Monitorování sítí pomáhá poskytovatelům služeb sledovat výkonnostní charakteristiky provozu, a tím nejen zajistit plnění úrovně dohodnutých služeb se zákazníky, ale také optimálně využít dostupné kapacity. Monitorování ale především odpovídá na bezpečnostní požadavky prostřednictvím včasné detekce bezpečnostních útoků na základě nezvyklého provozu v síti (detekce šíření virů a červů či průniků do sítě, odhalení útoků vedoucím k DoS, Denial of Service) a umožňuje reakce na tyto útoky, aby se zabránilo jejich masivnímu rozšíření na Internetu. Pasivní monitorování (na rozdíl od invazivního aktivního) pouze průběžně sleduje dění zvnějšku, nepřispívá k zátěži sítí a může monitorovat charakteristiky skutečného provozu uživatelů. Monitorem v sítích do 1 Gbit/s může být běžné PC a síťové rozhraní (ethernetová karta v promiskuitním režimu), ale pro vyšší rychlosti jsou potřeba specializované prostředky.
LOBSTER v návaznosti na projekt SCAMPI
Projekt LOBSTER (Large Scale Monitoring of Broadband Internet Infrastructure) využívá hardwarově akcelerovanou platformu (na české půdě vytvořené programovatelné adaptéry na bázi PCI pod označením COMBO) pro pasivní monitorování vysokorychlostních sítí, vyvinutou v projektech SCAMPI (Scaleable Monitoring Platform for the Internet) a Liberouter. Projektů SCAMPI a LOBSTER se účastnilo sdružení CESNET vedle partnerů z Belgie, Nizozemska, Německa, Norska a Řecka.
LOBSTER rozšířil funkce SCAMPI pro vzdálené monitorování (middleware DiMAPI, Distributed Monitoring API) a stanovil si ambiciózní cíl zrealizovat pilotní infrastrukturu monitorovacích uzlů založených na platformě SCAMPI v evropském měřítku. Senzory se v Evropě instalují postupně (v síti CESNET2 již pracuje deset monitorovacích stanic). Každý senzor dostává kompletní provoz z určitého sledovaného spoje (mezi přepínači, směrovači nebo firewally).
Pro implementaci senzoru v síti, která se chce k infrastruktuře LOBSTER připojit anebo využít výsledky projektu jen pro sebe, je nutné nejprve instalovat potřebný software vyvinutý v rámci projektu (podporu pro anonymizační politiku, komunikační protokol, démony pro měření provozu). Z hlediska hardwaru je potřeba vyhrazené PC se slušným výkonem a síťová karta na každý monitorovaný spoj (běžná Gbit/s NIC, karta COMBO nebo DAG). Z hlediska softwaru je jediným požadavkem OS Linux, ostatní programové vybavení lze stáhnout z webové stránky LOBSTER.
Monitorování paketů se neobejde bez ochrany soukromí uživatelů prostřednictvím tzv. anonymizace paketů (např. zašifrování zdrojové a cílové IP adresy a odstranění datového obsahu). CESNET loni vyvinul metodu hardwarové anonymizace paketů v síťové a transportní vrstvě a tuto metodu implementoval v FPGA (Field-Programmable Gate Array) na platformě karet COMBO, vyvinutých také ve sdružení CESNET. Výhodou anonymizace přímo v monitorovacím adaptéru v porovnání s klasickým softwarovým řešením je snížení zátěže centrálního procesoru a vyšší důvěryhodnost celého procesu anonymizace, protože citlivá data neopustí monitorovací adaptér. Anonymizaci na vyšších vrstvách provádějí podle potřeb oprávnění uživatelé prostřednictvím softwarových funkcí. LOBSTER tak uživatelům nabízí pružné mechanizmy pro anonymizaci, nikoli předem definovanou politiku.
CESNET je také zodpovědný za návaznost LOBSTER a projektu GN2, budujícího panevropskou multigigabitovou výzkumnou síť GÉANT2. V rámci této spolupráce CESNET navrhl aplikaci ABW (Available BandWidth), která monitoruje využití kapacity spoje a rozdělení datových toků podle protokolu v transportní nebo aplikační vrstvě.
34měsíční projekt LOBSTER je veskrze praktický. Aby mohla panevropská monitorovací infrastruktura plnohodnotně sloužit, je nutné zapojení správců sítí v soukromém sektoru i ISP. K úspěchu projektu by měla přispět i aktivní účast společnosti SYMANTEC, předního dodavatele internetových bezpečnostních řešení.
