Журнал о компьютерных сетях и телекоммуникационных технологиях
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК:
    Домой
 
   
АРХИВ ЖУРНАЛА
   

2008: 1 2 3 4 5 6 7 8 9 10 11 12 13
2007: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2006: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2005: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2004: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2003: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2002: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2001: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2000: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
1999: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
1998: 1 2 3 4 5 6 7 8 9 10 11 12
1997: 1 2 3 4 5 6 7 8 9 10 11 12
1996: 1 2 3 4 5 6 7 8 9 10


Rambler's Top100

  

«Умная» инфраструктура повышает безопасность сети

Кэрри Хигби

Автоматизированное управление физическим уровнем сети имеет много положительных сторон, в их числе — обеспечение ее безопасности.

Любой сетевой администратор расскажет вам, как важно полностью документировать сеть. Исчерпывающая документация должна содержать имена всех рабочих станций, IP-адреса всех сетевых устройств, данные конфигурации маршрутизатора, параметры настройки МЭ и другие сведения. Однако и эта документация может не соответствовать имеющемуся на данный момент физическому уровню сети. В частности, вряд ли документация на давно существующую и пережившую множество модернизаций сеть будет в точности соответствовать ее физическому уровню.

В реальной кризисной ситуации и при отсутствии точной документации вы вынуждены будете тратить драгоценное время на поиски источника проблемы вместо приложения своих усилий на бы-стрейшее ее разрешение.

Реальная кризисная ситуация

Вот вам пример: у заказчика возникла проблема с неисправно функционирующим сетевым устройством. Его компания владеет охватывающей пять зданий кампусной сетью, которая подверглась нападению изнутри — с ноутбука, зараженного вирусом и вследствие этого инициирующего атаку типа «отказ в обслуживании» (Denial-of-Service — DoS). Коммутатор блокировал соответствующий порт, и сотрудник группы ИТ направился в телекоммуникационную комнату, чтобы определить место нахождения неисправного устройства. Однако, оказавшись рядом с коммутатором, он выяснил, что физический уровень данного сегмента сети практически не документирован, поэтому отыскать ноутбук можно было не иначе, как выполнив полную трассировку кабеля.

Закончив трассировку, сотрудник в конце концов обнаружил, что ноутбука на месте уже нет. Пользователь, видимо, подумал, что потеря связи обусловлена сетевыми проблемами в конкретном помещении, и всякий раз, когда его соединение с сетью пропадало, он уходил в другое помещение, чтобы вскоре снова остаться наедине с отключенным от сети ноутбуком.

В данном сценарии защитная функция коммутатора заключалась в блокировании пользовательского порта. Если пользователь «устранял» источник своей проблемы, меняя место подключения ноутбука, то сотрудник группы ИТ искал его в поте лица, чтобы со своей стороны устранить проблему. И эти поиски повторялись снова и снова.

Точки компрометации

В какой-то момент пользователь заключил, что проблема связана с оборудованием, размещенным на данном этаже, и переместился на другой этаж. В очередной раз, оказавшись отключенным от сети, он решил, что проблема — в параметрах настройки средств безопасности сети самого здания, и перешел в другое здание. И все опять повторилось по кругу.

Спустя пять часов пользователя с ноутбуком наконец-то нашли, а все проблемы устранили. Для персонала группы ИТ эти пять часов были временем сплошного хаоса, а для пользователя они стали сплошной нервотрепкой и привели его в отчаяние.

По другому сценарию из-за неопределенности на физическом уровне компрометации может подвергнуться безопасность сети в целом. Во многих компаниях имеются рабочие места и кабины, чаще всего незанятые и используемые временными сотрудниками. Источником риска также могут оказаться конференц-залы с доступными любому лицу физическими сетевыми портами. Многие имеющие у себя такие порты предприятия, подпадающие под требования строгого соблюдения нормативных актов в отношении безопасности информации, могут не пройти аудиторскую проверку, если:

• порты не являются полностью заблокированными, либо

• отсутствует средство, разрешающее доступ к сети через эти порты только уполномоченным на это пользователям.

Альтернативой может стать экранирование этих портов. Однако это означает необходимость реконфигурировать МЭ всякий раз при подключении авторизованного пользователя к защищенному МЭ порту. Все эти риски и проблемы их устранения весьма обременительны для менеджеров отделов ИТ.

В центрах обработки данных (ЦОД) и телекоммуникационных помещениях может возникать дополнительный риск, связанный со случайным отключением техническим персоналом какого-либо устройства. Если, например, нечаянно был отключен коммутатор IP-телефонии или критически важный сервер, то результат может оказаться весьма плачевным. А что же произойдет, если какое-нибудь содержащее критически важную информацию устройство вообще вынесут за пределы телекоммуникационного/серверного помещения, о чем в последнее время все чаще приходится слышать то тут то там? Как сможет сетевой администратор узнать, кто осуществлял доступ к сети и где именно это произошло? Как документируется доступ к сети? И наконец, как осуществляется управление процедурами перемещения, изменения конфигурации и добавления сетевых устройств? Приведенные вопросы являются для менеджеров ИТ-служб не только актуальными, но и крайне болезненными.

«Интеллектуальный» ответ

Хотя «интеллектуальные» коммутационные панели существуют достаточно давно, сегодня их функциональность стала значительно богаче по сравнению с ранними реализациями. В любом из описанных выше сценариев при наличии автоматизированной системы ведения оперативной схемы кабельной инфраструктуры сетевому администратору было бы достаточно щелкнуть правой кнопкой мыши на пиктограмме некорректно работающего устройства, чтобы просмотреть весь канал и даже найти нужное устройство на графической схеме.

Возможности построения графических схем, имеющиеся в такой системе, обеспечивают четкую маркировку мест размещения кабельных розеток на выполненных посредством САПР чертежах производственных и офисных помещений. При использовании «интеллектуальной» системы управления физическим уровнем сети ее администраторы больше не довольствуются информацией лишь с верхних уровней (модели OSI). Хотя знание MAC-адреса устройства, его IP-адреса и прочей регистрационной информации и является полезным, если на физическом уровне имеются расхождения с имеющейся документацией, то поиск проблемных устройств может превратиться в очень сложную задачу. Преодолеть данное расхождение позволяет «интеллектуальная» система управления физическим уровнем сети.

«Интеллектуальная» система управления физическим уровнем сети — это комбинация оснащенного сенсорами оборудования и ПО. Входящие в состав системы коммутационные панели оборудованы расположенными над каждым портом сенсорными контактными площадками. Посредством имеющихся на задней стороне панели разъемов эти площадки подсоединяются к анализатору. К портам на передней части панели подключаются стандартные коммутационные шнуры с дополнительными контрольными проводниками.

Коммутационный шнур может быть оснащен стандартным восьмиконтактным модульным интерфейсом RJ-45 или стандартным оптическим коннектором, он также содержит так называемый «девятый проводник», замыкающий две сенсорные контактные площадки. Каждое такое дополнительное контрольное соединение позволяет работающей системе в динамическом режиме детектировать изменения в конфигурации коммутационной панели, исключая, таким образом, обусловленные человеческим фактором ошибки документирования, поскольку информация о непрерывности контрольного соединения или его разрыве передается в базу данных в реальном масштабе времени.

Эта система пригодна как для медной, так и для оптической кабельной проводки и является масштабируемой, поэтому пользователи могут покупать только те ее компоненты, которые необходимы. Соответственно и анализаторы продаются в различных конфигурациях. Программное обеспечение системы покупают исходя из имеющегося числа портов и оно может быть либо использовано в качестве автономного приложения, либо интегрировано с имеющимся пакетом сетевого управления.

В интегрированной конфигурации осуществить трассировку устройства и его канала можно из среды пакета сетевого управления, такого, как HP OpenView. Один-единственный щелчок правой кнопкой мыши на пиктограмме устройства запускает ПО управления физическим уровнем, которое немедленно покажет вам трассу физического кабеля. Результат трассировки содержит полную информацию о канале, включая коммутационные шнуры, места терминирования канала и число коннекторов в нем. Кроме того, трассировочная информация показывает место размещения устройства на плане здания.

Посредством протокола SNMP (Simple Network Management Protocol) ПО считывает идентифицирующую информацию с сетевых устройств, а в целях блокировки портов, основываясь на заданных администратором параметрах, отправляет сообщения SNMP (v.3). Включение в процесс управления сетью контроля за ее физическим уровнем обеспечивает вам существенные преимущества. Например, если вы захотите узнать место размещения каждого подключенного к вашей сети ПК с ОС Windows 2000, то можете отобразить эту информацию на экране монитора не только в формате отчета, но и графически.

Программный модуль Virtual Wiring Closet (VWC) предоставляет исчерпывающую документацию на телекоммуникационные стойки, включающую данные о соединительных компонентах, длинах коммутационных шнуров и местах подключения всех устройств. Такая документация может служить в качестве справочника по вашим стойкам и шкафам.

Обслуживание и безопасность СКС

Существенным преимуществом «интеллектуальной» системы управления кабельной инфраструктурой является ее способность отслеживать все процедуры по перемещению, изменению и добавлению сетевых устройств и соединений автоматически, что избавляет сотрудников подразделения ИТ от обновления электронных таблиц и документации вручную. Ее ПО содержит также модуль для выписки нарядов на выполнение работ по обслуживанию СКС. Наряды можно отправить исполнителям и автоматически отследить сделанные ими изменения, что позволяет менеджеру всегда быть в курсе всех работ по обслуживанию.

«Интеллектуальные» системы управления физическим уровнем сети можно также интегрировать с другими системами безопасности, такими, как устройства NetBotz с видеокамерами от компании APC. Основываясь на конфигурируемых триггерах событий (например, таких, как отключение коммутатора VoIP), устройство может сделать снимок, осуществить запись в журнале и, как и подобает хорошей программе управления, отправить предупреждающие сообщения электронной почтой, на сотовый телефон или пейджер, при необходимости инициируя их эскалацию.

На входных дверях комнат или на дверях шкафов можно разместить электрические контакты. При их размыкании в журнале регистрации событий появляется запись, содержащая не только дату и время события, но и фото- или видеоизображение входящего человека.

В поисках исчерпывающего ответа

В этой статье рассматриваются лишь некоторые возможности «интеллектуальной» системы управления кабельной инфраструктурой, предоставляемые его преимущества в целом для членов группы ИТ являются весьма значительными. Если мы вернемся к ранее рассмотренному нами примеру, то при наличии у компании такой «интеллектуальной» системы сотруднику группы ИТ не пришлось бы тратить на поиски пользователя целых пять часов рабочего времени, ему достаточно было, не покидая своего рабочего места, просто щелкнуть правой кнопкой мыши. Тогда он не только получил бы самую свежую информацию о физическом уровне сети, позволяющую узнать, в каком здании терминируется заблокированный коммутатором порт, но и смог бы найти искомое устройство на плане здания. Вероятнее всего, сотрудник группы ИТ отыскал бы пользователя еще до того, как он впал в отчаяние и начал безрезультатно метаться по сети кампуса, пытаясь подключиться из разных мест.

Когда дело касается вопросов безопасности и законодательства, то дополнительные возможности документирования и протоколирования событий физического уровня сети не только повышают уровень защищенности корпоративной ИТ-инфраструктуры, но и способствуют выполнению многих связанных с соблюдением законодательных актов требований к документации и регистрации доступа к сети.

В конце концов, большая часть процедур поиска и анализа неисправностей в сети начинается с ответов на вопросы «кто?», «что?», «где?», «когда?», «зачем?» и «как?». Интеграция «интеллектуальной» системы управления физическим уровнем сети с платформой сетевого управления позволяет быстрее получить исчерпывающие ответы на них..

  
11 '2008
СОДЕРЖАНИЕ

бизнес

• Уходя уходи и не держи камень за пазухой

• Мини-аудит контакт-центра

защита данных

• Кольчуга на вырост

• Новые правила безопасности для сред виртуализации

информационные системы

• Как добиться повсеместного использования бизнес-аналитики

• Унифицированные коммуникации на базе SOA

• P2P-утечки и корпоративная безопасность

• Управление портфелем проектов

инфраструктура

• ИБП для ЦОДов. Часть 1

• Серверы российского производства

• Коммутирующие инфраструктуры Ethernet: конкурс решений

• Широкополосная мобильная связь: ее настоящее и будущее

сети связи

• Централизованно управляемые абонентские шлюзы доступа

• Подходы к оценке качества управления связью

кабельные системы

• «Умная» инфраструктура повышает безопасность сети

новые продукты

• Монтажные конструктивы от Depo Computers; Многофункциональное устройство NAS


• Калейдоскоп


Реклама:
 Copyright © 1996-2008 ООО "Сети и Системы Связи". вверх