Sterowanie Internetem w programie organizacyjnym. Jak śledzić ruch w sieci. Korzyści dla administratora systemu

Sterowanie Internetem w programie organizacyjnym. Jak śledzić ruch w sieci. Korzyści dla administratora systemu
Sterowanie Internetem w programie organizacyjnym. Jak śledzić ruch w sieci. Korzyści dla administratora systemu
26.10.2019

Komputery są połączone ze sobą za pomocą sieci zewnętrznych lub wewnętrznych. Dzięki temu użytkownicy mogą dzielić się między sobą informacjami, nawet będąc na różnych kontynentach.

Oprogramowanie do kontroli ruchu biurowego

Korzystając z ICS, możesz łatwo kontrolować rozliczanie ruchu i jego dystrybucję pomiędzy użytkownikami, wpływać na możliwość łączenia się z zasobami Internetu według własnego uznania i dbać o bezpieczeństwo swojej sieci wewnętrznej.

Oprogramowanie do sterowania ruchem w szkole

ICS to uniwersalna bramka internetowa z narzędziami do ochrony sieci edukacyjnej, rozliczania ruchu, kontroli dostępu oraz wdrażania serwera pocztowego, proxy i plików.

Oprogramowanie do kontroli ruchu w domu

ICS Lite to bezpłatna bramka internetowa, która zapewnia wszystkie Twoje potrzeby internetowe w domu. ICS Lite to w pełni funkcjonalna wersja Internet Control Server, która zawiera licencję dla 8 użytkowników.


Rodzaje sieci

  • Dom - połącz komputery w jednym mieszkaniu lub domu.
  • Korporacyjny - podłącz działające maszyny przedsiębiorstwa.
  • Sieci lokalne często mają zamkniętą infrastrukturę.
  • Globalny – łączy całe regiony i może obejmować sieci lokalne.

Korzyści z takiego połączenia są ogromne: oszczędność czasu specjalistów, rachunki rozmowy telefoniczne. Wszystkie te korzyści można zredukować do zera, jeśli nie zadba się o bezpieczeństwo na czas.

Firmy, które nie są zaznajomione z pojęciem „kontroli ruchu”, ponoszą ogromne straty lub całkowicie ograniczają dostęp do informacji. Jest łatwiejszy sposób na bezpieczne oszczędzanie - program kontroli ruchu w lokalna sieć.

Śledzenie ruchu

Dla menedżera ważne jest, aby wiedzieć, w jaki sposób wydawane są fundusze firmy. Dlatego administrator systemu odpowiada m.in. za monitorowanie ruchu sieciowego w biurze. Gromadzone są statystyki nie tylko dotyczące ilości, ale także treści przekazywanych informacji.

Dlaczego potrzebujesz kontroli sieci lokalnej? Choć odpowiedź na to pytanie jest oczywista, wielu administratorów systemów nie potrafi uzasadnić konieczności kontrolowania zużycia ruchu internetowego.

Korzyści dla menadżera

Program kontroli ruchu:

  • optymalizuje pracę sieci – oszczędzając czas pracy specjalistów, zwiększa się wydajność pracy;
  • pokazuje rozkład ruchu według użytkowników - pozwala dowiedzieć się, kto potrzebuje zasobów Internetu;
  • pokazuje, na jakie cele został wykorzystany ruch - eliminuje niewłaściwy dostęp.

Korzyści dla administratora systemu

Monitorowanie ruchu w sieci lokalnej pozwala na:

  • ograniczać dostęp użytkowników do niechcianych informacji;
  • szybko otrzymuj dane o natężeniu ruchu – unikając przeciążenia sieci;
  • zapobiegaj przedostawaniu się wirusów do sieci i identyfikuj osoby naruszające bezpieczeństwo.

Kontroluj opcje wdrożenia

Monitorowanie ruchu internetowego w sieci firmowej można zorganizować na kilka sposobów:

  1. Kup firewall z możliwością różnicowania ruchu.
  2. Skonfiguruj serwery proxy ze sterownikami NAT z funkcjami rozliczania ruchu.
  3. Używać Różne rodzaje dodatki.

Maksymalna ochrona może być zapewniona jedynie przez kompleksowe rozwiązanie. Internet Control Server zapewnia pełną kontrolę ruchu i oferuje wszystkie niezbędne funkcjonalności. ICS to router z wbudowanym serwerem proxy działający na FreeBSD.

Zalety ICS

  1. Badania statystyczne wykazały, że pracownicy spędzają 1/3 swojego czasu pracy na korzystaniu z Internetu w celach osobistych. Specjalna bramka internetowa ICS pomoże zapobiec nieuprawnionemu dostępowi.
  2. System monitorowania zużycia ruchu prowadzi rejestry w dowolnym systemie operacyjnym użytkownika.
  3. ICS oferuje elastyczne ustawienia.
  4. Przygotowuje szczegółowe raporty w wygodnej formie.

Pobierz za darmo!

Zacznij już teraz - pobierz z naszej strony wersję demonstracyjną programu do monitorowania ruchu internetowego. Ze wszystkich funkcji naszego rozwiązania będziesz mógł korzystać bez ograniczeń przez 35 dni! Po zakończeniu okresu próbnego wystarczy dokonać zakupu pełna wersja składając zamówienie lub kontaktując się z naszymi menedżerami.

Typ organizacji

Wybierz typ organizacji Instytucja edukacyjna Organizacja finansowana przez państwo organizacja handlowa

Ceny NIE DOTYCZĄ prywatnych instytucji pozarządowych i uczelni podyplomowych kształcenie zawodowe

Licencja IKS

Redakcyjny

Nie jest wymagany ICS Standardowy ICS FSTEC

Aby obliczyć koszt FSTEC, skontaktuj się z działem sprzedaży

Typ dostawy

ICS ICS + SkyDNS ICS + Kaspersky Web Filtering

Rodzaj licencji

Nowa licencja Przedłużenie licencji Wsparcie techniczne

Liczba użytkowników

Przedłużenie licencji

Instrukcje

Z reguły dane są pozyskiwane na dwa sposoby: poprzez bezpośrednie połączenie ze zdalnym komputerem, w wyniku czego haker może przeglądać foldery komputera i kopiować potrzebne mu informacje, oraz poprzez wykorzystanie programów trojańskich. Wykrycie profesjonalnie napisanego programu trojańskiego jest bardzo trudne. Ale takich programów nie jest zbyt wiele, dlatego w większości przypadków użytkownik zauważa pewne dziwactwa w działaniu komputera, wskazując, że jest on zainfekowany. Na przykład próby połączenia się z siecią, niejasna aktywność sieciowa, gdy nie otwierasz żadnych stron itp. i tak dalej.

We wszystkich takich sytuacjach konieczne jest monitorowanie ruchu, w tym celu można używać regularnie używając Windowsa. Otwórz wiersz poleceń: „Start” - „Wszystkie programy” - „Akcesoria” - „Wiersz poleceń”. Możesz go otworzyć w ten sposób: „Start” - „Uruchom”, a następnie wprowadź polecenie cmd i naciśnij Enter. Będzie otwarte czarne okno, to jest linia poleceń (konsola).

Wpisz netstat –aon w wierszu poleceń i naciśnij Enter. Pojawi się lista połączeń wskazująca adresy IP, z którymi łączy się Twój komputer. W kolumnie „Status” możesz sprawdzić status połączenia – wskazuje to np. linia ESTABLISHED to połączenie aktywny, czyli obecny w ten moment. Kolumna „Adres zewnętrzny” wskazuje adres IP komputera zdalnego. W kolumnie „Adres lokalny” znajdziesz informację o otwartych portach na Twoim komputerze, przez które realizowane są połączenia.

Zwróć uwagę na ostatnią kolumnę - PID. Pokazuje identyfikatory przypisane przez system do bieżących procesów. Są one bardzo przydatne w odnalezieniu aplikacji odpowiedzialnej za interesujące Cię połączenia. Na przykład widzisz, że masz połączenie przez jakiś port. Zapamiętaj identyfikator PID, a następnie w tym samym oknie wiersz poleceń wpisz lista zadań i naciśnij Enter. Pojawi się lista procesów, jej druga kolumna zawiera identyfikatory. Po znalezieniu znanego już identyfikatora można łatwo określić, która aplikacja nawiązała to połączenie. Jeśli nazwa procesu jest Ci nieznana, wpisz ją w wyszukiwarkę, natychmiast otrzymasz wszystkie niezbędne informacje na jej temat.

Do monitorowania ruchu możesz także użyć specjalnych programów - na przykład BWMeter. Narzędzie jest przydatne, ponieważ może całkowicie kontrolować ruch, wskazując, z którymi adresami łączy się Twój komputer. Pamiętaj o tym kiedy prawidłowe ustawienie nie powinien uzyskiwać dostępu do sieci, gdy nie korzystasz z Internetu - nawet jeśli przeglądarka jest uruchomiona. W sytuacji, gdy wskaźnik połączenia w zasobniku stale sygnalizuje aktywność sieciową, należy znaleźć aplikację odpowiedzialną za połączenie.

Użytkownicy, którzy nie mogą połączyć się z nieograniczonym Internetem, interesują się przede wszystkim zużyciem ruchu. Ruch jest kontrolowany specjalne programy lub korzystając z funkcji systemu Windows.

Windows 8 pozwala kontrolować ruch bez użycia dodatkowe programy. Aby aktywować licznik ruchu, znajdź ikonę połączenia sieciowego na pasku zadań. Po kliknięciu na ikonę otworzy się okno „Sieci”. Wybierz aktywne połączenie i kliknij prawym przyciskiem myszy. W oknie, które się pojawi, w pierwszej linii zobaczysz „Wyświetl informacje o przeznaczeniu”. Aktywuj ten element, a w przyszłości, gdy otworzysz okno „Sieci”, zobaczysz statystyki dotyczące używanych woluminów. We wcześniejszych produktach Windows - 7 lub XP, proces sprawdzania ruchu odbywa się nieco inaczej. Po podłączeniu do Internetu kliknij także lewym przyciskiem myszy ikonę połączenia i wybierz aktywną sieć. Użyj prawego przycisku, aby przejść do „Stan”. Tutaj zobaczysz wielkość ruchu przychodzącego i wychodzącego, która jest pokazana w bajtach.


Możesz kontrolować ruch za pomocą bezpłatnego programu Networx 5.3.2. Program obsługuje każdy rodzaj połączenia - przewodowe, kablowe, Internet mobilny. Networx pokazuje ruch przychodzący i wychodzący. Możesz przeglądać statystyki za interesujący Cię okres, a także monitorować prędkość swojego łącza internetowego. Program pozwala sprawdzić, ile ruchu zużywa każda aplikacja.


Program Networx zaczyna zliczać Twój ruch internetowy od momentu instalacji. Możesz skonfigurować program tak, aby aktywność ruchowa była widoczna na ikonie w zasobniku. W ustawieniach otwórz zakładkę „Ruch”, następnie zaznacz niezbędne opcje, jak pokazano na zdjęciu, i zapisz wykonane działania.


Możesz także ustawić limit. Aby to zrobić, wybierz rodzaj limitu, ruch, godziny i jednostki miary. Po ustawieniu wielkości przydziału kliknij „OK”. Gdy zużycie ruchu zbliży się do progu limitu, program ostrzeże Cię o tym. Pozwoli to uniknąć przekroczeń ruchu.


Kontrola ruchu włączona urządzenia mobilne zależy od systemu urządzenia. Na przykład system Android jest w stanie zliczać ruch przychodzący i wychodzący. Aby to zrobić, musisz w ustawieniach wybrać „Transfer danych” i wybrać operatora telekomunikacyjnego. Otworzy się okno, w którym zostaną wyświetlone dane o ruchu przychodzącym i wychodzącym. Oprócz sprawdzania głośności możesz ustawić limit wykorzystania ruchu.


Kontrolowanie zużycia ruchu pozwoli Ci uniknąć niepotrzebnych wydatków. Nawet jeśli korzystasz z nieograniczonego Internetu, okresowo sprawdzaj swoją aktywność w sieci. Gwałtownie zwiększone obciążenie ruchem oznacza, że ​​w systemie zamieszkał wirus lub trojan.

Każdy administrator prędzej czy później otrzymuje instrukcje od kierownictwa: „licz, kto korzysta z Internetu i ile pobiera”. Dla dostawców uzupełniają je zadania „wpuszczania, kto tego potrzebuje, przyjmowania płatności, ograniczania dostępu”. Co liczyć? Jak? Gdzie? Jest dużo fragmentarycznych informacji, nie są one uporządkowane. Uratujemy początkującego administratora od żmudnych poszukiwań, udostępniając mu wiedza ogólna, I Przydatne linki dla materiałów.
W tym artykule postaram się opisać zasady organizacji gromadzenia, rozliczania i kontroli ruchu w sieci. Rozważymy problemy problemu i listę możliwe sposoby Pobieranie informacji z urządzeń sieciowych.

Jest to pierwszy artykuł teoretyczny z serii artykułów poświęconych gromadzeniu, rozliczaniu, zarządzaniu i rozliczaniu ruchu oraz zasobów IT.

Struktura dostępu do Internetu

Ogólnie struktura dostępu do sieci wygląda następująco:
  • Zasoby zewnętrzne - Internet ze wszystkimi witrynami, serwerami, adresami i innymi rzeczami, które nie należą do kontrolowanej przez Ciebie sieci.
  • Urządzenie dostępowe – router (sprzętowy lub komputerowy), przełącznik, serwer VPN lub koncentrator.
  • Zasoby wewnętrzne to zbiór komputerów, podsieci, abonentów, których działanie w sieci musi być brane pod uwagę lub kontrolowane.
  • Serwer zarządzający lub księgowy to urządzenie, na którym specjalizuje się oprogramowanie. Można go funkcjonalnie połączyć z routerem programowym.
W tej strukturze ruch sieciowy przechodzi z zasobów zewnętrznych do wewnętrznych i z powrotem przez urządzenie dostępowe. Przesyła informacje o ruchu do serwera zarządzania. Serwer sterujący przetwarza te informacje, przechowuje je w bazie danych, wyświetla i wydaje polecenia blokujące. Jednakże nie wszystkie kombinacje urządzeń dostępowych (metod) oraz metod zbierania i kontroli są kompatybilne. O różne opcje i zostaną omówione poniżej.

Ruch sieciowy

Na początek należy zdefiniować, co oznacza „ruch sieciowy” i jakie przydatne informacje statystyczne można uzyskać ze strumienia danych użytkownika.
Dominującym protokołem sieciowym jest nadal IP w wersji 4. Protokół IP odpowiada warstwie 3 modelu OSI (L3). Informacje (dane) pomiędzy nadawcą a odbiorcą są pakowane w pakiety - posiadające nagłówek i „ładunek”. Tytuł określa gdzie i gdzie on idzie pakiet (adresy IP nadawcy i odbiorcy), rozmiar pakietu, typ ładunku. Większość ruchu sieciowego składa się z pakietów zawierających ładunki UDP i TCP – są to protokoły warstwy 4 (L4). Oprócz adresów nagłówek tych dwóch protokołów zawiera numery portów, które określają rodzaj usługi (aplikacji) przesyłającej dane.

Aby przesłać pakiet IP drogą kablową (lub radiową), urządzenia sieciowe zmuszone są go „owinąć” (hermetkować) w pakiecie protokołu warstwy 2 (L2). Najpopularniejszym protokołem tego typu jest Ethernet. Właściwa transmisja „na drut” następuje na pierwszym poziomie. Zwykle urządzenie dostępowe (router) nie analizuje nagłówków pakietów na poziomach wyższych niż poziom 4 (wyjątek stanowią inteligentne zapory sieciowe).
Informacje z pól adresów, portów, protokołów i liczników długości z nagłówków L3 i L4 pakietów danych stanowią „ surowiec”, który jest stosowany w rozliczaniu i zarządzaniu ruchem. Rzeczywista ilość przesyłanych informacji znajduje się w polu Długość nagłówka IP (w tym długość samego nagłówka). Nawiasem mówiąc, ze względu na fragmentację pakietów wynikającą z mechanizmu MTU, całkowita ilość przesyłanych danych jest zawsze większy rozmiarładunek.

Całkowita długość pól IP i TCP/UDP pakietu, które nas interesują w tym kontekście, wynosi 2...10% całkowitej długości pakietu. Jeśli będziesz przetwarzać i przechowywać wszystkie te informacje partiami, nie będzie wystarczających zasobów. Na szczęście zdecydowana większość ruchu składa się z serii „rozmów” między zewnętrznymi i wewnętrznymi urządzeniami sieciowymi, zwanych „przepływami”. Przykładowo w ramach jednej operacji wysłania wiadomości e-mail (protokół SMTP) pomiędzy klientem a serwerem otwierana jest sesja TCP. Charakteryzuje się stałym zestawem parametrów (źródłowy adres IP, źródłowy port TCP, docelowy adres IP, docelowy port TCP). Zamiast przetwarzać i przechowywać informacje partiami, znacznie wygodniej jest przechowywać parametry przepływu (adresy i porty), a także Dodatkowe informacje– liczba i suma długości przesyłanych pakietów w każdym kierunku, opcjonalnie czas trwania sesji, indeksy interfejsów routera, wartość pola ToS itp. Takie podejście jest korzystne w przypadku protokołów zorientowanych na połączenie (TCP), gdzie możliwe jest jawne przechwycenie zakończenia sesji. Jednak nawet w przypadku protokołów niezorientowanych na sesję możliwe jest wykonanie agregacji i logicznego uzupełnienia rekordu przepływu na przykład w oparciu o limit czasu. Poniżej fragment bazy SQL naszego własnego systemu bilingowego, który rejestruje informacje o potokach ruchu:

Należy zwrócić uwagę na przypadek, gdy urządzenie dostępowe wykonuje translację adresów (NAT, maskaradę) w celu zorganizowania dostępu do Internetu dla komputerów sieci lokalnej przy użyciu jednego, zewnętrznego, publicznego adresu IP. W tym przypadku specjalny mechanizm zastępuje adresy IP i porty TCP/UDP pakietów ruchu, zastępując adresy wewnętrzne (nieroutowalne w Internecie) zgodnie z tablicą dynamicznej translacji. W tej konfiguracji należy pamiętać, że aby poprawnie rejestrować dane o hostach w sieci wewnętrznej, statystyki muszą być zbierane w taki sposób i w takim miejscu, aby wynik tłumaczenia nie „anonimizował” jeszcze adresów wewnętrznych.

Metody gromadzenia informacji o ruchu/statystykach

Możesz przechwytywać i przetwarzać informacje o przekazywaniu ruchu bezpośrednio na samym urządzeniu dostępowym (router PC, serwer VPN), przekazując go z tego urządzenia na osobny serwer (NetFlow, SNMP) lub „z przewodu” (tap, SPAN). Przyjrzyjmy się wszystkim opcjom w kolejności.
router komputerowy
Rozważmy najprostszy przypadek - urządzenie dostępowe (router) oparte na komputerze PC z systemem Linux.

Jak skonfigurować taki serwer, translację adresów i routing, wiele napisano. Nas interesuje kolejny logiczny krok – informacja jak pozyskać informację o ruchu przechodzącym przez taki serwer. Istnieją trzy popularne metody:

  • przechwytywanie (kopiowanie) pakietów przechodzących przez kartę sieciową serwera przy użyciu biblioteki libpcap
  • przechwytywanie pakietów przechodzących przez wbudowaną zaporę ogniową
  • korzystanie z narzędzi innych firm do konwertowania statystyk pakiet po pakiecie (uzyskanych jedną z dwóch poprzednich metod) na zagregowany strumień informacji netflow
Libpcap


W pierwszym przypadku kopia pakietu przechodzącego przez interfejs, po przejściu przez filtr (man pcap-filter), może zażądać program kliencki na serwerze napisany przy użyciu tej biblioteki. Pakiet dociera z nagłówkiem warstwy 2 (Ethernet). Istnieje możliwość ograniczenia długości przechwytywanych informacji (jeśli interesują nas tylko informacje z ich nagłówka). Przykładami takich programów są tcpdump i Wireshark. Istnieje implementacja libpcap dla systemu Windows. Jeśli na routerze PC stosowana jest translacja adresów, takie przechwytywanie można przeprowadzić wyłącznie na jego wewnętrznym interfejsie połączonym z użytkownikami lokalnymi. Na interfejsie zewnętrznym po translacji pakiety IP nie zawierają informacji o wewnętrznych hostach sieci. Jednak przy tej metodzie nie ma możliwości uwzględnienia ruchu generowanego przez sam serwer w Internecie (co jest istotne, jeśli działa on w trybie WWW lub Poczta).

libpcap wymaga wsparcia z zewnątrz system operacyjny, co obecnie sprowadza się do zainstalowania pojedynczej biblioteki. W takim przypadku aplikacja (użytkownik) zbierająca pakiety musi:

  • otwórz wymagany interfejs
  • określić filtr, przez który będą przepuszczane odebrane pakiety, rozmiar przechwytywanej części (snaplen), rozmiar bufora,
  • ustaw parametr promisc, który ustawia interfejs sieciowy w tryb przechwytywania wszystkich przechodzących pakietów, a nie tylko tych adresowanych na adres MAC tego interfejsu
  • ustaw funkcję (callback) wywoływaną dla każdego odebranego pakietu.

Gdy pakiet jest przesyłany przez wybrany interfejs, po przejściu filtra, funkcja ta odbiera bufor zawierający Ethernet, (VLAN), IP itp. nagłówki, całkowity rozmiar do Snaplena. Ponieważ biblioteka libcap kopiuje pakiety, nie można jej używać do blokowania ich przesyłania. W takim przypadku konieczne będzie użycie programu do gromadzenia i przetwarzania ruchu metody alternatywne na przykład wywołanie skryptu w celu umieszczenia danego adresu IP w regule blokowania ruchu.

Zapora sieciowa


Przechwytywanie danych przechodzących przez zaporę sieciową pozwala uwzględnić zarówno ruch samego serwera, jak i ruch użytkowników sieci, nawet gdy trwa translacja adresów. Najważniejsze w tym przypadku jest prawidłowe sformułowanie reguły przechwytywania i jej wprowadzenie Właściwe miejsce. Reguła ta aktywuje przesyłanie pakietu do biblioteki systemowej, skąd może go odebrać aplikacja rozliczająca i zarządzająca ruchem. W systemie operacyjnym Linux iptables służy jako zapora ogniowa, a narzędziami przechwytującymi są ipq, netfliter_queue lub ulog. Dla OC FreeBSD – ipfw z regułami takimi jak tee lub przekierowanie. W każdym razie mechanizm zapory sieciowej uzupełnia możliwość pracy z programem użytkownika w następujący sposób:
  • Program użytkownika - moduł obsługi ruchu - rejestruje się w systemie za pomocą wywołania systemowego lub biblioteki.
  • Program użytkownika lub zewnętrzny skrypt instaluje regułę w zaporze sieciowej, „opakując” wybrany ruch (zgodnie z regułą) wewnątrz modułu obsługi.
  • Za każdy przechodzący pakiet procedura obsługi otrzymuje jego zawartość w postaci bufora pamięci (z nagłówkami IP itp. Po przetworzeniu (rozliczeniu) program musi także poinformować jądro systemu operacyjnego, co dalej z takim pakietem zrobić - odrzucić go lub przekaż go dalej. Alternatywnie możliwe jest przekazanie zmodyfikowanego pakietu do jądra.

Ponieważ pakiet IP nie jest kopiowany, ale wysyłany do oprogramowania w celu analizy, istnieje możliwość jego „wyrzucenia”, a co za tym idzie, całkowitego lub częściowego ograniczenia ruchu określonego typu (na przykład do wybranego abonenta sieci lokalnej). Jeśli jednak aplikacja przestanie odpowiadać jądru na swoją decyzję (na przykład zawiesi się), ruch przez serwer zostanie po prostu zablokowany.
Należy zaznaczyć, że opisywane mechanizmy przy znacznych wolumenach przesyłanego ruchu powodują nadmierne obciążenie serwera, co wiąże się z ciągłym kopiowaniem danych z jądra do programu użytkownika. Metoda zbierania statystyk na poziomie jądra systemu operacyjnego, z danymi wyjściowymi program aplikacyjny zagregowane statystyki z wykorzystaniem protokołu NetFlow.

Przepływy netto
Protokół ten został opracowany przez firmę Cisco Systems w celu eksportowania informacji o ruchu z routerów w celu rozliczania i analizy ruchu. Najpopularniejsza wersja 5 udostępnia teraz odbiorcy strumień ustrukturyzowanych danych w postaci pakietów UDP zawierających informacje o przeszłym ruchu w postaci tzw. zapisów przepływów:

Ilość informacji o ruchu jest o kilka rzędów wielkości mniejsza niż sam ruch, co jest szczególnie ważne w dużych i rozproszonych sieciach. Oczywiście nie ma możliwości zablokowania przesyłania informacji podczas zbierania statystyk poprzez netflow (chyba że zostaną zastosowane dodatkowe mechanizmy).
Obecnie popularne staje się dalsze rozwinięcie tego protokołu - wersja 9, oparta na szablonowej strukturze rekordu przepływu, implementacja dla urządzeń innych producentów (sFlow). Niedawno przyjęto standard IPFIX, który umożliwia przesyłanie statystyk za pośrednictwem protokołów na głębszych poziomach (na przykład według typu aplikacji).
Implementacja źródeł netflow (agentów, sond) dostępna jest dla routerów PC, zarówno w postaci narzędzi działających według opisanych powyżej mechanizmów (flowprobe, softflowd), jak i bezpośrednio wbudowanych w jądro systemu operacyjnego (FreeBSD:, Linux:). W przypadku routerów programowych strumień statystyk przepływu sieci może być odbierany i przetwarzany lokalnie na samym routerze lub wysyłany przez sieć (protokół przesyłania - przez UDP) do urządzenia odbiorczego (kolektora).


Program zbierający może zbierać informacje z wielu źródeł jednocześnie, będąc w stanie rozróżnić ich ruch nawet w przypadku nakładających się przestrzeni adresowych. Z pomocą dodatkowe fundusze jak nprobe, możliwa jest także dodatkowa agregacja danych, bifurkacja strumieni czy konwersja protokołów, co jest istotne przy zarządzaniu dużymi i sieć rozproszona z dziesiątkami routerów.

Funkcje eksportu Netflow obsługują routery firm Cisco Systems, Mikrotik i niektórych innych. Podobna funkcjonalność (z innymi protokołami eksportu) jest obsługiwana przez wszystkich głównych producentów sprzętu sieciowego.

Libpcap „na zewnątrz”
Skomplikujmy trochę zadanie. Co się stanie, jeśli Twoim urządzeniem dostępowym będzie router sprzętowy innego producenta? Na przykład D-Link, ASUS, Trendnet itp. Najprawdopodobniej nie da się zainstalować dodatkowych narzędzie programowe zbieranie danych. Alternatywnie masz inteligentne urządzenie dostępowe, ale nie możesz go skonfigurować (nie masz uprawnień lub zarządza nim Twój dostawca). W takim przypadku możesz zbierać informacje o ruchu drogowym bezpośrednio w miejscu spotkania urządzenia dostępowego wewnętrzna sieć, używając „sprzętowych” sposobów kopiowania pakietów. W takim przypadku na pewno będziesz potrzebować osobnego serwera z dedykowaną kartą sieciową, aby odbierać kopie pakietów Ethernet.
Serwer musi wykorzystywać mechanizm zbierania pakietów wykorzystując opisaną powyżej metodę libpcap, a naszym zadaniem jest przesłanie strumienia danych identycznego z tym, który przychodzi z serwera dostępowego na wejście dedykowanej do tego karty sieciowej. W tym celu możesz użyć:
  • Ethernet – koncentrator (koncentrator): urządzenie, które po prostu przekazuje pakiety pomiędzy wszystkimi swoimi portami w sposób masowy. W współczesne realia można go znaleźć gdzieś w zakurzonym magazynie i metoda ta nie jest zalecana: jest zawodna, niska prędkość(nie ma koncentratorów o prędkości 1 Gbit/s)
  • Ethernet to przełącznik z możliwością tworzenia kopii lustrzanych (mirroringu, portów SPAN). Nowoczesne inteligentne (i drogie) przełączniki umożliwiają kopiowanie całego ruchu (przychodzącego, wychodzącego, obu) innego interfejsu fizycznego, VLAN, w tym zdalnego (RSPAN) do określonego Port.
  • Rozgałęźnik sprzętowy, który może wymagać instalacji w celu zebrania dwóch karty sieciowe zamiast jednego - i to jest dodatek do głównego, systemowego.


Oczywiście możesz skonfigurować port SPAN na samym urządzeniu dostępowym (routerze), jeśli na to pozwala - Cisco Catalyst 6500, Cisco ASA. Oto przykład takiej konfiguracji dla przełącznika Cisco:
monitoruj sesję 1 źródłową sieć VLAN 100 ! skąd mamy paczki?
monitoruj interfejs docelowy sesji 1 Gi6/3! gdzie wydajemy paczki?

SNMP
A co jeśli nie mamy pod kontrolą routera, nie chcemy kontaktować się z netflow, nie interesują nas szczegóły ruchu naszych użytkowników. Są one po prostu podłączone do sieci za pomocą zarządzanego przełącznika, a my musimy tylko z grubsza oszacować wielkość ruchu docierającego do każdego z jego portów. Jak wiadomo, urządzenia sieciowe mają taką możliwość pilot obsługi i może wyświetlać liczniki pakietów (bajtów) przechodzących przez interfejsy sieciowe. Do ich odpytywania właściwe byłoby użycie standardowego protokołu zdalnego zarządzania SNMP. Za jego pomocą można w prosty sposób uzyskać nie tylko wartości określonych liczników, ale także inne parametry, takie jak nazwa i opis interfejsu, widoczne przez niego adresy MAC i inne przydatna informacja. Odbywa się to zarówno za pomocą narzędzi wiersza poleceń (snmpwalk), graficznych przeglądarek SNMP, jak i bardziej złożonych programów do monitorowania sieci (rrdtools, cacti, zabbix, whats up gold itp.). Jednakże, Ta metoda ma dwie istotne wady:
  • Blokowanie ruchu może odbywać się wyłącznie poprzez całkowite wyłączenie interfejs, używając tego samego protokołu SNMP
  • liczniki ruchu pobierane poprzez SNMP odnoszą się do sumy długości pakietów Ethernet (oddzielnie unicast, broadcast i multicast), natomiast reszta wcześniej opisanych narzędzi podaje wartości w odniesieniu do pakietów IP. Tworzy to zauważalną rozbieżność (szczególnie w przypadku krótkich pakietów) ze względu na obciążenie spowodowane długością nagłówka Ethernet (jednak można temu w przybliżeniu zaradzić: L3_byte = L2_byte - L2_packets * 38).
VPN
Osobno warto rozważyć przypadek dostępu użytkownika do sieci poprzez jawne nawiązanie połączenia z serwerem dostępowym. Klasyczny przykład może służyć jako stary dobry dial-up, którego odpowiednik w nowoczesny świat to usługi VPN zdalny dostęp(PPTP, PPPoE, L2TP, OpenVPN, IPSEC)


Urządzenie dostępowe nie tylko kieruje ruchem IP użytkowników, ale także pełni funkcję wyspecjalizowanego serwera VPN i kończy logiczne tunele (często szyfrowane), w obrębie których przesyłany jest ruch użytkowników.
Do rozliczenia takiego ruchu można wykorzystać wszystkie narzędzia opisane powyżej (a świetnie nadają się one do głębokiej analizy według portów/protokołów), a także dodatkowe mechanizmy udostępniające narzędzia kontroli dostępu VPN. Przede wszystkim porozmawiamy o protokole RADIUS. Jego twórczość to dość złożony temat. Wspomnimy krótko, że kontrolą (autoryzacją) dostępu do serwera VPN (klienta RADIUS) zarządza specjalna aplikacja(serwer RADIUS), który posiada bazę danych (plik tekstowy, SQL, Active Directory) aktualnych użytkowników wraz z ich atrybutami (ograniczenia prędkości połączenia, przypisane adresy IP). Oprócz procesu autoryzacji klient okresowo przesyła do serwera komunikaty rozliczeniowe, informacje o stanie każdej aktualnie uruchomionej sesji VPN, w tym liczniki przesłanych bajtów i pakietów.

Wniosek

Połączmy wszystkie opisane powyżej metody gromadzenia informacji o ruchu drogowym:

Podsumujmy. W praktyce tak jest duża liczba sposoby podłączenia sieci, którą zarządzasz (z klientami lub abonentami biurowymi) do zewnętrznej infrastruktury sieciowej, z wykorzystaniem szeregu środków dostępu - routerów programowych i sprzętowych, przełączników, serwerów VPN. Jednak prawie w każdym przypadku można wymyślić schemat, w którym informacje o ruchu przesyłanym w sieci można kierować do oprogramowania lub sprzęt komputerowy jego analizę i zarządzanie. Możliwe jest również, że to narzędzie na to pozwoli informacja zwrotna z urządzeniem dostępowym, wykorzystując inteligentne algorytmy ograniczania dostępu dla poszczególnych klientów, protokołów i nie tylko.
Na tym zakończę analizę materiału. Pozostałe tematy bez odpowiedzi to:

  • jak i dokąd trafiają zebrane dane o ruchu
  • oprogramowanie do rozliczania ruchu
  • Jaka jest różnica między fakturowaniem a prostym „licznikiem”
  • Jak nałożyć ograniczenia w ruchu?
  • rozliczanie i ograniczanie odwiedzanych stron internetowych

Kiedy połączenie internetowe jest opłacane przez ruch, bardzo przydatna jest wiedza i kontrola ilości odbieranych lub przesyłanych danych. Niestety nie wszyscy użytkownicy rozumieją, że oglądanie filmów online lub prowadzenie rozmów wideo na Skype będzie kosztować znacznie więcej niż tylko rozmowa e-mail, oraz że wiele programów działających w tle nadal zużywa pewną ilość ruchu. W tym przypadku pomoże darmowy program do monitorowania ruchu internetowego na komputerze - Networx.

Instalacja jest szybka i nie musisz wybierać niczego ważnego.

Oprogramowanie Networx ma różne instrumenty, takie jak pingowanie, śledzenie, pomiar prędkości, ale rozważymy tylko te narzędzia, które są potrzebne do kontrolowania ruchu danych.

Statystyka

Aby otworzyć okno statystyk, należy kliknąć prawym przyciskiem myszy ikonę Networx i wybrać pozycję menu „Statystyki”.

Otworzy się okno, w którym możesz zobaczyć całkowity ruch w ujęciu dziennym, tygodniowym i miesięcznym. Możesz także przeglądać statystyki dotyczące użytkowników lub sporządzić wybiórczy raport.

Aktualny ruch

Punkt menu „Pokaż ruch” otwiera okno z aktualny harmonogram. Tutaj możesz monitorować ruch internetowy online.

Kontyngent

Jeśli istnieje określony próg ruchu, po przekroczeniu którego koszt będzie znacznie wyższy, konieczne jest automatyczne monitorowanie bieżącego wolumenu. W tym celu program Networx ma „Przydział”. Bardzo ważne jest, aby program prowadził automatyczną rejestrację ruchu.

Narzędzie to pozwala na otrzymanie powiadomienia po przekroczeniu określonego natężenia ruchu w ujęciu procentowym; ustalaj limity dzienne, tygodniowe, miesięczne i dzienne; sterować oddzielnie ruchem przychodzącym, wychodzącym lub ogólnym.

Pomiar prędkości

Tutaj wszystko jest jasne - pomiar prędkości z możliwością rejestracji. Za pomocą tego narzędzia możesz śledzić pomiary prędkości podczas określonych czynności lub uruchomień programów.

Ustawienia

Menu „Ustawienia” umożliwia ustawienie lub zmianę wszystkich podstawowych ustawień programu, np.: uruchamianie przy starcie systemu Windows, automatyczna aktualizacja, jednostki miary, działania związane z kliknięciami, konfigurowanie wykresów itp.


(Odwiedziono 6811 razy, 1 odwiedzin dzisiaj)