Мониторинг трафика в локальной сети для администратора


Мониторинг локальной сети: системы и методы работы

Программное обеспечение «Мониторинг сети» является инструментом мониторинга серверов и других устройств локальной сети. «Мониторинг сети» следит за состоянием сети и сообщает администратору обо всех сбоях и неполадках — обрыве связи, завершении свободного места на диске сервера, и т.д.

Ежедневно и ежеминутно на рабочем месте системный администратор получает огромный поток информации о работе локальных сетей, сетевого оборудования, сообщений от пользователей, ставит перед собой десятки задач, реализация которых должна решать уже имеющиеся и предупреждать новые проблемы. Часто с таким массивом данных справиться бывает довольно трудно. В этой ситуации возникает естественное желание систематизировать всю массу информации, поступающую непрерывным потоком, чтобы легче ее было анализировать и на ее основе принимать решения. Ведь если системный администратор будет распылять свое внимание на мелочи или уделять его только одной проблеме, то игнорирование остальных данных может привести к возникновению десятка других серьезных проблем. А, как известно, незначительные потери информации или даже непродолжительные простои в работе хотя бы одной из систем организации могут привести к утере доверия клиентов, а затем к потере и самих клиентов компании.

Каков же выход? Весьма простой: внедрение на предприятии системы мониторинга сети. Данная система осуществляет непрерывный (в режиме 24/7) мониторинг критических для работы организации узлов для выявления неполадок и скорейшего их устранения.

Например, к самым распространенным проверкам можно отнести: мониторинг ТСР-портов сетевых устройств, портов на свитчах, доступности всех серверов и служб компании, состояния принтеров, служб, баз данных, WMI-параметров на ПК, существования процесса, существования папок, свободного места на диске, загрузки процессора и еще несколько десятков других проверок.

Главное же назначение системы мониторинга — оповещение системного администратора, если в работе локальной сети происходят какие-то сбои.

Мониторинг сети можно осуществлять с помощью специализированного программного обеспечения, которое устанавливается на компьютер администратора или сразу на сервер компании.

После этого настраивается список проверок, к которому нужно отнестись крайне внимательно, поскольку каждая из них дает определенную информацию о состоянии системы. Так, на основе «пинга» открытых ТСР-портов можно сделать вывод о наличии в сети или отсутствии в ней «троянов» и «червей». Мониторинг МАС-адресов помогает узнать о неисправности устройства или о попытках подключения к сети извне. Мониторинг времени отклика сетевых устройств позволяет сделать выводы об их загруженности и способах устранения данной проблемы и т.д.

Благодаря различным оповещениям, которые программа мониторинга отправляет системному администратору при определенных условиях (например, при превышении времени отклика устройства или открытия какого-либо порта), он получает возможность отреагировать на сбой моментально, еще до того, как неполадка станет критической, и ситуация выйдет из-под контроля, ставя под угрозу работу всей организации.

Помимо всего прочего, программа мониторинга сети имеет еще одну весьма важную особенность, необходимую в условиях бесконечного потока огромного массива информации. Она способна самостоятельно реагировать на некоторые из мелких неполадок (конечно, при соответствующей настройке администратором). При определенных условиях она может запускать внешнюю программу на удаленном хосте, VB- или JS-скрипт, перезапустить или остановить работу службы или компьютера. Данная функция избавляет системного администратора от необходимости реагировать на некритичные сбои и направляет его работу на решение более сложных и срочных проблем.

Внедрение системы мониторинга сети на предприятии это не простое осваивание ИТ-бюджета или дань моде. Это необходимый инструмент, который, в конечном счете, не только облегчает жизнь сисадмину, беря часть его забот на себя, но становится залогом стабильной работы предприятия и ее репутации, которые зависят от работы ее систем.

Для мониторинга сетевого оборудования существует множество программ. Для лучшего восприятия принципа работы подобных программ рассмотрим одну из них «10-Страйк». (Рисунок 1.)

Рисунок 1. «10-Страйк: Мониторинг Сети» — программа проверки состояния серверов и сетевого оборудования

Эта программа даст нам возможность:

  • — мониторинга сетевых устройств: коммутаторов, серверов, роутеров,
  • — мониторинга служб, баз данных, портов TCP,
  • — мониторинга температуры, напряжения, места на дисках и прочих параметров по SNMP и WMI.

А так же позволит анализировать статистику мониторинга, с предоставленными графиками и отчетами.

Программы позволит узнать о происходящих проблемах (повреждение канала связи, разрыв соединения, завершение места на дисках, останов служб и процессов, отказ баз данных и т.п.) с помощью программы мониторинга сети можно устранить проблему как можно раньше до момента, когда ситуация выйдет из-под контроля, будут потеряны данные или нарушены бизнес-процессы предприятия. Гибкая настройка сигнализации позволит не только получить оповещение, но и произвести автоматическую попытку восстановления работоспособности при помощи запуска скрипта и т.п.

Программы мониторинга сети позволяют своевременно оповещать владельца или обслуживающий персонал о возникших неполадках на сервере, оборудовании, а также о возможности их возникновения.

Программа реализована в виде службы и может быть установлена на сервере или рабочей станции Windows для мониторинга сети и выдачи оповещений в круглосуточном режиме без необходимости входа под какой-либо учетной записью. Программа сигнализирует о проблемах с помощью звука, записи в лог, экранных сообщений, а также с помощью e-mail и SMS (SMS могут отсылаться напрямую через подключенный телефон или 3G-модем, не требуя соединения с Интернетом). Можно автоматически запускать внешние программы, скрипты и службы, а также перезагружать компьютеры и службы для восстановления их работы.

Программа позволяет вести мониторинг служб, серверов, хостов, папок, файлов, баз данных и процессов на компьютерах сети и сетевом оборудовании (посмотреть полный список типов проверок). Дополнительно можно использовать собственные скрипты в качестве проверок устройств и служб. Можно контролировать различные переменные в управляемых коммутаторах и серверах по протоколу SNMP и WMI. Программа может отображать графики изменения этих переменных в реальном времени, а также накапливать статистику по результатам мониторинга для последующей аналитики и отчетности. (Рисунок 2.)

Рисунок 2. Схема сети предприятия

С помощью 10-Страйк можно контролировать наличие свободного места на дисках, нагрузку на процессор, следите за надежностью и временем отклика каналов связи, предупреждая неприятные последствия и затраты на восстановление работоспособности и данных.

К неполадкам можно отнести разрыв связи, сбои в работе баз данных, критическое количество места на диске, остановка используемых служб и многие другие. Программа 10-Страйк поможет заблаговременно сообщить о проблеме, для ее устранения с минимальными потерями времени, не дожидаясь того момента, пока ситуация не выйдет из-под контроля, т.е. не будут нарушены бизнес процесс предприятия или утеряны важные данные.

Программа производит мониторинг серверов, хостингов, контролирует папки, файлы, базы данных. Осуществляет контроль процессов и служб на компьютерах. Мониторингу подлежат подключение к TCP-порту, ICMP (пинг), DNS-сервера, протоколы ARP, коммутаторы протокола SNMP, порта на свитче, HTTP веб-сервера (содержимое веб-страниц), мониторинг MAC-адресов по NetBIOS протоколу и ARP-протоколу, журнал событий Windows, выполнение javascript и Visual Basic script, мониторинг WMI-параметров и многое другое.

В роботе с программой администратор сети может дополнительно использовать свои скрипты для проверки устройств и служб, осуществлять контроль разных переменных в управляемых коммутаторах и серверах по протоколам SNMP и WMI. Графики полученных переменных можно просматривать в реальном времени, а также просматривать накопленные статистические данные для их анализа, чтобы в дальнейшем заранее выявлять возможные проблемы.

Несколько десятков видов проверок для мониторинга доступности хостов, служб, процессов, дисков, принтеров, баз данных и прочих ресурсов. Поддержка различных общеизвестных сетевых протоколов позволяет осуществлять мониторинг как Windows (в т.ч. локально), так и Unix-серверов, любых других устройств в сети и баз данных.

Достоинства «10 Страйк» это:

  • · Простота первоначальной настройки программы. Возможность обнаружить хосты для мониторинга, просканировав сеть за считанные минуты. Базовая проверка пингом добавится автоматически.
  • · Продуманный интерфейс программы позволяет настраивать проверки и оповещение действительно быстро. Доступны групповые операции по настройке оповещения. Уже настроенные проверки мониторинга можно скопировать на новые устройства.
  • · Программа накапливает и хранит статистику по результатам опроса устройств в процессе мониторинга. Впоследствии можно напечатать отчеты или проанализировать поведение устройств и их производительность.
  • · Экспорт в Microsoft Visio (Рисунок 3.)

Рисунок 3. Экспорт из «10 Страйк» в Microsoft Visio

Привет всем! На работе решили поднять маршрутизатор, но перед тем как пересадить народ на него, решили протестировать его надежность и вот сегодня я искал лучшие программы для тестирования сети

Вообщем тест я начал производить с помощью пингов. Понятно что их делать можно с помощью командной строки и задав параметр -t, но в ней нет графиков и логи не совсем удобно вести. По этому сейчас я покажу, что я выбрал из бесплатных нормальных программ для пинга.

Colasoft Ping Tool

Эту программу я нашел не самую первую, но она понравилась больше всего. Я задал красивый и понятный график и в настройках указал размер пакетов. Получилось вот что:

  1. Выбираем необходимые параметры во вкладке Options 2. Вводим адрес, который будем пинговать и нажимаем старт пинг 3. Далее если нужно настраиваем график 4. В колонке слева смотрим сколько пакетов передано, сколько отправлено 5. Выделяем все пинги и сохраняем если нужно.

Ping-Terminal

Эта программа тоже довольна интересна, умеет строить график, пинговать и трассировать маршрут! Но из-за графика она не так мне понравилась.

Тут почти все так же, вводим адрес, который будем пинговать и нажимаем пинг. Но тут можно делать ещё и трассировку. Вообщем программа тоже довольно неплохая.

VENetwork Catcher Lite

Это программа больше подойдет для кратковременного пингования и программа с меньшими возможностями.

  Тут вводим адрес, сколько по времени будет пинговаться и размер пакетов, нажимаем старт и наблюдаем за графиком.

Wot Ping Clusters

Эту программу я нашел чисто случайно, она предназначена для проверки лучшего сервера на танках, но я чуть переделал под свои нужды и программа стала проверять надежность сети 🙂

Тут просто нажимаем старт. Она пингует яндекс и гугл, потом показывает их значения и говорит какой сервер лучше работает. В параметрах вы можете задать количество пакетов.

Вот так можно проверять надежность сети или вашего сетевого устройства. Конечно лучше отключить перед проверкой антивирус и файрвол. Для лучшего тестирования, следующим шагом необходимо подключить ещё компьютер к сети и попробовать хотя бы копировать файлы по сети и запустить программу пингования. Я думаю с помощью этих бесплатных программ для тестирования сети, можно выявить лучшее сетевое оборудование или провайдера 🙂

Данная статья будет, в какой-то мере, посвящена безопасности.  У меня недавно возникла мысль, а как проверить, какие приложение используют интернет соединение, куда может утекать трафик, через какие адреса идет соединение и многое другое. Есть пользователи, которые также задаются этим вопросом.

Допустим у вас есть точка доступа, к которой подключены только вы, но вы замечаете, что скорость соединения какая-то низкая, звоните провайдеру, они отмечают, что все нормально или что-то подобное. А вдруг к вашей сети кто-то подключен? Можно попробовать с помощью методов из этой статьи узнать, какие программы, которые требуют Интернет-соединения он использует. А вообще, вы можете использовать эти методы, как душе угодно.

Ну что, давайте анализировать?

Команда netstat для анализа сетевой активности

Этот способ без использования всяких программ, нам лишь понадобится командная строка. В Windows есть специальная утилита netstat, которая занимается анализом сетей, давайте использовать ее.

Желательно, чтобы командная строка была запущена от имени администратора. В Windows 10 можно нажать на меню Пуск правой кнопкой мыши и выбрать соответствующий пункт.

В командной строке вводим команду netstat и видим много интересной информации:

Мы видим соединения, в том числе, их порты, адреса, соединения активные и ожидающиеся. Это конечно круто, но нам этого мало. Нам бы узнать, какая программа использует сеть, для этого вместе с командной netstat можно использовать параметр –b, тогда команда будет выглядеть так:

netstat –b

Теперь в квадратных скобочках будет видна утилита, которая пользуется интернетом.

Это не единственный параметр в этой команде, для отображения полного списка введите команду netstat –h.

Дальше можно просто использовать несколько команд для получения необходимой информации.

Но, как показывает практика, многие утилиты командной строки не дают той информации, которой хотелось бы видеть, да и не так это удобно. В качестве альтернативы мы будем использовать стороннее программное обеспечение – TCPView.

Мониторинг сетевой активности с помощью TCPView

Скачать программу можно отсюда. Ее даже не нужно устанавливать вы просто ее распаковываете и запускаете утилиту. Также она бесплатная, но не поддерживает русский язык, но этого особо и не нужно, из этой статьи вы поймете, как ей пользоваться.

Итак, утилита TCPView занимается мониторингом сетей и показывает в виде списка все подключенные к сети программы, порты, адреса и соединения.

В принципе тут все предельно ясно, но некоторые пункты программы я поясню:

  • Столбец Process, ясное дело, показывает название программы или процесса.
  • Столбец PID указывает на идентификатор подключенного к сети процесса.
  • Столбец Protocol указывает на протокол процесса.
  • Столбец Local adress – локальный адрес процесса данного компьютера.
  • Столбец Local port – локальный порт.
  • Столбец Remote adress указывает на адрес, к которому подключена программа.
  • Столбец State – указывает на состояние соединения.
  • Там, где указано Sent Packets и Rcvd Packets указывает на отправленное и полученное количество пакетов, тоже самое и со столбцами Bytes.

Еще с помощью программы можно нажать на процесс правой кнопкой мыши и завершить его, либо посмотреть, где он находится.

Названия адреса, как показано на изображении ниже можно преобразовать в локальный адрес, для этого нужно нажать горячие клавиши Ctrl+R.

С другими параметрами тоже произойдет изменение – с протоколами и доменами. Если вы увидите строки разного цвета, например, зеленого, то это означает запуск нового соединения, если покажется красный цвет, то соединение завершено.

Вот и все основные настройки программы, там еще есть мелки параметры, типа настройки шрифта и сохранения списка соединения. Если вам понравилась эта программа, то обязательно используйте ее. Опытные пользователи точно найдут для каких целей применить ее.

Используемые источники:

  • https://studwood.ru/1716599/informatika/programmnoe_obespechenie_monitoring_seti
  • https://alexzsoft.ru/4-luchshie-i-besplatnye-programmy-dlya-testirovaniya-seti.html
  • https://computerinfo.ru/monitoring-seti/

Контроль трафика. Прослушиваем и просматриваем вместе с BWMeter::Журнал СА 102009

АНДРЕЙ ПОНАРЕВ, в прошлом системный администратор ЗАО «Нефтепродукт», в настоящее время – фрилансер

Контроль трафика
Прослушиваем и просматриваем вместе с BWMeter

Хотите обеспечить защиту небольшой сети и наблюдать за ее активностью без особых усилий? Контролировать сеть прямо в офисе? Это возможно.

… когда видят солнце и луну, это не считается острым зрением;

когда слышат раскаты грома, это не считается тонким слухом.

Сунь-Цзи, IV, 4

Компьютеры, а вместе с ними и Интернет, сейчас незаменимы в любой фирме. Но раз есть Интернет, значит, есть и угроза вторжения вредоносного ПО, что уже само по себе неприятно. Нужна надежная защита подобной сети с учетом области ее применения. Но количество ПО, проводящих защиту таких сетей от нежелательных вторжений, настолько велико, что выбрать среди них подходящее – дело не из легких. Я предлагаю вам обратить внимание на BWMeter, легкий в освоении, но в то же время невероятно мощный инструмент.

Возможности BWMeter

В первую очередь BWMeter – это сетевой монитор, способный следить за трафиком и при необходимости сообщать об изменениях в его объеме. Вместе с тем визуальная часть также порадует нас своими возможностями. Сетевую активность можно отобразить в графиках, причем для каждого вида трафика можно завести отдельную диаграмму. Очень выручает возможность ведения статистики и логов, хотя на такое способен практически каждый сетевой монитор.

В свою очередь, программа не потребует мощного компьютера. Единственное, что придется соблюсти, – это поставить Windows. Причем BWMeter поддерживает всю серию систем Windows: от старинных 95-х и 98-х до Vista и новомодной Windows 7, которая выходит совсем скоро. С семеркой, кстати, парни разобрались только в версии 5.1.1.

Чем же так примечательна программа? В первую очередь установкой (см. рис. 1). А если короче, она проста, как апельсин. После запуска инсталлятора можно смело «промотать» первые два окна с лицензионным соглашением. Конечно, их можно и обстоятельно изучить, но в защите сети они вам никак не помогут. В следующем окне вам предложат выбрать директорию установки и директорию для настроек. Вот и все, можете жать Install.

Рисунок 1. Установка BWMeter

Это, конечно, не самое главное достоинство программы. Далее по шкале «необычности» идет файервол. Он настраивается, если так можно выразиться, с полпинка. Конечно, сначала он кажется неудобным и странным. Но после того как вы в нем разберетесь, а это займет немного времени, я вас уверяю, вы поймете, что ничего лучше и удобнее нет на свете. Однако самое главное в BWMeter – это возможность удаленно следить за трафиком, настройка подобной возможности дело нехитрое. Вообще этот монитор очень прост в использовании, хотя и имеет обширный список возможностей. Не верите? Тогда запустите его и проверьте это.

Если вы запустили BWMeter впервые, то вместе с несколькими диаграммами на экране появится окно настроек межсетевого монитора. Чтобы добраться до настроек, когда вам этого хочется, необходимо в трее найти иконку монитора, щелкнуть по ней правой кнопкой мыши и выбрать пункт Options. То же произойдет после двойного клика по любой из диаграмм или после нажатия <Ctr>+<O> в тот момент, когда одна из диаграмм активна (см. рис. 2).

Рисунок 2. Основные настройки сетевого монитора

Раздел General Options кроме привычных пунктов настроек содержит доселе незнакомый Start after BWMeter и Use password protection. Если с последним все ясно, он предоставляет возможность ставить пароль на настройки, то первый немного смущает. Зачем что-то запускать после монитора? Ну мало ли... Конечно, если ваш компьютер постоянно подключен к сети, то эта возможность вам не нужна. А если в сеть вы выходите только для того, чтобы отправить и получить почту? В таком случае постоянно работающий сетевой монитор будет только поглощать ресурсы компьютера, не принося при этом никакой пользы. А если еще учесть, какие компьютеры сейчас стоят на производстве? Тогда удобнее было бы запускать монитор только во время выхода в сеть, и одновременно запускать необходимую программу, для чего выгоднее пользоваться встроенной функцией.

Тонкости фильтрации

BWMeter создан скорее для слежения за трафиком, а не для его фильтрации, но и на это программа способна. Я даже скажу, что следить за трафиком удобно в первую очередь благодаря фильтрам. От слов к делу: перейдем ко вкладке Filters. В одноименном разделе нам предоставляют возможность создавать политики фильтрации. По умолчанию присутствует только две: Internet и Local Network. Назначение кнопок Add и Delete, думаю, и так понятно, а вот с кнопкой Copy стоит разобраться поподробнее. Конечно, с ней тоже все просто, она создает новую политику путем копирования старой. Мне лишь хотелось отметить, что эта элементарно реализуемая функция встречается далеко не у всех брандмауэров, хотя она позволяет экономить ценное время.

Область действия каждой политики поддается очень тонкой, но не всегда доступной для понимания настройке. Поэтому, чтобы не углубляться в теорию, я предлагаю рассмотреть возможности фильтров на практике, создав группу политик для экономии трафика и защиты компьютера от нежелательных вторжений. Итак, ситуация: имеется компьютер, подключенный к локальной сети и Интернету. Во внутренней сети присутствует FTP-сервер, доступ к которому осуществляется штатными средствами Windows. Также на компьютер установлен браузер Mozilla Firefox. А в Интернете тем временем буйствует червь MSBlast! В общем, рядовые будни сисадмина (см. рис. 3).

Рисунок 3. Настройка фильтров

Начнем с простого – с разграничения локальной сети и Интернета. Цель нашего действия: обеспечить возможность управлять отдельно каждым видом трафика. Я думаю, каждый администратор сталкивался с подобной проблемой. Для решения поставленной задачи нам потребуется две политики: Local traffic и Internet traffic. Я рекомендую удалить стандартные политики с помощью кнопки Delete. Воспользовавшись кнопкой Add, создадим новую политику под названием Local traffic. Теперь в разделе Filter Definition раскроем вкладку General и изучим ее поподробнее.

Галочка Enabled позволяет прекращать и возобновлять работу политику. Список с названием Mode позволяет выбрать режим работы политики: Normal, Firewall (Silent) и Firewall (Interactive).

Normal – это обычный фильтр, он собирает в себе пакеты определенного вида. Firewall отличается от обычного фильтра тем, что вдобавок может еще и блокировать приложения, а в интерактивном случае может даже подать сигнал. Мы к ним еще вернемся. Для отделения входящего трафика от исходящего можно воспользоваться разделом Traffic, поломав голову над галочками Include Download и Include Upload.

Нам же необходимо учесть и входящий, и исходящий трафики, поэтому нужно установить обе галочки в разделе Traffic. Также в списке Mode выберем режим Normal, т.к. нас не интересует блокирование приложений. А теперь перейдем к вкладке Source. Нетрудно догадаться, что эта вкладка предназначена для фильтрации трафика по адресу источника пакета. В одноименном разделе вкладки мы увидим два списка: Include и Exclude. Первый содержит адреса, включенные в фильтр, второй – исключенные из него. Напомню, что если пакет входящий, то в поле Source хранится адрес машины, которой он был послан, если же пакет исходящий, то там хранится адрес машины, которая его отослала. Исходя из этого, в список Include нам необходимо включить адрес данной машины. После нажатия кнопки Add появится диалог ввода адреса (Address Definition) на выбор: все адреса, только адрес этой машины и т.п. Думаю, с этим и так все понятно (см. рис. 4).

Рисунок 4. Выбираем тип адреса из предложенного списка

Теперь перейдем ко вкладке Destination. Здесь нам предстоит отбирать пакеты по их целевому адресу. Два уже знакомых нам списка и аналогичный способ ввода данных. Опять же напомню, что если пакет исходящий, то целевой адрес – это адрес машины, которой он был отправлен, а если входящий, то адрес машины, которая отправила пакет. Следовательно, в список Include нужно добавить все адреса локальной сети. В списке адресов для подобных целей присутствует отдельный пункт – All computers in the local network. Этот список редактируется во вкладке Options, в разделе Local Network.

Политика Internet traffic настраивается аналогично, только во вкладке Destination в список Include нужно включить все адреса (All addresses в диалоге Address Definition), а в список Exclude включить все адреса локальной сети. Кстати, перемещение значения из одного списка в другой можно осуществить нажатием одноименных кнопок.

Настало время настроить фильтр для отсеивания трафика FTP. Для этого создадим политику Local FTP traffic путем копирования политики Local traffic. И сразу же обратимся ко вкладке Port. Нас встретят уже знакомые списки Include и Exclude. Кликнyв по кнопке Add, мы увидим диалог Port Definition. В этом окне две вкладки – Simple и Advanced. В первой вкладке мы вводим один порт, а во второй целых два (см. рис. 5). Как так?

Рисунок 5. Вводим порт для «Огненного Лиса»

Допустим, мы отслеживаем FTP-трафик и нас не интересует, с какого порта пришел пакет. Но возможны ситуации, в которых от этого зависит отсеивание трафика. Тогда нужно пользоваться вкладкой Advanced. Таким образом, в список Include нужно включить 21 ТСР-порт. Но вот незадача: во вкладке Port настраивается только внешний порт. Не беда, тут нам поможет вкладка Protocol, в которой можно аналогичным образом настроить внутренний порт. Нам нужен 6-й, он как раз соответствует ТСР.

Также не помешало бы настроить приложения, для которых будет активна данная политика. За это отвечает вкладка Application. И снова два списка. По нажатию на кнопку Add нам предложат либо указать приложение вручную, либо выбрать одно из стандартных. Стандартные – это System и All. Нас, как нетрудно догадаться, интересует первое.

Настройка «Огненного Лиса» тоже проста. Достаточно скопировать политику Internet Traffic и добавить к фильтру два порта: 80-й и 443-й, HTTP и HTTPS соответственно. Ну и, конечно, приложение выбрать. В принципе порты можно и не выбирать, ограничившись лишь выбором приложения.

А как теперь заблокировать нежелательный интернет-трафик? Достаточно скопировать все ту же политику Internet Traffic и во вкладке Application в раздел Include вписать все приложения, а в раздел Exclude – системные приложения и «лиса». Но это лишь отследит нежелательный трафик. А как его «зарубить»? Обратим внимание на раздел Speed Limit. Там можно установить галочку Stop traffic. Но есть и альтернатива, чтобы подобный трафик не забивал канал (когда всякие «винампы» обновления ищут), можно ему задать скоростной лимит. Для этого можно установить галочками Enable download/upload speed limit и выбрать нужное значение.

Но мы забыли про MSBlast, действия которого тем временем приобретают масштабы наполеоновских завоеваний. Как известно, данный червь ломится через 135 ТСР-порт, который открыт службой DCOM RPC. Можно, конечно, скачать заплатку, если эта служба необходима. Если же она не представляет интереса, то проще создать политику, блокирующую данный вид трафика. Мы так и поступим.

Создадим новую политику, и в списке Mode выберем Firewall (Interactive). В политику нужно включить все адреса, ТСР-протокол и 135-й порт. А вот в разделе Firewall нужно все значения из списка Allow перевести в список Forbid (там должны быть системные приложения и svchost.exe). И MSBlast успешно остановлен!

Возможности мониторинга

Наверное, BWMeter – одна из самых удобных программ для слежения за трафиком. Она является таковой благодаря тому, что следит не за всем трафиком, а только за тем, который проходит через фильтры. С одной стороны, это неудобно, т.к. фильтры вряд ли покроют весь трафик. Но ведь всегда можно создать отдельный фильтр, через который проходит весь трафик, и при желании отслеживать и его. А представьте, если программа жестко следит за всем трафиком, не давая ее грамотно настроить. Тогда вся информация месится в кучу, и разобрать что-то в этой куче представляется невозможным. Конечно, «грамотный» администратор потратит целый день на разбор логов и таки найдет нужную информацию. Но есть ли у меня, «обычного» администратора, столько времени? Вряд ли.

Возможно, при запуске программы вы заметили несколько диаграмм, отображающих активность сети. Эти графики отображали активность двух стандартных фильтров. Для настройки подобных графиков обратимся ко вкладке Graphs (см. рис. 6).

Рисунок 6. Следим за активностью браузера

Создание и удаление графиков происходит в одноименном разделе. Все аналогично созданию фильтров. Я предлагаю для начала создать два графика: Local Traffic и Internet Traffic. Если теперь выделить один из графиков и обратить внимание на раздел Show Activity of These Filters, то мы увидим пустой список. А что там должно быть? Там должен быть список фильтров, активность которых отображается на графике. Причем, заметьте, на одном графике могут отображаться несколько фильтров, однако я не советую вам так делать, если речь идет о вашей машине. Если же вы удаленно отслеживаете активность еще нескольких машин, то было бы удобнее на одном графике отображать несколько фильтров, но об этом позже.

Разделы Scale, Update Interval, Visual Style и Position & Size не представляют сложности в понимании, да и особенностями, о которых стоило бы рассказать, они не блещут. А вот раздел Visibility стоит того, чтобы о нем поговорить отдельно. Галочка Visible позволяет, как нетрудно догадаться, скрывать или показывать график. Нижележащие галочки Show if activity rise above и Hide if activity falls below позволяют настроить автоматическое скрытие или появление графика. Вот, допустим, активность почтового клиента сейчас нулевая, что, спрашивается, смотреть на ее графике? Ответ – ничего. Поэтому рекомендую для нее установить обе галочки. Первая отображает график, если активность поднимется выше одного процента на графике, вторая спрячет график, если активность упадет ниже одного процента. Разумеется, проценты можно настроить вручную.

Ну это все, конечно, хорошо. Можно визуально отобразить активность каждого фильтра, что, скорее, удобно администратору. Все перед глазами, в логи лезть не надо. А что сказать начальнику, если он попросит отчет о сетевой активности? Показать ему графики? Боюсь, он не поймет шутки. Поэтому какой-нибудь отчет-таки придется сделать. В этом нам поможет вкладка Statistics (см. рис. 7).

Рисунок 7. Сохраняем статистику в файл

Как сразу видно, BWMeter ведет статистику по каждому фильтру, причем записывает статистику не чаще чем раз в час. Сроки обновления статистики хранятся во вкладке Schedule настройки фильтра. С помощью кнопки Overview можно увидеть статистику всех фильтров сразу. Причем всю эту информацию можно экспортировать в формат .csv, который распознается Excel’ем, ввиду чего, немного поломав голову и приведя данные в удобочитаемый вид, можно все это вывести на бумагу и передать начальнику. Также, если вас интересует детальный отчет фильтра, его можно записать, пользуясь вкладкой Details. В разделе Control указанной вкладки располагаются две кнопки: Start и Clear. Первая начинает запись лога указанного фильтра, а вторая его очищает. Сам лог можно настроить с помощью раздела Destination (см. рис. 8).

Рисунок 8. Детальный отчет об активности «Огненного Лиса»

Ну и напоследок еще одна положительная сторона BWMeter – возможность настраивать систему оповещения. Для таких дел предназначена вкладка Alerts. В разделе Filters to Watch можно включать и исключать фильтры, за которыми производится слежение. Здесь все понятно, думаю, не стоит на этом останавливаться.

В разделе Condition настраивается ситуация, в случае которой выдается сообщение. А именно: в случае превышения лимита на суммарный трафик, в случае критического уменьшения/увеличения количества трафика за заданный промежуток времени и в случае передачи заданного объема информации. Пункты Reaches, Traffic и Each Time соответственно. Способов сообщить о случившемся представляется несколько, можно как подать звуковой сигнал, так и запустить какую-нибудь программу и даже отправить сообщения на заданный e-mail-адрес! Все это можно найти в разделе General, галочка Notification.

Контроль за сетью

Ну и наконец самая впечатляющая часть BWMeter – это возможность следить за трафиком удаленно, физически находясь хоть у себя дома. Для настройки подобных возможностей существует вкладка Remote.

Основную часть окна во вкладке занимает список Remote Filters, который содержит те фильтры, которые мы отслеживаем удаленно. После нажатия на кнопку Add перед нами появляется окно Add Remote Filters. Здесь мы выберем фильтр, за активностью которого желаем следить. В разделе Select Location нужно ввести адрес машины, на которой установлен BWMeter. Если с адресом трудновато, то можно воспользоваться кнопкой Browse... и выбрать компьютер из представленного списка. В разделе Choose Filter отображается список фильтров удаленной машины, из которого вам нужно выбрать требуемый. Чтобы получить список, нужно нажать кнопку List Filters. Чтобы не тратить время на получения списка фильтров, можно ввести название фильтра сразу, если, конечно, вы его помните (см. рис. 9).

Рисунок 9. Выбираем фильтр для удаленного слежения

В разделе Remote Features мы настраиваем, какую информацию и как часто хотим получать от удаленной машины. Нам представляется возможность получать информацию о фильтрах и использовать ее в графиках (галочка Enable remote filters in local graphs). Благодаря этой возможности мы сможем отображать активность фильтров удаленной машины на наших локальных диаграммах. Также можно получать статистику фильтров (галочка Enable remote statistics). То есть для составления отчета не придется бегать по кабинетам. Раздел Remote Options позволяет настроить параметры подключения. Это, как всегда, порт (по умолчанию 24810) и адрес компьютера, который имеет право получать информацию от нашего брандмауэра.

Что дальше? Идем во вкладку Graph и создаем диаграммы, отображающие активность удаленных фильтров. Я бы рекомендовал настроить по одной диаграмме на каждую машину, в которой отображать общую активность приложений. Это легко сделать, если во вкладке Graph в список Show Activity of These Filters включить несколько схожих фильтров. И получается такой себе «хакерский» рабочий стол. Есть, конечно, и недостатки у этой возможности. Скажем, детальную статистику с удаленного фильтра записать не получится. Нельзя также удаленно настраивать фильтры. А как всего этого хотелось бы! Но не надо забывать, что проект не заброшен и разработка новых возможностей продолжается. Так что, быть может, мы увидим воплощение нашей мечты.

Слово о лицензии

Я думаю, что проблема выбора сетевого монитора – одна из самых актуальных на данный момент. Количество же подобного ПО растет как грибы после дождя, тем самым выбор усложняется в несколько раз. Надеюсь, я облегчил этот выбор, и BWMeter будет практиковаться теперь не только мной и моими знакомыми. А не практиковать решительно нельзя. Ведь стоимость данного продукта крайне мала – всего 30$. Поэтому я рекомендую попробовать BWMeter в действии.

Приложение

А что еще?

ПО, проводящего выслеживание и отсеивание сетевого хлама, сейчас очень много. Среди них есть достойные внимания. Это, во-первых, Kerio Winroute. Это просто мастодонт, настоящий сетевой монитор. У него есть все для слежения за корпоративной сетью. По своим возможностям он не то что догоняет BWMeter, он перегоняет его с безумной скоростью. Но… какой же он огромный и сложный! Разобраться в этом творении – воистину задача не из легких. А после этого его еще нужно настроить! В общем, для небольших сетей – это сплошной минус.

Не менее достойным претендентом является Kaspersky Internet Security. Всем хорош, много настроек, и все понятны. Настраивается достаточно быстро, хотя и придется попотеть. Особенно порадовала функция «Родительского контроля», ограничивая доступ к некоторым ресурсам. Одно вот только беспокоит: защищать придется каждый компьютер в отдельности, а не всю сеть сразу. А после BWMeter уже так привычно следить за активностью сети удаленно.

Одним словом, выбор всегда за администратором, нужно лишь твердо верить, что решение придет. А искать есть где. Бегло осмотрев рынок мониторов, можно отметить Comodo, Outpost, Sygate, Jetico. Их много, достаточно выбрать подходящий. Дерзайте!

Лицензионное программное обеспечение от компании Micros

Контроль и статистика

UserGate позволяет осуществлять полный контроль над использованием Интернет-трафика в компании и предоставляет администратору подробную статистику. На основе данных статистики руководство может определять политику доступа в Интернет в данной компании, которая затем реализуется с помощью гибкой системы правил управления трафиком в UserGate.

Контроль доступа в Интернет включает следующие функции:

  • Пользователи и группы
  • URL-фильтрация трафика
  • Контроль приложений
  • Скорость и квотирование
  • Контроль трафика и гибкая система отчетов
  • Модуль веб-статистики
  • Биллинговая система

  Пользователи и группы

В основе работы UserGate лежит понятие «пользователь», которое определяется как компьютер или группа компьютеров, объединенных общим признаком. В качестве такого признака может выступать IP- или MAC-адрес, пара “логин/пароль”, учетная запись в Active Directory или учетная запись Windows. Ко всем пользователям применяются правила распределения трафика, а также ведется статистика и учет посещения Интернет-ресурсов.

Чтобы упростить управление трафиком, администратор может объединить пользователей в группы с помощью функции «Добавить в группу». Другой способ группировки пользователей состоит в использовании одного из нескольких методов авторизации - например, пары «логин/пароль». Администратор может выбрать любой способ, либо оба способа вместе для эффективного управления множеством пользователей, компьютеров или подсетей.

  URL-фильтрация трафика по категориям сайтов

Нецелевое использование Интернета на рабочем месте является серьезной проблемой для работодателя и оказывает отрицательное влияние на производительность труда сотрудников, безопасность локальной сети, и сохранность конфиденциальных данных. Чтобы избежать потенциальных угроз такого использования, неотъемлемой частью системы безопасности корпоративной сети должны стать механизмы фильтрации посещаемых веб-ресурсов.

Работа модуля фильтрации сайтов основана на технологии Entensys URL Filtering, которая также используется в GateWall DNS Filter. При этом используется категотризированная база, в которой содержится 500 млн. сайтов в 82 категориях. Администратор может запрещать доступ к отдельным сайтам, к категориям сайтов, либо к тем сайтам, адреса которых содержат заданные фрагменты слов. База специально адаптирована для использования русскоязычными пользователями и содержит до 10 миллионов русскоязычных сайтов.

  Контроль приложений

Количество приложений, которые так или иначе используют Интернет-соединение для своей работы неуклонно увеличивается с каждым годом. Согласно недавним исследованиям, приложения для мгновенного обмена сообщениями (интернет-пейджеры) используются в более чем 80% организаций, и эта цифра постоянно растет. Возникает необходимость контроля за деятельностью таких приложений с целью оградить локальную сеть от внешних угроз.

Контроль (фильтрация) приложений – это технология, позволяющая ограничивать или блокировать трафик конкретных Интернет-приложений. Данная технология имеет двойное назначение: во-первых, она дает возможность администратору блокировать работу определенных Интернет-приложений (например, ICQ или MSN), а во-вторых — защищает локальную сеть от вредоносного ПО, которое может проникать в локальную сеть через такие приложения.

  Ограничение трафика и скорости доступа

UserGate предоставляет администратору широкие возможности по контролю скорости передачи данных между локальной сетью и Интернетом. Установить ограничения по скорости можно в модулях «Управление трафиком» и «Управление шириной канала». Первый модуль предназначен для настройки ограничений скорости по отдельным пользователям и группам, тогда как второй позволяет устанавливать ограничения скорости для конкретного сетевого адаптера, протокола (TCP или UDP), IP-адреса источника или получателя и порта.

Помимо скорости, UserGate позволяет также ограничивать объем трафика и время пребывания в сети для пользователей и групп. При этом, в распоряжении администратора находится широкий набор функций, позволяющий ему создавать правила, которые будут удовлетворять любым заданным требованиям. Например, можно создать правило, которое становится активным при выполнении определенных условий, таких как наступление указанного времени суток или использование определенного протокола.

  Статистика посещения Internet и система отчетов

UserGate предоставляет администратору полную статистику об использовании Интернет в компании по отдельным пользователям и группам. Подробная статистика является основой для принятия решений руководством о необходимости ограничения доступа к тем или иным ресурсам, или блокирования работы некоторых Интернет-приложений.

  Веб-статистика UserGate

Доступ к статистике UserGate можно получить через Интернет из любой точки мира, используя обычный браузер. Информация отображается не только в табличном виде, но и в виде диаграмм и графиков, что существенно облегчает восприятие отчетов. Объем доступной статистической информации зависит от уровня доступа пользователя.

  Биллинговая система

Встроенная в UserGate биллинговая система автоматически производит расчёт стоимости работы пользователя в сети Интернет исходя из заданной цены, времени и/или объёма трафика. Можно устанавливать тарифы как для отдельного пользователя, так и для группы пользователей. Существует возможность переключения тарифов в зависимости от времени суток, дня недели или адреса сайта.

Интернет-издание о высоких технологиях

19.09.2001, среда

 

Средства обнаружения попыток несанкционированного доступа

По статистике параллельно с развитием IT-технологий растет и цифра компьютерных преступлений, совершаемых в сфере высоких технологий. С другой стороны, масштаб ущерба от промышленного шпионажа (хищение частной или корпоративной информации по заданию конкурента), на практике ниже, чем от вынужденного простоя предприятия в результате вторжений во внутрисетевые процессы.

К сожалению, исключительно средствами межсетевого экрана невозможно полноценное обнаружение и предупреждение сетевых атак. Некоторые компании предлагают на рынке достаточно эффективные инструменты для решения этих задач. В частности, межсетевой экран Symantec Enterprise Firewall призван обеспечивать необходимую защиту предприятия, в т.ч. интерфейса между корпоративной сетью и интернетом, внутренних сетей, частных подсетей и филиалов. В архитектуру продукта включены шлюзы прикладного уровня для подтверждения достоверности информации на всех уровнях стека протоколов, сетевые схемы, фильтрации пакетов. Основное отличие данного продукта - обеспечение интуитивно понятного управления, быстродействие и многопоточные службы. Так же, как и все продукты этого класса, межсетевой экран позволяет фильтровать URL, задавать для разных пользователей различные правила, запрещающие или разрешающие доступ к тем или иным веб-сайтам, а также группам новостей.

Таким образом, межсетевые экраны и средства проверки подлинности (аутентификации) пользователей системы помогают обезопасить систему от несанкционированного проникновения, но остается еще потребность от тщательно спланированных и профессиональных попыток вторжения в компьютерные системы компаний. То есть встает вопрос мониторинга системы, выявления злонамеренных действий и своевременного предупреждения о потенциальной и реальной опасности. Продукты класса Intrusion Detection System (IDS) - Средства Обнаружения Атак призваны предоставлять дополнительные возможности оперативного мониторинга сетевой активности, благодаря чему удается предохранить системы, приложения и данные от кражи, умышленного уничтожения или подмены.

История IDS-систем началась со времен развития больших информационных систем. Малое количество и дороговизна мейнфремов вынуждали, ограничивать и жестко контролировать доступ к ресурсам системы. В начале 1970-х системы аудита были адаптированы под нужды администраторов, позволяя просматривать лог-файлы на предмет аномалий, который могли повлечь несанкционированные изменения в системе.

В середине 80-х системы мониторинга стали работать в режиме реального времени, а в 1990-м году были разработаны системы для мониторинга внутрисетевой активности. Этот принцип по-прежнему остается основополагающим и в современных IDS-системах. Сущность работы IDS проста - "агент" производит мониторинг за внутрисетевым трафиком и за обращением к файлам на сервере, и в случае нарушений стандартных установок производит уведомление администратора.

Времена, когда системные администраторы, установив межсетевые экраны, могли спать спокойно - прошли. Теперь компании выстраивают сложную и запутанную политику информационной безопасности, чаще всего состоящую из нескольких слоев с превентивными и реагирующими функциями. В новых условиях применение систем обнаружения атак становится таким же обычным и необходимым условием, как и применение криптографии, аутентификации и антивирусной защиты.

Основная идея в реализации IDS-систем - установка ряда "агентов", производящих мониторинг входящего и исходящего сетевого трафика и выявление совпадений с шаблонами известных сетевых и системных атак. Тем не менее, эволюция развития интернета внесла свои коррективы в первоначальную установку.

IDS-системы делятся на две группы:

  • Host-based IDS (решения на базе хоста),
  • "Сетевые" (network-based) IDS-системы.
Host based IDS (решения на базе хоста)
Данный вид систем добавляет новый "слой" безопасности в комплексе охраны уязвимой или особо важной системы. Система производит аудит системных журналов на предмет "неправильного поведения", например, множественных попыток подключения к сети или попыток изменения атрибутов файлов. В указанные моменты времени может выполняться проверка контрольных сумм важных файлов для выявления фактов их изменений. Таким образом, основная задача "агента" централизованной IDS-системы - отслеживать внутренние процессы и сообщать о критических событиях.

Польза от использования системы - возможность выявления и классификации внутренних и внешних злоупотреблений, что сетевые мониторы и межсетевые экраны обычно не могут делать. Учитывая, что многие проблемы исходят от сотрудников фирмы, а не от проникновения в сеть извне, предлагаемая функция IDS очень полезна.

Агент изначально устанавливается в только что развернутой системе, имея своей целью контролировать неизменность установок хоста, и записывает важные атрибуты системных файлов. Соответственно, если на "охраняемых" станциях работают разные операционные системы (Microsoft Windows NT/2000, Sun Solaris или Linux), администратору придется устанавливать IDS-системы на каждую из платформ. Рекомендуемый объем оперативной памяти и производительность процессора у разных IDS-систем различаются.

Основные поставщики подобных решений:
Symantec, CyberSafe, Internet Security Systems (ISS), Intrusion.com.

"Сетевые" IDS-системы (NIDS)
"Сетевые" IDS-системы располагаются в локальной сети предприятия и производят мониторинг внутрисетевого трафика в режиме реального времени на предмет соответствия происходящих процессов заранее определенным "шаблонам" (сигнатурам) атак. Признаки известных атак хранятся в регулярно обновляемой базе данных.

Например, во время атаки по DoS-принципу в сеть посылаются сконфигурированные специальным образом пакеты данных, вызывающие в принимающей системе сбой.

Монитор распознает такие пакеты и принимает меры к противодействию - выдает сигнал тревоги или отключает соединение. В последнем случае IDS-система напрямую взаимодействует с межсетевым экраном и маршрутизаторами.

Проблема такого подхода состоит в том, что постоянный мониторинг трафика может стать "узким местом" в скоростной локальной сети. Внедрение ПО определения атак на маршрутизаторах всегда вызывало споры, так как проверка каждого проходящего пакета по сигнатурам атак обычно отнимает заметную часть общей производительности маршрутизатора. Тем не менее, пограничные маршрутизаторы (расположенные на стыке внутренних сетей и публичных) предоставляют отличную возможность для распознавания и пресечения атак до того, как они попадут во внутреннюю корпоративную сеть.

База данных шаблонов сетевых атак поставляется вместе с IDS-системой и может пополняться ее разработчиками. Кроме того, администраторы системы сами могут добавлять новые шаблоны и правила. В некоторых случаях происходит запись протекающих сессий для последующего анализа.

Также системные администраторы могут определят основные установки сетевой инфраструктуры (объём трафика, размер пакетов), после чего "агенты" устанавливаются на периодический мониторинг сегментов сети и серверов на предмет соответствия базовым установкам.

Таким образом, разработчики IDS-систем сталкиваются с теми же проблемами, что и разработчики антивирусного ПО - обе системы основаны на необходимости разработки и настройки пользователем как можно более совершенной модели реакции на те или иные действия, основанной на постоянно обновляемой базе данных "сигнатур" сетевых атак.

Сетевые мониторы имеют ряд важных достоинств. Сигнал тревоги в режиме реального времени позволяет администратору быстро реагировать на атаку; сохранение истории внутрисетевой активности даёт возможность для его дальнейшего анализа. Кроме того, сетевые мониторы не зависят от операционных системы, используемых в сети. Основным требованием является наличие выделенной станции, которая должна находиться в "наблюдаемом" сегменте, и при этом иметь сетевую карту, умеющую переходить в режим перехвата всех пакетов (promiscuous mode). Кроме этого, возможна настройка шифрованного канала связи между станцией и консолью управления.

Следует иметь в виду, если атакующему удастся "сломать" анализатор пакетов, дальнейшие действия по сети уже не будут отслежены. Все это должно приниматься во внимание в процессе моделирования системы безопасности. Также как и на межсетевом экране, доступ к администрированию IDS-системы не должен предоставляться посторонним учетным записям, кроме привилегированных (root или Administrator) пользователей; возможность выполнения ненужных сетевых функций на выделенной станции должна быть заблокирована; интерактивное управление настроено только через консоль. В случае если система работает в многозадачной, многопользовательской ОС, то в целях экономии скорости анализа пакетов в трафике следует избавить станцию от обработки большинства задач пользователей.

Если защищаемые данные имеют высокую ценность для компании, следует установить резервную IDS-систему от другого производителя и разместить ее на отличной от первой системы станции, с целью предотвращения одновременного вывода из строя обеих систем.

Основные поставщики "сетевых" IDS:
Axent/Symantec, Cisco, Enterasys Networks, ISS, Intrusion.com, Network ICE и Network Flight Recorder.

Первый шаг в установке выбранной IDS-системы - логично вписать систему в корпоративную политику информационной безопасности. Прежде всего, нужно определить каким образом приложение будет работать со всей архитектурой системы безопасности, выделить процессы, которые будут под надзором и назначить ресурсы (ПО, "железо" и люди, ответственные за технологию).

Непосредственно перед составлением плана внедрения выбранной IDS-системы, необходимо как можно точнее и полнее расписать всю сетевую структуру с указанием характеристик каждого сегмента сети. Проанализировать пограничные сегменты сети (маршрутизаторы, переключатели и межсетевые экраны). Составить список, разрешенных пользователей сети (внутренних и внешних). Перечислить все станции, с указанием процессов, обрабатываемых станциями и списком допущенных пользователей.

После установки выбранной системы, администратор должен грамотно настроить приложение, особенно учитывая тот объем информации, накапливаемый системой для последующего анализа. Также файлы записей истории должны быть защищены от возможности умышленного уничтожения следов проникновения в систему. Как и антивирусная база данных, база шаблонов атак должна периодически актуализироваться производителем.

Что выбрать host-based или network-based IDS?

Популярные типы атакПример атакиNetworkHost
Отказ в обслуживанииSynFlood Attack+-
Сканирование и определение типа/параметров системыSatan++/-
Атака на парольL0phtCrack-+/-
Захват привилегийBuffer Overflow +
Повреждение программного кодаMalformed URL-+
ВандализмMelissa Virus-+
Кража информацииTargeting Key Sources +/-
МошенничествоB02K-+/-
Аудит сетиCovering a Trail +
Атака на привилегии администратора безопасностиBackdoor insert +

+  лучший выбор
+/-  хороший выбор
-  плохой выбор

Таким образом, IDS-система - это не некое приложение, установив которое можно забыть о нем. Политика информационной безопасности должна быть адекватна, база данных - обновляться, записи логов - просматриваться и анализироваться. При соблюдении этих условий компания может надеяться на эффективную защиту своих информационных ресурсов.

Так, сетевая IDS-система может не отследить попытки вторжения, основанные на использовании конкретных "дыр" безопасности программного обеспечения. В тоже время, host-based IDS-системы в состоянии отслеживать весь комплекс параметров системного ПО. Возможно, самый положительный момент от использования централизованной IDS-системы - способность выявления внутренних попыток нарушения внутрикорпоративной политики информационной безопасности. С другой стороны, централизованная IDS-система не сможет уберечь компанию от классических сетевых атак (DoS, SYN flooding, ping of death, land attack и т.п.).

По мере развития рынка информационной безопасности и числа попыток вторжений в информационные системы предприятий, большое значение приобретает время реакции системы на зафиксированную попытку вторжения. Последние разработки систем обнаружения атак применяют механизм автоматической защиты.

Однако основная проблема подобных разработок - конечный результат реакции системы защиты может оказаться именно тем, что и хотел бы добиться атакующий. Например, атака хакера может представляться адресом другого хоста (IP-spoofing или подмена адреса отправителя, чаще всего нужна для того, чтобы нежелательный пакет дошёл до внутреннего незащищённого компьютера), что ведёт к фильтрованию доступа невинного хоста к Вашей сети (возможно, вашего партнёра по бизнесу или даже вашего клиента). В этом случае, хакер использовал вашу ответную реакцию для того, чтобы произвести атаку "отказ в обслуживании" (DoS) одновременно против Вашей сети и того хоста, который он "подставил".

Таким образом, перед тем как принимать решение - прерывать связь, объявлять тревогу или просто произвести запись и архивирование происходящих событий, гораздо полезнее собрать как можно больше информации об атакующей стороне. Например, воспользоваться обратной трассировкой сервера, reverse-DNS lookup IP-адреса атакующего, попытаться идентифицировать атакующую станцию (тип ОС) и используемого сервис-провайдера.



Основные поставщики IDS-систем


Компания Symantec предлагает на рынке продукт Intruder Alert (для хостов) и NetProwler (для сетей).

Cisco Systems предлагает продукт Cisco Secure IDS (бывший NetRanger) и Cisco Secure Scanner (бывший NetSonar). Cisco Secure IDS состоит из двух компонентов: Sensor и Director. Sensor "работает" поверх протокола TCP/IP и производит мониторинг сегментов локальной сети, шлюза соединения с интернетом, а также модемного пула, соединяющего компанию со сторонними бизнес-партнерами. Данная часть продукта проверяет каждый пакет IP в отдельности и в потоке данных.

Например, если пользователь часто получает запросы от утилиты Ping, которая чаще всего безопасна, Sensor может быть настроен таким образом, чтобы игнорировать такие запросы с указанного адреса. Когда Sensor обнаруживает возможное нарушение, посылается сигнал на Director-консоль - второй компонент Cisco Secure IDS. Director осуществляет надзор за параллельными процессами мониторинга, и в случае нарушения штатных установок, посылается сигнал на пейджер или электронную почту. Администратору предоставляется возможность быстро найти место, в котором произошла ошибка и насколько серьезны нарушения. Интегрированная база данных предоставляет информацию о возможных мерах противодействия по устранению атаки.

Компания Computer Associates выпускает продукт eTrust, предлагающий решения проблем сетевой безопасности на уровне предприятий, включая интернет-соединения, PKI, доступ к серверам, VPN, предотвращение от умышленного повреждения, антивирусная защита, IDS-функции и т.д. Предоставляется возможность распознавания сигналов атаки на взлом, вирусной атаки, подозрительная активность Java-апплетов и ActiveX. Также происходит хранение логов электронной почты, интернет-серфинга, Telnet и FTP-подключений. В случае подозрительной активности, посылаетс предупреждение на электронную почту или пейджер и блокирует подозрительные процессы. Продукт позволяет создавать правила, на основании которых происходит блокировка аналогичных сессий.

Компания Internet Security Systems (ISS), один из самых известных разработчиков систем IDS, предлагает на рынок гибридный продукт RealSecure (Manager, Network Sensor, OS Sensor, Server Sensor). RealSecure выявляет подозрительные процессы как на уровне сетевой инфраструктуры, так и на уровне ОС.

Также производством IDS-систем занимаются следующие компании:

Вернуться на главную страницу обзора

Мониторинг трафика в локальной сети. Куда утекает трафик? Как найти "утечку" простейшими средствами

Программ для учёта трафика в локальной сети достаточно много: как платных, так и бесплатных, сильно различающихся по функционалу. Одна из наиболее популярных Open Source программ – SAMS. Она работает на платформе Linux совместно со Squid.

SAMS требует наличия PHP5, будем использовать Ubuntu Server 14.04. Нам понадобятся пакеты Squid, Apache2, PHP5 с модулями.

Учет трафика интернета в локальной сети linux

Попробуем разобраться, как это работает.

Squid раздаёт интернет, принимая запросы на порту 3128. При этом он пишет детальный лог access.log. Всё управление осуществляется через файл squid.conf. Squid обладает широкими возможностями по управлению доступом к интернету: разграничение доступа по адресам, контроль полосы пропускания для конкретных адресов, групп адресов и сетей.

SAMS работает на основе анализа логов прокси-сервера Squid. Система учёта трафика в локальной сети следит за статистикой прокси-сервера, и в соответствии с заданными политиками принимает решение о блокировке, разблокировке или ограничении скорости для клиента Squid.

Установка SAMS

Устанавливаем пакеты.

apt-get install apache2 php5 php5-mysql mysql-server php5-gd squid3

Скачиваем и устанавливаем SAMS

wget https://github.com/inhab-magnus/sams2-deb/archive/master.zip

unzip master.zip

cd sams2-deb-master/

dpkg -i sams2_2.0.0-1.1_amd64.deb

Устанавливаем web-интерфейс

dpkg -i apache2/sams2-web_2.0.0-1.1_all.deb

В файл /etc/sams2.conf вносим изменения.

DB_PASSWORD=/Пароль к MySql/

Запускаем SAMS

service sams2 start

Настройка Squid

Вносим изменения в файл /etc/squid3/squid.conf

http_port 192.168.0.110:3128
cache_dir ufs /var/spool/squid3 2048 16 256

Включаем логирование и ротацию логов с хранением в 31 день.

access_log daemon:/var/log/squid3/access.log squid

logfile_rotate 31

Останавливаем Squid, создаём кэш.

service squid3 stop

service squid3 start

Для чистоты эксперимента настраиваем один из браузеров на работу с прокси 192.168.0.110 через порт 3128. Попробовав подключиться, получаем отказ в соединении – в Squid не настроены права на доступ к прокси.

Начальная настройка SAMS

В другом браузере открываем адрес (192.168.0.110 – адрес сервера).

http://192.168.0.110/sams2

Он нам скажет, что не может подключиться к базе данных и предложит выполнить установку.

Указываем сервер базы данных (127.0.0.1), логин и пароль от MySql.

Начальная настройка системы учёта трафика выполнена. Остаётся только выполнить настройку программы.

Мониторинг трафика в локальной сети

Логинимся в систему под администратором (admin/qwerty).

Стоит сразу сказать об авторизации пользователей.

В ветке Squid открываем прокси-сервер и нажимаем внизу кнопку «Настройка прокси-сервера».

Самое главное здесь – указать в адресах папок и файлов, где это необходимо, свой IP-адрес, иначе прокси-сервер не запустится.

Суть всех изменений в настройках SAMS в том, что они записываются в squid.conf. В фоне работает sams2deamon, который отслеживает изменения в настройках, требующих внесения в конфигурационный файл (там же можно задать интервал отслеживания).

Заполняем поле «Пользователь» и «IP адрес». В качестве имени пользователя возьмём тот же IP (IP компьютера, не сервера!). В поле «Разрешенный трафик» вносим «0», то есть без ограничений. Все остальные поля опускаем.

Будет добавлен новый acl для этого IP-адреса и разрешение для работы через Squid. Если конфиг не был изменен автоматически, переходим в ветку прокси и нажимаем кнопку «Переконфигурировать Squid». Изменения в конфиг будут внесены вручную.

Пробуем открыть любой URL в браузере. Проверяем access.log и видим запросы, обрабатываемые прокси. Для проверки работы SAMS откроем страницу «Пользователи», внизу нажмём кнопку «Пересчитать трафик пользователей».

Пользуясь кнопками внизу по управлению статистикой, можно получить детальную информацию по статистике посещения пользователем страниц.

Потреблением трафика интересуются в первую очередь пользователи, которые лишены возможности подключить безлимитный интернет. Трафик контролируют специальными программами или используя возможности Windows.

Windows 8 позволяет контролировать трафик без использования дополнительных программ. Чтобы активировать счетчик трафика, найдите значок сетевого подключения на панели задач. После щелчка по значку у вас откроется окно “Сети”. Выберете активное подключение и нажмите правой кнопкой мышки. В появившемся окне в первой строчке вы увидите “Отображать сведения о предполагаемом использовании”. Активируйте этот пункт и и в дальнейшем, когда вы откроете окно “Сети”, вам будет видна статистика использованных объемов. В более ранних продуктах Windows – 7 или ХР процесс проверки трафика выполняется немного иначе. После подключения к интернету так же кликните левой кнопкой на значок подключения и выберите активную сеть. С помощью правой кнопки перейдите в “Состояние”. Здесь вы увидите объем входящего и исходящего трафика, который показывается в байтах.


Контролировать трафик можно с помощью бесплатной программы Networx 5.3.2. Программу поддерживает любой вид соединений – проводной, кабельный, мобильный интернет. Networx показывает входящий и исходящий трафик. Вы можете посмотреть статистику за интересующий вас период, а также проконтролировать скорость интернет-соединения. Программа позволяет проверить, сколько трафика потребляет каждое приложение.


Программа Networx начинает считать ваш интернет трафик с момента установки. Вы можете выполнить настройку программы так, чтобы в трее в иконке была видна активность трафика. Через настройки откройте вкладку “Трафик”, далее отметьте необходимые опции, как показано на фото, и сохраните выполненные действия.


Вы также можете установить квоту. Для этого выбираете тип квоты, трафик, часы и единицы измерения. После настройки размера квоты нажимаете на “ОК”. Когда расход трафика приблизится к порогу ограничения, программа предупредит вас об этом. Это позволит избежать перерасхода трафика.


Контроль трафика на мобильных устройствах зависит от системы устройства. Например, система Android способна подсчитать входящий и исходящий трафик. Для этого нужно в настройках выбрать пункт “Передача данных” и выбрать оператора связи. У вас откроется окно, где будут показываться данные входящего и исходящего трафика. Кроме проверки объема, вы можете можете установить лимит на использование трафика.


Контроль над потреблением трафика поможет избежать лишних расходов. Даже если вы пользуетесь безлимитным интернетом, периодически проверяйте свою сетевую активность. Резко возросшее потребление трафика говорит о том, что в системе обосновался вирус или троян.

Руководитель компании любого масштаба должен быть в курсе количества потребляемых его организацией ресурсов, сколько и куда уходит денежных средств, сколько потребляется электроэнергии, каковы расходы на телефонию и т.д. В последние 10-15 лет добавился еще один пункт расходов: на Интернет. Чтобы правильно заложить в бюджете компании расходы на интернет-трафик , необходимо достоверно знать, каково его ежемесячное потребление в компании. Поэтому учет трафика - одна из важнейших обязанностей системного администратора, на плечи которого и ложится подсчет трафика, его экономия, куда входит непрерывный контроль над тем, чтобы объем выделенного на компанию, например, недельного трафика не превышал установленного лимита.

Для экономии средств все больше организаций переходит на использование безлимитных пакетов доступа в Интернет, но важность учета трафика от этого не уменьшается. Так, например, в сети возможно периодическое падение скорости соединения с Интернетом, причин которому может быть много: от недобросовестного провайдера или работника, скачивающего в рабочее время большие файлы, до падения какого-либо из сетевых интерфейсов. А низкая скорость интернета или вовсе его отсутствие для современного бизнеса чревато понижением качества услуг сегодня и потерей партнеров и клиентов завтра.

В зависимости от политики безопасности учет трафика может быть реализован следующими способами:

1. С использованием SNMP-протокола (Simple Network Management Protocol) . Плюсом данного метода является отсутствие необходимости устанавливать дополнительное ПО на компьютеры пользователей. В данном случае программа учета трафика устанавливается только на ПК системного администратора, а на удаленных компьютерах необходимо лишь правильно настроить работу службы SNMP, что для специалиста совсем не трудно. Данный протокол позволяет учитывать трафик, во-первых, на компьютерах под ОС Windows и Linux, а во-вторых, на сетевых принтерах, на коммутаторах и других сетевых устройствах. Поэтому у системного администратора появляется возможность также контролировать работу активного сетевого оборудования компании. Зачастую, по умолчанию протокол SNMP отключен в ОС и его необходимо доустановить и настроить.

2. С помощью службы WMI (Windows Management Instrumentation) , являющейся альтернативой SNMP. Данный метод учета трафика, также как и предыдущий, не требует установки никаких дополнительных модулей на подконтрольные компьютеры. Однако, этот способ подходит только для ОС Windows.

3. Если политика безопасности компании запрещает использование служб SNMP и WMI, то системный администратор может воспользоваться учетом трафика посредством установки агентов на удаленные компьютеры, которые обычно прилагаются к программе учета трафика. Если агент реализован в виде службы, то он считывает все значения трафика незаметно для пользователя и без нагрузки на компьютер.

4. Следующий способ - учет трафика посредством протокола NetFlow , который был разработан компанией Cisco и предназначен для сбора информации об IP-трафике внутри сети. Принцип его работы заключается в накапливании в специальном буфере всей статистики о передаваемых IP-пакетах, а затем в ее обработке. Самым главным плюсом данного способа является возможность вести учет трафика в крупных компаниях со сложной и территориально распределенной сетью. Правда, нужно отметить, что данный метод учета трафика можно реализовать лишь в сетях, где есть оборудование, поддерживающего протокол NetFlow, а оно, надо признать, стоит довольно дорого.

5. Еще один метод - подсчет сетевых пакетов с помощью сниффера или анализатора трафика . Данный способ позволяет узнать IP-адрес как отправителя, так и получателя, а значит, увидеть, на что тратятся ресурсы организации. Важно знать, что в сетях с большим объемом передаваемого трафика или большой пропускной способностью данный вид учета трафика может давать некоторые погрешности.

Использование сразу несколько методов учета трафика помогает получить полное представление о работе предприятия и его сотрудников. Учет трафика отдельно по каждому протоколу, а также автоматическое отображение всей собранной информации в виде таблиц и графиков позволяет вычислить сотрудников, наиболее активно использующих интернет, а также узнать, на какие именно цели он тратится: на просмотр фотографий, скачивание файлов, обмен сообщениями или просмотр видеороликов в интернете.

Некоторые программы для учета трафика позволяют настроить их реакцию на определенные события, например, на превышение установленного лимита потребленного трафика или падение какого-либо сетевого интерфейса. Благодаря этому системный администратор быстрей реагирует на эти события и устраняет неполадки с минимальными потерями времени и сил. Но самая главная задача процесса учета трафика - это возможность всегда быть в курсе текущих расходов, на основе чего можно тщательней планировать бюджет в будущем, а также делать объективные выводы о работе сотрудников организации.

Подробней о программе учета трафика можно узнать тут http://www.10-strike.com/rus/bandwidth-monitor/

Инструкция

Как правило, данных происходит двумя путями: непосредственным подключением к удаленному компьютеру, в результате которого хакер получает возможность просматривать папки компьютера и копировать нужную ему информацию, и с использованием троянских программ. Обнаружить работу профессионально написанной троянской программы очень сложно. Но таких программ не так уж много, поэтому в большинстве случаев пользователь замечает в работе компьютера некоторые странности, свидетельствующие о его заражении. Например, попытки подключиться к сети, непонятная сетевая активность, когда вы не открываете никаких страниц, и т.д. и т.п.

Во всех подобных ситуациях необходимо проконтролировать трафик, для этого вы можете воспользоваться штатными средствами Windows. Откройте командную строку: «Пуск» - «Все программы» - «Стандартные» - «Командная строка». Ее можно открыть и так: «Пуск» - «Выполнить», потом введите команду cmd и нажмите Enter. Откроется черное окно, это и есть командная строка (консоль).

Введите в командной строке команду netstat –aon и нажмите Enter. Появится список подключений с указанием ip-адресов, с которыми соединяется ваш компьютер. В графе «Состояние» вы можете посмотреть статус соединения – например, строка ESTABLISHED говорит о том, что данное соединение активно, то есть присутствует в данный момент. В графе «Внешний адрес» указан ip-адрес удаленного компьютера. В графе «Локальный адрес» вы найдете информацию об открытых на вашем компьютере портах, через которые осуществляются соединения.

Обратите внимание на последнюю графу – PID. В ней указаны идентификаторы, присвоенные системой текущим процессам. Они очень полезны при поиске приложения, ответственного за интересующие вас соединения. Например, вы видите, что через какой-то порт у вас установлено соединение. Запомните PID-идентификатор, потом в том же окне командной строки наберите tasklist и нажмите Enter. Появится список процессов, в его второй колонке указаны идентификаторы. Найдя уже знакомый идентификатор, вы легко определите, какое приложение установило данное соединение. Если название процесса вам незнакомо, введите его в поисковик, вы тут же получите о нем всю необходимую информацию.

Для контроля трафика можно использовать и специальные программы – например, BWMeter. Утилита полезна тем, что может полностью контролировать трафик, указывая, с какими адресами соединяется ваш компьютер. Помните, что при правильной настройке он не должен лезть в сеть, когда вы не пользуетесь интернетом – даже в том случае, если браузер запущен. В ситуации, когда индикатор подключения в трее то и дело сигнализирует о сетевой активности, необходимо отыскать ответственное за подключение приложение.

Времена, когда мы платили за домашний Интернет исходя из потраченного трафика, давно прошли. Сейчас практически у каждого в квартире своя “безлимитка”, ограничивающая использование Интернета разве что скоростью. Тем не менее проблема с количеством скачиваемого трафика для наших переносных устройств, таких как смартфон или планшет, никуда не делась, поэтому постоянно отслеживать израсходованные мегабайты приходится ежедневно, чтобы в один прекрасный момент не остаться без Интернета. Но вот как его удобнее всего отследить – вопрос, конечно, интересный.

Бизнес в России – это еще одна тема для вечных споров. Ведь всегда существует вероятность того, что оператор отключит вам Интернет за превышение лимита в то время, когда он еще не был достигнут. А как это проверить? Вдруг вас обманывают?

Конечно, на своем смартфоне или планшете вы всегда сможете просмотреть статистику по использованным мегабайтам, однако это не столь удобно. К тому же всегда нужно об этом помнить. Что же, давайте посмотрим на доступные нам варианты, а потом решим, какой из них подойдет лучше всего для учета трафика. Итак, что мы имеем:

1) Использование встроенного в iOS решения по сбору статистики.
2) Установка отдельного приложения от оператора связи.
3) Установка стороннего приложения из App Store для сверки статистики.
4) Джейлбрейк и последующая установка стороннего ПО из Cydia.
5) Покупка безлимитного пакета для Интернета.

1. iOS уже все знает

Абсолютно в каждом iOS-устройстве присутствует встроенный трекер, который считает ваши потраченные мегабайты. Его использование является, пожалуй, самым простым из всех вышеперечисленных вариантов. Найти статистику использования на iOS можно перейдя в Настройки Сотовая связь и опуститься чуть ниже в меню до пункта Статистика тарифа по сотовой связи .

Здесь у нас имеется общая статистика по трафику для всех ваших действий, а чуть ниже – для каждого отдельного приложения. В самом конце списка имеется кнопка сброса статистики, нажав на которую отсчет начнется с нуля – это будет актуально для подсчета трафика с началом каждого месяца. Кроме того, среди используемых приложений вы можете отключить те, которые, по вашему мнению, не должны потреблять слишком много ценных мегабайтов, таким образом запретив им выход в сеть.

Плюсы:
— Уже есть в каждом iPhone и iPad.
— Простота в использовании.
— Работа в фоновом режиме.
— Статистика для каждого приложения.
— Возможность отключения определенных приложений.

Минусы:
— Статистику нужно сбрасывать каждый месяц или кропотливо за ней следить.
— Никаких уведомлений по достижению лимита.

2. Доверьтесь своему оператору

Каждый уважающий себя оператор еще несколько лет назад позволил управлять своими тарифами непосредственно самому абоненту, сделав для каждого личный кабинет. Однако прогресс не стоит на месте и на смену ЛК в веб-версиях пришли приложения, заменяющие оный. Тем не менее качество и удобство использования самих приложений оставляет желать лучшего. Зачастую найти нужную информацию в перегруженном интерфейсе становится достаточно сложно, поэтому такой вариант приемлем лишь для пользователей сотовых операторов где-нибудь в Америке или Европе.

Плюсы:
— Самая точная статистика непосредственно от оператора сотовой связи.
— Приложение бесплатно.
— Уведомления о достижении лимита (далеко не всегда).

Минусы:
— Обычно отвратительный саппорт.
— Ужасная оптимизация приложений (для операторов России и СНГ).
— Не интуитивный интерфейс.
— Зачастую обоснованное недоверие к оператору.

3. Приложения из App Store

Кроме официальных приложений от операторов связи в магазине приложений Apple находится еще множество других решений, которые помогут вам отследить драгоценные мегабайты, а заодно уведомить вас о достижении определенного порога скачанного трафика. Самым популярным из них является, пожалуй, Data Usage со скромной ценой в 33 рубля. Однако есть и другие, даже бесплатные аналоги, но, к сожалению, разного качества. Отдельно стоит выделить приложение Traffic Monitor , которое давно неплохо себя зарекомендовало.

Плюсы:
— Автоматический сброс статистики и отсчет по новой.
— Уведомления о достижении определенных лимитов трафика.
— Ограничения можно выставлять самому (например: ежедневный, еженедельный и т.д.).
— Удобный интерфейс, построение графиков.
— Независимый подсчет трафика.

Минусы:
— Не все (и не всегда) приложения умеют корректно работать в фоновом режиме.
— За качество нужно платить (в виде исключения можно попробовать Traffic Monitor).

4. Приложения из Cydia

Тут, конечно, все понятно: сначала нужно сделать Jailbreak на своем устройстве, чтобы получить доступ к магазину приложений Cydia. Однако взлом устройства не подразумевает под собой того, что теперь можно бесплатно устанавливать все что угодно. Отнюдь. Как и в случае с App Store, в Cydia имеется достаточное количество приложений, но большинство из них также стоят денег.

Самыми популярными, пожалуй, являются WeeTrackData , которое, помимо работы в фоновом режиме, умеет встраиваться в центр уведомлений для быстрого к нему доступа, и CCMeters , которое также умеет отображаться в ЦУ, однако для его установки придется установить дополнительное программное обеспечение CCLoader.

Плюсы:
— Конечно же работа в фоне.
— Быстрый доступ к приложению из Центра уведомлений.
— Уведомления о достижении лимита.

Минусы:
— Необходим Jailbreak.
— Зачастую стоит денег.
— В зависимости от ПО возможно понадобится установка дополнительных компонентов.

4. Долой ограничения!

Одним из самых простых способов забыть о головной боли по поводу расходов трафика – подключить безлимитный Интернет. Несомненно, такой вариант может “влететь в копеечку”, но если для вас это не проблема – такой способ будет самым безболезненным. Другое дело, что далеко не все операторы предлагают именно безлимитные тарифы. Существуют пакеты на 80-100 ГБ, но они в любом случае заканчиваются. С другой стороны, вы же не качаете сутками Blu-Ray фильмы на iOS?

Как вариант, если в вашем городе есть оператор, предоставляющий действительно безлимитный трафик, то можно просто на его услуги, как это сделал я.

З.Ы.

Если смотреть на проблему с другой стороны, то можно задуматься не о подсчете трафика, а его минимизации. Например, использовать сторонние браузеры с такой возможностью. К слову, Opera Mini давно умеет его сжимать. Или если вы не переносите на дух что-то отличное от Safari, можете попробовать Onavo Extend – отдельное приложение, работающее по тому же принципу. К сожалению, не доступно в Русскоязычной версии App Store.

А сколько трафика в месяц тратите вы? Хватает ли того, что предлагают операторы? Расскажите нам об этом в комментариях!

Программы интернет защиты трафика. Мониторинг трафика в локальной сети. Варианты реализации контроля

В разделе «PID» смотрим, какая программа потребляет ресурсы.

Также, если нажать правой кнопкой мыши по процессу, появится набор функций. Process Properties – свойства процесса, End Process – завершить процесс, Copy – скопировать, Close Connection – закрыть соединение, Whois – что советует система.

Третий способ – использование компонентов ОС Windows

Жмём «Пуск», « Панель управления».

Для Windows XP. Открываем «Центр обеспечения безопасности».

Жмём «Автоматическое обновление».

В новом окне ставим отметку возле «Отключить» и «ОК».

Для Windows 7. Открываем «Центр обновления Windows».

Нажимаем «Настройка параметров».

Ставим отметку «Не проверять наличие обновлений».

Программы и элементы системы не будут получать доступ к сети. Однако чтобы служба не включилась обратно, проделываем следующие шаги (приемлемые для Windows ХР Windows 7).

В «Панели управления» переходим к разделу «Администрирование».

Ищем «Центр обеспечения безопасности» или «Центр обновления Windows». Кликаем «Отключить службу».

Четвёртый способ – контроль антивирусной программы

В Новой версии Nod 32 появилась дополнительная функция – контроль трафика. Запускаем ESET NOD32 Smart Security 5 или выше. Переходим к разделу «Служебные программ» и выбираем «Сетевые подключения».

Закрываем браузеры и смотрим список программ и элементов, которые потребляют ресурсы интернета. Напротив названия софта также будет отображаться скорость соединения и передачи данных.

Для того чтобы ограничить доступ программы к сети, жмём правой кнопкой мыши по процессу и выбираем «Временно запретить сетевое соединение для процесса».

Скорость интернет-соединения увеличится.

  • Простота настройки!
  • Графики расхода в реальном времени.
  • Контроль всех устройств с одного ПК.
  • Оповещение при превышении лимита.
  • Поддержка WMI, SNMPv1/2c/3 и 64-битных счётчиков.
  • Определите, кто и откуда скачивает.
  • Проверьте провайдера!

"10-Страйк: Учет Трафика" - это простая программа для контроля расхода трафика на компьютерах, коммутаторах, серверах в сети на предприятии и даже дома (3 сенсора можно мониторить бесплатно в пробной версии даже после истечения 30-дневного пробного периода). Осуществляйте мониторинг объемов входящего и исходящего потребляемого трафика на ПК всей вашей локальной сети, в т.ч. при выходе в Интернет.

ПО постоянно осуществляет сбор статистики с хостов по объемам входящих и исходящих данных и отображает в реальном времени динамику изменения скорости передачи данных на сетевых интерфейсах в виде графиков и таблиц.

Обнаруживайте недобросовестных пользователей, расходующих много Интернет-трафика в вашей организации. Нарушение трудовой дисциплины сотрудниками приводит к понижению производительности труда . Простейший анализ потребления трафика компьютерами сотрудников позволит обнаружить самых активных пользователей сети. При использовании WMI-сенсоров, на ПК сети даже ничего не нужно устанавливать, нужен лишь пароль администратора.

К сожалению, в нашей стране еще не везде Интернет-трафик для юридических лиц дешев. Часто бывает, что чрезмерная Интернет-активность пользователей (зачастую никак не связанная с рабочим процессом) приводит к перерасходу средств организации на оплату подключения. Использование ПО поможет предупредить получение неожиданно высоких счетов за Интернет на преприятии. Настройте оповещение на потребление определенного объема трафика компьютерами предприятия за определенный период времени.

Вы можете наблюдать графики скорости входящего и исходящего трафика ПК и сетевых устройств на экране в режиме реального времени. Можно оперативно определить, кто расходует больше всех и забивает канал.

Программа отслеживает расход трафика на ПК постоянно и может оповещать вас при выполнении определенных условий , которые вы можете задать. Например, если объем израсходованного трафика каким-либо ПК превышает заданную величину, или средняя скорость передачи информации за определенный период выше/ниже порогового значения. При выполнении заданного условия программа оповестит вас одним из следующих способов:

  • выдача сообщения на экран компьютера;
  • звуковой сигнал;
  • отправка e-mail сообщений;
  • запись в лог-файл;
  • запись в Event Log системы.

Кроме того, программа может выполнить определенные действия при выполнении условий: запустить другую программу, выполнить VB- или JS-скрипт, перезапустить службу, перезагрузить ПК и т.п.

По мере работы ПО накапливает статистику потребления трафика компьютерами. Вы можете в любой момент узнать, кто и сколько получил данных в любой момент времени, какие скорости передачи данных достигались. Графики скорости скачивания данных, а также таблицы потребления объемов трафика, могут быть построены для любого периода времени или даты.

Награды

В феврале 2015 года английская версия программы заслужила награду - финалист конкурса "Network Computing Awards 2015" популярного великобританского журнала "Network Computing" в номинации "Продукт года для оптимизации ИТ" (IT Optimisation Product of The Year).

При покупке лицензии вы получите подписку на бесплатные обновления ПО и тех. поддержку в течение одного года.

Скачайте бесплатную 30-дневную версию прямо сейчас и попробуйте! Поддерживаются Windows XP/2003/Vista/2008/7/8.1/2012/10/2016.

Компьютеры связаны между собой с помощью внешних или внутренних сетей. Благодаря этому пользователи могут делиться друг с другом информацией, даже находясь на разных континентах.

Программа для контроля трафика в офисе

С помощью ИКС вы легко контролируете учет трафика и его распределение между пользователями, влияете на возможность подключения к Интернет-ресурсам по своему усмотрению, обеспечиваете безопасность вашей внутренней сети.

Программа для контроля трафика в школе

ИКС – это универсальный Интернет-шлюз с инструментами для защиты образовательной сети, учета трафика, управления доступом и развертывания почтового, прокси и файлового сервера.

Программа для контроля трафика дома

ИКС Lite - это бесплатный Интернет шлюз, который обеспечивает все потребности работы с Интернет дома. ИКС Lite является полнофункциональной версией Интернет Контроль Сервера, включающей в себя лицензию на 8 пользователей.


Виды сетей

  • Домашние — объединяют компьютеры в одной квартире или доме.
  • Корпоративные — связывают рабочие машины предприятия.
  • Локальные сети — часто имеют замкнутую инфраструктуру.
  • Глобальные — связывают целые регионы и могут включать в себя локальные сети.

Польза от такой связи огромная: экономится время специалистов, снижаются счета за телефонные звонки. И все эти выгоды могут быть сведены к нулю, если вовремя не позаботиться о безопасности.

Фирмы, которые не знакомы с понятием «трафик контроль», несут колоссальные убытки или полностью ограничивают доступ к информации. Есть более простой способ экономить безопасно — программа по контролю трафика в локальной сети.

Отслеживание трафика

Руководителю важно знать, на что расходуются средства компании. Поэтому системный администратор занимается, в том числе, и контролем сетевого трафика в офисе. Статистика собирается не только по объёму, но и по содержанию переданной информации.

Зачем нужен контроль за локальной сетью? Хотя ответ на этот вопрос очевиден, многие системные администраторы не могут аргументировано обосновать необходимость контроля расхода интернет-трафика.

Выгоды для руководителя

Программа контроля трафика:

  • оптимизирует работу сети — за счёт экономии рабочего времени специалистов повышается производительность труда;
  • показывает распределение трафика по пользователям — даёт возможность выяснить, кому нужны интернет-ресурсы;
  • показывает, на какие цели расходовался трафик — исключает нецелевого доступа.

Выгоды для системного администратора

Мониторинг трафика в локальной сети позволяет:

  • ограничить доступ пользователей к нежелательной информации;
  • оперативно получать данные об объёме трафика — исключение перегрузки сети;
  • предотвратить проникновение в сеть вирусов и выявить нарушителей режима безопасности.

Варианты реализации контроля

Контроль интернет-трафика в корпоративной сети можно организовать несколькими способами:

  1. Купить межсетевой экран с возможностью разграничения трафика.
  2. Настроить прокси-сервера с NAT-драйверами с функциями по учёту трафика.
  3. Использовать различные виды надстроек.

Обеспечить же максимальную защиту может только комплексное решение. Интернет Контроль Сервер осуществляет полный контроль трафика и предлагает весь необходимый функционал. ИКС представляет собой маршрутизатор со встроенным прокси-сервером, работающим на базе FreeBSD.

Преимущества ИКС

  1. Статистические исследования выявили, что сотрудники 1/3 рабочего времени тратят на выход в интернет в личных целях. Специальный интернет-шлюз ИКС поможет предотвратить нецелевой доступ.
  2. Система контроля расхода трафика ведёт учёт на любых операционных системах пользователей.
  3. ИКС предлагает гибкие настройки.
  4. Составляет подробные отчёты в удобной форме.

Скачать бесплатно!

Начните прямо сейчас — скачать демо-версию программы для контроля интернет-трафика с нашего сайта. Вы сможете использовать все функции нашего решения без ограничений в течение 35 дней! После окончания тестового периода нужно просто приобрести полную версию, оформив заказ или связавшись с нашими менеджерами.

Тип организации

Выберите тип организации Образовательное учреждение Бюджетное учреждение Коммерческая организация

Цены НЕ РАСПРОСТРАНЯЮТСЯ на частные негосударственные учреждения и учреждения послевузовского профессионального образования

Лицензия ИКС

Редакция

Не требуется ИКС Стандарт ИКС ФСТЭК

Для расчета стоимости ФСТЭК обратитесь в отдел продаж

Тип поставки

ИКС ИКС + SkyDNS ИКС + Kaspersky Web Filtering

Тип лицензии

Новая лицензия Расширение лицензии Техподдержка

Количество пользователей

Расширение лицензии

Операторы сотовой связи предлагают интернет трафик чаще в виде пакета с фиксированным объемом данных. После исчерпания пакетных МБ требуется докупать трафик. Обычно это происходит автоматически и по завышенным ценам. Поэтому во избежание столь неприятной ситуации рационально ограничивать расход трафика, что бы растянуть выделенный пакет данных на заданный период – неделю или месяц.

ОС Android позволяет просматривать статистику расхода трафика и устанавливать ограничение. При этом штатные возможности не выделяются функциональностью. Поэтому рационально использовать соответствующие программы, способные фиксировать потребление трафика приложениями, а так же устанавливать ограничения на расход данных.

Программа позволяет контролировать расход трафика в интернете и приложениях, а так же настраивать лимит на потребление. Для установки требуется Android 4.0 или выше. Реклама и встроенные покупки отсутствуют. Максимальное потребление оперативной памяти – 229 МБ.

Утилита автоматически подсчитывает расход трафика в приложениях и сигнализирует при достижении указанного лимита. Если по условиям тарифного плана выделяется фиксированный пакет данных, требуется задать объем, тип плана, цикл повторения и дату начала отсчета. Помимо фиксирования расхода трафика, My Data Manager подсчитывает расход минут и сообщений.

Начальный экран содержит 3 вкладки для слежения за расходом трафика: мобильного, Wi-Fi и в роуминге. Скрытая панель слева открывает доступ к дополнительным параметрам:

Общие затраты трафика.

  • Журнал – просмотр статистики расхода по дням.
  • Карта – отображение использованных данных на местности.
  • Приложения – количество затраченного трафика играми и программами – за час, день, неделю или месяц.
  • Тарифные планы – отслеживание и регулирование расходов трафика согласно заданному тарифу.
  • Уведомления – предупреждения об использованном или достигнутом лимите.

Настройки позволяют сменить светлое оформление тёмным, использовать постоянные уведомления о количестве затраченного трафика и отображать виджет с расходом в строке состояния. Так же приложение позволяет хранить историю расхода трафика, постоянно или определенный период.

Основные преимущества:

  1. Бесплатность, нет рекламы или внутренних покупок.
  2. Слежение за расходом мобильного трафика, Wi-Fi или в роуминге.
  3. Просмотр использованного трафика приложениями за конкретный период.
  4. Установка лимита интернета, сообщений или минут.
  5. Индивидуальный подсчет трафика и регулярный, согласно тарифному плану.
  6. Тонкая настройка оповещения.
  7. Хранение истории.
  8. Переключение на тёмное оформление.
  9. Корректная локализация.

Основные недостатки:

  1. Не выявлено.

Приложение измеряет расход интернет трафика и устанавливает лимит на потребление. Отключение рекламы, активация виджета и отображение расхода трафика в строке состояния – обойдется по 2 USD. При этом доступна покупка трех функций за 5 USD, а так же кратковременное получение премиум привилегий за установку программ партнеров и просмотр рекламы. Минимальная версия Android для установки – 4.1. Максимальное потребление ОЗУ до 328 МБ.

При первом запуске приложение предлагает установить лимит трафика на месяц, неделю, в сутки и/или за 3 дня. Так же указать количество израсходованных данных для корректного подсчета.

Начальная страница разделена на две вкладки – с общей информацией затраченного трафика и с расходом приложений.

Первая вкладка позволяет пересмотреть статистику за предыдущие периоды использования интернета – вчера, в текущей неделе, месяце и т.д. Посмотреть общий расход мобильного и Wi-Fi подключения, использованный лимит мобильного трафика: по часам, в виде графика и схемы.

На второй вкладке отображается детальное потребление трафика приложениями. При нажатии на программу из списка, высвечивается количество исходящего и входящего трафика. Так же доступна почасовая статистика и за предыдущие дни.

В настройках устанавливаются лимиты и дополнительные параметры ограничения трафика. Ещё имеется выбор тёмного оформления, отображение расхода в строке состояния и отключение статистики Wi-Fi на графике первой вкладки.

Основные преимущества:

  1. Слежение за расходом мобильного трафика и Wi-Fi.
  2. Просмотр почасовой статистики и за предыдущие периоды.
  3. Установка лимита трафика на месяц, неделю или день.
  4. Тонкая настройка оповещения.
  5. Поддержка тёмного оформления.

Основные недостатки:

  1. Наличие отключаемой рекламы.
  2. Часть функций требуется покупать.
  3. Местами отсутствует перевод.

3G Watchdog – Data Usage

СКАЧАТЬ БЕСПЛАТНО

Программа для отслеживания и ограничения трафика. Заявлена поддержка Android устройств версии 2.2 и выше. Реклама отсутствует, но некоторые функции доступны после покупки PRO версии за 1 USD. Максимальный объем использования оперативной памяти – 147 МБ.

При первом запуске, вместе с приветствием, приложение предлагает задать квоту потребления трафика, согласно тарифному плану или доступному объему. Так же установить предупреждение при достижении граничной отметки и выбрать предпочтительные настройки.

Главная страница содержит информацию использованного/доступного мобильного трафика и оставшееся время до окончания квоты. Подача статистики в виде настраиваемой гистограммы, текста с % и таблицы. Последнее позволяет просматривать количество переданных, полученных и общих данных, за сегодня/неделю/месяц и сопоставлять с заданным планом. Причем в таблице фиксируется мобильный трафик, по Wi-Fi и в роуминге. Где для каждого раздела устанавливается отдельная квота потребления трафика.

Ниже отображается подсчет трафика приложений. Начиная с версии Android 7.0, для работы функции требуется разрешить 3G Watchdog подсчет. Для этого требуется активировать соответствующий переключатель в настройках безопасности. После чего появится статистика с количеством потребляемого трафика приложениями и временем активности.

Среди других возможностей 3G Watchdog – отображение потребления трафика в режиме реального времени. С заданным интервалом, программа фиксирует полученные и переданные данные. Подача информации в виде графика и списка.

Настройки позволяют задать отображение информации на главной странице, в строке состояния и виджете. Так же установить интервал обновления данных.

Интерфейс приложения «3G Watchdog – Data Usage».

Основные преимущества:

  1. Поддержка Android 2.2 и выше.
  2. Отсутствие рекламы.
  3. Отслеживание расхода мобильного трафика, Wi-Fi и в роуминге.
  4. Просмотр истории.
  5. Отображение потребления трафика в режиме реального времени.
  6. Резервное копирование и восстановление.
  7. Установка лимита потребления мобильного трафика, Wi-Fi и в роуминге.
  8. Настройка оповещения.
  9. Тёмное оформление.

Основные недостатки:

  1. Местами отсутствует перевод.
  2. Часть функций доступна в версии Pro.
  3. Дизайн приложения не менялся с версии Android 2.2.
  4. Нельзя добавить исключения, где бесплатный трафик.
  5. Погрешность в подсчете трафика, возможны конфликты с другими программами.

СКАЧАТЬ БЕСПЛАТНО

Приложение совмещает функции ограничения трафика и VPN. Реклама и встроенные покупки отсутствуют. Для установки требуется Android не ниже версии 4.1. Использование ОЗУ до 150 МБ.

Главный экран располагает общей информацией использованного трафика за день. Тут же активируется VPN, причем окно занимает 60% полезной области. Ниже находится список приложений, где отображается использованный трафик и рекомендации по экономии.

При открытии программы из списка, предлагаются три варианта использования данных:

Предотвращение пустого расходования данных, путем ограничения работы в фоновом режиме.

Запуск приложения только при подключении к Wi-Fi сети.

Установка лимита на использование данных, при достижении которых появится соответствующее уведомление. Доступны значения 10, 25, 50 и 100 МБ.

Настройки у приложения отсутствуют. VPN автоматически выбирает страну, лимитов на трафик, скорее всего, нет.

Основные преимущества:

  1. Нет рекламы.
  2. Встроенный VPN.
  3. Простота подачи информации.
  4. Ограничение или отключение трафика у приложений.

Основные недостатки:

  1. Из-за недостаточной оптимизации, приложение подвисает на флагманских смартфонах.
  2. Ограничение мобильного трафика приложений, только на 10, 25, 50 и 100 МБ.
  3. Нельзя задать ограничение для Wi-Fi сетей или приложений с бесплатным трафиком.
  4. Нет полезных настроек.
  5. Нерациональное распределение рабочего пространства.

СКАЧАТЬ БЕСПЛАТНО

Программа позволяет контролировать и ограничивать мобильный трафик приложений. Реклама и встроенные покупки отсутствуют. Требуемая версия Android для установки – 5.0 или выше. Используемый объем оперативной памяти – до 149 МБ.

Главный экран отображает количество использованного за день трафика. Содержит переключатель для сбережения трафика, кнопки статистики использованных данных и ближайшие точки Wi-Fi доступа.

Информация статистики подается в удобной форме – график. Так же доступен просмотр активности за предыдущие периоды использования – на этой неделе и в этом месяце. Ниже отображается список установленных приложений, где в одно касание включается и отключается ограничение трафика.

Уведомлять когда поблизости имеются доступные Wi-Fi сети.

Отображать расход трафика в режиме реального времени.

Основные преимущества:

  1. Простота использования.
  2. Нет рекламы и встроенных покупок.
  3. Простая подача информации и статистики.
  4. Автоматический и ручной поиск ближайших мест с Wi-Fi точками.
  5. Ограничение мобильного трафика в одно касание.
  6. Просмотр расхода трафика в режиме реального времени.

Основные недостатки:

  1. Мало полезных настроек.
  2. Нельзя задать ограничение трафика согласно объему тарифного плана.
  3. Приложение поддерживает только английский язык.

СКАЧАТЬ БЕСПЛАТНО

Приложение отслеживает использование мобильного интернета и Wi-Fi активность. Скачивается бесплатно и не содержит рекламу, но включает платные темы по 1 USD. Для работы программы требуется версия Android не ниже 4.4. Потребление ОЗУ в среднем 77 МБ.

В GlassWire ведется автоматический подсчет использования мобильного и беспроводного соединения. Пользователю доступна информация о количестве полученных и переданных данных, в режиме реального времени или при просмотре потребления за предыдущие периоды. Если в тарифном плане имеется фиксированный объем бесплатного трафика, тогда указание деталей позволит приложению отслеживать расход и сообщать о достигнутых лимитах. Причем учитывается мобильный план, Wi-Fi сеть и исключения в приложения с бесплатным трафиком.

Основные разделы приложения находятся в скрытой панели слева:

  • График. Показывает использование трафика приложениями, в режиме реального времени и за предыдущие сеансы. Так же позволяет просмотреть информацию о приложениях и быстро отключить фоновую активность.
  • Статистика. Отображает объем полученных и переданных данных.
  • Тарифный план. Установка лимитов на предоставляемый оператором пакетный трафик.
  • Оповещения. Сообщает об активности приложений, а ещё позволяет настроить предупреждения при достижении или превышении лимитов трафика.
  • Темы. Меняет оформление приложения. Доступно 7 оболочек, включая 3 платные.

В настройках содержатся параметры для изменения оповещений, вида уведомлений, оформления, языка и интервала обновления информации. Так же очистка истории.

Основные преимущества:

  1. Приятное оформление в стиле Material.
  2. Простая и доступная подача информации.
  3. Отсутствует реклама, корректная локализация.
  4. Наличие статистики, расхода в режиме реального времени, количества переданных и полученных данных.
  5. Смена графического оформления, тонкая настройка оповещений и установка интервала обновлений.
  6. Фиксирование использования мобильного трафика и сетей Wi-Fi.
  7. Установка лимитов для тарифных планов, включая Wi-Fi сеть и приложения с бесплатным трафиком.

Основные недостатки:

  1. Нет встроенной блокировки интернета для приложений и служб.
  2. Платные темы.

Вывод

Приложение My Data Manager оптимальный выбор для мониторинга и ограничения трафика, ввиду гибких настроек. Вдобавок программа бесплатная и не содержит назойливую рекламу.

Утилита Traffic monitor интересна удобной подачей статистики, поэтому подойдет начинающим пользователям. При этом скудная цветовая схема в сочетании с рекламой, вынуждают воспользоваться другой аналогичной программой.

3G Watchdog не уступает по функциональности My Data Manager, предлагает удобную подачу статистики и не содержит рекламу. При этом в приложении достаточно не доработок – местами отсутствие перевода, нет исключений для приложений с бесплатным трафиком, устаревший дизайн и погрешность в подсчете. В результате, легко остаться без интернета в неподходящий момент или понести дополнительные затраты за перерасход.

Программа Data Saver интересна за счет бесплатного VPN, отсутствующей рекламы, и функции запрещающей приложениям использовать мобильное соединение вместо Wi-Fi. При этом в программе не рационально используется рабочее пространство. А отсутствие оптимизации, вызывает подвисания программы и на глазах разряжает аккумулятор.

Datally в простой и наглядной форме показывает количество потребляемого трафика. А активация всего одного переключателя, позволит полностью ограничить передачу данных или конкретных приложений, что удобно для новичков. Так же это не станет помехой для незнающих языка пользователей. При этом программа не поддерживает автоматическое ограничение трафика, если в тарифном плане имеется пакет бесплатных мегабайтов.

GlassWire – удобное приложение для отслеживания потребления трафика и установки лимитов. Информация и статистика подается в понятной форме, что дополняет приятный интерфейс и отсутствие рекламы. Из несущественных недостатков – нет встроенной функции принудительного отключения интернета, для выбранных программ.

9 оценок, среднее: 3,33 из 5)

Инструкция

Как правило, данных происходит двумя путями: непосредственным подключением к удаленному компьютеру, в результате которого хакер получает возможность просматривать папки компьютера и копировать нужную ему информацию, и с использованием троянских программ. Обнаружить работу профессионально написанной троянской программы очень сложно. Но таких программ не так уж много, поэтому в большинстве случаев пользователь замечает в работе компьютера некоторые странности, свидетельствующие о его заражении. Например, попытки подключиться к сети, непонятная сетевая активность, когда вы не открываете никаких страниц, и т.д. и т.п.

Во всех подобных ситуациях необходимо проконтролировать трафик, для этого вы можете воспользоваться штатными средствами Windows. Откройте командную строку: «Пуск» - «Все программы» - «Стандартные» - «Командная строка». Ее можно открыть и так: «Пуск» - «Выполнить», потом введите команду cmd и нажмите Enter. Откроется черное окно, это и есть командная строка (консоль).

Введите в командной строке команду netstat –aon и нажмите Enter. Появится список подключений с указанием ip-адресов, с которыми соединяется ваш компьютер. В графе «Состояние» вы можете посмотреть статус соединения – например, строка ESTABLISHED говорит о том, что данное соединение активно, то есть присутствует в данный момент. В графе «Внешний адрес» указан ip-адрес удаленного компьютера. В графе «Локальный адрес» вы найдете информацию об открытых на вашем компьютере портах, через которые осуществляются соединения.

Обратите внимание на последнюю графу – PID. В ней указаны идентификаторы, присвоенные системой текущим процессам. Они очень полезны при поиске приложения, ответственного за интересующие вас соединения. Например, вы видите, что через какой-то порт у вас установлено соединение. Запомните PID-идентификатор, потом в том же окне командной строки наберите tasklist и нажмите Enter. Появится список процессов, в его второй колонке указаны идентификаторы. Найдя уже знакомый идентификатор, вы легко определите, какое приложение установило данное соединение. Если название процесса вам незнакомо, введите его в поисковик, вы тут же получите о нем всю необходимую информацию.

Для контроля трафика можно использовать и специальные программы – например, BWMeter. Утилита полезна тем, что может полностью контролировать трафик, указывая, с какими адресами соединяется ваш компьютер. Помните, что при правильной настройке он не должен лезть в сеть, когда вы не пользуетесь интернетом – даже в том случае, если браузер запущен. В ситуации, когда индикатор подключения в трее то и дело сигнализирует о сетевой активности, необходимо отыскать ответственное за подключение приложение.

Рекомендуем также

Контроль и монитор сетевой активности в ПО компании «Smart-Soft»

В настоящее время сложно представить работу компании и бизнеса без сети. В 2019 году индекс сетевой активности в России, по данным Всемирного экономического форума, составил 54,98. Индекс имеет четыре показателя: технологии, люди, управление и влияние. Поэтому оптимизация и сетевой мониторинг — важная задача ИТ-отдела компании. Антивирусы и файерволы не смогут защитить ее от внутренних угроз: ошибочных действий сотрудников и уязвимостей самой сети.

На каждом сетевом устройстве в ИТ-инфраструктуре организации происходит множество действий, таких как передача пакетов, сообщений из сетевых протоколов, событий состояния устройства и т. д. Все это и есть сетевая активность.

Сетевая активность используется для выявления узких мест в сети при наличии проблем с нагрузкой между серверами. Она влияет на общую производительность и работоспособность сети, а также время безотказной работы. Поэтому компаниям необходимо осуществлять контроль сетевой активности пользователей. Для этого используются инструменты сетевого мониторинга.

Мониторинг сетевой активности

Отслеживание и анализ трафика нужны:

  • для диагностики и решения проблем в сети;
  • контроля безопасности конфиденциальных данных;
  • быстрой реакции на ошибки и неисправности;
  • предупреждения длительного простоя сети;
  • предотвращения подозрительной сетевой активности и атак.

Можно отслеживать активность практически любой сети: проводной или беспроводной, локальной сети предприятия и т. д. Мониторинг сетевой активности — это непрерывный процесс наблюдения за рабочей сетью. По его результатам можно делать выводы о качестве работы сети и ее компонентов. Контроль осуществляется системным администратором с помощью установленной системы мониторинга.

К системам мониторинга относятся программные и аппаратные средства, которые отслеживают сеть и ее компоненты: трафик, пропускную способность, время безотказной работы. Эти системы обнаруживают устройства и элементы сети, обновляют статус сети, а также уведомляют администратора о проблемах. Системы предоставляют отчеты по активности за определенный период и записывают статистику во внутреннюю базу данных. Важно сохранять всю информацию по сетевой активности. Задача сетевого администратора — поиск и анализ сетевых проблем на основе этих данных и принятие решений по их устранению.

Способы анализа сетевой активности

Методов проверки и мониторинга много, и все они зависят от целей анализа, сетевой конфигурации, файловой системы и т. д.

Начнем с методов, основанных на применении маршрутизатора. Функция мониторинга встроена в маршрутизатор и не нуждается в установке дополнительного ПО. Имеют низкую гибкость.

  • Протокол простого сетевого мониторинга (SNMP). Позволяет управлять производительностью сети. Собирает данные по трафику до конечного хоста через пассивные датчики. Ключевые компоненты: управляемые устройства, агенты и системы управления сетью (NMS). Протокол SNMP работает на прикладном уровне и использует пассивные сенсоры для отслеживания сетевого трафика и производительности сети. Создает угрозу безопасности тем, что не имеет аутентификации.
  • Удаленный мониторинг (RMON). Включает в себя сетевые мониторы и консольные системы для изменения данных. Может настроить сигналы для отслеживания сети по определенному критерию. Компоненты RMON: датчик (агент или монитор) и клиент (станция управления). Основан на протоколе SNMP.
  • Netflow. Это сетевой протокол, предназначенный для учета сетевого трафика и , разработанный компаниейCisco Systems. По данным Netflow можно определить источник трафика и причины переполненности. Состоит из трех компонентов: FlowCaching (кэширующий поток), FlowCollector (собиратель информации о потоках) и Data Analyzer (анализатор данных). Преимущество Netflow — наглядные и удобные графики активности сети на любом отрезке времени.

Теперь рассмотрим методы, не основанные на применении маршрутизатора, которые нуждаются в дополнительном программном или аппаратном обеспечении. Являются более гибкими. Бывают активными и пассивными.

  • Активный мониторинг. Осуществляет измерения между двумя конечными точками и сообщает о неполадках при их наличии. Недостаток активного мониторинга — измерения в сети могут вмешиваться в нормальный трафик. Это вызывает сомнения в ценности информации по этим пробам. Этот метод используется редко.
  • Пассивный мониторинг. Отслеживает информацию только об одной точке в сети. Осуществляется с помощью любой программы, которая вытягивает пакеты. Минус метода — измерения можно проанализировать только офлайн.
  • Комбинированный мониторинг. Содержит две технологии: просмотр ресурсов на концах сети (WREN) и монитор сети с собственной конфигурацией (SCNM). WREN активно обрабатывает данные при малом трафике и пассивно при большом. SCNM собирает данные на 3 уровне проникновения.

Мониторинг производительности сети (Network Performance Monitoring). Это инструмент для анализа производительности сетевых компонентов, каналов связи и передаваемого трафика. Отличается от классического Network Monitoring (SNMP и т. д.) тем, что работает с реальным сетевым трафиком и данные анализируются в реальном времени. Пользователь сам выбирает приложения для контроля. Поддерживает Flow-технологии.

Программы для просмотра сетевой активности

Данный тип программного обеспечения помогает быстро реагировать на подозрительную активность в сети, анализировать сетевые процессы и автоматизировать сетевую безопасность.

  1. Cacti — инструмент мониторинга с открытым исходным кодом. Строит графики на основе практически любых статистических данных. Метод сбора данных SNMP, но могут использоваться сценарии на Perl или PHP. С помощью плагинов строит карту сети в реальном времени.
  2. Observium. Отслеживает состояние сети в реальном времени и анализирует уровень производительности. Графический интерфейс дает большой выбор надстроек. Отчеты в виде диаграмм и графиков. Основан на протоколе SNMP.
  3. Nagios. Дает возможность удаленно корректировать нагрузку на оборудование, следить за загруженностью памяти в БД и за физическими показателями оборудования (температура материнской платы). Автоматически посылает сообщения о подозрительной активности. Недостаток для начинающих — конфигурация через командную строку.
  4. PRTG Network Monitor. Можно использовать не только для сканирования устройств, но и для выявления сетевых атак. Сохраняет статистические данные в БД. Есть возможность посмотреть карту сети в реальном времени и сбора технических параметров устройств, подключенных к сети. Графический интерфейс понятен и открывается в любом браузере.
  5. Ранее в Windows XP была функция индикатора сетевой активности — значок двух мониторов, которые мерцали при наличии входящего или исходящего трафика. В операционных системах Windows 7 и Vista эту функцию убрали. Сегодняшней альтернативой может быть программа Network Activity Indicator. Ее интерфейс похож на Windows. После установки необходимо правой кнопкой мыши нажать на иконку программы, далее пункт «Настройки». После этого нужно выбрать необходимые опции и нажать «Применить». Трафик будет отображаться при наведении курсора на иконку программы.

 

 

Подпишитесь на рассылку Смарт-Софт и получите скидку на первую покупку

За подписку мы также пришлем вам white paper "Основы кибербезопасности в коммерческой компании".

Email*

Подписаться

90 000 бесплатных инструментов мониторинга сети и интернет-трафика для Windows 10/8/7 2022

Живя в век информационных технологий, сетевое администрирование играет ключевую роль в принятии ИТ-решений любого масштаба. В этом занятом секторе сетевого администрирования мониторинг интернет-трафика является незаменимым сегментом сети организации. Поддержание безопасности и целостности сети — важнейшая задача сети, и это достигается за счет тщательного анализа интернет-трафика.Управление, мониторинг и контроль сетевой инфраструктуры имеет первостепенное значение для любой организации.

Однако в нынешнюю информационную эпоху существует множество инструментов для анализа интернет-трафика. Отслеживание интернет-трафика может помочь вам устранить сетевые проблемы, такие как червь или антивирусное программное обеспечение, которые могут потреблять большую часть полосы пропускания. Кроме того, инструменты управления трафиком доминируют в развивающейся сетевой организации, где пользователи могут получить общее представление о будущих обновлениях сети, анализируя текущую полосу пропускания.

Средства мониторинга сети и Интернета

В целом инструмент помогает администратору в управлении и мониторинге сетевой инфраструктуры. В то время как такие методы, как SNMP и NetFlow, использовались для мониторинга сетевого трафика и раньше, сегодняшняя техно-сцена требует наиболее ловкого способа мониторинга Интернета, который реализует детали, предоставляемые журналами брандмауэра, и технологией глубокой проверки пакетов. С развитием технологических инноваций появилось много доступных инструментов, которые являются экономически эффективными для мониторинга интернет-трафика.Инструмент предоставляет подробный отчет о промежуточной сетевой активности, записи о пользователях, которые транслируют контент, такой как игры и фильмы, отчеты об использовании Интернета и расходах в удаленных местах, а также многие функции, необходимые для безопасного использования Интернета. некоторые инструменты чрезвычайно полезны при анализе интернет-трафика.

Сетевой анализатор Wireshark

Wireshark Network Analyzer — это сетевой анализатор с открытым исходным кодом, который отслеживает сетевой трафик.Этот инструмент позволяет сетевому администратору эффективно управлять сетевой инфраструктурой. Инструмент анализирует информационные пакеты и необработанный USB-трафик, предоставляя информацию о времени передачи, источнике, получателе, заголовке и типе протокола. Инструмент позволяет считывать данные из сетевого подключения, а также из захваченных пакетов. PPP, IEEE 802.11, Ethernet и loopback — это сеть, которая поддерживает этот инструмент для чтения активных пакетов данных. Инструмент также позволяет пользователю настраивать различные параметры, устанавливать таймеры и применять фильтры к захваченным пакетам данных.

Telerik FiddlerCap

Fiddler — это мощный инструмент сетевого анализа, включающий множество функций. Он доступен для бесплатной загрузки и имеет размер менее 1 МБ. Его также можно использовать в любом масштабе бизнеса, как в большом, так и в малом. Инструмент позволяет пользователю легко отслеживать ошибку в веб-браузере или на любом веб-сайте. Несколько параметров можно настроить несколькими щелчками мыши, например, сохранение двоичных файлов, расшифровку HTTP-трафика или сохранение файлов cookie перед началом сеанса захвата.Инструмент также позволяет вам установить таймер, который автоматически отклоняет движение по истечении установленного времени. Пользователь может делать снимки экрана для будущих экстраполяций. Основным преимуществом скрипача является то, что шапка скрипача создает файл журнала сеанса захвата, который автоматически загружается в скрипач для анализа. Получи это здесь.

TCPView

Microsoft

TCPView предоставляет простой интерфейс интернет-мониторинга, который доступен для бесплатной загрузки и имеет размер менее 1 МБ.Инструмент предоставляет пользователю полную информацию обо всех конечных точках UDP и TCP, с которыми можно взаимодействовать с указанными соединениями. Это позволяет пользователю отслеживать сетевую активность в режиме реального времени по мере установления соединений и, таким образом, отслеживать любые вредоносные действия. Интерфейс позволяет пользователю изменять параметры, такие как фильтр или настройка скорости, несколькими щелчками мыши. Это определенно мощный инструмент, который поставляется с удобными контекстными меню и позволяет пользователю сохранять список активности сеанса в текстовый файл.Получи это здесь.

Сетевой анализатор Nagios

Nagios Network Analyzer — это инструмент для мониторинга интернет-трафика с открытым исходным кодом. Плата за проезд обеспечивает простой способ выявления проблем сетевой инфраструктуры, которые могут препятствовать бесперебойной работе ваших критически важных операций. Благодаря приложению, сервисам и бизнес-процессам Nagios Core обеспечивает правильное функционирование всей ИТ-инфраструктуры. Инструмент позволяет выбирать плагины и надстройки для поддержки базы данных, построения диаграмм и распределения нагрузки.Скачать

здесь

ОпенНМС

OpenNMS — это сетевой инструмент с открытым исходным кодом, который управляет и контролирует вашу сеть для обеспечения безопасного и эффективного соединения. OpenNMS предоставляет высокоинтегрированную платформу мониторинга для предприятий, средних предприятий и развивающихся ИТ-экосистем. В то время как OpenNMS позволяет осуществлять удаленный мониторинг приложений, ловушки SNMP используются для создания рабочих процессов высокого уровня для выявления признаков угрозы.Предоставляет очень простой интерфейс для просмотра узлов, установки сигналов тревоги и проверки времени простоя. Получи это здесь.

Если вы уже используете инструмент для анализа веб-трафика, поделитесь своим опытом в разделе комментариев ниже.

.

Мониторинг сетевого трафика | Инструменты мониторинга сетевого трафика — ManageEngine NetFlow Analyzer

Проблемы выбора инструмента мониторинга сетевого трафика

Традиционные и бесплатные инструменты мониторинга сетевого трафика для Windows анализируют сеть, используя аппаратные фрагменты или анализаторы пакетов, чтобы предоставить подробную информацию о сетевом трафике. Однако тестирование оборудования требует сложных процедур развертывания и обычно не учитывает трафик, использующий защищенные протоколы IP (IPsec).

Кроме того, анализаторы пакетов переполняются огромными объемами данных, которые не дают прямого представления о трафике, связанном с приложением. В такой ситуации ИТ-отдел должен действовать на основе расширенного цикла решения проблем, а это означает, что принятие ключевых решений, влияющих на функционирование сети, занимает много времени.

Как отслеживать сетевой трафик.

Сегодня, благодаря инновациям Cisco NetFlow (и другим потокам от других поставщиков), средство мониторинга сетевого трафика ManageEngine в режиме реального времени требует гораздо меньше времени и усилий для выполнения этих задач, что приводит к лучшим результатам для предприятия.NetFlow Analyzer непрерывно собирает подробную информацию об IP-трафике без негативного влияния на производительность устройства и увеличения затрат.

Используя экспортированные данные NetFlow, ManageEngine NetFlow Analyzer обеспечивает сетевым администраторам/менеджерам прозрачность, необходимую им для понимания глобальной сети. Оснащенный исчерпывающими мгновенными отчетами о ведущих докладчиках, беседах и многом другом, Network Traffic Monitor сообщает ИТ-специалистам именно то, что им нужно знать для устранения неполадок или принятия правильных решений по планированию ресурсов.

Мониторинг сетевого трафика в режиме реального времени с помощью NetFlow Analyzer.

NetFlow Analyzer — это веб-инструмент мониторинга сетевого трафика, который анализирует экспортные данные NetFlow с маршрутизаторов Cisco, отслеживая трафик, включая размер трафика, скорость трафика, пакеты, заголовки, использование пропускной способности и время пиковой нагрузки.

Существует множество различных отчетов, которые можно получить с помощью NetFlow Analyzer. Этот инструмент мониторинга сетевого трафика прост в реализации и обслуживании.Вы можете установить NetFlow Analyzer на компьютер с Windows или Linux и использовать веб-браузер для доступа к клиентскому интерфейсу. После установки настройте коммутаторы/маршрутизаторы Cisco для экспорта данных NetFlow в NetFlow Analyzer. Диаграммы будут созданы за считанные минуты, а отчеты будут созданы автоматически. Теперь вы готовы отслеживать трафик в вашей сети..

Экспорт потоков в NetFlow Analyzer — это простой процесс, который можно выполнить одним щелчком мыши.Как только устройства будут найдены, NetFlow Analyzer предоставляет обзор пропускной способности сети и статистику использования ресурсов с помощью настраиваемой панели мониторинга. Пользователи могут анализировать интерфейсы для просмотра сетевого трафика и информации о трафике, приложениях, источниках, пунктах назначения, разговорах, DSCP (кодовая точка дифференцированных услуг) и QoS трафика (качество обслуживания). На основе этих ключевых параметров данных можно создавать точные отчеты с точностью до одной минуты.

Важные функции программного обеспечения для мониторинга сетевого трафика

NetFlow Analyzer от ManageEngine — это веб-инструмент для мониторинга сетевого трафика в режиме реального времени, используемый более чем 4000 предприятий, который анализирует потоки Netflow, экспортируемые с маршрутизаторов Cisco, для получения точной информации о сетевом трафике, включая размер трафика, основные динамики, использование полосы пропускания и высокую пропускную способность. использовать время.

Информация, предоставленная NetFlow Analyzer, помогает ИТ-специалистам:

  • Определение основных говорящих и обслуживание сети: Определение пользователей и приложений, использующих максимальную пропускную способность, и более тщательный анализ разговоров.Узнайте больше о мониторинге полосы пропускания.
  • Мониторинг и прогнозирование сетевых тенденций и моделей использования: Просмотр тенденций сетевого трафика и определение критических приложений и максимальных периодов использования. Узнайте больше об анализе сетевого трафика.
  • Определение приложения для мониторинга сетевого трафика: Используйте комбинацию портов и протоколов для определения приложения без ограничений и отчета о трафике.Вы также можете сопоставить приложения с IP-адресами.
  • Мониторинг пропускной способности на основе отдела: Определите отделы на основе IP-адресов, определите использование полосы пропускания и использование приложений для каждого отдела.
  • Эксклюзивное управление устройствами: Классифицируйте устройства, организуйте их в логические группы и отслеживайте отчеты о трафике соответствующим образом для этих групп.
  • Accounting: Улучшите учет использования ресурсов с помощью статистики использования трафика и пропускной способности в режиме реального времени.Узнайте больше о выставлении счетов / учете.
  • Мониторинг трафика между сайтами: Мониторинг сетевого трафика между двумя выбранными сайтами на основе IP-адресов или IP-сетей. Эта функция помогает понять поведение сетевого трафика между двумя пользовательскими сайтами.

Проверить все функции NetFlow Analyzer. С программным обеспечением для мониторинга трафика ManageEngine для Windows и Linux вы можете отслеживать трафик и многое другое!

Скачать | Интерактивная демонстрация

NetFlow Analyzer — это интегрированный инструмент для сбора и анализа данных NetFlow, sFlow, jFlow и других.Программное обеспечение для мониторинга сетевого трафика в режиме реального времени помогает вам управлять сетевым трафиком и использованием полосы пропускания. Этот инструмент мониторинга трафика не требует тестирования оборудования и может быть загружен, использован в вашей сетевой среде и протестирован бесплатно в течение 30 дней.

Мониторинг сетевого трафика и графический интерфейс, содержащий всю информацию, — вот те аспекты, за которые мне больше всего нравится NetFlow Analyzer.

- Инфраструктура и операции индустрии связи

.

Контролируемое управление трафиком — Microsoft Defender для IoT

  • Статья
  • Время считывания: 10 мин
  • Соавторы: 4

Была ли эта страница полезной?

Да Нет

Хотите что-нибудь добавить к этому мнению?

Отзыв будет отправлен в Microsoft: когда вы нажмете «Отправить», отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Датчики

автоматически выполняют глубокое обнаружение пакетов для ИТ- и OT-трафика и распознают информацию о сетевых устройствах, такую ​​как атрибуты и поведение устройств. Доступно несколько инструментов для управления типом движения, обнаруживаемым каждым датчиком.

Аналитические устройства и самообучающиеся

Механизмы

выявляют проблемы безопасности с помощью механизмов непрерывного мониторинга и пяти аналитических модулей, включающих самообучение, что устраняет необходимость в обновлении сигнатур или определении правил. Камеры используют поведенческий анализ ICS и науку о данных для непрерывного анализа сетевого трафика OT на наличие аномалий. Пять двигателей:

  • Обнаружение нарушения протокола : указывает использование структур пакетов и значений полей, которые нарушают спецификации протокола ICS.

  • Обнаружение нарушения политики : Выявляет нарушения политики, такие как несанкционированное использование функциональных кодов, доступ к определенным объектам или изменения конфигурации устройства.

  • Обнаружение промышленных вредоносных программ : определяет поведение, указывающее на наличие известных вредоносных программ, таких как Conficker, Black Energy, Havex, WannaCry и NotPetya.

  • Обнаружение аномалий : Обнаруживает аномальное взаимодействие и поведение между машинами (M2M).При моделировании сетей ICS в виде последовательностей детерминированных состояний и переходов устройство использует запатентованный метод, называемый промышленным моделированием конечных состояний (IFSM). Решение требует более короткого периода обучения, чем подходы к общей математике или анализу, которые изначально были разработаны для ИТ, а не только для других. Он также быстрее обнаруживает аномалии с минимальным количеством ложных срабатываний.

  • Обнаружение операционных событий : Выявляет операционные проблемы, такие как прерывистые соединения, которые могут указывать на ранние признаки сбоя оборудования.

Образовательные и интеллектуальные образовательные режимы ИТ

Режим обучения дает указание датчику узнать о нормальной сетевой активности. Примеры включают устройства, обнаруженные в сети, протоколы, обнаруженные в сети, передачу файлов между определенными устройствами и многое другое. Это действие становится эталоном сети.

Режим обучения автоматически включается после установки и остается включенным, пока не будет отключен. Приблизительная продолжительность режима обучения составляет от двух до шести недель, в зависимости от размера сети и сложности.По истечении этого периода, когда режим обучения отключен, любая новая обнаруженная активность будет вызывать оповещения. Оповещения запускаются, когда механизм политики обнаруживает отклонения от известного базового уровня.

После завершения периода обучения и отключения режима обучения датчик может обнаруживать необычно высокий уровень изменений опорных точек, являющихся результатом нормальной работы ИТ, таких как запросы DNS и HTTP. Это действие называется ИТ-неопределенным поведением. Такое поведение также может вызывать ненужные предупреждения о нарушении политики и системные уведомления.Чтобы уменьшить количество этих предупреждений и уведомлений, вы можете включить функцию Smart IT Education .

Когда интеллектуальное ИТ-обучение включено, датчик отслеживает сетевой трафик, который создает неопределенное поведение ИТ на основе определенных сценариев предупреждений.

Датчик отслеживает это движение в течение семи дней. Если он обнаружит тот же неопределенный ИТ-трафик в течение семи дней, он продолжит отслеживать этот трафик еще семь дней. Если в течение полных семи дней трафик не обнаруживается, интеллектуальное ИТ-обучение для этого сценария отключается.Новый трафик, обнаруженный для этого сценария, будет генерировать только оповещения и уведомления.

Работа с интеллектуальным ИТ-образованием помогает сократить количество ненужных предупреждений и уведомлений, вызванных шумными ИТ-сценариями.

Режимы обучения нельзя отключить, если датчик управляется с локальной консоли управления. В таких случаях режим обучения можно отключить только с консоли управления.

Возможности обучения (обучение и интеллектуальное ИТ-образование) включены по умолчанию.

Чтобы включить или отключить обучение:

  1. Выберите Настройки > система Мониторинг сети Сеть > камеры и моделирование сети .
  2. Включите или отключите параметры Education и Intelligent IT Education .

Настройка подсети

Конфигурации подсети влияют на то, как устройства отображаются на карте устройств.

По умолчанию датчик находит конфигурацию подсети и заполняет этой информацией диалоговое окно «Конфигурация подсети».

Чтобы включить фокус на OT-устройства, ИТ-устройства автоматически группируются по подсетям в карте устройств. Каждая подсеть представлена ​​на карте как один объект, включая интерактивную возможность свертывания/развертывания для «детализации» по ИТ-подсети и обратно.

При работе с подсетями выберите подсети ICS, чтобы определить подсети OT. Затем вы можете сосредоточиться на представлении карты в сетях OT и ICS, а затем свернуть представление элементов ИТ-сети до минимума.Это уменьшает общее количество устройств, отображаемых на карте, и обеспечивает четкое представление о сетевых компонентах OT и ICS.

Вы можете изменить конфигурацию или изменить информацию о подсети вручную, экспортировав обнаруженные данные, изменив их вручную, а затем повторно импортировав список определенных вручную подсетей. Дополнительные сведения об экспорте и импорте см. в разделе Импорт информации об устройстве.

В некоторых случаях, например в средах, использующих общедоступные области в качестве внутренних, вы можете указать датчику распознавать все подсети как внутренние, выбрав Не обнаруживать активность в Интернете .После выбора этой опции:

  • Общедоступные IP-адреса будут рассматриваться как локальные адреса.

  • Предупреждения о несанкционированной интернет-активности отправляться не будут, что снижает количество уведомлений и предупреждений, получаемых на внешние адреса.

Для настройки подсетей:

  1. В боковом меню выберите пункт Системные настройки .

  2. Выберите Основной , а затем выберите Подсети .

  3. Чтобы автоматически добавлять подсети при обнаружении новых устройств, установите флажок Автоматически создавать подсети для образовательных учреждений .

  4. Чтобы разрешить все подсети как внутренние подсети, выберите Разрешить весь интернет-трафик как внутренний/частный . Общедоступные IP-адреса будут рассматриваться как частные локальные адреса. Предупреждения о несанкционированной интернет-активности не отправляются.

  5. Выберите Добавить подсеть и определите следующие параметры для каждой подсети:

    • IP-адрес подсети.
    • Адрес маски подсети.
    • Имя подсети. Мы рекомендуем, чтобы каждая подсеть имела осмысленное имя, которое можно было бы легко идентифицировать, чтобы вы могли различать сети ИТ и сети OT. Имя может содержать до 60 символов.
  6. Чтобы обозначить эту подсеть как подсеть OT, выберите Подсеть ICS .

  7. Чтобы показать подсеть отдельно при организации карты в соответствии с уровнем Purdue, выберите Segregated .

  8. Чтобы удалить все подсети, выберите Очистить все .

  9. Чтобы экспортировать настроенные подсети, выберите Экспорт . Таблица подсетей будет загружена на вашу рабочую станцию.

  10. Выберите пункт Сохранить .

Информация об импорте

Чтобы импортировать информацию о подсети, выберите Import и выберите файл CSV для импорта.Информация о подсети обновляется импортированной информацией. Если вы импортируете пустое поле, вы потеряете свои данные.

Устройство обнаружения

Механизмы самоанализа

избавляют от необходимости обновлять сигнатуры или определять правила. Камеры используют специфичный для ICS поведенческий анализ и науку о данных для непрерывного анализа сетевого трафика OT на наличие аномалий, вредоносного ПО, операционных проблем, нарушений протокола и изменений базовой сетевой активности.

Примечание

Мы рекомендуем включить все подсистемы безопасности.

Когда камера обнаруживает отклонение, она выдает предупреждение. Оповещения можно просматривать и управлять ими на экране оповещений или в партнерской системе.

Имя камеры, вызвавшей оповещение, отображается под заголовком оповещения.

Механизм нарушения протокола

Нарушение протокола происходит, когда структура пакета или значения полей не соответствуют спецификации протокола.

Пример сценария: оповещение "Недопустимая операция MODBUS (код функции ноль)". Это оповещение указывает на то, что основное устройство отправило запрос с кодом функции 0 на дополнительное устройство. Это действие не разрешено спецификацией протокола, и вторичное устройство может неправильно обрабатывать ввод.

Механизм нарушения политики

Нарушение политики происходит с отклонением от базового поведения, определенного в изученных или настроенных параметрах.

Пример сценария: оповещение "Неавторизованный пользовательский агент HTTP". Это предупреждение указывает на то, что приложение, которое не было обучено или не одобрено политикой, используется в качестве HTTP-клиента на устройстве. Это может быть новый веб-браузер или приложение на этом устройстве.

Механизм вредоносных программ

Malware Engine обнаруживает вредоносную сетевую активность.

Пример сценария: оповещение «Подозрение на вредоносную операцию (Stuxnet)». Это оповещение означает, что датчик обнаружил подозрительную сетевую активность, которая, как известно, связана с вредоносным ПО Stuxnet.Это вредоносное ПО представляет собой продвинутую постоянную угрозу, предназначенную для управления промышленными сетями и сетями SCADA.

Аномальная камера

Механизм обнаружения аномалий обнаруживает аномалии в поведении сети.

Пример сценария: оповещение "Периодическое поведение на канале связи". Компонент проверяет сетевые подключения и находит периодическую и циклическую передачу данных. Такое поведение характерно для промышленных сетей.

Операционный аппарат

Операционная камера обнаруживает рабочие события или ненормальные устройства.

Пример сценария: оповещение «Устройство подозревается в отключении (нет ответа)». Это оповещение возникает, когда устройство не отвечает ни на один предварительно заданный запрос периода. Это оповещение может указывать на отключение, отключение или сбой устройства.

Включение и выключение камер

Когда камера правил выключена, информация, генерируемая камерой, не будет доступна сенсору. Например, если вы отключите механизм обнаружения аномалий, вы не будете получать оповещения о сетевых аномалиях.Если вы создали правило переадресации, обнаруженные движком аномалии отправляться не будут. Чтобы включить или отключить механизм политики, выберите Enabled или Disabled для конкретной камеры.

Настройка диапазонов адресов DHCP

Сеть может состоять как из статических, так и из динамических IP-адресов. Как правило, статические адреса находятся в сетях OT с помощью архиваторов, контроллеров и устройств сетевой инфраструктуры, таких как коммутаторы и маршрутизаторы.Динамическое выделение IP-адресов обычно реализуется в гостевых сетях с ноутбуками, компьютерами, смартфонами и другими портативными устройствами (с использованием физических подключений Wi-Fi или LAN в разных местах).

Если вы работаете с динамическими сетями, вы будете обрабатывать изменения IP-адресов, которые происходят при назначении новых IP-адресов. Для этого необходимо определить диапазоны адресов DHCP.

Изменения могут произойти, например, когда сервер DHCP назначает IP-адреса.

Определение динамических IP-адресов для каждого датчика обеспечивает комплексную и прозрачную обработку изменений IP-адресов. Это обеспечивает сквозную отчетность для каждого уникального устройства.

Консоль датчиков показывает самый последний IP-адрес, связанный с устройством, и указывает, какие устройства являются динамическими. Например:

  • Отчет о поиске данных и отчет об инвентаризации устройства объединяют все действия, полученные на устройстве, в один блок, независимо от изменения IP-адреса.Эти отчеты показывают, какие адреса были определены как адреса DHCP.

  • Окно Свойства устройства указывает, было ли устройство определено как устройство DHCP.

Для установки диапазона адресов DHCP:

  1. В боковом меню выберите Системные настройки > Сеть мониторинг Диапазоны DHCP.

  2. Определите новый диапазон, установив значения От и до .

  3. Необязательно: Определите имя диапазона длиной до 256 символов.

  4. Чтобы экспортировать диапазоны в файл CSV, выберите Экспорт .

  5. Чтобы вручную добавить несколько диапазонов из CSV-файла, выберите Импорт , а затем выберите файл.

    Примечание

    Импортированные диапазоны из CSV-файла перезаписывают любые существующие настройки диапазонов.

  6. Выберите пункт Сохранить .

Настройка DNS-серверов для обратного просмотра

Чтобы улучшить обогащение устройств, вы можете настроить несколько DNS-серверов для выполнения обратного поиска. Вы можете разрешать имена узлов или полные доменные имена, связанные с IP-адресами, обнаруженными в подсетях вашей сети. Например, если датчик обнаруживает IP-адрес, он может запросить несколько DNS-серверов для разрешения имени хоста.

Поддерживаются все форматы CIDR.

Имя хоста отображается в реестре устройств, на карте устройств и в отчетах.

Можно запланировать расписание разрешения обратного просмотра для определенных часовых интервалов, например каждые 12 часов. Вы также можете запланировать определенное время.

Для определения DNS-серверов:

  1. Выберите Настройки > Сеть мониторинга системы , а затем выберите Обратный просмотр DNS .

  2. Выберите Добавить DNS-сервер .

  3. В поле Расписание обратного просмотра выберите один из следующих вариантов:

    • Интервалы (в час).

    • Определенное время. Используйте европейское форматирование. Например, используйте 14:30 , а не 23:30 .

  4. В поле Адрес DNS-сервера введите IP-адрес DNS.

  5. В поле Порт DNS-сервера введите порт DNS.

  6. Преобразование сетевых IP-адресов в полные доменные имена устройств. В поле Количество меток добавьте количество отображаемых меток домена. Слева направо отображается не более 30 символов.

  7. В поле Subnets введите подсетей, которые вы хотите запросить для DNS-сервера.

  8. Выберите переключатель Включите , если вы хотите инициировать обратный поиск.

  9. Выберите пункт Сохранить .

Проверка конфигурации DNS

С помощью тестового устройства проверьте правильность работы заданных параметров:

  1. Включить переключатель Поиск DNS .

  2. Щелкните Тест .

  3. Введите адрес в диалоговом окне Lookup Address для теста обратного поиска DNS для сервера.

  4. Щелкните Тест .

Настройка мониторинга конечных точек Windows

Имея возможность отслеживать конечные точки Windows, вы можете настроить Microsoft Defender для IoT для выборочного опроса систем Windows. Это обеспечивает более целенаправленную и точную информацию об устройстве, такую ​​как уровни пакетов обновлений.

Опрос можно настроить для определенных диапазонов и хостов, а также настроить так, чтобы он выполнялся так часто, как это необходимо.Выборочный опрос выполняется с помощью инструментария управления Windows (WMI), который является стандартным языком сценариев Microsoft для управления системами Windows.

Примечание

  • Одновременно может выполняться только одно сканирование.
  • Вы получите наилучшие результаты для пользователей с правами администратора домена или локального администратора.
  • Перед началом настройки WMI настройте правило брандмауэра, открывающее исходящий трафик датчиков в сканируемую подсеть с использованием UDP 135 и всех TCP-портов выше 1024.

После завершения проверки файл журнала всех попыток опроса доступен в параметре экспорта журнала. Журнал содержит все IP-адреса, которые были опрошены. Для каждого IP-адреса журнал содержит информацию об успешных и неудачных попытках. Существует также код ошибки, который представляет собой свободную строку, полученную из исключения. Последнее сканирование журнала сохраняется только в системе.

Можно выполнить сканирование по расписанию или вручную.После завершения сканирования вы можете просмотреть результаты в файле CSV.

Предпосылки

Настройте правило брандмауэра, открывающее исходящий трафик от датчика в сканируемую подсеть с использованием порта UDP 135 и всех портов TCP выше 1024.

Для настройки автоматического сканирования:

  1. Выберите Системные настройки Сеть > Мониторинг сети , а затем выберите Мониторинг конечных точек Windows (WMI).

  2. В разделе Редактирование конфигурации диапазона сканирования введите диапазоны , которые вы хотите сканировать, и добавьте имя пользователя и пароль.

  3. Определите способ запуска сканирования:

    • По фиксированному интервалу (в часах) : Установите расписание сканирования в соответствии с интервалами в часах.

    • По определенным часам : Установите расписание сканирования на указанное время и выберите Сохранить сканирование .

  4. Выберите пункт Сохранить . Диалоговое окно закроется.

Для выполнения сканирования вручную:

  1. Определите диапазоны сканирования.

  2. Выберите Сохранить и применить изменения , затем выберите Сканировать вручную .

Для просмотра результатов сканирования:

  1. После завершения сканирования выберите Просмотр результатов сканирования .CSV-файл с результатами сканирования будет загружен на ваш компьютер.

Следующие шаги

Для получения дополнительной информации см.

.

Мониторинг и диагностика сети

Мониторинг сети - обнаружение угроз еще быстрее

Создание защищенной ИТ-инфраструктуры очень важно, но не менее важным элементом является систематический мониторинг сети и быстрое реагирование на возможные угрозы. Анализ и мониторинг сети являются очень важными вопросами, особенно в случае криминалистического анализа.

Внедрение систем мониторинга позволяет ИТ-отделу анализировать сети LAN и WAN как с точки зрения безопасности, так и в целом.Использование сетевых анализаторов позволяет диагностировать и обнаруживать любые проблемы и угрозы, связанные с сетью и приложениями. Это также позволяет осуществлять мониторинг с точки зрения безопасности системы с использованием расширенного управления трафиком.

Каким должно быть хорошее программное обеспечение для мониторинга сети ? При поиске подходящего решения для вашей компании следует обратить внимание на несколько важных аспектов:

  • Блокируются ли все подозрительные действия или администратору отправляется только предупреждение?
  • Позволяет ли программное обеспечение автоматизировать оборонную деятельность, т.е.отрубить зараженное устройство?
  • Может ли устройство анализировать активность вредоносных программ?

Мониторинг сетевых угроз

Благодаря мониторингу угроз в сети предприятия могут практически мгновенно обнаруживать любые угрозы и принимать меры по защите корпоративной инфраструктуры. Благодаря этому можно постоянно отслеживать весь трафик, проходящий в сети компании, и таким образом защищаться от атак и утечки данных.

Ключевые преимущества мониторинга сетевых угроз :

  • подробный вид сети компании;
  • быстрое и, главное, эффективное решение проблем, связанных с корпоративной сетью;
  • высокое обнаружение атак и угроз;
  • распознавание атак вредоносных программ;
  • , определяющий возможную утечку данных;
  • беспроблемное управление сетью;
  • подробный мониторинг деятельности, проводимой в сети;
  • возможность эффективного и неинвазивного внедрения.

Современные ИТ-инфраструктуры настолько сложны и развиты, что ответ на угрозы и решение проблем должны основываться на прозрачных данных, доставляемых в режиме реального времени.

Предоставьте такую ​​возможность вашей компании - свяжитесь с нашим отделом продаж, который поможет вам выбрать решение, подходящее для вашей компании.

.

Как отследить интернет-трафик в локальной сети. Мониторинг локального сетевого трафика

Счетчик данных — интересная программа не только для пользователей Интернета. На компьютере с подключенным сетевым кабелем работает нормально. Благодаря этому мы сможем анализировать весь сетевой трафик, даже тот, который находится. Используя программу для мониторинга интернет-трафика на компьютере, мы можем легко узнать, заражен ли наш компьютер и не отправляет ли он ненужные пакеты.

Выбор лучшего программного обеспечения для управления веб-трафиком.

Network Meter — это удобный настольный гаджет и программа для измерения трафика, которая позволяет вам легко контролировать ваше интернет-соединение и распределять его по локальной сети и Wi-Fi. Большинство пользователей игнорируют функции, предлагаемые гаджетами рабочего стола, которые были представлены в Windows Vista и перенесены в Windows 7. Некоторые из этих приложений могут быть очень полезными.

Network Meter — это приложение, которое отслеживает активное подключение к Интернету.Он позволяет указать IP-адрес как в локальной сети, так и в Интернете. Он показывает текущую передачу данных, скорость загрузки, скорость загрузки и количество данных, которые мы скачали и отправили в последней сессии (с момента перезапуска Windows). Дополнительно в режиме мониторинга беспроводной сети приложение показывает SSID сети Wi-Fi, т.е. ее название и процентное значение качества сигнала (0 - 100%). Дополнительным элементом гаджета является локатор IP-адресов (поиск IP) и интернет-тестер (тест скорости).

Использовать программу может любой желающий:

  1. Распакуйте установщик гаджета из ZIP-архива, выбрав место на жестком диске. Дважды щелкните распакованный файл, чтобы установить Network Meter.
  2. Вам будет предложено проверить производителя, нажмите "Установить". Гаджет должен появиться на нашем рабочем столе (обычно справа), но его можно разместить в любом месте, перетащив левой кнопкой мыши.
  3. Приложение уже активно, но чтобы убедиться, что оно отслеживает интересующее вас подключение, перейдите в опцию «Счетчик сети».Для этого нажмите правой кнопкой мыши на гаджет и выберите «Настройки».
  4. На главной вкладке «Настройки» вы можете управлять функциями гаджета. В первую очередь необходимо выбрать сеть для мониторинга (тип сети). Вы можете подключиться к локальной сети через кабель (проводной) или Wi-Fi (беспроводной). В последнем случае гаджет будет оснащен дополнительными функциями — SSID и измерителем качества сигнала. Функция, на которую указывает тег, показывает сетевую карту, управляемую нашим локальным IP-адресом (локальная сеть), а также контролируемую сеть для передачи данных.С использованием персонального компьютера проблем не будет, а вот на ноутбуке стоит убедиться, что All Network Meter в данный момент отслеживает активный адаптер — обычно приходится выбирать между локальной сетью Ethernet и адаптером Wi-Fi.
  5. Вкладка «Экран» определяет способ отображения информации на гаджете. Например, рекомендуется изменить настройки единиц измерения по умолчанию с бит в секунду на скорость чтения в килобайтах или мегабитах. Настройки сохраняются после нажатия кнопки «ОК».
  6. Изменения в окне "Счетчик сетки" появляются сразу.Стоит отметить, что счетчик представляет собой текущую передачу данных — в данный момент и таким образом отслеживает сетевую активность. Однако другая метрика подсчитывает, сколько данных было загружено и передано во время этого сеанса. Это может быть полезно для пользователей в ограниченных сетях — например, мобильный интернет 3G. Это позволяет легко увидеть, не превышена ли подписка на пакет.

Лицензия: Бесплатно

ДЕЙСТВИТЕЛЬНА. Программа требует, чтобы пакет был установлен в системе для правильной работы.NET Framework 1.1.

Великолепная программа с графическим интерфейсом, которая может удивить вас очень интересными функциями. GlassWire — программа для управления потоком данных интернет-соединения, характерной особенностью которой является прежде всего современный анимированный интерфейс, внешний вид которого можно дополнительно модифицировать с использованием графических шаблонов, что повышает читабельность информации, представленной на графики. Программа позволяет просматривать имена процессов и приложений, которые инициируют новые сеансы и используют ваше сетевое соединение.Пользователь обо всем информируется через всплывающие окна и непосредственно из окна программы.

Использование GlassWire интуитивно понятно и сводится к переключению между последовательными вкладками, соответствующими основным функциям, реализованным в программе: анализ графических данных, настройка брандмауэра, передача данных о потреблении приложением и список уведомлений. В них у нас обычно есть следующие три представления, которые позволяют нам настроить содержимое экрана под наши нужды — в то же время мы можем отображать больше информации об отдельных процессах, а также учетную запись, представляющую данные на графиках.

Непосредственно из меню программы возможен доступ в раздел онлайн технической поддержки на сайте производителя. Он очень прозрачен и содержит не только краткое и полное руководство по программе, но и доступ к базе часто задаваемых вопросов и форумам пользователей. Хотя программа пока доступна только в разрабатываемой версии, желание производителя быстро доработать все детали делает ее популярной. Преимущества:

  • функция брандмауэра;
  • очень удобный и красивый интерфейс;
  • Простота использования.

Неудобство:

  • мало функций в бесплатной версии;
  • не имеет расписания трассировки передачи данных.

Лицензия: Бесплатно.

Расширенный инструмент мониторинга, позволяющий отслеживать сетевой трафик, генерируемый приложениями. Создает отчеты в нескольких форматах. Эта программа сообщает о загрузке и выгрузке данных в интернет, локальную сеть и некоторые программы. Он также сообщает вам, какие приложения используются в Интернете.Управляет качеством сигнала Wi-Fi. Последняя версия полностью совместима с Windows 10. DU четко отслеживает использование вами данных. Предоставляет ежечасные, ежедневные, еженедельные и ежемесячные отчеты. Он также может предупредить вас о превышении установленных лимитов. Данные отчета можно экспортировать в Excel, Word и PDF. Режим секундомера позволяет с высокой точностью определить потребление данных за определенный период времени. Можно не только указать часы, когда перевод не должен засчитываться (что было бы полезно для людей, использующих тарифные планы с бесплатными часами).

DU Meter отображается в виде полупрозрачного окна уведомления в правом нижнем углу рабочего стола и показывает информацию о сетевом трафике в режиме реального времени. Вы можете увеличить окно DU Gauge, перетащив его края мышью. Каждая вертикальная линия представляет одну секунду. Красная линия — входящий трафик, зеленая линия — исходящий трафик. Внизу окна находятся вкладки «Интернет», «Локальная сеть», «Программы» — переключаясь между ними, можно увидеть соответствующие данные.Щелчок правой кнопкой мыши по окну программы вызывает всплывающее меню, обеспечивающее доступ к различным отчетам, режиму секундомера или параметрам пользователя и администратора.

Чтобы как можно быстрее просмотреть базовый отчет об интернет-трафике, наведите указатель мыши на значок индикатора DU на панели задач. Для просмотра подробной информации об активности онлайн-программ щелкните правой кнопкой мыши полупрозрачное окно счетчика ДУ и выберите пункт Просмотр сетевых подключений.В новом окне во вкладке "Программы" есть все приложения, использующие передачу данных. На вкладке Open TCP Connections отображается информация, которая поможет вам идентифицировать несанкционированный трафик с вашего компьютера. Преимущества:

  • максимальное количество форматов отчетов;
  • одновременный расчет данных для конкретных приложений и сетевого трафика;
  • счетчик времени использования.

Дефект: пробная версия.

Лицензия: пробная.

Это самые популярные приложения.Вы можете попробовать несколько других, которые выделяются своей функциональностью.

Очень полезная программа. Его многочисленные расширенные функции делают его наиболее полным приложением для мониторинга данных на вашем компьютере. Преимущества:

  • Простота использования;
  • отслеживание некоторых приложений;
  • возможность создавать отчеты;
  • - режим отслеживания трафика на роутере (требуется SNMP, поддерживаемый роутером).

Дефект: Неточное отслеживание приложений, запускаемых системой.

Лицензия: Бесплатно.

Занимает очень мало места, не нагружает процессор при работе. Продвинутых функций немного, но приложение выигрывает своей простотой. Преимущества:

  • простое управление;
  • Функция секундомера.

Неудобство:

  • неинтересный внешний вид;
  • Нет отслеживания данных для определенных приложений.

Лицензия: Бесплатно.

Без проблем работает практически во всех версиях Windows, имеет функции, доступные только в платных версиях программ данного типа.Преимущества:

  • функция брандмауэра;
  • расписание с возможностью отключения слежения в определенное время;
  • удаленное управление статистикой по сети.

Дефект: Довольно сложно использовать.

Лицензия: Бесплатно.

Конечно, список программ учета компьютерного трафика можно продолжать еще довольно долго. Мы собрали самые лучшие и популярные приложения. Если у вас уже есть опыт использования другого софта, поделитесь им в комментариях.

23.05.16 45.3K

Многие сетевые администраторы часто сталкиваются с проблемами, которые может помочь решить анализ трафика. И здесь мы имеем дело с таким понятием, как анализатор трафика. Так что же это?


Анализаторы и коллекторы NetFlow — это инструменты, помогающие отслеживать и анализировать данные сетевого трафика. Анализаторы сетевых процессов позволяют точно определять устройства, снижающие пропускную способность. Они знают, как найти проблемные области в вашей системе и улучшить общую производительность сети.

Термин "Net Flows" относится к протоколу Cisco, предназначенному для сбора информации о трафике по IP и мониторинга сетевого трафика. NetFlow был принят в качестве стандартного протокола для технологии потоковой передачи.

Программное обеспечение

NetFlow собирает и анализирует данные о потоках, генерируемые маршрутизаторами, и представляет их в удобном для пользователя формате.

Несколько других производителей сетевого оборудования имеют собственные протоколы мониторинга и сбора данных.Например, еще один уважаемый поставщик сетевого оборудования Juniper называет свой протокол j-flow. HP и Fortinet используют термин «s-flow». Хотя протоколы имеют разные названия, все они работают одинаково. В этой статье мы рассмотрим 10 бесплатных анализаторов и сборщиков сетевого трафика NetFlow для Windows.

Анализатор трафика NetFlow в режиме реального времени SolarWinds


Бесплатный анализатор трафика NetFlow — один из самых популярных инструментов, доступных для бесплатной загрузки.Это дает вам возможность сортировать, маркировать и отображать данные различными способами. Это позволяет удобно визуализировать и анализировать сетевой трафик. Инструмент отлично подходит для мониторинга сетевого трафика по типу и периоду. В дополнение к запуску тестов, чтобы определить, сколько трафика потребляют различные приложения.

Этот бесплатный инструмент ограничен одним интерфейсом мониторинга NetFlow и сохраняет только 60 минут данных. Этот Netflow Analyzer — мощный инструмент, который стоит использовать.

Коласофт Капса Бесплатно


Этот бесплатный анализатор сетевого трафика идентифицирует и отслеживает более 300 сетевых протоколов и позволяет создавать настраиваемые отчеты. Включает мониторинг электронной почты и диаграммы последовательности синхронизации TCP, собранные на одной настраиваемой панели.

Другие функции включают анализ сетевой безопасности. Например, отслеживание DoS/DDoS-атак, активности червей и обнаружение ARP-атак. Помимо декодирования пакетов и отображения информации, статистики по каждому хосту в сети, проверки обмена пакетами и реконструкции потока.Capsa Free поддерживает все 32-битные и 64-битные версии Windows XP.

Минимальные системные требования для установки: 2 ГБ оперативной памяти и процессор 2,8 ГГц. Вы также должны иметь Ethernet-подключение к Интернету (совместимое с NDIS 3 или более поздней версии), Fast Ethernet или Gigabit с драйвером смешанного режима. Это позволяет пассивно перехватывать все пакеты, отправляемые по кабелю Ethernet.

Плохой

IP-сканер
Это быстрый и простой в использовании анализатор трафика Windows с открытым исходным кодом.Он не требует установки и может использоваться в Linux, Windows и Mac OSX. Этот инструмент работает, просто пингуя каждый IP-адрес, и может находить MAC-адреса, сканировать порты, предоставлять информацию NetBIOS, идентифицировать авторизованного пользователя в системах Windows, обнаруживать веб-серверы и многое другое. Его возможности расширяются с помощью подключаемых модулей Java. Данные сканирования могут быть сохранены в файлы в формате CSV, TXT, XML.

Профессиональный анализатор NetFlow ManageEngine


Полнофункциональная версия программного обеспечения ManageEngine NetFlow.Это мощное программное обеспечение с полным набором функций для анализа и сбора данных: мониторинг пропускной способности канала в режиме реального времени и оповещения при превышении пороговых значений, что позволяет быстро администрировать процессы. Кроме того, он отображает совокупные данные об использовании ресурсов, мониторинге приложений, протоколов и многом другом.

Бесплатная версия анализатора трафика для Linux позволяет неограниченное использование продукта в течение 30 дней, после чего можно контролировать только два интерфейса.Системные требования для NetFlow Analyzer ManageEngine различаются в зависимости от скорости потока. Рекомендуемые требования для минимальной скорости потока от 0 до 3000 потоков в секунду: двухъядерный процессор 2,4 ГГц, 2 ГБ оперативной памяти и 250 ГБ свободного места на жестком диске. По мере увеличения расхода, подлежащего мониторингу, растут и требования.

Чувак


Это приложение является популярным сетевым монитором, разработанным MikroTik. Он автоматически сканирует все устройства и воссоздает карту сети.Чувак следит за серверами, работающими на разных устройствах, и предупреждает вас, если возникают проблемы. Другие функции включают автоматическое обнаружение и отображение новых устройств, возможность создания пользовательских карт, доступ к инструментам удаленного управления устройствами и многое другое. Работает на Windows, Linux Wine и MacOS Darwine.

Анализатор сети JDSU Fast Ethernet


Эта программа анализа трафика позволяет быстро собирать и просматривать данные в сети. Инструмент позволяет просматривать зарегистрированных пользователей, определять уровень использования пропускной способности сети отдельными устройствами, а также быстро находить и исправлять ошибки.А также собирать данные в режиме реального времени и анализировать их.

Приложение поддерживает создание подробных графиков и таблиц, которые позволяют администраторам отслеживать аномалии трафика, фильтровать данные для просеивания больших объемов данных и многое другое. Этот инструмент как для начинающих профессионалов, так и для опытных администраторов позволяет полностью взять под контроль сеть.

Анализатор плексигласа


Этот анализатор сетевого трафика позволяет собирать и всесторонне анализировать сетевой трафик, а также быстро находить и исправлять ошибки.С помощью Scrutinizer вы можете сортировать данные различными способами, в том числе по временным интервалам, хостам, приложениям, протоколам и т. д. Бесплатная версия позволяет управлять неограниченным количеством интерфейсов и хранить данные за 24 часа активности.

Wireshark


Wireshark — это мощный сетевой анализатор, который может работать в Linux, Windows, MacOS X, Solaris и других системах. Wireshark позволяет просматривать захваченные данные с помощью графического интерфейса или использовать инструменты TShark в режиме TTY.Его функции включают сбор и анализ трафика VoIP, отображение данных Ethernet в реальном времени, IEEE 802.11, Bluetooth, USB, Frame Relay, вывод данных в XML, PostScript, CSV, поддержку расшифровки и многое другое.

Системные требования: Windows XP или новее, любой современный 64/32-битный процессор, 400 Мб оперативной памяти и 300 Мб свободного места на диске. Wireshark NetFlow Analyzer — мощный инструмент, способный значительно упростить работу любого сетевого администратора.

Paessler PRTG


Этот анализатор трафика предоставляет пользователям множество полезных функций: Поддержка мониторинга LAN, WAN, VPN, приложений, виртуального сервера, QoS и среды.Также поддерживается многосайтовый мониторинг. PRTG использует SNMP, WMI, NetFlow, SFlow, JFlow и перехват пакетов, а также мониторинг времени безотказной работы / простоя и поддержку IPv6.

Бесплатная версия позволяет использовать неограниченное количество датчиков в течение 30 дней, после чего вы можете использовать до 100 бесплатно.

n Зонд


Это полнофункциональное приложение для отслеживания и анализа NetFlow с открытым исходным кодом.

nProbe поддерживает IPv4 и IPv6, Cisco NetFlow v9/IPFIX, NetFlow-Lite, анализ трафика VoIP, выборку потоков и пакетов, ведение журналов, активность MySQL/Oracle и DNS и многое другое.Приложение бесплатное, если вы скачаете и скомпилируете анализатор трафика на Linux или Windows. Исполняемый файл конфигурации ограничивает количество захваченных пакетов до 2000 пакетов. nProbe полностью бесплатен для образовательных учреждений, а также некоммерческих и исследовательских организаций. Этот инструмент будет работать в 64-битных версиях операционных систем Linux и Windows.

Этот список из 10 бесплатных анализаторов и сборщиков трафика NetFlow поможет вам приступить к мониторингу и устранению неполадок в сети небольшого офиса или крупной корпоративной глобальной сети с несколькими узлами.

Каждое приложение, представленное в этой статье, позволяет отслеживать и анализировать сетевой трафик, обнаруживать небольшие сбои и выявлять аномалии пропускной способности, которые могут указывать на угрозы безопасности. А также визуализировать информацию о сети, трафике и многом другом. Сетевые администраторы обязательно должны иметь такие инструменты в своем арсенале.

Данная публикация является переводом статьи "10 лучших бесплатных анализаторов и сборщиков Netflow для Windows" дружной проектной группы

Хорошо Плохо

Привет друзья! Напишите про как мониторить трафик Ехал сразу после того как написал "" статью, но как-то забыл.Теперь вспомнил и расскажу как отследить сколько трафика вы тратите и сделаем мы это с помощью бесплатной программы NetWorx .

Знаете, когда подключен безлимитный интернет, то вообще не нужно следить за трафиком, кроме интереса. Да, сейчас все городские сети обычно безлимитные, чего не скажешь о 3G-интернете, тарифы которого обычно зашкаливают.

Все лето пользуюсь CDMA-интернетом Интертелекома и не понаслышке знаю все нюансы трафика и тарифов.О том, как настроить и улучшить интернет от Интертелеком, я уже писал, читайте дальше и Так вот их "безлимитный" тариф стоит 150 гривен в месяц. Как видите, я взял слово безлимит в кавычки, почему? Да потому что есть ограничение скорости, правда только днем, но радоваться нечему, скорость там просто ужасная, лучше уже GPRS.

Самый нормальный тариф 5 гривен в сутки при подключении, то есть если сегодня не подключишь, то не платишь.Но это не безлимит, это 1000 мегабайт в сутки до полуночи. У меня сейчас этот тариф, но хоть скорость у него приличная, реальная средняя скорость 200 Кбит/с. Но 1000 Мб в сутки на такой скорости это немного, так что в этом случае вам остается только контролировать трафик. Более того, после использования этих 1000 МБ стоимость одного мегабайта составляет 10 копеек, что довольно много.

Подключив этот интернет, я начал искать хорошую программу для контроля моего интернет-трафика и смог установить оповещение, когда мой лимит был израсходован.И нашел я его конечно не сразу, перепробовав несколько вещей, я наткнулся на NetWorx. О чем мы еще поговорим.

NetWorx будет отслеживать трафик

Сейчас расскажу где взять программы и как их настроить.

1. Что бы вы ни искали программу, я залил ее на свой хостинг так.

2. Запускаем скачанный файл и устанавливаем программу, процесс установки описывать не буду, я писал об этом в .

3. Если после установки программа не запускается, запустите ее ярлыком на рабочем столе или в меню пуск.

4. Все, программа уже считает ваш интернет-трафик, прячется в трей и спокойно себе работает. Рабочее окно программы выглядит так:

Как видите программа отображает интернет трафик за текущие сутки и все время начиная с момента установки программы видно сколько я сжег :). На самом деле никаких настроек программа не требует. Я лишь расскажу, как установить лимит в NetWorx, то есть ограничения трафика и как сделать так, чтобы активность входящего и исходящего интернет-трафика отображалась в значке в трее.

5. Теперь сделаем так, чтобы активность интернет-трафика отображалась в трее.

Щелкните правой кнопкой мыши значок программы в трее и выберите «Настройки»

90 240

Во вкладке "График" установите как на моем скриншоте, нажмите "ОК" и "Применить". Значок NetWorx на панели задач теперь будет отображать активность подключения к Интернету.

6. Последним шагом в настройке этой программы будет установка лимита. Например, Интертелеком дает мне только 1000 МБ в сутки, поэтому, чтобы не тратить больше этой нормы, я поставил программу оповещать меня при использовании 80% трафика.

Щелкните правой кнопкой мыши значок программы в трее и выберите "Квота".

Видите ли, сегодня я использовал свой лимит на 53%, ниже есть поле, где можно указать в каком проценте сообщать, что трафик заканчивается. Нажмите кнопку «Настройки» и установите лимит.

Тут все очень просто, сначала выставляем свой лимит, например у меня дневной лимит, потом выставляем трафик, я отметил весь трафик, то есть входящий и исходящий.Установите "Часы" и "Единицы", у меня мегабайты. И конечно же не забудьте указать размер лимита, у меня 1000 мегабайт. Нажимаем «ОК» и все готово, наш лимит установлен.

Все, программа полностью настроена и готова читать ваш трафик. Он будет работать вместе с вашим компьютером, и вам просто нужно время от времени заглядывать в него и смотреть, сколько трафика вы уже сожгли. Удачи!

Подробнее на странице:

NetWorx: как контролировать интернет-трафик Обновлено: 17 августа 2012 г.автор: Администратор

В этой статье мы рассмотрим программные решения, которые помогут вам контролировать трафик. Благодаря им вы можете видеть сводку по потреблению интернет-соединения данным процессом и ограничивать его приоритет. Необязательно просматривать протоколированные отчеты на компьютере с установленным в операционной системе специальным программным обеспечением – это можно сделать удаленно. Не составит труда узнать стоимость используемых ресурсов и многое другое.

Программное обеспечение SoftPerfect Research, позволяющее контролировать объем потребляемого трафика.В программе предусмотрены дополнительные настройки, с помощью которых можно посмотреть информацию об использованных мегабайтах за конкретный день или неделю, пиковые и непиковые часы. Предусмотрена возможность видеть показатели скорости входящих и исходящих, полученных и отправленных данных.

Инструмент будет особенно полезен в тех случаях, когда используется ограниченный 3G или LTE и, следовательно, требуются ограничения. Если у вас более одной учетной записи, будет отображаться статистика для каждого отдельного пользователя.

Индикатор ДУ

Приложение для отслеживания использования ресурсов из Интернета. В рабочей области вы увидите как входящий, так и исходящий сигнал. Подключившись к учетной записи dumeter.net, предоставленной разработчиком, вы сможете собирать статистику использования интернет-потока со всех компьютеров. Гибкие настройки помогут фильтровать поток и отправлять отчеты на почту.

Параметры позволяют указать ограничения при использовании веб-соединения.Дополнительно вы можете указать стоимость пакета услуг, предоставляемого вашим провайдером. Имеется руководство пользователя, где вы найдете инструкции по работе с существующим функционалом программы.

Монитор сетевого трафика

Инструмент, который отображает отчеты об использовании сети с помощью простого набора инструментов, не требующего предварительной установки. В главном окне отображается статистика и сводка по подключению к Интернету. Приложение может блокировать поток и ограничивать его, позволяя пользователю определять свои собственные значения.В настройках можно сбросить сохраненную историю. Доступную статистику можно сохранить в файл журнала. Арсенал основных функций поможет вам исправить скорость загрузки и выгрузки.

Мониторинг трафика

Приложение является отличным решением для противодействия потоку информации из сети. Есть много индикаторов, которые показывают количество использованных данных, отдачу, скорость, максимальные и средние значения. Настройки программы позволяют определить стоимость объема информации, используемой в данный момент.

В сгенерированных отчетах вы увидите список действий, связанных с подключением. График отображается в отдельном окне и масштаб отображается в реальном времени, вы будете видеть его над всеми программами, в которых работаете. Решение бесплатное и имеет интерфейс на русском языке.

NetLimiter

Программа имеет современный дизайн и мощный функционал. Его особенность в том, что он предоставляет отчеты, в которых суммируется потребление трафика каждым процессом, запущенным на ПК.Статистика отлично отсортирована по разным временным периодам, поэтому найти нужный период будет очень просто.

Если NetLimiter установлен на другом компьютере, вы можете подключиться к нему и управлять его брандмауэром и другими функциями. Пользовательские правила используются для автоматизации процессов в приложении. В расписании можно создавать собственные лимиты при использовании услуг провайдера, а также блокировать доступ к глобальным и локальным сетям.

ДУРух

Особенностью этого ПО является то, что оно отображает расширенную статистику. В нем содержится информация о соединении, с которого пользователь вошел в глобальное пространство, сеансах и их продолжительности, а также времени использования и многое другое. Все отчеты сопровождаются информацией в виде графика, показывающего время потребления трафика во времени. В настройках можно настроить практически каждый элемент дизайна.

График, отображаемый в указанной области, обновляется каждую секунду.К сожалению, инструмент не поддерживается разработчиком, но имеет русский интерфейс и распространяется бесплатно.

BW-метр

Программа отслеживает загрузку/выгрузку и скорость существующего соединения. Использование фильтров предупреждает вас, когда процессы в операционной системе потребляют сетевые ресурсы. Различные фильтры используются для решения самых разных задач. Пользователь сможет полностью настроить отображаемые графики по своему вкусу.

Интерфейс показывает в том числе время потребления трафика, скорость приема и отправки, а также минимальное и максимальное значения.Инструмент можно настроить так, чтобы он уведомлял вас о таких событиях, как загруженные мегабайты и время подключения. Введя адрес сайта в соответствующую строку, можно проверить его пинг, результат сохраняется в лог-файле.

Битметр II

Решение для подведения итогов использования услуг провайдера. Данные доступны как в табличной, так и в графической форме. В настройках настраиваются оповещения о событиях, связанных со скоростью соединения и потребляемым потоком.Для удобства BitMeter II позволяет рассчитать время, необходимое для извлечения количества введенных данных в мегабайтах.

Функционал

позволяет определить, сколько из доступного объема, предоставленного вендором, осталось, и при достижении лимита сообщение об этом выводится в системный трей. Более того, загрузку можно ограничить во вкладке настроек, а также удаленно отслеживать статистику в режиме браузера.

Представленный софт станет незаменимым помощником в контроле за потреблением интернет-ресурсов.Функционал приложения поможет вам создавать подробные отчеты, а отчеты, отправленные по электронной почте, будут доступны для просмотра в любое удобное для вас время.

Программа для урегулирования входящего и исходящего трафика на вашем компьютере. Это поможет вам не превысить лимит трафика и вы вообще не останетесь без интернета.

ПРИМЕЧАНИЕ : с 6-й версии программа платная, поэтому во избежание путаницы не обновляйте ее. Вот последняя бесплатная версия 5.5.5.

Тот, кто пользовался Интернетом пять лет назад, наверняка помнит главную проблему пользователя - постоянный контроль объема трафика.Ведь безлимитных пакетов в то время не было, а Dial-Up соединение требовало денег за каждый мегабайт загруженной информации.

В итоге, если не контролировать расход трафика, можно "улететь в копеечку" :). Но люди находчивы и придумали множество программ для измерения и ограничения потока. Сегодня спрос на такие инструменты немного снизился, но они все еще используются, так как за время своего существования приобрели множество дополнительных полезных функций.

Благодаря таким программам сегодня можно измерить скорость интернет-соединения, проверить все процессы, имеющие доступ в интернет, измерить использование трафика в корпоративных сетях и многое другое.

Все вышеперечисленные функции есть в небольшой программе - NetWorx . Кроме того, он имеет ряд дополнительных функций, которые будут полезны как системному администратору, так и простому пользователю. Таким же простым, но мощным инструментом можно назвать платную программу - DU Meter.

Сравнение бесплатной программы учета трафика NetWorx с платным аналоговым счетчиком DU

Кроме того, NetWorx может устанавливать ограничения на объем трафика, а также запускать различные приложения по расписанию.Сама программа доступна в двух версиях: портативной и установочной. Я думаю, что проще всего использовать «портативную» версию, хотя, если вы находитесь в установщиках, вы можете легко установить NetWorx с помощью стандартного мастера установки.

Установка NetWorx

Я полагаю, вы загрузили портативную версию. Для начала необходимо распаковать архив программы и запустить исполняемый exe файл. Прежде чем запускать NetWorx напрямую, давайте сделаем некоторые настройки. Первый — определить язык программы, а второй — включить или отключить проверку новых версий.Это все:).

Тогда в трее появится иконка программы (поместите рядом с системными часами), с помощью которой мы и будем ею управлять.

NetWorx будет управляться контекстным меню правой кнопки мыши.

Вот в этом меню перечислены все функции программы, но перед использованием можно сделать некоторые настройки. Для этого нажмите на одноименный раздел меню.

Настройки NetWorx

«Настройки» состоит из нескольких вкладок.Во вкладке «Общие» мы можем настроить единицы скорости, информацию, отображаемую в трее и (самое главное!) какие соединения отслеживать (по умолчанию считается весь трафик).

Разделы "График" и "Цвета графика" позволяют настроить внешний вид графика входящих/исходящих информационных пакетов. В «Уведомлениях» можно включить и настроить сервисные сообщения от программы, а в «Дополнительно» настроить сбор статистики.

Последняя вкладка Dial-up позволяет установить соединение по умолчанию и добавить приложения, которые будут работать с NetWorx.

После ввода настроек сначала нажмите «Применить», чтобы они вступили в силу, а затем «ОК», чтобы выйти из настроек.

Монитор трафика

Теперь перейдем непосредственно к инструментам NetWorx. Прежде всего, это монитор трафика. Он представлен в виде графика, который вызывается кнопкой «Показать график».

График может быть представлен в виде гистограммы (самой удобной на мой взгляд), кривых линий или просто цифр.В этом случае внизу всегда будет два числа. Цифра с индексом «D» (по умолчанию синяя) показывает количество входящего трафика (от англ. download) и «U» (зеленый) исходящего трафика (от англ. download) соответственно.

Соответствующими цветами на диаграмме показаны кривые скорости, числовое значение которых можно соотнести со шкалой слева.

Измерение скорости

Следующая кнопка - "Измерение скорости" - к сожалению не измеряет общую скорость интернет соединения, а только текущую скорость передачи пакетов в фоновом режиме.Это может понадобиться для сравнения (сохранения доступных) результатов при полной загрузке канала (например, при загрузке файла) и в состоянии «ожидания».

90 390

Чтобы начать тест, просто нажмите кнопку «Старт» и засеките указанное время. Затем результат можно сохранить в текстовый файл и затем сравнить с новыми данными, полученными при «загрузке» канала.

Статистика

Эта функция особенно понравится системным администраторам, поскольку есть возможность как подсчитывать общий трафик, так и просматривать подробную статистику по каждому пользователю сети.Результаты можно экспортировать в формат xls (таблицы Excel) и сохранить на компьютере.

Также есть инструменты для резервного копирования вашей статистики и ее дальнейшего восстановления (например, если вам нужно сохранить все свои данные после переустановки системы).

Ограничение трафика

Переходим к разделу «Задание». Эта функция наиболее удобна для пользователей с телефонной связью или с ограниченным трафиком (например, мобильный Интернет). Он позволяет установить максимальное количество получаемой или отправляемой информации и всегда оповещает пользователя при превышении определенного лимита.

По умолчанию квота установлена ​​на 0,00 КБ, поэтому, если вы хотите использовать эту функцию, вам нужно сначала ее «настроить» :).

В настройках определяем тип лимита (ежедневный, недельный, месячный, последние 24 часа) и тип трафика (входящий, исходящий или весь). Вы можете оставить часы без изменений, а затем указать единицы измерения и само назначение.

Для сохранения настроек нажмите "ОК", а в окне контроля лимита не забудьте поставить галочку "Уведомлять меня при достижении лимита на %", чтобы получать уведомления при превышении лимита по времени.

Следуйте маршруту

Мы уже рассмотрели «Настройки», поэтому переходим к следующему «Следовать по маршруту». Если вы внезапно потеряли доступ к интернет-ресурсу или вам нужно выяснить, по какому пути вы идете, прежде чем попасть на конкретный сайт, попробуйте пройти по этому пути. Это можно сделать с помощью обычных функций Windows, но с NetWorx это намного проще и нагляднее.

Введите имя сайта (удаленный компьютер) или его IP-адрес, чтобы начать отслеживание.Теперь вы можете установить тайм-аут ответа (хотя часто по умолчанию более чем достаточно), и вы можете нажать «Старт». В данном случае мы проследили сайт yandex.ru и увидели, что для доступа к нему нужно пройти 11 промежуточных серверов, а общее время прохождения этого пути составляет 31 мс.

взмах

Следующая опция "Ping". Оконный интерфейс этой функции очень похож на предыдущий, но назначение у нее немного другое.Проще говоря, пинг — это скорость, с которой удаленный компьютер отвечает на ваш запрос. Встроенный в NetWorx пинг имеет худшие возможности, чем «обычный» (нет возможности задать свои ключи для изменения параметров), но с основной задачей справляется.

Недостатком этой функции является то, что вы не можете напрямую ввести веб-адрес веб-сайта — вам нужно знать его точный IP-адрес (это можно узнать из предыдущего инструмента). Теперь конкретно об использовании: введите адрес удаленного компьютера, выберите время ожидания и количество эхо-запросов и нажмите «Старт».

В нашем примере страница пинговалась vkontakte.ru . Среднее время отклика не рассчитывается автоматически, но его также можно вычислить в уме, сложив все полученные значения и разделив на три :).

Получилось около 45 мс, что в принципе хорошо (хорошим считается пинг до 50 мс ± 10 мс). Значение TTL — это «время жизни» эхо-пакета. Число 64 означает, что отправленный информационный пакет может пройти через 64 ​​прокси.

Отношения

Последний инструмент — Connections. Он позволяет отслеживать все приложения, требующие подключения к Интернету.

90 450

Рекомендую сразу включить опцию "Преобразовать адреса в имена". Так вы сможете увидеть, куда «лезет» то или иное приложение, и пресечь попытку подключения к подозрительному ресурсу. Обратите особое внимание на «установленные» соединения (УСТАНОВЛЕНЫ) и прослушиваемые порты (ПРОСЛУШИВАЮТСЯ), так как они могут нести скрытую угрозу.

При обнаружении подозрительного подключения вы можете немедленно закрыть приложение, которое его устанавливает, щелкнув его правой кнопкой мыши и выбрав «Выйти из приложения».

Результаты

Вот как мы можем подытожить некоторые из вышеперечисленных. NetWorx — это не только программа для мониторинга интернет-соединения, но и комплекс для обеспечения безопасности и комплексной диагностики сети.

Поэтому, если вы подозреваете, что какое-то приложение неразумно использует трафик или даже передает конфиденциальную информацию, попробуйте провести мониторинг вашей сети с помощью NetWorx и вы легко сможете выявить "шпиона" :).

PS. Разрешается свободное копирование и цитирование данной статьи при условии открытой открытой ссылки на первоисточник и сохранения Русланом Тертышным.

.

NETASQ / STORMSHIELD - SOFTIL - Современные технологии для бизнеса

Европейский производитель многофункциональных межсетевых экранов класса UTM для защиты и мониторинга локальных сетей, которые объединяют в одном устройстве все необходимые элементы защиты . Решения STORMSHIELD имеют стандартную консоль, позволяющую в режиме реального времени просматривать работу устройства и сетевой трафик, а также оснащены инструментом для просмотра логов и формирования отчетов.

Решения STORMSHIELD представлены почти в 50 странах . Решения STORMSHIELD используются, в частности, UE, NATO, Orange, KGHM Letia, Кембриджский университет, Alstom, Carrefour и Renault.

Для полного контроля над корпоративной сетью каждое устройство NETASQ имеет стандартную консоль, которая позволяет в режиме реального времени просматривать работу устройства и сетевой трафик, а также инструмент для просмотра журналов и создания отчетов.

UTM STORMSHIELD оснащен высококлассным брандмауэром Stateful Inspection Firewall .Это позволяет полностью контролировать сетевые соединения. Определение правил — относительно простая задача. Интуитивно понятная веб-консоль на польском языке и анализатор правил позволяют обнаружить возможные ошибки и противоречия в конфигурации. Как администратор, у вас есть возможность определить множество различных наборов правил, которые определяют, какой трафик должен проходить через брандмауэр, а какой трафик должен быть заблокирован. Вы можете установить разные временные интервалы действия наборов правил. Благодаря решениям STORMSHIELD вы устанавливаете разные правила фильтрации трафика в рабочее и нерабочее время, а также в нерабочие дни.Правила брандмауэра могут быть созданы для отдельных пользователей.

Многофункциональные устройства STORMSHIELD UTM оснащены уникальной технологией обнаружения и блокировки атак, разработанной в лабораториях, получившей название ASQ (Active Security Qualification). Технология ASQ предлагает высокую производительность при обеспечении высокой безопасности . Эффективность решения достигается за счет анализа передаваемых пакетов на уровне ядра операционной системы под названием STORMSHIELD Secured BSD (NS-BSD).

Производительность устройств STORMSHIELD
Классические решения UTM добавляют систему блокировки вторжений к существующей архитектуре брандмауэра. В таких системах IPS рассматривается как выделенный прокси-модуль. Звонки перенаправляются туда. В чем недостаток этого? Это решение вызывает необходимость повторного анализа пакетов IPS и резервного копирования данных, передаваемых между модулями, в память операционной системы. Это влияет на время, в течение которого анализируются пакеты.Как следствие, система NETASQ ASQ в противостоянии с решениями других производителей систем IPS достигает скорости из , что не имеет себе равных в других устройствах UTM. Эффективность устройств STORMSHIELD не зависит от количества запущенных сервисов или правил, определенных в данный момент времени.

Эффективность IPS
Модуль IPS также обеспечивает высокую эффективность обнаружения угроз для корпоративной сети. Весь трафик на стыке локальной сети с WAN сканируется тремя методами анализа:
- анализ протокола,
- эвристический анализ,
- сигнатуры контекста.

Анализ протокола
В ходе анализа протокола сетевой трафик, проходящий через устройство, проверяется на соответствие стандартам RFC . Только трафик, соответствующий этому стандарту, может быть пропущен. Проверяются не только отдельные пакеты, но и соединения и сессии. В рамках технологии ASQ для каждого типа сетевого трафика на прикладном уровне разработаны специальные плагины (программные плагины), работающие в режиме ядра .При обнаружении определенного типа трафика (например, HTTP, FTP, SMTP, TELNET и т. д.) автоматически запускается соответствующий плагин , который специализируется на защите данного протокола. Таким образом, тип применяемой защиты динамически адаптируется к типу проходящего трафика.

Эвристический анализ
Эвристический анализ основан на статистике и анализе поведения. Основываясь на трафике до сих пор и определенных предположениях о возможных изменениях, определяется, считается ли трафик допустимым отклонением от нормы или уже должен считаться атакой.

Контекстные сигнатуры
Контекстные сигнатуры позволяют обнаруживать известные атаки, которые были классифицированы и для которых также были разработаны соответствующие сигнатуры. При этом решающее значение имеет контекст, в котором были обнаружены пакеты, характерные для конкретной атаки, т. е. тип соединения, протокол, порт. Наличие сигнатуры атаки в контексте, не подходящем для этой атаки, не вызывает ответ IPS. Благодаря этому использование контекстных сигнатур позволяет в 9000 раз значительно повысить эффективность обнаружения атак, снизив при этом количество ложных срабатываний практически до нуля.

Благодаря инновационной технологии NETASQ безопасность идет рука об руку с доступностью приложений Web 2.0 для пользователей. Благодаря NETASQ вы можете разрешить пользователям использовать Facebook или Twitter и в то же время обеспечить безопасность корпоративной сети. NETASQ удалит угрозу из HTML-кода и предоставит сотруднику безопасный контент веб-сайта. NETASQ разработал модуль ASQ не только для блокировки подозрительного HTML, но и для удаления вредоносного кода. Таким образом, система IPS проверяет HTML-код и нормализует его перед отправкой пользователю.Это позволяет браузеру отображать сайт, очищенный от угроз.

Для сравнения, стандартная система IPS блокирует веб-сайты (HTML) при обнаружении угрозы. Пользователь, посещающий веб-сайт, не может просматривать его содержимое, поскольку веб-сайт полностью заблокирован.

Учитывая, какой большой процент всего сетевого трафика составляет веб-трафик, легко понять, насколько полезным может быть модуль IPS в сети.

Технология STORMSHIELD позволяет контролировать сетевые приложения, используемые пользователями.Устройство STORMSHIELD обнаруживает и блокирует приложения, которые при подключении к сети могут привести к заражению локальной сети вредоносным содержимым.

Решение STORMSHIELD позволяет разгрузить интернет-соединения, перегруженные одноранговыми (P2P) сетями, тем самым обеспечивая высокий уровень безопасности сети компании

Решение STORMSHIELD выполняет глубокую проверку пакетов. Устройство STORMSHIELD может в режиме реального времени определить, какое приложение подключено к Интернету.Это решение позволяет, среди прочего для блокировки приложений, таких как:

VPN

Многофункциональный межсетевой экран STORMSHIELD позволяет безопасно обмениваться корпоративными сетевыми ресурсами на расстоянии. Вы можете создавать безопасные VPN-соединения ( Virtual Private Networks) между удаленными филиалами компании, а также между сотрудниками на местах и ​​компанией.

Благодаря решениям STORMSHIELD вы получите доступ к сети с помощью смартфонов и планшетов, работающих под управлением систем Android и iOS.Даже в случае чрезвычайной ситуации вы можете быть уверены, что запасные туннели будут созданы автоматически. Вам не нужно вмешиваться.

Решение STORMSHIELD имеет встроенный VPN-сервер. Каналы VPN могут быть созданы между пользователями, работающими на местах (так называемые удаленные пользователи) и штаб-квартирой компании (соединения клиент-сайт) или между штаб-квартирой и филиалами компании (соединения сайт-сайт).

VPN-канала строятся на основе протокола IPSec, SSL или PPTP. Они могут быть зашифрованы с использованием алгоритмов DES, 3DES или AES.

Для обеспечения непрерывности трафика, отправляемого через VPN-туннели IPSec STORMSHIELD, поддерживает т. н. Отказ VPN. В случае обрыва VPN-туннеля (например, из-за проблем с подключением) автоматически будет настроен резервный туннель, через который автоматически начнет проходить такой трафик.

Таким образом, у нас есть гарантия, что два сетевых местоположения, соединенных друг с другом, смогут общаться даже в случае сбоя связи без необходимости вмешательства администратора.

Доступность каналов VPN с течением времени можно тщательно контролировать, системный администратор решает, в какие дни и в какое время можно открывать данный канал VPN.

Устройства

STORMSHIELD оснащены аппаратным ускорением ASIC (Application Specific Integrated Circuit), которое отвечает за шифрование туннелей IPSec, значительно улучшая их пропускную способность.

Аудит уязвимостей

Благодаря функции Vulnerability Audit вы контролируете, какие сетевые приложения установлены на серверах и рабочих станциях. Вы знаете, какие версии веб-браузеров или почтовых клиентов используют пользователи. Вы проверяете операционную систему, под которой работает выбранная рабочая станция.Вы также знаете, как найти устаревшее программное обеспечение в вашей сети, которое может быть потенциальным источником угрозы. Вы также знаете, как избавиться от связанных с этим рисков.

Устройства

STORMSHIELD имеют опцию для сканирования внутренней части сети на наличие слабых мест и потенциальных угроз . Таким образом, компания NETASQ является первым и единственным производителем UTM-устройств, чьи решения предлагают комбинацию системы предотвращения вторжений со сканером, обнаруживающим угрозы внутри сети.

Модуль аудита уязвимостей позволяет администратору выявлять слабые места в корпоративной сети путем поиска устаревших версий программного обеспечения на рабочих станциях и выявления нелегальных типов трафика внутри сети.

При обнаружении каких-либо нарушений система автоматически информирует о них администратора, указывает станции, находящиеся под угрозой, и предлагает администратору источники, из которых он может скачать соответствующие исправления.

URL-фильтр

URL-фильтр позволяет блокировать пользователям доступ к выбранным веб-сайтам .Благодаря тесному сотрудничеству NETASQ с польским дистрибьютором был создан , единственный URL-фильтр, посвященный польскому рынку, - база данных отфильтрованных веб-сайтов была создана на основе анализа привычек сотрудников польских компаний. Уникальный модуль NETASQ предоставляет до 50 тематических категорий, по которым классифицируются сайты. Фильтр входит в стандартную комплектацию каждого устройства STORMSHIELD, независимо от его размера и жесткого диска. Если страница отсутствует в классификации, мы гарантируем, что она будет добавлена ​​в течение одного рабочего дня с момента подачи заявки.

Устройство STORMSHIELD позволяет блокировать не только сайты по протоколу HTTP, но и сайты с зашифрованным трафиком (HTTPS).

НОВИНКА НА РЫНКЕ ФИЛЬТРОВ URL

Временные категории — это категории, действующие только в течение выбранных периодов времени. Например: во время чемпионата Европы по футболу ЕВРО-2012 есть категория ЕВРО-2012 с сайтами, посвященными турниру. Категории меняются на новые по мере устаревания.

Прокси https

Сканирование зашифрованного трафика — устройство STORMSHIELD позволяет обнаруживать незаконный трафик, скрытый внутри зашифрованных соединений (например, торренты, обмен мгновенными сообщениями или попытки доступа к нежелательным веб-сайтам).

NETASQ анализирует туннелируемый трафик внутри SSL. Каждое устройство позволяет декодировать и проверять зашифрованное соединение. Если трафик правильный, устройство STORMSHIELD повторно зашифрует его и перенаправит получателю.

Антивирус и антиспам

Антивирус

Устройство STORMSHIELD имеет встроенную систему антивирусной защиты ClamAV. Вся входящая и исходящая почта проверяется на наличие вирусов (протоколы POP3 и SMTP ). Сообщения, содержащие вирусы, автоматически удаляются, а получатель почты уведомляется об этом событии. Также проверяются на наличие вирусов все веб-сайты, посещаемые пользователями, коллекции, загруженные из Интернета (трафик HTTP ) и данные, отправляемые через FTP .

Антивирус имеет возможность проверять туннелируемый трафик внутри зашифрованных SSL-соединений.

Дополнительно в качестве опции доступен антивирусный сканер Kaspersky AV . Фильтр антивирусной защиты может работать в режиме прокси или в режиме моста. В случае использования мостового режима антивирусная защита «прозрачна» для сетевого трафика и не требует каких-либо изменений в конфигурации сети.

Защита от спама

Устройства

STORMSHIELD позволяют избавиться от нежелательной электронной почты.STORMSHIELD может блокировать или помечать спам-сообщения, что делает их первой линией защиты от нежелательной почты.

Устройство STORMSHIELD использует эвристическую технологию для обнаружения спама, которая включает 7 основных методов анализа:

90 170
  • анализ с использованием эмпирических правил,
  • Семантический анализ,
  • правила контрреакции,
  • Анализ HTML-кода,
  • Анализ набора символов,
  • обнаружение спама,
  • анализ отчетов о невозможности доставки электронной почты (уведомление о сбое доставки).
  • Защита от спама также обеспечивается встроенным черным списком DNS устройства, также известным как RBL (Real Time Blackhole). Эта система позволяет блокировать спам непосредственно у источника благодаря постоянно обновляемому списку серверов, рассылающих спам. Администратор может создавать свои белые и черные списки доменов.

    Управление пользователем

    Политики безопасности для отдельных пользователей - многофункциональные межсетевые экраны STORMSHIELD позволяют применять политики безопасности для отдельных пользователей.Как администратор, вы можете назначить правила безопасности для каждого пользователя. Вы можете отслеживать и анализировать деятельность отдельных сотрудников в сети вне зависимости от того, на какой станции они работают. Например, вы точно знаете, какие веб-сайты просматриваете и какие веб-приложения используете.

    Каждое устройство STORMSHIELD имеет внутреннюю базу данных LDAP (Lightweight Directory Access Protocol), которая может использоваться для хранения пользовательских данных, необходимых для аутентификации (имя пользователя, пароль, сертификат и т. д.).).

    Также можно использовать внешнюю базу данных LDAP, что особенно полезно, когда одна и та же группа пользователей должна иметь доступ к нескольким устройствам. Устройство STORMSHIELD также работает с другими базами данных, такими как RADIUS, Kerberos, Active Directory или NTLM Server. Вы можете создать собственную базу пользователей на каждом устройстве.

    Благодаря авторизации пользователя вход в систему может быть ограничен определенными днями и/или часами.В зависимости от того, кто входит в систему на данном компьютере, они всегда будут иметь свои разрешения.

    Сетевые службы

    Управление доступом в Интернет

    — UTM STORMSHIELD оснащен высококлассным брандмауэром Stateful Inspection Firewall . Благодаря интуитивно понятной консоли настройки и анализатору правил, позволяющему отлавливать возможные ошибки и противоречия, определение правил является относительно простой задачей.

    Администратор может определить множество различных наборов правил, определяющих, какой трафик должен проходить через брандмауэр, а какой должен быть заблокирован, которые действуют в разные промежутки времени.Это также позволяет вам установить разные правила фильтрации трафика в рабочее время, разные днем ​​и еще разные в нерабочие дни.

    Правила брандмауэра могут быть созданы для зарегистрированных и незарегистрированных пользователей благодаря интеграции с базой данных Active Directory или LDAP.

    Многофункциональные решения STORMSHIELD UTM оснащены дополнительными функциями, такими как:

    • управление диапазоном,
    • балансировка нагрузки канала
    • ,
    • устройство в кластере высокой доступности,
    • управление сетевым сервисом,
    • установил резервный канал с помощью модема 3G.

    Quality of Service (QoS) - управление полосой пропускания
    Quality of Service (QoS) - устройство оснащено механизмами, обеспечивающими приоритизацию сетевого трафика и управление полосой пропускания. Отдельным правилам, определенным в брандмауэре, может быть назначен определенный приоритет, а также минимальная и максимальная пропускная способность, которую может использовать определенный тип трафика (HTTP, VoIP).

    Балансировка нагрузки — балансировка нагрузки канала
    UTM STORMSHIELD позволяет поддерживать и использовать несколько интернет-соединений одновременно.В этом случае сетевой трафик можно распределить равномерно по всем активным соединениям. В случае выхода из строя одного из соединений другие автоматически берут на себя его функцию.

    igh Availability - высокая доступность
    Все версии устройств (кроме самых простых U30S) могут работать в системе High Availability, что дает возможность полной защиты сети даже в случае отказа оборудования. Многие клиенты, использующие HA-кластер, рассчитывают не только на то, что в случае выхода из строя одного устройства его функции возьмет на себя другое, но и на то, что в ситуации, когда через устройство проходит важный для компании трафик, требующий непрерывной передачи (например.VOIP, доступ к серверной ферме, предоставление доступа к Интернету третьей стороны). Такое соединение не будет разорвано при переключении устройств. Это то, что предлагают решения STORMSHIELD, работающие в кластере HA.

    Сетевые службы и службы
    STORMSHIELDQ UTM предоставляет основные службы и сетевые службы. К ним относятся, среди прочего, DHCP-сервер, DNS-прокси, SNMP-сервер, NTP-клиент.

    3G МОДЕМ
    NETASQ 3G модем - это способ обеспечить вашу компанию доступом в Интернет через цифровую телефонию.Максимальная пропускная способность модема составляет 7,2 МБ/с и зависит от местонахождения устройства, мощности сигнала и радиуса действия выбранного мобильного оператора.

    Модем 3G NETASQ можно использовать как:

    • Резервная ссылка при обрыве основного соединения, предоставляемого провайдером,
    • базовое соединение в компании или филиале, расположенном в местности, где слабо развита инфраструктура ИКТ или где установление фиксированного соединения слишком дорого.

    Модем подключается к устройствам STORMSHIELD (серии US и серии NG) и поддерживает стандарты GSM, GPRS, EDGE (EGPRS) и HSDPA.

    ПРИМЕЧАНИЕ! Для работы модему необходима активная SIM-карта с купленным пакетом данных.

    Менеджмент

    Администрирование всего устройства с графической консоли на польском языке, доступной через веб-браузер :

    • консоль доступна с различными операционными системами,
    • зашифрованный доступ к консоли (https),
    • консоль индивидуально настраивается под нужды администратора благодаря возможности перемещения отдельных окон,
    • Анализатор правил проверяет правильность созданных вами правил.

    Администраторы, которых может быть любое количество, могут иметь право настраивать все модули, только выбранные модули или только просматривать.

    Дополнительно в распоряжении администратора есть монитор, отслеживающий работу системы в режиме реального времени (Real Time Monitor) и средство отчетности, позволяющее составлять подробные отчеты (NETASQ Event Analyzer). Устройствами NETASQ также можно управлять с консоли через SSH.

    Мониторинг

    Устройства

    NETASQ позволяют постоянно контролировать и контролировать сеть компании.Решение STORMSHIELD позволяет отслеживать наиболее важные параметры сети , действия пользователей и процессы устройства в режиме реального времени. Это дает вам полную информацию о состоянии сети . Вы можете очень быстро диагностировать любые неисправности или отказы .

    Вы можете увидеть, среди прочего:

    • информация об обнаруженных тревогах,
    • графики и цифры загрузки отдельных интерфейсов,
    • Пользовательское управление соединением,
    • возможность блокировать выбранные IP-адреса локальной сети на основе их поведения,
    • информация об уязвимых точках в сетевой инфраструктуре,
    • авторизованное управление пользователями,
    • Контроль статуса VPN-туннеля,
    • возможность создания мгновенного отчета о состоянии сети,
    • управление несколькими устройствами в режиме реального времени.

    В базовой цене устройства, как Администратор, вы получаете монитор, который отслеживает работу системы в режиме реального времени - Real Time Monitor, доступен на польском языке. В этой консоли вы можете проверить, например, какие тревоги генерируются IPS в данный момент, какой пользователь находится на каком сайте, какова нагрузка на устройство, кто пытался зайти на сайты из заблокированных категорий или кто получает большинство спам-сообщений.

    Устройства

    STORMSHIELD позволяют в любой момент проверить m.в количество открытых VPN-туннелей, критически важные для безопасности сети сигнализации проверки, нагрузка на отдельные интерфейсы или потребление полосы пропускания заданными службами. Благодаря информации, предоставляемой внутренним сканером сети, вы всегда будете в курсе хостов, уязвимых для атак в результате использования устаревших версий сетевых приложений и программ, установленных на станциях и серверах.

    Для полного контроля над сетью необходимо знать активность самих пользователей в сети.Администратор может контролировать количество входящих и исходящих соединений, генерируемых отдельными сотрудниками, проверять, на какие веб-сайты они заходят и к какой тематической категории они относятся.

    Отчетность

    Вентиляционный светильник Reporter

    Event Reporter Light — это специальный бесплатный аналитический инструмент для администраторов польских компаний, использующих UTM-решения STORMSHIELD.

    Event Reporter Light содержит ресурс самых необходимых отчетов по следующим модулям: веб-фильтр, система IPS и аудит уязвимостей.Администраторы, которым нужна полная информация обо всех функциях устройства STORMSHIELD, могут выбрать анализатор событий STORMSHIELD. Используя Event Reporter Light, вы получаете доступ к четким отчетам:

    90 170
  • о наиболее часто просматриваемых сайтах,
  • , содержащий данные о веб-сайтах, посещаемых конкретными пользователями или хостами,
  • с информацией о том, кто посещал данный веб-адрес,
  • о наиболее часто генерируемых авариях системы IPS,
  • об уязвимостях сетевых приложений.
  • Анализатор событий STORMSHIELD

    Это мощный инструмент для анализа активности пользователей, предназначенный для крупных компаний. Через прозрачные интерактивные отчеты, созданные на основе журналов, хранящихся в базе данных Microsoft SQL, приложение предоставляет информацию, среди прочего о среднем времени, проведенном сотрудником на данном сайте, количестве скачанных им данных или о наиболее часто вводимых им фразах в поисковой системе.

    Кроме того, STORMSHIELD Event Analyzer позволяет отслеживать и оценивать состояние безопасности сети компании, проверять фактическую загруженность каналов, а также позволяет проводить тщательный анализ возможных попыток атак.

    Несмотря на огромное количество информации, к которой анализатор событий STORMSHIELD предоставляет администратору доступ, пользоваться самим инструментом очень просто. Все благодаря 200 отчетам, определенным NETASQ, которые можно дополнительно персонализировать в соответствии с требованиями данного администратора.

    Во время электронной конференции вы узнаете, как брандмауэр STORMSHIELD защитит вашу сеть от внешних атак и угроз. Мы покажем вам, как STORMSHIELD позволяет отслеживать уровень безопасности, устранять угрозы и удобно создавать отчеты. Также мы расскажем, почему в наше время стоит доверять европейским решениям по безопасности, а также упомянем о новинках, которые появились в линейке устройств STORMSHIELD, а именно:
    - полная поддержка протокола IPv6,
    - еще одно увеличение производительности,
    — полноценный SSL VPN,
    — новые опции ведения журналов и отчетов,
    — автоматическое резервное копирование и архивирование файлов конфигурации,
    — а также агрегация интерфейсов для увеличения пропускной способности и надежности.

    .

    Flowmon -

    сетевой мониторинг и диагностика


    Flowmon Networks (предыдущее название (Invea-Tech) была основана в Брно в 2007 году. Она исходит от академического сообщества. С самого начала занимался разработкой приложений для мониторинга и диагностики работы сети.

    Flowmon предлагает решения в двух областях ИТ:

    1. Мониторинг и диагностика
    2. Безопасность

    Мониторинг и диагностика

    Решение для мониторинга компьютерных сетей прод.Flowmon использует технологию мониторинга IP-потоков (технологии сетевых потоков). Также предлагаются системы мониторинга приложений. Программное обеспечение для мониторинга основано на стандартах NetFlow v5, v9 и IPFIX.

    Зонд

    Архитектура решений Flomon полагается на «зонды» и агрегаторы данных (коллекторы). Зонды собирают данные в точках сети и точках, выбранных администратором обычно они подключены к портам коммутатора, настроенным в режиме «отвода».Альтернативный вариант — использовать аппаратные модули «ТАП». Зонды доступны в различных аппаратных вариантах, в основном характеризующихся выбором сетевых интерфейсов и максимальной скоростью собираемых данных. данные. Например, зонд 1 Гбит/с имеет 1-4 медных 1GE и 1-6 1GE SFP, а зонд 40 Гбит/с имеет 2 интерфейса QSFP и 8 интерфейсов 10GE. Пробы также могут быть реализованы на виртуальных машинах (в диапазоне макс. передачи до 10 Гбит/с).

    Коллектор

    Flowmon Collector выполняет сбор данных с зондов.Доступны несколько моделей коллекторов с различной производительностью обработки. события и емкость встроенных дисков. Например: модель IFC-R5-6000Pro поддерживает передачу данных со скоростью до 150 000 кадров в секунду. (150 тыс. потоков/сек) и имеет дисковое пространство до 6 ТБ. Как и зонд, агрегатор можно установить на виртуальную машину, однако для требовательных сред обработки значительного количества событий необходимо использовать аппаратные агрегаторы.

    Конфигурация, управление, мониторинг, отчетность

    Управление осуществляется через защищенный (HTTPS) веб-интерфейс и состоит из следующих модулей:

    • Центр конфигурации (FCC) — отвечает за настройку датчиков и коллекторов.
    • Flowmon Dashboard (FMD) — предоставляет интегрированные данные мониторинга.
    • Центр мониторинга (FMC) - представляет подробные данные мониторинга в виде графиков и числово-текстовых данных, экспорт данных, генерация оповещений.

    В отчетах и ​​сводках Flomon представляет связи между собранными данными о сетевом трафике и такой информацией, как: информация о пользователях, их устройствах, DNS-запросы, данные приложений для HTTP/REST, данные VoIP, операции SMB, данные омобильные приложения Android и iOS,

    Безопасность

    За счет реализации задач NBA (Network Behavior Analysis) решения Flomon позволяют реализовать расширенные функции безопасности:

    • Обнаружение аномалий — Обнаружение аномалий — позволяет выявить любое необычное поведение, такое как атаки, вторжения или утечка данных.
    • Модуль ADS (Система обнаружения аномалий) - позволяет обнаружить атаку пошаблоны, такие как: сканирование портов, нелегальные P2P-системы, сетевые узлы TOR, аномалии DNS и DHCP и многие другие
    • Flowmon Threat Intelligence — передовые механизмы искусственного интеллекта, позволяющие выявлять скрытые атаки.
    • Flowmon Traffic Recorder - выполняет функции захвата и записи трафика в режиме PCAP. Он может быть реализован «точечно» или в распределенной архитектуре.
    • Flowmon APM — Мониторинг производительности приложений — работа на 7-м уровне позволяет проводить анализ поведения приложения, например — измерять время ответа на SQL-запрос, количество транзакций, обрабатываемых в единицу времени, количество сеансов, обрабатываемых параллельно, и т. д.APM также позволяет оценивать и контролировать поведение параметров. Соглашение об уровне обслуживания. APM включает веб-протоколы: HTTP 1.1 и HTTP 2.0, а также протоколы баз данных: Oracle, Postgres, MySQL, Microsoft SQL и MariaDB.
    • Flowmon DDoS Defender - комплексная защита от DDoS-атак, использует данные, собранные зондами, реагирует на DDoS-атаки, проводимые на различных сетевых уровнях. Решения Flomon могут работать в многопользовательском режиме, что очень удобно в операторских сетях.
    .

    Смотрите также

    Только новые статьи

    Введите свой e-mail

    Видео-курс

    Blender для новичков

    Ваше имя:Ваш E-Mail: