Определение подозрительных пакетов, анализ протоколов сети
торое время, прежде
чем будут устранены их недостатки и проведены доработки.
Интеграция с персональным компьютером
Составной частью любого анализатора протоколов является персональный
компьютер (класс тестеров физического уровня выходит за рамки рассмотрения
данной статьи). Известны два принципиальных подхода к организации
взаимодействия между анализатором протоколов и ПК. Первый состоит в
интеграции анализатора и компьютера на базе единого устройства, второй,
более современный, - в их совместном использовании, как независимых
составляющих. В последнем случае удается строго разделить функции,
выполняемые каждым устройством. Такой подход позволяет осуществлять
независимую модернизацию составляющих и является особенно актуальным при
существующем развитии компьютерных технологий.
Анализаторы могут быть аппаратно реализованы как внутренняя плата для
персонального компьютера и как отдельное устройство. Крупный недостаток
анализаторов, реализованных в виде внутренней платы, может проявиться при
желании переставить его в ПК с другой шиной. Для анализаторов Sniffer даже
существуют подразделения на Type I, Type II, Type III, которые
предназначены для шин ISA, EISA и т.д. Еще одним ограничением, которое
связано с таким подходом, является требование двух свободных слотов, что
особенно критично для компьютеров типа Notebook. Более распространенным
подходом является реализация анализатора протоколов в виде отдельного
устройства. Из этого направления, в свою очередь, можно выделить случаи
интеграции функций анализатора и персонального компьютера. В анализаторе DA-
30 фирмы Wandel&Golterman используется встроенный PC 386/16Mhz, а в модели
Fireberd 500 фирмы ТТС - PC 486/33Mhz. При существующем развитии
компьютерных технологий такой подход может стать серьезным недостатком,
поскольку практически исключает возможность увеличения мощности или
обновления компьютера.
Наиболее жизнеспособным и рентабельным считается подход, обеспечивающий
выполнение специальных операций (захвата, декодирования, эмуляции) с
помощью средств независимого устройства, а отображение и обработку
результатов сетевого тестирования - средствами отдельного персонального
компьютера. Компания RADCOM использует архитектурный подход, в котором
функции анализатора протоколов и компьютера строго разделены. Компьютер
соединяется с анализатором через параллельный порт и служит для управления
и отображения результатов сетевого тестирования. При таком подходе
снимаются какие-либо ограничения на используемый компьютер (единственное
накладываемое ограничение - требование поддержки MS-Windows).
Портативность
Размер и вес - это те параметры, которые не являются существенными для
"тяжелого" сетевого оборудования, устанавливаемого стационарно, но,
наоборот, важны при использовании протокольного анализатора. Проблема может
возникнуть в любом сегменте сети, и чем компактнее и легче анализатор, тем
удобнее он будет в эксплуатации. Использование параллельной RISC-
архитектуры и процессора Intel 960i позволило компании RADCOM добиться
высокой производительности при портативности моделей по размеру и весу. При
размере 21,6х27,8х2,5 см (сопоставимо с размерами книги формата А4 объемом
100 страниц) анализатор весит всего 1,5 кг. По данному параметру этот
анализатор сопоставим только с моделью Domino, минимальный вес которой
составляет 1,3 кг для одноканальной и 2,6 кг для двухканальной модификации.
Sniffer сложно охарактеризовать по этому параметру, так как его весовые
характеристики полностью зависят от используемого с ним компьютера. Другие
анализаторы протоколов обычно в полтора-два раза больше и весят около 8 кг.
Соотношение цены и предоставляемых услуг
Этот критерий является определяющим при выборе пратически любого
оборудования. Однако было бы правильнее рассматривать соотношение цены и
требуемых функций. Такой подход к выбору анализаторов протоколов является
более оправданным, поскольку позволяет платить деньги только за жизненно
необходимые функции, имея возможность их расширения по мере возникновения
потребностей. Большинство рассматриваемых моделей находятся в одних ценовых
рамках, поэтому при выборе анализатора следует обращать внимание прежде
всего на схему ценообразования.
Наиболее оправданным является подход минимального базового комплекта
аппаратного и программного обеспечения, который может быть дополнен
требуемым и физическими интерфейсами и пакетами дешифровки или имитации
протоколов. Подводными камнями в этом случае станут технические особенности
каждого анализатора. Остановимся на одном показательном примере. Модели
Fireberd 500 для работы с локальными сетями требуются разные физические
интерфейсы для Token Ring и Ethernet. Таким образом, чтобы получить
возможность анализа любой комбинации сегментов (Token Ring /Ethernet, Token
Ring/Token Ring или Ethernet/Ethernet), вместо двух требуется четыре
физических интерфейса анализатора.
Перспективы дальнейшего использования
Каждый из представленных на рынке телекоммуникаций анализаторов протоколов
имеет свои преимущества. Анализаторы Fireberd 300 и 500 поддерживают
стандарт RMON; J2300A и Sniffer имеют встроенную экспертную систему;
продукты компании RADCOM, а также анализаторы Domino, DA-30 могут
независимо работать с каналами локальных и распределенных сетей. К
недостаткам анализаторов следует отнести отсутствие поддержки того или
иного протокола, что весьма существенно для частного случая, но может быть
исправлено сравнительно просто - обновлением программного обеспечения.
Исправление недостатков, связанных с аппаратной базой анализатора, требует
замены или доработки самого устройства. Поэтому при выборе анализатора
протоколов всегда следует обращать внимание на современность его
архитектуры, а также его расширяемость и возможности применения к
развивающимся перспективным технологиям.
ЗАКЛЮЧЕНИЕ
Для обеспечения защищенности сети, недостаточно только установление
аппаратных и программных средств и считать что вы защитились от всего. С
каждым днем разрабатываются новые аппаратные и программные средства.
Технологии и программы стареют на глазах. Тем более если в вашей сети
установлены WWW, FTP, POP, SMTP сервера которые работают с реальными ip
адресами и видны с «мира» при трассировке или при отправке «пингов» задача
защищенности опять усложняется.
Самым ответственным звеном в обеспечении защиты сети являются
администраторы сети или как сейчас часто употребляют администратор по
безопасности. Администратор должен всегда следить за событиями в сети,
смотреть журналы событий, подключений, ошибок а также следить за трафиком.
Самыми распространенными и высоко защищенными ОС считаются Unix/Linux
системы. А на этих системах приходиться делать все в ручную. Тут нет кнопки
на которую можно нажать, нет панели управления где можно все настроить,
только команды и пакеты(RPM).
Облегчают эти кропотливые работы администраторов повышением степени
защищенности и удобностью пользования устройства называемые сетевыми
анализаторами. Современные анализаторы протоколов WAN/LAN/ATM позволяют
обнаружить ошибки в конфигурации маршрутизаторов и мостов; установить тип
трафика, пересылаемого по глобальной сети; определить используемый диапазон
скоростей, оптимизировать соотношение между пропускной способностью и
количеством каналов; локализовать источник неправильного трафика; выполнить
тестирование последовательных интерфейсов и полное тестирование АТМ;
осуществить полный мониторинг и декодирование основных протоколов по любому
каналу; анализировать статистику в реальном времени, включая анализ трафика
локальных сетей через глобальные сети.
Список источников:
1. http://i2r.rusfund.ru/static/452/out_15653.shtml (Библиотека I2R).
2. http://www.osp.ru/lan/1999/12/008_print.htm (Игорь Иванцов)
3. Журнал "LAN", #12, 1999 год // Издательство "Открытые Системы"
4. http://www.opennet.ru
5. Леонтьев Б.К. «Крэкинг без секретов». М: «Компьютерная литература»,
2001 г.
| |  скачать работу |
Определение подозрительных пакетов, анализ протоколов сети |
