Kritickým parametrem je obzvláště v některých oblastech (bezpečnostní problematika, analýza incidentů, analýza průniků) zajištění stále přesnější časové synchronizace primárních údajů. Nezbytná je především jejich relativní časová přesnost; ta umožňuje sestavit posloupnost událostí tak, jak skutečně proběhly. I běžná měření na bázi flow jsou značkována v řádu mikrosekund (především kvůli posloupnosti), o specializovaných sondách ani nemluvě.
Služby v reálném čase a multimediální služby implikují posun pohledu na problematiku směrem k mikročasovým intervalům, často na možnou hranici danou mechanismem (třeba SNMP). Jako příklad uvádím běžný průběh využití linky: v prvním případě měřené s „obvyklým“ krokem pěti minut, ve druhém s dynamickým krokem v rozsahu 10 sekund až 10 minut. Přestože při kapacitě linky 2,5 Gbit/s je 10 sekund „geologický věk“, jsou i tak rozdíly zcela zásadní pro představu o jejím využití.
Průběh zátěže linky – SNMP s konstantním krokem měření 5 minut.
Průběh zátěže téže linky v příchozím směru – SNMP s dynamickým krokem měření.
Rozptyl časového kroku SNMP měření k předchozímu průběhu zátěže – rozsah 10 vteřin až 10 minut.
Vedlejším pozitivem dynamického časového kroku měření je kromě lepšího výsledku i udržení průměrné “agresivity” měření ve stále stejných, snesitelných mezích.
Přístup ke sledování dějů směřuje od specifických podmínek k plošnému záběru. Je to podmíněno například takovými požadavky jako sledování relací v prostředí dynamických mechanismů řízení směrování (MPLS, dynamicky balancované distribuované aplikace apod.) nebo nutností sledovat kromě relací samotných i jejich vliv na okolí. Zdá se, že skutečně objektivní informaci o každé dílčí aplikaci poskytne pouze komplexní datová základna o dějích v infrastruktuře, jinak se pověstné reakce: „Jaký problém? Mně to chodí!“ ještě dlouho nezbavíme.
Postupná konvergence k multifunkčnímu komunikačnímu a informačnímu prostředí posouvá související metody zpoplatňování směrem k paušálním formám. Je to logické z ekonomických důvodů: do technologií je třeba investovat netriviální prostředky a podstatný je samotný fakt jejich využití (ve smyslu ano/ne) a méně již míra využití (jak mnoho, kolik apod.). Je to logické i z hlediska provozního: uživatelé v současnosti automaticky očekávají určitou úroveň parametrů služeb. Kdysi jim stačil prostý fakt, že „to funguje“ a princip best-effort vnímali jako přirozený. Permanentní zajištění kvalitativní úrovně služeb je tak nákladné, že míra využití uživatelem je podstatná především až v situaci, kdy svojí činností začíná omezovat dostupnost zdrojů ostatním uživatelům (tedy ohrožuje kvalitu služby).
Monitoring důležitý pro odhalení útoků
Reakční rychlost „odpovědí na otázky“ rozhoduje v některých případech (DDoS, DoS, řešení incidentů, konfigurační chyby, jiné provozní anomálie) o udržení parametrů služeb v akceptovatelných mezích a často o stabilitě prostředí jako celku. Některé pokusy naznačují možný budoucí vývoj směrem k inteligentním automatickým mechanismům na bázi podmíněného výběru strategie chování s vysokou mírou flexibility a variability a případně vysokým stupněm autorizace pro možná automatická regulační opatření. Ve všech případech se jedná o řešení, která se opírají nebo budou opírat o dostatečně přesnou a komplexní datovou základnu informací o infrastruktuře. V souvislosti se zmíněnou bezpečnostní problematikou si dovolím poslední ukázku, která je tak trochu oknem do duše určité části uživatelské komunity. Oblíbený “sport” průběžně měnící pouze parametry. V tomto případě masivní plošný útok na konkrétní /16 síť a “vděčný” port TCP/445 (síťové rozsahy třídy B jsou vzhledem k rozsahu oblíbenou destinací obdobných útoků). Jejich četnost rozhodně není nezanedbatelná (desítky až stovky denně). Ukázka je záměrně setříděna podle zdrojových IP adres vzestupně. Vzhledem k tomu, že příchozí flow záznamy byly již vzorkovány, naznačuje jejich posloupnost, že jsou pouze “vypůjčené”, a tam, kde je to možné, bývají jejich skuteční nositelé zneužiti i jako zrcadla prvotního útoku (oblíbené u ICMP). Sítě, kde není z nějakých důvodů možné, vhodné nebo chtěné aplikovat striktní směrovací politiku v odchozím směru, jsou typickými zdroji takových útoků.
Pro zajímavost: takových agregátů podle IP adres zdrojů a cílů při splnění podmínky cílového portu TCP/445, jaké jsou uvedeny v tabulce, je v tomto případě k dispozici během 30minutového intervalu a vzorkování příchozích flow záznamů s krokem 5 minut více než 1.250.000. V případě zfalšovaných zdrojových adres je pro analýzu skutečného zdroje nebo zdrojů útoku nutné zpracovat analogické výstupy (při této metodě sledování provozu) ze všech dostupných zdrojů, nebo zahrnout do výstupu např. identifikátory fyzických rozhraní zařízení (jsou-li dispozici), a pokud tento postup vede úspěšně k cíli, tak u útoků z externích AS končí zpravidla pátrání na hranici vlastního AS.
Plošný útok vedený na TCP/445 – agregovaná ukázka výstupu systému pracujícího na bázi flow.
Zvýšení nároků na zdroje
Vlastní zdroje primárních informací pro monitoring jsou obvykle technologické celky realizující funkce komunikačního a informačního prostředí. O úspěchu rozhoduje kompromis mezi mírou vypovídací hodnoty informací a mírou agresivity jejich požadování a sběru. Významnou roli hraje např. způsob měření (aktivní vs. pasivní) a jeho intenzita (rozložení v čase, jednotková zátěž). Transport, zpracování a uskladnění, tedy výpočetní výkon, přenosová a úložná kapacita jsou souvisejícími články řetězu zdrojů. Specifickou úlohu hrají lidské zdroje. Obzvláště v této oblasti je široké pole pro uplatnění vysoké míry přidané intelektuální hodnoty, které může řádově ovlivnit nároky na ekonomické zdroje. Souhrnně lze konstatovat, že cílem je situace, kdy získané informace mají ještě dostatečnou vypovídací hodnotu vzhledem ke všem požadavkům a kdy je zároveň jejich vytvoření (měření, transport, zpracování, uložení) zvládnutelné vzhledem k dostupným zdrojům. Je-li problém vůbec v principu zvládnutelný pomocí technologie a know-how, rozhodují ekonomické zdroje.
Takže jak na to?
Doporučuji pracovat jednoznačně s rozvahou a promyšleně. Typy výstupů a jejich informační strukturu nelze v oblasti monitoringu měnit snadno ze dne na den – podstatnou součástí vypovídací hodnoty je dlouhodobá kontinuita výsledků. Odpovídající kompatibilita (na úrovni mechanismů měření) s prostředky, které primárně realizují služby, je nutností, takže zpětná vazba do oblasti technologické inovace infrastruktury může být velmi omezující. Za stěžejní považuji dosažení souladu v pojmech (za stejnými slovy vnímat stejný obsah) a následně shodu v oblasti formulace zadání, a to mezi všemi zúčastněnými skupinami (technici, management, obchodníci apod.). Zdá se to samozřejmé, ale bývám konzultován na téma možností technických řešení a vím, že systematický postup zdaleka není pravidlem.
Pokud se monitoringem chcete nebo budete muset začít zabývat, doporučuji rozhodně začít s open source software (osobně nic jiného nepoužívám) a na malých jednoduchých příkladech. Podle mne je to cesta nejrychleji vedoucí k pochopení podstaty problémů a možností toho či onoho způsobu získávání informací. Hotová komerční řešení poskytují výstupy sice snadno a rychle, ale vy musíte umět výstupy nejen vytvářet, ale především gramotně analyzovat.
Oblast monitoringu je podle mého názoru specifická tím, že zde neexistují definitivní, všeobjímající řešení „krabicového“ typu, která by vyhověla v prostředí libovolné infrastruktury. Každá síť a poskytované služby jsou z tohoto hlediska unikátním dílem. Nejedná se ani o oblast „mediálně atraktivní“, ale spíše stojící v pozadí, nicméně naprosto nezbytnou pro fungování celého organismu infrastruktury. Kvalifikované lidské zdroje jsou zde velmi cenné, protože tato oblast není na první pohled možná příliš atraktivní a výsledky práce se dostavují později než v jiných oblastech. Přesto a právě proto: Měření zdar!
Dbáte o to, aby na vašem počítači běželo z pohledu sítě jenom to, co je nezbytně nutné a pokud možno zabezpečeně (firewall, filtry, access listy apod.)?
