Netima – это программа, позволяющая проверить прохождение трафика в сетевых устройствах

Основная цель программы - упростить настройку сетевых правил, сделать все правила понятными и контролируемыми. Исключить неконтролируемые дыры. Программа позволяет быть уверенным, что нужные сетевые соединения открыты и что ничего лишнего не открыто.

Функциональные возможности можно посмотреть и попробовать без установки и без регистрации в демонстрационной версии.

Открыть Демо-версию
Программа работает с устройствами разных производителей, автоматически загружает конфигурацию.

Проверка корректности настроек
интерфейсов для кластерных устройств

Проверка
Производится проверка совпадения настроек соответствующих интерфейсов на кластерных устройствах
Результат
По результатам проверки, система позволяет прокомментировать согласованные расхождения настроек.
Любая дополнительная проверка, потенциальное выявление ошибки и проблема это экономия времени и спокойствие администратора

Поиск по всем связанным устройствам правил ACL,
маршрутов прохождения трафика

Очень часто перед сетевым инженером стоит вопрос, какое правило и на каком устройстве надо изменить, чтобы трафик начал проходить от одного сервера до другого. Данная задача просто решается с помощью Netima.

1 этап
Надо указать источник
и получатель
2 этап
Будут найдены правила и маршруты, по которым пойдет трафик
3 этап
Будет выведена трасса работы пересылки трафика, с указанием NAT и других преобразований, которые будут происходить при пересылке трафика
По такому анализу можно моментально найти блокирующее правило или маршрут и внести точечную корректировку.

Проверка может проводиться как по одному адресу в источнике / получаетеле, так и по подсети. Проверка подсети позволяет вывести разницу в прохождении трафика по правилам в зависимости от диапазонов IP адресов.

Использование шаблонов правил
для правил CISCO

Стоит выработать несколько шаблонов, которые далее будут базой для ACL списков. Более строгие шаблоны использовать в DMZ части, менее строгие в остальной. Используя шаблоны можно вынести все типовые настройки в шаблон и при просмотре политики будет фокусироваться внимание именно на правилах, специфичных для этого ВЛАНа

Например, пусть правила:

statistics per-entry 3 permit icmp any any 10 permit tcp any any established 30 permit icmp any any echo-reply 40 permittcp any any eq 80 50 permittcp any any eq 443

разрешены для многих ВЛАНов. Тогда правильно эти строки вынести в шаблон, в ACL списках просто ссылаться на шаблон. Это позволяет концентрировать внимание только на переменной части ACL списков, сразу видеть сущностную часть.

Проверка критичных правил на
отсутствие лишних разрешений

Протоколы, позволяющие управлять серверами, а так же сервера резервного копирования являются критически значимыми
Минимизация сетевых доступов к значимым ресурсам является актуальной и наиболее действенной методикой защиты серверного оборудования от злоумышленников.
Удобные средства визуализации разрешенных доступов и контроля наличия доступов без комментария к ним позволяет оперативно выявлять потенциальные проблемы в настройках.

А также...

Проверка прохождения
DNAT трафика до получателя
Если между граничным маршрутизатором и сервером получателем опубликованного в интернете ресурса стоят промежуточные сервера, то есть трафик до сервера может не дойти из-за ошибок в маршрутах или политиках.
Проверяя доступность сетевых маршрутов можно так же снизить вероятность ошибки в конфигурации и уменьшить время простоя.
Документирование сетей и сервисов
Для каждого сервиса можно указать его название и внести комментарий. Это позволяет фиксировать знания о сети рядом с самими сетевыми политиками, упрощает сопровождение изменений.
Аналогично можно внести описание и комментарий по используемым в правилах подсетям
Возможность оперировать в правилах группами сетей и сервисов
Если группа сервисов или сетей используется в нескольких правилах, то эту группу можно один раз завести в справочник и в правилах использовать уже группу.
Группировка сервисов и сетей позволяет быть уверенным в одинаковых настройках для основного и резервного сервера.
Группировка сетевых правил (ACL), их комментирование
В одной строке правила можно указать несколько подсетей или сервисов, тем самым объединяя логически связанные сетевые правила
В каждом правиле можно указать комментарий, что позволяет проще поддерживать корректность правил в будущем. Правило можно временно отключить
Возможность командной работы
Каждый пользователь может разрешить редактирование конфигурации устройств перечисленным им пользователям.
При выдаче разрешений возможен вариант выдачи прав только на редактирований или так же прав на подключение новых пользователей.

Условия использования

Программу можно использовать бесплатно согласно MIT License. В следующих версиях может быть введено ограничение на количество устройств в бесплатной версии. Приобретение лицензии позволяет получить техническую поддержку и влиять на развитие приложения.