Kontrola interneta u programu organizacije. Kako pratiti promet na mreži. Prednosti za sistem administratora

Kontrola interneta u programu organizacije. Kako pratiti promet na mreži. Prednosti za sistem administratora
Kontrola interneta u programu organizacije. Kako pratiti promet na mreži. Prednosti za sistem administratora
26.10.2019

Računari su međusobno povezani pomoću eksternih ili internih mreža. Zahvaljujući tome, korisnici mogu dijeliti informacije jedni s drugima, čak i kada se nalaze na različitim kontinentima.

Kancelarijski softver za kontrolu saobraćaja

Uz pomoć ICS-a možete lako kontrolisati obračun saobraćaja i njegovu distribuciju među korisnicima, uticati na mogućnost povezivanja na Internet resurse po sopstvenom nahođenju i osigurati sigurnost vaše interne mreže.

Školski softver za kontrolu saobraćaja

ICS je univerzalni Internet gateway sa alatima za zaštitu obrazovne mreže, obračun prometa, kontrolu pristupa i implementaciju mail, proxy i file servera.

Program za kontrolu saobraćaja kod kuće

X Lite je besplatni Internet gateway koji pruža sve potrebe za rad sa Internetom kod kuće. X Lite je potpuno opremljena verzija Internet Control Servera, koja uključuje licencu za 8 korisnika.


Vrste mreža

  • Dom - kombinujte računare u jednom stanu ili kući.
  • Korporativni - povežite radne mašine preduzeća.
  • Lokalne mreže - često imaju zatvorenu infrastrukturu.
  • Globalno - povezuje čitave regije i može uključivati ​​lokalne mreže.

Prednosti takve veze su ogromne: štedi se vrijeme specijalistima, smanjuju se računi za telefonske razgovore. A sve ove pogodnosti mogu se svesti na nulu ako se na vrijeme ne vodi računa o sigurnosti.

Firme koje nisu upoznate sa konceptom „kontrole saobraćaja“ trpe velike gubitke ili potpuno ograničavaju pristup informacijama. Postoji lakši način za sigurno spremanje - program za kontrolu prometa na lokalnoj mreži.

Traffic Tracking

Za menadžera je važno da zna na šta se troše sredstva kompanije. Stoga je i sistem administrator uključen u kontrolu mrežnog saobraćaja u kancelariji. Statistike se prikupljaju ne samo po obimu, već i po sadržaju prenesenih informacija.

Zašto vam je potrebna kontrola nad lokalnom mrežom? Iako je odgovor na ovo pitanje očigledan, mnogi sistemski administratori ne mogu opravdati potrebu kontrole potrošnje internet saobraćaja.

Pogodnosti za menadžera

Program kontrole saobraćaja:

  • optimizira rad mreže - uštedom radnog vremena stručnjaka povećava se produktivnost rada;
  • prikazuje distribuciju saobraćaja po korisnicima - omogućava da se sazna kome su potrebni Internet resursi;
  • pokazuje u koje svrhe je potrošen saobraćaj - isključuje neprikladan pristup.

Prednosti za sistem administratora

Praćenje saobraćaja u lokalnoj mreži omogućava vam da:

  • ograničiti pristup korisnika neželjenim informacijama;
  • pravovremeno primati podatke o obimu saobraćaja - isključivanje zagušenja mreže;
  • spriječiti ulazak virusa u mrežu i otkriti narušitelje sigurnosti.

Opcije za implementaciju kontrole

Kontrola internet prometa u korporativnoj mreži može se organizirati na nekoliko načina:

  1. Kupite zaštitni zid sa mogućnošću razlikovanja prometa.
  2. Konfigurirajte proxy servere sa NAT drajverima s funkcijama obračuna prometa.
  3. Koristite različite vrste dodataka.

Samo sveobuhvatno rješenje može pružiti maksimalnu zaštitu. Internet Control Server pruža potpunu kontrolu prometa i nudi sve potrebne funkcionalnosti. ICS je ruter baziran na FreeBSD-u sa ugrađenim proxy serverom.

Prednosti ICS-a

  1. Statističke studije su pokazale da zaposleni 1/3 svog radnog vremena troše na pristup internetu u lične svrhe. Poseban Internet gateway ICS će pomoći u sprečavanju neprikladnog pristupa.
  2. Sistem kontrole potrošnje saobraćaja vodi evidenciju o svim operativnim sistemima korisnika.
  3. ICS nudi fleksibilna podešavanja.
  4. Priprema detaljne izvještaje u prikladnom obliku.

Besplatno preuzimanje!

Započnite odmah - preuzmite demo verziju programa za praćenje internet prometa sa naše web stranice. Sve funkcije našeg rješenja moći ćete koristiti bez ograničenja 35 dana! Nakon završetka probnog perioda, samo trebate kupiti punu verziju naručivanjem ili kontaktiranjem naših menadžera.

Tip organizacije

Odaberite vrstu organizacije Obrazovna ustanova Budžetska ustanova Komercijalna organizacija

Cijene se NE VAŽE za privatne nedržavne ustanove i ustanove poslijediplomskog stručnog obrazovanja

ICS licenca

Uredništvo

Nije potrebno ICS Standard ICS FSTEC

Da biste izračunali trošak FSTEC-a, kontaktirajte odjel prodaje

Vrsta isporuke

ICS ICS + SkyDNS ICS + Kaspersky Web Filtering

Vrsta licence

Nova licenca Proširenje licence Tehnička podrška

Broj korisnika

License Extension

Uputstvo

Podaci se po pravilu javljaju na dva načina: direktnim povezivanjem sa udaljenim računarom, zbog čega je haker u mogućnosti da pregleda fascikle računara i kopira potrebne informacije, i korišćenjem trojanaca. Pronaći rad profesionalno napisanog Trojanca je veoma teško. Ali takvih programa nema toliko, pa u većini slučajeva korisnik primjećuje neke neobičnosti u radu računala, što ukazuje na to da je zaražen. Na primjer, pokušaji povezivanja na mrežu, čudna mrežna aktivnost kada ne otvarate nijednu stranicu itd. itd.

U svim takvim situacijama potrebno je kontrolisati promet, za to možete koristiti standardne Windows alate. Otvorite komandnu liniju: "Start" - "Svi programi" - "Dodatna oprema" - "Komandni redak". Možete ga otvoriti i ovako: "Start" - "Run", zatim ukucajte cmd i pritisnite Enter. Otvoriće se crni prozor, ovo je komandna linija (konzola).

Otkucajte netstat –aon na komandnoj liniji i pritisnite Enter. Pojavit će se lista veza koja prikazuje ip adrese na koje se vaš računar povezuje. U koloni "Status" možete vidjeti status veze - na primjer, linija ESTABLISHED označava da je ova veza aktivna, odnosno da je prisutna u ovom trenutku. Kolona "Spoljna adresa" sadrži ip-adresu udaljenog računara. U koloni "Lokalna adresa" naći ćete informacije o otvorenim portovima na vašem računaru preko kojih se uspostavljaju veze.

Obratite pažnju na posljednju kolonu - PID. Sadrži identifikatore koje je sistem dodijelio trenutnim procesima. Vrlo su korisni u pronalaženju aplikacije odgovorne za veze koje vas zanimaju. Na primjer, vidite da imate uspostavljenu vezu preko nekog porta. Zapamtite PID, a zatim u istom prozoru komandne linije unesite listu zadataka i pritisnite Enter. Pojavit će se lista procesa, u drugoj koloni označeni su identifikatori. Pronalaženjem već poznatog identifikatora možete lako odrediti koja je aplikacija uspostavila ovu vezu. Ako vam naziv procesa nije poznat, unesite ga u pretraživač, odmah ćete dobiti sve potrebne informacije o njemu.

Za kontrolu prometa možete koristiti i posebne programe - na primjer, BWMeter. Uslužni program je koristan po tome što može u potpunosti kontrolirati promet, pokazujući na koje adrese se vaš računar povezuje. Zapamtite da kada je pravilno konfigurisan, ne bi trebalo da bude na mreži kada ne koristite internet - čak i ako je pretraživač pokrenut. U situaciji kada indikator veze u traci povremeno signalizira mrežnu aktivnost, morate pronaći aplikaciju odgovornu za vezu.

Potrošnja saobraćaja prvenstveno je interesantna korisnicima koji nisu u mogućnosti da se povežu na neograničen internet. Saobraćaj se kontrolira posebnim programima ili korištenjem mogućnosti Windows-a.

Windows 8 vam omogućava da kontrolišete saobraćaj bez upotrebe dodatnih programa. Da biste aktivirali brojač prometa, pronađite ikonu mrežne veze na traci zadataka. Nakon što kliknete na ikonu, otvoriće se prozor "Mreže". Odaberite aktivnu vezu i kliknite desnim tasterom miša. U prozoru koji se pojavi, u prvom redu ćete vidjeti “Prikaži informacije o namjeni”. Aktivirajte ovu stavku i u budućnosti, kada otvorite prozor “Mreže”, vidjet ćete statistiku korištenih volumena. U ranijim Windows proizvodima - 7 ili XP, proces inspekcije saobraćaja se izvodi malo drugačije. Nakon povezivanja na Internet, također kliknite lijevom tipkom miša na ikonu veze i odaberite aktivnu mrežu. Koristite desno dugme za navigaciju do „Status“. Ovdje ćete vidjeti količinu dolaznog i odlaznog prometa, koja je prikazana u bajtovima.


Saobraćaj možete kontrolirati pomoću besplatnog programa Networx 5.3.2. Program podržava bilo koju vrstu veze - žičanu, kablovsku, mobilni internet. Networx prikazuje dolazni i odlazni saobraćaj. Možete pregledati statistiku za period koji vas zanima, kao i kontrolisati brzinu internet konekcije. Program vam omogućava da provjerite koliko prometa svaka aplikacija troši.


Program Networx počinje da broji vaš internet saobraćaj od trenutka kada ga instalirate. Program možete konfigurirati tako da prometna aktivnost bude vidljiva na ikoni u traci. Kroz postavke otvorite karticu "Saobraćaj", zatim provjerite potrebne opcije, kao što je prikazano na fotografiji, i sačuvajte dovršene radnje.


Takođe možete postaviti kvotu. Da biste to učinili, odaberite vrstu kvote, promet, sate i mjerne jedinice. Nakon što postavite veličinu kvote, kliknite na “OK”. Kada se potrošnja saobraćaja približi graničnom pragu, program će vas upozoriti na to. Ovo će izbjeći prekoračenje saobraćaja.


Kontrola saobraćaja na mobilnim uređajima zavisi od sistema uređaja. Na primjer, Android sistem može brojati dolazni i odlazni saobraćaj. Da biste to učinili, odaberite stavku "Prijenos podataka" u postavkama i odaberite telekom operatera. Vidjet ćete prozor u kojem će biti prikazani podaci o dolaznom i odlaznom saobraćaju. Osim provjere jačine zvuka, možete postaviti i ograničenje korištenja saobraćaja.


Kontrola potrošnje saobraćaja pomoći će da se izbjegnu nepotrebni troškovi. Čak i ako koristite neograničen internet, povremeno provjeravajte svoju mrežnu aktivnost. Oštar porast potrošnje saobraćaja ukazuje na to da se virus ili trojanac nastanio u sistemu.

Svaki administrator prije ili kasnije dobije instrukciju od menadžmenta: "izračunaj ko ide na mrežu i koliko preuzima." Za provajdere je dopunjen zadacima „puštanja bilo koga unutra, preuzimanja plaćanja, ograničavanja pristupa“. Šta računati? Kako? Gdje? Ima dosta fragmentarnih informacija, nisu strukturirane. Početnog administratora ćemo spasiti od zamornih pretraga tako što ćemo mu pružiti opće znanje i korisne veze do materijala.
U ovom članku pokušat ću opisati principe organizacije prikupljanja, obračuna i kontrole prometa na mreži. Razmotrićemo probleme problema i navesti moguće načine za preuzimanje informacija sa mrežnih uređaja.

Ovo je prvi teorijski članak u nizu članaka posvećenih prikupljanju, računovodstvu, upravljanju i naplati prometa i IT resursa.

Struktura pristupa Internetu

Generalno, struktura pristupa mreži izgleda ovako:
  • Eksterni resursi - Internet, sa svim stranicama, serverima, adresama i ostalim stvarima koje ne pripadaju mreži koju kontrolišete.
  • Pristupni uređaj je ruter (hardverski ili PC baziran), switch, VPN server ili čvorište.
  • Interni resursi - skup računara, podmreža, pretplatnika, čiji se rad u mreži mora uzeti u obzir ili kontrolisati.
  • Server za upravljanje ili računovodstvo - uređaj koji pokreće specijalizovani softver. Može se funkcionalno kombinovati sa softverskim ruterom.
U ovoj strukturi, mrežni promet teče od vanjskih resursa ka internim, i obrnuto, kroz pristupni uređaj. Šalje informacije o prometu na upravljački server. Kontrolni server obrađuje ove informacije, pohranjuje ih u bazu podataka, prikazuje ih, izdaje naredbe za zaključavanje. Međutim, nisu sve kombinacije pristupnih uređaja (metoda) i metoda prikupljanja i upravljanja kompatibilne. Različite opcije će biti razmotrene u nastavku.

Mrežni saobraćaj

Prvo morate definirati što se podrazumijeva pod "mrežnim prometom" i koje korisne statističke informacije se mogu izdvojiti iz toka korisničkih podataka.
IP verzija 4 ostaje dominantan mrežni protokol do sada. IP protokol odgovara 3. sloju OSI modela (L3). Informacije (podaci) između pošiljaoca i primaoca se pakuju u pakete - koji imaju zaglavlje i "korisno opterećenje". Zaglavlje definiše odakle paket dolazi i odakle (IP adrese pošiljaoca i odredišta), veličinu paketa, vrstu tereta. Najveći deo mrežnog saobraćaja čine paketi sa UDP i TCP korisnim opterećenjem - ovo su protokoli Layer 4 (L4). Pored adresa, zaglavlje ova dva protokola sadrži i brojeve portova koji određuju tip usluge (aplikacije) koja prenosi podatke.

Da bi prenijeli IP paket preko žica (ili radija), mrežni uređaji su prisiljeni da ga "umotaju" (inkapsuliraju) u paket protokola Layer 2 (L2). Najčešći protokol ovog tipa je Ethernet. Stvarni prijenos "na žicu" je na 1. nivou. Obično, pristupni uređaj (ruter) ne analizira zaglavlja paketa na nivou višem od 4. (izuzetak su inteligentni zaštitni zidovi).
Informacije iz polja adresa, portova, protokola i brojača dužine iz L3 i L4 zaglavlja paketa podataka čine „izvorni materijal“ koji se koristi u obračunu i upravljanju saobraćajem. Stvarna količina informacija koje treba prenijeti nalazi se u polju Dužina IP zaglavlja (uključujući dužinu samog zaglavlja). Usput, zbog fragmentacije paketa zbog MTU mehanizma, ukupna količina prenesenih podataka uvijek je veća od veličine korisnog opterećenja.

Ukupna dužina IP i TCP/UDP polja paketa koja nas interesuju u ovom kontekstu je 2...10% ukupne dužine paketa. Ako obrađujete i pohranjujete sve ove informacije paket po seriju, neće biti dovoljno resursa. Srećom, velika većina saobraćaja je struktuirana na način da se sastoji od skupa „dijaloga“ između eksternih i internih mrežnih uređaja, takozvanih „tokova“. Na primjer, unutar jedne operacije prosljeđivanja e-pošte (SMTP protokol), otvara se TCP sesija između klijenta i servera. Karakterizira ga konstantan skup parametara (Izvorna IP adresa, Izvorni TCP port, Odredišna IP adresa Odredišni TCP port). Umjesto obrade i pohranjivanja informacija paket po paket, mnogo je zgodnije pohraniti parametre protoka (adrese i portove), kao i dodatne informacije - broj i zbir dužina odaslanih paketa u svakom smjeru, opciono trajanje sesije, sučelje rutera indeksi, vrijednost polja ToS i tako dalje. Ovaj pristup je povoljan za protokole orijentisane na vezu (TCP), gde je moguće eksplicitno presresti trenutak završetka sesije. Međutim, čak i za protokole koji nisu orijentirani na sesiju, moguće je agregirati i logički dovršiti zapis toka, na primjer, timeoutom. Ispod je izvod iz SQL baze podataka našeg vlastitog sistema naplate koji bilježi informacije o tokovima prometa:

Neophodno je napomenuti slučaj kada pristupni uređaj vrši translaciju adresa (NAT, maskiranje) kako bi organizovao pristup Internetu za računare na lokalnoj mreži koristeći jednu, eksternu, javnu IP adresu. U ovom slučaju, poseban mehanizam vrši zamjenu IP adresa i TCP/UDP portova prometnih paketa, zamjenjujući interne (ne rutabilne na Internetu) adrese prema svojoj dinamičkoj tablici prevođenja. U ovoj konfiguraciji, mora se imati na umu da za ispravno snimanje podataka o internim mrežnim hostovima, statistika mora biti prikupljena na način i na mjestu gdje rezultat prijevoda još ne „anonimizira“ interne adrese.

Metode za prikupljanje informacija o prometu / statistika

Možete uhvatiti i obraditi informacije o propuštanju prometa direktno na samom pristupnom uređaju (PC ruter, VPN server), prenijeti ih sa ovog uređaja na poseban server (NetFlow, SNMP) ili „sa žice“ (tap, SPAN). Analizirajmo sve opcije po redu.
PC ruter
Razmotrimo najjednostavniji slučaj - pristupni uređaj (ruter) zasnovan na PC-u s Linux OS-om.

Kako postaviti takav server, prevođenje adresa i rutiranje, mnogo je napisano. Zanima nas sljedeći logičan korak - informacije o tome kako doći do informacija o prometu koji prolazi kroz takav server. Postoje tri uobičajena načina:

  • presretanje (kopiranje) paketa koji prolaze kroz mrežnu karticu servera pomoću biblioteke libpcap
  • presretanje paketa koji prolaze kroz ugrađeni firewall
  • korištenje alata treće strane za pretvaranje statistike po paketu (dobivene jednom od dvije prethodne metode) u tok agregiranih informacija mrežnog toka
libpcap


U prvom slučaju, kopiju paketa koji prolazi kroz interfejs, nakon prolaska kroz filter (man pcap-filter), može zahtevati klijentski program na serveru napisan pomoću ove biblioteke. Paket stiže sa zaglavljem Layer 2 (Ethernet). Moguće je ograničiti dužinu uhvaćene informacije (ako nas zanimaju samo podaci iz njenog zaglavlja). Primjeri takvih programa su tcpdump i Wireshark. Postoji Windows implementacija libpcap. U slučaju korištenja prevođenja adresa na PC ruteru, takvo presretanje se može izvršiti samo na njegovom internom interfejsu povezanom s lokalnim korisnicima. Na eksternom interfejsu, nakon prevođenja, IP paketi ne sadrže informacije o internim hostovima mreže. Međutim, ovom metodom nemoguće je uzeti u obzir promet koji generiše sam server na Internetu (što je važno ako na njemu radi web ili mail servis).

Za rad libpcap potrebna je podrška operativnog sistema, koja se trenutno svodi na instaliranje jedne biblioteke. U tom slučaju, aplikacijski (korisnički) program koji prikuplja pakete mora:

  • otvorite traženi interfejs
  • navedite filter kroz koji će proći primljeni paketi, veličinu uhvaćenog dijela (snaplen), veličinu bafera,
  • postavite promisc parametar, koji mrežno sučelje stavlja u način snimanja za sve pakete koji prolaze općenito, a ne samo one adresirane na MAC adresu ovog sučelja
  • postavite funkciju (povratni poziv) koja će biti pozvana za svaki primljeni paket.

Prilikom prijenosa paketa kroz odabrani interfejs, nakon prolaska filtera, ova funkcija prima bafer koji sadrži Ethernet, (VLAN), IP, itd. zaglavlja, ukupne veličine do snaplena. Pošto biblioteka libcap kopira pakete, nije moguće blokirati njihov prolaz s njom. U ovom slučaju, program za prikupljanje i obradu saobraćaja će morati da koristi alternativne metode, na primer, pozivanje skripte za postavljanje navedene IP adrese u pravilo blokiranja saobraćaja.

Firewall


Snimanje podataka koji prolaze kroz firewall omogućava vam da uzmete u obzir i promet samog servera i promet korisnika mreže, čak i kada je pokrenuta translacija adresa. Glavna stvar u ovom slučaju je pravilno formulirati pravilo hvatanja i staviti ga na pravo mjesto. Ovo pravilo aktivira prijenos paketa prema sistemskoj biblioteci, odakle ga aplikacija za obračun i kontrolu prometa može primiti. Za Linux OS, iptables se koristi kao firewall, a alati za presretanje su ipq, netfliter_queue ili ulog. Za OC FreeBSD - ipfw sa pravilima kao što su tee ili divert . U svakom slučaju, mehanizam firewall-a je dopunjen mogućnošću rada s korisničkim programom na sljedeći način:
  • Korisnički program - rukovalac saobraćaja se registruje u sistemu koristeći sistemski poziv ili biblioteku.
  • Korisnički program ili eksterna skripta postavlja pravilo u firewall-u, "umotavajući" odabrani promet (prema pravilu) unutar rukovatelja.
  • Za svaki prolazni paket, rukovalac prima njegov sadržaj u obliku memorijskog bafera (sa IP zaglavljima itd. Nakon obrade (obračunavanja), program takođe mora reći kernelu operativnog sistema šta dalje da radi sa takvim paketom - odbaci ili Alternativno, moguće je proslijediti izmijenjeni paket kernelu.

Budući da se IP paket ne kopira, već šalje softveru za analizu, postaje moguće "izbaciti" ga, a samim tim i potpuno ili djelomično ograničiti promet određenog tipa (na primjer, odabranom pretplatniku lokalne mreže). Međutim, ako aplikacija prestane da odgovara kernelu o svojoj odluci (na primjer, visi), promet kroz server je jednostavno blokiran.
Treba napomenuti da opisani mehanizmi, uz značajne količine prenesenog saobraćaja, stvaraju preveliko opterećenje servera, što je povezano sa stalnim kopiranjem podataka iz kernela u korisnički program. Metoda prikupljanja statistike na nivou kernela OS nema ovaj nedostatak, sa izdavanjem agregirane statistike aplikacijskom programu koristeći NetFlow protokol.

Netflow
Ovaj protokol je razvio Cisco Systems za izvoz informacija o saobraćaju sa rutera u svrhu obračuna i analize saobraćaja. Najpopularnija sada verzija 5 pruža primaocu strukturirani tok podataka u obliku UDP paketa koji sadrže informacije o prošlom prometu u obliku takozvanih zapisa toka:

Količina informacija o prometu je nekoliko redova veličine manja od samog prometa, što je posebno važno u velikim i distribuiranim mrežama. Naravno, nemoguće je blokirati prijenos informacija prilikom prikupljanja statistike o netflow-u (ako ne koristite dodatne mehanizme).
Trenutno, dalji razvoj ovog protokola postaje popularan - verzija 9, zasnovana na strukturi šablona zapisa toka, implementacija za uređaje drugih proizvođača (sFlow). Nedavno je usvojen IPFIX standard koji omogućava prenos statistike preko protokola dubljih nivoa (na primjer, prema tipu aplikacije).
Implementacija netflow izvora (agenti, sonde) dostupna je za PC rutere, kako u obliku uslužnih programa koji rade prema gore opisanim mehanizmima (flowprobe, softflowd), tako i direktno ugrađenih u jezgro OS (FreeBSD: , Linux: ). Za softverske rutere, tok statistike netflow-a se može primiti i obraditi lokalno na samom ruteru, ili poslati preko mreže (protokol za prijenos - preko UDP-a) do prijemnog uređaja (kolektora).


Program za prikupljanje može prikupiti informacije iz više izvora odjednom, u stanju je razlikovati njihov promet čak i sa preklapajućim adresnim prostorima. Uz pomoć dodatnih alata, kao što je nprobe, moguće je izvršiti i dodatnu agregaciju podataka, bifurkaciju toka ili konverziju protokola, što je važno pri upravljanju velikom i distribuiranom mrežom sa desetinama rutera.

Funkcije netflow izvoza podržavaju rutere Cisco Systems, Mikrotik i neke druge. Sličnu funkcionalnost (sa drugim izvoznim protokolima) podržavaju svi veći proizvođači mrežne opreme.

libpcap "spolja"
Hajde da malo zakomplikujemo zadatak. Šta ako je vaš pristupni uređaj hardverski ruter treće strane? Na primjer, D-Link, ASUS, Trendnet, itd. Na njega je, najvjerovatnije, nemoguće postaviti dodatni softverski alat za dohvaćanje podataka. Alternativno, imate inteligentni pristupni uređaj, ali ga nije moguće konfigurirati (nema prava ili ga kontrolira vaš provajder). U ovom slučaju moguće je prikupljati informacije o prometu direktno na spoju pristupnog uređaja sa internom mrežom, koristeći "hardverska" sredstva za kopiranje paketa. U ovom slučaju će vam sigurno trebati poseban server sa namjenskom mrežnom karticom za primanje kopija Ethernet paketa.
Server mora koristiti mehanizam prikupljanja paketa prema gore opisanoj metodi libpcap, a naš zadatak je da predamo tok podataka identičan izlazu pristupnog servera na ulaz mrežne kartice koji je za to dodijeljen. Za ovo možete koristiti:
  • Ethernet čvorište: Uređaj koji jednostavno prosljeđuje pakete između svih svojih portova neselektivno. U modernim stvarnostima, može se naći negdje u prašnjavom skladištu, a ova metoda se ne preporučuje: nepouzdana, mala brzina (nema čvorišta brzinom od 1 Gbps)
  • Ethernet - prekidač sa mogućnošću preslikavanja (zrcaljenje, SPAN portovi. Moderni inteligentni (i skupi) prekidači omogućavaju vam da kopirate sav promet (dolazni, odlazni, oba) na specificirani port drugog fizičkog interfejsa, VLAN, uključujući i daljinski (RSPAN )
  • Hardverski razdjelnik, koji može zahtijevati instalaciju za prikupljanje dvije mrežne kartice umjesto jedne - i to uz glavnu, sistemsku.


Naravno, možete konfigurisati SPAN port na samom pristupnom uređaju (ruteru), ako to dozvoljava - Cisco Catalyst 6500, Cisco ASA. Evo primjera takve konfiguracije za Cisco switch:
monitor sesije 1 izvorni vlan 100 ! odakle dobijamo pakete
monitor sesija 1 odredišni interfejs Gi6/3! gdje šaljemo pakete?

SNMP
Šta ako nema rutera pod našom kontrolom, nema želje da kontaktiramo netflow, ne zanimaju nas detalji saobraćaja naših korisnika. Oni su jednostavno povezani na mrežu preko upravljanog prekidača, a mi samo trebamo grubo procijeniti količinu saobraćaja koja pada na svaki od njegovih portova. Kao što znate, daljinski upravljani mrežni uređaji podržavaju i mogu prikazati brojače paketa (bajtova) koji prolaze kroz mrežna sučelja. Za njihovo ispitivanje bilo bi ispravno koristiti standardizirani SNMP protokol za daljinsko upravljanje. Koristeći ga, možete jednostavno dobiti ne samo vrijednosti navedenih brojača, već i druge parametre, kao što su naziv i opis sučelja, MAC adrese vidljive kroz njega i druge korisne informacije. To rade i uslužni programi komandne linije (snmpwalk), grafički SNMP pretraživači i sofisticiraniji programi za praćenje mreže (rrdtools, cacti, zabbix, whats up gold, itd.). Međutim, ova metoda ima dva značajna nedostatka:
  • blokiranje prometa može se izvršiti samo potpunim onemogućavanjem sučelja, koristeći isti SNMP
  • brojači saobraćaja uzeti preko SNMP-a odnose se na zbir dužina Ethernet paketa (sa unicast, broadcast i multicast odvojeno), dok ostali ranije opisani alati daju vrijednosti u odnosu na IP pakete. Ovo stvara primjetno odstupanje (posebno kod kratkih paketa) zbog prevelikog opterećenja uzrokovanog dužinom Ethernet zaglavlja (međutim, ovo se može riješiti otprilike: L3_bytes = L2_bytes - L2_packets*38).
VPN
Odvojeno, vrijedi razmotriti slučaj pristupa korisnika mreži eksplicitnim uspostavljanjem veze sa pristupnim serverom. Klasičan primjer je dobro staro dial-up, čiji je analog u modernom svijetu VPN usluge udaljenog pristupa (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)


Pristupni uređaj ne samo da usmjerava korisnički IP promet, već djeluje i kao specijalizirani VPN server i završava logičke tunele (često šifrirane) unutar kojih se prenosi korisnički promet.
Da biste uračunali takav promet, možete koristiti i sve gore opisane alate (i oni su vrlo prikladni za dubinsku analizu po portovima/protokolima), kao i dodatne mehanizme koji pružaju alate za kontrolu pristupa VPN-u. Prije svega, govorit ćemo o RADIUS protokolu. Njegov rad je prilično složena tema. Ukratko ćemo spomenuti da kontrolu (autorizaciju) pristupa VPN serveru (RADIUS klijent) kontroliše posebna aplikacija (RADIUS server), koja ima bazu podataka (tekstualni fajl, SQL, Active Directory) važećih korisnika sa njihovim atributima ( ograničenja brzine veze, dodijeljenih IP adresa). Pored procesa autorizacije, klijent periodično šalje na server računovodstvene poruke, informacije o statusu svake trenutno pokrenute VPN sesije, uključujući brojače prenetih bajtova i paketa.

Zaključak

Hajde da sumiramo sve gore opisane metode prikupljanja saobraćajnih informacija:

Hajde da sumiramo malo. U praksi postoji veliki broj metoda za povezivanje mreže kojom upravljate (sa klijentima ili kancelarijskim pretplatnicima) na eksternu mrežnu infrastrukturu pomoću brojnih pristupnih alata - softverskih i hardverskih rutera, komutatora, VPN servera. Međutim, u gotovo svakom slučaju možete smisliti shemu kada se informacije o prometu koji se prenosi preko mreže mogu usmjeriti na softverski ili hardverski alat za njegovu analizu i kontrolu. Također je moguće da će ovaj alat omogućiti povratnu informaciju pristupnom uređaju, primjenom inteligentnih algoritama ograničenja pristupa za pojedinačne klijente, protokole i još mnogo toga.
Ovim je završena analiza materijala. Od neriješenih tema ostale su:

  • kako i gdje idu prikupljeni podaci o saobraćaju
  • softver za knjigovodstvo saobraćaja
  • koja je razlika između naplate i običnog "šaltera"
  • kako ograničiti saobraćaj
  • snimanje i ograničavanje posjećenih web stranica

Kada se internetska veza plaća prometom, vrlo je korisno znati i kontrolirati količinu primljenih ili prenošenih podataka. Nažalost, ne razumiju svi korisnici da će gledanje filmova na mreži ili upućivanje Skype video poziva koštati mnogo više od obične e-mail korespondencije, te da mnogi programi, dok rade u pozadini, ipak troše određenu količinu prometa. U ovom slučaju pomoći će vam besplatni program za praćenje internetskog prometa na računaru - Networkx.

Instalacija je brza i ne treba birati ništa bitno.

Program Networx ima različite alate kao što su pingovanje, praćenje, mjerenje brzine, ali ćemo razmotriti samo one alate koji su potrebni za kontrolu prometa podataka.

Statistika

Da biste otvorili prozor statistike, potrebno je da kliknete desnim tasterom miša na ikonu Networx i izaberete stavku menija "Statistika".

Otvara se prozor u kojem možete vidjeti ukupan promet po danu, sedmici i mjesecu. Također možete vidjeti statistiku o korisnicima ili napraviti selektivni izvještaj.

Trenutni promet

Stavka menija "Prikaži promet" otvara prozor sa trenutnim grafikonom. Ovdje možete pratiti internet promet na mreži.

Kvota

Ako postoji određeni prag u smislu prometa, nakon prekoračenja kojeg će trošak postati mnogo veći, tada morate automatski pratiti trenutni volumen. Da biste to učinili, program Networx ima "Kvotu". Veoma je važno da program vodi automatsku evidenciju saobraćaja.

Ovaj alat vam omogućava da primite obavještenje nakon prekoračenja bilo koje količine prometa u procentima; odrediti dnevnu, sedmičnu, mjesečnu i dnevnu kvotu; kontrolisati odvojeno dolazni, odlazni ili opšti saobraćaj.

Merenje brzine

Ovdje je sve jasno - mjerenje brzine sa mogućnošću snimanja. Pomoću ovog alata možete pratiti mjerenje brzine tokom određenih radnji ili prilikom pokretanja programa.

Postavke

Meni "Postavke" vam omogućava da postavite ili promijenite sve glavne postavke za program, na primjer: pokretanje pri pokretanju Windowsa, automatska ažuriranja, mjerne jedinice, radnje klika, postavke grafikona i još mnogo toga.


(Posjećeno 6 811 puta, 1 posjeta danas)