Basic HTML Version
[ 14 ] Tháng 1
–
2 2013
G
IÁM SÁT HỆ THỐNG MẠNG
N
etwork Recorder là
thiết bị chuyên dùng
cho việc giám sát và
phân tích mạng. Nguyên lý
hoạt động của thiết bị này là
bắt tất cả các gói tin đi qua
nó và lưu trữ lại, phục vụ cho
việc xử lý sự cố hay cung cấp
các chứng cứ sai phạm của
người dùng. Trước đây, phần
lớn doanh nghiệp sử dụng
các giải pháp giám sát bằng
phần mềm, tuy nhiên việc
này không mang lại hiệu quả
như mong đợi với một số
thiếu sót điển hình như sau:
•
Kích thước bộ nhớ đệm
nhỏ.
Các bộ phân tích truyền
thống chỉ có thể bắt gói với
số lượng ít, và khi bộ nhớ
đệm đã đầy, nó sẽ ngừng
việc bắt gói hoặc bắt đầu ghi
đè lên các gói tin trước. Điều
này có thể làm mất đi những
gói tin quan trọng cho quá
trình phân tích.
Để theo dõi tình hình hoạt động của hệ thống mạng,
đa số các nhà quản lý mạng thường sử dụng giải
pháp giám sát bằng phần mềm (như WireShark)
hay phần cứng (dựa trên giao thức RMON). Các
giải pháp này thường mắc phải một số nhược điểm
không thể tránh khỏi. Sở hữu một Network Recorder
tốt sẽ giúp khắc phục được điều này.
Network Recorder và các
vấn đề cần quan tâm
•
Dữ liệu rời rạc.
Dữ liệu
được thu thập từ phần mềm
thường nằm rời rạc, sẽ gây
thêm khó khăn cho việc phân
tích, đặc biệt là phân tích các
vấn đề bảo mật hay các ứng
dụng đặc biệt.
•
Khả năng giám sát nhiều
vị trí cùng lúc và kết hợp các
dữ liệu liên quan bị giới hạn.
Việc có được cái nhìn tổng
quan ở những nơi có các kết
nối dự phòng, cân bằng tải
(load-balancing) hay luồng
bất đối xứng sẽ bị hạn chế.
•
Khả năng phân tích từ xa.
Không phải lúc nào cũng có
sự hỗ trợ từ các chuyên gia,
việc có khả năng phân tích từ
xa sẽ giúp khắc phục điểm
yếu này.
Điều cốt yếu để giải quyết
các vấn đề trong hệ thống
mạng là việc hiển thị thông
tin, dữ liệu trong gói tin.
Trong một số trường hợp,
bạn cần phải có sự giúp đỡ từ
một Network Recorder tốt:
•
Trong quá trình hợp nhất
hay ảo hóa trung tâm dữ liệu.
Khi đó số lượng máy chủ sẽ
ít hơn hoặc các trung tâm dữ
liệu phải “gánh” lượng truy
cập nhiều hơn. Lưu lượng dữ
liệu sẽ tăng ở tất cả các phân
đoạn, bao gồm cả những
phân đoạn đã và đang hoạt
động ở tốc độ rất cao, có thể
lên đến 10 Gbps. Lưu lượng
dữ liệu từ các phân đoạn này
sẽ nhanh chóng làm tràn bộ
nhớ đệm của thiết bị bắt gói,
hậu quả là có rất ít gói tin
được giữ lại để phục vụ cho
việc phân tích.
•
Trong hệ thống mạng hoạt
động ổn định.
Dù hệ thống
mạng đang hoạt động ổn
định, các vấn đề vẫn có thể
xuất hiện không liên tục tại
bất cứ thời điểm nào. Cách
duy nhất để tìm ra những bất
ổn là phải bắt tất cả các gói
tin và lưu trữ chúng để phục
vụ cho việc phân tích giám
sát sau này.
•
Xuất hiện những hành
động cố tình truy cập trái
phép vào hệ thống mạng.
Ngay cả với những hệ thống
IDS/IPS tốt nhất cũng có
thể bỏ sót các sai phạm. Các
xâm nhập này thường xảy
ra ngoài giờ làm việc và chỉ
có thể phát hiện khi tất cả
các gói tin đều được lưu giữ
lại. Đội vận hành và bảo mật
hệ thống mạng phải hiểu rõ
phương thức xâm nhập trái
phép bằng cách phân tích chi
tiết bên trong các gói tin để
có biện pháp đối phó với các
trường hợp tương tự trong
tương lai.
•
Nhân viên đang sử dụng
mạng công ty sai mục đích
(như tải hoặc xem phim trực
tuyến).
Khả năng có thể tái
tạo lại các đoạn video sẽ giúp
cung cấp bằng chứng để xử
lý các sai phạm này.
Những nguy cơ khi
không có Network
Recorder tốt
Không có Network Recorder,
hoặc nếu có nhưng lại thiếu
các tính năng quan trọng sẽ
vấp phải những vấn đề sau:
•
Phát hiện nhầm:
là tình
huống lúc đầu ta nhận định
đó là sự cố nhưng sau khi
xem xét chi tiết, lại phát hiện
đó chỉ là vấn đề vô hại.
•
Bỏ sót lỗi:
là vấn đề không
phát hiện được bởi không có
bằng chứng hoặc có nhưng
chúng ta đã làm mất nó.
•
Sự đùn đẩy trách nhiệm
của các bên có liên quan:
do không đủ chứng cứ để
xác định cốt lõi của vấn đề,
không có bộ phận nào chấp
nhận đó là lỗi do bộ phận của
mình phụ trách.
•
Bỏ qua lỗi xuất hiện gián
đoạn:
là loại lỗi đã xảy ra trên
hệ thống, tuy nhiên tại thời
điểm sử dụng thiết bị phân
tích di động thì lại không
phát hiện bất cứ vấn đề gì.
•
Giao diện sử dụng không
thân thiện:
mặc dù đã có đủ
các gói tin lưu trữ nhưng vẫn
không phát hiện được vấn
đề, vì giao diện của Network
Recorder phức tạp, gây khó
khăn cho người dùng.