NEXT 6/2009 - 8 krytycznych miejsc w sieci

Każda sieć LAN ma słabe punkty. W artykule wskazujemy, które jej elementy są szczególnie wrażliwe i podpowiadamy, co należy zrobić, by była bezpieczna. [Maciej Koziński]

7. System pod kontrolą

Nawet w najlepiej zaprojektowanej sieci zdarzają się awarie i sytuacje nieprzewidziane. Żeby zmniejszyć czas reakcji na tego rodzaju zdarzenia, należy wdrożyć oprogramowanie monitorujące. System taki pozwala kontrolować serwery i stacje robocze za pomocą różnych systemów operacyjnych, rutery, przełączniki, firewalle, drukarki sieciowe, a także poszczególne usługi i aplikacje, powiadamiać o ich awariach za pomocą e-maila, SMS-a, restartować programy, planować przerwy w pracy, raportować o dostępności serwisów i aplikacji na potrzeby umów serwisowych SLA.

Do tego rodzaju programów należą: bezpłatne Nagios, OpenNMS, Argus, Cacti i BigSister, a także komercyjne CA eHealth, DopplerVue, GroundWork Enterprise (wersja GPL: Community) czy SolarWinds Orion.

8. Backup i bezpieczeństwo danych

Najcenniejszą częścią zasobów sieci są dane. Bez nich jakakolwiek instalacja jest bezużyteczna, zaś samo ich stworzenie pochłonęło mnóstwo czasu i energii. By skutecznie i niedrogo chronić dane, musisz stworzyć politykę i scenariusze zabezpieczenia danych. Obejmują one backup (tworzenie bieżących kopii roboczych) i archiwizację danych.

Wybierz dane do backupu

Aby wybrać dane do backupu, musisz odpowiedzieć na wiele pytań, z których najważniejsze to: utrata jakich danych zagrozi ciągłości pracy twojej firmy? Gdzie znajdują się newralgiczne dane? Skąd tam trafiają? Jaka jest ich objętość? Jak często podlegają zmianom? Na część tych pytań już znasz odpowiedź, część możesz poznać, obserwując działania czy zwyczaje użytkowników, a także uruchamiając oprogramowanie analizujące strukturę plików (ich typ oraz czas, jaki upłynął od ostatniego zapisu).

Strategie backupu

Jaką strategię wybrać? Możliwości jest kilka. Najważniejsze dane powinny być kopiowane na bieżąco. Dotyczy to np. firmowych danych finansowych (księgowość) czy najważniejszych dokumentów. W przypadku danych zgromadzonych na serwerze rolę taką odgrywać będzie macierz dyskowa. W przypadku danych przetwarzanych na pecetach, np. dokumentów tekstowych, arkuszy kalkulacyjnych, możliwe jest ich kopiowanie na bieżąco na serwer, np. do katalogu użytkownika. Umożliwia to np. Novell iFolder – pakiet do automatycznego kopiowania, synchronizacji i współdzielenia plików. Możliwe jest również użycie w tym celu innego programu lub własnego skryptu do synchronizacji zawartości wybranych katalogów z peceta z serwerem.

Urządzenie UTM – tak czy nie?

UTM (Unified Threat Management) to specjalizowane urządzenie brzegowe łączące funkcję rutera dostępowego z firewallem, IPS-em, antywirusem, antyphisherem, filtrem antyspamowym, serwerem web proxy/filtrem treści i bramą VPN. Zapewnia kontrolę dostępu, wykrywanie i blokowanie ataków z sieci oraz przesyłania złośliwego oprogramowania i spamu oraz umożliwia bezpieczne połączenie z zewnątrz za pomocą sieci VPN i uwierzytelnienie użytkowników zdalnych. Ma specjalistyczną architekturę sprzętową pozwalającą uniknąć wąskich gardeł związanych z obciążeniem systemu licznymi funkcjami. Producenci UTM-ów oferują też dodatkowe funkcje, np. pasywny skaner wrażliwości wnętrza sieci SEISMO w urządzeniach UTM firmy NETASQ, wykrywający również wszystkie aplikacje na stacjach roboczych łączących się z siecią, bez względu na to, czy są one wrażliwe na zagrożenia, czy też nie. UTM nie jest prostą integracją sprzętu i oprogramowania – zawiera wartość dodaną w postaci optymalizacji wydajności, łatwości zarządzania (prosty w obsłudze interfejs WWW), uaktualnianie danych (np. sygnatur wirusów) automatycznie przez dostawcę. Zazwyczaj okazuje się tańszy w utrzymaniu od rozproszonej infrastruktury bezpieczeństwa i nie wymaga od użytkownika nakładu pracy, co czyni go wygodnym dla małych i średnich firm. Wadą UTM jest przekonanie, że jest on remedium na wszelkie zagrożenia, pominięcie zagrożeń z wnętrza firmy oraz niemożność przeszukania zaszyfrowanych załączników pocztowych. Możliwości UTM mogą też różnić się jakością – użytkownik nie może ich wymienić we własnym zakresie. Urządzenia UTM oferują m.in. Cisco, CheckPoint, Juniper, SonicWall, FunkWerk, NETASQ, Fortinet, Nokia.

Wykorzystanie tej metody w przypadku PC częściowo zwalnia cię od kłopotliwego instalowania agentów backupu na każdym z komputerów. Wystarczy, że określisz obszary chronione (synchronizowane) i uruchomisz program synchronizujący wraz ze startem systemu operacyjnego na stacji roboczej. Dodatkową zaletą metody backupu polegającej na synchronizacji jest jej natychmiastowy charakter – wszelkie zmiany w danych są uwzględniane natychmiast, utrata źródłowego nośnika praktycznie nie powoduje strat w danych. Dane kopiowane są też w niewielkich porcjach (mogą to też być kopie delta), co w niewielkim stopniu obciąża sieć. Wadą jest wysoki koszt i uzależnienie od sprawności sieci. Backup online nie chroni przed błędami użytkowników – przypadkowe skasowanie plików czy działalność złośliwego oprogramowania natychmiast ma wpływ na treść kopii zapasowej. Skuteczny scenariusz zabezpieczenia stacji roboczej wymaga wykonania co jakiś czas snapshotu. Może być on jednak wykonany z kopii przechowywanej na serwerze.

Jeśli serwer nie ma miejsca na więcej dysków, możesz wykorzystać urządzenie NAS (Network Attached Storage). Tego specjalizowanego serwera plików możesz użyć do szybkiego backupu danych zarówno z serwerów (okresowo), jak i stacji roboczych (online). Jeśli zamierzasz używać NAS wyłącznie do celów backupu danych – a więc sekwencyjnego zapisu i odczytu – nie musisz kupować droższych dysków i kontrolera SCSI – wystarczą napędy SATA.

Kiedy kluczowy jest czas...

Backup planowany wymaga wyznaczenia okna czasowego, tj. przedziału czasu, w którym możliwe jest – bez szkody dla użyteczności instalacji – skopiowanie, skompresowanie i rozmieszczenie znacznej ilości danych na nośnikach. Wybierając okno czasowe, należy wziąć pod uwagę potężne transfery dyskowe i sieciowe, dlatego zazwyczaj najlepszą porą na backup serwerów jest środek nocy. Wybór typu backupu (pełny, przyrostowy, różnicowy) podyktowany jest czasem, jaki możemy przeznaczyć na backup, oraz wielkością posiadanego miejsca.

Zazwyczaj backup serwerów odbywać się będzie metodą disk-to-disk-to-tape, co oznacza, że sporządzana kopia danych zostanie najpierw zapisana na szybkim nośniku, a dopiero później przeniesiona na znacznie wolniejszą taśmę. Skraca to czas pracochłonnego opracowania i zapisu właściwej kopii, która – jeśli ma efektywnie wykorzystywać zasoby – powinna być skompresowana i zaplanowana, tak by najlepiej zmieścić poszczególne pliki archiwalne na taśmach. Do sporządzenia kopii zapasowych pod Linuksem możesz użyć oprogramowania w rodzaju Amanda, Bacula czy Mondo Rescue.

Jeżeli nie masz w swojej sieci specjalistycznego serwera backupu, możesz wykonać prowizoryczną instalację, udostępniając fragmenty dysków poszczególnych stacji roboczych innym stacjom jako ich dyski sieciowe (np. Y: i Z: – każda stacja powinna mieć po dwa miejsca docelowe) i kopiując tam dane na bieżąco albo w zaplanowanym czasie. Ostatnim sposobem archiwizacji jest skorzystanie z usług firm (np. Mozy, iDrive), które oferują backup online przez internet. Jest wygodne i skuteczne, jednak sprawdza się tylko przy małej ilości kopiowanych danych.

Ocena:    (aby ocenić, musisz się zalogować w serwisie)

 del.icio.us |  Wykop mnie |  Digg this story |  dodajdo.com

• Firmowa sieć LAN zawsze bezpieczna »
  pełne wersje
• Bezpieczna sieć w firmie »
  raport: IT w MSP siec LAN
• W firmowej sieci LAN »
  raport: IT w MSP firmowa sieć LAN
• WiFi z prądem »
  RUTER ZYXEL
• Bez limitów »
  Usługa Backup Online Bezpieczna Kopia