Network Recorder và các vấn đề cần quan tâm
Network Recorder là thiết bị chuyên dùng cho việc giám sát và phân tích mạng. Nguyên lý hoạt động của thiết bị này là bắt tất cả các gói tin đi qua nó và lưu trữ lại, phục vụ cho việc xử lý sự cố hay cung cấp các chứng cứ sai phạm của người dùng. Trước đây, phần lớn doanh nghiệp sử dụng các giải pháp giám sát bằng phần mềm, tuy nhiên việc này không mang lại hiệu quả như mong đợi với một số thiếu sót điển hình như sau:
• Kích thước bộ nhớ đệm nhỏ. Các bộ phân tích truyền thống chỉ có thể bắt gói với số lượng ít, và khi bộ nhớ đệm đã đầy, nó sẽ ngừng việc bắt gói hoặc bắt đầu ghi đè lên các gói tin trước. Điều này có thể làm mất đi những gói tin quan trọng cho quá trình phân tích.
• Dữ liệu rời rạc. Dữ liệu được thu thập từ phần mềm thường nằm rời rạc, sẽ gây thêm khó khăn cho việc phân tích, đặc biệt là phân tích các vấn đề bảo mật hay các ứng dụng đặc biệt.
• Khả năng giám sát nhiều vị trí cùng lúc và kết hợp các dữ liệu liên quan bị giới hạn. Việc có được cái nhìn tổng quan ở những nơi có các kết nối dự phòng, cân bằng tải (load-balancing) hay luồng bất đối xứng sẽ bị hạn chế.
• Khả năng phân tích từ xa. Không phải lúc nào cũng có sự hỗ trợ từ các chuyên gia, việc có khả năng phân tích từ xa sẽ giúp khắc phục điểm yếu này.
Điều cốt yếu để giải quyết các vấn đề trong hệ thống mạng là việc hiển thị thông tin, dữ liệu trong gói tin. Trong một số trường hợp, bạn cần phải có sự giúp đỡ từ một Network Recorder tốt:
• Trong quá trình hợp nhất hay ảo hóa trung tâm dữ liệu. Khi đó số lượng máy chủ sẽ ít hơn hoặc các trung tâm dữ liệu phải “gánh” lượng truy cập nhiều hơn. Lưu lượng dữ liệu sẽ tăng ở tất cả các phân đoạn, bao gồm cả những phân đoạn đã và đang hoạt động ở tốc độ rất cao, có thể lên đến 10 Gbps. Lưu lượng dữ liệu từ các phân đoạn này sẽ nhanh chóng làm tràn bộ nhớ đệm của thiết bị bắt gói, hậu quả là có rất ít gói tin được giữ lại để phục vụ cho việc phân tích.
• Trong hệ thống mạng hoạt động ổn định. Dù hệ thống mạng đang hoạt động ổn định, các vấn đề vẫn có thể xuất hiện không liên tục tại bất cứ thời điểm nào. Cách duy nhất để tìm ra những bất ổn là phải bắt tất cả các gói tin và lưu trữ chúng để phục vụ cho việc phân tích giám sát sau này.
• Xuất hiện những hành động cố tình truy cập trái phép vào hệ thống mạng. Ngay cả với những hệ thống IDS/IPS tốt nhất cũng có thể bỏ sót các sai phạm. Các xâm nhập này thường xảy ra ngoài giờ làm việc và chỉ có thể phát hiện khi tất cả các gói tin đều được lưu giữ lại. Đội vận hành và bảo mật hệ thống mạng phải hiểu rõ phương thức xâm nhập trái phép bằng cách phân tích chi tiết bên trong các gói tin để có biện pháp đối phó với các trường hợp tương tự trong tương lai.
• Nhân viên đang sử dụng mạng công ty sai mục đích (như tải hoặc xem phim trực tuyến). Khả năng có thể tái tạo lại các đoạn video sẽ giúp cung cấp bằng chứng để xử lý các sai phạm này.
• Kích thước bộ nhớ đệm nhỏ. Các bộ phân tích truyền thống chỉ có thể bắt gói với số lượng ít, và khi bộ nhớ đệm đã đầy, nó sẽ ngừng việc bắt gói hoặc bắt đầu ghi đè lên các gói tin trước. Điều này có thể làm mất đi những gói tin quan trọng cho quá trình phân tích.
• Dữ liệu rời rạc. Dữ liệu được thu thập từ phần mềm thường nằm rời rạc, sẽ gây thêm khó khăn cho việc phân tích, đặc biệt là phân tích các vấn đề bảo mật hay các ứng dụng đặc biệt.
• Khả năng giám sát nhiều vị trí cùng lúc và kết hợp các dữ liệu liên quan bị giới hạn. Việc có được cái nhìn tổng quan ở những nơi có các kết nối dự phòng, cân bằng tải (load-balancing) hay luồng bất đối xứng sẽ bị hạn chế.
• Khả năng phân tích từ xa. Không phải lúc nào cũng có sự hỗ trợ từ các chuyên gia, việc có khả năng phân tích từ xa sẽ giúp khắc phục điểm yếu này.
Điều cốt yếu để giải quyết các vấn đề trong hệ thống mạng là việc hiển thị thông tin, dữ liệu trong gói tin. Trong một số trường hợp, bạn cần phải có sự giúp đỡ từ một Network Recorder tốt:
• Trong quá trình hợp nhất hay ảo hóa trung tâm dữ liệu. Khi đó số lượng máy chủ sẽ ít hơn hoặc các trung tâm dữ liệu phải “gánh” lượng truy cập nhiều hơn. Lưu lượng dữ liệu sẽ tăng ở tất cả các phân đoạn, bao gồm cả những phân đoạn đã và đang hoạt động ở tốc độ rất cao, có thể lên đến 10 Gbps. Lưu lượng dữ liệu từ các phân đoạn này sẽ nhanh chóng làm tràn bộ nhớ đệm của thiết bị bắt gói, hậu quả là có rất ít gói tin được giữ lại để phục vụ cho việc phân tích.
• Trong hệ thống mạng hoạt động ổn định. Dù hệ thống mạng đang hoạt động ổn định, các vấn đề vẫn có thể xuất hiện không liên tục tại bất cứ thời điểm nào. Cách duy nhất để tìm ra những bất ổn là phải bắt tất cả các gói tin và lưu trữ chúng để phục vụ cho việc phân tích giám sát sau này.
• Xuất hiện những hành động cố tình truy cập trái phép vào hệ thống mạng. Ngay cả với những hệ thống IDS/IPS tốt nhất cũng có thể bỏ sót các sai phạm. Các xâm nhập này thường xảy ra ngoài giờ làm việc và chỉ có thể phát hiện khi tất cả các gói tin đều được lưu giữ lại. Đội vận hành và bảo mật hệ thống mạng phải hiểu rõ phương thức xâm nhập trái phép bằng cách phân tích chi tiết bên trong các gói tin để có biện pháp đối phó với các trường hợp tương tự trong tương lai.
• Nhân viên đang sử dụng mạng công ty sai mục đích (như tải hoặc xem phim trực tuyến). Khả năng có thể tái tạo lại các đoạn video sẽ giúp cung cấp bằng chứng để xử lý các sai phạm này.
Những nguy cơ khi không có Network Recorder tốt
Không có Network Recorder, hoặc nếu có nhưng lại thiếu các tính năng quan trọng sẽ vấp phải những vấn đề sau:
• Phát hiện nhầm: là tình huống lúc đầu ta nhận định đó là sự cố nhưng sau khi xem xét chi tiết, lại phát hiện đó chỉ là vấn đề vô hại.
• Bỏ sót lỗi: là vấn đề không phát hiện được bởi không có bằng chứng hoặc có nhưng chúng ta đã làm mất nó.
• Sự đùn đẩy trách nhiệm của các bên có liên quan: do không đủ chứng cứ để xác định cốt lõi của vấn đề, không có bộ phận nào chấp nhận đó là lỗi do bộ phận của mình phụ trách.
• Bỏ qua lỗi xuất hiện gián đoạn: là loại lỗi đã xảy ra trên hệ thống, tuy nhiên tại thời điểm sử dụng thiết bị phân tích di động thì lại không phát hiện bất cứ vấn đề gì.
• Giao diện sử dụng không thân thiện: mặc dù đã có đủ các gói tin lưu trữ nhưng vẫn không phát hiện được vấn đề, vì giao diện của Network Recorder phức tạp, gây khó khăn cho người dùng.
Chúng ta có thể giảm thiểu rủi ro bằng các lắp đặt một (hoặc nhiều) Network Recorder. Điều quan trọng là phải rà soát các thông số kỹ thuật của Network Recorder để chắc rằng nó phù hợp với nhu cầu của doanh nghiệp. Sau đây là một số câu hỏi cần được đặt ra:
• Có bao nhiêu điểm trong hệ thống mạng được đánh giá là quan trọng và nhạy cảm với hiệu suất mạng, có ảnh hưởng trực tiếp đến hoạt động kinh doanh? Hãy xác định số lượng Network Recorder để lưu trữ lưu lượng dữ liệu tại mỗi điểm như thế.
• Lưu lượng băng thông tại mỗi điểm? Cần đảm bảo rằng Network Recorder được lắp đặt có thể bắt và lưu trữ các gói tin với tốc độ cao nhất mà không bị mất bất cứ gói nào.
• Cần bắt gói bao lâu một lần để vẫn đảm bảo phát hiện tất cả các sự kiện xảy ra? Hãy nhân thời gian này với ước tính mức độ sử dụng của hệ thống mạng. Cần chắc rằng Network Recorder có đủ khả năng bắt gói và lưu trữ tất cả số lượng dữ liệu đó. Ngoài ra, cũng phải để dành khoảng 30% không gian ổ cứng cho hệ điều hành và các ứng dụng khác.
• Có cách nào để tránh việc ghi đè khi ổ cứng bị đầy nhằm bảo vệ các dữ liệu quan trọng? Dữ liệu trong Network Recorder thường ghi theo dạng từng khối. Liệu Network Recorder có khả năng khóa các khối dữ liệu để chống hiện tượng ghi đè?
• Đã có đủ hệ thống lưu trữ dự phòng cho trường hợp bị hỏng ổ cứng?
• Cần hay không một bộ lọc hiệu quả để hạn chế số lượng gói tin được bắt lại? Khi bắt gói, một số gói tin sẽ xuất hiện lặp đi lặp lại nhiều lần. Nếu hệ thống bắt gói có khả năng lọc sẽ giúp tiết kiệm công suất và tránh gây lúng túng cho người quản trị với lượng gói tin quá lớn.
• Liệu có cần bộ lọc hiển thị để hỗ trợ cho việc phân tích sau khi bắt gói? Ví dụ, bạn chỉ cần quan tâm các loại gói tin liên quan đến VoIP, số điện thoại của người gọi hoặc người nhận cụ thể, hay một vấn đề đặc biệt của VoIP.
• Khả năng phân tích và hiển thị kết quả có thân thiện với người dùng hay không? Đây là điều rất quan trọng vì không phải lúc nào cũng có một “chuyên gia” mạng để sử dụng Network Recorder.
• Về khả năng linh hoạt với các phiên bản gắn rack hoặc di động? Thông thường, lựa chọn tốt nhất vẫn là Network Recorder gắn rack dành cho các phân đoạn mạng quan trọng. Loại di động thường dùng để kết nối tạm thời đến các phân đoạn khác nhằm phân tích khi xảy ra sự cố.
Không có Network Recorder, hoặc nếu có nhưng lại thiếu các tính năng quan trọng sẽ vấp phải những vấn đề sau:
• Phát hiện nhầm: là tình huống lúc đầu ta nhận định đó là sự cố nhưng sau khi xem xét chi tiết, lại phát hiện đó chỉ là vấn đề vô hại.
• Bỏ sót lỗi: là vấn đề không phát hiện được bởi không có bằng chứng hoặc có nhưng chúng ta đã làm mất nó.
• Sự đùn đẩy trách nhiệm của các bên có liên quan: do không đủ chứng cứ để xác định cốt lõi của vấn đề, không có bộ phận nào chấp nhận đó là lỗi do bộ phận của mình phụ trách.
• Bỏ qua lỗi xuất hiện gián đoạn: là loại lỗi đã xảy ra trên hệ thống, tuy nhiên tại thời điểm sử dụng thiết bị phân tích di động thì lại không phát hiện bất cứ vấn đề gì.
• Giao diện sử dụng không thân thiện: mặc dù đã có đủ các gói tin lưu trữ nhưng vẫn không phát hiện được vấn đề, vì giao diện của Network Recorder phức tạp, gây khó khăn cho người dùng.
Chúng ta có thể giảm thiểu rủi ro bằng các lắp đặt một (hoặc nhiều) Network Recorder. Điều quan trọng là phải rà soát các thông số kỹ thuật của Network Recorder để chắc rằng nó phù hợp với nhu cầu của doanh nghiệp. Sau đây là một số câu hỏi cần được đặt ra:
• Có bao nhiêu điểm trong hệ thống mạng được đánh giá là quan trọng và nhạy cảm với hiệu suất mạng, có ảnh hưởng trực tiếp đến hoạt động kinh doanh? Hãy xác định số lượng Network Recorder để lưu trữ lưu lượng dữ liệu tại mỗi điểm như thế.
• Lưu lượng băng thông tại mỗi điểm? Cần đảm bảo rằng Network Recorder được lắp đặt có thể bắt và lưu trữ các gói tin với tốc độ cao nhất mà không bị mất bất cứ gói nào.
• Cần bắt gói bao lâu một lần để vẫn đảm bảo phát hiện tất cả các sự kiện xảy ra? Hãy nhân thời gian này với ước tính mức độ sử dụng của hệ thống mạng. Cần chắc rằng Network Recorder có đủ khả năng bắt gói và lưu trữ tất cả số lượng dữ liệu đó. Ngoài ra, cũng phải để dành khoảng 30% không gian ổ cứng cho hệ điều hành và các ứng dụng khác.
• Có cách nào để tránh việc ghi đè khi ổ cứng bị đầy nhằm bảo vệ các dữ liệu quan trọng? Dữ liệu trong Network Recorder thường ghi theo dạng từng khối. Liệu Network Recorder có khả năng khóa các khối dữ liệu để chống hiện tượng ghi đè?
• Đã có đủ hệ thống lưu trữ dự phòng cho trường hợp bị hỏng ổ cứng?
• Cần hay không một bộ lọc hiệu quả để hạn chế số lượng gói tin được bắt lại? Khi bắt gói, một số gói tin sẽ xuất hiện lặp đi lặp lại nhiều lần. Nếu hệ thống bắt gói có khả năng lọc sẽ giúp tiết kiệm công suất và tránh gây lúng túng cho người quản trị với lượng gói tin quá lớn.
• Liệu có cần bộ lọc hiển thị để hỗ trợ cho việc phân tích sau khi bắt gói? Ví dụ, bạn chỉ cần quan tâm các loại gói tin liên quan đến VoIP, số điện thoại của người gọi hoặc người nhận cụ thể, hay một vấn đề đặc biệt của VoIP.
• Khả năng phân tích và hiển thị kết quả có thân thiện với người dùng hay không? Đây là điều rất quan trọng vì không phải lúc nào cũng có một “chuyên gia” mạng để sử dụng Network Recorder.
• Về khả năng linh hoạt với các phiên bản gắn rack hoặc di động? Thông thường, lựa chọn tốt nhất vẫn là Network Recorder gắn rack dành cho các phân đoạn mạng quan trọng. Loại di động thường dùng để kết nối tạm thời đến các phân đoạn khác nhằm phân tích khi xảy ra sự cố.
Kết luận:
Có những vấn đề nghiêm trọng nhưng lại xảy ra một cách gián tiếp hoặc không liên tục trong hệ thống mạng. Network Recorder là công cụ hữu hiệu nhất có thể giúp phát hiện và phân tích những lỗi này. Tuy nhiên, điều quan trọng là phải xem xét thật kỹ các thông số kỹ thuật để đầu tư cho một Network Recorder hợp lý. Với những thông tin cung cấp trong bài viết này, hy vọng sẽ giúp các quản trị viên chọn được một Network Recorder phù hợp để phân tích các vấn đề và giải quyết những sự cố gián đoạn trong hệ thống mạng của mình.
Có những vấn đề nghiêm trọng nhưng lại xảy ra một cách gián tiếp hoặc không liên tục trong hệ thống mạng. Network Recorder là công cụ hữu hiệu nhất có thể giúp phát hiện và phân tích những lỗi này. Tuy nhiên, điều quan trọng là phải xem xét thật kỹ các thông số kỹ thuật để đầu tư cho một Network Recorder hợp lý. Với những thông tin cung cấp trong bài viết này, hy vọng sẽ giúp các quản trị viên chọn được một Network Recorder phù hợp để phân tích các vấn đề và giải quyết những sự cố gián đoạn trong hệ thống mạng của mình.
Vũ Quang Minh
Theo Fluke Networks
Theo Fluke Networks
Không có nhận xét nào:
Đăng nhận xét