OpredPodozPak (Определение подозрительных пакетов, анализ протоколов сети), страница 3

Компания RADCOM изначально ориентировалась на графический оконный интерфейс (выход первых моделей анализаторов в 1991г. совпал с моментом признания MS-Windows). Естественно, что с устранением системных ошибок в среде MS-Windows устранялись ошибки и в программном обеспечении анализатора. Сейчас программное обеспечение RADCOM стало высоконадежным и зрелым продуктом. Для анализаторов Domino и DA-30 фирмы Wandel&Golterman графический оконный интерфейс является достаточно новым (используется в них, начиная с июня 1995 г.) и не всегда удобен для работы. Анализаторы протоколов Sniffer компании Network General и J2300A компании Hewlett-Packard предлагают два различных типа программного обеспечения : графический оконный интерфейс - для работы с локальными сетями, интерфейс под операционную среду MS-DOS - для работы с распределенными сетями. Последний тип ПО никак не может считаться передовым, поскольку усложняет работу оператора и накладывает дополнительные ограничения на свое использование.

Многоканальность

Наличие или отсутствие функции одновременной работы с несколькими каналами очень часто является определяющим при классификации анализатора. Как известно, в классе протокольных анализаторов выделяют подкласс с более богатыми функциональными и исследовательскими возможностями (Research and Development, или R&D Analyzers). В качественных моделях анализаторов поддержка работы с несколькими каналами обычно подразумевает наличие дополнительной функции имитации. Эта функция в совокупности с многоканальностью позволяет использовать анализатор одновременно в качестве генератора проверочных последовательностей и тестирующего оборудования. Следует отметить, что далеко не все анализаторы, представленные на рынке ( а их более десятка! ), поддерживают многоканальность.

Анализаторы компаний RADCOM и Wandel&Golterman в полной мере поддерживают эту функцию. Например, RADCOM предлагает очень практичное решение : наличие поддержки одновременной работы с двумя физическими каналами в совокупности с принципом модульности физических интерфейсов позволяют получить практически любую требуемую конфигурацию. Кроме наиболее часто используемой конфигурации - интерфейс локальной сети плюс интерфейс распределенной - можно использовать интерфейсы двух локальных или двух распределенных сетей.

Модель Fireberd 300 фирмы TTC позволяет одновременно работать c каналами распределенных и локальных сетей, но не более чем с одним видом в определенный промежуток времени. Этот анализатор не может одновременно тестировать два различных сегмента локальной сети или два канала связи распределенной сети. Сетевые администраторы лишаются очень важной и естественной возможности - анализировать трафик смежных сегментов сети, а при необходимости - генерировать проверочные последовательности на одном сегменте сети и проверять их на соседнем средствами одного устройства. Модели Sniffer компании Network General и J2300A компании Hewlett-Packard не поддерживают одновременную работу с несколькими каналами. На момент написания статьи компания Hewlett-Packard объявила, что поддержка функции многоканальности должна быть реализована ею в ближайшее время. Однако стоит учитывать тот факт, что не всегда новые продукты отвечают требованиям, исходя из которых они создавались, и может пройти некоторое время, прежде чем будут устранены их недостатки и проведены доработки.

Интеграция с персональным компьютером

Составной частью любого анализатора протоколов является персональный компьютер (класс тестеров физического уровня выходит за рамки рассмотрения данной статьи). Известны два принципиальных подхода к организации взаимодействия между анализатором протоколов и ПК. Первый состоит в интеграции анализатора и компьютера на базе единого устройства, второй, более современный, - в их совместном использовании, как независимых составляющих. В последнем случае удается строго разделить функции, выполняемые каждым устройством. Такой подход позволяет осуществлять независимую модернизацию составляющих и является особенно актуальным при существующем развитии компьютерных технологий.

Анализаторы могут быть аппаратно реализованы как внутренняя плата для персонального компьютера и как отдельное устройство. Крупный недостаток анализаторов, реализованных в виде внутренней платы, может проявиться при желании переставить его в ПК с другой шиной. Для анализаторов Sniffer даже существуют подразделения на Type I, Type II, Type III, которые предназначены для шин ISA, EISA и т.д. Еще одним ограничением, которое связано с таким подходом, является требование двух свободных слотов, что особенно критично для компьютеров типа Notebook. Более распространенным подходом является реализация анализатора протоколов в виде отдельного устройства. Из этого направления, в свою очередь, можно выделить случаи интеграции функций анализатора и персонального компьютера. В анализаторе DA-30 фирмы Wandel&Golterman используется встроенный PC 386/16Mhz, а в модели Fireberd 500 фирмы ТТС - PC 486/33Mhz. При существующем развитии компьютерных технологий такой подход может стать серьезным недостатком, поскольку практически исключает возможность увеличения мощности или обновления компьютера.

Наиболее жизнеспособным и рентабельным считается подход, обеспечивающий выполнение специальных операций (захвата, декодирования, эмуляции) с помощью средств независимого устройства, а отображение и обработку результатов сетевого тестирования - средствами отдельного персонального компьютера. Компания RADCOM использует архитектурный подход, в котором функции анализатора протоколов и компьютера строго разделены. Компьютер соединяется с анализатором через параллельный порт и служит для управления и отображения результатов сетевого тестирования. При таком подходе снимаются какие-либо ограничения на используемый компьютер (единственное накладываемое ограничение - требование поддержки MS-Windows).

Портативность

Размер и вес - это те параметры, которые не являются существенными для "тяжелого" сетевого оборудования, устанавливаемого стационарно, но, наоборот, важны при использовании протокольного анализатора. Проблема может возникнуть в любом сегменте сети, и чем компактнее и легче анализатор, тем удобнее он будет в эксплуатации. Использование параллельной RISC-архитектуры и процессора Intel 960i позволило компании RADCOM добиться высокой производительности при портативности моделей по размеру и весу. При размере 21,6х27,8х2,5 см (сопоставимо с размерами книги формата А4 объемом 100 страниц) анализатор весит всего 1,5 кг. По данному параметру этот анализатор сопоставим только с моделью Domino, минимальный вес которой составляет 1,3 кг для одноканальной и 2,6 кг для двухканальной модификации. Sniffer сложно охарактеризовать по этому параметру, так как его весовые характеристики полностью зависят от используемого с ним компьютера. Другие анализаторы протоколов обычно в полтора-два раза больше и весят около 8 кг.

Соотношение цены и предоставляемых услуг

Этот критерий является определяющим при выборе пратически любого оборудования. Однако было бы правильнее рассматривать соотношение цены и требуемых функций. Такой подход к выбору анализаторов протоколов является более оправданным, поскольку позволяет платить деньги только за жизненно необходимые функции, имея возможность их расширения по мере возникновения потребностей. Большинство рассматриваемых моделей находятся в одних ценовых рамках, поэтому при выборе анализатора следует обращать внимание прежде всего на схему ценообразования.

Наиболее оправданным является подход минимального базового комплекта аппаратного и программного обеспечения, который может быть дополнен требуемым и физическими интерфейсами и пакетами дешифровки или имитации протоколов. Подводными камнями в этом случае станут технические особенности каждого анализатора. Остановимся на одном показательном примере. Модели Fireberd 500 для работы с локальными сетями требуются разные физические интерфейсы для Token Ring и Ethernet. Таким образом, чтобы получить возможность анализа любой комбинации сегментов (Token Ring /Ethernet, Token Ring/Token Ring или Ethernet/Ethernet), вместо двух требуется четыре физических интерфейса анализатора.

Перспективы дальнейшего использования

Каждый из представленных на рынке телекоммуникаций анализаторов протоколов имеет свои преимущества. Анализаторы Fireberd 300 и 500 поддерживают стандарт RMON; J2300A и Sniffer имеют встроенную экспертную систему; продукты компании RADCOM, а также анализаторы Domino, DA-30 могут независимо работать с каналами локальных и распределенных сетей. К недостаткам анализаторов следует отнести отсутствие поддержки того или иного протокола, что весьма существенно для частного случая, но может быть исправлено сравнительно просто - обновлением программного обеспечения. Исправление недостатков, связанных с аппаратной базой анализатора, требует замены или доработки самого устройства. Поэтому при выборе анализатора протоколов всегда следует обращать внимание на современность его архитектуры, а также его расширяемость и возможности применения к развивающимся перспективным технологиям.

ЗАКЛЮЧЕНИЕ

Для обеспечения защищенности сети, недостаточно только установление аппаратных и программных средств и считать что вы защитились от всего. С каждым днем разрабатываются новые аппаратные и программные средства. Технологии и программы стареют на глазах. Тем более если в вашей сети установлены WWW, FTP, POP, SMTP сервера которые работают с реальными ip адресами и видны с «мира» при трассировке или при отправке «пингов» задача защищенности опять усложняется.

Самым ответственным звеном в обеспечении защиты сети являются администраторы сети или как сейчас часто употребляют администратор по безопасности. Администратор должен всегда следить за событиями в сети, смотреть журналы событий, подключений, ошибок а также следить за трафиком. Самыми распространенными и высоко защищенными ОС считаются Unix/Linux системы. А на этих системах приходиться делать все в ручную. Тут нет кнопки на которую можно нажать, нет панели управления где можно все настроить, только команды и пакеты(RPM).

Облегчают эти кропотливые работы администраторов повышением степени защищенности и удобностью пользования устройства называемые сетевыми анализаторами. Современные анализаторы протоколов WAN/LAN/ATM позволяют обнаружить ошибки в конфигурации маршрутизаторов и мостов; установить тип трафика, пересылаемого по глобальной сети; определить используемый диапазон скоростей, оптимизировать соотношение между пропускной способностью и количеством каналов; локализовать источник неправильного трафика; выполнить тестирование последовательных интерфейсов и полное тестирование АТМ; осуществить полный мониторинг и декодирование основных протоколов по любому каналу; анализировать статистику в реальном времени, включая анализ трафика локальных сетей через глобальные сети.

Список источников:

1. http://i2r.rusfund.ru/static/452/out_15653.shtml (Библиотека I2R).

1. http://www.osp.ru/lan/1999/12/008_print.htm (Игорь Иванцов)

1. Журнал "LAN", #12, 1999 год // Издательство "Открытые Системы"

1. http://www.opennet.ru

1. Леонтьев Б.К. «Крэкинг без секретов». М: «Компьютерная литература», 2001 г.

18