Kiến thức Network Recorder thiết bị chuyên dùng cho việc giám sát phân tích mạng Nguyên lý hoạt động thiết bị bắt tất gói tin qua lưu trữ lại, phục vụ cho việc xử lý cố hay cung cấp chứng sai phạm người dùng Trước đây, phần lớn doanh nghiệp sử dụng giải pháp giám sát phần mềm, nhiên việc không mang lại hiệu mong đợi với số thiếu sót điển sau: • Kích thước nhớ đệm nhỏ Các phân tích truyền thống bắt gói với số lượng ít, nhớ đệm đầy, ngừng việc bắt gói bắt đầu ghi đè lên gói tin trước Điều làm gói tin quan trọng cho q trình phân tích • Dữ liệu rời rạc Dữ liệu thu thập từ phần mềm thường nằm rời rạc, gây thêm khó khăn cho việc phân tích, đặc biệt phân tích vấn đề bảo mật hay ứng dụng đặc biệt • Khả giám sát nhiều vị trí lúc kết hợp liệu liên quan bị giới hạn Việc có nhìn tổng quan nơi có kết nối dự phịng, cân tải (load-balancing) hay luồng bất đối xứng bị hạn chế • Khả phân tích từ xa Khơng phải lúc có hỗ trợ từ chuyên gia, việc có khả phân tích từ xa giúp khắc phục điểm yếu Điều cốt yếu để giải vấn đề hệ thống mạng việc hiển thị thơng tin, liệu gói tin Trong số trường hợp, bạn cần phải có giúp đỡ từ Network Recorder tốt: • Trong q trình hợp hay ảo hóa trung tâm liệu Khi số lượng máy chủ trung tâm liệu phải “gánh” lượng truy cập nhiều Lưu lượng liệu tăng tất phân đoạn, bao gồm phân đoạn hoạt động tốc độ cao, lên đến 10 Gbps Lưu lượng liệu từ phân đoạn nhanh chóng làm tràn nhớ đệm thiết bị bắt gói, hậu có gói tin giữ lại để phục vụ cho việc phân tích • Trong hệ thống mạng hoạt động ổn định Dù hệ thống mạng hoạt động ổn định, vấn đề xuất không liên tục thời điểm Cách để tìm bất ổn phải bắt tất gói tin lưu trữ chúng để phục vụ cho việc phân tích giám sát sau • Xuất hành động cố tình truy cập trái phép vào hệ thống mạng Ngay với hệ thống IDS/IPS tốt bỏ sót sai phạm Các xâm nhập thường xảy ngồi làm việc phát tất gói tin lưu giữ lại Đội vận hành bảo mật hệ thống mạng phải hiểu rõ phương thức xâm nhập trái phép cách phân tích chi tiết bên gói tin để có biện pháp đối phó với trường hợp tương tự tương lai • Nhân viên sử dụng mạng cơng ty sai mục đích (như tải xem phim trực tuyến) Khả tái tạo lại đoạn video giúp cung cấp chứng để xử lý sai phạm 1/3 Kiến thức Những nguy khơng có Network Recorder tốt Khơng có Network Recorder, có lại thiếu tính quan trọng vấp phải vấn đề sau: • Phát nhầm: tình lúc đầu ta nhận định cố sau xem xét chi tiết, lại phát vấn đề vơ hại • Bỏ sót lỗi: vấn đề khơng phát khơng có chứng có làm • Sự đùn đẩy trách nhiệm bên có liên quan: không đủ chứng để xác định cốt lõi vấn đề, khơng có phận chấp nhận lỗi phận phụ trách • Bỏ qua lỗi xuất gián đoạn: loại lỗi xảy hệ thống, nhiên thời điểm sử dụng thiết bị phân tích di động lại khơng phát vấn đề • Giao diện sử dụng khơng thân thiện: có đủ gói tin lưu trữ khơng phát vấn đề, giao diện Network Recorder phức tạp, gây khó khăn cho người dùng Chúng ta giảm thiểu rủi ro lắp đặt (hoặc nhiều) Network Recorder Điều quan trọng phải rà sốt thơng số kỹ thuật Network Recorder để phù hợp với nhu cầu doanh nghiệp Sau số câu hỏi cần  đặt ra: • Có điểm hệ thống mạng đánh giá quan trọng nhạy cảm với hiệu suất mạng, có ảnh hưởng trực tiếp đến hoạt động kinh doanh? Hãy xác định số lượng Network Recorder để lưu trữ lưu lượng liệu điểm • Lưu lượng băng thông điểm? Cần đảm bảo Network Recorder lắp đặt bắt lưu trữ gói tin với tốc độ cao mà khơng bị gói • Cần bắt gói lần để đảm bảo phát tất kiện xảy ra? Hãy nhân thời gian với ước tính mức độ sử dụng hệ thống mạng Cần Network Recorder có đủ khả bắt gói lưu trữ tất số lượng liệu Ngồi ra, phải để dành khoảng 30% không gian ổ cứng cho hệ điều hành ứng dụng khác • Có cách để tránh việc ghi đè ổ cứng bị đầy nhằm bảo vệ liệu quan trọng? Dữ liệu Network Recorder thường ghi theo dạng khối Liệu Network Recorder có khả khóa khối liệu để chống tượng ghi đè? • Đã có đủ hệ thống lưu trữ dự phòng cho trường hợp bị hỏng ổ cứng? • Cần hay khơng lọc hiệu để hạn chế số lượng gói tin bắt lại? Khi bắt gói, số gói tin xuất lặp lặp lại nhiều lần Nếu hệ thống bắt gói có khả lọc giúp tiết kiệm công suất tránh gây lúng túng cho người quản trị với lượng gói tin q lớn • Liệu có cần lọc hiển thị để hỗ trợ cho việc phân tích sau bắt gói? Ví dụ, bạn cần quan tâm loại gói tin liên quan đến VoIP, số điện thoại người gọi người nhận cụ thể, hay vấn đề đặc biệt VoIP • Khả phân tích hiển thị kết có thân thiện với người dùng hay khơng? Đây điều quan trọng khơng phải lúc có 2/3 Kiến thức “chuyên gia” mạng để sử dụng Network Recorder • Về khả linh hoạt với phiên gắn rack di động? Thông thường, lựa chọn tốt Network Recorder gắn rack dành cho phân đoạn mạng quan trọng Loại di động thường dùng để kết nối tạm thời đến phân đoạn khác nhằm phân tích xảy cố Kết luận: Có vấn đề nghiêm trọng lại xảy cách gián tiếp không liên tục hệ thống mạng Network Recorder công cụ hữu hiệu giúp phát phân tích lỗi Tuy nhiên, điều quan trọng phải xem xét thật kỹ thông số kỹ thuật để đầu tư cho Network Recorder hợp lý Với thông tin cung cấp viết này, hy vọng giúp quản trị viên chọn Network Recorder phù hợp để phân tích vấn đề giải cố gián đoạn hệ thống mạng Vũ Quang Minh Theo Fluke Networks 3/3