ‚+’ u položky služby serveru, znamená rozšířené možnosti programu NAV v této oblasti. 5.3.1 SNMP Je protokol určený primárně pro sběr dat a správu sítě. Protokol SNMP existuje ve třech verzích, druhá má navíc autentizaci (textové heslo) a třetí umožňuje šifrování dat. SNMP pracuje ve dvou režimech, jako server, nebo jako klient. Server odesílá dotazy na klienta, ten na dotaz odpovídá. V případě překročení některých prahových hodnot, může klient sám poslat upozornění serveru. Na tomto principu funguje většina monitorovacích programů. Podporu SNMP má v jádře většina běžných operačních systémů a obsahuje ji většina síťových výrobků (routery, switche). Pokud má program podporu SNMP, znamená to, že zvládá monitorovat veškeré základní

9

http://www.adremsoft.com/netcrunch/


22

veličiny jednotlivých zařízení. Jsou to ty, které nejsou v tab.1 Seznam monitorovaných nástrojů a veličin, psány kurzívou. 5.3.2 Služby serveru Jednou z důležitých částí monitoringu je určitě sledování služeb, běžících na serverech. Pokud tuto funkci nástroj zvládá, dokáže otestovat dostupnost jednotlivých služeb, pokročilejší programy také jestli služba správně reaguje a tím ověřit její reálnou funkčnost. Standardně se jedná o služby jako je apapche, emailový server, FTP, SMTP, DHCP, databázový server a mnoho dalších. 5.3.3 Sledování hodnot v reálném čase Jak již bylo popsáno v kapitole Použité technologie, sledovací nástroje mají dvě hlavní funkce. Sledovat hodnoty v reálném čase, nebo s minimálním (řádově sekundy) zpožděním a sledovat hodnoty z dlouhodobého hlediska, kdy stačí data aktualizovat třeba jednou za několik hodin. Ne všechny programy zvládají obě tyto oblasti, některé se zaměřují jen na dlouhodobé sledování. 5.3.4 Sledování Cisco zařízení Některé programy mají podporu a plnou kompatibilitu s Cisco zařízeními integrovanou přímo v jádře, jiným produktům chybí. To se dá ve většině případů vyřešit přidáním pluginu pro podporu Cisco zařízení. Pokud však kompatibilita s výrobky největšího výrobce síťových technologií patří do základních funkcí programu, je to jistě velká výhoda. Pokud si s Cisco program nerozumí v sérii, neznamená to, že nemůže tyto přepínače a routery sledovat vůbec, jen má omezené možnosti. Tab.3

Podporované technologie, hardwarové nároky 1


SNMP ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO

Syslog ANO ANO ANO ANO ANO NE NE ANO ANO ANO ANO

Sledování MAC adres PLUGIN NE NE ANO NE NE NE PLUGIN NE ANO NE


23

5.3.5 Syslog Tento protokol slouží ke generování a posílání zpráv po síti. Většina sledovacích nástrojů Syslog využívá společně s SNMP. Přes Syslog si server pošle dotaz na klienta a ten mu odpovídá. 5.3.6 Sledování MAC adres Díky dovednosti sledování MAC adres, může program sledovat, která MAC adresa byla připojena kdy na který port. Tato informace může být velice cenná při hledání útočníka, který se snaží, nebo snažil napadnout monitorovanou síť. Tab. 4 Podporované technologie, HW nároky 2


Komunikační protokoly IPv4, IPv6 IPv4 IPv4, IPv6, Apple talk, DECnet,… IPv4, IPv6 IPv4, IPv6 IPv4, IPv6 IPv4, IPv6 IPv4, IPv6 IPv4, IPv6 IPv4, IPv6 IPv4

Ukládání dat RRD, MySQL SQL SQL SQL, RRD, Cricket MySQL, Oracle SQL RRDtool, SQL MySQL SQL SQL SQL

HW nároky (1-10) 6 6 10 7 6 8 7 5 6 5 7

Tabulky 3 a 4 udávají přehled o technologiích podporovaných monitorovacími nástroji a hodnotí, jaké mají programy nároky na hardwarové zázemí. 5.3.7 Komunikační protokoly Komunikační protokol je metoda komunikace zařízení v síti. Internetový protokol (IP) je způsob adresace jednotlivých zařízení, pracujících na třetí vrstvě. IP se ve většině případů používá ve verzi 4, stále rozšířenější je ovšem IPv6, kterým se bude adresovat v budoucnosti, kvůli nedostatku adres verze 4. Nejspíš každý program pro práci v síti podporuje IPv4. To ovšem neplatí pro verzi 6. Kromě IP se ovšem používají také další protokoly jako IPX, Apple Talk a další. 5.3.8 Ukládání dat Poté, co se některou z metod získají potřebná data, je třeba je někam uložit. Požadavky na uložení dat jsou, aby data byla rychle přístupná a dohledatelná, zabezpečená a zabírala co nejmenší kapacitu pevného disku. Existuje několik běžných metod archivování dat, nejběžnějšími jsou různé druhy SQL databáze (MYSQL, ORACLE). Některé programy mají vlastní způsob komprimace a ukládání dat, bez použití klasických relačních databází.


24

5.3.9 HW nároky Nároky monitorovacího programu na hardwarové vybavení je pochopitelně dáno především velikostí počítačové sítě a počtem sledovaných zařízení. Ovšem i u stejně velké sítě se mohou nároky jednotlivých programů lišit a to výrazně. Nejméně náročný program, který je součástí této práce, by zvládl monitorovat středně velkou firmu ze serveru o výkonnosti běžného domácího počítače, naproti tomu nejnáročnější program vyžaduje hardware za desítky až stovky tisíc. Tab. 5 Práce s topologií a mapou sítě


Automatické objevování Mapy Závislosti topologie sítě zařízení PLUGIN PLUGIN ANO ANO ANO ANO NE NE PLUGIN ANO ANO ANO NE ANO ANO PLUGIN ANO ANO ANO NE ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO

Logické seskupování podle typu zařízení ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO

Maximální počet zařízení tisíce 32000 desítky až stovky tisíce stovky až tisíce stovky stovky až tisíce tisíce >2000 tisíce stovky až tisíce

V tabulce 5 můžeme najít funkce, týkající se topologie sítě, a logistiky práce programů. 5.3.10 Automatické objevování topologie Většina lepších nástrojů na sledování počítačových sítí, by měly umět automatické objevování topologie sítě. Je to velmi důležitá funkce, která zlepší komfort u sledování malé sítě, ale je nezbytností u sledování větších sítí, co se týká počtu sledovaných zařízení. Pokud program touto funkcí nedisponuje, musí uživatel přidat každé zařízení, které chce sledovat do databáze programu ručně. K tomu musí minimálně znát IP adresu zařízení, případně ještě operační systém, typ, nebo další vlastnosti. Program, který umí automaticky objevovat síť, si všechny tyto informace během pár vteřin zjistí sám. 5.3.11 Mapy sítě Data ohledně topologie sítě, ať už získaná automatickým objevením, nebo zadaná ručně, je třeba nějak interpretovat uživateli. Jednodušší programy například vypíší seznam ve stromové struktuře, sofistikovanější nástroje dokáží vykreslit grafickou mapu síťové topologie, včetně zobrazení závislostí a dalších vlastností sítě.


25

5.3.12 Závislosti zařízení Pokud se v síti objevuje více přepínačů, nebo routerů, je pravděpodobné, že jedno zařízení bude závislé na druhém. Neboli pokud jedno zařízení přestane fungovat, monitorovací server z tohoto důvodu nemůže komunikovat ani se zařízením druhým. V tomto případě se všechny zařízení umístěné za vypnutým jeví jako nedostupné – nefunkční. Některé monitorovací nástroje dokáží rozpoznávat tyto závislosti díky logické mapě topologie sítě. Potom nezačne program upozorňovat na nefunkčnost všech nedostupných zařízení, ale upozorní právě jen na jedno – kořenové, což je žádoucí. 5.3.13 Logické seskupování podle typu zařízení Umožňuje seskupovat jednotlivé monitorované hosty do skupin podle druhu (PC, SW, R, VLANY,…), nebo třeba i podle skupiny zařazení (ekonomická sekce, IT sekce). 5.3.14 Maximální počet zařízení Každý monitorovací program je určen pro určitou velikost sítě, zvládne monitorovat určité množství zařízení a metody zobrazování dat jsou uzpůsobeny určité kapacitě dat. Některé programy jsou určeny výhradně pro monitorování menších LAN sítí, jiné jsou navrženy pro monitoring WAN sítí na úrovni měst, nebo i větších oblastí. Maximální počet sledovaných zařízení je samozřejmě také závislý na výkonu hardware, na kterém systém běží. Tab. 6 Uživatelská ergonomie 1


Zobrazení dat (1-10) Ovládací prostředí 8 Web - php 8 Web - php 4 Web - php 7 Web - php 6 Web - php 6 Web - php 5 Web - php 8 Web - Ajax 7 Web - php 8 Web - php 7 Web - php

Technická podpora (1-10) 9 8 5 8 7 7 6 8 8 9 7

5.3.15 Zobrazení dat Předávání informací zjištěných o sledovaných zařízeních je velice důležitou funkcí programu a jednotlivé produkty se v tomto bodě mohou velmi lišit. Zjistit požadovaná data je věc jedna a spolehlivě, rychle, přesně a přehledně je předat uživateli je věc druhá. Nejběžnější způsoby jsou grafy, pro zobrazení dat v závislosti na čase, tabulky,


26

pro zobrazení okamžitých hodnot a různé stromy, seznamy zařízení apod. Kvalita výstupních dat a jejich podání je ohodnocena od 1 do 10. 5.3.16 Ovládací prostředí Monitorovací nástroje musejí mít nějaké rozhraní pro komunikaci s uživatelem, ovládání a konfiguraci. Mohou být ovládány například speciálním programem nainstalovaným na monitorovacím serveru, ale běžnější metodou je ovládání přes webové rozhraní. Je to efektivnější metoda, protože není potřeba instalovat žádné další programy a k ovládání systému se využívá některý internetový prohlížeč připojením na monitorovací server. 5.3.17 Technická podpora Při řešení specifických problémů, tvoření šablon, nebo jen nastavování programu, je nedocenitelnou výhodou dobře napsaná dokumentace, kvalitní podpora ze strany výrobce programu, ale především podpora ze strany komunity vytvořené kolem daného produktu. Na technických fórech je možné najít řešení spousty problémů. Úroveň kvality a kvantity technické podpory je dána bodovým ohodnocením od 1 do 10. Tab. 7 Uživatelská ergonomie 2


Náročnost instalace a konfigurace (1-10) 4 4 3 6 8 3 5 8 8 8 7

Platformy Windows,Linux,Solaris Windows,Linux,NetWare Windows,Linux,Solaris,Netware,MacOS,BSD Debian Linux,BSD Linux,BSD Windows,Linux,NetWare Windows Windows Windows,Linux,BSD Windows

Tabulky 7 a 8 se týkají ergonomiky nástrojů a uživatelského komfortu používání. Nalezneme zde také platformy, na kterých lze programy nainstalovat a používat. 5.3.18 Náročnost instalace a konfigurace Obecně platí, že open-source nástroje jsou na instalaci a konfiguraci mnohem náročnější, jak časově, tak technicky, nežli komerční produkty. V tom také tkví jedna z velkých nevýhod programů zdarma. Náročnost instalace je ohodnocena bodovým hodnocením od 1 do 10, kdy 1 znamená nejnáročnější instalace a 10 nejméně náročná.


27

5.3.19 Platformy Pro každý operační systém, na kterém je možné program spustit, musí být vytvořena speciální verze, kompatibilní právě s daným operačním systémem. Nejvíce programů je vytvořeno pro operační systémy s jádrem UNIX. Je to logické, jelikož tyto systémy se většinou používají na serverech. Hodně produktů má také verzi pro operační systém Windows, najdou se však i takové, které běží pouze pod Windows. Pár programů má také verze pro další systémy, jako jsou MAC OS, nebo NetWare a DBS. Tab. 8 Rozšířené funkce 1


Uživatelské účty ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO

Alarmy PLUGIN ANO PLUGIN ANO ANO ANO ANO

email, SMS ANO ANO

email, SMS, peager, IM

5.3.20 Uživatelské účty U rozsáhlejších sítí není možné, aby celou síť spravoval jeden člověk. O správu takové sítě se stará tým odborníků a každý má na starosti jinou část, ať už z hlediska geografického (jeden správce jedno podlaží, jednu budovu), nebo funkčního (jeden správce služby serveru, jeden aktivní síťové prvky,..). Každý má také jiné požadavky od monitorovacího programu. Některý ze správců potřebuje být okamžitě informovaný v případě nějaké události, jiný si potřebuje nastavit šablony pro sběr dlouhodobých dat, přesně podle svých potřeb. Tyto možnosti umožňují uživatelské účty, kde si každý může ve svém účtu nastavit monitoring přesně toho, co potřebuje pro svoji práci. 5.3.21 Alarmy Upozornění na překročení, nebo dosažení určitých prahových hodnot, které se nastaví v systému, je další velice důležitou funkcí dobrého monitorovacího programu. Některé zvládají pouze zobrazení informace v ovládacím prostředí, většina běžných nástrojů však zvládne také nějakým způsobem kontaktovat pověřenou osobu. Nejběžnější způsoby kontaktování jsou email, SMS, peager, nebo IM klienti.


28



Reakce na události (1-10) 8 8 6 8 7 5 7 8 8 4 8

Inventář zařízení ANO ANO ANO ANO ANO PLUGIN ANO ANO ANO ANO ANO

WebApp (vzdálená správa) ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO

Šablony ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO

5.3.22 Reakce na události Výhradou lepších a propracovanějších produktů je, že kromě upozornění na nějakou kritickou událost, na ni dokáží také bezprostředně reagovat. Nejběžnější reakcí je zapnutí, nebo vypnutí nějakého portu na přepínači. Další možností je jen změnit šablonu pro ukládání zpráv a tím docílit toho, aby se od určité události zaznamenávalo do databáze více informací. Možnosti a propracovanost reakcí je ohodnoceno body od 1 do 10. Hodnota 1 znamená, že program vůbec neumí na událost reagovat jiným způsobem, než kontaktováním administrátora. 5.3.23 Inventář zařízení Kompletní evidence HW a SW pro monitorovaná zařízení. 5.3.24 WebApp (vzdálená správa) Je možné aplikaci plně řídit, kontrolovat, spravovat a dálkově se připojovat přes webové rozhraní. 5.3.25 Šablony U jednotlivých zařízení jsou odlišné požadavky na sledované veličiny. Každý správce sítě má také potřebu sledovat jiné zařízení a u jednotlivých zařízení jiné hodnoty. Na síti může být řada zařízení stejného druhu a u všech máme potřebu sledovat stejné veličiny. Pro tyto účely existují v monitorovacích programech šablony. Šablony si jednoduše nadefinujete a poté je aplikujete na jednotlivá zařízení, nebo celé skupiny zařízení, dle potřeby. Monitorovací program pak sleduje podle šablon u vybraných zařízení žádoucí hodnoty.


29

Tab. 10 Speciální funkce


Předpověď přenosu dat ANO ANO NE NE ANO NE NE ANO ANO ANO NE

Pluginy ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO

IP SLA Rozložení sledování Geomap ANO ANO NE ANO ANO NE NE NE NE ANO NE ANO ANO ANO NE PLUGIN ANO NE ANO NE NE ANO NE NE ANO NE NE ANO ANO NE NE NE NE

Tabulky 8,9 a 10 popisují, zda jsou programy vybaveny dalšími rozšířenými, nebo speciálními funkcemi, které většinou nejsou nezbytně nutné pro základní funkci programu, ale pokud je jimi program vybaven, získává určitou přidanou hodnotu oproti konkurenci, jelikož rozšiřuje své možnosti. 5.3.26 Předpověď přenosu dat Pokročilý nástroj, který dokáže podle dlouhodobých statistik předpovědět objem a frekvenci datových přenosů a kontroluje podle ní skutečný stav. V případě, že dojde k výraznější odchylce, informuje o tom pověřené osoby. 5.3.27 Pluginy Pokud nástroj umožňuje aplikovat vlastní pluginy, výrazně to rozšiřuje rámec možností a funkcí programu. Díky této volbě se dají úplně přidat některé funkce. Například pokud program v sériovém stavu není kompatibilní s Cisco zařízeními, jednoduchým pluginem je možné tuto funkci přidat. 5.3.28 IP SLA Tato funkce umožňuje do hloubky analyzovat síť přes IP a měřit celkový výkon, propustnost sítě podle přednastavených algoritmů. 5.3.29 Rozložení sledování Program dokáže využít více než jeden server ke sledování rozsáhle sítě. Tato funkce dokáže při sledování rozsáhlé sítě ušetřit značné množství investic do hardware. 5.3.30 Geomap Jedná se o zobrazení sítě na geografické mapě. Pochopitelně to má význam pouze u větších rozlehlejších sítí. K realizaci se využívá otevřený projekt OpenStreetMap.


30

Tab. 11 Operační systémy


Microsoft Windows ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO

Linux ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO

Solaris ANO Částečně ANO Částečně Částečně Částečně Částečně Částečně Částečně Částečně Částečně

NetWare Částečně Částečně ANO Částečně Částečně Částečně ANO Částečně Částečně Částečně Částečně

Mac OS Částečně Částečně ANO Částečně Částečně Částečně Částečně Částečně Částečně Částečně Částečně

BSD ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO ANO

5.3.31 Operační systémy Seznam operačních systémů, které je monitorovací nástroj schopen sledovat. Jednotlivé nástroje mají většinou v dokumentaci vypsány operační systémy, s kterými jsou kompatibilní. Pokud ovšem používá ke své práci program SNMP protokol, měl by teoreticky zvládnout sledovat jakýkoliv operační systém, který má v jádře zabudovanou podporu SNMP. To je v dnešní době již téměř každý moderní operační systém.

Porovnání monitorovacích nástrojů

31

6 Porovnání monitorovacích nástrojů Na trhu se nachází velké množství monitorovacích programů, zaměřených na různé sítě, různé potřeby administrátorů a za různé ceny. Liší se nejen v konkrétních dovednostech, co umí monitorovat, ale také v technologiích, které k monitoringu používají, uživatelské přívětivosti, rychlostí reakcí, a v počtech zařízení, které umí spolehlivě sledovat. Není možné jednoznačně určit, který z nástrojů je nejlepší nebo nejhorší. Každé firmě, každé síti a každému správci sítě může k jeho konkrétním potřebám, vyhovovat jiný produkt. Někdy i kombinace několika produktů. Kapitola analýza monitorovacích nástrojů zobrazuje technické parametry, technologie a funkce nejpoužívanějších programů. Když se k těmto parametrům přidají praktické zkušenosti s jednotlivými nástroji na simulované firemní sítí v síťové laboratoři, náročnost a komfort instalace a konfigurace programů a cena za pořízení programu, pro monitorování středně velké firemní sítě, vznikne ucelené hodnocení produktů, které se nachází v následujících tabulkách.

6.1

Hodnocení

V následujících tabulkách můžeme najít jednotlivé pohledy na monitorovací nástroje, jejich funkce, schopnosti, dovednosti a nároky, ohodnoceny stupnicí od 1 do 10. Hodnota 1 znamená nejhorší hodnocení, neboli úplná absence dané hodnocené kategorie (funkce), hodnota 10 značí, že má hodnocenou veličinu zpracovanou nejlepším možným způsobem, v relaci s konkurencí. Hodnoceny jsou jednotlivé okruhy technických parametrů tak, jak byly parametry shrnuty v kapitole analýza monitorovacích nástrojů. Přidána je kategorie cena, kde pochopitelně programy, které jsou distribuovány zdarma, získaly maximální možný počet bodů a programy komerční dostaly bodové ohodnocení podle ceny, za kterou jsou nabízeny, čím vyšší, tím méně bodů. Další úhel pohledu, který se objevil v hodnocení, je přidaná hodnota. Jedná se o osobní zkušenosti a subjektivní názor na program, jeho funkčnost, pohodlí a engine. Jsou zde shrnuty dojmy z programu a prací s ním, které nelze vyjádřit klasickými technickými parametry. Tímto způsobem může program získat maximálně 10 bodů, což je 1/9 celkového maximálního možného bodového zisku. V tabulce 13 nalezneme konečný kompletní součet bodů, společně s celkovým žebříčkem, zobrazujícím konečné pořadí programů.


32


Monitoring (1-10) Cacti 8,5 Zenoss 8,5 Ntop 6 NAV 10 Zabbix 8,5 Nagios 7 MRTG 8 Whats up Gold 8,5 Orion 9,5 MARS 8 NetCrunch 8,5

Technologie, HW nároky Práce s topologií a (1-10) mapou sítě (1-10) 8 8,5 6,5 9 7,5 3,5 8,6 9,5 6,9 7 5 7,6 5 7,2 7,5 9,5 7 9 8,5 9,5 7,1 9,5

Uživatelská ergonomie (1-10) 6,5 6,9 5,1 6,1 7 4,8 5,1 7 6 8,1 7

Součet 31,5 30,9 22,1 34,2 29,4 24,4 25,3 32,5 31,5 34,1 32,1


Rozšířené funkce (1-10) Cacti 9,5 Zenoss 9,5 Ntop 8 NAV 9,5 Zabbix 9,2 Nagios 8 MRTG 9 Whats up Gold 9,5 Orion 9,5 MARS 8,9 NetCrunch 9,5

Speciální funkce (1-10) 8 8 2 6 8 5 4 6 6 8 2

Operační systémy (1-10) 7,5 6 10 6 6 6 7,5 6 6 6 6

Cena (1-10) 10 10 10 10 10 10 10 4 5 3 6

Přidaná hodnota (1-10) 6 5 4 5 5 4 4 9 8 7 8

Součet 41 38,5 34 36,5 38,2 33 34,5 34,5 34,5 32,9 31,5


33

Tab. 14 Hodnocení monitorovacích programů - výsledky

Počet bodů Cacti 72,5 NAV 70,7 Zenoss 69,4 Zabbix 67,6 Whats up Gold 67 MARS 67 Orion 66 NetCrunch 63,6 MRTG 59,8 Nagios 57,4 Ntop 56,1

Pořadí 1 2 3 4 5, 6 5, 6 7 8 9 10 11

Z hodnocení vyplývá, že vítězem testu se stává open source nástroj Cacti, ovšem to jen díky zohlednění velice důležitého a vlivného faktoru, kterým je cena produktu. Cena má pro každého jinou váhu, velká korporace pravděpodobně cenu nebude řešit a raději si připlatí za komfort, zatímco menší firma dá přednost více času stráveného nad konfigurací monitorovacího nástroje, který bude zadarmo. Z dílčích výsledků lze vyčíst, že základní funkce monitoringu mají téměř všechny programy na podobné úrovni a ani v těch pokročilejších není žádný propastný rozdíl, jednotlivé produkty, se kromě ceny, liší především v náročnosti instalace, konfigurace a běžného používání, kde vedou spíše komerční nástroje. Dále můžeme pozorovat rozdíly v managementu, neboli správě a běžném používání systému. Jeden z parametrů, ve kterém vedou naopak freewarové nástroje, je možnost rozšiřitelnosti, pomocí vlastního psaní skriptů, apod. Tato možnost je zahrnuta do rozšířených funkcí. Kromě komfortu instalace a konfigurace, počtu a propracovanosti funkcí a dovedností a podporovaných technologií je také důležitým faktorem maximální počet zařízení, který dokáže nástroj spolehlivě monitorovat. Bohužel ve stávajících podmínkách není možné zjistit přesné číslo, vyjadřující maximální počet prvků ke každému programu, ale je možné orientační hodnoty najít v manuálech, nebo na stránkách výrobců. Některé programy jsou vhodnější pro monitorování pouze firemních LAN sítí, některé s přehledem zvládají, za podpory dostačujícího hardware, i desetitisíce zařízení v rámci měst, nebo ještě větších oblastí. Základní rozdělení sítí, podle velikosti je na LAN sítě, MAN sítě a WAN sítě. LAN sítě jsou právě lokální firemní sítě, čítající desítky, maximálně stovky síťových prvků. MAN sítě bývají v rámci měst, nebo několika velkých poboček jedné organizace. WAN jsou nejrozlehlejšími sítěmi, v rámci států, nebo kontinentů. Největší WAN sítí je Internet, který spojuje mnoho menších síťových komplexů. Velikosti sítí, na které je nástroj primárně určen, je možné vyčíst z počtu monitorovaných zařízení v tabulce 5.

Ekonomické zhodnocení

7


7.1

Licence

34

Programy mohou být komerční, za které je potřeba jednorázově, nebo paušálně zaplatit, nebo zdarma. Produkty, které nemají komerční licenci, bývají většinou opensource, což znamená, že kromě výsledného programu je volně šiřitelný a dostupný i zdrojový kód programu. Ovšem šíření těchto nástrojů je často legislativně upraveno některou free-ware, nebo open-source licencí. U monitorovacích programů se v drtivé většině jedná o některou z verzí GPL licence. 7.1.1 GPL licence GNU General Public License, GNU GPL (česky „všeobecná veřejná licence GNU“) je licence pro svobodný software, původně napsaná Richardem Stallmanem pro projekt GNU. GPL je nejpopulárnějším a dobře známým příkladem silně copyleftové licence, která vyžaduje, aby byla odvozená díla dostupná pod toutéž licencí. V rámci této filosofie je řečeno, že poskytuje uživatelům počítačového programu práva svobodného softwaru a používá copyleft k zajištění, aby byly tyto svobody ochráněny, i když je dílo změněno nebo k něčemu přidáno. Toto je rozdíl oproti permisivním licencím svobodného softwaru, jejímž typickým případem jsou BSD licence10.

7.2

Zhodnocení nákladů na pořízení



10

Licence Cena (dolní hranice) Kč GPL 0 0 Freeware, (komerční) 0 0 Freeware 0 0 GPLv2 0 0 GPL 0 0 GPL 0 0 GPL 0 0 Komerční 2 129 € 53225 Komerční 2 015 € 50375 Komerční 90522 5029$ Komerční 1 950 € 48750

http://cs.wikipedia.org/wiki/GNU_General_Public_License


35



Cena průměrná 0 0 0 0 0 0 0 7 085 € 4 460 €

Kč 0 0 0 0 0 0 0 177125 111500

Cena (horní hranice) 0 0 0 0 0 0 0 30 261 € 20 350 €

18833$ 3 510 €

338994

106730$ 17 035 €

87750

Kč 0 0 0 0 0 0 0 756525 508750 1921140 425875

11

Průměrná cena monitorovacích nástrojů (Kč) 350000 300000 250000 200000 150000 100000 50000 0

Graf 1 Průměrná cena monitorovacích nástrojů

V případě zavádění nového produktu – monitorovacího programu do firemní sítě, je na administrátorovi sítě, nebo IT sekci, aby udělali jednotlivé návrhy řešení, do kterých bude zahrnuta také finanční a časová stránka jednotlivých možností. Na managementu firmy poté zůstává úkol jedno z možností vybrat. Při finanční analýze daných variant je nutné zahrnout do konečné ceny za monitoring nejen pořizovací cena za monitorovací nástroj, která je například u opensource nástrojů nulová, ale také cena za implementaci do firemní sítě, následnou Ceny čerpány z oficiálních stránek výrobců, které jsou vypsány u popisů jednotlivých produktů 11


36

správu monitoringu a také nákup potřebného hardware pro realizaci monitoringu. Náklady na implementaci do firemní sítě a správu monitoringu, se naopak u opensource nástrojů vyšplhají mnohdy i několikanásobně výš, nežli je tomu u komerčních, placených programů a implementace zabere mnohem více času. Extrémní variantou, převážně pro velké, rozsáhlé firmy s obrovskou sítí, čítající stovky až tisíce monitorovaných stanic a aktivních síťových prvků, je externí monitoring, kdy veškerá implementace, hardware, ale především správa monitoringu spadá na externí firmu, která si za management a monitoring sítě nechává paušálně platit nemalé částky peněz, rostoucí do stotisíců. Tato varianta ovšem již nespadá do rozsahu této práce.

7.3

Reálné náklady

Pro zobrazení reálné ceny, nejen za pořízení nástroje, ale komplexní ceny za pořízení, nainstalování, konfiguraci a správu monitorovacího nástroje, byly vybrány dva výkonné produkty, jeden z opensource kategorie, druhý z placené kategorie, zobrazeny reálné náklady. Tab. 17 Reálné náklady Cena za Cena za monitorovací hardware pro program monitoring

Cena za instalaci a konfiguraci

Mimořádné výdaje

Součet

Cena za údržbu

Cacti

0,00 Kč

25 000,00 Kč

36 000,00 Kč

6 000,00 Kč

2 000,00 Kč

69 000,00 Kč

Zenoss

0,00 Kč

25 000,00 Kč

36 000,00 Kč

6 000,00 Kč

2 000,00 Kč

69 000,00 Kč

Ntop

0,00 Kč

10 000,00 Kč

40 000,00 Kč

6 000,00 Kč

2 000,00 Kč

58 000,00 Kč

NAV

0,00 Kč

22 000,00 Kč

35 000,00 Kč

6 000,00 Kč

2 000,00 Kč

65 000,00 Kč

Zabbix

0,00 Kč

25 000,00 Kč

15 000,00 Kč

6 000,00 Kč

2 000,00 Kč

48 000,00 Kč

Nagios

0,00 Kč

22 000,00 Kč

37 000,00 Kč

6 000,00 Kč

2 000,00 Kč

67 000,00 Kč

MRTG

0,00 Kč

25 000,00 Kč

35 000,00 Kč

6 000,00 Kč

2 000,00 Kč

68 000,00 Kč

Whats up Gold

53 225,00 Kč

26 000,00 Kč

10 000,00 Kč

5 000,00 Kč

0,00 Kč

94 225,00 Kč

Orion

50 375,00 Kč

25 000,00 Kč

10 000,00 Kč

5 000,00 Kč

0,00 Kč

90 375,00 Kč

MARS

90 522,00 Kč

30 000,00 Kč

11 000,00 Kč

5 000,00 Kč

0,00 Kč

136 522,00 Kč

NetCrunch

48 750,00 Kč

22 000,00 Kč

11 000,00 Kč

5 000,00 Kč

0,00 Kč

86 750,00 Kč

12

Při výpočtu reálných nákladů byla uvažována hodinová mzda pro IT specialistu 300Kč za 1 hodinu práce. Náklady byly počítány pro malou, nebo středně velkou firemní síť, čímž se u produktů téměř srovnaly ceny za pořízení hardware. I když produkty nejsou stejně náročné na hardware, pro monitoring středně velké firemní sítě bohatě stačí pořízení levnějšího hardwarového serveru. Můžeme si všimnout, že cena za instalaci a konfiguraci některých komerčních a open source produktů se liší více než dvojnásobně. Například u Cacti bylo počítáno s 15-ti běžnými pracovními dny, zatímco u What’s up Gold pouze s 5ti pracovními dny intenzivní práce síťového specialisty. Tyto údaje jsou však velmi subjektivní a obecné, konečná výše investice by 12

Ceny za hardware byly vybrány nejlevnější z www.heureka.cz


37

se mohla lišit v závislosti na mnoha faktorech. U ceny za údržbu se jedná o měsíční částku, placenou IT specialistovi za řešení problémů, kontrolování logů a pohotové reagování na alarmy systému. Mimořádnými výdaji se myslí řešení neočekávatelných problémů. Jak je vidět, i přes nižší náklady na instalaci, konfiguraci a údržbu pořád vyjdou dráž placené programy. Je ovšem nutné vzít také v úvahu, že u komerčních produktů byly mnohem nižší časové nároky na nasazení do firemní sítě.

Popis instalace jednotlivých programů

8 Popis instalace jednotlivých programů 8.1

Cacti

Program Cacti jsem instaloval na server s operačním systémem Microsoft Windows 7. Před instalací samotného programu je potřeba nainstalovat SQL databázi, podporu PHP a web server. Dále je nutné mít nainstalovanou podporu protokolu SNMP v operačním systému, což má Windows 7 v jádře a RRDTool. Pro možnost instalace skriptů a pluginů nesmí chybět interpret jazyka Perl. 8.1.1 Instalace prerekvizit Pro realizaci webového serveru, podpory PHP a SQL serveru jsem zvolil ucelený balíček Wamp ve verzi 2.1a. Wamp obsahuje nejnovější verzi serveru Appache 2.2.17, php ve verzi 5.3.3 a MySQL databázi v 64bitové verzi 5.1.53. Další aplikace, která balíček obsahuje: MySQL 32bit v., PhpMyAdmin a SQLBuddy již nejsou pro běh monitorovacího nástroje Cacti nezbytné. 8.1.2 Nastavení před zahájením instalace V administraci wamp je nutné zapnout funkci SNMP následujícími příkazy: php_sockets 1 php_snmp 1. Dále je třeba operačnímu systému říci, kde najde jednotlivé entity, modifikací systémových proměnných: Do proměnné PATH přidat: c:\wamp\Apache; c:\wamp\MySQL; c:\wamp\PHP\Extensions; c:\wamp\PHP Vytvořit novou systémovou proměnnou: PHPRC=c:\wamp\php a MIBDIRS=c:\wamp\php\mibs Před samotnou instalací je ještě potřeba upravit konfigurační soubor php.ini, nacházející se ve složce PHP uvnitř kořenové složky wamp: odkomentovat řádek ; cgi.force_redirect = 1 a změnit na 0 a změnit register_argc_argv = Off na ON Úprava konfiguračního souboru http.conf, nacházejícího se ve složce appache uvnitř kořenové složky wamp: zakomentovat #Listen 127.0.0.1:80, aby se na server dalo přistoupit i z jiných adres než z počítače, na kterém server běží. Instalace Net-SNMP Net-SNMP se nainstaluje do adresáře …\cacti\net-snmp , případně u starších verzí

38

Popis instalace jednotlivých programů Windows doinstalovat SNMP podporu pro Windows. Instalace Perl Klasická instalace kompilátoru Active Perl pro spouštění skriptů. 8.1.3 Instalace poslední verze Cacti Z internetových stránek http://www.cacti.net/download_cacti.php můžeme stáhnout poslední verzi Cacti (0.8.7g) pro Windows. Obsah zip archivu rozbalíme do …\wamp\www, tím je instalace samotného programu hotová. 8.1.4 Princip práce, konfigurace Nejdříve Cacti získává data z jednotlivých zařízení, které monitoruje. Tyto zařízení musíme přidat do Devices. Následně se automaticky vytvoří zdroj dat, pomocí šablony. Podle použité šablony máme k zařízení možnost zadávat jednotlivé dotazy na data a vytvářet grafy z dat. Z datového zdroje se vytvoří graf, který je vždy zařazený do nějaké skupiny pro zobrazení. O získávání dat se stará Poller, který je potřeba v systému nastavit k pravidelnému spouštění, tím zajistíme aktuálnost dat. Využívá k získávání dat SNMP protokol, díky skriptům je možné využít i jiné způsoby. Po získání dat je třeba data uložit, o to se stará RRDTool, který data ukládá do velice kompaktního souboru konstantní velikosti. O následné zobrazování dat se stará také RRDTool s rozsáhlými možnostmi vykreslování grafů a zobrazování dat v přehledných tabulkách, které se dá pomocí pluginů ještě mnohem více přizpůsobit konkrétním potřebám. 13

8.2 Zenoss Monitorovací nástroj Zenoss byl nainstalován na server s operačním systémem Linux – gnome. Předpokladem pro instalaci je přístup do systému jako root. 8.2.1 Prerekvizity Je třeba nainstalovat balík programů pro práci s objektově orientovaným kódem binutils, dále gcc, což je kompilátor jazyka C a MySQL v.5.0.22 a vyšší. Pro správnou kompilaci zdrojového kódu je nutný GNU build environment (příkaz make). Vykreslování grafů a jiných grafických appletů je realizováno prostřednictvím JAVY, a je nutný nástroj SWING 1.3 a novější. Posledním důležitým programem před instalací je Autoconf 2.53 nebo novější, který spouští konfiguraci nástroje a vyhledá potřebnou knihovnu. 8.2.2 Příkazy pro instalaci prerekvizit Instalace mySQL -apt-get install mysql-server

13

http://www.cacti.net/documentation.php

39

Popis instalace jednotlivých programů Instalace vývojářských doplňků MySQL -apt-get install libmysqlclient15-dev Instalace programu patch -apt-get install patch Instalace g++ -apt-get install g++ 8.2.3 Nastavení před instalací Před samotnou instalací je ještě nutné vytvořit uživatele Zenoss, příkazem bash$ useradd zenoss. Musíme upravit systémové proměnné, kvůli orientaci operačního systému, příkazy: export ZENHOME=/usr/local/zenoss export PYTHONPATH=$ZENHOME/lib/python export PATH=$ZENHOME/bin:$PATH Předešlými příkazy nastavíme systémové proměnné ZENHOME and PYTHONPATH pro uživatele Zenoss. Toto je však pouze dočasné řešení, zmizí po restartování počítače, pokud chceme změny uchovat nastálo, musíme je zapsat do souborů .bashrc, a .profile: Dále je třeba vytvořit adresář zenoss jako root a před práva uživateli Zenoss: bash$ mkdir /usr/local/zenoss bash$ chown zenoss /usr/local/zenoss Nyní už stačí spustit databázi a může začít instalace jako taková: /etc/init.d/mysql start 8.2.4 Instalace Instalace musí probíhat pod uživatelem Zenoss. Zdrojové soubory ke kompilaci jsou dostupné na adrese http://www.zenoss.com/download/ (Source tarballs - ANY Linux). Zdrojové kódy se stáhnou v komprimovaném formátu, proto je třeba je rozbalit: bash$ tar -xzvf zenoss-Version.tar.gz (Version se musí nahradit aktualnim číslem verze (2.4.1) ) Nyní můžeme spustit instalaci jako takovou příkazem (ve složce, kde jsou rozbaleny zdrojové kódy): bash$ ./install.sh V průběhu instalace bude uživatel tázán na SQL databázi, heslo a několik dalších detailů. Vše je možné nechat v defaultním nastavení. Později je možné všechny tyto hodnoty změnit.14

8.3 NTOP NTOP byl instalován na server s operačním systémem Linux (gnome). Základem pro instalaci je knihovna libpcap, nad kterou program pracuje.

14

http://www.zenoss.com/

40

Popis instalace jednotlivých programů 8.3.1 Prerekvizity: Nejdůležitější bod, před instalací monitorovacího nástroje je instalace knihovny libpcap a několika nástrojů s ní souvisejících. Instalace proběhne po zadání několika příkazů do terminálu. Programovací utilita pro konfiguraci systému: apt-get install libtool Vytvoření spouštěcího souboru: apt-get install automake Instalace knihovny libpcap, nástroje na zachytávání paketů: apt-get install libpcap-dev Dále budeme potřebovat GNU databázi: apt-get install pibgdmb-dev Nástroje spolupracující s libpcap pro vykreslování grafů a práci s databází: apt-get install libevent-dev apt-get install rrdtool apt-get install librrd2-dev Posledním krokem před instalací monitorovacího nástroje je stažení a instalace další potřebné knihovny pro chod programu.Knihovna libevent 1.4.11 stable je možná stáhnout z internetové adresy http://www.monkey.org/~provos/libevent/. Poté stačí zkomprimované soubory rozbalit a ve složce, kde jsou rozbaleny použít příkazy pro instalaci: ./configure make make install 8.3.2 Instalace: Zdrojové kódy je možné stáhnout z internetových stránek výrobce www.ntop.org. Stažený zkomprimovaný soubor rozbalíme příkazem: tar –xzvf ntop-version.tar.gz Následující příkaz nalezne všechny potřebné soubory pro instalaci na harddisku: ./autogen.sh Kompilaci a instalaci spustíme příkazy make a make install v kořenové složce. Nyní můžeme spustit ntop v deamon modu: ntop –w4242 –u root –i eth0,wlan0,wmaster0 - w4242-nalsouchání administrace na portu 4242 - w – šifrované SSL - u root – spuštění pod uživatelem root - i - interface který chceme monitorovat Pro management se připojíme na localhost adresu 127.0.0.1 a v grafickém webovém rozhraní je možné systém nakonfigurovat.

41

Popis instalace jednotlivých programů

8.4 NAV 8.4.1 Minimální hardwarová konfigurace Tento údaj zde zmiňuji proto, že NAV je v této oblasti trochu specifický. Program je koncipován spíše na větší sítě, což je logické, když byl navržen pro monitorování univerzitních sítí. Při monitoringu větší sítě není o nic náročnější na hardwarovou konfiguraci, než jeho konkurence. Jeho minimální nároky na hardware jsou však vyšší než u některých konkurenčních produktů, proto na výkonově slabý stroj není vhodné NAV instalovat. Minimální hardwarové nároky pro instalaci NAV jsou procesor Dual Intel Xeon 1,8GHz, 2GB RAM 34GB pevný disk a minimálně jedno síťové rozhraní pro server. S touto sestavou lze monitorovat až 20000 zařízení. NAV je vyvinutý speciálně pro server postavený na Debian systému. Debian je možné volně nainstalovat ze stránek projektu, jelikož spadá do kategorie open source. Internetové stránky projektu jsou dostupné na adrese http://www.debian.org/distrib/. Do souboru source.list (/etc/apt/sources.list), který je součástí systému Debian je nutné vložit řádek: deb http://pkg-nav.alioth.debian.org/debian/ lenny loca l pro stažení dat nutných k zahájení instalace. Instalace se spustí příkazem: aptitude install nav. Následujících pár kroků instalace je upřesněných v přiloženém readme souboru. Pro základní konfiguraci je třeba v souboru nav.conf nastavit email administrátora (admin_mail), doménu (domain_suffix) a v db.conf heslo k databázi (user_pw.nav). Pro spuštění systému je třeba spustit proces na pozadí, příkazem: start nav. Ověřit správné spuštění, je možné příkazem: nav status. Do správy systému se pak jednoduše přihlásíme přes webové rozhraní, na adrese localhostu, s použitím admin jako jména, i hesla pro vstup do administrace. Jako první z kroků pro začátek užívání NAV (po vytvoření uživatelů apod.) je založení nové databáze v kategorii seed database, a nastavení, o která data má vlastně administrátor na síti zájem a jakým způsobem se budou získávat.15

8.5 What’s up gold Monitorovací nástroj What’s up gold je kompatibilní se systémem Windows XP, Vista a 7. Pochopitelně je možné ho provozovat také na Windows server 2003 a 2008. Dále systém poběží na operačních systémech s architekturou VMware ESX. Bohužel zde chybí podpora operačních systémů s unixovým jádrem.

15

https://launchpad.net/nav

42

Popis instalace jednotlivých programů 8.5.1 Prerekvizity Samozřejmostí jsou administrátorská práva pro přístup do operačního systému Windows. Na serveru, kam chceme What’s up Gold instalovat musíme nainstalovat SQL server. V manuálu je na výběr několik verzí Microsoft SQL serverů, ale funguje i na klasických serverech od jiných výrobců, jako je Wamp. Dále je potřeba mít nainstalovaný webový server, pro vzdálenou správu. V manuálu opět nabízí pouze 2 druhy IIS serverů a jeden What’s up Gold server za příplatek, který má několik výhod, především co se týče kompatibility. Ovšem vše bez problémů funguje na již zmíněné podmnožině Wampu – appache serveru. Podporované prohlížeče pro vzdálený přístup jsou Microsoft Internet Explorer 7.0, Microsoft Internet Explorer 8.0 a Firefox 3.0, pro mobilní vzdálený přístup Mobile Safari 2.2, Microsoft Internet Explorer Mobile 6.1 nebo Opera Mini 4.2. 8.5.2 Minimální hardwarové nároky Systém má poměrně vysoké minimální nároky na HW v podobě 2GHz procesoru 4GB RAM, 100MBps síťové karty a 8GB místa na disku. Ovšem při monitorování většího počtu stanic je to pochopitelné. Doporučené hodnoty jsou ještě značně vyšší. 8.5.3 Instalace Po nainstalování všech potřebných prerekvizit je možné přistoupit k samotné instalaci. Instalační soubor je ke stažení na domácích stránkách http://www.whatsupgold.com/. Po stažení souboru je již jasně znát, že se jedná o profesionální komerční produkt a instalaci zvládne i méně zkušený člověk. Celou instalací nás provede přehledný průvodce a všechny potřebné kroky udělá za nás. Po dokončení instalace a restartování stroje, stačí přistoupit ke správě systému zadáním localhost adresy do webového prohlížeče.

43

Případová studie

44

9 Případová studie Pro ověření zjištěných údajů a vyzkoušení některých produktů v reálném prostředí byl v síťové laboratoři Mendelovy univerzity sestaven model reálné firemní sítě, upravené pro potřeby monitoringu. To znamená, že není potřeba monitorovat desítky, či stovky stanic, pro dané účely bude úplně stačit 6 stanic, ale je vhodné vyzkoušet monitorovat všechny běžné druhy zařízení. Testovací síť obsahuje jeden router s firewallem napojený na jeden switch, který symbolizuje přepínač mezi běžnými firemními zaměstnanci. K tomuto přepínači jsou připojeny dva běžné počítače, v jedné VLAN síti, běžné pracovní stroje, k jednomu z nich i tiskárna, kde se bude zjišťovat stav toneru. Další počítač, připojený k přepínači je monitorovací server, který je z důvodu bezpečnosti a oddělení referenčních dat od běžných, v jiné VLAN síti. Další switch připojený k routeru je součástí demilitarizované zóny, která je v úplně jiné IP síti z důvodu bezpečnosti. V této zóně jsou totiž uloženy servery, na které mají přístup také uživatelé vně firemní sítě, přes internet. Jsou zde uloženy například webové stránky firmy, nebo ftp server. Poslední, třetí port routeru je použit pro připojení do internetu. Monitorovací program by měl kromě jiného také zaznamenávat vzdálený přístup do vnitřní sítě, přes VPN, které je v síti také nastavené.

9.1

Topologie pro testování monitorovacích nástrojů

Obr. 1 Topologie simulované sítě

Případová studie

45

9.1.1 Popis topologie Počítače P01 a P02 symbolizují velké množství klasických koncových počítačových stanic, které užívají zaměstnanci ke své práci. Na jejich místě by se v reálné firmě vyskytovalo několik dalších přepínačů (například pro různá patra) a mnohem více počítačů, které mohou být rozděleny i do virtuálních sítí. Tyto skutečnosti jsou však pro naše účely přehlédnutelné a budou naprosto postačovat symbolické dva počítače. SW1 je páteřní switch, který spojuje P01 a P02 (v reálné firmě výše popsanou strukturu) a připojuje ji k hlavnímu routeru R1, který je vybaven firewallem. Na druhém portu R1 je umístěna demilitarizovaná zóna a to z důvodu bezpečnosti. Pro P04 a P05, které představují servery, na kterých běží kromě mnoha jiných služeb také webové stránky, platí jiná pravidla bezpečnosti z toho důvodu, že k nim mají přístup kromě zaměstnanců a správců sítě také uživatelé z internetu a potenciální útočníci. Pro tuto část firemní sítě je monitoring zvláště důležitý. Do posledního portu R1 je připojen internet, tedy brána ven i dovnitř, pro případné útočníky, hackery. Přes internet je možné se připojit do interní sítě přes technologii VPN, na kterou je kladen zvláštní důraz kvůli bezpečnosti a i zde je monitoring nedílnou součástí dobrého zabezpečení. Monitorovací server, který představuje počítač P03 je také připojen do páteřního switche SW1, je však umístěn do své vlastní VLANy. Z tohoto místa probíhá monitoring celé firemní počítačové sítě.

9.2 Testované události Po zapojení všech prvků simulované sítě a spuštění monitorovacího programu by si měl načíst topologii sítě a zaregistrovat všechny prvky sítě. Pro vyzkoušení funkčnosti a spolehlivosti nástroje je však nutné na síti simulovat nestandartní situace, kvůli kterým zde monitorovací program vlastně máme nainstalovaný. Předmětem testu bude reakce programu na tyto anomálie. Události, které se budou testovat:  výpadek spoje na SW1(výpadek páteřního SW), SW2 (odpojení serveru)  přerušení kabelu mezi SW2 a P01  shut down P01, P04 aP05 – serverů  zastavení služby (appache, ftp) na P05 – v demilitarizované zóně  nečekané připojení nového počítače do SW1 (útok hackera) Události, na které by měl monitorovací program také reagovat, ale nebyly v rámci BP testovány:  přetížení výkonu zařízení (SW1,R1,P04)  přehřátí zařízení (SW1,R1,PC1-5)  anomálie v množství (druhu) přenesených dat  anomálie v množství příchozích dat z internetu docházející toner v tiskárně

Případová studie

46

9.3 Simulace reálného prostředí v laboratoři Monitorovací nástroje slouží kromě jiného k monitorování, kontrolování a vedení statistik o datech přenášených po interní síti. Aby se daly monitorovací nástroje dostatečně otestovat, je potřeba v laboratorním prostředí nasimulovat reálný provoz, který by byl na síti v praxi. K tomuto účelu byl vybrán nástroj Ostinato. 9.3.1 Ostinato Ostinato je open-source generátor a analyzátor paketů fungující na více platformách. Má pěkně vyřešené grafické prostředí a je velice výkonný. Charakteristika:  

   

funguje na Windows, Linux, BSD a Mac OS X podporuje následující standardy - Ethernet/802.3/LLC SNAP - VLAN - ARP, IPv4, IPv6, IP-in-IP a.k.a IP Tunnelling - TCP, UDP, ICMPv4, ICMPv6, IGMP, MLD -ostatní textové protokoly (HTTP, SIP, RTSP, NNTP etc.) dokáže měnit existující pakety (IP/MAC adresy) uživatelsky definované skripty zásobník protokolů v libovolném pořadí vytváří a konfiguruje více proudů dat najednou

Druhy simulovaného provozu:       

emaily z jedné stanice na ostatní pingy z jedné stanice na ostatní požadavky na data do demilitarizované zóny větší přenosy dat mezi stanicemi přístupy na internet a zpět (www) video-hovory mezi stanicemi FTP přenosy16

16

http://code.google.com/p/ostinato/#Documentation

Případová studie

47

9.4 Realizace sledování sítě nástrojem Cacti 9.4.1 Nastavení SNMP na klientovi Na každém zařízení, které chceme pomocí Cacti (nebo kteréhokoliv jiného monitorovacího programu, který k monitoringu používá protokol SNMP) sledovat, musí být nainstalovaný a nastavený SNMP. Na Windows stanici SNMP není standardně nainstalován, proto je potřeba jej nainstalovat.  Ovládací panely -> přidat nebo odebrat programy  SNMP klient  Nainstalovat službu (u starších verzí Windows je potřeba vložit instalační CD)  Restartovat operační systém  Služby systému Windows -> SNMP -> agent -> vše zaškrtnout  Služby systému Windows -> SNMP -> Security -> přidat nový Comunity string – jen pro čtení (citace: http://www.mydigitallife.info/install-and-enable-snmp-service-inwindows-xp-vista-and-2003/ )17 9.4.2 Nastavení Pooleru v operačním systému monitorovacího serveru O spouštění sledovacího procesu se u Cacti stará Poller(sběrač dat). Ten je potřeba nastavit na opakované spouštění v operačním systému monitorovacího serveru (v našem případě Windows 7). Postup nastavení polleru je následující:  Je třeba být přihlášen jako administrátor, nebo mít administrátorská práva  Plánovač úloh -> nová úloha, název:“Cacti“, Spustit: „c:\...\php.exe c\...\cacti\poller.php“  V záložce „upřesnit“ je možné nastavit dobu opakování spouštění úlohy18 9.4.3 Začátek monitorování s Cacti Instalace a základní konfigurace Cacti je popsána v kapitole popis instalace monitorovacích programů. Správu Cacti spustíme ve webovém prohlížeči, zadáním adresy 127.0.0.1/cacti. Poprvé se přihlásíme do systému zadáním uživatelského jména „admin“ a hesla „admin“. Pro další přihlášení je třeba heslo změnit.

http://techblog.iamkodl.net/archives/11-Rozchodit-Cacti-grafiky-na-Windows-je-taksnadne.html 18 http://www.samuraj-cz.com/clanek/cacti-snmp-monitoring-a-grafy/ 17

Případová studie

48

Obr. 2 Prostředí Cacti

V kontextovém menu vybereme Devices (zařízení) a smažeme přednastavené zařízení localhost. Toto zařízení je totiž nastaveno na operační systém Linux. Pro ověření funkčnosti monitorovacího nástroje přidáme nové zařízení kliknutím na Add v pravém horním rohu. Do pole description napíšeme „localhost“, do pole hostname ip adresu zařízení, což je v případě localhostu „127.0.0.1“. Jako šablonu (Host Template) zvolíme Windows 2000/XP Host a potvrdíme volbou Create.

Obr. 3 Přidání nového zařízení v Cacti

Na následující stránce se zobrazí SNMP informace o zařízení (viz obr. 4).

Případová studie

49

Obr. 4 Informace o přidaném zařízení v Cacti

Pro správnou funkčnost je potřeba nastavit SNMP na monitorované stanici, v tomto případě na monitorovacím serveru. Pro přidání nového sledování pro dané zařízení použijeme volbu „Create new graph for this device“ (vytvořit nový graf pro toto zařízení).

Obr. 5 Vytvoření nového sledování v Cacti

Zde máme mnoho možností, co chceme sledovat. V první části jsou na výběr komponenty jako procesor, fyzická nebo virtuální paměť, grafická karta a další. V další části můžeme monitorovat jednotlivá rozhraní, pevné disky a další.

Případová studie

50

Pro prohlížení nebo nastavení grafů si v horní části stránky vybereme záložky „graphs“. 9.4.4 Monitoring simulované sítě v Cacti Pro přidání jednotlivých zařízení pro sledování je vhodné nahrát plugin automatického objevování sítě. Pro naše potřeby bude však stačit přidání jednotlivých zařízení ručně, dle návodu uvedeného výše. Po přidání všech zařízení (viz Začátek monitorování s Cacti – je třeba znát všechny IP adresy) nastavíme grafy veličin, které chceme u daných zařízení sledovat. U serveru to bude vytížení CPU, vytížení operační paměti a virtuální paměti a přenosy na pevném disku. Pro přepínač nastavíme monitoring jednotlivých rozhraní a vytížení CPU. U routeru budeme monitorovat stav spojů a vytížení procesoru. Na koncové stanici můžeme monitorovat například přenosy na síťové kartě, kapacitu pevného disku nebo přihlášené uživatele.

Obr. 6 Seznam všech sledovaných zařízení v simulované síti v Cacti

Na obrázku č. 4 vidíme seznam všech zařízení, které sledujeme v naší simulované počítačové síti. V poli description (popis) najdeme název stroje, číslo pod Graphs a Data sources značí počet sledovaných veličin u jednotlivých zařízení. Status ukazuje, jestli je zařízení připojeno, nebo odpojeno. Event Count značí počet událostí zařízení. Hostname je IP adresa daného zařízení, IP adresy si můžeme ověřit s obr. 1 – topologií sítě. Z hodnot Current a Average poznáme aktuální a průměrnou dobu odezvy zařízení. Pokud chceme monitorovat nějaké nestandardní události, jako je výpadek spoje, v sekci přidání zařízení změníme typ grafu na IN/OUT errors (vstupní a výstupní chyby), (viz obr. 7).

Případová studie

51

Obr. 7 Přidání nové sledované veličiny chybového charakteru v Cacti

Správnost zobrazovaných dat si ověříme díky nástroji na simulaci síťového provozu Ostinato. Správnost zobrazovaných stavů spojů si ověříme prostým vypojením síťového kabelu z přípojky. Co se stane v případě vypojení spoje serveru P05 je možné pozorovat na obr. 8. Tuto událost jsem opakoval třikrát, a měřil jsem čas, za který Cacti zareaguje. Průměrný čas byl 3 minuty a 50 vteřin, což není nijak perfektní výsledek. Status se změnil z up (připojeno) na down (nepřipojeno). Čítač událostí se zvýšil o 3 a Availability (dostupnost) klesla z 100% na 86,67%.

Obr. 8 Zobrazení výpadku serveru P05 v Cacti

Ukázky jednotlivých výstupů monitoringu je možné pozorovat na Obr. 9-11

Případová studie

Obr. 9 Sledování počtu přihlášených uživatelů na serveru P05 v závislosti na čase v Cacti

Obr. 10 Sledování využití fyzické paměti monitorovacího serveru v Cacti

Obr. 11 Sledování wi-fi přenosů monitorovacího serveru v závislosti na čase v Cacti

52

Případová studie

Obr. 12 Sledování vytížení CPU na serveru P05 v Cacti

Pro simulaci vytížení CPU byl na serveru P05 spouštěn nástroj 3D Mark 2011.

Obr. 13 Sledování využití pevného disku na serveru P05 v Cacti

53

Případová studie

54

9.5 Realizace sledování sítě nástrojem What’s up Gold 9.5.1 Prerekvizity monitoringu a nastavení před začátkem Před zahájením samotného sledování sítě, je stejně jako u Cacti nutné nainstalovat a nastavit SNMP na všech sledovaných klientech. Postup bude stejný, je popsaný v kapitole Nastavení SNMP na klientovi. U monitorování What’s up Gold je však potřeba u klientů povolit ještě Zásady auditu v operačním systému, protože bere data také přímo z operačního systému sledované stanice. V praxi by bylo téměř nemožné podobná nastavení dělat u všech sledovaných stanic. Nejen proto, je potřeba všechny sledované zařízení zařadit do jedné domény. To nám nejen usnadní podobná nastavení, která potom stačí udělat pouze u jednoho společného administrátorského účtu, ale je to nutné také pro vlastní sledování zařízení. Program sice při konfiguraci nabízí sledování domény, nebo workgroup (pracovní skupiny), ale při zvolené pracovní skupině se mi nepodařilo objevit ostatní zařízení. Po zařazení do jedné domény a nastavení monitorování domény už s přidáváním zařízení nebyl problém. Další nastavení před začátkem monitoringu je nastavení upozorňování na události. Dané události se uchovávají v interní databázi programu a při větším objemu dat je možné je uchovávat v externí databázi. Program automaticky nabízí Microsoft SQL server, ale je možné použít i kteroukoliv jinou SQL databázi. V menu je možné navolit, na které z ukládaných událostí chceme být upozorněni a jakým způsobem. Nejdříve jsem vyzkoušel způsob POPUP. Ten funguje na principu vyskakovacích oken, které mohou vyskakovat na sledovacím serveru, nebo na kterémkoliv jiném počítači v doméně. Tento způsob mi však nefungoval. Jak jsem posléze zjistil, bylo to způsobeno tím, že ke své funkci využívá službu NETSEND, která již není součástí systému Windows 7. Proto jsem posléze zvolil způsob posílání upozornění emailem, který již bez problémů fungoval.

Případová studie

Obr. 14 Povolení místních zásad zabezpečení v operačním systému klienta pro přístup k datům operačního systému v What’s up Gold

Obr. 15 Povolení místních zásad zabezpečení v operačním systému klienta pro přístup k datům operačního systému – správa účtů v What’s up Gold

55

Případová studie 9.5.2 Začátek monitorování s What’s up Gold Monitorovací systém musí být propojen s operačním systémem monitorovacího serveru, kvůli přístupu k monitorované doméně. Proto je potřeba zadat přístupové údaje.

Obr. 16 Povolení přístupu monitorovacího systému k administrátorskému účtu monitorovacího serveru v What’s up Gold

Dále je potřeba nastavit, jakým způsobem chceme být upozorňováni o událostech.

Obr. 17 Nastavení oznámení – ukládání do databáze v What’s up Gold

56

Případová studie

57

Obr. 18 Nastavení oznámení přes Syslog v What’s up Gold

Obr. 19 Nastavení oznámení přes email v What’s up Gold

Já osobně jsem využíval při monitoringu upozornění zasílané přes email. Zde je potřeba nastavit email, z kterého budou oznámení zasílána, email na který budou oznámení zasílána a především SMTP server, prostřednictvím kterého se budou zprávy posílat. Nyní musíme přidat zařízení, která chceme v síti monitorovat. Stejně jako v předchozím případě, pro ověření funkčnosti, přidáme nejdříve monitorovací server, neboli localhost. Pro každou oblast sledování musíme definovat jakoby nové zařízení. Na výběr jsou System, Aplication, Security a několik dalších. V každé z těchto kategorií je nepřeberné množství veličin, které se dají sledovat a u každé veličiny si můžeme nastavit upozornění.

Případová studie

Obr. 20 Seznam monitorovaných zařízení – localhost v What’s up Gold

Obr. 21 Výběr monitorovaných veličin v What’s up Gold

Na obrázku 21 v levém horním rámečku vybíráme zařízení, u kterých chceme aktuálně nastavovat monitorování, momentálně je zde na výběr pouze localhost, protože ostatní zařízení zatím nebyla přidána. V pravém horním rámečku jsou na

58

Případová studie

59

výběr typy upozornění, které jsme si dříve nadefinovali. Konkrétně položka test_noticifation je posílání upozornění na email. Dané upozornění se týká pouze aktuálně vybraného zařízení. Ve spodní části vybíráme z nepřeberného množství událostí, na které se bude reagovat. Zde si můžeme vybrat z klasického, nebo rozšířeného výběru. Na obrázku je momentálně vybrán Advanced Selection Mode (rozšířený výběr). Po předešlém nastavení můžeme bez problémů zařízení monitorovat. Zvláštností je, že pokud nenahlédneme do logů, událost, která se stala přímo v programu, nijak nezjistíme. Dozvíme se ji pouze z příchozího emailu, nebo jiného nastaveného upozornění. Email obsahuje základní informace o události. Rozšířené informace můžeme poté zjistit z interní databáze zpráv přímo v programu, podle čísla uvedeného v emailu. 9.5.3 Monitoring simulované sítě v What’s up Gold Pokud již máme všechna zařízení ze sítě v jedné doméně a jsou provedena všechna potřebná nastavení, můžeme přidávat jednotlivá zařízení k monitoringu. Program umí zařízení sám objevovat, stačí zadat rozmezí IP adres a zařízení sám najde. Zaměříme se na monitoring serverů a koncových stanic, jelikož v této oblasti má What’s up Gold opravdu rozsáhle možnosti. Dokáže monitorovat události nejen přes SNMP, ale napojit se přímo na operační systém klienta. Proto můžeme monitorovat takřka jakékoliv události operačního systému, jako přihlášení uživatele, pád služby, spuštění aplikace a stovky dalších událostí.

Obr. 22 Seznam monitorovaných zařízení na simulované síti v What’s up Gold

Případová studie

60

Na obrázku 22 můžeme sledovat aktuálně monitorovaná zařízení. Pokud u zařízení sledujeme více skupin veličin (například Bezpečnostní události a Systémové procesy), zařízení se nám v seznamu zobrazí dvakrát, jako koncová stanice P02. Ve sloupci Computer se zobrazuje doménové jméno stroje. Log nám ukazuje, jaké skupiny hodnot u zařízení monitorujeme. Last check (poslední kontrola) zobrazuje čas, kdy byl stav zařízení naposledy aktualizován. V této kategorii je na tom What’s up Gold značně lépe, než například program Cacti. Zatímco u Cacti se hodnoty aktualizovaly jednou za 5 minut, zde se zařízení sledují opravdu v reálném čase. Při testu událostí program reagoval během několika málo sekund. V předposledním sloupci potom vidíme, kolik je u kterého zařízení nastaveno upozornění, neboli alarmů. Jako první byl testován alarm na změnu jména uživatele na serveru P05. Po nastavení alarmu a provedení změny, během několika vteřin přišel email, zobrazený na obrázku 23.

Obr. 23 Upozornění o změně názvu uživatelského účtu emailem

Případová studie

61

Na obrázku 24 můžeme pozorovat upozornění o pádu aplikace Appache, tato aplikace byla násilně ukončena v aplikacích operačního systému. Upozornění na email opět dorazilo během několika málo sekund.

Obr. 24 Upozornění o pádu aplikace Appache emailem

Program reagoval na všechny události včasně, pouze při úplném odpojení stroje, se zkoušel se zařízením opakovaně spojit, než odeslal upozornění o výpadku. Prodleva mezi vypojením kabelu a příchozím emailem byla asi jednu minutu.

Diskuze a závěr

62

10 Diskuze a závěr 10.1 Diskuze Informace uvedené v této práci se skládají z praktických zkušeností získaných během testování jednotlivých monitorovacích nástrojů v domácích podmínkách, na malé síti, a ve školní síťové laboratoři Mendelu, ale také mnoho informací pochází z převážně anglických materiálů týkajících se monitoringu, často přímo z manuálů výrobců, nebo diskuzních fór. V bodovém hodnocení dosáhl nejlepšího výsledku open source projekt Cacti, díky bohatým možnostem při vykreslování grafů, spolehlivému monitorování, poměrně přesnými reakcemi na události na síti, velkými možnostmi zobrazování informací a především nulové ceně. Jako určitou nevýhodu bych mu, stejně jako všem ostatním open source produktům, vytkl složitější konfiguraci. Při nastavování monitoringu jsem narazil na několik problémů, které byly po mnoha hodinách práce a studia diskuzních fór vyřešeny. S takovými problémy jsem se u placených produktů setkal pouze výjimečně. Doba reakcí, až 5 minut, také nepatří mezi nejsilnější stránky programu. Z placených produktů bych chtěl vyzvednout program What’s up Gold. Tento program je zaměřen na trochu jinou část monitoringu než Cacti, grafické rozhraní a uživatelská přívětivost byly na lepší úrovni. Program byl výjimečný především nepřeberným množstvím veličin, které umí sledovat a rychlostí reakcí na události. Menšího bodového zisku tedy dosáhl především kvůli nenulové pořizovací ceně. Pro mnoho firem by ale právě tento produkt mohl být ta správná volba. Každý z programů má nějaké výhody a nějaké nevýhody a bodové hodnocení je spíše orientační, snažil jsem se do něj zahrnout co nejvíce úhlů pohledu a hodnotit program co nejkomplexněji. Občas to ovšem bylo složité, protože některé programy jsou opravdu zaměřeny na jiné preference než ty ostatní a proto se těžko porovnávají. To ovšem neznamená, že pokud jeden z programů získal více bodů, musí být pro každého nutně lepší, je totiž dost možné, že body dostal za funkce, které se v konkrétních podmínkách síťového zázemí prostě nevyužijí a jsou nadbytečné. Potom může být správnou volbou některý z jednodušších nástrojů, který firemní nároky bohatě splňuje.

Diskuze a závěr

63

10.2 Závěr Při realizaci bakalářské práce bylo dosaženo všech stanovených cílů. I přes některé potíže s kompatibilitou jednotlivých prerekvizit monitorovacích programů, byly nainstalovány a do určité míry otestovány téměř všechny, v této práci zmíněné, programy. Na základě testování programů, informací z oficiálních internetových zdrojů pro tyto nástroje, literatury zabývající se touto problematikou a několika dalších internetových zdrojů pojednávajících o monitoringu, byl ohodnocen každý produkt odpovídajícím počtem bodů a byly vybrány ty nejzajímavější programy, které mají oproti standardu nějakou přidanou hodnotu, ať už v realizaci nasazení na firemní síť, v ceně, nebo v nadstandartních funkcích a možnostech. Dva nejzajímavější programy byly nasazeny na simulovanou firemní síť a vyzkoušeny v podmínkách, které se co nejvíce podobají praxi. Hlavní přínos práce shledávám v seznámení čtenáře s technikami a způsoby monitoringu, nejběžnějšími monitorovacími nástroji, ohodnocení nástrojů a konkrétní ukázce v případové studii. Dále v komplexním návodu na instalaci, konfiguraci a implementaci do středně velké počítačové sítě v českém jazyce. Jednotlivá řešení by mohla dobře posloužit síťovému administrátorovi, který se chystá do své firmy zavést monitoring, nebo se chce zabývat výběrem a implementací monitoringu do firemních sítí svých zákazníků.

Literatura

64

11 Literatura TESCH, D. -- ABELAR, G. Security Threat Mitigation and Response: Understanding Cisco Security MARS. USA: Cisco Press, 2007. 370 s. ISBN 1-58705-260-1. BOUŠKA, Petr. Samuraj [online]. 2009 [cit. 2011-05-27]. Začínáme s monitoringem sítě. Dostupné z WWW: . BOUŠKA, Petr. Samuraj [online]. 2006 [cit. 2011-05-27]. SNMP. Dostupné z WWW: . BOUŠKA, Petr. Samuraj [online]. 2007 [cit. 2011-05-27]. CACTI – SNMP monitoring a grafy. Dostupné z WWW: . Zenoss [online]. 2011 [cit. 2011-05-27]. Overview. Dostupné z WWW: . Network Administration Visualized [online]. 2011 [cit. 2011-05-27]. Overview. Dostupné z WWW: . Zabbix [online]. 2011 [cit. 2011-05-27]. Documentation. Dostupné z WWW: . Whats up Gold [online]. 2011 [cit. 2011-05-27]. Overview. Dostupné z WWW: . Adremsoft [online]. 2011 [cit. 2011-05-27]. Netcrunch. Dostupné z WWW: . Wikipedia [online]. 2011 [cit. 2011-05-27]. GNU General Public License. Dostupné z WWW: . Ostinato [online]. 2011 [cit. 2011-05-27]. Packet/Traffic Generator and Analyzer. Dostupné z WWW: . Wikipedia [online]. 2011 [cit. 2011-05-27]. Comparison of network monitoring systems. Dostupné z WWW: .

Integrace monitorovacího systému počítačové sítě na b{zi open source a komerčních produktů

Recommend Documents