Наиболее жизнеспособным и рентабельным считается подход, обеспечивающий выполнение специальных операций (захвата, декодирования, эмуляции) с помощью средств независимого устройства, а отображение и обработку результатов сетевого тестирования - средствами отдельного персонального компьютера. Компания RADCOM использует архитектурный подход, в котором функции анализатора протоколов и компьютера строго разделены. Компьютер соединяется с анализатором через параллельный порт и служит для управления и отображения результатов сетевого тестирования. При таком подходе снимаются какие-либо ограничения на используемый компьютер (единственное накладываемое ограничение - требование поддержки MS-Windows).
Размер и вес - это те параметры, которые не являются существенными для "тяжелого" сетевого оборудования, устанавливаемого стационарно, но, наоборот, важны при использовании протокольного анализатора. Проблема может возникнуть в любом сегменте сети, и чем компактнее и легче анализатор, тем удобнее он будет в эксплуатации. Использование параллельной RISC-архитектуры и процессора Intel 960i позволило компании RADCOM добиться высокой производительности при портативности моделей по размеру и весу. При размере 21,6х27,8х2,5 см (сопоставимо с размерами книги формата А4 объемом 100 страниц) анализатор весит всего 1,5 кг. По данному параметру этот анализатор сопоставим только с моделью Domino, минимальный вес которой составляет 1,3 кг для одноканальной и 2,6 кг для двухканальной модификации. Sniffer сложно охарактеризовать по этому параметру, так как его весовые характеристики полностью зависят от используемого с ним компьютера. Другие анализаторы протоколов обычно в полтора-два раза больше и весят около 8 кг.
Этот критерий является определяющим при выборе пратически любого оборудования. Однако было бы правильнее рассматривать соотношение цены и требуемых функций. Такой подход к выбору анализаторов протоколов является более оправданным, поскольку позволяет платить деньги только за жизненно необходимые функции, имея возможность их расширения по мере возникновения потребностей. Большинство рассматриваемых моделей находятся в одних ценовых рамках, поэтому при выборе анализатора следует обращать внимание прежде всего на схему ценообразования.
Наиболее оправданным является подход минимального базового комплекта аппаратного и программного обеспечения, который может быть дополнен требуемым и физическими интерфейсами и пакетами дешифровки или имитации протоколов. Подводными камнями в этом случае станут технические особенности каждого анализатора. Остановимся на одном показательном примере. Модели Fireberd 500 для работы с локальными сетями требуются разные физические интерфейсы для Token Ring и Ethernet. Таким образом, чтобы получить возможность анализа любой комбинации сегментов (Token Ring /Ethernet, Token Ring/Token Ring или Ethernet/Ethernet), вместо двух требуется четыре физических интерфейса анализатора.
Каждый из представленных на рынке телекоммуникаций анализаторов протоколов имеет свои преимущества. Анализаторы Fireberd 300 и 500 поддерживают стандарт RMON; J2300A и Sniffer имеют встроенную экспертную систему; продукты компании RADCOM, а также анализаторы Domino, DA-30 могут независимо работать с каналами локальных и распределенных сетей. К недостаткам анализаторов следует отнести отсутствие поддержки того или иного протокола, что весьма существенно для частного случая, но может быть исправлено сравнительно просто - обновлением программного обеспечения. Исправление недостатков, связанных с аппаратной базой анализатора, требует замены или доработки самого устройства. Поэтому при выборе анализатора протоколов всегда следует обращать внимание на современность его архитектуры, а также его расширяемость и возможности применения к развивающимся перспективным технологиям.
ЗАКЛЮЧЕНИЕ
Для обеспечения защищенности сети, недостаточно только установление аппаратных и программных средств и считать что вы защитились от всего. С каждым днем разрабатываются новые аппаратные и программные средства. Технологии и программы стареют на глазах. Тем более если в вашей сети установлены WWW, FTP, POP, SMTP сервера которые работают с реальными ip адресами и видны с «мира» при трассировке или при отправке «пингов» задача защищенности опять усложняется.
Самым ответственным звеном в обеспечении защиты сети являются администраторы сети или как сейчас часто употребляют администратор по безопасности. Администратор должен всегда следить за событиями в сети, смотреть журналы событий, подключений, ошибок а также следить за трафиком. Самыми распространенными и высоко защищенными ОС считаются Unix/Linux системы. А на этих системах приходиться делать все в ручную. Тут нет кнопки на которую можно нажать, нет панели управления где можно все настроить, только команды и пакеты(RPM).
Облегчают эти кропотливые работы администраторов повышением степени защищенности и удобностью пользования устройства называемые сетевыми анализаторами. Современные анализаторы протоколов WAN/LAN/ATM позволяют обнаружить ошибки в конфигурации маршрутизаторов и мостов; установить тип трафика, пересылаемого по глобальной сети; определить используемый диапазон скоростей, оптимизировать соотношение между пропускной способностью и количеством каналов; локализовать источник неправильного трафика; выполнить тестирование последовательных интерфейсов и полное тестирование АТМ; осуществить полный мониторинг и декодирование основных протоколов по любому каналу; анализировать статистику в реальном времени, включая анализ трафика локальных сетей через глобальные сети.
Список источников:
1. http://i2r.rusfund.ru/static/452/out_15653.shtml (Библиотека I2R).
2. http://www.osp.ru/lan/1999/12/008_print.htm (Игорь Иванцов)
3. Журнал "LAN", #12, 1999 год // Издательство "Открытые Системы"
4. http://www.opennet.ru
5. Леонтьев Б.К. «Крэкинг без секретов». М: «Компьютерная литература», 2001 г.