Проверка сетевых правил с документированием, группировкой

Netima

Netima – это программа, позволяющая проверить прохождение трафика в сетевых устройствах.

Программа работает с устройствами разных производителей, автоматически загружает конфигурацию.

Основная цель программы - упростить настройку сетевых правил, сделать все правила понятными и контролируемыми. Исключить неконтролируемые дыры. Программа позволяет быть уверенным, что нужные сетевые соединения открыты и что ничего лишнего не открыто.

Проверка корректности настроек интерфейсов для кластерных устройств

Производится проверка совпадения настроек соответствующих интерфейсов на кластерных устройствах. Согласованные расхождения настроек система позволяет прокомментировать. Любая дополнительная проверка, потенциальное выявление ошибки и проблема это экономия времени и спокойствие администратора.

Поиск по всем связаннм устройствам правил ACL, маршрутов прохождения трафика

Очень часто перед сетевым инженером стоит вопрос, какое правило и на каком устройстве надо изменить, чтобы трафик начал проходить от одного сервера до другого. Данная задача просто решается с помощью Netima. Надо указать источник и получатель и будут найдены правила и маршруты, по которым пойдет трафик. Будет выведена трасса работы пересылки трафика, с указанием NAT и других преобразований, которые будут происходить при пересылке трафика. По такому анализу можно моментально найти блокирующее правило или маршрут и внести точечную корректировку. Провера может проводится как по одному адресу в источнике / получаетеле, так и по подсети. Проверка подсети позволяет вывести разницу в прохождении трафика по правилам в зависимости от диапазонов IP адресов.

Проверка критичных правил на отсутствие лишних разрешений

Протоколы, позволяющие управлять серверами, а так же сервера резервного копирования являются критически значимыми. Минимизация сетевых доступов к значимым ресурсам является актуальной и наиболее действенной методикой защиты серверного оборудования от злоумышленников. Удобные средства визуализации разрешенных доступов и контроля наличия доступов без комментария к ним позволяет оперативно выявлять потенциальные проблемы в настройках.

Проверка прохождения DNAT трафика до получателя

Если между граничным маршрутизатором и сервером получателем опубликованного в интернете ресурса стоят промежуточные сервера, то есть трафик до сервера может не дойти из-за ошибок в маршрутах или политиках. Проверяя доступность сетевых маршрутов можно так же снизить вероятность ошибки в конфигурации и уменьшить время простоя.

Документирование сетей и сервисов

Для каждого сервиса можно указать его название и внести комментарий. Это позволяет фиксировать знания о сети рядом с самими сетевыми политиками, упрощает сопровождение изменений.

Аналогично можно внести описание и комментарий по используемым в правилах подсетям

Возможность оперировать в правилах группами сетей и сервисов

Если группа сервисов или сетей используется в нескольких правилах, то эту группу можно один раз завести в справочник и в правилах использовать уже группу. Группировка сервисов и сетей позволяет быть уверенным в одинаковых настройках для основного и резервного сервера.

Использование шаблонов правил для правил CISCO

Стоит выработать несколько шаблонов, которые далее будут базой для ACL списков. Более строгие шаблоны использовать в DMZ части, менее строгие в остальной. Используя шаблоны можно вынести все типовые настройки в шаблон и при просмотре политики будет фокусироваться внимание именно на правилах, специфичных для этого ВЛАНа

Например, пусть правила

        statistics per-entry
        3 permit icmp any any
        10 permit tcp any any established
        30 permit icmp any any echo-reply
        40 permit tcp any any eq 80
        50 permit tcp any any eq 443

разрешены для многих ВЛАНов. Тогда правильно эти строки вынести в шаблон, в ACL списках просто ссылаться на шаблон. Это позволяет концентрировать внимание только на переменной части ACL списков, сразу видеть сущностную часть.

Группировка сетевых правил (ACL), их комментирование

В одной строке правила можно указать несколько подсетей или сервисов, тем самым объединяя логически связанные сетевые правила

В каждом правиле можно указать комментарий, что позволяет проще поддерживать корректность правил в будущем. Правило можно временно отключить

Возможность командной работы

Каждый пользователь может разрешить редактирование конфигурации устройств перечисленным им пользователям. При выдаче разрешений возможен вариант выдачи прав только на редактирований или так же прав на подключение новых пользователей.

Условия использования

Программу можно использовать бесплатно согласно MIT License при заведении менее 8 устройств. При большем количестве сетевых устройств, обеспечивающих фильтрацию трафика, необходимо приобретение лицензии. Так же приобретение лицензии позволяет получить техническую поддержку и влиять на развитие приложения.

При возникновении вопросов, предложений прошу наих регистрировать по почте netima@inbox.ru