Neue Herausforderungen für das Netzwerk-Monitoring

Die amerikanische CIO-Autorin Kim S. Nash vergleicht das Netzwerk-Monitoring mit einem Besuch beim Kardiologen, der über die nötige Erfahrung und Technologie verfüge, die Systemleistung zu dokumentieren. Die in den 1960er Jahren geborenen Baby-Boomer sind heute alle in einem Alter, in dem regelmäßige Gesundheitschecks unerlässlich sind. Größere Netzwerke von Unternehmen und Organisationen bedürfen allerdings einer ständigen Überwachung und Kartographierung der Performance sowie aller daran rührenden Komponenten und Anwendungen.

Hacker- oder Virenangriffe können natürlich zu Lasten der Performance gehen, sind aber nicht die eigentliche Aufgabe des Netzwerk-Monitorings, sondern der Intrusion Detection und Prevention Systems (IDSs und IPSs), betont Nash.

Von Ayurveda lernen

Doch so wie die chinesische Heilkunst oder Ayurveda den menschlichen Organismus als miteinander verkettetes Ganzes sieht, statt immer nur einzelne Symptome zu behandeln, verfolgen die Monitoring-Experten heute den holistischen "Single Pane of Glass"-Ansatz. So bezeichnet Christoph Feussner, Systems Engineer LAN bei Brocade, die Herausforderung, Management-Monitoring-Lösungen zu entwickeln, die inklusive Netzwerk, Server, Software und Clients alle Teilbereiche des Systems adäquat bedienen könnten.

Die Analysten von Gartner sehen im Network Performing Monitoring and Diagnostics (NPMD) eine neue Herangehensweise beim Netzwerkmanagement. Diese führe weg von der früheren Netzwerk-Domain-Orientierung hin zu dem Netzwerkteam als Ausgangspunkt für die erste Voranalyse auftretender Fehler auf Applikations-, Server-, Security und Storage-Seite. Das Ziel dieser 2012 auf ein Volumen von einer Milliarde Dollar taxierten neuen NPMD-Tools sei es nicht nur, die Netzwerkkomponenten zu überwachen, sondern auch Ressourcen- und Leistungsreserven zu identifizieren, um sie kostensparend nutzen zu können. Auch hier spiegelt sich wieder die ganzheitliche Betrachtung wieder.

Gerade in der Cloud gilt: Das Ganze im Blick haben

Dieser holistische Ansatz wird mit zunehmender Komplexität sowie mit dem Einzug von Cloud-Computing und der Virtualisierung wichtiger denn je beim Netzwerk-Management. "Die Anforderungen der privaten Cloud erweitern sich dahingehend, dass das Management und das Monitoring nicht nur einzelne Systeme überwachen, sondern dass eine Lösung hier im Stande sein muss, komplexe Abhängigkeiten zwischen Netzwerk, Servern und verteilten Applikationen abbilden zu können", so Feussner.

Diesem Argument pflichtet auch VMware-Manager Breneis bei: "Die einzelnen RZ-Komponenten wie Netzwerk und Server, aber auch Storage müssen einheitlich betrachtbar dargestellt und deren Zusammenhänge und Abhängigkeiten visualisiert werden." Cloud Computing beziehungsweise der von VMware verfolgte Ansatz des Software Defined Data Center (SDDC) ist für ihn ein Fokusthema zukünftiger Entwicklungen. Denn die Zusammenfassung aller RZ-Kapazitäten in Pools und ihrer bedarfsgerechten Bereitstellung bringe auch neue Anforderungen an ihre Verwaltung und Überwachung mit sich.

Die Konvergenz der Netze und Virtualisierung

Software-Defined Networking (SDN) bezeichnet Accenture-Berater Markus Beckmann als wichtigen Trend mit Blick auf ein vereinfachtes Netzwerkmanagement in einer zunehmenden Datenflut und Komplexität in WAN-Welten.

Bei der Virtualisierung kommt es laut Feussner unter anderem darauf an, die den Hypervisor verlassende und die virtuelle Machine-2-Machine-Kommunikation innerhalb des Hypervisors sichtbar zu machen. Mit dem Brocade Network Advisor lasse sich zum Beispiel der Datenverkehr des Hypervisors per sFlow überwachen und über ein VMware-Plugin die virtuelle Maschine samt Netzwerk- und SAN-Parameter visualisieren.

Als ersten Kernfokus nennt VMware-Mann Breneis die weitere Konvergenz der Netze. Themen wie iSCSI, FCoE (Fibre Channel over Ethernet), Voice und Video brächten vormals getrennte Management-Domänen zusammen, wodurch die frühere klare Trennung der Element-Manager verschwimme. Im Rechenzentrum werde der Trend durch die Netzwerk-Virtualisierung vorangetrieben.

"Die Frage, wie für Overlay-Netze und Transportnetze ein End-zu-End-Management zur Verfügung gestellt werden kann", sieht der VMware-Manager als ein entscheidendes Thema für die Netzwerkmanagement-Tools der Zukunft. Die großen Datenmengen, die aus den Systemen der Overlay- und Transportnetze zusammen kämen, müssten korreliert und visualisiert werden.

Was ist in der private Cloud zu beachten

"Die Korrelation (Übereinbringen) der Daten und intelligente Methoden mit automatischen Lernmöglichkeiten" sind für den VMware-Manager denn auch entscheidende Kriterien beim Netzwerkmanagement in der privaten Cloud. Managementlösungen mit statischen Regelwerken kämen da angesichts der hohen Dynamik und großen Workloads schnell an ihre Grenzen. Es böten sich daher Systeme wie VMwares vCenter Operations Management Suite an, die in der Lage sind, Daten verschiedenster Quellen einschließlich Virtualisierungsumgebungen, Storage-, Overlay- und Transportnetz zu sammeln, um dann eine "Baseline" des normalen Verhaltens der Umgebung zu generieren. Bei Abweichungen von dem dynamisch erlernten Verhalten werden Warnsignale ausgegeben - möglichst noch vor Auftreten ernster Probleme.

In einer virtualisierten Infrastruktur oder einer privaten Cloud seien derartige Funktionen essentiell. Die Lösung sollte jedoch "keinen Unterschied zwischen physischen und den virtuellen Systemen kennen und alle Komponenten einbeziehen", betont Breneis. Aus der Serverperspektive heraus müsse das Monitoring in der abgeschotteten Wolke naturgemäß von innen erfolgen, aus Nutzersicht aber von außen.

"Die Anforderungen der privaten Cloud erweitern sich dahingehend, dass das Management und das Monitoring nicht nur einzelne Systeme überwachen, sondern dass eine Lösung hier im Stande sein muss, komplexe Abhängigkeiten zwischen Netzwerk, Servern und verteilten Applikationen abbilden zu können", erklärt indes Brocade-Manager Feussner und weist auf OpenStack in Verbindung mit dem Brocade VCS Plugin oder anderen Plugins als Lösung hin.

Plattformunabhängigkeit und Automatisierung

Apropos komplexe Abhängigkeit zwischen den Systemkomponenten: Da die Komplexität in heterogenen Umgebungen mit mehreren Server- und mobilen Betriebssystemen (Stichwort BOYD) sowie mit einer Vielzahl unterschiedlicher Hardware und Software eher zunimmt, sieht Feussner zwei grundlegende Herausforderungen für die Management- und Monitoring-Lösungen: Auf der einen Seite ist das der Multivendor-Support, auf der anderen Seite sind es standardisierte Monitoring-Schnittstellen wie SNMP und API. Worauf es ankommt, ist eine möglichst große Plattformunabhängigkeit. Schließlich ist die Überwachung einheitlicher Server schon Herausforderung genug für Administratoren. Die wenigsten Unternehmen leisten sich noch Spezialisten für jede Plattform. Multi-Vendor- und Multi-Plattform-Support kann daher durch weniger Komplexität und Administrationsaufwand helfen, Kosten zu sparen.

Tools, die in das Netzwerk blicken
Was tut sich in meinem Netzwerk? Wo sind die neuralgischen Punkte oder welche Verbindungen werden aktuell aufgebaut? Wer sein Netzwerk im Griff behalten will, braucht dazu die richtigen Werkzeuge: Wir stellen sie vor!

Netzwerk-Analyse - Wireshark
Die rote Markierung zeigt es deutlich: Wireshark hat ein auffälliges Netzwerkpaket entdeckt. Hier ist es ein von Nexpose modifiziertes SNMP-Paket im Rahmen eines Vulnerabilität-Scans.

Netzwerk-Analyse - Wireshark
Wer redet mit wem? Die freie Software Wireshark analysiert die Anzahl und den Umfang der Datenpakete, die von allen beteiligten Sendern und Empfängern ausgetauscht wurden.

Netzwerk-Analyse - Wireshark
Wie setzt sich der Netzwerkverkehr eines Wireshark-Mitschnitts zusammen? In dem hier gezeigten Beispiel sind 3,83 Prozent der Datenpakete „malformed“, somit also modifiziert oder defekt.

Netzwerk-Analyse - LAN Search Pro
Wer Dateien finden will, möchte die Suche in der Regel auch auf die Netzwerklaufwerke ausdehnen: Die Freeware LAN Search Pro kann dabei auch die verstecken Ordner durchsuchen und anzeigen.

Netzwerk-Analyse - LAN Search Pro
Nach dem Finden der Dateien gleich entsprechend weiterarbeiten: LAN Search Pro ermöglicht die direkte Übergabe der gefundenen Informationen an den Explorer des Windows-Systems.

Netzwerk-Analyse - LAN Search Pro
Die Suche kann auch spezifischer sein: Nach der Suche mittels Wildcard über das gesamte Netzwerk hinweg, werden die gefundenen Dateien nach einer bestimmten Zeichenfolge durchsucht.

Netzwerk-Analyse - Netspeed Monitor
Nistet sich unauffällig in der Taskleiste ein: Der Netspeed Monitor bietet dem Anwender dann einen guten Überblick über die Up- und Download-Geschwindigkeit seines Systems.

Netzwerk-Analyse - Netspeed Monitor
Auch die auf dem System offenen UDP- und TCP-Endpunkte kann der Netspeed Monitor direkt und aktuell anzeigen.

Netzwerk-Analyse - Netspeed Monitor
Leider wird die nützliche Software Netspeed Monitor im Moment nicht mehr weiter entwickelt: Obwohl sie laut Web-Seite auch für Windows 8 geeignet sein sollte (bei einem Funktionieren unter Windows 7 nur logisch) verweigerte sie die Installation auf Windows 8.1.

Netzwerk-Analyse - Jperf
Weg von der Kommandozeile mit Hilfe von Java: Die Oberfläche JPerf ermöglicht eine einfachere Bedienung von iperf, verlangt aber bei der Inbetriebnahme etwas Verständnis auf der Systemebene.

Netzwerk-Analyse - Jperf
Wer die Bandbreite seines Netzwerks mit iperf untersuchen will, muss natürlich den verwendeten Kommunikations-Port (hier ist es 5001) auf den Systemen freigeben.

Netzwerk-Analyse - Jperf
Gleichmäßige Bandbreite im hohen Bereich: Dieses Beispiel zeigt eine Messung der Bandbreite eines WLANs (802.11ac) zwischen zwei Systemen unter Windows 8.1.

Netzwerk-Analyse - Wifi Analyzer
Welche WLAN-Netze mit welchen Bandbreiten und welche Sicherheit sind in Reichweite: Die Android-App Wifi Analyzer zeigt es übersichtlich an.

Netzwerk-Analyse - Wifi Analyzer
Da zeigt sich deutlich, welches WLAN am aktuellen Standort die beste Bandbreite zu bieten hat: Die grafische Übersicht der App Wifi Analyzer bietet vor allen Dingen auf Tablets einen guten Überblick.

Netzwerk-Analyse - Network Share Browser
Zeig‘ mir die Freigaben und die Drucker: Mit der einfachen freien Software Network Share Browser sieht der Anwender alle Daten auf einen Blick.

Netzwerk-Analyse - Network Share Browser
Ein Klick führt in die ausgewählte Freigabe: Der Network Share Browser bietet kaum zusätzliche Funktionen, arbeitet aber logisch und bietet dem Nutzer den direkten Zugriff auf die Freigaben im Windows Explorer.

Netzwerk-Analyse - Network Scanner
Welche Systeme sind im Netzwerk zu finden? Das Werkzeug Network Scanner von SoftPerfect kann ohne weitere Installation auch direkt vom USB-Stick eingesetzt werden.

Netzwerk-Analyse - Network Scanner
Weitere Informationen direkt aus den Systemen auslesen: Da der Network Scanner WMI unterstützt kann ein Administrator mit den richtigen Zugriffsrechten direkt die Systeminformationen der Rechner im Netz auslesen.

Netzwerk-Analyse - Network Scanner
Welche Geräte bieten UPnP-Zugriff (Universal Plug and Play) im Netzwerk an? Diese Informationen kann allein vom Sicherheitsaspekt her interessant sein und wird vom SoftPerfect Network Scanner ebenfalls angezeigt.

Eine deutliche Kostenersparnis versprechen auch weitgehende Automatismen beim Monitoring. Nach Analystenschätzung könne ein Vollzeitbeschäftigter durch manuelle Administration elf UNIX- oder 30 Windows-Server betreuen, was bei Umgebungen mit 1.000 Servern 30 bis 100 Administratoren erfordern würde, rechnen die Kollegen von IT-Administrator.de vor. Kein Unternehmen könne sich die große Anzahl an Mitarbeitern leisten. Breneis hält die genannte Zahl für einen realistischen Wert, der sich auch bei den VMware-Kunden widerspiegele. Doch: "In größeren Unternehmen und in MSDCs (Massive Scalable Datacenters) wird dieses Verhältnis sicherlich höher ausfallen - eher gen hunderte bis tausende virtuelle Systeme pro Admin. Und ja - ein hoher Automatisierungsgrad ist Grundvoraussetzung für diese Werte", so der Teamleiter Channel Systems Engineers bei VMware.

Tagtägliche Admin-Aufgaben müssen ihm zufolge - auch zugunsten einer gleichbleibend hohen Qualität - sogar komplett automatisiert sein. Die Kunden oder die zuständigen Abteilungen sollten sich im Gegenzug mit modernen Workflow Engines beschäftigen und ihre bisher eingesetzten statischen Skripts und Ähnliches überdenken. Wichtig sei hierbei, dass die eingesetzten Komponenten und Lösungen über APIs verfügen und somit von außerhalb gesteuert werden können. Wie weit die Automatisierung gehen soll, sei jedem Unternehmen selbst überlassen. Der Automatisierungsgrad sei allerdings ein wichtiger Faktor, "um den Betrieb der IT als ITaaS abzubilden und von den Vorteilen hinsichtlich CapEx- und OpEx-Einsparungen voll profitieren zu können", meint Breneis.

Die Kostenfrage

An das Thema Einsparungen, durch bessere Auslastung der Ressourcen etwa, knüpft natürlich auch die Frage, was die Netzwerk-Monitoring-Systeme (NMSs) kosten. Die Preise für Software-Anwendungen reichen laut CIO-Expertin Nash von 50 Dollar bis hin zu einem gut fünfstelligen Betrag. Bei Hardware-Lösungen können noch höhere Kosten anfallen.

Neben Bezahl-Systemen gibt es aber auch eine wachsende Zahl von Shareware oder Freeware. Gerade im Open-Source-Lager hat sich viel getan, um günstig oder kostenlos an gute Lösungen heranzukommen. Das sieht auch Breneis so: "Kostenlose Monitoring-Lösungen sind oftmals gleich gut, wenn nicht sogar besser als die eine oder andere kommerzielle Lösung." Einschränkend sagt er jedoch, dass mitunter starke Anpassungen nötig sind, wenn es um Domänen-spezifisches Wissen geht. "Hier kommen die Stärken der kommerziellen Lösungen zum Tragen, da Anpassungen oft besser unterstützt werden und der Kunden im Bedarfsfall auf den Support des Herstellers zugreifen kann." Hinzu komme die bei Freeware meist nicht gegebene Update-Unterstützung. Auch ließen sich kommerzielle Lösungen besser in bestehende Management-Produkte integrieren.

"Es kommt weniger auf die Werkzeuge als vielmehr auf die Qualifikation der Mitarbeiter an", fügt Accenture-Manager Beckmann hinzu." Mit schlechten Skills helfe auch kein noch so teures Werkzeug, auch wenn diese natürlich den Vorteil hätten, dass einem niemand zum Vorwurf machen werde, sie eingekauft zu haben.

ByoD nur ein Compliance-Thema?

Von Unternehmen meist nicht selbst bezahlt und vor dem Hintergrund der gewünschten Integration doch nicht kostenlos zu haben ist die wachsende Zahl der von den Mitarbeitern mitgebrachten mobilen Geräte - Bring your own Device oder kurz ByoD.

Die 5 größten BYOD-Fallen
Bring your own Device ohne Stress gibt es nicht, dazu existieren zu viele Sollbruchstellen. Möglich ist aber - und zwar für Arbeitgeber und Arbeitnehmer - die gängigsten Fallen in diesem Zusammenhang zu entschärfen beziehungsweise ihnen auszuweichen.

Falle 1: Offene Türen für jede Art von App
Wer immer Angry Bird auf seinem iPhone gespielt hat, will nicht plötzlich damit aufhören, nur weil er das Gerät jetzt auch im Job einsetzt. Nun stiehlt der wütende Vogel lediglich Zeit, andere Apps sind dagegen gefährlich, Dropbox zum Beispiel. Wer sein iPhone beruflich nutzen will, muss Einschränkungen hinnehmen. Um dessen Akzeptanz zu erhöhen, sollte die Policy nicht rigider sein als nötig, aber ohne Blacklists und Whitelists für Apps geht es nicht.

Falle 2: Big Brother is watching you
Das sogenannte Geofencing, also die Möglichkeit, einem iPad bestimmte Zugriffe in Abhängigkeit von seinem Standort zu erlauben oder zu verbieten, ist praktisch, aber unbeliebt. Weil der Chef dadurch auch weiß, wo sich der Besitzer des Geräts gerade aufhält. Allerdings gibt es die Möglichkeit, das Monitoring nur während der Arbeitszeit einzuschalten.

Falle 3: Hohe Kosten durch mangelnde Kontrolle
Mitarbeiter, die auf irgendwelche Download-Fallen hereinfallen oder oder ohne betriebliche Erfordernis kostenpflichtige Nummern anrufen, müssen diese Kosten auch dann selbst tragen, wenn das ganze unabsichtlich geschah. Generell gibt es in den meisten Unternehmen kaum sinnvolle Anlässe, um mit mobilen Endgeräten große Datenmengen woher auch immer downzuloaden.

Falle 4: Jeden Mist ins Netzwerk einbinden
Natürlich liegt der Charme von BOYD in der Wahlmöglichkeit; jeder kann sich aussuchen, welches Gerät (zu) ihm am besten passt. Und der Chef erreicht den Abteilungsleiter vielleicht auch mal am Wochenende. In jedem Fall muss der CIO die Möglichkeit haben, sämtliche Geräte, die im Unternehmensnetzwerk angemeldet werden sollen, vorher zu checken.

Falle 5: Schlechte oder gar keine Kommunikation
Angestellte müssen wissen, was genau überwacht wird und was nicht, welche Apps potenziell gefährlich sind für ein Firmennetzwerk und welche unbedenktlich, welche Geräte und Betriebssysteme akzeptiert werden und welche nicht. Was passiert bei Verlust? Wie sie die Regeln beim Ausscheiden aus der Firma und welche Sanktionen drohen dem, der sich nicht an die Regeln hält.

Für Accenture-Manager Beckmann ist das ByoD-Monitoring in erste Linie ein "Compliance-Thema" entlang der Fragen, welche Geräte was dürfen und ob es unzulässige Zugriffsversuche gibt. VMware-Manager Breneis sieht die BOYD-Thematik noch in einem anderen Licht: "ByoD ist im Campus-Netz ein entscheidender Treiber, vor allem im WLAN-Bereich und im Security Monitoring. Hier können Lösungen anhand eines intelligenten ‚Fingerprinting‘ bestimmte mobile Betriebssysteme erkennen und die Anwendung von Sicherheits- und Qualitätsregeln überwachen." Ein Beispiel sei die Unterscheidung zwischen "gemanagten" Geräten für Voice over WLAN und "ungemanagten" Geräten von Gästen und Mitarbeitern.

Fazit

Damit sind wir doch wieder beim Thema Sicherheit angekommen, auch wenn dies eben nicht eigentlich Aufgabe von Netzwerk-Monitoring ist. Dieses soll nämlich in erster Linie sicherstellen, dass die Systeme im Netzwerk einwandfrei laufen und die bisher noch nicht angesprochenen Service Level Agreements (SLAs) eingehalten werden können. Das bedarf einer ständigen Überwachung, die bei großen und weit verzweigten Organisationen umso komplexer wird, an der dort aber erst recht nicht gespart werden darf. (mb)