BPD: Verkon palvelujen ja järjestelmien valvontatyökaluja Sisältö: BPD: Verkon palvelujen ja järjestelmien valvontatyökaluja o Johdanto o Valvonnan suunnittelu o Valvonnan eri tekniset menetelmät Eri menetelmien hyviä ja huonoja puolia: o Valvontajärjestelmien ylläpito o Valvontatyökaluja Itsetehdyt skriptit Langattomat verkot Airwave Cisco WCS 7signal Sapphire Big Sister Tiedonkeruu ja esittäminen kuvaajina Cacti Cricket MRTG RRDTool Lokien keruu ja käsittely Kiwisyslog Splunk Palvelujen/palvelinten valvonta Nagios (myös Icinga) Munin Zabbix ManageEngine, OpManager ManageEngine, DeviceExpert MetaNav Netdisco Tietoturva Nfsen/Nfdump Snort Rancid Smokeping What's UP Zino o Funetin tarjoamia työkaluja Funet-tutkain Palvelujen tila Johdanto Valvonnan tavoitteet: Havaitaan viat omilla valvontavälineillä eikä asiakaspalautteen kautta ja ennen kuin varajärjestelykin vikaantuu. Saadaan tietoa pidemmän aikavälin seurannan ja raportoinnin raaka-aineeksi (tilastointi). Ongelmatilanteiden jälkeen pystytään kerätyn materiaalin avulla analysoimaan ongelman syitä ja välttämään vastaavat tilanteet tulevaisuudessa. Väärinkäytösten havaitseminen vaikutusten lieventämiseksi. Mitä valvotaan: verkkopalvelujen ja järjestelmien toimivuutta, käyttömääriä ja ympäristöparametreja. Edellytykset: Ymmärretään mitä ja miten palvelusta kannattaa valvoa ja erityisesti mitä ei. Selkeä tilaus valvonnalle on olemassa; Jos palvelu ei kiinnosta johtoa, sen ylläpitoa ei ole organisoitu eikä loppukäyttäjistä tarvitse välittää, on valvontakin turhaa. Valvonnan suunnittelu Valvontaa suunnitellessa täytyy olla eri osapuolten (valvonnan asiakkaan/käyttäjän ja ylläpitäjän) kesken selkeä käsitys siitä mitä pitäisi valvoa ja miten, varsinkin silloin kun palveluja ja järjestelmiä on paljon (kymmeniä - satoja - tuhansia). Muuten valvonnan käyttöönotto jää helposti puolitiehen tai ei pysy muutosten perässä, ja hyödyt panostuksesta jäävät saavuttamatta. Epäselvyydet näissä asioissa ovat johtaneet ainakin seuraavanlaisiin ongelmiin: Palvelua tai järjestelmää ei valvota lainkaan, koska se on esim. toiminut liian hyvin (tai huonosti) ja siksi (aktiivisesti) unohtunut. Esimerkiksi ei valvota vmwarevirtuaalipalvelimien kellonaikaa, koska sen tahdissa pitäminen vaatisi muutoksia oletuskonfiguraatioon. Valvotaan väärää asiaa, koska ei ollut joko valvonnan tilaajan tai toteuttajan tai kummankaan puolella ymmärretty mistä on kyse ja mitä voisi tai pitäisi valvoa. Esimerkiksi valvotaan vain palvelun yhtä järjestelmäkomponenttia mutta ei koko palvelua. Tärkeät hälytykset hukkuvat väärien hälytysten tulvaan. Esimerkiksi hälytysrajoja ei ole laitettu oikein tai esim. hälytykset levytilan vähenemisestä menevät palvelinylläpidolle, vaikka palvelua ylläpitää joku muu taho jolle hälytykset kuuluisivat. Valvonnan toteutusta suunnitellessa kannattaa yrittää huomioida muutkin näkökulmat kuin ylläpidon, joka palvelunsa tai järjestelmänsä valvonnankin joutuu ainakin speksaamaan. Huomioitavia eri näkökulmia ovat ainakin seuraavat: Ylläpitoa kiinnostaa lähinnä selkeiden vikojen ja redundanssin vähenemisen yms. havaitseminen ja rajaaminen kaikista omalla vastuullaan olevista palveluista ja järjestelmistä. Loppukäyttäjää kiinnostaa yleensä vain toimiiko palvelu oikein vai ei. Kannattaa siis toteuttaa yksittäisten komponenttien valvonnan lisäksi myös sellainen valvontamenetelmä, joka kertoo loppukäyttäjän näkökulmasta toimiiko palvelu vai ei. Johtoa pitäisi kiinnostaa palvelujen toimivuuden kehittäminen, käytön seuranta (tarpeellisuuden harkinta) yms. Toimivuuden valvomiseksi hankitut mittaustiedot järjestelmistä voivat olla hyödyllisiä tässä seurannassa, joten ne kannattaa ehkä vähintäänkin kerätä talteen raportointityökaluja varten. Valvonnan suunnittelu ja jatkuvuuden turvaaminen on vaativaa ja erityisesti silloin, kun valvontaa toteutetaan keskitetysti isolle joukolle palveluja ja järjestelmiä. Kaikilla valvotuilla järjestelmillä ja palveluilla pitää olla ylläpitoprosessi, jotta valvonnasta on hyötyä. Toimiva menetelmä valvonnan suunnitteluun on liittää se tiukasti osaksi ylläpitoprosesseja. Valvonnan eri tekniset menetelmät Palveluja ja järjestelmiä voi valvoa: valvontajärjestelmä testaa toimiiko palvelu (esim. vastaako www-palvelu http-kyselyihin) tai kyselee järjestelmältä sen tilan (onko tiedostojärjestelmä täyttynyt) jne. järjestelmien ja palvelujen itsestään antamia tietoja seuraamalla (lokimerkinnät, snmp trapit yms. viestit). Eri menetelmien hyviä ja huonoja puolia: Valvontajärjestelmällä tehtävillä tarkastuksilla on yleensä helpompi saada luotettavaa tietoa valvontakohteen tilasta tarkastushetkellä. Tarkastuksen onnistumiseen ja erityisesti epäonnistumiseen voidaan reagoida valvontajärjestelmässä välittömästi, esimerkiksi tekemällä N kpl varmentavia tarkastuksia ennen hälytyksen antamista. Valvottavan järjestelmän itsensä antamat tiedot (lokiviestit ym.) saattavat olla vähemmän luotettavia, koska viestejä voi hukkua ennen kuin ne saavuttavat valvontajärjestelmän. Valvontajärjestelmässä voi myös olla sellainen vikatilanne, että järjestelmä ei lähetä vikailmoituksia. Huonoja puolia valvontajärjestelmällä tehtävissä tarkastuksissa verrattuna valvontakohteiden itsensä lähettämiin viesteihin on viive vian havaitsemisessa ja tarkastusten aiheuttama kuormitus. Pelkkä vikailmoitusten käsittely vaatii yleensä vähemmän resursseja kuin jatkuva toimivuuden aktiivinen tarkastaminen. Valvottava järjestelmä itse voi myös havaita vian ja lähettää ilmoituksen siitä nopeammin kuin silloin tällöin ulkopuolelta tehtävä tarkastus. Järjestelmiä kannattaa välttää ylikuormittamasta tarpeettomalla valvonnalla. Valvontajärjestelmien ylläpito Unohdusten ja virheiden välttämiseksi tulisi pyrkiä siihen, että uudet laitteet riittää lisätä yhteen paikkaan, josta kaikki valvontajärjestelmät hakevat tietonsa. Laitteiden poistaminen muistuu yleensä mieleen viimeistään siinä vaiheessa, kun laitteen tavoittamattomuudesta tulee hälytys. Valvontatyökaluja Alla on lueteltu vuonna 2010 Funet-jäsenille tehdystä verkonvalvontakyselyn tuloksia. Työkalusta on kerrottu ensin lyhyt kuvaus ja käyttökokemuskommentteja mitä kyselyn vastaajat ovat kertoneet. Kyselyn kysymykset ja raportti tuloksista on saatavilla AccessFunetin wiki-sivuilta. Koska kyselyn vastaajamäärä oli melko pieni, tuloksista ei voida nähdä miten suosittuja eri työkalut ovat. Itsetehdyt skriptit Monet Funet-jäsenet käyttävät itsetehtyjä skriptejä tai työkaluja. Koska on useita erilaisia verkkoympäristöjä, markkinoilla olevilla työkaluilla ei välttämättä saada valvontaan juuri niitä tietoja mitä tarvitaan tai halutaan. Tällaisiin tilanteisiin itsetehdyt skriptit voivat olla oikea työkalu tai apuväline. Lisäksi niitä voidaan käyttää apuna jos kaksi eri järjestelmää tai ohjelmistoa eivät keskustele keskenään suoraan. Skriptien avulla pystytään automatisoimaan joitain toimintoja, kuten esimerkiksi tiedon poiminta tai tulosten muokkaaminen sellaiseen muotoon, että se on luettavissa jollain toisella työkalulla. Käytettäessä itsetehtyjä skriptejä, on niiden suunnitteluun varattava aikaa ja otettava huomioon erilaisia asioita, kuten: mitä tietoja ja miten skripteillä halutaan tuottaa skriptien kirjoitushetkellä tehdään helposti oletuksia, jotka eivät myöhemmin olekaan enää voimassa. skriptien käytettävyys, laajennettavuus ja tietoturva ympäristön muuttuessa ketkä kaikki pystyvät ja osaavat käyttää skriptejä ketkä pystyvät korjaamaan mahdolliset myöhemmin havaitut tietoturva-aukot miten hallitaan tieto kaikista käytössä olevista skripteistä mitkä skripteistä ovat tarpeellisia ja mitkä niiden riippuvuudet keskenään sekä ympäristöön ovat millä skriptikielillä skriptejä tehdään, löytyykö myöhemminkin osaamista ja tukea Langattomat verkot Airwave Langattoman verkon tukiasemien ja kontrollerien valvonta sekä käyttäjästatistiikka. Kaupallinen ohjelmisto. Toimii standalone-tukiasemien kanssa paremmin, kuin WLAN-kontrollerien kanssa. Kontrollerien kanssa näyttää satunnaisesti virheellisiä tietoja tai ei tietoja ollenkaan. Airwave Cisco WCS Kaupallinen laitevalmistajakohtainen ohjelmisto 7signal Sapphire Langattoman verkon päästä päähän valvontaan Erilliset aktiiviset sensorit mittaavat radiotietä Laitevalmistajariippumaton Ei tietoa toteutuksista Funet-organisaatioissa Kaupallinen ohjelmisto 7signal Big Sister Verkon monitorointityökalu, mistä on mahdollista saada hälytyksiä vikatilanteista. Avoin lähdekoodi. BigSister Tiedonkeruu ja esittäminen kuvaajina Cacti Työkalu pakettilaskureiden, muistin määrän ym. numeeristen arvojen keräämiseen ja esittämiseen kuvaajina, joiden vaaka-akselina on aika. Avoin lähdekoodi. Esimerkkikohteita ovat esimerkiksi UPSin ja laitetilojen lämpötilan seuranta. Joitakin asioita voi olla vaikea konffata Käyttökelpoinen weathermap-plugin http://www.network-weathermap.com/ Cacti Cricket Monitorointityökalu, tiedonkeruu sekä tulosten esittäminen kuvaajina. Avoin lähdekoodi. Käyttöönotto on helppoa ja MRTG:hen verrattuna löytyy parannuksia. Huonona puolena o Ei ole hälytystoimintoja, vaan ainoastaan monitorointi. o Joissain tapauksissa on havaittu suorituskykyongelmia. o Kehitys hyytynyt vuonna 2004. Cricket MRTG Työkalulla saa tuotettuja kuvaajia mm. liikennemääristä. Avoin lähdekoodi. Monet muut työkalut käyttävät MRTG:tä MRTG RRDTool Työkalulla voi tuottaa kuvaajia mm. liikennemääristä. Avoin lähdekoodi. Suosittu työkalu RRDTool Lokien keruu ja käsittely Kiwisyslog Lokitietojen keräystyökalu. Avoin lähdekoodi. Hyvä työkalu lokitietojen keräämiseen, joita voi analysoida esimerkiksi UNIXkomentoriviltä. Server-versio on kaupallinen. Kiwisyslog Splunk Lokitietojen keräys laitteista. Kaupallinen ohjelmisto. Hyvä lokipalvelin, jota pystyy muokkaamaan tarpeiden mukaiseksi. Ohjelma osaa lähettää hälytyksiä. Monien eri lokien selaaminen samanaikaisesti Lokien indeksointi ja haut Muokattavissa: voi tehdä omia hakuja valmiiksi regexp:eillä Splunk Palvelujen/palvelinten valvonta Nagios (myös Icinga) Soveltuu erityisesti palvelinjärjestelmien ja niillä toimivien palveluiden valvontaan. Avoin lähdekoodi. Monipuolinen, skaalautuva ja muokattava; ei kaikkein helpoin käyttää ja ylläpitää Tekee itse ajastettuja tarkastuksia tai vastaanottaa pelkästään tuloksia. Saatavilla laaja kokoelma valmiita tarkastus-plugineja erilaisten palvelujen ja järjestelmien valvontaan Yksinkertainen rajapinta Nagios-ytimen ja tarkastus-pluginien välillä; helppo toteuttaa omia tarkastus-plugineja Käytettävyys- ym. raportointitoimintoja on, mutta ne ovat hankalia käyttää; esim. CSC:llä on siksi toteutettu raporttien tuottaminen säännöllisinä eräajoina Nagioksen CGI-ohjelmia hyödyntäen. Ei suoraan tukea tarkastuksissa kertyneiden mittaustulosten (esim. /var-tiedostojärjestelmän käyttöaste 19%) tilastointiin ja esittämiseksi kuvaajina; esim. CSC:llä käytetään tähän erillistä kylkiäistä (pnp4nagios). Laaja käyttäjäkunta, tukisopimuksia ostettavissa (Suomestakin) Nagios Icinga on haarautuma Nagioksesta, Nagios-yhteensopiva ja siinä on parempi raportointi ja GUI. Munin Palvelinten valvontaan Avoin lähdekoodi Munin Zabbix Palvelinten ja sovellusten valvontatyökalu. Avoin lähdekoodi. Havaitsee ongelmat nopeasti Saatavilla myös kaupallinen tukisopimus Zabbix ManageEngine, OpManager Verkon, palvelimien ja palveluiden valvontatyökalu. Kaupallinen ohjelmisto. OpManager ManageEngine, DeviceExpert Aktiivilaitteiden konfiguraatiohallinta- ja seurantatyökalu. Kaupallinen ohjelmisto DeviceExpert MetaNav UNINETTin kehittämä työkalu laajojen kampusverkkojen valvontaan. Avoin lähdekoodi. Työläs ottaa käyttöön. Uninettin lähes kaikki asiakkaat käyttävät tätä. Muutamat Funet-jäsenet ovat tutustuneet, mutta ei ole otettu käyttöön. MetaNAV Netdisco Työkalulla pystyy mm. selvittämään verkossa olevien laitteiden sijainnin IP/MAC:n avulla. Avoin lähdekoodi. Osaa piirtää esimerkiksi verkkotopologian. Näyttää monipuoliset inventaariotiedot laitteista Netdisco Tietoturva Nfsen/Nfdump Netflow:n käsittelyyn tarkoitettuja työkaluja. Avoin lähdekoodi. Komentorivityökalu Nfdump kerää ja prosessoi Netflow-dataa. Nfsen on web-pohjainen käyttöliittymä Nfdump-työkalulle. Käyttötarkoituksia liikennemäärien seuranta. väärinkäytösten selvittäminen, matojen tunnistaminen, porttiskannaukset, protokollajakaumat Nfsen Nfdump Snort IDS/IPS-työkalu, joka analysoi liikennettä. Avoin lähdekoodi. Käyttöönotto on helppoa, mutta ylläpito on työlästä. Snort Rancid Verkkolaitteiden konfiguraatioiden varmuuskopiointi ja muutosten vertailu Avoin lähdekoodi Smokeping Palveluiden ja laitteiden saatavuuden ja vasteaikojen mittaus. Avoin lähdekoodi. Kätevä työkalu, joka visualisoi hyvin viivetilanteet ja osaa lähettää sähköpostiin hälytyksiä. Smokeping What's UP Verkon yhteyksien valvonta. Kaupallinen ohjelmisto. Edullinen ja helppokäyttöinen. Osaa piirtää verkkotopologian sekä kerätä erilaisia lokitietoja. Työkaluun on saatavilla laajennuosia ja niitä voi myös itse tehdä. What's UP Zino Työkalu mm. verkkolaitteiden liitäntöjen laskuritietojen keräämiseen ja esittämiseen kuvaajina, joiden vaaka-akselina on aika. Avoin lähdekoodi. Eri tasojen topologiakartat ja yksittäisten liitäntöjen laskurikuvaajat linkitettävissä toisiinsa. Topologiakuvissa linkkien väritys kuormituksen mukaan. Verkkoyhteyksien virheilyn raportointi sähköpostitse koosteina. Osittain viime vuosituhannelta periytyvää (avointa) koodia, käyttää mm. scottya ja Just:ia ( TCL-kirjasto), minkä takia työläs virittää toimimaan. Muokattavissa Perl-, TCL- ja Bourne Shell -skriptauksella. CSC on RPM-paketoinut kaiken tarvittavan ja omat virityksensä. Käytössä luultavasti vain Funetilla, NORDUnetilla ja Uninettillä. Skaalautuu hyvin ainakin 200 reitittimen valvontaan. Zino Funetin tarjoamia työkaluja Funet-tutkain Haavoittuvuuksien etsimiseen verkoista on käytettävissä mm. nessus-ohjelmisto. CSC tarjoaa Funet-käyttäjäorganisaatioille mahdollisuuden tutkia oman verkkonsa tietoturva-aukkoja oman verkkonsa ulkopuolelta Nessus-ohjelmistoa käyttäen. Palvelukuvaus löytyy osoitteesta Tutkain-palvelukuvaus Palvelujen tila im.funet.fi o Yhteyksien laadunmittaus, joka käyttää pingiä. o Julkinen näkymä, joka näyttää Funet-verkonvalvonnan käsityksen asiakkaan Funetyhteyden tilasta. o im.funet.fi Nagioksella toteutettuja valvontanäkymiä (vain Funet-jäsenten saavutettavissa): o Palvelujen tila o Verkkovierailun reaaliaikainen tilanne Funet-reititinverkon valvontanäkymiä: o Weathermap o Looking glass Multicast valvontanäkymä: o Multicast Beacons
© Copyright 2024