Что такое сетевая активность пользователей и как ее отслеживать
В настоящее время сложно представить работу компании и бизнеса без сети. В 2019 году индекс сетевой активности в России, по данным Всемирного экономического форума, составил 54,98. Индекс имеет четыре показателя: технологии, люди, управление и влияние. Поэтому оптимизация и сетевой мониторинг — важная задача ИТ-отдела компании. Антивирусы и файерволы не смогут защитить ее от внутренних угроз: ошибочных действий сотрудников и уязвимостей самой сети.
На каждом сетевом устройстве в ИТ-инфраструктуре организации происходит множество действий, таких как передача пакетов, сообщений из сетевых протоколов, событий состояния устройства и т. д. Все это и есть сетевая активность.
Сетевая активность используется для выявления узких мест в сети при наличии проблем с нагрузкой между серверами. Она влияет на общую производительность и работоспособность сети, а также время безотказной работы. Поэтому компаниям необходимо осуществлять контроль сетевой активности пользователей. Для этого используются инструменты сетевого мониторинга.
Мониторинг сетевой активности
Отслеживание и анализ трафика нужны:
- для диагностики и решения проблем в сети;
- контроля безопасности конфиденциальных данных;
- быстрой реакции на ошибки и неисправности;
- предупреждения длительного простоя сети;
- предотвращения подозрительной сетевой активности и атак.
Можно отслеживать активность практически любой сети: проводной или беспроводной, локальной сети предприятия и т. д. Мониторинг сетевой активности — это непрерывный процесс наблюдения за рабочей сетью. По его результатам можно делать выводы о качестве работы сети и ее компонентов. Контроль осуществляется системным администратором с помощью установленной системы мониторинга.
К системам мониторинга относятся программные и аппаратные средства, которые отслеживают сеть и ее компоненты: трафик, пропускную способность, время безотказной работы. Эти системы обнаруживают устройства и элементы сети, обновляют статус сети, а также уведомляют администратора о проблемах. Системы предоставляют отчеты по активности за определенный период и записывают статистику во внутреннюю базу данных. Важно сохранять всю информацию по сетевой активности. Задача сетевого администратора — поиск и анализ сетевых проблем на основе этих данных и принятие решений по их устранению.
Способы анализа сетевой активности
Методов проверки и мониторинга много, и все они зависят от целей анализа, сетевой конфигурации, файловой системы и т. д.
Начнем с методов, основанных на применении маршрутизатора. Функция мониторинга встроена в маршрутизатор и не нуждается в установке дополнительного ПО. Имеют низкую гибкость.
- Протокол простого сетевого мониторинга (SNMP). Позволяет управлять производительностью сети. Собирает данные по трафику до конечного хоста через пассивные датчики. Ключевые компоненты: управляемые устройства, агенты и системы управления сетью (NMS). Протокол SNMP работает на прикладном уровне и использует пассивные сенсоры для отслеживания сетевого трафика и производительности сети. Создает угрозу безопасности тем, что не имеет аутентификации.
- Удаленный мониторинг (RMON). Включает в себя сетевые мониторы и консольные системы для изменения данных. Может настроить сигналы для отслеживания сети по определенному критерию. Компоненты RMON: датчик (агент или монитор) и клиент (станция управления). Основан на протоколе SNMP.
- Netflow. Это сетевой протокол, предназначенный для учета сетевого трафика и , разработанный компаниейCisco Systems. По данным Netflow можно определить источник трафика и причины переполненности. Состоит из трех компонентов: FlowCaching (кэширующий поток), FlowCollector (собиратель информации о потоках) и Data Analyzer (анализатор данных). Преимущество Netflow — наглядные и удобные графики активности сети на любом отрезке времени.
Теперь рассмотрим методы, не основанные на применении маршрутизатора, которые нуждаются в дополнительном программном или аппаратном обеспечении. Являются более гибкими. Бывают активными и пассивными.
- Активный мониторинг. Осуществляет измерения между двумя конечными точками и сообщает о неполадках при их наличии. Недостаток активного мониторинга — измерения в сети могут вмешиваться в нормальный трафик. Это вызывает сомнения в ценности информации по этим пробам. Этот метод используется редко.
- Пассивный мониторинг. Отслеживает информацию только об одной точке в сети. Осуществляется с помощью любой программы, которая вытягивает пакеты. Минус метода — измерения можно проанализировать только офлайн.
- Комбинированный мониторинг. Содержит две технологии: просмотр ресурсов на концах сети (WREN) и монитор сети с собственной конфигурацией (SCNM). WREN активно обрабатывает данные при малом трафике и пассивно при большом. SCNM собирает данные на 3 уровне проникновения.
Мониторинг производительности сети (Network Performance Monitoring). Это инструмент для анализа производительности сетевых компонентов, каналов связи и передаваемого трафика. Отличается от классического Network Monitoring (SNMP и т. д.) тем, что работает с реальным сетевым трафиком и данные анализируются в реальном времени. Пользователь сам выбирает приложения для контроля. Поддерживает Flow-технологии.
Программы для просмотра сетевой активности
Данный тип программного обеспечения помогает быстро реагировать на подозрительную активность в сети, анализировать сетевые процессы и автоматизировать сетевую безопасность.
- Cacti — инструмент мониторинга с открытым исходным кодом. Строит графики на основе практически любых статистических данных. Метод сбора данных SNMP, но могут использоваться сценарии на Perl или PHP. С помощью плагинов строит карту сети в реальном времени.
- Observium. Отслеживает состояние сети в реальном времени и анализирует уровень производительности. Графический интерфейс дает большой выбор надстроек. Отчеты в виде диаграмм и графиков. Основан на протоколе SNMP.
- Nagios. Дает возможность удаленно корректировать нагрузку на оборудование, следить за загруженностью памяти в БД и за физическими показателями оборудования (температура материнской платы). Автоматически посылает сообщения о подозрительной активности. Недостаток для начинающих — конфигурация через командную строку.
- PRTG Network Monitor. Можно использовать не только для сканирования устройств, но и для выявления сетевых атак. Сохраняет статистические данные в БД. Есть возможность посмотреть карту сети в реальном времени и сбора технических параметров устройств, подключенных к сети. Графический интерфейс понятен и открывается в любом браузере.
- Ранее в Windows XP была функция индикатора сетевой активности — значок двух мониторов, которые мерцали при наличии входящего или исходящего трафика. В операционных системах Windows 7 и Vista эту функцию убрали. Сегодняшней альтернативой может быть программа Network Activity Indicator. Ее интерфейс похож на Windows. После установки необходимо правой кнопкой мыши нажать на иконку программы, далее пункт «Настройки». После этого нужно выбрать необходимые опции и нажать «Применить». Трафик будет отображаться при наведении курсора на иконку программы.